{"id":1239028,"date":"2023-10-24T19:56:32","date_gmt":"2023-10-24T23:56:32","guid":{"rendered":"https:\/\/gijn.org\/?p=1239028"},"modified":"2023-10-24T19:56:32","modified_gmt":"2023-10-24T23:56:32","slug":"guia-infraestructura-digital","status":"publish","type":"post","link":"https:\/\/gijn.org\/es\/recurso\/guia-infraestructura-digital\/","title":{"rendered":"Gu\u00eda para investigar amenazas digitales: infraestructura digital"},"content":{"rendered":"<p>Al igual que con un sitio web leg\u00edtimo, una campa\u00f1a de desinformaci\u00f3n o un ataque de software esp\u00eda depende de una infraestructura digital que incluye uno o m\u00e1s dominios, servidores y aplicaciones. Todo lo que transcurre en internet deja huellas que pueden usarse para rastrear actividad y en algunos casos relacionar infraestructuras distintas. Este cap\u00edtulo ofrece una introducci\u00f3n a las herramientas en l\u00ednea que puedes usar para investigar la infraestructura digital.<\/p>\n<p><b>C\u00f3mo funciona la infraestructura digital<\/b><\/p>\n<p>El primer paso para rastrear la infraestructura digital es saber c\u00f3mo funciona. Tomemos como ejemplo el portal de GIJN, <a href=\"https:\/\/gijn.org\/\">gijn.org<\/a>.<\/p>\n<p><b>Nombre del dominio<\/b><\/p>\n<p>Primero, emplea el nombre del dominio gijn.org. Los nombres de dominio se establecieron en los primeros d\u00edas del internet para proporcionar nombres a los portales que fuesen amigables con el usuario, de manera que \u00e9ste no debiera memorizar direcciones IP complejas y t\u00e9cnicas como 174.24.134.42. El protocolo de<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Sistema_de_nombres_de_dominio\"> Sistema de nombres de dominio<\/a> (DNS) se usa para convertir nombres de dominios a direcciones IP. Hay distintos tipos de registros para direcciones IP y el DNS los resuelve. Los registros MX son para el servidor que gu\u00eda los correos electr\u00f3nicos hacia la direcci\u00f3n correcta relacionada con un dominio (por ejemplo, info@gijn.org).<\/p>\n<p>No obstante, el principal registro empleado para DNS es el tipo A para direcciones IPv4 (la direcci\u00f3n tradicional de internet, como gijn.org) y AAAA para direcciones IPv6.<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/IPv6\"> IPv6<\/a> es un formato m\u00e1s reciente que permite m\u00e1s direcciones en internet. La mayor\u00eda de los sistemas usan direcciones IPv4 junto con IPv6. Cuando visitas un portal, tu navegador web autom\u00e1ticamente cambia a una direcci\u00f3n IP el nombre del dominio que ingreses. Sin embargo, puedes usar una herramienta en l\u00ednea como<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/centralops.net\/co\/\"> CentralOps<\/a> para hacerlo manualmente. Por ejemplo, cuando ingresamos gijn.org en CentralOps, recibimos la direcci\u00f3n IPv4 34.122.151.197 y ninguna direcci\u00f3n IPv6.<\/p>\n<aside class=\"module align-right half type-pull-quote\">Identifiqu\u00e9 que un dominio utilizado para phishing estaba registrado con la direcci\u00f3n de correo electr\u00f3nico b.adan1[@]walla.co.il. Resulta que el atacante no pens\u00f3 en habilitar la privacidad de Whois.<\/aside>\n<p>Los nombres de dominio se adquieren de un<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Registrador_de_dominios\"> registrador de dominios<\/a>. Estas compa\u00f1\u00edas administran para sus clientes el registro de nombres de dominio y hacen de intermediarios con los<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Registro_de_dominios\"> registros que administran dominios de nivel superior (TLD), como .com, .org o .fr<\/a>. Los registros tienen una base de datos sobre informaci\u00f3n de dominios existentes para su TLD. Esto se llama la base de datos Whois.Es posible realizar b\u00fasquedas de informaci\u00f3n sobre dominios actuales usando herramientas web como <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/centralops.net\/co\/\">CentralOps<\/a>. En algunos casos, tu b\u00fasqueda Whois te dar\u00e1 informaci\u00f3n sobre el due\u00f1o de un dominio, incluyendo su nombre, n\u00famero de tel\u00e9fono, direcci\u00f3n de correo electr\u00f3nico y direcci\u00f3n f\u00edsica. No obstante, los datos personales sobre due\u00f1os de dominios a menudo est\u00e1n ocultos de Whois por motivos de privacidad. Las personas pueden pagar para que esta informaci\u00f3n no figure en las b\u00fasquedas Whois, y muchas personas y compa\u00f1\u00edas prefieren hacerlo. Incluso en estos casos, a\u00fan es posible encontrar la fecha registro, fecha de renovaci\u00f3n y el registro empleado. Por ejemplo, esto es lo que sale en una b\u00fasqueda Whois de gijn.org.