#MundoHacker: ¿Qué datos se pueden obtener de una persona en Internet?
Viendo el éxito que tuvo la guía sobre los datos que podemos obtener de un selfie, me pareció interesante hablar en este capítulo de la serie #MundoHacker (por cierto, ya van más de 15 tutoriales sobre hacking, que se dice pronto…) sobre toda la información que podemos obtener de una persona con solo conocer alguno de sus datos, sin hackeos de ningún tipo, únicamente haciendo uso de fuentes abiertas y públicas.
Y como la mejor manera de enseñar algo es con un caso práctico, me he sacado de la manga un nombre al azar de un ciudadano español, que por motivos de seguridad (vamos a dar a conocer casi toda su vida), llamaremos David Rodríguez Álamo.
También me gustaría recalcar que he cogido el primer nombre completo que me salió, y que en este caso, como veremos, en la media hora que he dedicado a recabar información sobre David, no he conseguido toda la esperada por la simple razón de que David ha sido cuidadoso con su presencia digital. Como ya sabemos, no representa el usuario promedio de Internet, y pese a eso, obtenemos mucha información que podría utilizarse para una suplantación de identidad, extorsión a familiares y amigos o ingeniería social de la más diversa índole. Empecemos.
Índice de contenido
Buscadores
Lo primero que hice fue buscar a David en Google, con su nombre completo, entre comillas y sin ellas. Con el nombre entre comillas obtuve 741 resultados (útiles serán muchísimos menos), mientras que con el nombre sin comillas, 281.000. Por supuesto, la gran mayoría son falsos positivos, pero no está demás comparar, aunque sean las primeras posiciones, por si en algún sitio han separado su nombre del apellido con comas, o lo han colocado al revés (algo habitual en los ficheros oficiales).
Tampoco está demás realizar la búsqueda en Bing o Yahoo, puesto que cada buscador es un mundo, y puede que uno indexe algo que el resto no ha indexado y resulte muy interesante. En este caso, esta vía no aportó información extra.
De aquí, obtuve varios datos interesantes:
- Su cuenta de Facebook: que debido al valor informativo que tiene la trataré con más calma más adelante.
- Cuenta en VK: No es muy común que un usuario español la tenga, a no ser que o bien la use para ligar, o bien la usara para consumir contenido pirateado. Veremos más adelante cual de los dos casos fue :).
- Que estaba estudiando una carrera en la Complutense: Varios PDFs con enlaces públicos a su petición de formar parte de la delegación de estudiantes para el curso 2014-2015, e incluso su nombre asociado al DNI en un documento compartido (por lo que parece ser un amigo de la universidad) con la certificación de un curso realizado en Julio del 2014 sobre Retos de la seguridad (sociopolítica).
Con el nombre y el DNI, repetimos el proceso, obteniendo además acceso a varios documentos de la Universidad Complutense con el rechazo de la beca en varias peticiones anuales. Aquí podríamos haber obtenido registros públicos de multas, alquileres de fincas o listas de morosos que pueden ser de verdadero interés para una investigación.
Redes Sociales
Empieza lo gordo. Tenemos acceso a Facebook, una red social que hasta principios del 2014 por defecto publicaba todos los estados en Público. Me bastó entrar en su perfil para encontrarme una mina de oro:
- David estudia a día de hoy un master en la Complutense, después de haberse graduado el año pasado.
- Tiene una relación con María Fernández Rodríguez (nombre inventado, ya sabe…), que paradógicamente ha sido más cuidadosa con sus publicaciones en Facebook (muy bien por María).
- Vive en un conocido pueblo de Madrid. Y allí solo hay unos 1500 usuarios registrados de Facebook.
- Y tiene 193 amigos en esta red social, muchos del colegio donde estudió, y entre los que figura el que había subido el archivo que nos dio acceso al DNI.
- Sus datos aparecen indexados en skillpages, una página de perfiles profesionales, pero han sido borrados (sigue apareciendo, pero vacío).
- Pasaría lo mismo con uno de los portales clásicos de ligoteo (resuelta la duda 🙂). Aparece su foto y nombre (nombre completo, ¡WTF!), pero el perfil ha sido borrado.
