Viendo el éxito que tuvo la guía sobre los datos que podemos obtener de un selfie, me pareció interesante hablar en este capítulo de la serie #MundoHacker sobre toda la información que podemos obtener de una persona con solo conocer alguno de sus datos, sin hackeos de ningún tipo, únicamente haciendo uso de fuentes abiertas y públicas.
Y como la mejor manera de enseñar algo es con un caso práctico, me he sacado de la manga un nombre al azar de un ciudadano español, que por motivos de seguridad (vamos a dar a conocer casi toda su vida), llamaremos David Rodríguez Álamo.
También me gustaría recalcar que he cogido el primer nombre completo que me salió, y que en este caso, como veremos, en la media hora que he dedicado a recabar información sobre David, no he conseguido toda la esperada por la simple razón de que David ha sido cuidadoso con su presencia digital. Como ya sabemos, no representa el usuario promedio de Internet, y pese a eso, obtenemos mucha información que podría utilizarse para una suplantación de identidad, extorsión a familiares y amigos o ingeniería social de la más diversa índole. Empecemos.
Índice de contenido
Buscadores
Lo primero que hice fue buscar a David en Google, con su nombre completo, entre comillas y sin ellas. Con el nombre entre comillas obtuve 741 resultados (útiles serán muchísimos menos), mientras que con el nombre sin comillas, 281.000. Por supuesto, la gran mayoría son falsos positivos, pero no está demás comparar, aunque sean las primeras posiciones, por si en algún sitio han separado su nombre del apellido con comas, o lo han colocado al revés (algo habitual en los ficheros oficiales).
Tampoco está demás realizar la búsqueda en Bing o Yahoo, puesto que cada buscador es un mundo, y puede que uno indexe algo que el resto no ha indexado y resulte muy interesante. En este caso, esta vía no aportó información extra.
De aquí, obtuve varios datos interesantes:
- Su cuenta de Facebook: que debido al valor informativo que tiene la trataré con más calma más adelante.
- Cuenta en VK: No es muy común que un usuario español la tenga, a no ser que o bien la use para ligar, o bien la usara para consumir contenido pirateado. Veremos más adelante cual de los dos casos fue :).
- Que estaba estudiando una carrera en la Complutense: Varios PDFs con enlaces públicos a su petición de formar parte de la delegación de estudiantes para el curso 2014-2015, e incluso su nombre asociado al DNI en un documento compartido (por lo que parece ser un amigo de la universidad) con la certificación de un curso realizado en Julio del 2014 sobre Retos de la seguridad (sociopolítica).
Con el nombre y el DNI, repetimos el proceso, obteniendo además acceso a varios documentos de la Universidad Complutense con el rechazo de la beca en varias peticiones anuales. Aquí podríamos haber obtenido registros públicos de multas, alquileres de fincas o listas de morosos que pueden ser de verdadero interés para una investigación.
Redes Sociales
Empieza lo gordo. Tenemos acceso a Facebook, una red social que hasta principios del 2014 por defecto publicaba todos los estados en Público. Me bastó entrar en su perfil para encontrarme una mina de oro:
- David estudia hoy en día un master en la Complutense, después de haberse graduado el año pasado.
- Tiene una relación con María Fernández Rodríguez (nombre inventado, ya sabe…), que paradójicamente ha sido más cuidadosa con sus publicaciones en Facebook (muy bien por María).
- Vive en un conocido pueblo de Madrid. Y allí solo hay unos 1500 usuarios registrados de Facebook.
- Y tiene 193 amigos en esta red social, muchos del colegio donde estudió, y entre los que figura el que había subido el archivo que nos dio acceso al DNI.
- Sus datos aparecen indexados en skillpages, una página de perfiles profesionales, pero han sido borrados (sigue apareciendo, pero vacío).
- Pasaría lo mismo con uno de los portales clásicos de ligoteo (resuelta la duda 🙂). Aparece su foto y nombre (nombre completo, ¡WTF!), pero el perfil ha sido borrado.
Me faltaba saber su fecha de nacimiento, pero afortunadamente el perfil de VK me la dio: 30 añazos recién cumplidos. En la flor de la vida :P.
Por cierto que el mostrar más información de VK me permitió conocer su twitter (el que en la URL apareciera algo del tipo http://@nickinventado me dio la pista).
