De Forocoches al asalto al Capitolio: ojo con lo que haces por la calle porque te van a pillar
  1. Tecnología
TÉCNICAS DE OSINT

De Forocoches al asalto al Capitolio: ojo con lo que haces por la calle porque te van a pillar

El FBI ha contado con la colaboración de usuarios que han analizado vídeos y fotos para encontrar a participantes en la revuelta del 6 de enero. En España también se han vivido estos CSI esporádicos

placeholder Foto: Foto: Efe.
Foto: Efe.

Que el pasado 6 de enero al Capitolio de Estados Unidos las hordas de seguidores de Trump le pillaron con la guardia baja ha quedado meridianamente claro. Las imágenes del dispositivo de seguridad desbordado, dejando acceder a los asaltantes, recorrieron todo el mundo. A partir de ese momento cientos de personas entraron en el corazón de la democracia de la primera potencia mundial. Durante algunas horas circularon por el edificio realmente desatados. Mancillaron los asientos de la Cámara de Representantes, accedieron a los despachos de congresistas como Nancy Pelosy e incluso alguno se llevó un atril a modo de 'souvenir'. Todo ante la mirada de unos vigilantes que no podían ni contenerles ni meterles en cintura. Tampoco, por supuesto, tomarles la matrícula. El resultado es que muchos de ellos se marcharon de allí con una falsa sensación de impunidad.

Foto: Unos 300 miembros de la ultraderecha se manifiestan en Barcelona en 2019 para defender la unidad de España. (EFE)

Una ilusión que a algunos le ha durado unas pocas horas o días, ya que se está consiguiendo identificar y detener a muchos de los asaltantes gracias a las imágenes que volaron libres por internet durante muchísimas horas.

Algunas de estas pruebas fueron tomadas por los cámaras o los periodistas que estaban allí. También había material del circuito de vigilancia del edificio. Pero una gran mayoría de ellas eran de los propios 'trumpistas', que colgaron en sus redes sociales su particular hazaña. Algo que acaba siendo un material valioso para dar con ellos y llevarles ante la justicia, si es lo que procede. Esta suerte de CSI en versión digital no ha sido cosa exclusiva de las autoridades federales. El FBI no tardó en pedir la colaboración ciudadana. Poco después de que Mike Pence, vicepresidente y máxima autoridad del Senado, rubricase por fin la victoria de Joe Biden, está agencia pidió que les hiciese llegar cualquier indicio -información, foto o vídeo- sobre los protagonistas de tal histórico acontecimiento en Washington.

Esto activó una respuesta en internet en la que muchísimos particulares empezaron a etiquetar a la agencia o a remitirles cualquier tuit, video o fotografía pública que se encontraban. Hay un detalle nada menor. A día de hoy las cámaras de prácticamente cualquier 'smartphone' pueden grabar en grandes condiciones tanto en exteriores como en el interior de un edificio. Con la nitidez y resolución para reconocer sin muchos titubeos a los que salen en las capturas. Si tenemos en cuenta que lo de entrar con la cara pintada, un gorro y cornamenta como 'El Lobo de Yellowstone' era una excepción pues eso facilita enormemente el trabajo de identificación.

Parler: de refugio a evidencia

Pero muchos de estos usuarios no se encontraban ni se movían en las grandes redes sociales. La gran mayoria de ellos estaban en Parler, la comunidad utilizada por los 'trumpistas' y seguidores de la teoría Qanon para organizarse. La app, ya vetada por las tiendas de Google y Apple y eliminada de los servidores de Amazon Web Services, ha acabado por convertirse en la mejor prueba contra su propia parroquia.

placeholder Foto: Efe.
Foto: Efe.

Aprovechando un agujero de seguridad, una 'hacker' consiguió prácticamente duplicar el 99,9% del contenido, de manera legal según sus palabras, de Parler antes de que se evaporase por la decisión de las grandes 'tech', algo que le ha dejado a un paso de la desaparición. Tal y como se explica en varios hilos de Reddit, el fallo en el sitio estaba en un error de programación en el factor de doble autenticación, que permitiría a un ataque con conocimientos suficientes crear cuentas con privilegios de administrador. Además cometió el que diseño el sitio cometió otro error: ordenar cronológicamente las publicaciones añadiendo un número en la URL. Una vez se destapa el patrón, basta con poner la siguiente cifra para acceder al siguiente post. Otras plataformas lo que hacen es crear series aleatorias para evitar esto.