<\/p>\n<div id=\"attachment_1239056\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239056\" class=\"wp-image-1239056 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/1domain.png\" alt=\"\" width=\"771\" height=\"457\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/1domain.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/1domain-336x199.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/1domain-768x455.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239056\" class=\"wp-caption-text\">Entrada Whois para gijn.org de marzo 2023. Imagen: Toma de pantalla, Whois<\/p><\/div>\n<p>Incluso si la informaci\u00f3n de registro ha sido suprimida, podemos ver que el dominio se compr\u00f3 por primera vez a trav\u00e9s de la compa\u00f1\u00eda GoDaddy (el registrador de dominios) el 24 de junio de 2009, y desde entonces se ha renovado regularmente.<\/p>\n<p><b>Servidor<\/b><\/p>\n<p>Un portal debe alojarse en alg\u00fan lugar. Esto sucede en una computadora f\u00edsica llamada servidor, donde todos los archivos asociados con el portal est\u00e1n almacenados y disponibles, cuando alguien solicite una p\u00e1gina en el portal a trav\u00e9s de su navegador web. Muchos servidores hoy se hallan alojados por proveedores profesionales, como OVH o Digital Ocean, o incluso proveedores en la nube como los servicios Amazon Web o Google Cloud.<\/p>\n<p>Los servidores est\u00e1n conectados a internet mediante una o m\u00e1s direcciones IP (la mayor\u00eda de las veces a trav\u00e9s de una direcci\u00f3n IPv4 y una IPv6). Estas direcciones IP est\u00e1n delegadas por<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Registro_Regional_de_Internet\"> Registros Regionales de Internet<\/a> a compa\u00f1\u00edas u organizaciones que las usan para sus sistemas. Una compa\u00f1\u00eda de alojamiento web tendr\u00e1 muchas direcciones IP y las asignar\u00e1 a sus distintos servidores, que se usan para alojar portales web individuales.<\/p>\n<p>Cada propietario de una direcci\u00f3n IP tambi\u00e9n debe informar a las distintas redes conectadas a su internet sobre los IP que administra, para que puedan enviar tr\u00e1fico hacia \u00e9l. Esto implica registrarse en un<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Sistema_aut%C3%B3nomo\"> Sistema Aut\u00f3nomo<\/a> (AS), una entidad administrativa reconocida por todas las redes de internet e identificada con un n\u00famero \u00fanico. Por ejemplo, el n\u00famero para el UNMC-AS del Centro M\u00e9dico de la Universidad de Nebraska, es AS1252. Puedes encontrar en l\u00ednea<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.bgplookingglass.com\/list-of-autonomous-system-numbers\"> una lista comprehensiva de n\u00fameros AS<\/a>. La mayor\u00eda de las empresas de alojamiento IP tienen una o varias AS.<\/p>\n<p>Una herramienta como<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/ipinfo.io\/\"> ipinfo.io<\/a> te permite identificar el AS de una direcci\u00f3n IP, la empresa tras ella y un estimado de d\u00f3nde est\u00e1 el servidor al que est\u00e1 conectado la direcci\u00f3n IP. Ten en cuenta que esta geolocalizaci\u00f3n no es<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.theguardian.com\/technology\/2016\/aug\/09\/maxmind-mapping-lawsuit-kansas-farm-ip-address\"> completamente acertada<\/a>. Para la direcci\u00f3n 34.122.151.197 de GIJN vemos que hace parte de<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/bgp.he.net\/AS396982\"> AS396982<\/a>, que pertenece a Google y aparece ubicada en el<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.google.com\/about\/datacenters\/locations\/council-bluffs\/\"> centro de datos de Google en Iowa<\/a>. Las b\u00fasquedas con Whois tambi\u00e9n te dar\u00e1n una direcci\u00f3n IP, que a veces lleva a una informaci\u00f3n m\u00e1s precisa que usar solo el AS, aunque no en el caso que se ha puesto como ejemplo. Una herramienta como ipinfo.io te dar\u00e1 los resultados m\u00e1s completos.<\/p>\n<p><b>Certificado HTTPs<\/b><\/p>\n<p>El<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Protocolo_seguro_de_transferencia_de_hipertexto\"> Protocolo Seguro de Transferencia de Hipertexto<\/a> (HTTPs) es un protocolo seguro para comunicarse entre un navegador web y el servidor que aloja el portal. Permite que el navegador verifique la identidad del servidor empleando un certificado criptogr\u00e1fico. Esto ayuda a asegurarse que el navegador est\u00e9 cargando el verdadero portal gijn.org y no un servidor que est\u00e9 usurpando su identidad. Cada certificado criptogr\u00e1fico se emite por un tercero que es una autoridad de certificados reconocida por los distintos navegadores y sistemas operativos. Estos certificados se emiten por un periodo limitado de tiempo (generalmente entre tres meses y un a\u00f1o) y deben ser renovados regularmente. Para ver un certificado, puedes oprimir en el \u00edcono de candado en tu barra de navegador y seleccionar \u00abla conexi\u00f3n es segura\u00bb y \u00abm\u00e1s informaci\u00f3n\u00bb. Esto es lo que obtienes para el portal de GIJN.