Así son los datos a los que no das importancia y con los que los ciberdelincuentes pueden saberlo todo sobre tu vida y preparar sus ataques, según expertos en OSINT

Juan se levanta temprano y, mientras se prepara el café, desbloquea el móvil. Una notificación le deja helado. Un desconocido le exige el pago de una cantidad desorbitada de dinero para que nadie descubra que le ha sido infiel a su pareja. Tras calmarse del sobresalto, Juan ríe. Es imposible, debe ser una broma.

Entonces el desconocido le advierte: "Sé muchas cosas sobre ti". Le envía su dirección de casa, una foto de su puerta, sus correos electrónicos e incluso un número de teléfono suyo que muy poca gente conoce.

Esta historia es ficticia. Pero ocurre en la realidad más a menudo de lo que puede pensarse. Efectivamente, detrás de esta historia podría estar un ciberdelincuente. Pero ese criminal no ha necesitado reventar contraseñas ni cometer ningún delito hasta iniciar su chantaje. Solo ha tenido que recurrir al OSINT.

La filósofa Carissa Véliz explica por qué "no es demasiado tarde" para defender tu privacidad frente a las tecnológicas: 3 claves para hacerlo extraídas de su libro

OSINT son las siglas en inglés de inteligencia de fuentes abiertas.Business Insider España ha contactado con varios especialistas de este ámbito de la inteligencia para tratar de explicar qué es este conjunto de técnicas y herramientas que están ganando popularidad y por qué pueden ser una amenaza cuando estos conocimientos caen en malas manos.

No siempre, claro. Los investigadores que dominan estas técnicas y herramientas que engloban el OSINT son capaces de prevenir crímenes o atentados, colaborar en la búsqueda de personas desaparecidas, detectar movimientos de tropas en momentos de tensión diplomática o, a nivel corporativo, prevenir o solucionar crisis reputacionales.

Departamentos de policía de todo el mundo han desarrollado incluso torneos para que grupos de investigadores OSINT compitan entre sí a ver cuál descubre más información sobre personas desaparecidas desde hace años.

El problema es que los ciberdelincuentes también conocen esta disciplina y son capaces de dominarla para fines mucho más espúreos. Para entenderlo, primero es necesario detallar en qué consiste el OSINT.

¿Qué es el OSINT?

Belén Carrasco es analista de inteligencia y trabaja en una firma londinense llamada Neon Century que se dedica a esta disciplina. Ha trabajado para organismos de la OTAN y ha realizdo investigaciones OSINT para gobiernos europeos. Define el OSINT "como un conjunto de técnicas que determinados actores pueden usar para recopilar y entender datos que son de acceso público".

"Datos que están públicamente expuestos en internet en sus distintos niveles, en la web superficial, en la deep web o en la dark web. Estas técnicas se usan a lo largo de esas 3 capas para sacar la mayor cantidad de información posible y usarla con distintos fines, que pueden ser lícitos o ilícitos", continúa.

El "fallo de mercado" que explica por qué los problemas de ciberseguridad irán a más a pesar de que la inversión y la concienciación crezcan: "Difícilmente se puede seguir este ritmo"

Jézer Ferreira, formador en OSINT y uno de los responsables de la Cyber Hunter Academy, detalla que el OSINT nace en los años 40 a manos de organismos estadounidenses que comenzaron a recopilar información para convertirla en inteligencia extrayendo datos de fuentes abiertas como medios de comunicación o incluso discursos políticos.

Sin embargo, todos los especialistas consultados por este medio coinciden en que su popularidad actual estalla hace apenas unos 3 o 4 años. Aimery Parekh es investigador OSINT freelance, trabaja con clientes en todo el mundo y es el fundador de una de las primeras comunidades españolas de investigadores que emplean estas técnicas, la llamada Brigada OSINT.

"Es todo lo que sea inteligencia de fuentes abiertas", expone Parekh. "Todo lo que puedas encontrar en internet, ya sea en redes sociales, en prensa, o información a la que tengas acceso de forma gratuita o mediante pago. Todo lo que puedas encontrar, pero sin hackear", advierte.

Ana Isabel Corral es analista de inteligencia y asociada junior a la Asociación Profesional de Peritos de Nuevas Tecnologías. También trabaja con Jézer en la misma academia, Cyber Hunter Academy.

