#MundoHacker: ¿Qué datos se pueden obtener de una persona en Internet?

Viendo el éxito que tuvo la guía sobre los datos que podemos obtener de un selfie, me pareció interesante hablar en este capítulo de la serie #MundoHacker (por cierto, ya van más de 15 tutoriales sobre hacking, que se dice pronto…) sobre toda la información que podemos obtener de una persona con solo conocer alguno de sus datos, sin hackeos de ningún tipo, únicamente haciendo uso de fuentes abiertas y públicas.

espiar a una persona en internet

Y como la mejor manera de enseñar algo es con un caso práctico, me he sacado de la manga un nombre al azar de un ciudadano español, que por motivos de seguridad (vamos a dar a conocer casi toda su vida), llamaremos David Rodríguez Álamo.

También me gustaría recalcar que he cogido el primer nombre completo que me salió, y que en este caso, como veremos, en la media hora que he dedicado a recabar información sobre David, no he conseguido toda la esperada por la simple razón de que David ha sido cuidadoso con su presencia digital. Como ya sabemos, no representa el usuario promedio de Internet, y pese a eso, obtenemos mucha información que podría utilizarse para una suplantación de identidad, extorsión a familiares y amigos o ingeniería social de la más diversa índole. Empecemos.

Buscadores

Lo primero que hice fue buscar a David en Google, con su nombre completo, entre comillas y sin ellas. Con el nombre entre comillas obtuve 741 resultados (útiles serán muchísimos menos), mientras que con el nombre sin comillas, 281.000. Por supuesto, la gran mayoría son falsos positivos, pero no está demás comparar, aunque sean las primeras posiciones, por si en algún sitio han separado su nombre del apellido con comas, o lo han colocado al revés (algo habitual en los ficheros oficiales).

hacking con buscadores

Tampoco está demás realizar la búsqueda en Bing o Yahoo, puesto que cada buscador es un mundo, y puede que uno indexe algo que el resto no ha indexado y resulte muy interesante. En este caso, esta vía no aportó información extra.

De aquí, obtuve varios datos interesantes:

  • Su cuenta de Facebook: que debido al valor informativo que tiene la trataré con más calma más adelante.
  • Cuenta en VK: No es muy común que un usuario español la tenga, a no ser que o bien la use para ligar, o bien la usara para consumir contenido pirateado. Veremos más adelante cual de los dos casos fue :).
  • Que estaba estudiando una carrera en la Complutense: Varios PDFs con enlaces públicos a su petición de formar parte de la delegación de estudiantes para el curso 2014-2015, e incluso su nombre asociado al DNI en un documento compartido (por lo que parece ser un amigo de la universidad) con la certificación de un curso realizado en Julio del 2014 sobre Retos de la seguridad (sociopolítica).

DNICert
Con el nombre y el DNI, repetimos el proceso, obteniendo además acceso a varios documentos de la Universidad Complutense con el rechazo de la beca en varias peticiones anuales. Aquí podríamos haber obtenido registros públicos de multas, alquileres de fincas o listas de morosos que pueden ser de verdadero interés para una investigación.

Redes Sociales

Empieza lo gordo. Tenemos acceso a Facebook, una red social que hasta principios del 2014 por defecto publicaba todos los estados en Público. Me bastó entrar en su perfil para encontrarme una mina de oro:

  • David estudia a día de hoy un master en la Complutense, después de haberse graduado el año pasado.
  • Tiene una relación con María Fernández Rodríguez (nombre inventado, ya sabe…), que paradójicamente ha sido más cuidadosa con sus publicaciones en Facebook (muy bien por María).
  • Vive en un conocido pueblo de Madrid. Y allí solo hay unos 1500 usuarios registrados de Facebook.
  • Y tiene 193 amigos en esta red social, muchos del colegio donde estudió, y entre los que figura el que había subido el archivo que nos dio acceso al DNI.
  • Sus datos aparecen indexados en skillpages, una página de perfiles profesionales, pero han sido borrados (sigue apareciendo, pero vacío).
  • Pasaría lo mismo con uno de los portales clásicos de ligoteo (resuelta la duda 🙂). Aparece su foto y nombre (nombre completo, ¡WTF!), pero el perfil ha sido borrado.