<\/p>\n<div id=\"attachment_1239082\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239082\" class=\"wp-image-1239082 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/2https.png\" alt=\"\" width=\"771\" height=\"744\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/2https.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/2https-336x324.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/2https-768x741.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239082\" class=\"wp-caption-text\">El certificado HTTPs para gijn.org en febrero de 2023. Imagen: Toma de pantalla, Let\u2019s Encrypt<\/p><\/div>\n<p>Como vemos, este certificado fue emitido por la autoridad de certificados gratuitos <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/letsencrypt.org\/\">Let\u2019s Encrypt<\/a> el 20 de febrero de 2023, y ser\u00e1 v\u00e1lido hasta mayo 21. Si el \u00edcono de candado en tu barra de navegador est\u00e1 abierto, o si no hay un candado y una advertencia de \u00abno es seguro\u00bb, quiere decir que est\u00e1s consultando un portal usando un protocolo HTTP inseguro, que no encripta la comunicaci\u00f3n con el servidor ni verifica su autenticidad.<\/p>\n<p>Aqu\u00ed hay un diagrama resumiendo los distintos aspectos de esta infraestructura.<\/p>\n<div id=\"attachment_1239108\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239108\" class=\"wp-image-1239108 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/3infra.png\" alt=\"\" width=\"771\" height=\"444\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/3infra.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/3infra-336x193.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/3infra-768x442.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239108\" class=\"wp-caption-text\">Diagrama de infraestructura digital de la red. Imagen: Cortes\u00eda del autor<\/p><\/div>\n<p>Resumamos lo que aprendimos sobre <a href=\"https:\/\/gijn.org\/\">gijn.org<\/a>:<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Usa el dominio gijn.org, que inicialmente fue comprado en GoDaddy el 24 de junio de 2009.<\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Est\u00e1 alojado en un servidor con una direcci\u00f3n IP 34.122.151.197, que hace parte de AS396982, y que pertenece a Google Cloud.<\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Usa un certificado HTTPs, en su mayor\u00eda recientemente proporcionado por Let&#8217;s Encrypt, el 20 de febrero de 2023.<\/li>\n<\/ul>\n<p><b>Fuentes de datos<\/b><\/p>\n<p>Ahora que entendemos lo b\u00e1sico de la infraestructura digital, miremos c\u00f3mo podemos ahondar en ella. Hay m\u00faltiples fuentes de datos que se pueden utilizar para una investigaci\u00f3n m\u00e1s profunda. Algunas de estas herramientas son gratuitas y otras exigen acceso pago (hay plataformas que ofrecen acceso a b\u00fasquedas gratis para periodistas, as\u00ed que vale la pena contactarlas y preguntar).<\/p>\n<p><b>Whois y Whois hist\u00f3rico<\/b><\/p>\n<p>Como vimos m\u00e1s atr\u00e1s, los registros de dominio Whois pueden arrojar informaci\u00f3n como nombre, n\u00famero de tel\u00e9fono, correo electr\u00f3nico o direcci\u00f3n, pero esta informaci\u00f3n a menudo permanece oculta por motivos de privacidad. (El Reglamento General de Protecci\u00f3n de Datos de la Uni\u00f3n Europea \u2013GDPR\u2013 aceler\u00f3 esta tendencia). La buena noticia es que varias plataformas comerciales han recogido datos Whois durante a\u00f1os y pueden proporcionar acceso a estas bases de datos. Esto es \u00fatil de varias formas. Primero, al usar datos hist\u00f3ricos, puedes ir atr\u00e1s en el tiempo hasta un momento en el que el propietario del dominio no ten\u00eda ninguna protecci\u00f3n de privacidad y encontrar la informaci\u00f3n. Esto es sobre todo \u00fatil para portales que han estado en l\u00ednea durante mucho tiempo, es decir, por lo menos algunos a\u00f1os. Tambi\u00e9n puedes usar esta informaci\u00f3n sobre propiedad como un punto de inflexi\u00f3n para encontrar dominios adicionales registrados por la misma persona o entidad.