En la definición que ella aporta, incide mucho en la actitud que debe tener el investigador frente a su trabajo. Plantea que estas investigaciones suelen darse con escucha pasiva. Se refiere a que no se pueden vulnerar accesos mediante otras técnicas de hacking. "No rompemos accesos a redes sociales o correos electrónicos buscando información", recuerda.

Dónde y cómo extraen información los investigadores especializados en OSINT

También opina Carlos Seisdedos, especialista en ciberinteligencia de ISecAuditors. Ha participado en investigaciones OSINT sobre canales de Telegram que difunden propaganda de terroristas islámicos. En entornos tan delicados como ese, el investigador cuenta a Business Insider España que a menudo toca emplear técnicas de Virtual HUMINT para extraer más información.

Virtual HUMINT, junto con el SOCMINT, son algunas de las patas que sostienen la mesa del OSINT. El HUMINT es la inteligencia clásica, mientras que el SOCMINT es la inteligencia extraída de plataformas sociales, desgrana Seisdedos.

Una Apple AirTag ayuda a descubrir una agencia secreta de la Inteligencia alemana

Algunas de las fuentes abiertas que se pueden consultar en una investigación con OSINT incluyen "medios de comunicación, redes sociales, sitios web, IP, blockchain, registros públicos (corporativos, sentencias, incidencias, propiedades y otros agregadores de información)", señala Fernanda Restrepo, asociada sénior en el departamento de Inteligencia de Kroll.

Jorge Coronado, jefe de Tecnología de Lazarus Technology Group y fundador de QuantiKa14, una firma andaluza dedicada al OSINT, corrobora que esta disciplina vive un auge estos días. Él lleva muchos años en este ámbito: "Cuando empecé no había prácticamente nadie a nivel público. A nivel underground, yo me movía por foros y plataformas de hacking".

Cuando en esas plataformas 2 hackers se peleaban, acababan doxeándose. El término, adaptado de la voz inglesa doxing, se refiere al fenómeno por el cual se revela y expone la identidad real de un internauta con el propósito de humillarle. "La forma de doxear es hacer OSINT", resume Coronado.

Con todo, lo que parece evidente es que el OSINT avanza. También en España, donde hay cada vez más analistas e investigadores que dominan estas prácticas. "Crece imagino que gracias a la modernización y a la necesidad de empresas de implementar un departamento de inteligencia", considera Coronado. El problema: los ciberdelincuentes también conocen estas herramientas.

No le das importancia a muchos datos que dejas en internet

Juan es el protagonista del relato ficticio con el que arranca este artículo. ¿Cómo ha podido un ciberdelincuente descubrir datos tan sensibles como dónde vive, a qué se dedica, a qué hora se despierta, su número de teléfono privado e incluso su presunta infidelidad?

La historia de Juan podría ser terrible pero, en la vida real, además se han dado casos de estafas como la conocida como fraude del CEO, en la que un criminal suplanta al directivo de una compañía para exigir un pago inmediato a un trabajador, u otros tipos de suplantaciones que han desembocado en históricos hackeos gracias a estrategias de ingeniería social.

Lo preocupante es que en realidad es relativamente sencillo conocer información de tus víctimas si actúas como un criminal informático con conocimientos de OSINT. Y esto se debe a que los usuarios generan una importante huella digital por su actividad en la red.

Además, esa huella no la generan siempre los propios usuarios. Es difícil encontrar información de personas más mayores, cuyo acceso a la red ha sido reducido u ocasional. Sin embargo, ¿y si un anciano frecuenta un bar? ¿Y si el bar sube fotos todos los días de su clientela a su página de Facebook?

El propio Aimery Parekh reconoce que ha llegado a enviar a algunos de sus contactos en LinkedIn fotos de sus puertas de casa. "Me dicen, oye, qué haces". Pero en realidad ha sido tan sencillo como que el usuario en cuestión subió su currículum vitae completo a la plataforma y en él aparecían la dirección de casa y el número del DNI.

Fernanda Restrepo, de Kroll, hace una exhaustiva lista de datos a los que los usuarios no le dan la suficiente importancia y que pueden al final ser parte de un informe OSINT sobre sus vidas.

