Viendo el éxito que tuvo la guía sobre los datos que podemos obtener de un selfie, me pareció interesante hablar en este capítulo de la serie #MundoHacker sobre toda la información que podemos obtener de una persona con solo conocer alguno de sus datos, sin hackeos de ningún tipo, únicamente haciendo uso de fuentes abiertas y públicas.
Y como la mejor manera de enseñar algo es con un caso práctico, me he sacado de la manga un nombre al azar de un ciudadano español, que por motivos de seguridad (vamos a dar a conocer casi toda su vida), llamaremos David Rodríguez Álamo.
También me gustaría recalcar que he cogido el primer nombre completo que me salió, y que en este caso, como veremos, en la media hora que he dedicado a recabar información sobre David, no he conseguido toda la esperada por la simple razón de que David ha sido cuidadoso con su presencia digital. Como ya sabemos, no representa el usuario promedio de Internet, y pese a eso, obtenemos mucha información que podría utilizarse para una suplantación de identidad, extorsión a familiares y amigos o ingeniería social de la más diversa índole. Empecemos.
Índice de contenido
Buscadores
Lo primero que hice fue buscar a David en Google, con su nombre completo, entre comillas y sin ellas. Con el nombre entre comillas obtuve 741 resultados (útiles serán muchísimos menos), mientras que con el nombre sin comillas, 281.000. Por supuesto, la gran mayoría son falsos positivos, pero no está demás comparar, aunque sean las primeras posiciones, por si en algún sitio han separado su nombre del apellido con comas, o lo han colocado al revés (algo habitual en los ficheros oficiales).
Tampoco está demás realizar la búsqueda en Bing o Yahoo, puesto que cada buscador es un mundo, y puede que uno indexe algo que el resto no ha indexado y resulte muy interesante. En este caso, esta vía no aportó información extra.
De aquí, obtuve varios datos interesantes:
- Su cuenta de Facebook: que debido al valor informativo que tiene la trataré con más calma más adelante.
- Cuenta en VK: No es muy común que un usuario español la tenga, a no ser que o bien la use para ligar, o bien la usara para consumir contenido pirateado. Veremos más adelante cual de los dos casos fue :).
- Que estaba estudiando una carrera en la Complutense: Varios PDFs con enlaces públicos a su petición de formar parte de la delegación de estudiantes para el curso 2014-2015, e incluso su nombre asociado al DNI en un documento compartido (por lo que parece ser un amigo de la universidad) con la certificación de un curso realizado en Julio del 2014 sobre Retos de la seguridad (sociopolítica).
Con el nombre y el DNI, repetimos el proceso, obteniendo además acceso a varios documentos de la Universidad Complutense con el rechazo de la beca en varias peticiones anuales. Aquí podríamos haber obtenido registros públicos de multas, alquileres de fincas o listas de morosos que pueden ser de verdadero interés para una investigación.
Redes Sociales
Empieza lo gordo. Tenemos acceso a Facebook, una red social que hasta principios del 2014 por defecto publicaba todos los estados en Público. Me bastó entrar en su perfil para encontrarme una mina de oro:
- David estudia hoy en día un master en la Complutense, después de haberse graduado el año pasado.
- Tiene una relación con María Fernández Rodríguez (nombre inventado, ya sabe…), que paradójicamente ha sido más cuidadosa con sus publicaciones en Facebook (muy bien por María).
- Vive en un conocido pueblo de Madrid. Y allí solo hay unos 1500 usuarios registrados de Facebook.
- Y tiene 193 amigos en esta red social, muchos del colegio donde estudió, y entre los que figura el que había subido el archivo que nos dio acceso al DNI.
- Sus datos aparecen indexados en skillpages, una página de perfiles profesionales, pero han sido borrados (sigue apareciendo, pero vacío).
- Pasaría lo mismo con uno de los portales clásicos de ligoteo (resuelta la duda 🙂). Aparece su foto y nombre (nombre completo, ¡WTF!), pero el perfil ha sido borrado.
Me faltaba saber su fecha de nacimiento, pero afortunadamente el perfil de VK me la dio: 30 añazos recién cumplidos. En la flor de la vida :P.