<\/p>\n<p>Por ejemplo, en el 2019 estaba investigando<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/latest\/research\/2020\/03\/targeted-surveillance-attacks-in-uzbekistan-an-old-threat-with-new-techniques\/\"> una campa\u00f1a de software esp\u00eda y suplantaci\u00f3n de identidad dirigida a activistas de Uzbekist\u00e1n<\/a>. Usando registros hist\u00f3ricos de dominios, identifiqu\u00e9 que un dominio empleado para suplantaci\u00f3n de datos estaba registrado con la direcci\u00f3n de correo electr\u00f3nico b.adan1[@]walla.co.il. Resulta que el atacante no pens\u00f3 en activar la privacidad Whois.<\/p>\n<p><div id=\"attachment_1239134\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239134\" class=\"size-full wp-image-1239134\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/4whois.png\" alt=\"\" width=\"771\" height=\"521\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/4whois.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/4whois-336x227.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/4whois-768x519.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239134\" class=\"wp-caption-text\">Entrada de Whois para my-id[.]top en octubre de 2019, en RiskIQ. Imagen: Toma de pantalla, RiskIQ<\/p><\/div>Al buscar otros dominios registrados, usando la misma direcci\u00f3n de correo electr\u00f3nico, logr\u00e9 identificar muchos m\u00e1s dominios relacionados con esta campa\u00f1a en l\u00ednea.<\/p>\n<p><div id=\"attachment_1239160\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239160\" class=\"wp-image-1239160 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/5RiskIQ.png\" alt=\"\" width=\"771\" height=\"322\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/5RiskIQ.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/5RiskIQ-336x140.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/5RiskIQ-768x321.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239160\" class=\"wp-caption-text\">Lista de dominios registrados por b.adan1[@]walla.co.il en RiskIQ. Imagen: Toma de pantalla, RiskIQ<\/p><\/div>Entre las plataformas comerciales que aportan informaci\u00f3n hist\u00f3rica est\u00e1n<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/community.riskiq.com\/\"> RiskIQ<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.domaintools.com\/\">DomainTools<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.recordedfuture.com\/\">Recorded Future<\/a> y<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/umbrella.cisco.com\/\"> Cisco Umbrella<\/a>. Los servicios como<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.whoxy.com\/\"> Whoxy.com<\/a> y <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/whoisology.com\/\">Whoisology.com<\/a>, que tienen un nivel gratuito, tambi\u00e9n proveen trozos de registros hist\u00f3ricos.<\/p>\n<p><b>Informaci\u00f3n DNS pasiva<\/b><\/p>\n<p>Como se ha descrito m\u00e1s atr\u00e1s, el protocolo DNS te permite hallar la direcci\u00f3n para el servidor IP de un dominio en un momento determinado. Para seguir la evoluci\u00f3n de la infraestructura, las personas y las empresas, re\u00fane los registros de b\u00fasquedas y respuestas DNS, de forma que se registre la respuesta DNS hist\u00f3rica. Este tipo de datos son los DNS pasivos. Es el equivalente a un registro hist\u00f3rico Whois para DNS.<\/p>\n<p>El DNS pasivo es una herramienta importante para rastrear infraestructura. Muchos portales maliciosos en l\u00ednea son temporales y solo pueden estar funcionales durante d\u00edas o semanas. Por lo tanto, tener datos hist\u00f3ricos nos permite tener una comprensi\u00f3n m\u00e1s clara de los dominios y servidores empleados. Tambi\u00e9n hace posible rastrear infraestructura digital durante un largo periodo de tiempo, ayud\u00e1ndonos a comprender cu\u00e1ndo inici\u00f3 la actividad maliciosa.<\/p>\n<p>Los datos pasivos DNS generalmente se presentan en la forma de un IP, dominio, fecha de inicio y fecha de finalizaci\u00f3n. La mayor\u00eda de las plataformas permiten la b\u00fasqueda de IP o dominio, y algunas plataformas incluyen m\u00e1s tipos de DNS que simplemente A\/AAAA.<\/p>\n<p>Para seguir con el ejemplo de la campa\u00f1a de suplantaci\u00f3n de identidad que iniciamos m\u00e1s atr\u00e1s, uno de los primeros correos electr\u00f3nicos de suplantaci\u00f3n de identidad identificados ten\u00eda un v\u00ednculo al dominio <i>mail.gmal.con.my-id[.]top<\/i>. Para identificar los servidores utilizados, podemos buscar todas las resoluciones IP para este dominio en una Base de Datos DNS Pasiva, como Farsight DNSDB.<\/p>\n<p><div id=\"attachment_1239186\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239186\" class=\"size-full wp-image-1239186\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/6DNS.png\" alt=\"\" width=\"771\" height=\"408\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/6DNS.