Guía para investigar amenazas digitales: infraestructura digital
Leer este artículo en
Guía Recursos
Guía de GIJN para investigar amenazas digitales
Capítulo Guía Recursos
Guía para investigar amenazas digitales: Introducción
Capítulo Guía Recursos
Guía para periodistas: cómo investigar la desinformación
Capítulo Guía Recursos
Guía para investigar amenazas digitales: infraestructura digital
Capítulo Guía Recursos
Guía para investigar amenazas digitales: panorama de la cibervigilancia
Capítulo Guía Recursos
Guía para investigar amenazas digitales: cómo investigar campañas de troleo
Al igual que con un sitio web legítimo, una campaña de desinformación o un ataque de software espía depende de una infraestructura digital que incluye uno o más dominios, servidores y aplicaciones. Todo lo que transcurre en internet deja huellas que pueden usarse para rastrear actividad y en algunos casos relacionar infraestructuras distintas. Este capítulo ofrece una introducción a las herramientas en línea que puedes usar para investigar la infraestructura digital.
Cómo funciona la infraestructura digital
El primer paso para rastrear la infraestructura digital es saber cómo funciona. Tomemos como ejemplo el portal de GIJN, gijn.org.
Nombre del dominio
Primero, emplea el nombre del dominio gijn.org. Los nombres de dominio se establecieron en los primeros días del internet para proporcionar nombres a los portales que fuesen amigables con el usuario, de manera que éste no debiera memorizar direcciones IP complejas y técnicas como 174.24.134.42. El protocolo de Sistema de nombres de dominio (DNS) se usa para convertir nombres de dominios a direcciones IP. Hay distintos tipos de registros para direcciones IP y el DNS los resuelve. Los registros MX son para el servidor que guía los correos electrónicos hacia la dirección correcta relacionada con un dominio (por ejemplo, info@gijn.org).
No obstante, el principal registro empleado para DNS es el tipo A para direcciones IPv4 (la dirección tradicional de internet, como gijn.org) y AAAA para direcciones IPv6. IPv6 es un formato más reciente que permite más direcciones en internet. La mayoría de los sistemas usan direcciones IPv4 junto con IPv6. Cuando visitas un portal, tu navegador web automáticamente cambia a una dirección IP el nombre del dominio que ingreses. Sin embargo, puedes usar una herramienta en línea como CentralOps para hacerlo manualmente. Por ejemplo, cuando ingresamos gijn.org en CentralOps, recibimos la dirección IPv4 34.122.151.197 y ninguna dirección IPv6.
Los nombres de dominio se adquieren de un registrador de dominios. Estas compañías administran para sus clientes el registro de nombres de dominio y hacen de intermediarios con los registros que administran dominios de nivel superior (TLD), como .com, .org o .fr. Los registros tienen una base de datos sobre información de dominios existentes para su TLD. Esto se llama la base de datos Whois.Es posible realizar búsquedas de información sobre dominios actuales usando herramientas web como CentralOps. En algunos casos, tu búsqueda Whois te dará información sobre el dueño de un dominio, incluyendo su nombre, número de teléfono, dirección de correo electrónico y dirección física. No obstante, los datos personales sobre dueños de dominios a menudo están ocultos de Whois por motivos de privacidad. Las personas pueden pagar para que esta información no figure en las búsquedas Whois, y muchas personas y compañías prefieren hacerlo. Incluso en estos casos, aún es posible encontrar la fecha registro, fecha de renovación y el registro empleado. Por ejemplo, esto es lo que sale en una búsqueda Whois de gijn.org.
Incluso si la información de registro ha sido suprimida, podemos ver que el dominio se compró por primera vez a través de la compañía GoDaddy (el registrador de dominios) el 24 de junio de 2009, y desde entonces se ha renovado regularmente.
Servidor
Un portal debe alojarse en algún lugar. Esto sucede en una computadora física llamada servidor, donde todos los archivos asociados con el portal están almacenados y disponibles, cuando alguien solicite una página en el portal a través de su navegador web. Muchos servidores hoy se hallan alojados por proveedores profesionales, como OVH o Digital Ocean, o incluso proveedores en la nube como los servicios Amazon Web o Google Cloud.
Los servidores están conectados a internet mediante una o más direcciones IP (la mayoría de las veces a través de una dirección IPv4 y una IPv6). Estas direcciones IP están delegadas por Registros Regionales de Internet a compañías u organizaciones que las usan para sus sistemas. Una compañía de alojamiento web tendrá muchas direcciones IP y las asignará a sus distintos servidores, que se usan para alojar portales web individuales.