Por cierto que el mostrar más información de VK me permitió conocer su twitter (el que en la URL apareciera algo del tipo http://@nickinventado me dio la pista).
Y gracias a su perfil de Twitter, además de obtener otra imagen de David, supe que era un apasionado de la Triple X (lucha libre), del Atletic, y que tenía un blog en WordPress.com en el que nunca había escrito, pero con un Acerca de asociado a su nick con una nueva foto.
Resumiendo. Simplemente basándome en la información textual disponible en redes sociales, ya conocía su Twitter (que resultó ser el nick que David utiliza en la mayoría de sitios), sus gustos y aficiones, su relación sentimental y varias fotos de perfil que me sirven para nuevamente realizar búsquedas en Google Images. Todo esto unido a toda la información que ya teníamos de los enlaces anteriores.
En Google Images, basta con ir probando una a una cada URL de las imágenes disponibles por ver si podemos obtener algo y esta se ha estado utilizando en otros medios (y es muy útil para saber si alguien está haciéndose pasar por nosotros en algún sitio).
La mayoría de las imágenes probadas no me devolvieron información extra alguna, a excepción de la de Twitter, que me permitió geoposicionar algunos de sus tweets (no muy trascendente en este caso, debido a que David viaja poco) y sacar su cuenta de Instagram.
Fotos
No es la primera vez que digo que gestionar la privacidad en Facebook es algo importantísimo. Con la evolución del Graph Search, la búsqueda contextual de esta red social podemos obtener muchísima información de un perfil, aunque no seamos amigo del usuario.
Así es como una búsqueda de Fotos donde esté etiquetado David, me devuelve decenas de álbumes compartidos por algunos de sus familiares en la graduación, e incluso de su perro.
David tiene una hermana (a la cual le encanta sacarse selfies en el baño) y un hermano (con pareja y ciclista de profesión), los dos más pequeños, y sus padres no tienen Facebook (aunque resulta muy sencillo saber sus nombres mirando los comentarios).
También aparecen familiares cercanos (la tía, que le salta con eso de que ahora estás más gordito, 😛) que podrían ser carne de cañón para una extorsión económica (pedirle algo de dinero desde un perfil suplantado alegando algún problema familiar y máxima discreción).
Corolario
Pese al trabajo de David por borrar parte de su información en la red, como vemos siguen apareciendo huellas (ese perfil en una red social de ligoteo muy conocida, su currículum en un portal de empleo seguramente de sus tiempos jóvenes,…), he podido obtener casi toda la información necesaria para realizar maldades con una identidad digital. Y todo lo he realizado en media hora (he tardado bastante más en escribir este artículo), sin usar ni tan siquiera crawlers y servicios de identificación.
Eso sí, no he llegado a obtener ni el correo ni el teléfono. Tampoco me he parado mucho, pero al menos públicamente no tenía expuestos estos datos, lo cual es bastante poco común.
Faltaría por realizar, si procede, el tracking de metadatos de todas las imágenes que nos interesaran. Así podría, además de saber que ha veraneado por Islas Baleares, dibujar un mapa con sus viajes y vacaciones, y quizás esto compaginarlo con las fechas y los amigos de Facebook para obtener, al igual que con su tía, contactos cercanos pero que no están en contacto directo con él en el día a día.
Mientras más tiempo le dedicara, más información tendría, siendo el Graph Search de Facebook una herramienta potentísima para conocer relaciones (con quién suele hablar) o pensamientos políticos (queda claro que es más de derechas).
¿Te preocupa tu Seguridad y Privacidad Online?
He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.
Y espero que esto sirva para concienciar de la importancia de tener bien controlado qué se dice de nosotros en Internet. Una buena configuración de privacidad en las redes sociales, unido a la petición de cierre de nuestras cuentas en aquellos lugares donde ya no tenemos acceso (emails asociados de los que ya no disponemos la contraseña), o incluso (aunque en casos muy muy críticos) recurrir al derecho al olvido si así procede, son estrategias que nos pueden quitar problemas el día de mañana.
¿Qué puedo hacer si ya he expuesto algún contenido dañino para mi imagen?
Sobre esto ya escribí un artículo en profundidad: Cómo podemos conseguir que Google desindexe contenido dañino para nuestra imagen.
