Doxing & Espionaje | Su información en la Web

Tu información y tu vida en Internet

Sin que las personas se den cuenta, al navegar en internet, están dejando rastros de ellos mismos información muy personal y delicada a la cual un atacante puede tener acceso, sabiendo como buscar.
Al tener esta información en manos equivocadas puede tener efectos negativos sobre el dueño de esta información, por ejemplo:
– Robo de identidad
– Creación de documentos falsos (pasaportes, actas de nacimiento)
– Extorción
– Robo
– Vender información
– Fraudes
Esas son algunas de las cosas que pueden hacer con tu información, por decirlo de alguna manera muy simple, para eso existen algunos métodos que nosotros podemos usar, y conocer para llevar acabo esto.

Una de las técnicas más conocidas, es el Doxing una de las mejores técnicas para descubrir identidades detrás de una cuenta o perfil en una red social. El Doxing es una técnica o un proceso para obtener información personal de un objetivo, en este caso una persona, partiendo de perfiles en redes sociales, o cuentas en diferentes páginas web.

El Doxing puede ayudar como hacer bien, pues este método lo podemos usar para encontrar criminales, pedófilos y demás delincuentes que se esconden detrás de un perfil en una cuenta en internet, pero es un arma de doble filo, podemos usar este método para buscar civiles y extorsionarlos.

Dado a la importancia de esta técnica para atrapar criminales o ciberdelincuentes, fue necesaria su automatización por medio de software, existen varias herramientas que nos facilitan el obtener información de una persona, más que nada podemos encontrar software que nos dé información de una IP.

¿El Doxing es una práctica ilegal?

Como ya sabemos el doxing consiste en compilar información detallada acerca de alguien usando fuentes, disponibles y de acceso público a cualquiera que tenga una conexión a internet, pues NO LOS ESTAS ROBANDO. Sin embargo este método de recopilación de información, se vuelve en algo ilegal o un delito por ciertas razones o circunstancias, como por ejemplo:

– Que nuestro objetivo se dé cuenta de nuestro “trabajo” y denuncie la actividad.
– El medio o método por el cual tengamos acceso a la información.

Por ejemplo, podemos infectar su Smartphone o computadora personal, con algún malware o spyware, esto ya es ilegal. A pesar de que esta información se encuentre disponible en internet (si es que la está) es considerado como acoso, otra práctica que se puede hacer, es tener acceso a la red WiFi de nuestra víctima y efectuar un ataque MITM y saber que pasa por su red.

En resumidas cuentas, el doxing si es ilegal, pues si uno lo hace con intenciones pacíficas de solo conocer a la persona, esto es considerado como acoso todo dependerá del motivo y el medio, de igual forma que no se entere nuestro objetivo.

Hora de trabajar…. Doxeando

Antes de conocer todas las herramientas y trucos que podemos utilizar para doxear debemos de tener en cuenta cual es nuestro objetivo principal… la información de otra persona. Para eso yo recomiendo enlistar toda la posible información que podamos encontrar de nuestro objetivo.
Por ejemplo:

– Nombre de usuario/Nick/apodo
– E-Mail
– Nombre real
– Fecha de nacimiento
– Localización
– Nacionalidad
– Imágenes/fotos/videos
– Religión
– Orientación sexual
– Gustos/preferencias
– Número de teléfono (personal o de casa)
– Dirección IP
– Sitios web donde está registrado o donde publica (Redes sociales)
– Miembros de su familia/amigos/conocidos
– Ocupación/trabajo/pasatiempo
– MAS INFORMACIÓN

Teniendo en cuenta que tipo de información buscamos podemos emplear diferentes técnicas para obtener toda esa información desde ataques dirigidos, spam, phishing, ingeniería social, infección por malware, etc., etc…

(Todo dependerá de tu ingenio y habilidad)

Como consejo recomiendo practicar el Doxing contra uno mismo.

-_Goohack para Doxing_-

Como medio principal para buscar información, usaremos la base de datos más grande del mundo (por decirlo de alguna manera) el poderoso San Google, pero utilizaremos las búsquedas avanzadas de google para tener información más precisa de una persona, es decir, crearemos nuestros propios Dorks para buscar información de nuestro objetivo, con el fin de hacer búsquedas más específicas y filtradas.

Si quieres saber sobre google hacking y dorks, lee mi post, dando clic sobre este texto.

Utilizando dorks haremos búsquedas avanzadas de nuestro objetivo, claro los dorks los pueden crear ustedes mismos dependiendo, del tipo de información que busquen, en mi caso hare el doxing contra mí mismo.

[ inurl ]
[ filetpy: ]
[ autor ]
[ “” ]
[ + ]
[intext: ]

Utilizando los parámetros anteriores podemos crear dorks que nos ayuden a buscar información de una persona, partiendo de un punto o de un poco de información previamente obtenida.

No son todos los parámetros, pero de igual manera vasta con investigar un poco y crear dorks más específicos, para encontrar información más específica, todo depende de nuestro ingenio y conocimiento.

-_-Facebook & Redes Sociales-_-

Las redes sociales son los lugares, donde las personas dejan su información de forma gratuita, encontrado el perfil de nuestro objetivo en las redes sociales podemos encontrar gran cantidad de información personal.

Dado que muchos usuario no tienen conocimiento suficiente para proteger sus datos e información, podemos aprovechar su ignorancia para nuestros fines, y algo que es aún más increíble, es que estas personas aceptan de amigo a cualquiera que las mande la solicitud de amistad (Facebook).

Incluso podemos utilizar dorks para encontrar sus perfiles en redes sociales, ejemplo:

José inurl:www.facebook.com

José intext:jose francisco pepito inurl:www.facebook.com

Incluso, si un usuario, no nos permite el acceso a su perfil tenemos su foto de perfil, y si esa foto es de él la ponemos en el buscador de imágenes de google, podemos encontrar imágenes similares y con algo de suerte, podemos encontrar más de sus fotos. Buscar todas sus cuentas en redes sociales nos será de utilidad.

Y más si en esta rede social nuestro objetivo publica información personal. Con Facebook podemos tener la siguiente información.

– Nombre real
– Número de teléfono
– Amigos/familia
– Correo electrónico
– Trabajo
– Lugar donde estudio o estudia
– Fotos
– Gustos
– Lugar que visita
– Pasa tiempo
– Pareja
– Estado de animo
– Lugar donde vive
– Fecha de nacimiento
– Sexo

Podemos aprovechar el exceso de confianza de nuestra víctima, haciendo un perfil falso y entablar una conversación, en la cual podamos extraer información de él sin que se dé cuenta, en pocas palabras usar ingeniería social.

Dependiendo del sexo de nuestro objetivo (hombre/mujer) debemos de crear un perfil acorde a ello, por ejemplo, si es un hombre, hacemos un perfil de una mujer linda y viceversa, un punto que podemos aprovechar de los hombres es que buscamos sexo fácil, en internet existen muchos sitios donde podemos encontrar fotos robadas de mujeres desnudas o las famosas fotos dedicas en las cuales no tienen ropa (zing sexy), pero ojo y cuidado, pues debe de ser la misma mujer, en caso de que debemos usar una cara.

Si son de esas personas que no tienen la imaginación suficiente como para crea un perfil falso, les dejo esta página web, la cual tiene como función generar de forma aleatoria un perfil, más que nada la información.

[ ]

Lo más interesante es que toda esta información se encuentra, en un solo sitio, claro siempre y cuando, nuestro objetivo la agregue a su perfil dentro de Facebook.

En caso de que nuestro objetivo, sea una persona muy interesada en crear post en páginas o blogs, podemos utilizar un parámetro de Goohack, el cual nos puede servir para encontrar, todos los post y páginas, en las cuales nuestro objetivo, publicara contenido.