Me faltaba saber su fecha de nacimiento, pero afortunadamente el perfil de VK me la dio: 30 añazos recién cumplidos. En la flor de la vida :P.
Por cierto que el mostrar más información de VK me permitió conocer su twitter (el que en la URL apareciera algo del tipo http://@nickinventado me dio la pista).
Y gracias a su perfil de Twitter, además de obtener otra imagen de David, supe que era un apasionado de la Triple X (lucha libre), del Atletic, y que tenía un blog en WordPress.com en el que nunca había escrito, pero con un Acerca de asociado a su nick con una nueva foto.
Resumiendo. Simplemente basándome en la información textual disponible en redes sociales, ya conocía su Twitter (que resultó ser el nick que David utiliza en la mayoría de sitios), sus gustos y aficiones, su relación sentimental y varias fotos de perfil que me sirven para nuevamente realizar búsquedas en Google Images. Todo esto unido a toda la información que ya teníamos de los enlaces anteriores.
En Google Images, basta con ir probando una a una cada URL de las imágenes disponibles por ver si esta se ha estado utilizando en otros medios (y es muy útil para saber si alguien está haciéndose pasar por nosotros en algún sitio).
La mayoría de las imágenes probadas no me devolvieron información extra alguna, a excepción de la de Twitter, que me permitió geoposicionar algunos de sus tweets (no muy trascendente en este caso, debido a que David viaja poco) y sacar su cuenta de Instagram.
Fotos
No es la primera vez que digo que gestionar la privacidad en Facebook es algo importantísimo. Con la evolución del Graph Search, la búsqueda contextual de esta red social (solo disponible por ahora en la versión inglesa de la interfaz) podemos obtener muchísima información de un perfil, aunque no seamos amigo del usuario.
Así es como una búsqueda de Fotos donde esté etiquetado David, me devuelve decenas de álbumes compartidos por algunos de sus familiares en la graduación, e incluso de su perro.
David tiene una hermana (a la cual le encanta sacarse selfies en el baño) y un hermano (con pareja y ciclista de profesión), los dos más pequeños, y sus padres no tienen Facebook (aunque resulta muy sencillo saber sus nombres mirando los comentarios).
También aparecen familiares cercanos (la tía, que le salta con eso de que ahora estás más gordito, 😛) que podrían ser carne de cañón para una extorsión económica (pedirle algo de dinero desde un perfil suplantado alegando algún problema familiar y máxima discreción).
Corolario
Pese al trabajo de David por borrar parte de su información en la red, como vemos siguen apareciendo huellas (ese perfil en una red social de ligoteo muy conocida, su currículum en un portal de empleo seguramente de sus tiempos jóvenes,…), he podido obtener casi toda la información necesaria para realizar maldades con una identidad digital. Y todo lo he realizado en media hora (he tardado bastante más en escribir este artículo), sin usar ni tan siquiera crawlers y servicios de identificación.
Eso sí, no he llegado a obtener ni el correo ni el teléfono. Tampoco me he parado mucho, pero al menos públicamente no tenía expuestos estos datos, lo cual es bastante poco común.
Faltaría por realizar, si procede, el tracking de metadatos de todas las imágenes que nos interesaran. Así podría, además de saber que ha veraneado por Islas Baleares, dibujar un mapa con sus viajes y vacaciones, y quizás esto compaginarlo con las fechas y los amigos de Facebook para obtener, al igual que con su tía, contactos cercanos pero que no están en contacto directo con él en el día a día.
Mientras más tiempo le dedicara, más información tendría, siendo el Graph Search de Facebook una herramienta potentísima para conocer relaciones (con quién suele hablar) o pensamientos políticos (queda claro que es más de derechas).
Y espero que esto sirva para concienciar de la importancia de tener bien controlado qué se dice de nosotros en Internet. Una buena configuración de privacidad en las redes sociales, unido a la petición de cierre de nuestras cuentas en aquellos lugares donde ya no tenemos acceso (emails asociados de los que ya no disponemos la contraseña), o incluso (aunque en casos muy muy críticos) recurrir al derecho al olvido si así procede, son estrategias que nos pueden quitar problemas el día de mañana.
