loader image
img not found!

Tácticas de OSINT: Lo que Internet sabe de ti (y tú no sabías) – Por Omar Espino


Tácticas de OSINT: Lo que Internet sabe de ti (y tú no sabías)


El presente taller está orientado a brindar conocimientos prácticos sobre la Inteligencia de Fuentes Abiertas (OSINT), utilizando exclusivamente información pública y legal disponible en Internet. Todo el tiempo estamos generando información aparentemente irrelevante, que puede ser recolectada para obtener un perfil detallado de una persona o entidad, exponiendo datos “privados” al alcance de cualquier atacante.


Contenido

  • Introducción a la huella digital: Conceptos fundamentales sobre la información que dejamos expuesta y las herramientas para su recolección.
  • Explotación de fuentes públicas: Uso avanzado de buscadores (Google Dorks), redes sociales y registros de acceso público para localizar información específica.
  • Metodología de investigación: Proceso de obtención de datos, filtrado de ruido y validación de fuentes para asegurar la veracidad de la información.
  • Análisis de metadatos: Extracción de datos ocultos en imágenes y documentos digitales (ubicación, fechas, dispositivos) para obtener contexto adicional.
  • Correlación y Pivoting: Técnicas para conectar datos dispersos (un correo, un nombre de usuario) y ampliar la superficie de investigación.
  • Uso de herramientas especializadas: Configuración y manejo práctico de software y frameworks diseñados para automatizar la búsqueda, recolección y visualización de datos.
  • Higiene digital y mitigación: Cómo reducir la exposición propia y proteger la privacidad ante estas técnicas de búsqueda.

Ponente: Omar Espino

Investigador de seguridad, bug hunter, conferencista internacional y experto en análisis de vulnerabilidades y pruebas de penetración. Ha reportado fallos de seguridad válidos en compañías de primer nivel como: Google, Apple, Microsoft, Facebook, Twitter, Telegram, Nokia, Sony, Slack, Atlassian, Netflix, etc. lo que le ha permitido estar en el salón de la fama de seguridad de cada una de ellas.


Reportes de fallos de seguridad válidos:

  • Google VRP: Descubrimiento de archivos locales en servidor de producción de Google
  • Apple: Información PII, lista completa de contactos, número de teléfono principal. y divulgación de correo electrónico de iCloud; lectura de archivo local a través de un archivo zip y enlaces simbólicos en la aplicación iOS Files.
  • Google VRP: De inyección de JavaScript a comprometer servidores de Cloudshell.
  • Google VRP: Variables locales de /etc/environment exfiltradas Google Earth pro de escritorio
  • Yahoo!: De inyección de JavaScript a cuenta de usuario comprometida por completo