Ya te digo que no es un camino sencillo, pero entre esas acciones estarían:
- Pedir a la página que aloja ese contenido que lo elimine o modifique: Es el primer paso, pero lamentablemente dependiendo de dónde esté alojada no siempre recibimos contestación.
- Llevar a cabo acciones legales sobre los administradores de esa página y/o proveedor de servicios: Si tenemos las de ganar judicialmente hablando, se empezaría a falta de respuesta por el administrador las acciones legales pertinentes. Pero ya te digo que este es el camino lento, a varios meses (o incluso años) vista.
- Pedir a Google vía formulario que elimine ese contenido de su buscador: El tema del cual hablamos en esta pieza, y esgrimiendo los derechos legales que nos amparan a realizar esta petición. Que de nuevo, pueden respondernos en unos días o pasar semanas sin saber nada.
- Implementar una estrategia de SEO/generación de contenido agresiva: Es, a fin de cuentas, la única acción que podemos hacer en poco tiempo y cuyos resultados no dependen exclusivamente de la decisión de terceros.
Por esto mismo decía que sí se puede eliminar contenido en la red, pero con matices. Porque en la mayoría de casos a los que me he enfrentado, realmente más que desindexar ese contenido, lo que hemos conseguido es que siga indexado pero haya sido superado con creces en las SERPs por otro contenido que es afín a nuestro interés.
Si estás en esta situación y quieres que te ayude, puedes escribirme para que veamos qué podemos hacer con tu caso.
Espero que si le ha gustado, lo comparta y me lo haga saber en un comentario ¡Muchas gracias!
P.D.: Y si se ha quedado con hambre de más, aquí explico qué información se puede obtener de una fotografía subida a la red.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
La gente no Comenta estos estas publicaciones Porque no ven el valor tan grande que tienen, son simplemente increíbles ahora voy a tener más cuidado.
Hasta cierto punto es normal Jared. Es mucho más inmediato, y conlleva un gasto mucho menor, darle un Me Gusta, un +1 o Twittearlo. El discurso al final, en toda la vorágine informativa del día a día, se diluye en acciones tan sencillas como estas.
En todo caso, demuestra interés por tu parte y bien sabes que lo agradezco. Muchas gracias, ¡y nos seguimos leyendo!
Pues hace un año no conocía tu blog, sino hubiera comentado algo.
Estoy seguro que este blog se lee mucho y se comenta poco, y es algo habitual cuando el nivel de conocimientos del que escribe es elevado, porque la gente siempre tiene miedo a quedar «mal» hablando de algo que no suelen «controlar» (lo cual es comprensible).
Excelente ejemplo el que diste en este artículo.
Muchas gracias por la parte que me toca Manuel, aunque discrepo.
El problema de la falta de comentarios es la que venimos observando estos últimos años. Que con la proliferación de las redes sociales, el discurso (si es que hay) se ha trasladado allí. Y peor aún, resulta mucho más cómodo y rápido dar Me Gusta que ponerse a escribir.
Quizás se junte también ese factor que comentas. Entras en Marca (por poner un ejemplo) y la propia idiosincracia del medio parece motivar a comentar estupideces, a trollear. Ahora vas a un blog técnico, y como que echa para atrás dedicarle 5 minutos a pensar lo que dices. No porque el discurso sea muy elevado (a fin de cuentas yo voy plasmando por aquí las cosas que aprendo), sino porque se requiere un mínimo de interés, más a sabiendas que hay una moderación previa que evita precisamente que se publique aquello que no tiene como objetivo otra cosa que no sea sumar al debate.
Y para colmo, esto se acentúa en medios hispanohablantes. Es curioso, pero si la tendencia es esta, entre los del lenguaje de Cervantes es todavía más exacerbada. Llevo ya bastante tiempo recibiendo mucho más feedback por redes sociales que por los comentarios propios del blog. Que me gustaría que fuera al revés, oye, pero lamentablemente no soy el único.
En todo caso, si es lo que la comunidad pide, bienvenido sea :).