Espero que si le ha gustado, lo comparta y me lo haga saber en un comentario ¡Muchas gracias!
P.D.: Si se ha quedado con hambre de más, aquí explico qué información se puede obtener de una fotografía subida a la red.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Pablo F. Iglesias
Consultor de Presencia Digital y Reputación Online
32 Comentarios
JaredSpencer dijo el 5 octubre, 2015 a las 15:11:
La gente no Comenta estos estas publicaciones Porque no ven el valor tan grande que tienen, son simplemente increíbles ahora voy a tener más cuidado.
Pablo F. Iglesias dijo el 5 octubre, 2015 a las 15:56:
Hasta cierto punto es normal Jared. Es mucho más inmediato, y conlleva un gasto mucho menor, darle un Me Gusta, un +1 o Twittearlo. El discurso al final, en toda la vorágine informativa del día a día, se diluye en acciones tan sencillas como estas.
En todo caso, demuestra interés por tu parte y bien sabes que lo agradezco. Muchas gracias, ¡y nos seguimos leyendo!
Manuel Conde Vendrell dijo el 6 noviembre, 2015 a las 11:38:
Pues hace un año no conocía tu blog, sino hubiera comentado algo.
Estoy seguro que este blog se lee mucho y se comenta poco, y es algo habitual cuando el nivel de conocimientos del que escribe es elevado, porque la gente siempre tiene miedo a quedar “mal” hablando de algo que no suelen “controlar” (lo cual es comprensible).
Excelente ejemplo el que diste en este artículo.
Pablo F. Iglesias dijo el 6 noviembre, 2015 a las 12:15:
Muchas gracias por la parte que me toca Manuel, aunque discrepo.
El problema de la falta de comentarios es la que venimos observando estos últimos años. Que con la proliferación de las redes sociales, el discurso (si es que hay) se ha trasladado allí. Y peor aún, resulta mucho más cómodo y rápido dar Me Gusta que ponerse a escribir.
Quizás se junte también ese factor que comentas. Entras en Marca (por poner un ejemplo) y la propia idiosincracia del medio parece motivar a comentar estupideces, a trollear. Ahora vas a un blog técnico, y como que echa para atrás dedicarle 5 minutos a pensar lo que dices. No porque el discurso sea muy elevado (a fin de cuentas yo voy plasmando por aquí las cosas que aprendo), sino porque se requiere un mínimo de interés, más a sabiendas que hay una moderación previa que evita precisamente que se publique aquello que no tiene como objetivo otra cosa que no sea sumar al debate.
Y para colmo, esto se acentúa en medios hispanohablantes. Es curioso, pero si la tendencia es esta, entre los del lenguaje de Cervantes es todavía más exacerbada. Llevo ya bastante tiempo recibiendo mucho más feedback por redes sociales que por los comentarios propios del blog. Que me gustaría que fuera al revés, oye, pero lamentablemente no soy el único.
En todo caso, si es lo que la comunidad pide, bienvenido sea :).
P.D.: Por cierto, que en parte este fenómeno también sirve de filtro. Como resulta más sencillo escribir por redes sociales que hacerlo por el sistema de comentarios del blog, quien de verdad tiene interés en aportar lo hace por aquí, y el resto, que busca dar su apoyo o compartir la información, aprovecha los beneficios de las RRSS. Al final es parte del discurso que se pierde (intento estar al loro, pero algunas redes como Facebook lo hacen materialmente imposible), pero también horas de trabajo que los que estamos al otro lado ganamos para dedicarlas a la producción de contenido.
SANGUINE dijo el 11 junio, 2016 a las 1:30:
lo que estas informando solo es aplicable en España, verdad?..
como hago si soy de argentina?.. tengo solo el nombre completo.. y me urge saber mas de la persona..? tu post es muy interesante!!!
