Blog de Internet Security Auditors

Blog de Internet Security Auditors: Personajes públicos españoles e ISIS conocen Tinfoleak

Escrito por Internet Security Auditors | Mar 18, 2015 4:00:00 AM
Las redes sociales se han convertido en un medio de información y comunicación básico, imprescindible, que permite la interacción ágil e inmediata entre sus usuarios. El uso de estas redes es muy diverso y, dependiendo de las características que ofrecen, se orientan a un sector concreto de usuarios o, por el contrario, tienen un carácter más generalista.

Entre ellas, sin duda, Twitter ha sido acogida de forma masiva por un amplio público, de edades y con finalidades muy distintas, y cuenta con cerca de 300 millones de usuarios activos mensualmente [1].

Viendo las capacidades que ofrecía esta red, en 2013 creé la herramienta Tinfoleak[2], con el fin de explotar la información pública que existe en Twitter, y que puede ser utilizada en tareas de ingeniería social, pentesting o vigilancia digital, entre otros ámbitos.

La herramienta tuvo una gran repercusión, en especial durante la segunda mitad de 2014, donde diversos foros como Security By Default[3] o MakeUseOf[4] se hicieron eco de ella, además de existir videos con ejemplos de uso de Tinfoleak, como “Tinfoleak: Twitter verrät alles”[5] con más de 25.000 visitas, y describiendo cómo instalar Tinfoleak, como “Tinfoleak installieren”[6] con más de 13.000 visitas.

El 1 de noviembre de 2014, en el congreso No cON Name[7], presenté Tinfoleak realizando un análisis de los tweets públicos de personajes famosos, entre los que se encontraba Santiago Segura, Steve Wozniak, Nicholas Stoller y Xavier Trias. Sobre Santiago Segura, que fue el gran protagonista, mostré la ubicación de su vivienda, lugares que más frecuenta, o la ruta que había seguido en su última gira de promoción, entre otros datos. Ese mismo día, el diario catalán ARA.cat cubría la noticia en su edición digital[8], y días más tarde (el 26 de noviembre) se publicó un artículo en el blog de HTC [9] en la misma línea. El 8 de diciembre, la edición digital del diario Cinco Días[10] volvía a hacer referencia a Tinfoleak y a referirse a la geolocalización de tweets como un arma contra la privacidad.

Casualidad o no, el 9 de diciembre, Santiago Segura[11] publicó su último tweet geolocalizado. Desde ese día no ha vuelto a publicar su posición en ningún momento (cuando hasta esa fecha, lo hacía en todos sus tweets y a diario). ¿Leyó el artículo de Cinco Días? ¿Alguien le puso en su conocimiento sobre esta fuga de información? No lo sabemos, pero parece demasiada casualidad que la decisión de no publicar su posición la tomara, precisamente, en esa fecha. No obstante, aún a día de hoy, es posible  consultar la geolocalización de sus tweets anteriores al 9 de diciembre.

Un caso análogo ocurre con el alcalde de Barcelona, Xavier Trias[12]. También fue expuesto como ejemplo en los análisis realizados con Tinfoleak, y desde el 11 de noviembre, ha dejado de publicar la geolocalización en sus tweets. Además, a  diferencia de Santiago Segura, él ha borrado este dato en prácticamente la totalidad de su historial de tweets. ¿Coincidencia? Apostaría a que ambos conocen Tinfoleak...

Por todos es sabido que los grupos terroristas utilizan las redes sociales (¡incluso WhatsApp!) para labores de captación y comunicación, y las unidades de inteligencia de los cuerpos y fuerzas de seguridad es algo que tienen muy presente.

Lo que no sabíamos (o no era público), era que los terroristas disponen de sus propios manuales de  uso y configuración segura de los servicios que utilizan. Entre ellos, claro está, Twitter.

Sin tener ninguna relación directa con los casos expuestos anteriormente sobre personajes públicos, pero sí con la relevancia que tiene lo que se publica en las redes sociales, el 3 de noviembre de 2014, se hacía público[13] que el grupo terrorista ISIS, había difundido un manual, bajo el título “How to Tweet Safely Without Giving out Your Location to NSA”, a todos sus miembros sobre cómo prevenir la vigilancia de la NSA. Entre las recomendaciones que ofrecen, se incluye el hecho de deshabilitar la geolocación en Twitter y tener presente el hecho de no revelar tu posición (algo que no tuvo en cuenta el yihadista neozolandés[14] que fue detenido por este motivo). Lógicamente, desconocemos si Tinfoleak fue utilizada en la investigación. Como es obvio, la herramienta puede ser utilizada con finalidades muy diversas, incluida la cibervigilancia[16] de las redes sociales.

Esta semana será publicada una nueva versión de Tinfoleak, donde se incluirán algunas de las destacadas mejoras que he desarrollado en sus funcionalidades.


Referencias:
[1] Twitter usage
https://about.twitter.com/company

[2] Tinfoleak
https://www.isecauditors.com/herramientas-tinfoleak

[3] Tinfoleak, stalkeando Twitter en línea de comandos
http://www.securitybydefault.com/2014/09/tinfoleak-stalkeando-twitter-en-linea.html

[4] How anyone cand find your personal details via Twitter with Tinfoleak
http://www.makeuseof.com/tag/anyone-can-find-personal-details-via-twitter-tinfoleak/

[5] Tinfoleak: Twitter verrät alles
https://www.youtube.com/watch?v=_r6vTsq10uk

[6] Tinfoleak installieren
https://www.youtube.com/watch?v=nYoSHPbNvAo

[7] Vigilados: explotando las redes sociales para predecir nuestro comportamiento
https://www.noconname.org/files/presentaciones/2014/NcN_2014-Vigilados_Explotando_las_redes_sociales_para_predecir_nuestro_comportamiento-Vicente_Aguilera_Diaz.pdf

[8] Tinfoleak sap on vius, on passes les vacances i què fas els dissabtes a la tarda
http://www.ara.cat/xarxes/twitter-seguretat-tecnologia-tinfoleaks-noconame-hackers-xarxes_socials_0_1240676193.html

[9] Una herramienta de padre español permite seguir tu rastro (o el de Santiago Segura) en Twitter
http://www.experiensense.com/tinfoleak-twitter/

[10] Twitter puede delatar cuando y dónde has estado en todo momento
http://cincodias.com/cincodias/2014/12/08/lifestyle/1418038239_877405.html

[11] Perfil en Twitter de Santiago Segura
https://twitter.com/ssantiagosegura

[12] Perfil en Twitter de Xavier Trias
https://twitter.com/xaviertrias

[13] ISIS issued a manual for a safe use of Twitter and other media
http://securityaffairs.co/wordpress/29801/intelligence/isis-twitter-use-manual.html

[14] How to Tweet Safely Without Giving out Your Location to NSA
https://justpaste.it/h0t5

[15] New Zealand jihadist deletes tweets after discovering he left geotagging on
https://ibrabo.wordpress.com/2014/12/30/new-zealand-jihadist-deletes-tweets-after-discovering-he-left-geotagging-on/

[16] Servicios de Ciberinteligencia
http://www.isecauditors.com/ciberinteligencia-analisis-monitorizacion

Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.