[ autor ]

Usando este parámetro en nuestra búsqueda avanzada, podemos dar con todos los post de nuestra víctima. Ejemplo

Autor:pacheco123

TIP: Facebook y otras redes sociales nos brindad la posibilidad de dar un seguimiento a todas las actividades de nuestro objetivo, como por ejemplo Facebook nos puede mostrar todo lo que nuestra victima publica y a lo que esta da LIKE.

—–_La IP de nuestro objetivo y su localización_—–

Una de las cosas más importantes, es conocer el origen de nuestra víctima, así como su IP, dado que muchos usuarios en las redes sociales, publican de forma directa de donde son (país/estado) solo sería cuestión de corroborar esta información, por el tipo de publicaciones que hacen.

Una de las formas de conocer su IP es utilizando un registrador IP online (IP LOGGER), estos servicios nos permiten registrar la o las IP de un dispositivo cuando este da clic sobre un enlace.

Incluso se pueden utilizar a cortadores de link, para que no se vea tan sospechoso. La función es simple, nuestra victima da clic al enlace, este captura la información que nos indica la página y de pues nuestra víctima es re direccionada al contenido real sin que este se dé cuenta, una vez pase esto tenemos un registro con la información, pero se debe tener cuidado, pues algunos sitios solo hacen valido el link “trampa” así como el registro por 24 horas, una vez pase el tiempo esto se elimina.

Teniendo la IP podemos usar, páginas que rastrean las IP y nos dan información, sobre su posición, su proveedor de internet y demás.
(Con esta información se pueden hacer ataques directos de hacking)

IP LOGGER LINKS
[ http://grabify.link/ ]
[ http://iplogger.org/ ]
[ http://blasze.com/ ]
[ http://iplogger.org/main/urls/ ]
IP TRAKER LINKS
[ http://www.ip-tracker.org/ ]
[ http://www.infosniper.net/ ]
[ http://www.iptrackeronline.com/ ]

No son todos, pero son los que más recomiendo, de forma personal.

-.-.-.Buscar informacion.-.-.-

Ahora debemos de buscar mucha mas información de nuestro objetivo, con el fin de poder corroborar la que ya tenemos o encontrar mas información. Ahora hare mención de algunas paginas y software que nos puede ayudar a encontrar información de nuestro objetivo.

ACLARO NO POR EL HECHO DE TENER O CONOCER LAS PAGINAS O SOFTWARE, TENDRAS LA INFORMACION DE NUESTRA VICTIMA, PUES DEBES DE BUSCAR, Y CORROBORAR QUE SEA EL MISMO OBJETIVO Y NO TE EQUIVOQUES DE PERSONA, PUES, TODO PUEDE TERMINAR MAL.

Metadados

Si tienes la posibilidad de obtener directamente un archivo, foto, imagen, video, u otro tipo de archivo de nuestra victima, recuerda que puedes sacar los metadatos, en ellos, puedes encontrar:

– Posiciones GPS
– Fecha y hora
– Foto original (si es que esta fue modificida)
– Informacion del dispositivo (variada)
– Fecha de creación o modificación
– Correo electrónico
– Software

Para poder extraer los metadatos, existen muchas herramientas forenses, gratuitas y online.

Foca
[ Descargar Foca ]

Puedes visitar este sitio, para herramientas online:
[ METADATOS ]

Quiero aclarar que investigar, atravez de los metadatos, no siempre es la opción indicada, pues si descargas una fotografía de de nuestra victima la cual se encuentra en Facebook no tendrá metadatos, pues Facebook y sus políticas de privacidad, borran los metadatos y no podras conseguir mucho. Este método puede ser opcional y en un caso muy aislado, puede funcionar, todo depende del momento y de la investigación.

-|Buscar personas y perfiles|-

Para poder dar con mas exactitud con una persona o con nuestro objetivo, podemos usar paginas que nos permiten hacer búsquedas, con el fin de encontrar información, hacerca de una persona.