Y gracias a su perfil de Twitter, además de obtener otra imagen de David, supe que era un apasionado de la Triple X (lucha libre), del Atletic, y que tenía un blog en WordPress.com en el que nunca había escrito, pero con un Acerca de asociado a su nick con una nueva foto.
Resumiendo. Simplemente basándome en la información textual disponible en redes sociales, ya conocía su Twitter (que resultó ser el nick que David utiliza en la mayoría de sitios), sus gustos y aficiones, su relación sentimental y varias fotos de perfil que me sirven para nuevamente realizar búsquedas en Google Images. Todo esto unido a toda la información que ya teníamos de los enlaces anteriores.
En Google Images, basta con ir probando una a una cada URL de las imágenes disponibles por ver si podemos obtener algo y esta se ha estado utilizando en otros medios (y es muy útil para saber si alguien está haciéndose pasar por nosotros en algún sitio).
La mayoría de las imágenes probadas no me devolvieron información extra alguna, a excepción de la de Twitter, que me permitió geoposicionar algunos de sus tweets (no muy trascendente en este caso, debido a que David viaja poco) y sacar su cuenta de Instagram.
Fotos
No es la primera vez que digo que gestionar la privacidad en Facebook es algo importantísimo. Con la evolución del Graph Search, la búsqueda contextual de esta red social podemos obtener muchísima información de un perfil, aunque no seamos amigo del usuario.
Así es como una búsqueda de Fotos donde esté etiquetado David, me devuelve decenas de álbumes compartidos por algunos de sus familiares en la graduación, e incluso de su perro.
David tiene una hermana (a la cual le encanta sacarse selfies en el baño) y un hermano (con pareja y ciclista de profesión), los dos más pequeños, y sus padres no tienen Facebook (aunque resulta muy sencillo saber sus nombres mirando los comentarios).
También aparecen familiares cercanos (la tía, que le salta con eso de que ahora estás más gordito, 😛) que podrían ser carne de cañón para una extorsión económica (pedirle algo de dinero desde un perfil suplantado alegando algún problema familiar y máxima discreción).
Corolario
Pese al trabajo de David por borrar parte de su información en la red, como vemos siguen apareciendo huellas (ese perfil en una red social de ligoteo muy conocida, su currículum en un portal de empleo seguramente de sus tiempos jóvenes,…), he podido obtener casi toda la información necesaria para realizar maldades con una identidad digital. Y todo lo he realizado en media hora (he tardado bastante más en escribir este artículo), sin usar ni tan siquiera crawlers y servicios de identificación.
Eso sí, no he llegado a obtener ni el correo ni el teléfono. Tampoco me he parado mucho, pero al menos públicamente no tenía expuestos estos datos, lo cual es bastante poco común.
Faltaría por realizar, si procede, el tracking de metadatos de todas las imágenes que nos interesaran. Así podría, además de saber que ha veraneado por Islas Baleares, dibujar un mapa con sus viajes y vacaciones, y quizás esto compaginarlo con las fechas y los amigos de Facebook para obtener, al igual que con su tía, contactos cercanos pero que no están en contacto directo con él en el día a día.
Mientras más tiempo le dedicara, más información tendría, siendo el Graph Search de Facebook una herramienta potentísima para conocer relaciones (con quién suele hablar) o pensamientos políticos (queda claro que es más de derechas).
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Y espero que esto sirva para concienciar de la importancia de tener bien controlado qué se dice de nosotros en Internet. Una buena configuración de privacidad en las redes sociales, unido a la petición de cierre de nuestras cuentas en aquellos lugares donde ya no tenemos acceso (emails asociados de los que ya no disponemos la contraseña), o incluso (aunque en casos muy muy críticos) recurrir al derecho al olvido si así procede, son estrategias que nos pueden quitar problemas el día de mañana.
¿Qué puedo hacer si ya he expuesto algún contenido dañino para mi imagen?
Sobre esto ya escribí un artículo en profundidad: Cómo podemos conseguir que Google desindexe contenido dañino para nuestra imagen.
Ya te digo que no es un camino sencillo, pero entre esas acciones estarían:
- Pedir a la página que aloja ese contenido que lo elimine o modifique: Es el primer paso, pero lamentablemente dependiendo de dónde esté alojada no siempre recibimos contestación.