Cada propietario de una dirección IP también debe informar a las distintas redes conectadas a su internet sobre los IP que administra, para que puedan enviar tráfico hacia él. Esto implica registrarse en un Sistema Autónomo (AS), una entidad administrativa reconocida por todas las redes de internet e identificada con un número único. Por ejemplo, el número para el UNMC-AS del Centro Médico de la Universidad de Nebraska, es AS1252. Puedes encontrar en línea una lista comprehensiva de números AS. La mayoría de las empresas de alojamiento IP tienen una o varias AS.
Una herramienta como ipinfo.io te permite identificar el AS de una dirección IP, la empresa tras ella y un estimado de dónde está el servidor al que está conectado la dirección IP. Ten en cuenta que esta geolocalización no es completamente acertada. Para la dirección 34.122.151.197 de GIJN vemos que hace parte de AS396982, que pertenece a Google y aparece ubicada en el centro de datos de Google en Iowa. Las búsquedas con Whois también te darán una dirección IP, que a veces lleva a una información más precisa que usar solo el AS, aunque no en el caso que se ha puesto como ejemplo. Una herramienta como ipinfo.io te dará los resultados más completos.
Certificado HTTPs
El Protocolo Seguro de Transferencia de Hipertexto (HTTPs) es un protocolo seguro para comunicarse entre un navegador web y el servidor que aloja el portal. Permite que el navegador verifique la identidad del servidor empleando un certificado criptográfico. Esto ayuda a asegurarse que el navegador esté cargando el verdadero portal gijn.org y no un servidor que esté usurpando su identidad. Cada certificado criptográfico se emite por un tercero que es una autoridad de certificados reconocida por los distintos navegadores y sistemas operativos. Estos certificados se emiten por un periodo limitado de tiempo (generalmente entre tres meses y un año) y deben ser renovados regularmente. Para ver un certificado, puedes oprimir en el ícono de candado en tu barra de navegador y seleccionar «la conexión es segura» y «más información». Esto es lo que obtienes para el portal de GIJN.
Como vemos, este certificado fue emitido por la autoridad de certificados gratuitos Let’s Encrypt el 20 de febrero de 2023, y será válido hasta mayo 21. Si el ícono de candado en tu barra de navegador está abierto, o si no hay un candado y una advertencia de «no es seguro», quiere decir que estás consultando un portal usando un protocolo HTTP inseguro, que no encripta la comunicación con el servidor ni verifica su autenticidad.
Aquí hay un diagrama resumiendo los distintos aspectos de esta infraestructura.
Resumamos lo que aprendimos sobre gijn.org:
- Usa el dominio gijn.org, que inicialmente fue comprado en GoDaddy el 24 de junio de 2009.
- Está alojado en un servidor con una dirección IP 34.122.151.197, que hace parte de AS396982, y que pertenece a Google Cloud.
- Usa un certificado HTTPs, en su mayoría recientemente proporcionado por Let’s Encrypt, el 20 de febrero de 2023.
Fuentes de datos
Ahora que entendemos lo básico de la infraestructura digital, miremos cómo podemos ahondar en ella. Hay múltiples fuentes de datos que se pueden utilizar para una investigación más profunda. Algunas de estas herramientas son gratuitas y otras exigen acceso pago (hay plataformas que ofrecen acceso a búsquedas gratis para periodistas, así que vale la pena contactarlas y preguntar).
Whois y Whois histórico
Como vimos más atrás, los registros de dominio Whois pueden arrojar información como nombre, número de teléfono, correo electrónico o dirección, pero esta información a menudo permanece oculta por motivos de privacidad. (El Reglamento General de Protección de Datos de la Unión Europea –GDPR– aceleró esta tendencia). La buena noticia es que varias plataformas comerciales han recogido datos Whois durante años y pueden proporcionar acceso a estas bases de datos. Esto es útil de varias formas. Primero, al usar datos históricos, puedes ir atrás en el tiempo hasta un momento en el que el propietario del dominio no tenía ninguna protección de privacidad y encontrar la información. Esto es sobre todo útil para portales que han estado en línea durante mucho tiempo, es decir, por lo menos algunos años. También puedes usar esta información sobre propiedad como un punto de inflexión para encontrar dominios adicionales registrados por la misma persona o entidad.
Por ejemplo, en el 2019 estaba investigando una campaña de software espía y suplantación de identidad dirigida a activistas de Uzbekistán. Usando registros históricos de dominios, identifiqué que un dominio empleado para suplantación de datos estaba registrado con la dirección de correo electrónico b.adan1[@]walla.co.il. Resulta que el atacante no pensó en activar la privacidad Whois.
