espiar a una persona en internet obtener

Viendo el éxito que tuvo la guía sobre los datos que podemos obtener de un selfie, me pareció interesante hablar en este capítulo de la serie #MundoHacker sobre toda la información que podemos obtener de una persona con solo conocer alguno de sus datos, sin hackeos de ningún tipo, únicamente haciendo uso de fuentes abiertas y públicas.


Y como la mejor manera de enseñar algo es con un caso práctico, me he sacado de la manga un nombre al azar de un ciudadano español, que por motivos de seguridad (vamos a dar a conocer casi toda su vida), llamaremos David Rodríguez Álamo.

También me gustaría recalcar que he cogido el primer nombre completo que me salió, y que en este caso, como veremos, en la media hora que he dedicado a recabar información sobre David, no he conseguido toda la esperada por la simple razón de que David ha sido cuidadoso con su presencia digital. Como ya sabemos, no representa el usuario promedio de Internet, y pese a eso, obtenemos mucha información que podría utilizarse para una suplantación de identidad, extorsión a familiares y amigos o ingeniería social de la más diversa índole. Empecemos.

Buscadores

Lo primero que hice fue buscar a David en Google, con su nombre completo, entre comillas y sin ellas. Con el nombre entre comillas obtuve 741 resultados (útiles serán muchísimos menos), mientras que con el nombre sin comillas, 281.000. Por supuesto, la gran mayoría son falsos positivos, pero no está demás comparar, aunque sean las primeras posiciones, por si en algún sitio han separado su nombre del apellido con comas, o lo han colocado al revés (algo habitual en los ficheros oficiales).

hacking con buscadores obtener

Tampoco está demás realizar la búsqueda en Bing o Yahoo, puesto que cada buscador es un mundo, y puede que uno indexe algo que el resto no ha indexado y resulte muy interesante. En este caso, esta vía no aportó información extra.

De aquí, obtuve varios datos interesantes:

  • Su cuenta de Facebook: que debido al valor informativo que tiene la trataré con más calma más adelante.
  • Cuenta en VK: No es muy común que un usuario español la tenga, a no ser que o bien la use para ligar, o bien la usara para consumir contenido pirateado. Veremos más adelante cual de los dos casos fue :).
  • Que estaba estudiando una carrera en la Complutense: Varios PDFs con enlaces públicos a su petición de formar parte de la delegación de estudiantes para el curso 2014-2015, e incluso su nombre asociado al DNI en un documento compartido (por lo que parece ser un amigo de la universidad) con la certificación de un curso realizado en Julio del 2014 sobre Retos de la seguridad (sociopolítica).
DNICert


Con el nombre y el DNI, repetimos el proceso, obteniendo además acceso a varios documentos de la Universidad Complutense con el rechazo de la beca en varias peticiones anuales. Aquí podríamos haber obtenido registros públicos de multas, alquileres de fincas o listas de morosos que pueden ser de verdadero interés para una investigación.

Redes Sociales

Empieza lo gordo. Tenemos acceso a Facebook, una red social que hasta principios del 2014 por defecto publicaba todos los estados en Público. Me bastó entrar en su perfil para encontrarme una mina de oro:


  • David estudia hoy en día un master en la Complutense, después de haberse graduado el año pasado.
  • Tiene una relación con María Fernández Rodríguez (nombre inventado, ya sabe…), que paradójicamente ha sido más cuidadosa con sus publicaciones en Facebook (muy bien por María).
  • Vive en un conocido pueblo de Madrid. Y allí solo hay unos 1500 usuarios registrados de Facebook.
  • Y tiene 193 amigos en esta red social, muchos del colegio donde estudió, y entre los que figura el que había subido el archivo que nos dio acceso al DNI.
  • Sus datos aparecen indexados en skillpages, una página de perfiles profesionales, pero han sido borrados (sigue apareciendo, pero vacío).
  • Pasaría lo mismo con uno de los portales clásicos de ligoteo (resuelta la duda 🙂). Aparece su foto y nombre (nombre completo, ¡WTF!), pero el perfil ha sido borrado.

Me faltaba saber su fecha de nacimiento, pero afortunadamente el perfil de VK me la dio: 30 añazos recién cumplidos. En la flor de la vida :P.

vk-info-inv obtener

Por cierto que el mostrar más información de VK me permitió conocer su twitter (el que en la URL apareciera algo del tipo http://@nickinventado me dio la pista).

twitter-info-inv

Y gracias a su perfil de Twitter, además de obtener otra imagen de David, supe que era un apasionado de la Triple X (lucha libre), del Atletic, y que tenía un blog en WordPress.com en el que nunca había escrito, pero con un Acerca de asociado a su nick con una nueva foto.

wordpress-info-inv

Resumiendo. Simplemente basándome en la información textual disponible en redes sociales, ya conocía su Twitter (que resultó ser el nick que David utiliza en la mayoría de sitios), sus gustos y aficiones, su relación sentimental y varias fotos de perfil que me sirven para nuevamente realizar búsquedas en Google Images. Todo esto unido a toda la información que ya teníamos de los enlaces anteriores.

En Google Images, basta con ir probando una a una cada URL de las imágenes disponibles por ver si podemos obtener algo y esta se ha estado utilizando en otros medios (y es muy útil para saber si alguien está haciéndose pasar por nosotros en algún sitio).

La mayoría de las imágenes probadas no me devolvieron información extra alguna, a excepción de la de Twitter, que me permitió geoposicionar algunos de sus tweets (no muy trascendente en este caso, debido a que David viaja poco) y sacar su cuenta de Instagram.

Google-images

Fotos

No es la primera vez que digo que gestionar la privacidad en Facebook es algo importantísimo. Con la evolución del Graph Search, la búsqueda contextual de esta red social podemos obtener muchísima información de un perfil, aunque no seamos amigo del usuario.


graph search fotos obtener

Así es como una búsqueda de Fotos donde esté etiquetado David, me devuelve decenas de álbumes compartidos por algunos de sus familiares en la graduación, e incluso de su perro.

David tiene una hermana (a la cual le encanta sacarse selfies en el baño) y un hermano (con pareja y ciclista de profesión), los dos más pequeños, y sus padres no tienen Facebook (aunque resulta muy sencillo saber sus nombres mirando los comentarios).

También aparecen familiares cercanos (la tía, que le salta con eso de que ahora estás más gordito, 😛) que podrían ser carne de cañón para una extorsión económica (pedirle algo de dinero desde un perfil suplantado alegando algún problema familiar y máxima discreción).

Corolario

Pese al trabajo de David por borrar parte de su información en la red, como vemos siguen apareciendo huellas (ese perfil en una red social de ligoteo muy conocida, su currículum en un portal de empleo seguramente de sus tiempos jóvenes,…), he podido obtener casi toda la información necesaria para realizar maldades con una identidad digital. Y todo lo he realizado en media hora (he tardado bastante más en escribir este artículo), sin usar ni tan siquiera crawlers y servicios de identificación.

Eso sí, no he llegado a obtener ni el correo ni el teléfono. Tampoco me he parado mucho, pero al menos públicamente no tenía expuestos estos datos, lo cual es bastante poco común.

Faltaría por realizar, si procede, el tracking de metadatos de todas las imágenes que nos interesaran. Así podría, además de saber que ha veraneado por Islas Baleares, dibujar un mapa con sus viajes y vacaciones, y quizás esto compaginarlo con las fechas y los amigos de Facebook para obtener, al igual que con su tía, contactos cercanos pero que no están en contacto directo con él en el día a día.

Mientras más tiempo le dedicara, más información tendría, siendo el Graph Search de Facebook una herramienta potentísima para conocer relaciones (con quién suele hablar) o pensamientos políticos (queda claro que es más de derechas).


¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

Y espero que esto sirva para concienciar de la importancia de tener bien controlado qué se dice de nosotros en Internet. Una buena configuración de privacidad en las redes sociales, unido a la petición de cierre de nuestras cuentas en aquellos lugares donde ya no tenemos acceso (emails asociados de los que ya no disponemos la contraseña), o incluso (aunque en casos muy muy críticos) recurrir al derecho al olvido si así procede, son estrategias que nos pueden quitar problemas el día de mañana.

¿Qué puedo hacer si ya he expuesto algún contenido dañino para mi imagen?

Sobre esto ya escribí un artículo en profundidad: Cómo podemos conseguir que Google desindexe contenido dañino para nuestra imagen.

Ya te digo que no es un camino sencillo, pero entre esas acciones estarían:

  • Pedir a la página que aloja ese contenido que lo elimine o modifique: Es el primer paso, pero lamentablemente dependiendo de dónde esté alojada no siempre recibimos contestación.
  • Llevar a cabo acciones legales sobre los administradores de esa página y/o proveedor de servicios: Si tenemos las de ganar judicialmente hablando, se empezaría a falta de respuesta por el administrador las acciones legales pertinentes. Pero ya te digo que este es el camino lento, a varios meses (o incluso años) vista.
  • Pedir a Google vía formulario que elimine ese contenido de su buscador: El tema del cual hablamos en esta pieza, y esgrimiendo los derechos legales que nos amparan a realizar esta petición. Que de nuevo, pueden respondernos en unos días o pasar semanas sin saber nada.
  • Implementar una estrategia de SEO/generación de contenido agresiva: Es, a fin de cuentas, la única acción que podemos hacer en poco tiempo y cuyos resultados no dependen exclusivamente de la decisión de terceros.

Por esto mismo decía que sí se puede eliminar contenido en la red, pero con matices. Porque en la mayoría de casos a los que me he enfrentado, realmente más que desindexar ese contenido, lo que hemos conseguido es que siga indexado pero haya sido superado con creces en las SERPs por otro contenido que es afín a nuestro interés.

Si estás en esta situación y quieres que te ayude, puedes escribirme para que veamos qué podemos hacer con tu caso.

Espero que si le ha gustado, lo comparta y me lo haga saber en un comentario ¡Muchas gracias!

P.D.: Y si se ha quedado con hambre de más, aquí explico qué información se puede obtener de una fotografía subida a la red.

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.

Banner negocios seguros