Me faltaba saber su fecha de nacimiento, pero afortunadamente el perfil de VK me la dio: 30 añazos recién cumplidos. En la flor de la vida :P.

vk-info-inv

Por cierto que el mostrar más información de VK me permitió conocer su twitter (el que en la URL apareciera algo del tipo http://@nickinventado me dio la pista).

twitter-info-inv

Y gracias a su perfil de Twitter, además de obtener otra imagen de David, supe que era un apasionado de la Triple X (lucha libre), del Atletic, y que tenía un blog en WordPress.com en el que nunca había escrito, pero con un Acerca de asociado a su nick con una nueva foto.

wordpress-info-invResumiendo. Simplemente basándome en la información textual disponible en redes sociales, ya conocía su Twitter (que resultó ser el nick que David utiliza en la mayoría de sitios), sus gustos y aficiones, su relación sentimental y varias fotos de perfil que me sirven para nuevamente realizar búsquedas en Google Images. Todo esto unido a toda la información que ya teníamos de los enlaces anteriores.

En Google Images, basta con ir probando una a una cada URL de las imágenes disponibles por ver si esta se ha estado utilizando en otros medios (y es muy útil para saber si alguien está haciéndose pasar por nosotros en algún sitio).

La mayoría de las imágenes probadas no me devolvieron información extra alguna, a excepción de la de Twitter, que me permitió geoposicionar algunos de sus tweets (no muy trascendente en este caso, debido a que David viaja poco) y sacar su cuenta de Instagram.

Google-images

Fotos

No es la primera vez que digo que gestionar la privacidad en Facebook es algo importantísimo. Con la evolución del Graph Search, la búsqueda contextual de esta red social (solo disponible por ahora en la versión inglesa de la interfaz) podemos obtener muchísima información de un perfil, aunque no seamos amigo del usuario.

graph search fotos

Así es como una búsqueda de Fotos donde esté etiquetado David, me devuelve decenas de álbumes compartidos por algunos de sus familiares en la graduación, e incluso de su perro.

David tiene una hermana (a la cual le encanta sacarse selfies en el baño) y un hermano (con pareja y ciclista de profesión), los dos más pequeños, y sus padres no tienen Facebook (aunque resulta muy sencillo saber sus nombres mirando los comentarios).

También aparecen familiares cercanos (la tía, que le salta con eso de que ahora estás más gordito, 😛) que podrían ser carne de cañón para una extorsión económica (pedirle algo de dinero desde un perfil suplantado alegando algún problema familiar y máxima discreción).

Corolario

Pese al trabajo de David por borrar parte de su información en la red, como vemos siguen apareciendo huellas (ese perfil en una red social de ligoteo muy conocida, su currículum en un portal de empleo seguramente de sus tiempos jóvenes,…), he podido obtener casi toda la información necesaria para realizar maldades con una identidad digital. Y todo lo he realizado en media hora (he tardado bastante más en escribir este artículo), sin usar ni tan siquiera crawlers y servicios de identificación.

Eso sí, no he llegado a obtener ni el correo ni el teléfono. Tampoco me he parado mucho, pero al menos públicamente no tenía expuestos estos datos, lo cual es bastante poco común.

Faltaría por realizar, si procede, el tracking de metadatos de todas las imágenes que nos interesaran. Así podría, además de saber que ha veraneado por Islas Baleares, dibujar un mapa con sus viajes y vacaciones, y quizás esto compaginarlo con las fechas y los amigos de Facebook para obtener, al igual que con su tía, contactos cercanos pero que no están en contacto directo con él en el día a día.

Mientras más tiempo le dedicara, más información tendría, siendo el Graph Search de Facebook una herramienta potentísima para conocer relaciones (con quién suele hablar) o pensamientos políticos (queda claro que es más de derechas).

Y espero que esto sirva para concienciar de la importancia de tener bien controlado qué se dice de nosotros en Internet. Una buena configuración de privacidad en las redes sociales, unido a la petición de cierre de nuestras cuentas en aquellos lugares donde ya no tenemos acceso (emails asociados de los que ya no disponemos la contraseña), o incluso (aunque en casos muy muy críticos) recurrir al derecho al olvido si así procede, son estrategias que nos pueden quitar problemas el día de mañana.

 

Espero que si le ha gustado, lo comparta y me lo haga saber en un comentario ¡Muchas gracias!

P.D.: Si se ha quedado con hambre de más, aquí explico qué información se puede obtener de una fotografía subida a la red.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias