En la era digital, donde la información fluye a través de diversas plataformas en línea, la habilidad investigar y discernir la autenticidad de las fuentes se vuelve fundamental.
En otros artículos hablamos sobre técnicas y herramientas OSINT para la investigación en Internet, y sobre la investigación en la DarkWeb orientada a la ciberseguridad.
En esta ocasión, mencionaremos los sock puppets. Por qué son elementos claves antes de encarar cualquier investigación de tipo OSINT, y por qué debemos saber detectarlos y prestarles atención durante la búsqueda de información.
¿Qué son los "Sock Puppets"?
Los "Sock Puppets" (títeres de calcetín) son identidades o perfiles ficticios que se usan para obtener anonimato en foros de discusión, plataformas de comentarios, redes sociales, servicios de email, entre otros.
Estos perfiles se presentan como usuarios genuinos, pero son controlados por una persona o entidad que puede ser un actor malintencionados que intenta engañar, manipular e influir en la percepción de la información, pero también, como dijimos, pueden ser usados por un investigador de fuentes abiertas.
Los "Sock Puppets" como herramienta de los investigadores
Los sock puppets permiten a los investigadores actuar sin ser descubiertos ni dejar rastro de su trabajo; con estos perfiles evitan acceder desde cuentas personales y ser rastreados. Este anonimato, debe ir acompañado del uso de otros recursos como VPNs o Proxys, para que sea más efectivo.
Una vez creado los sock puppet, el investigador podrá identificarse en sitios web, realizar búsquedas en redes sociales, rastrear datos y personas, infiltrarse en foros, comunidades, o contactos objetivos. Puede, así, observar desde la distancia, o desde puntos más cercanos, a sus blancos, y acceder a información —como informes o reportes— en sitios que pidan una casilla de correo.
No se trata de crear una cuenta ficticia y ya, pues ciertos foros y comunidades requieren antigüedad para poder participar o acceder a cierta información. Debe considerarse el uso de cuentas que tengan actividad sostenida en el tiempo en diversas comunidades y aplicaciones; cuanto más antiguas sean las cuentas y mayor actividad tengan, más naturales se verán y por consiguiente serán menos sospechosas.
Es importante ser estratégico y preciso a la hora de crear este tipo de cuentas, ¿cuáles son las redes que proveen más información? ¿cuáles son las aplicaciones más utilizadas hoy día? Estas son algunas preguntas que ayudan a discriminar dónde crearnos cuentas, cómo debemos mantenerlas, y si serán de tipo temporal —cuentas tipo ad-hoc que no requieren mantenimiento y son de usar y tirar—; o bien de largo plazo que necesitan ser alimentadas y mantenidas con información.
Entender la naturaleza del servicio donde necesitamos crear una cuenta, también es importate. Si, por ejemplo, el investigador necesita usar un perfil de LinkedIn -que es una mina de información-, cuando intente observar a un objetivo, debe saber que el usuario apuntado tendrá una notificación de que han visitado su perfil -todo dependiendo las configuraciones de una y otra cuenta-. Si esta visita se hace desde un perfil recién creado, por ejemplo, despertará sospechas. También la plataforma exige cierta actividad y número de contactos para ver parte de la informacióne, y aquí es donde un buen sock puppet con años de interacciones puede servir para este propósito.
Clasificación de los sock puppets
Podemos clasificar los sock puppets en dos tipos: los de carácter temporal ad-hoc, que nos servirán para conseguir algo concreto, como registrarse en un sitio web, dejar un email, descargar algo, etc.; y los de largo plazo que requieren mantención con años de actividad en redes sociales como Facebook, Twitter o LinkedIn, o en comunidades de interés, como las de filtrado de datos o foros de hacking.
Analicemos a continuación las características y consideraciones de cada tipo de cuenta y que función tienen dentro de una investigación:
Características de un SockPuppet temporal
Estas cuentas servirán por un breve tiempo y no son necesarias tantas consideraciones a la hora de crearlas ya que luego de usarlas se descartan.
El caso más típico es cuando se necesita dejar un email para bajar un documento de un sitio que nos puede interesar para la investigación, o también cuando es necesario registrarse en un sitio web para acceder y solo necesitamos pegar una mirada global al contenido del sitio. Para este último caso basta con crear un cuenta en el sitio objetivo con datos aleatorios, podremos usar para esto servicios de cuentas temporales como Gmailnator, Temp-Mail, o Yopmail.