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/6DNS-336x178.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/6DNS-768x406.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239186\" class=\"wp-caption-text\">Las resoluciones IPv4 del dominio mail.gmal.con.my-id[.]top en Farsight DNSDB. Imagen: Toma de pantalla, Farsight DNSDB<\/p><\/div>Podemos entonces buscar dominios alojados en esta misma direcci\u00f3n IP, durante el momento aproximado del ataque.<\/p>\n<p><div id=\"attachment_1239212\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239212\" class=\"size-full wp-image-1239212\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/7DNS.png\" alt=\"\" width=\"771\" height=\"387\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/7DNS.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/7DNS-336x169.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/7DNS-768x385.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239212\" class=\"wp-caption-text\">Las resoluciones IPv4 del dominio mail.gmal.con.my-id[.]top en Farsight DNSDB. Imagen: Toma de pantalla, Farsight DNSDB<\/p><\/div>Entre los proveedores pasivos DNS se hallan<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.farsightsecurity.com\/solutions\/dnsdb\/\"> Farsight DNSDB<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.domaintools.com\/\">DomainTools<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/community.riskiq.com\/\">Risk IQ<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.circl.lu\/services\/passive-dns\/\">Circl<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/zetalytics.com\/\">Zetalytics<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.recordedfuture.com\/\">Recorded Future<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/umbrella.cisco.com\/\">Cisco Umbrella<\/a> y <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/securitytrails.com\/\">Security Trails<\/a>. Los distintos proveedores tienen fuentes de datos diferentes para recoger datos pasivos DNS, as\u00ed que la mayor\u00eda de los conjuntos de datos est\u00e1n incompletos y son complementarios. Idealmente, querr\u00e1s usar m\u00faltiples servicios para tener un cuadro m\u00e1s completo. Lo mismo aplica para los registros hist\u00f3ricos Whois.<\/p>\n<p><b>Bases de datos de Certificate Transparency<\/b><\/p>\n<p>Al igual que cada base de datos tiene un nombre de dominio y direcci\u00f3n(es) IP, la mayor\u00eda tambi\u00e9n emplea certificados HTTPs. Esto quiere decir que podemos usar la informaci\u00f3n en los certificados como parte de una infraestructura de investigaci\u00f3n. Los certificados est\u00e1n disponibles para las auditor\u00edas gracias a un est\u00e1ndar de seguridad llamado<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/Certificate_Transparency\"> Certificate Transparency<\/a>, que crea registros p\u00fablicos para todos los certificados emitidos por las autoridades. Las plataformas como <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/search.censys.io\/\">Censys<\/a> o <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/crt.sh\/\">Crt.sh<\/a> ofrecen acceso gratis a estos datos. Los certificados no aportan muchos detalles sobre qui\u00e9n los cre\u00f3, pero puedes confirmar si un dominio o subdominio fue utilizado por un certificado espec\u00edfico y examinar una l\u00ednea de tiempo para el uso de dicho dominio.<\/p>\n<p>La campa\u00f1a de suplantaci\u00f3n de datos contra activistas en Uzbekist\u00e1n us\u00f3 software esp\u00eda Android que se comunicaba con el dominio <i>garant-help[.]com<\/i>. Una r\u00e1pida b\u00fasqueda en<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/crt.sh\/\"> Crt.sh<\/a> arroja una l\u00ednea de tiempo de este dominio (y por lo tanto del software esp\u00eda) que de hecho se us\u00f3 activamente por parte de los operadores de la campa\u00f1a.<\/p>\n<p><div id=\"attachment_1239238\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239238\" class=\"size-full wp-image-1239238\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/8Certificate.png\" alt=\"\" width=\"771\" height=\"207\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/8Certificate.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/8Certificate-336x90.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/8Certificate-768x206.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239238\" class=\"wp-caption-text\">Busca los certificados garant-help[.]com en Crt.sh. Imagen: Toma de pantalla, Crt.sh<\/p><\/div><b>Escaneo en todo internet<\/b><\/p>\n<p>El internet est\u00e1 compuesto por algunos miles de millones de sistemas interconectados. Por ejemplo, hay m\u00e1ximo s\u00f3lo unos cuatro mil millones de direcciones IPv4. Con el ancho de banda hoy disponible, es posible escanear regularmente una buena parte de los sistemas de internet. Varias compa\u00f1\u00edas hacen este tipo de escaneo en todo internet con regularidad y ofrecen acceso a bases de datos con los resultados.