"Registros en páginas web, publicaciones en redes sociales y foros, fotos en anuncios de ventas de coches y muebles, leaks de contraseñas, fechas de cumpleaños que pueden utilizarse para validar información en entidades bancarias...".

El OSINT en malas manos y sus consecuencias en el mundo físico

"Hay que tener en cuenta que la mayoría de la información que está abierta al público la exponemos nosotros mismos, por lo que debemos tener cuidado o al menos ser conscientes", incide Restrepo. "Al subir cualquier tipo de información a redes, comentar en artículos y foros, intercambiar información en sitios web, estamos creando nuestro perfil público, muchas veces sin darnos cuenta".

Es fácil comprobar si Juan ha cometido una infidelidad o se le ha pasado por la cabeza hacerlo. Algo tan sencillo como conocer su correo electrónico y comprobar si ya está registrado o no en aplicaciones de citas es algo al alcance de cualquiera. 

Pero también sería fácil para una banda de cacos advertir si Juan o cualquier otra persona está fuera de casa para que entraran a robar en su domicilio. Basta una publicación en Instagram señalando que esa persona va a estar en la playa unas semanas. ¿Y para encontrar ese domicilio, si la dirección no está disponible en la web?

Busqué mi nombre en Internet para ver qué salía y encontré de todo, incluso una vieja denuncia: por qué debemos concienciarnos sobre nuestro rastro digital

Carlos Seisdedos y Ana Isabel Corral coinciden en una expresión. "Todos los datos que has subido a la red son susceptibles de ser usados en tu contra". Incluso una foto con las vistas desde casa puede servir para que un criminal triangule y descubra dónde está tu residencia.

Belén Carrasco, de Neon Century, detalla a Business Insider España cómo incluso a veces las contraseñas que los usuarios elegimos son de todo menos robustas. Una vez vio en una filtración de contraseñas que un importante directivo de una multinacional usaba como contraseña para su cuenta de LinkedIn la siguiente palabra: "linkedin".

"Los likes y los amigos en una red social dicen más de una persona de lo que uno cree", advierte también la propia Carrasco. "Con técnicas de OSINT, los ciberdelincuentes no solo tienen más fácil atacarle con campañas de phishing u otras técnicas". También pueden llegar a poner en riesgo la integridad física de los usuarios.

"Pueden saber dónde vive y dónde esperarle a él o a sus familiares".

Una amenaza que también afecta al mundo corporativo

Seisdedos incide en que los usuarios tienen ("tenemos") "una muy mala higiene digital", lo que conlleva que "reutilicemos contraseñas en diferentes servicios". No importa si tu clave es férrea y de hasta 18 dígitos; si ha sido expuesta una vez y la usas en más servicios, estás siendo vulnerable en distintas plataformas.

Jézer Ferreira explica en muy pocos pasos lo sencillo que es descubrir qué tecnologías utiliza una empresa o una universidad pública. Basta con acudir de nuevo a LinkedIn y comprobar en qué tecnologías están especializados muchos de sus trabajadores. Eso ya da pistas para que bandas de ciberdelincuencia emprendan acciones ilícitas.

Los ciberdelincuentes no necesitan tener contraseñas para robar a empresas: así son algunos de los nuevos ataques informáticos, según el conocido hacker Chema Alonso

Cada vez son más las compañías que abren sus departamentos de inteligencia. Firmas como onBRANDING, de Selva Orejón, se dedican precisamente a salvaguardar la reputación digital de sus clientes gracias a labores de OSINT. Proteger los activos digitales supone también monitorizar, procesar y extraer inteligencia que afecte a una compañía.

Los fraudes del CEO son una constante y los trabajadores siguen siendo uno de los eslabones más débiles en la cadena de la ciberseguridad, como recuerda Aimery Parekh. Tu huella digital no solo puede ser usada en tu contra, sino también en contra de la organización para la que trabajes.

Por eso la totalidad de los especialistas consultados por Business Insider España coinciden en que sigue siendo necesario realizar trabajos de concienciación y divulgación. Como resume el propio Jorge Coronado, de QuantiKa14, "todos tenemos un secreto".

Si trabajas en la industria de la ciberseguridad o en el mundo del OSINT y quieres enviar pistas, consejos o información para futuros artículos, puedes contactar conmigo en alberto.ruiz@axelspringer.es.