Títeres para investigaciones OSINT
Un títere o “sock puppet” es una identidad en línea utilizada con fines de engaño. El término, una referencia a la manipulación de una simple marioneta hecha de un calcetín, originalmente se refería a una identidad falsa asumida por un miembro de una comunidad en internet que hablaba consigo mismo, pretendiendo ser otra persona. – Wikipedia
Este tipo de cuentas son utilizadas en redes sociales, generalmente por estafadores, hackers, bots… pero también son usadas por investigadores OSINT, pentesters y periodistas. ¿Por qué QUERRÍAS crear una cuenta encubierta? Al investigar, siempre es buena idea separar tu identidad real desde el principio. Aumentas la probabilidad de que el objetivo se vuelva sospechoso. También corres el riesgo de ser identificado y expuesto, acosado e incluso, en el peor de los casos, ser blanco de represalias letales. Dependiendo de quién sea el sospechoso, siempre debes tomar las contramedidas apropiadas para proteger a tu organización/agencia, a ti mismo e incluso a tu familia. Otro aspecto a tener en cuenta es que muchas redes sociales tienen Términos de Servicio (TOS) que cubren específicamente cuentas falsas o de investigación. Organizaciones como Facebook están buscando activamente este tipo de cuentas, incluso si son de fuerzas del orden, y las prohíben.
EMPEZANDO EL JUEGO
Crear este tipo de cuentas puede llevar mucho tiempo y esfuerzo. Para hacer una similitud, lo que vamos a crear es un personaje de un juego de Rol; dicha persona tendrá atributos que, idealmente, serían adaptados para la investigación que vamos a realizar.
Existen herramientas en internet que nos facilitan el trabajo a la hora de crear nuestro personaje.
1
2
3
4
5
Generador de Identidad Falsa (fakepersongenerator.com)
Generador de Nombres Aleatorios (www.elfqrin.com/fakeid.php)
Generador de Personajes Aleatorios (random-character.com)
Generador de Personalidad (rangen.co.uk)
Generador de Rasgos (rangen.co.uk)
También debemos crear la imagen, medios de contacto (correo electrónico) e incluso poseer un número de teléfono que podamos eliminar después.
Para la imagen, podemos usar las IA actuales, las cuales introduciendo un buen prompt, pueden crear imágenes que pasan por “reales”.
En cuanto a los correos electrónicos, podemos usar casi cualquier servicio de correo. Aquí unos ejemplos:
1
2
3
4
GMX.com
Mail.com
Protonmail.com
Yandex.Mail
En cuanto a teléfonos, lo ideal es usar números desechables. Podemos usar los números para poder registrarnos en redes sociales, y una vez terminada la investigación, eliminar el número.
CRIPTOMONEDAS
Hoy en día, podemos seguir los movimientos de ciertas monedas por las direcciones de las carteras. En este caso, podemos usar Exodus, que es una cartera de criptomonedas con la cual podemos manejar bastantes activos. El “problema” es que esta parte de la investigación requiere el uso de criptomonedas.
ANONIMATO
Cabe decir que es la parte más importante a la hora de realizar cualquier investigación. Siempre debemos mantener el anonimato y, lo más importante, NUNCA debe usarse los datos personales, cuentas, números de teléfono, correos electrónicos, etc., que vinculen al investigador con la investigación. También hay que asegurarse de que no se violan los TOS de servicio.
1
2
3
4
5
6
7
8
9
10
11
12
Usa Wi-Fi público y NO uses una VPN
Elige un sitio de redes sociales en el que concentrarte
Usa el "verdadero" número de teléfono de tu personalidad para la verificación
Guarda la información en un administrador de contraseñas como KeePassXC
Ten en cuenta la Seguridad Operativa (OPSEC):
– Usa una contraseña muy fuerte para el acceso al administrador de contraseñas
– Usa una contraseña diferente para cada cuenta
– Nunca mezcles cuentas con tus cuentas reales o personales
Ve a la configuración de la cuenta que acabas de crear y cambia el número de teléfono por un número VoIP
Cuando hayas terminado, cierra la sesión de la cuenta
Vuelve a iniciar sesión y comienza a agregar información a tu cuenta relevante para los perfiles
Vuelve al paso 2 para el resto de los sitios que quieras probar
Cuanto más antigua sea la cuenta, tenga mayor contenido y una historia, más difícil será de detectar como una cuenta falsa.
Recuerda visitar el artículo original para mas información.