<\/p>\n<div id=\"attachment_1239264\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239264\" class=\"size-full wp-image-1239264\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/9Screen.png\" alt=\"\" width=\"771\" height=\"355\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/9Screen.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/9Screen-336x155.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/9Screen-768x354.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239264\" class=\"wp-caption-text\">Informaci\u00f3n Shodan para la direcci\u00f3n IP que aloja gijn.org. Imagen: Toma de imagen, Shodan<\/p><\/div>\n<p>Los escaneos tienen limitaciones, pues no todos los servidores pueden ser escaneados por estas plataformas y s\u00f3lo atienden peticiones est\u00e1ndar que no lograr\u00edan, por ejemplo, dar informaci\u00f3n sobre todos los portales instalados en un servidor espec\u00edfico. No obstante, es una fuente de informaci\u00f3n importante para las investigaciones digitales. Primero, te permite mirar r\u00e1pidamente lo que est\u00e1 corriendo en un servidos que podr\u00eda ser sospechoso y darte una idea de la configuraci\u00f3n de la infraestructura. Algunas bases de datos tambi\u00e9n tienen datos hist\u00f3ricos que te permiten explorar lo que estaba corriendo antes en el servidor. Por \u00faltimo, se pueden usar para desarrollar b\u00fasquedas complejas que hallen infraestructuras relacionadas, empleando la misma configuraci\u00f3n espec\u00edfica. Esta \u00faltima caracter\u00edstica puede ser cr\u00edtica para la investigaci\u00f3n \u2013el Amnesty LabTech lo us\u00f3 para rastrear la infraestructura<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/latest\/research\/2021\/07\/forensic-methodology-report-how-to-catch-nso-groups-pegasus\/\"> Pegasus del Grupo NSO<\/a> durante varios a\u00f1os. Como periodista, puede ser \u00fatil colaborar con expertos t\u00e9cnicos para ejecutar estos rastreos y an\u00e1lisis.<\/p>\n<p>Las dos grandes plataformas para escaneos amplios en internet son<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.shodan.io\/\"> Shodan<\/a> y <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/search.censys.io\/\">Censys<\/a>, pero tambi\u00e9n puedes usar otras plataformas como<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.zoomeye.org\/\"> ZoomEye<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.binaryedge.io\/\">BinaryEdge<\/a> u <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.onyphe.io\/\">Onyphe<\/a>. La mayor\u00eda ofrece acceso gratuito a datos, pero cobra por datos hist\u00f3ricos y b\u00fasquedas complejas.<\/p>\n<p><b>Bases de datos de actividad maliciosa<\/b><\/p>\n<p>Existen muchas plataformas para identificar, rastrear o indexar infraestructura maliciosa conocida. Se usan sobre todo por parte de la industria de ciberseguridad. Estas plataformas tambi\u00e9n pueden tener informaci\u00f3n sobre infraestructura contigua maliciosa o no maliciosa, como la desinformaci\u00f3n, lo que las hace \u00fatiles para periodistas. Aqu\u00ed hay algunas de estas plataformas.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.virustotal.com\/gui\/\"><b>VirusTotal<\/b><\/a>. Esta famosa plataforma antivirus fue<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/es.wikipedia.org\/wiki\/VirusTotal\"> creada hace casi 20 a\u00f1os en Espa\u00f1a<\/a> y luego fue adquirida por Google. Le permite a cualquiera proporcionar un archivo que ser\u00e1 escaneado por m\u00e1s de 70 escaneos antivirus y servicios de lista de bloqueo de URL\/dominio. VirusTotal es el repositorio m\u00e1s grande del mundo de archivos leg\u00edtimos y maliciosos y ofrece acceso a esta base de datos interna de virus a muchas compa\u00f1\u00edas de ciberseguridad. Si est\u00e1s trabajando en una investigaci\u00f3n sobre software esp\u00eda, VirusTotal es un buen lugar para buscar programas similares o infraestructura relacionada. Si usas VirusTotal para revisar si un archivo que recibiste es malicioso, por favor ten en cuenta que los documentos que subas estar\u00e1n disponibles para miles de personas alrededor del mundo, as\u00ed que no es una buena idea subir un documento privado. Es recomendable que contactes a expertos para que te asistan con este tipo de an\u00e1lisis.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/urlscan.io\/\"><b>URLScan<\/b><\/a><b>.