Características de un Sock Puppet de largo plazo
Estas cuentas por lo general se necesitarán crear en las principales redes sociales, y requieren más esfuerzo puesto que detrás de cada cuenta habrá que crear una identidad lo más genuina posible generando actividad en la misma. Cuanto más antigüedad tengan mejor pasaran por cuentas legitimas.
En concreto estamos hablando de cuentas que pasen desapercibidas y a las que habrá que crearles una historia que contemple un nombre, apellido, profesión, lugar de residencia, que cuente sus intereses, tenga comentarios, posts e incluso fotos.
Toda esta información debe hacer a una biografía donde es importante ser concreto con la información y al mismo tiempo dejar información abierta: informar sobre una actividad, por ejemplo, pero no sobre el cuándo y dónde. Esto dará más trabajo a alguien que haga contrainteligencia sobre este perfil falso.
A la hora de usar fotos, es lógico pensar utilizar herramientas de IA para generarlas, pero es poco recomendable ya que es muy sencillo validar si una foto fue creada con esta tecnología o no. En este punto la creatividad y la experiencia dará lugar al investigador a decidir qué imagen utilizar para no ser delatado y que no se logre una contrainteligencia exitosa.
Por supuesto que los sock puppets se crean y se les da vida mucho antes de que sean necesarios para una investigación; cuando llegue el momento de investigar los necesitaremos operativos y bien constituidos. Gracias a las medidas de que toman las redes sociales y aplicaciones para monitorear la presencia de bots y cuentas falsas, es cada vez más difícil generar este tipo de perfiles y hay que hacerlos de modo más manual.
Consideraciones para administrar los socks puppets
Las cuentas temporales no requerirán demasiado esfuerzo. Las cuentas de largo plazo sí será necesario tenerlas presentes y generar actividad habitual, y contar con una agenda que organice estas actividades: cuándo identificarse y visitar otras cuentas, marcar posts como favoritos, hacer algún comentario que no genere ruido, y hacerlo en días y horas desordenados para dar una impresión más natural y emular un comportamiento humano lo más real posible.
Tener este tipo de consideraciones evitara los mecanismos de control y borrado de cuentas falsas por parte de redes sociales y también ser descubiertos cuando alguien ejecute contrainteligencia, algo que en toda investigación debemos suponer que siempre se va a producir.
El anonimato no solo lo tendremos cubierto con el uso de estas cuentas sock puppets, sino que será necesario utilizar VPNs, Proxys, y efectuar la navegación fuera de nuestro entorno personal. Puedes tener un equipo específicamente para este fin o bien hacerte de una máquina virtual (MV) donde solo realices tareas de investigación.
En esta máquina podrás instalar herramientas para gestionar los sock puppets, como Keepass para gestión de contraseñas, o Firefox Multi Account containers para separar las distintas cuentas online e intercambiarlas; o el Gestor de perfiles de Firefox y de este modo ir eligiendo el que necesites para investigar.
Entre todas estas consideraciones algo que nunca falla es tener papel y lápiz, escribir los datos de biografías y demás en un dossier con todos los sock puppets y tenerlo a mano es importante para recordar cada historia y evitar pasos en falso que nos pongan en evidencia.
Si bien esto te sonara tedioso, es importante que cada sock puppet tenga sus emails, contraseñas, cuentas en sitios webs propias y, sin un orden, en algún punto todo se vuelve ingobernable.
Los socks puppets en acción
Una vez que hayas construido la historia de un personaje, antes de lanzarte a investigar es importante que reúnas información suficiente sobre tu objetivo. Esto es recomendable hacerlo utilizando varias cuentas para evitar trazabilidad en caso de que alguien haga contrainteligencia.
Antes de empezar, es importante entender cuáles son límites y alcances de los sock puppets, pues no se trata de investigar al azar si no todo tendrá que ser pensado y con razón de ser, ya que cualquier comentario o visita no calculada podrá complicar o echar a perder la investigación.
A la hora de investigar la experiencia del operador es importante ya que podrá intuir cual será la mejor estrategia de comunicación, por ejemplo que sus sock puppets se relacionen entre sí para llamar la atención del objetivo.