@ed_donkey, como se conoce al activista que logró acceder a todas esos contenidos abiertos de Parler, decidió salvaguardar entonces toda esa base de datos en un sitio llamado 'InternetArchive.org', que es una enorme biblioteca de sitios webs viejos. De esta manera creaba una copia, dejándola a disposición de quien quisiese hacer uso de ellos. En este botín hay una pieza importante: los metadatos.

Es probable que hayan oído hablar de esto en los últimos días a raíz de la polémica del cambio de condiciones de WhatsApp, que compartirá esta información con Facebook a partir de ahora. Se trata de pequeños paquetes de datos que indican cosas como la ubicación, el teléfono y otros aspectos de cuándo y dónde se envía un mensaje, se toma una foto o similar.

La magia del 'OSINT'

La gran mayoría de plataformas los eliminan o los codifican. Pero no ha sido el caso de Parler. Gracias a esa clonación cuasi total de la plataforma, se proporcionó abundante material multimedia y publicaciones trufadas de metadatos, entre los que se incluyen la resolución de los smartphones con los que lo tomaron, pero también la posición GPS de los mismos. Y eso puede incluir no solo los vídeos del Capitolio, sino publicaciones que hayan realizado desde sus casas facilitando mucho el trabajo de localización.

En estos días hemos visto cómo se han hecho mapas de calor de Estados Unidos con los puntos desde donde se hacían publicaciones en Parler o como Bellingcat, la plataforma verificadora, compilaba y recogía estos vídeos.

Eso ha sido gasolina pura para los colaboradores e investigadores que aplican técnicas de 'OSINT' (inteligencia de fuentes abiertas). Detrás de este acrónimo, se encuentra un movimiento que consiste, 'grosso modo', en peinar la abundante información que está abierta en la red con diversos fines, como puede ser localizar personas o identificarlas. Muchas veces no depende de una sola persona o de un grupo pequeño. La multitud va a aportando detalles que van encontrando en las fotografías o los vídeos y con ello se acaba teniendo un rastro para seguir.

Jon Scott-Raillon, investigador principal del investigador del Citizen Lab de Toronto y uno de los detectives de Twitter más activos en esta campaña, resume bien en esta entrevista uno de los trabajos de los últimos días que puede servir a modo de ejemplo. Pidió fotos de un sospechoso que quería identificar. Se logró relacionar las imágenes gracias a las pistas que daba por ejemplo la peculiar gorra que llevaba o un parche del estado de Tennessee. En una de ellas encontró una imagen de la agencia AP en la que aparecía en la explanada del Capitolio. Pagó por los derechos, la publicó en redes como Twitter y horas más tarde la comunidad le había dado ya varias respuestas sobre la identidad, que trasladó a la Policía.

Con estas mismas herramientas el FBI, por ejemplo, logró detener a un hombre en Chicago, acusado de irrumpir en el Capitolio el pasado día 6. Todo porque publicó en Instagram un mapa de la ruta desde Illinois a Washington y una foto en el despacho de Pelosi. Aunque ese contenido solo estuvo una hora en su perfil, fue tiempo suficiente para que la ingeniería social de los agentes funcionase.

Como estos hay otros tantos ejemplos, porque hay varias decenas de detenidos a día de hoy. Las autoridades ha n deslizado que está utilizando otras tecnologías para dar con los asaltantes, reconocerles y demostrar su presencia en el Capitolio. Una de ellas es el reconocimiento facial, cuyos resultados cruzan con diferentes bases de datos, como pueden ser las de los permisos de conducir. Un sistema que además no está siendo complicado de aplicar más allá de las políticas de privacidad que pueden obstaculizar su uso libre. ¿Por qué? Primero por la claridad y nitidez de los videos. Segundo, porque la mayoría de los asaltantes iban con la cara descubierta. Y tercero, porque la gran mayoría de seguidores eran hombres y mujeres blancos, donde la tasa de error es mucho menor que con otras razas.

placeholder Foto: Efe.
Foto: Efe.

No es lo único de lo que se ha echado mano. También han aprovechado los datos de la triangulación las antenas de telefonía y los registros tras conectarse a redes wifi del Capitolio. Al engancharse a estos puntos, los teléfonos de los asaltantes habrían dejado un rastro que serviría como eventual prueba para situarles allí.

"En España la Ley de Telecomunicaciones contempla este escenario, pero siempre con una intervención judicial para acceder a ese tipo de datos, dado lo sensible del asunto"; explica Sergio Carrasco, abogado e ingeniero de telecomunicaciones. Este experto señala que gracias a este método se puede conocer información como el tipo de dispositivo o un identificador único relacionado con el número del cliente. "En Estados Unidos hay que entenderlo desde otro punto de vista dada las leyes en materia de seguridad nacional que tienen allí. Se trata de un incidente grave y hablamos de delitos federales".

