El 5 de abril de 2023, el FBI y la Policía Nacional Holandesa anunciaron el desmantelamiento de Genesis Market , uno de los mayores mercados de la web oscura. La operación, denominada «Operación Monstruo de las Galletas», resultó en el arresto de 119 personas y la incautación de más de $ 1 millón en criptomonedas. A la luz de estos eventos, me gustaría discutir cómo OSINT puede ayudar con las investigaciones de la web oscura.
El anonimato de la Dark Web atrae a una variedad de usuarios, desde denunciantes y activistas políticos hasta ciberdelincuentes y terroristas. Hay varias técnicas que se pueden usar para tratar de identificar a las personas detrás de estos sitios y personas.
Vulnerabilidades Técnicas
Si bien no se considera OSINT, ha habido casos en los que han existido vulnerabilidades técnicas en la tecnología utilizada para alojar sitios web oscuros. Estas vulnerabilidades pueden existir en el propio software o deberse a configuraciones incorrectas, pero a veces pueden revelar la verdadera dirección IP del sitio. A menudo, estas vulnerabilidades de software requieren herramientas y técnicas de prueba de penetración como Burp Suite para inducir mensajes de error que contengan la verdadera dirección IP del sitio. Vulnerabilidades como estas son poco comunes y rara vez se utilizan.
También ha habido casos en los que los operadores de sitios web oscuros han utilizado certificados SSL o claves SSH, que se pueden vincular a su verdadera dirección IP mediante servicios como Shodan o Censys.
Seguimiento de criptomonedas
Las transacciones en la web oscura a menudo involucran criptomonedas a cambio de bienes y servicios ilegales. Esto abre la posibilidad de identificar individuos con la ayuda de herramientas de análisis de blockchain.
No puedo ir a un banco y abrir una cuenta con el nombre «anónimo» debido a las leyes diseñadas para prevenir el lavado de dinero. Estos requisitos a menudo se denominan Antilavado de dinero (AML) y Conozca a su cliente (KYC) y requieren que los clientes proporcionen una identificación emitida por el gobierno como prueba de identidad. Muchos países tienen requisitos similares en los intercambios de criptomonedas.
Durante varios años, las empresas han proporcionado herramientas de análisis de cadenas de bloques que intentan vincular direcciones de criptomonedas a intercambios específicos, como Coinbase o Binance. Una vez que una dirección de criptomoneda está vinculada a un intercambio específico, las fuerzas del orden y/o los investigadores financieros con autoridad legal pueden solicitar que el intercambio les proporcione información de identificación del propietario de esa cuenta.
Históricamente, estos servicios de análisis de cadenas de bloques han tenido un costo prohibitivo para que las personas compren, sin embargo, el proveedor de análisis de cadenas de bloques Breadcrumbs lanzó recientemente una plataforma de análisis que ofrece precios mucho más asequibles y un plan gratuito.
No hablamos de la web oscura hasta el quinto día de mi curso práctico de OSINT SANS SEC497 , ¿por qué? Es importante que primero conozca las opciones disponibles una vez que un método de contacto adquirido en la dark web se vuelve a traer a Internet. Dejame explicar.
Imagina que diriges un camión de comida constantemente obligado a cambiar de ubicación debido a una ordenanza de la ciudad que establece que nunca puedes estar en el mismo lugar más de dos veces al mes. ¿Cómo trataría de generar lealtad a la marca y permitir que los clientes potenciales sepan dónde se encuentra todos los días?
Es probable que intente que los clientes se conecten con usted en las redes sociales o visiten su sitio web, etc., para que puedan saber dónde encontrarlo. Lo creas o no, existe una dinámica muy similar en la dark web.
Lo que proporciona la web oscura en el anonimato, y lo que le falta es estabilidad y seguridad. Los principales mercados como Silk Road, AlphaBay, Hansa, Wall Street y ahora Genesis han sido derribados por la policía. Los ataques de denegación de servicio se han convertido en un problema importante en la red Tor, como lo demuestra el popular foro «Dread» que recientemente estuvo inactivo durante varios meses debido a tales ataques. ¿Te imaginas intentar llevar un negocio y lograr un ingreso estable en ese entorno?
Una forma en que los vendedores intentan lograr estabilidad y resiliencia es vender en múltiples mercados y proporcionar métodos para contactarlos directamente. Este intento de proporcionar estabilidad tiene mucho sentido y es increíblemente útil para los profesionales de OSINT porque proporciona métodos de contacto, o «selectores», que podemos usar para encontrarlos en Internet y aportar todo nuestro conocimiento, experiencia y recursos. . Mire el ejemplo a continuación donde pudimos tomar una dirección de correo electrónico de un sitio web oscuro y vincularla a un sitio en Internet usando Google.
Una vez que vinculamos a la(s) persona(s) con los recursos en Internet, tenemos numerosas opciones para eliminar el anonimato. Algunas de mis opciones favoritas incluyen:
Búsquedas históricas de WHOIS
La información de registro de dominio, como los registros de WHOIS, puede proporcionar información útil sobre el propietario u operador de un sitio web. En algunos casos, los delincuentes pueden exponer inadvertidamente su identidad o ubicación utilizando medidas de protección de la privacidad inexactas o incompletas. Incluso si la información de WHOIS para un sitio es actualmente anónima, a menudo hubo un momento en el pasado en el que no lo era. He visto brechas tan pequeñas como de cuatro días en las que un sitio registrado de forma privada antes y después revelaba la verdadera identidad de su propietario.
Las personas en la web oscura a menudo participan en foros para comunicarse, responder preguntas, etc. Sin darse cuenta, pueden revelar información que puede ayudar a los profesionales de OSINT a aprender más sobre sus verdaderas identidades. El lenguaje que usan y sus dichos únicos pueden ser extremadamente útiles.
Incumplimiento de datos
Incluso si un correo electrónico está vinculado a un servicio anónimo, el usuario puede haberlo utilizado en otros sitios, incluidos foros y redes sociales. Si tiene la capacidad legal y moral de utilizar datos de infracciones en sus investigaciones, es posible que pueda vincular una persona en línea con un nombre real, una dirección física, etc.
Un ejemplo de una filtración que resultó útil para algunos investigadores fue la fuga de 10 GB de datos de 2021/2022 de varios proveedores de VPN, incluidos SuperVPN, GeckoVPN y ChatVPN. Estos datos contenían nombres completos, detalles de facturación e identificadores potencialmente únicos sobre los dispositivos utilizados, incluida la identidad de suscriptor móvil internacional (IMSI) de los dispositivos móviles.
Tendencias y desarrollos futuros
Los futuros derribos del mercado de la web oscura utilizarán métodos discutidos aquí y sin duda incorporarán tecnologías emergentes. El desarrollo más obvio es el uso de Inteligencia Artificial (IA) y Aprendizaje Automático (ML) en OSINT. Por ejemplo, la IA puede ayudar a crear herramientas de web scraping que pueden recopilar y analizar rápidamente datos de múltiples fuentes, mientras que los algoritmos de ML se pueden entrenar para identificar patrones y relaciones en los datos. Estos avances tienen el potencial de ahorrar tiempo y recursos significativos a los investigadores, permitiéndoles concentrarse en otros aspectos de sus investigaciones.
Nota: este artículo fue escrito por expertos y contribuido por Matt Edmondson , instructor principal de SANS.
Fuente y redacción: thehackernews.com