P.D.: Por cierto, que en parte este fenómeno también sirve de filtro. Como resulta más sencillo escribir por redes sociales que hacerlo por el sistema de comentarios del blog, quien de verdad tiene interés en aportar lo hace por aquí, y el resto, que busca dar su apoyo o compartir la información, aprovecha los beneficios de las RRSS. Al final es parte del discurso que se pierde (intento estar al loro, pero algunas redes como Facebook lo hacen materialmente imposible), pero también horas de trabajo que los que estamos al otro lado ganamos para dedicarlas a la producción de contenido.
lo que estas informando solo es aplicable en España, verdad?..
como hago si soy de argentina?.. tengo solo el nombre completo.. y me urge saber mas de la persona..? tu post es muy interesante!!!
No no Sanguine, es apicable donde quieras. Claro está, no siempre vas a obtener mucha información. A veces incluso con la información de la que dispones solo llegas a callejones sin salida. Pero vamos, que esto se puede hacer en España, en Argentina, y en definitiva, en cualquier lugar donde haya acceso real a internet.
¡Hola! Disculpa, tengo una inquietud. Han usado el correo de mi hermana para crearse un facebook, y sin saberlo, mi hermana se hizo otra cuenta, igual en facebook. La cuestión es que quiero cerrar la cuenta que no es de ella, pero está bloqueada, y me pide la fecha de nacimiento del perfil, pero la fecha no es visible en la cuenta, no sé cómo podría conseguirla. Otra forma de desbloquearla es identificado fotos etiquetadas de sus amigos, no me refiero a las que tengan de perfil, sino, en las que aparecen, y ya lo intent´muchísimas veces y no logro nada. Si me pudiesen ayudar, por favor, en verdad, me harán sentir muy tranquila. Se los agradeceré infinitamente. Espero pronto su respuesta.
No cuenta con ninguna otra red social, parece ser. Pude cambiar la contraseña, pero no puedo accesar por que está bloqueada.
¿Has intentado denunciar a Facebook el robo? En este caso suele tomárselo bastante en serio.
Si tienes acceso al correo, deberías poder eliminar la cuenta, o como mínimo entrar en ella recuperando contraseña.
Saludos, y ánimo!
En Argentina, la Administración Federal de Ingresos Públicos publica algunos datos como el CUIT (clave de identificación tributaria), que incluye el número de Documento Único de la persona. El Banco Central de la República Argentina publica datos acerca de las deudas y tarjetas de crédito, incluyendo montos de deuda. Y también circulan datos del padrón electoral, que incluyen su dirección exacta.
Es por esto que no me gusta tener mucha información de mí en redes sociales, sé que de alguna manera pueden obtener mucha información «indagando» por ahí. Muy interesante tu información, y útil.
Me alegro que te haya servido Enyemberth. El problema no es tanto el tener perfiles sociales, sino el no saber cómo utilizardos adecuadamente. Cosa que ocurre en la mayoría de usuarios de la red.
Me he encontrado de casualidad este blog y me ha parecido Interesante el artículo. Yo soy consultora de Seguridad de la Información, y algunas de nuestras campañas de awareness a los empleados se centra en que no den información de dónde trabajan en sus perfiles sociales, porque es como poner un cartel de neón a un posible hacker, para q vea un eslabón débil por donde atacar a la empresa.
Estaría interesante también saber cómo eliminar tu información de la red, como caso personal ,eliminé una cuenta de twitter y en google seguía saliendo mi foto de perfil vinculada a esa cuenta tiempo después. Tuve q acabar contactando con google mediante sus herramientas para q al final la eliminaran.
Así es Mari_krol. De hecho, estoy preparando algo semejante que espero poder dar a conocer a la Comunidad en las próximas semanas. No te puedo contar mucho porque aún no es de dominio público, pero va muy alineado con lo que comentas. Te me has adelantado :).
Muchas gracias por el apoyo, y me alegro que te haya gustado el contenido que publico por estos lares.
Increíble, simplemente increíble, estoy impresionado y me quito el sombrero al ver increíble información recabada
Es un aviso de lo que se puede hacer entendiendo un poco cómo funcionan estos sistemas. Muchas gracias Alex.