En esta etapa es necesario no tentarse en tomar contacto directo con el objetivo, aunque sea con sock puppets y atender a todas las medidas de seguridad habituales. También no olvidar que si entramos en contacto para averiguar información no revelada públicamente, estaríamos saliendo del ámbito OSINT lo que puede traer complicaciones de de tipo legal, y poner en riesgo la utilidad de nuestro sock puppet que tanto nos costó mantener. Debemos tener claro esto como premisa antes de llevar a la acción cualquier investigación OSINT, pues OSINT no es HUMINT ni IMINT , es todo lo que se obtiene de manera publica y desde este lugar menos sentido aun cobra la idea de tomar contacto directo con un objetivo.
Los "Sock Puppets" como amenaza dentro de una investigación
Hemos aprendido las bases de los sock puppets y cómo podemos utilizarlos dentro de una investigación OSINT. Ahora bien, también hemos dado algunas claves para no caer, como investigadores, en cuentas sock puppet que puedan estar utilizando personas que estén haciendo contrainteligencia o tengan fines maliciosos. En una investigación, saber identificarlos es crucial, y para esta tarea es importante considerar el pensamiento lateral, algo que en términos de seguridad es esencial para ser eficaces y ampliar nuestra actividad de juego.
Aquellos que defienden deben saber cómo pueden ser atacados, y aquellos que atacan deben saber como se defienden sus objetivos (Blue Team / Red Team), esta situación es una de las que transforma a cualquier área de la seguridad en un desafío constante y donde la experiencia y creatividad de los especialistas hacen la diferencia entre los resultados que obtengan.
Identificando potenciales "Sock Puppets":
Los Sock Puppets representan una amenaza para la integridad de la información en línea. En el contexto de la investigación OSINT, su detección es esencial para garantizar la fiabilidad y credibilidad de los datos recopilados y ayudan a garantizar la precisión.
La identificación temprana de estos perfiles ficticios permite a los investigadores filtrar información errónea y preservar la autenticidad en el proceso de recopilación de datos, puesto que la manipulación de la información puede tener consecuencias significativas en la toma de decisiones.
Considerar que siempre nos cruzaremos con este tipo de perfiles nos dará una manera de observar diferente, y no 'compraremos' lo primero que se venga sin antes verificar la información.
Para identificarlos puedes:
- Observar análisis de Patrones de Comportamiento: Los Sock Puppets tienden a seguir patrones de comportamiento similares. Su actividad puede revelar una falta de autenticidad, como la replicación de mensajes, la interacción entre perfiles falsos o la ausencia de interacciones con usuarios reales.
- Examinar Detalles del Perfil: La falta de información personal detallada, fotos genéricas, realizadas con IA, o imágenes sacadas de bancos de imágenes, y la ausencia de interacciones humanas auténticas pueden ser señales de alerta.
- Hacer investigación Cruzada y Verificación: Comparar la información proporcionada por estos perfiles con otras fuentes y realizar verificaciones de autenticidad de imágenes o datos puede revelar inconsistencias, esta tarea es muy importante para validar la información que estemos recolectando, pues una verdad se oculta entre dos mentiras.
Ventajas y desventajas de los sock puppets en OSINT
A estas alturas ya abrás sacado tus conclusiones, pero debemos estar de acuerdo en que los sock puppets fuera de que son el primer paso en cualquier investigación OSINT, tienen otras ventajas, como el anonimato y la protección tras una persona ficticia; la posibilidad de crear una relación con una fuente sin tener contacto con ella haciendo que nos conozca y le sonemos de algo, lo que hará que no seamos completos desconocidos ocultando nuestra verdadera identidad; y algo no menos importante es que si los sock puppets están bien gestionados podemos considerarlos como agentes externos, o agentes al servicio de nuestra investigación con capacidad de investigar e infiltrarse donde sea necesario.
Como desventaja podemos mencionar que es fácil ser descubierto como sock puppet si no se es cuidadoso con lo que hace -como no ocultar la IP, usar imágenes triviales o no tener una gestión de cuentas decente que tenga perfiles específicos para cada fin-; requiere de tiempo y esfuerzo construir y mantener un nuevo personaje y, es aquí donde muchos investigadores claudican y el sock puppet pierde valor y se vuelve más identificable por un tercero.