[ ]

Pipl.com es una de las mejores paginas a mi gusto, la cual nos permite encontrar a un usuario, o persona, indicando ciertos parámetros básicos de búsqueda, como por ejemplo:

– Nombre
– Correo electrónico
– Nickname/apodo
– Numero de teléfono

Y para hacer una búsqueda mas precisa, podemos indicar el país y el estado en donde nosotros creemos se encuentra nuestra victima.

Y al igual que este link, puedes encontrar muchos mas, pero debes tener cuidado, pues no todo en esta vida es grati$.

[ ]
La pagina skipease.com es muy similar a la anterior, con la diferencia de que pudes hacer busquedas un tanto mas precisas o mas especificas, pues hace búsquedas utilizando dorks en google, el único defecto que le veo a la pagina, es que solo crea la busqieda mas no brinda nigun tipo de informacon.

[ http://www.ussearch.com/ ]
Misma intención de la pagina, pero esta solo esta enfocada en hacer búsquedas de personas en Estados Unidos.

[ https://www.facebook.com/directory/people ]
Directorio de Facebook, no necesito decir mas…

[ http://twoogel.com ]
Buscador de perfiles de twitter

[ http://www.whostalkin.com ]
Un buscador de conversaciones en diferentes redes sociales, en mi caso personal, no me a ayudado mucho, sin embargo puede que a otros si.

[ http://www.freecellphonedirectorylookup.com ]
Busca números telefónicos, en Estados Unidos

[ http://www.numberway.com ]
Numberway.com, es una pagina, la cual yo desconocia hasta que un amigo, me la mostro. Esta pagina nos ayuda a buscra sitios web para encontrar teléfonos en todo el mundo, por ejemplo, si buscamos mexico la pagina, automáticamente nos mostrara o nos arrojara de resultado paginas en mexico, las cuales contienen directorios telefónicos, muy buena pagina y una que recomiendopara mantener en nuestro repertorio de herramientas.

[http://www.tineye.com]
Esta pagina nos permite, hacer búsquedas de imágenes, para saber si las han publicado en otros sitios. Este método lo podemos usar en google, pues en su sección de imágenes podemos buscar imágenes.

===================================================================================================================
Estos no son todos los links en los cuales podemos encontrar información, pues existen muchos, mas adelante estará una lista de links de paginas web, que nos pueda ayudar a nuestro trabajo.
===================================================================================================================

%-Anonimato-%

Si queremos mantener nuestro “trabajo” seguro de la misma forma que nuestra identidad, no podemos ir dejando nuestra información por todas partes.
Podemos hacer uso de e-mails temporales, y crean o no sirven de mucho.

[ http://www.10minutemail.com ]
10minutemail.com como su nombre lo indica nos permite tener una cuenta de e-mail temporar por 10 minutos.

[ http://www.yopmail.com/es/ ]
Igual que 10minutemail.com, con la diferencia de que este correo dura 8 dias.

[ http://www.textem.net/ ]
Tambien podemos enviar mensajes de texto a teléfonos, sin embargo estos servicios tienden a fallar mucho o el mensaje tarda en llegar mucho (Una semana en un caso mio) por lo cual yo recomiendo comprar un teléfono desechable o tener varios chips SIM de números de teléfonos diferentes.

[ http://www.elfqrin.com/hacklab/pages/discard.php ]
Nunca me a pasado tener que dar información de este tipo, pero se puede usar para engañar paginas que piden tarjetas de crédito. Esta pagina nos permite crear números de tarjetas de crédito falsos.
Estas paginas nos ofrecen servicios que nosotros podemos utilizar para nuestras investigaciones y demás.

Próximamente un curso completo de Doxing, donde aprenderás el arte del doxeo, así como también a defenderte.

ONASSOL y el creador de este post (Drok3r) no se hacen responsables de lo que se pueda hacer con la información aquí mostrada. La finalidad de este post es solo de informativa y educativa.