Muy cierto lo que mencionas en tu artículo, y nada ha cambiado respecto a la privacidad, veo que ya han pasado un par de añitos y continúa ese problema, he creado una nueva cuenta de Instagram y tengo una gran duda, en el apartado que dice «Información Privada» donde colocas correo, teléfono y sexo, eh colocado solo el correo pero la gran duda es: quien puede ver ese correo o si hay alguna manera de hacerlo, entre tanta información ya no me quedo muy claro si alguien puede ver mi correo o teléfono aunque diga que es inf privada, cómo puedo saberlo? Para poder tomar mis precauciones y mejor borrar el correo de ese apartadado si es que los usuarios lo pueden ver
Alguien me podría ayudar con esa duda por favor?
Buena pregunta Carmen. En ese apartado únicamente deberías poder acceder tú y el propio servicio (Instagram).
Se utiliza principalmente para que sea el lugar por el que te llegan los MPs, pero otro usuario no tiene opción a verlo directamente.
En todo caso, y aunque no tengo del todo claro que puedas eliminar el email (o bien el teléfono, o bien el email, es necesario para tener cuenta), puedes intentarlo y así no debería haber futuros dramas.
Pablo muchas gracias por tu respuesta, me ha servido mucho una respuesta concreta ante esta duda, al parecer si es necesario para tener activa la cuenta, o en caso de olvidar algún dato para iniciar sesión, tener una opción de contacto , si es así no creo que haya inconveniente pues me ayudaría tambien a saber si alguien más a tratado de acceder , veo que en algunos perfiles el correo o numero telefónico si está visible, incluso si la cuenta está como privada, como sucede eso?
Se debe a la configuración de privacidad. Mira en configuración que en efecto esos datos estén privados (solo visibles para ti).
Por supuesto tienes la opción de mostrarlo, por ejemplo para personas que les interesa por trabajo que les puedan contactar.
Pablo, me encantó la info!!! Voy a tratar de poner en práctica alguno de tus consejos. Tengo que entrar mas seguido. Yo por lo general uso los servicios de Dateas, pero ahora voy a tratar de hacerlo sola. Cualquier cosa te pido ayuda. Gracias Totales, Genio!. Pato H.
Para eso estamos Patri. Eres bienvenida siempre que quieras :). Y me alegro que te haya servido.
Porque no puedo responder a sus comentarios?
Habías creado justo antes de este un comentario de respuesta al comentario de Patricia, pero vacío. Cuando le des a Responder, en ese cuadro de texto puedes responderle.
Pablo, tu información me vino muy bien, por supuesto que lo probé conmigo pero ahora mi duda es , cuánta información puedo recabar sobre una persona con el nombre y de paso el dni? obvio te hablo desde Argentina, al parecer en España la información es mas fácil de conseguir, no quiero darle plata a dateas, no dan tanta información como uno en realidad desea… gracias!! muy buen post!!
Pues depende, Sanguine, de la información pública que haya de esa persona en la red. De que por ejemplo esté fichado por alguna multa, o que aparezca en algún listado como era este caso, de las redes sociales que utilice…
Cada caso es un mundo. Hay que partir de la máxima información posible e ir probando suerte. A veces no se encuentra nada, otras tienes toda su vida, pero no hay un estándar.
Herramientas como Dateas te ahorran quizás parte del trabajo, pero como bien dices, suelen ser muy poco útiles. Al final lo que vale es ponerte tú y a mano ir revisando los enlaces uno a uno.
Hola PabloYglesias yo estoy buscando a alguien por internet y me encantaría poder contar con tus servicios muchas gracias espero te contactes conmigo
Jaqueline, escríbeme vía el formulario de contacto contándome tu caso y vemos si puedo serte de ayuda. Saludos!
Hola Pablo, buenas tardes. Llegué aquí a través de Google buscando aclarar algunas dudas. Tengo varias redes sociales como Twitter, Facebook y Google+, con foto y algunas publicaciones, vamos, lo que hoy en día es bastante habitual. Siempre he tenido cuidado de no subir según qué fotos y más aún según qué comentarios. Sé que está de moda la arqueología en Twitter, pero eso no me preocupa porque si un defecto tengo es que soy políticamente correcto en exceso. Pero bueno.