Al buscar otros dominios registrados, usando la misma dirección de correo electrónico, logré identificar muchos más dominios relacionados con esta campaña en línea. Entre las plataformas comerciales que aportan información histórica están RiskIQ, DomainTools, Recorded Future y Cisco Umbrella. Los servicios como Whoxy.com y Whoisology.com, que tienen un nivel gratuito, también proveen trozos de registros históricos.Información DNS pasiva
Como se ha descrito más atrás, el protocolo DNS te permite hallar la dirección para el servidor IP de un dominio en un momento determinado. Para seguir la evolución de la infraestructura, las personas y las empresas, reúne los registros de búsquedas y respuestas DNS, de forma que se registre la respuesta DNS histórica. Este tipo de datos son los DNS pasivos. Es el equivalente a un registro histórico Whois para DNS.
El DNS pasivo es una herramienta importante para rastrear infraestructura. Muchos portales maliciosos en línea son temporales y solo pueden estar funcionales durante días o semanas. Por lo tanto, tener datos históricos nos permite tener una comprensión más clara de los dominios y servidores empleados. También hace posible rastrear infraestructura digital durante un largo periodo de tiempo, ayudándonos a comprender cuándo inició la actividad maliciosa.
Los datos pasivos DNS generalmente se presentan en la forma de un IP, dominio, fecha de inicio y fecha de finalización. La mayoría de las plataformas permiten la búsqueda de IP o dominio, y algunas plataformas incluyen más tipos de DNS que simplemente A/AAAA.
Para seguir con el ejemplo de la campaña de suplantación de identidad que iniciamos más atrás, uno de los primeros correos electrónicos de suplantación de identidad identificados tenía un vínculo al dominio mail.gmal.con.my-id[.]top. Para identificar los servidores utilizados, podemos buscar todas las resoluciones IP para este dominio en una Base de Datos DNS Pasiva, como Farsight DNSDB.
Podemos entonces buscar dominios alojados en esta misma dirección IP, durante el momento aproximado del ataque. Entre los proveedores pasivos DNS se hallan Farsight DNSDB, DomainTools, Risk IQ, Circl, Zetalytics, Recorded Future, Cisco Umbrella y Security Trails. Los distintos proveedores tienen fuentes de datos diferentes para recoger datos pasivos DNS, así que la mayoría de los conjuntos de datos están incompletos y son complementarios. Idealmente, querrás usar múltiples servicios para tener un cuadro más completo. Lo mismo aplica para los registros históricos Whois.Bases de datos de Certificate Transparency
Al igual que cada base de datos tiene un nombre de dominio y dirección(es) IP, la mayoría también emplea certificados HTTPs. Esto quiere decir que podemos usar la información en los certificados como parte de una infraestructura de investigación. Los certificados están disponibles para las auditorías gracias a un estándar de seguridad llamado Certificate Transparency, que crea registros públicos para todos los certificados emitidos por las autoridades. Las plataformas como Censys o Crt.sh ofrecen acceso gratis a estos datos. Los certificados no aportan muchos detalles sobre quién los creó, pero puedes confirmar si un dominio o subdominio fue utilizado por un certificado específico y examinar una línea de tiempo para el uso de dicho dominio.
La campaña de suplantación de datos contra activistas en Uzbekistán usó software espía Android que se comunicaba con el dominio garant-help[.]com. Una rápida búsqueda en Crt.sh arroja una línea de tiempo de este dominio (y por lo tanto del software espía) que de hecho se usó activamente por parte de los operadores de la campaña.
Escaneo en todo internetEl internet está compuesto por algunos miles de millones de sistemas interconectados. Por ejemplo, hay máximo sólo unos cuatro mil millones de direcciones IPv4. Con el ancho de banda hoy disponible, es posible escanear regularmente una buena parte de los sistemas de internet. Varias compañías hacen este tipo de escaneo en todo internet con regularidad y ofrecen acceso a bases de datos con los resultados.
Los escaneos tienen limitaciones, pues no todos los servidores pueden ser escaneados por estas plataformas y sólo atienden peticiones estándar que no lograrían, por ejemplo, dar información sobre todos los portales instalados en un servidor específico. No obstante, es una fuente de información importante para las investigaciones digitales. Primero, te permite mirar rápidamente lo que está corriendo en un servidos que podría ser sospechoso y darte una idea de la configuración de la infraestructura. Algunas bases de datos también tienen datos históricos que te permiten explorar lo que estaba corriendo antes en el servidor. Por último, se pueden usar para desarrollar búsquedas complejas que hallen infraestructuras relacionadas, empleando la misma configuración específica. Esta última característica puede ser crítica para la investigación –el Amnesty LabTech lo usó para rastrear la infraestructura Pegasus del Grupo NSO durante varios años. Como periodista, puede ser útil colaborar con expertos técnicos para ejecutar estos rastreos y análisis.