Pablo F. Iglesias dijo el 11 junio, 2016 a las 10:53:
No no Sanguine, es apicable donde quieras. Claro está, no siempre vas a obtener mucha información. A veces incluso con la información de la que dispones solo llegas a callejones sin salida. Pero vamos, que esto se puede hacer en España, en Argentina, y en definitiva, en cualquier lugar donde haya acceso real a internet.
Lucy dijo el 18 junio, 2016 a las 2:34:
¡Hola! Disculpa, tengo una inquietud. Han usado el correo de mi hermana para crearse un facebook, y sin saberlo, mi hermana se hizo otra cuenta, igual en facebook. La cuestión es que quiero cerrar la cuenta que no es de ella, pero está bloqueada, y me pide la fecha de nacimiento del perfil, pero la fecha no es visible en la cuenta, no sé cómo podría conseguirla. Otra forma de desbloquearla es identificado fotos etiquetadas de sus amigos, no me refiero a las que tengan de perfil, sino, en las que aparecen, y ya lo intent´muchísimas veces y no logro nada. Si me pudiesen ayudar, por favor, en verdad, me harán sentir muy tranquila. Se los agradeceré infinitamente. Espero pronto su respuesta.
Lucy dijo el 18 junio, 2016 a las 2:37:
No cuenta con ninguna otra red social, parece ser. Pude cambiar la contraseña, pero no puedo accesar por que está bloqueada.
Pablo F. Iglesias dijo el 18 junio, 2016 a las 6:26:
¿Has intentado denunciar a Facebook el robo? En este caso suele tomárselo bastante en serio.
Si tienes acceso al correo, deberías poder eliminar la cuenta, o como mínimo entrar en ella recuperando contraseña.
Saludos, y ánimo!
Jorge dijo el 18 octubre, 2016 a las 18:24:
En Argentina, la Administración Federal de Ingresos Públicos publica algunos datos como el CUIT (clave de identificación tributaria), que incluye el número de Documento Único de la persona. El Banco Central de la República Argentina publica datos acerca de las deudas y tarjetas de crédito, incluyendo montos de deuda. Y también circulan datos del padrón electoral, que incluyen su dirección exacta.
Enyemberth dijo el 26 enero, 2017 a las 14:50:
Es por esto que no me gusta tener mucha información de mí en redes sociales, sé que de alguna manera pueden obtener mucha información “indagando” por ahí. Muy interesante tu información, y útil.
Pablo F. Iglesias dijo el 27 enero, 2017 a las 8:18:
Me alegro que te haya servido Enyemberth. El problema no es tanto el tener perfiles sociales, sino el no saber cómo utilizardos adecuadamente. Cosa que ocurre en la mayoría de usuarios de la red.
mari_krol dijo el 21 febrero, 2017 a las 9:05:
Me he encontrado de casualidad este blog y me ha parecido Interesante el artículo. Yo soy consultora de Seguridad de la Información, y algunas de nuestras campañas de awareness a los empleados se centra en que no den información de dónde trabajan en sus perfiles sociales, porque es como poner un cartel de neón a un posible hacker, para q vea un eslabón débil por donde atacar a la empresa.
Estaría interesante también saber cómo eliminar tu información de la red, como caso personal ,eliminé una cuenta de twitter y en google seguía saliendo mi foto de perfil vinculada a esa cuenta tiempo después. Tuve q acabar contactando con google mediante sus herramientas para q al final la eliminaran.
Pablo F. Iglesias dijo el 21 febrero, 2017 a las 9:09:
Así es Mari_krol. De hecho, estoy preparando algo semejante que espero poder dar a conocer a la Comunidad en las próximas semanas. No te puedo contar mucho porque aún no es de dominio público, pero va muy alineado con lo que comentas. Te me has adelantado :).
Muchas gracias por el apoyo, y me alegro que te haya gustado el contenido que publico por estos lares.
Alex dijo el 9 marzo, 2017 a las 2:18:
Increíble, simplemente increíble, estoy impresionado y me quito el sombrero al ver increíble información recabada
Pablo F. Iglesias dijo el 9 marzo, 2017 a las 7:20:
Es un aviso de lo que se puede hacer entendiendo un poco cómo funcionan estos sistemas. Muchas gracias Alex.