<\/b> URLScan es una plataforma abierta que les permite a los usuarios buscar una URL espec\u00edfica para ver detalles espec\u00edficos de su infraestructura y del portal de forma segura. Esta plataforma es \u00fatil cuando identificas un v\u00ednculo sospechoso y quieres revisarlo de una forma m\u00e1s segura. Tambi\u00e9n puede hallar URLs relacionadas que alguien m\u00e1s pudo haber presentado a la plataforma. Los escaneos pueden ser p\u00fablicos o privados, aunque los escaneos privados solo se permiten a usuarios que han pagado por su acceso.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-1239290 alignnone\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/URLSCAN.png\" alt=\"\" width=\"771\" height=\"569\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/URLSCAN.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/URLSCAN-336x248.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/URLSCAN-768x567.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/otx.alienvault.com\/\"><b>AlienVault OTX<\/b><\/a>. Esta es una base de datos gratuita que contiene una cantidad considerable de datos sobre infraestructura identificada como maliciosa. No hace falta una cuenta para buscar en esta base de datos. S\u00f3lo hace falta ingresar un dominio o direcci\u00f3n IP en la barra de b\u00fasqueda. Por ejemplo, una b\u00fasqueda del dominio malicioso<i> garant-help[.]com<\/i> inmediatamente llev\u00f3 a una publicaci\u00f3n relacionada.<\/p>\n<p><div id=\"attachment_1239316\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239316\" class=\"size-full wp-image-1239316\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Alien.png\" alt=\"\" width=\"771\" height=\"318\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Alien.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Alien-336x139.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Alien-768x317.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239316\" class=\"wp-caption-text\">B\u00fasqueda de garant-help[.]com en AlienVault OTX. Imagen: Toma de pantalla, AlienVaultOTX<\/p><\/div>El diagrama a continuaci\u00f3n resume el tipo de herramientas que puedes usar para examinar cada parte de la infraestructura digital.<\/p>\n<div id=\"attachment_1239342\" style=\"width: 781px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1239342\" class=\"size-full wp-image-1239342\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Methodology.png\" alt=\"\" width=\"771\" height=\"411\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Methodology.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Methodology-336x179.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Methodology-768x409.png 768w\" sizes=\"auto, (max-width: 771px) 100vw, 771px\" \/><p id=\"caption-attachment-1239342\" class=\"wp-caption-text\">Busca metodolog\u00edas y fuentes para investigar infraestructura digital. Imagen: Diagrama, cortes\u00eda del autor<\/p><\/div>\n<p><b>Casos de estudio<\/b><\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.mandiant.com\/sites\/default\/files\/2021-09\/mandiant-apt1-report.pdf\"><b>Informe Mandiant sobre el grupo amenazante APT1<\/b><\/a><b>.<\/b> En el 2013, la compa\u00f1\u00eda estadounidense Mandiante atribuy\u00f3 la actividad de un actor amenazante llamado APT1 a la<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/PLA_Unit_61398\"> Unidad 61398 del Ej\u00e9rcito Popular de Liberaci\u00f3n de China<\/a>. Este grupo militar chino ha estado activo al menos desde el 2006 y es el origen de ataques que comprometieron a por lo menos 141 organizaciones.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/interaktiv.br.de\/ocean-lotus\/en\/\"><b>Investigaci\u00f3n sobre el grupo vietnamita Ocean Lotus.<\/b><\/a> Periodistas de Bayerischer Rundfunk y de Zeit Online hicieron un gran trabajo investigando la infraestructura empleada por Ocean Lotus, un grupo amenazante que generalmente se cree est\u00e1 vinculado con las autoridades vietnamitas. La investigaci\u00f3n mezcl\u00f3 fuentes humanas con investigaci\u00f3nes t\u00e9cnicas sobre los dominios y los servidores empleados por el grupo.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/citizenlab.ca\/2020\/12\/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles\/\"><b>Informe de Citizen Lab sobre la firma de vigilancia Circles.<\/b><\/a> Usando escaneos personalizados en todo internet, Citizen Lab identific\u00f3 la configuraci\u00f3n empleada por Circles para sus clientes. Citizen Lab dio con 25 gobiernos que eran clientes de esta compa\u00f1\u00eda de vigilancia Israel\u00ed.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/documents\/afr57\/4756\/2021\/en\/\"><b>Togo: Hackers por encargo en \u00c1frica occidental.