Las dos grandes plataformas para escaneos amplios en internet son Shodan y Censys, pero también puedes usar otras plataformas como ZoomEye, BinaryEdge u Onyphe. La mayoría ofrece acceso gratuito a datos, pero cobra por datos históricos y búsquedas complejas.
Bases de datos de actividad maliciosa
Existen muchas plataformas para identificar, rastrear o indexar infraestructura maliciosa conocida. Se usan sobre todo por parte de la industria de ciberseguridad. Estas plataformas también pueden tener información sobre infraestructura contigua maliciosa o no maliciosa, como la desinformación, lo que las hace útiles para periodistas. Aquí hay algunas de estas plataformas.
VirusTotal. Esta famosa plataforma antivirus fue creada hace casi 20 años en España y luego fue adquirida por Google. Le permite a cualquiera proporcionar un archivo que será escaneado por más de 70 escaneos antivirus y servicios de lista de bloqueo de URL/dominio. VirusTotal es el repositorio más grande del mundo de archivos legítimos y maliciosos y ofrece acceso a esta base de datos interna de virus a muchas compañías de ciberseguridad. Si estás trabajando en una investigación sobre software espía, VirusTotal es un buen lugar para buscar programas similares o infraestructura relacionada. Si usas VirusTotal para revisar si un archivo que recibiste es malicioso, por favor ten en cuenta que los documentos que subas estarán disponibles para miles de personas alrededor del mundo, así que no es una buena idea subir un documento privado. Es recomendable que contactes a expertos para que te asistan con este tipo de análisis.
URLScan. URLScan es una plataforma abierta que les permite a los usuarios buscar una URL específica para ver detalles específicos de su infraestructura y del portal de forma segura. Esta plataforma es útil cuando identificas un vínculo sospechoso y quieres revisarlo de una forma más segura. También puede hallar URLs relacionadas que alguien más pudo haber presentado a la plataforma. Los escaneos pueden ser públicos o privados, aunque los escaneos privados solo se permiten a usuarios que han pagado por su acceso.
AlienVault OTX. Esta es una base de datos gratuita que contiene una cantidad considerable de datos sobre infraestructura identificada como maliciosa. No hace falta una cuenta para buscar en esta base de datos. Sólo hace falta ingresar un dominio o dirección IP en la barra de búsqueda. Por ejemplo, una búsqueda del dominio malicioso garant-help[.]com inmediatamente llevó a una publicación relacionada.
El diagrama a continuación resume el tipo de herramientas que puedes usar para examinar cada parte de la infraestructura digital.Casos de estudio
Informe Mandiant sobre el grupo amenazante APT1. En el 2013, la compañía estadounidense Mandiante atribuyó la actividad de un actor amenazante llamado APT1 a la Unidad 61398 del Ejército Popular de Liberación de China. Este grupo militar chino ha estado activo al menos desde el 2006 y es el origen de ataques que comprometieron a por lo menos 141 organizaciones.
Investigación sobre el grupo vietnamita Ocean Lotus. Periodistas de Bayerischer Rundfunk y de Zeit Online hicieron un gran trabajo investigando la infraestructura empleada por Ocean Lotus, un grupo amenazante que generalmente se cree está vinculado con las autoridades vietnamitas. La investigación mezcló fuentes humanas con investigaciónes técnicas sobre los dominios y los servidores empleados por el grupo.
Informe de Citizen Lab sobre la firma de vigilancia Circles. Usando escaneos personalizados en todo internet, Citizen Lab identificó la configuración empleada por Circles para sus clientes. Citizen Lab dio con 25 gobiernos que eran clientes de esta compañía de vigilancia Israelí.
Togo: Hackers por encargo en África occidental. En octubre de 2021, el Laboratorio de Seguridad de Amnistía Internacional publicó un informe sobre un ataque con software de espionaje contra un activista de Togo. El ataque luego se vinculó a la compañía india Innefu Labs. Este es un ejemplo interesante de cómo usar errores técnicos en la infraestructura del atacante para identificar al actor tras el ataque.
Recursos adicionales
Guía para periodistas: cómo investigar la desinformación
Guía de GIJN para investigar el crimen organizado.
Guía para periodistas: investigar el panorama de las amenazas digitales
Etienne “Tek” Maynier es un investigador de seguridad en el Laboratorio de Seguridad de Amnistía Internacional. Ha investigado ataques digitales contra la sociedad civil desde 2016 y ha publicado muchas investigaciones sobre suplantación de identidad, software de espionaje y campañas de desinformación. Pueden encontrarlo en su portal o en Mastodon.