Carmen dijo el 17 abril, 2017 a las 18:07:
Muy cierto lo que mencionas en tu artículo, y nada ha cambiado respecto a la privacidad, veo que ya han pasado un par de añitos y continúa ese problema, he creado una nueva cuenta de Instagram y tengo una gran duda, en el apartado que dice “Información Privada” donde colocas correo, teléfono y sexo, eh colocado solo el correo pero la gran duda es: quien puede ver ese correo o si hay alguna manera de hacerlo, entre tanta información ya no me quedo muy claro si alguien puede ver mi correo o teléfono aunque diga que es inf privada, cómo puedo saberlo? Para poder tomar mis precauciones y mejor borrar el correo de ese apartadado si es que los usuarios lo pueden ver
Alguien me podría ayudar con esa duda por favor?
Pablo F. Iglesias dijo el 17 abril, 2017 a las 18:21:
Buena pregunta Carmen. En ese apartado únicamente deberías poder acceder tú y el propio servicio (Instagram).
Se utiliza principalmente para que sea el lugar por el que te llegan los MPs, pero otro usuario no tiene opción a verlo directamente.
En todo caso, y aunque no tengo del todo claro que puedas eliminar el email (o bien el teléfono, o bien el email, es necesario para tener cuenta), puedes intentarlo y así no debería haber futuros dramas.
Carmen dijo el 17 abril, 2017 a las 19:08:
Pablo muchas gracias por tu respuesta, me ha servido mucho una respuesta concreta ante esta duda, al parecer si es necesario para tener activa la cuenta, o en caso de olvidar algún dato para iniciar sesión, tener una opción de contacto , si es así no creo que haya inconveniente pues me ayudaría tambien a saber si alguien más a tratado de acceder , veo que en algunos perfiles el correo o numero telefónico si está visible, incluso si la cuenta está como privada, como sucede eso?
Pablo F. Iglesias dijo el 17 abril, 2017 a las 19:57:
Se debe a la configuración de privacidad. Mira en configuración que en efecto esos datos estén privados (solo visibles para ti).
Por supuesto tienes la opción de mostrarlo, por ejemplo para personas que les interesa por trabajo que les puedan contactar.
Patricia dijo el 30 abril, 2017 a las 22:20:
Pablo, me encantó la info!!! Voy a tratar de poner en práctica alguno de tus consejos. Tengo que entrar mas seguido. Yo por lo general uso los servicios de Dateas, pero ahora voy a tratar de hacerlo sola. Cualquier cosa te pido ayuda. Gracias Totales, Genio!. Pato H.
Pablo F. Iglesias dijo el 1 mayo, 2017 a las 10:56:
Para eso estamos Patri. Eres bienvenida siempre que quieras :). Y me alegro que te haya servido.
Carmen dijo el 15 mayo, 2017 a las 9:43:
Porque no puedo responder a sus comentarios?
Pablo F. Iglesias dijo el 15 mayo, 2017 a las 9:46:
Habías creado justo antes de este un comentario de respuesta al comentario de Patricia, pero vacío. Cuando le des a Responder, en ese cuadro de texto puedes responderle.
Sanguine dijo el 16 mayo, 2017 a las 15:56:
Pablo, tu información me vino muy bien, por supuesto que lo probé conmigo pero ahora mi duda es , cuánta información puedo recabar sobre una persona con el nombre y de paso el dni? obvio te hablo desde Argentina, al parecer en España la información es mas fácil de conseguir, no quiero darle plata a dateas, no dan tanta información como uno en realidad desea… gracias!! muy buen post!!
Pablo F. Iglesias dijo el 16 mayo, 2017 a las 16:50:
Pues depende, Sanguine, de la información pública que haya de esa persona en la red. De que por ejemplo esté fichado por alguna multa, o que aparezca en algún listado como era este caso, de las redes sociales que utilice…
Cada caso es un mundo. Hay que partir de la máxima información posible e ir probando suerte. A veces no se encuentra nada, otras tienes toda su vida, pero no hay un estándar.