<\/b><\/a> En octubre de 2021, el Laboratorio de Seguridad de Amnist\u00eda Internacional public\u00f3 un informe sobre un ataque con software de espionaje contra un activista de Togo. El ataque luego se vincul\u00f3 a la compa\u00f1\u00eda india Innefu Labs. Este es un ejemplo interesante de c\u00f3mo usar errores t\u00e9cnicos en la infraestructura del atacante para identificar al actor tras el ataque.<\/p>\n<p><b>Recursos adicionales<\/b><\/p>\n<p><a href=\"https:\/\/gijn.org\/es\/espanol-amenazas-digitales-desinformacion\/\"><i>Gu\u00eda para periodistas: c\u00f3mo investigar la desinformaci\u00f3n<br \/>\n<\/i><\/a><\/p>\n<p><a href=\"https:\/\/gijn.org\/es\/capitulo-3-investigar-delitos-electronicos\/\"><i>Gu\u00eda de GIJN para investigar el crimen organizado. <\/i><\/a><\/p>\n<p><a href=\"https:\/\/gijn.org\/es\/guia-para-periodistas-investigar-el-panorama-de-las-amenazas-digitales\/\"><em>Gu\u00eda para periodistas: investigar el panorama de las amenazas digitales<\/em><\/a><\/p>\n<hr \/>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1239368 alignleft\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/10\/Etienne.png\" alt=\"\" width=\"93\" height=\"140\" \/><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/randhome.io\/\"><b><i>Etienne \u201cTek\u201d Maynier<\/i><\/b><\/a><i> es un investigador de seguridad en el Laboratorio de Seguridad de Amnist\u00eda Internacional. Ha investigado ataques digitales contra la sociedad civil desde 2016 y ha publicado muchas investigaciones sobre suplantaci\u00f3n de identidad, software de espionaje y campa\u00f1as de desinformaci\u00f3n. Pueden encontrarlo<\/i><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/randhome.io\/\"> <i>en su portal<\/i><\/a><i> o en<\/i><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/todon.eu\/@tek\"> <i>Mastodon<\/i><\/a><i>.\u00a0<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En esta \u00faltima entrega de la gu\u00eda para investigar amenazas digitales de GIJN, el investigador de seguridad franc\u00e9s Etienne Maynier cubre la infraestructura digital. El texto brinda herramientas y recursos para mejorar tus investigaciones sobre sitios web, campa\u00f1as de desinformaci\u00f3n o software esp\u00eda.<\/p>\n","protected":false},"author":3031159,"featured_media":1239030,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_price":"","_stock":"","_tribe_ticket_header":"","_tribe_default_ticket_provider":"","_tribe_ticket_capacity":"0","_ticket_start_date":"","_ticket_end_date":"","_tribe_ticket_show_description":"","_tribe_ticket_show_not_going":false,"_tribe_ticket_use_global_stock":"","_tribe_ticket_global_stock_level":"","_global_stock_mode":"","_global_stock_cap":"","_tribe_rsvp_for_event":"","_tribe_ticket_going_count":"","_tribe_ticket_not_going_count":"","_tribe_tickets_list":"[]","_tribe_ticket_has_attendee_info_fields":false,"republication-tracker-tool-hide-widget":false,"footnotes":"","_tec_slr_enabled":"","_tec_slr_layout":""},"categories":[23185,23184,23182],"tags":[],"gijn_topic":[22819],"series":[],"gijn_language":[],"gijn_region":[18861],"class_list":["post-1239028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-capitulo-es","category-guia-es","category-recurso","gijn_topic-guia-para-investigar-amenazas-digitales","gijn_region-africa-es"],"acf":[],"ticketed":false,"_links":{"self":[{"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/posts\/1239028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/users\/3031159"}],"replies":[{"embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/comments?post=1239028"}],"version-history":[{"count":12,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/posts\/1239028\/revisions"}],"predecessor-version":[{"id":1241516,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/posts\/1239028\/revisions\/1241516"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/media\/1239030"}],"wp:attachment":[{"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/media?parent=1239028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/categories?post=1239028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/tags?post=1239028"},{"taxonomy":"gijn_topic","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/gijn_topic?post=1239028"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/series?post=1239028"},{"taxonomy":"gijn_language","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/gijn_language?post=1239028"},{"taxonomy":"gijn_region","embeddable":true,"href":"https:\/\/gijn.org\/es\/wp-json\/wp\/v2\/gijn_region?post=1239028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}