Foto: Foto: Reuters.

El reconocimiento facial también ha sido objeto de debate en nuestro país. Hace unos meses trascendió que el Ministerio del Interior pretendía poner en marcha con el Centro para el Desarrollo Tecnológico Industrial el desarrollo de diferentes sistemas de vigilancia. Uno de ellos basados en el reconocimiento facial, con el fin de detectar posibles delincuentes. La información se publicó en el BOE e incluso se especuló con que la Guardia Civil hiciese una pequeña prueba en el Viña Rock, un festival de música que a día de hoy sigue en el limbo debido a la pandemia, con drones equipados con cámaras. "Eso es algo que se ha hablado, también para vigilar el cumplimiento de las medidas del covid. Pero es algo que plantea muchas dudas", comenta Carrasco. "No hay que olvidar lo que ha pasado en Francia, donde la justicia ha prohibido al Ministerio del Interior, utilizar estos sistemas de reconocimiento de personas".

De McAfee a la víctima de 'La Manada'

Pero en España hemos visto cómo personas anónimas han conseguido con pruebas encontradas en las redes sociales localizar a diferentes personas. Uno de los episodios más célebres fue el de cómo un grupo de aficionados a la informática con técnicas de OSINT reconstruir los pasos de John McAfee, fundador de la empresa de seguridad informática homónima, tras ser detenido el 3 de octubre en El Prat. El polémico personaje se había pasado durante meses posteando imágenes dando a entender que estaba en un país desconocido como Bielorrusia o Ucrania. Nada de eso. Estaba en Tarragona montando una granja de criptomonedas en un antiguo hotel. Y la libre se levantó gracias a una serie de botellas Bezoya o un bote de nata ATO que aparecían en las fotografías que publicaba.

La guinda se puso cuando gracias a Google Maps descubrieron que las playas extranjeras en las que supuestamente se encontraba era la de Cambrils. Incluso descubrieron un lugar donde se tatuó gracias a otras imágenes del local, siendo las ventanas del mismo la pista definitiva.

Pero esto del OSINT, aunque ahora parezca muy loable y justificado, tiene también otras vertientes peligrosas. Uno de los principales riesgos en movimientos como los que hemos visto con la investigación en Estados Unidos es señalar erróneamente a una persona. Por eso John Scott-Railon alertaba sobre el peligro de las falsas identificaciones y recomendaba mandar cualquier indicio a través del formulario del FBI. "La justicia popular nunca es buena", dice Carrasco sobre este extremo.

"No es la primera vez que ocurren cosas así y lo correcto sería ponerte en contacto con los fuerzas de seguridad si obtienes indícios de esta manera en lugar de hacerlos públicos", agrega. "La propia Policía ha usado estas técnicas para resolver casos, especialmente en casos de acoso en redes a famosos", añade. Un caso destacado fue el de la presentadora de TVE, Lara Siscar, que fue ciberacosada por dos individuos que llegaron a crear hasta 30 perfiles distintos en redes sociales con este fin.

placeholder Foto: Efe.
Foto: Efe.

Cuando estás técnicas se utilizan con fines como la presión, vejación o chantaje dicha práctica se conoce como 'doxing'. En nuestro país hubo un caso bastante polémico. En 2018, usuarios de Forocoches y Burbuja.info, los dos mayores foros de España, publicaban presuntos datos sobre la víctima de 'La Manada' de San Fermín. La información era bastante precisa y daba mucha información acerca de ella.

¿Cómo lo consiguieron? En este caso cruzaron los múltiples datos que obtuvieron de las distintas noticias publicadas en medios, con los que llegaron a conseguir su nombre, apellidos, alguna imagen así como su LinkedIn, dejando completamente expuesta a la joven, que fue linchada públicamente. Es lo que en Forocoches se ha venido a bautizar como CSI: un grupo de usuarios van compartiendo pequeños datos supuestamente inconexos y carentes de relevancia en un hilo (ya eliminado) que finalmente sirven para descubrir cosas como esa. "Aquí hay que andar con mucho cuidado porque puedes entrar en un tema del honor y por supuesto violar normas de protección de datos".

Señor con maletín

Detrás de toda gran historia hay otra que merece ser contada

Conoce en profundidad las 20 exclusivas que han convertido a El Confidencial en el periódico más influyente.
Saber más
Estados Unidos (EEUU)