Herramientas como Dateas te ahorran quizás parte del trabajo, pero como bien dices, suelen ser muy poco útiles. Al final lo que vale es ponerte tú y a mano ir revisando los enlaces uno a uno.
Jaqueline dijo el 12 diciembre, 2017 a las 4:40:
Hola PabloYglesias yo estoy buscando a alguien por internet y me encantaría poder contar con tus servicios muchas gracias espero te contactes conmigo
Pablo F. Iglesias dijo el 12 diciembre, 2017 a las 8:01:
Jaqueline, escríbeme vía el formulario de contacto contándome tu caso y vemos si puedo serte de ayuda. Saludos!
Rxvt dijo el 8 mayo, 2018 a las 16:16:
Hola Pablo, buenas tardes. Llegué aquí a través de Google buscando aclarar algunas dudas. Tengo varias redes sociales como Twitter, Facebook y Google+, con foto y algunas publicaciones, vamos, lo que hoy en día es bastante habitual. Siempre he tenido cuidado de no subir según qué fotos y más aún según qué comentarios. Sé que está de moda la arqueología en Twitter, pero eso no me preocupa porque si un defecto tengo es que soy políticamente correcto en exceso. Pero bueno.
Me gustaría saber hasta qué punto pueden hacerme daño con mi información. La suplantación, la vejación y las amenazas son ilegales y con denuncia se arregla. ¿Pero es legal que alguien vaya guardando información de terceros en su ordenador? Sin publicarla, me refiero. ¿Toda la información que se obtiene de forma pública puede ser almacenada? Entiendo que sí, ya que mi perfil se almacenará ya de entrada en la memoria cache de los navegadores de los que visiten mi perfil. ¿Me equivoco?
Si fuese diferente, es decir, que depende de cada red social, también sería bueno saberlo. Pongamos que la de Twitter puede ser almacenada pero la de Facebook no. Entonces igual me borro el Facebook, por poner un ejemplo.
No sé, es un tema que lleva años haciéndome reflexionar.
Saludos y enhorabuena por el blog.
Pablo F. Iglesias dijo el 9 mayo, 2018 a las 7:59:
Muchas gracias Rxvt.
Realmente la información que obtengas de fuentes abiertas no es ilegal recopilarla. Pero ojo, hablamos de fuentes abiertas, de aquellas fuentes que puedes llegar a acceder sin tener algún tipo de permiso, “desde fuera”. Siendo estrictos Facebook (si publicas solo para amigos, por ejemplo) o una cuenta de Twitter visible solo para seguidores, no sería fuente abierta.
Y ahí está la duda. Dónde ponemos el límite. Porque… ¿una conversación de WhatsApp podemos considerarla privada? Quizás sí, pero… ¿un grupo de WhatsApp?
Ya sabes por dónde voy. De hecho, ya hubo casos recientes que son complejos de analizar.
De ahí que lo mejor es intentar, en la medida de lo posible, no subir nada de lo que podamos arrepentirnos.
Manuel dijo el 12 mayo, 2018 a las 1:21:
Hola pablo muy buen aporte, pero ayudanos para saber mas de las redes sociales, como rastrear quienes son los que nos escriben por el chat de facebook y saber en que fecha fue creado ese facebook, gracias de antemano Pablo
Pablo F. Iglesias dijo el 12 mayo, 2018 a las 8:04:
La idea es analizar la información disponible en el propio perfil. Con un poco de suerte de forma pública (es decir, con un usuario sin relación alguna directa con esa persona) podremos obtener parte de esa información que mencionas (en el apartado de más información, o si esa persona publica todo como privado, lo mismo bajando en el propio timeline).
Si no ya habría que recurrir a encontrar la manera de hacerse amigo de esa persona, que así podemos ver más información.
Pero vaya, que la idea es ver a qué información tenemos acceso, y con ella analizar qué otra información podemos obtener (familiares, amigos cercanos, relaciones con otros usuarios de la red, fechas señaladas donde en las que haya publicado una actualización…).