- Llevar a cabo acciones legales sobre los administradores de esa página y/o proveedor de servicios: Si tenemos las de ganar judicialmente hablando, se empezaría a falta de respuesta por el administrador las acciones legales pertinentes. Pero ya te digo que este es el camino lento, a varios meses (o incluso años) vista.
- Pedir a Google vía formulario que elimine ese contenido de su buscador: El tema del cual hablamos en esta pieza, y esgrimiendo los derechos legales que nos amparan a realizar esta petición. Que de nuevo, pueden respondernos en unos días o pasar semanas sin saber nada.
- Implementar una estrategia de SEO/generación de contenido agresiva: Es, a fin de cuentas, la única acción que podemos hacer en poco tiempo y cuyos resultados no dependen exclusivamente de la decisión de terceros.
Por esto mismo decía que sí se puede eliminar contenido en la red, pero con matices. Porque en la mayoría de casos a los que me he enfrentado, realmente más que desindexar ese contenido, lo que hemos conseguido es que siga indexado pero haya sido superado con creces en las SERPs por otro contenido que es afín a nuestro interés.
Si estás en esta situación y quieres que te ayude, puedes escribirme para que veamos qué podemos hacer con tu caso.
Espero que si le ha gustado, lo comparta y me lo haga saber en un comentario ¡Muchas gracias!
P.D.: Y si se ha quedado con hambre de más, aquí explico qué información se puede obtener de una fotografía subida a la red.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Hola pablo muy buen aporte, pero ayudanos para saber mas de las redes sociales, como rastrear quienes son los que nos escriben por el chat de facebook y saber en que fecha fue creado ese facebook, gracias de antemano Pablo
La idea es analizar la información disponible en el propio perfil. Con un poco de suerte de forma pública (es decir, con un usuario sin relación alguna directa con esa persona) podremos obtener parte de esa información que mencionas (en el apartado de más información, o si esa persona publica todo como privado, lo mismo bajando en el propio timeline).
Si no ya habría que recurrir a encontrar la manera de hacerse amigo de esa persona, que así podemos ver más información.
Pero vaya, que la idea es ver a qué información tenemos acceso, y con ella analizar qué otra información podemos obtener (familiares, amigos cercanos, relaciones con otros usuarios de la red, fechas señaladas donde en las que haya publicado una actualización…).
Tengo un problema . Vendi un coche hace 25 años y no le hice los papeles de la transferencia . El coche desapareciò , su dueño falleciò , pero està anotado en el registro de la propiedad automotor a mi nombre . El asunto es que me siguen llegando patentes impagas de ese automotor y intimaciones municipales por falta de pago de èstas .
Lo que quiero consultar es còmo poder sacar los datos del antiguo dueño para poder realizar la denuncia de venta del rodado y asì poder anular toda ligazòn con el vehìculo .
Buenas Fabian.
Supongo que habrás consultado ya a la Policía, verdad? Entiendo que el primer punto sería hablarlo con ellos. A fin de cuentas ese coche ya no te pertenece y ha ido cambiando de dueño…
Hola pablo me ha parecido un articulo realmente util y te felicito por ello. Queria hacerte una pregunta y es si la policia puede tener acceso a tu informacion privada como conversaciones de tus redes sociales de alguna manera para una investigacion.
Muchas gracias, gran articulo
Depende del país, y también, de la colaboración de esas compañías. Pero básicamente, y mediante una orden judicial, deberían poder.
Otra cosa es que en algunas partes no haga falta una orden judicial (todo el jaleo de la NSA americana venía de esto), y también que una cosa es poder acceder a esa información desde tu dispositivo (más sencillo) y otra tener que ponerse de acuerdo con la compañía que suministra el servicio para acceder a dicha información (bastante más complicado, y en algunos casos hasta imposible).
Buen día
Y PabloYglesias
Mi pregunta cómo puedo conseguir el nombre completo de un vecino para poder denunciarlo ya se metió a robar en mi casa
Hombre, quizás incluso mirando su buzón. Al menos por aquí por España todavía está la costumbre de poner el nombre completo en el buzón (cosa que no entiendo, por otra parte) :).
¡Saludos Antonio!