Me gustaría saber hasta qué punto pueden hacerme daño con mi información. La suplantación, la vejación y las amenazas son ilegales y con denuncia se arregla. ¿Pero es legal que alguien vaya guardando información de terceros en su ordenador? Sin publicarla, me refiero. ¿Toda la información que se obtiene de forma pública puede ser almacenada? Entiendo que sí, ya que mi perfil se almacenará ya de entrada en la memoria cache de los navegadores de los que visiten mi perfil. ¿Me equivoco?
Si fuese diferente, es decir, que depende de cada red social, también sería bueno saberlo. Pongamos que la de Twitter puede ser almacenada pero la de Facebook no. Entonces igual me borro el Facebook, por poner un ejemplo.
No sé, es un tema que lleva años haciéndome reflexionar.
Saludos y enhorabuena por el blog.
Muchas gracias Rxvt.
Realmente la información que obtengas de fuentes abiertas no es ilegal recopilarla. Pero ojo, hablamos de fuentes abiertas, de aquellas fuentes que puedes llegar a acceder sin tener algún tipo de permiso, «desde fuera». Siendo estrictos Facebook (si publicas solo para amigos, por ejemplo) o una cuenta de Twitter visible solo para seguidores, no sería fuente abierta.
Y ahí está la duda. Dónde ponemos el límite. Porque… ¿una conversación de WhatsApp podemos considerarla privada? Quizás sí, pero… ¿un grupo de WhatsApp?
Ya sabes por dónde voy. De hecho, ya hubo casos recientes que son complejos de analizar.
De ahí que lo mejor es intentar, en la medida de lo posible, no subir nada de lo que podamos arrepentirnos.
Hola pablo muy buen aporte, pero ayudanos para saber mas de las redes sociales, como rastrear quienes son los que nos escriben por el chat de facebook y saber en que fecha fue creado ese facebook, gracias de antemano Pablo
La idea es analizar la información disponible en el propio perfil. Con un poco de suerte de forma pública (es decir, con un usuario sin relación alguna directa con esa persona) podremos obtener parte de esa información que mencionas (en el apartado de más información, o si esa persona publica todo como privado, lo mismo bajando en el propio timeline).
Si no ya habría que recurrir a encontrar la manera de hacerse amigo de esa persona, que así podemos ver más información.
Pero vaya, que la idea es ver a qué información tenemos acceso, y con ella analizar qué otra información podemos obtener (familiares, amigos cercanos, relaciones con otros usuarios de la red, fechas señaladas donde en las que haya publicado una actualización…).
Tengo un problema . Vendi un coche hace 25 años y no le hice los papeles de la transferencia . El coche desapareciò , su dueño falleciò , pero està anotado en el registro de la propiedad automotor a mi nombre . El asunto es que me siguen llegando patentes impagas de ese automotor y intimaciones municipales por falta de pago de èstas .
Lo que quiero consultar es còmo poder sacar los datos del antiguo dueño para poder realizar la denuncia de venta del rodado y asì poder anular toda ligazòn con el vehìculo .
Buenas Fabian.
Supongo que habrás consultado ya a la Policía, verdad? Entiendo que el primer punto sería hablarlo con ellos. A fin de cuentas ese coche ya no te pertenece y ha ido cambiando de dueño…
Hola pablo me ha parecido un articulo realmente util y te felicito por ello. Queria hacerte una pregunta y es si la policia puede tener acceso a tu informacion privada como conversaciones de tus redes sociales de alguna manera para una investigacion.
Muchas gracias, gran articulo
Depende del país, y también, de la colaboración de esas compañías. Pero básicamente, y mediante una orden judicial, deberían poder.
Otra cosa es que en algunas partes no haga falta una orden judicial (todo el jaleo de la NSA americana venía de esto), y también que una cosa es poder acceder a esa información desde tu dispositivo (más sencillo) y otra tener que ponerse de acuerdo con la compañía que suministra el servicio para acceder a dicha información (bastante más complicado, y en algunos casos hasta imposible).
Buen día
Y PabloYglesias
Mi pregunta cómo puedo conseguir el nombre completo de un vecino para poder denunciarlo ya se metió a robar en mi casa
Hombre, quizás incluso mirando su buzón. Al menos por aquí por España todavía está la costumbre de poner el nombre completo en el buzón (cosa que no entiendo, por otra parte) :).
¡Saludos Antonio!