Blog / Tinfoleak /

Blog de Internet Security Auditors: Analizando el 13/11 con Tinfoleak.

Analizando el 13/11 con Tinfoleak.

Viernes 13 de noviembre de 2015, París. Esa ha sido la fecha y ciudad seleccionada por los terroristas de Daesh para cometer el mayor atentado en Europa después del 11-M ocurrido en Madrid. En el momento de escribir este artículo, las cifras hablan de 129 muertos y 350 heridos.

La noticia saltaba rápidamente a los principales medios de comunicación. No obstante, la información más directa y ágil llegaba desde las redes sociales, facilitada por los propios usuarios que eran testimonios del horror que se estaba produciendo.

Dado el volumen de información que se generaba cada minuto y en ubicaciones geográficas distintas, el poder disponer de una herramienta que facilitara el filtrado y análisis de la información publicada en las redes sociales, aportaba un gran valor.

Aprovechando algunas de las nuevas funcionalidades que incorporará la nueva versión de Tinfoleak, esa misma noche comencé a monitorizar las redes sociales para hacer un seguimiento de los hechos. Para ello, utilicé la funcionalidad de búsqueda avanzada basada en geolocalización, facilitando las coordenadas geográficas de los lugares de los atentados.

Según los medios de comunicación, a partir de las 21:00h (hora local de París) se iniciaron las actuaciones de los terroristas que, de forma coordinada, se sucederían durante varias horas.

Entre las 21:15h y las 22:00h, se produjeron tres explosiones en las inmediaciones del Estadio de Francia, donde estaba teniendo lugar el amistoso entre las selecciones de Francia y Alemania.

En este caso, es posible utilizar Tinfoleak para conocer la información que se estaba publicando en las redes sociales desde momentos previos a los atentados en las inmediaciones del estadio de fútbol.

En primer lugar, necesitamos disponer de las coordenadas del lugar a analizar. En nuestro ejemplo, el Estadio de Francia. Para ello, podemos utilizar Google Maps:

Imagen 1: Identificando coordenadas del Estadio de Francia en Google Maps.

Una vez disponemos de las coordenadas, podemos utilizar Tinfoleak para que nos recopile la información que se está publicando por los usuarios en las redes sociales dentro de un radio de acción especificado, y entre las fechas y franjas horarias que indiquemos (entre otros filtros).

La siguiente captura muestra un ejemplo de ejecución de Tinfoleak para localizar información disponible en los últimos 1000 tuits publicados un radio de 1km desde las coordenadas del estadio, entre los días 13 y 14 de noviembre:

Imagen 2: Ejemplo de ejecución de Tinfoleak
Una vez finalizada la ejecución podemos consultar el informe de salida (en formato HTML) para visualizar la información obtenida.

Los resultados se muestran en diferentes secciones del informe. En una primera sección del apartado “Advanced Search”, nos encontramos con la búsqueda por coordenadas que refleja la siguiente información (los resultados se muestran ordenados por fecha y hora, de la más reciente a la más antigua):


Imagen 3: Sección “Search by coordinates” del apartado “Advanced Search”
del informe generado por Tinfoleak
En esta primera sección podemos visualizar la fecha y hora de cada tuit, las coordenadas (en caso de que el usuario las haya habilitado) desde las que se envía cada tuit, el contenido multimedia publicado (imagen o video), la red social utilizada (Twitter, Instagram, Foursquare, etc.), así como el tuit que se ha publicado, y el usuario que lo ha enviado.

De esta forma, podemos hacer clic en las coordenadas para mostrar en Google Maps en una nueva pestaña del navegador con la posición desde la que se envió cada tuit, visualizar el contenido multimedia publicado, el contenido de cada tuit o la página del usuario que ha publicado dicho contenido.

En una segunda sección “Geolocated Users” del apartado “Advanced Search”, se muestran los usuarios que se encontraban publicando contenido en las redes sociales dentro del radio de acción especificado y con los filtros aplicados:

Imagen 4: Sección “Geolocated users” del apartado
“Advanced Search” del informe generado por Tinfoleak
Esta segunda sección es interesante ya que enumera los usuarios (de forma única, es decir, si un usuario ha publicado 3 tuits, sólo se mostrará una vez) que se encontraban en el radio de acción analizado, así como el nombre que utilizan en otras redes sociales (concretamente: Twitter, Instagram, Foursquare y Facebook). En caso de que el usuario publique algún enlace, por ejemplo a un sitio web personal, se mostraría en la columna “Other”. Asimismo, para cada usuario, se enumeran los hashtags publicados en las distintas redes sociales que ha utilizado dentro de la franja de tiempo especificada en la búsqueda.

De esta forma, es posible acceder a los distintos perfiles de los que dispone cada usuario identificado, simplemente haciendo clic en su nombre.

En una tercera sección “Tagged Users” del apartado “Advanced Search” del informe, encontramos usuarios que, aunque no hayan publicado información en las redes sociales, podemos ubicarlos en la zona analizada ya que han sido etiquetados por otros usuarios en alguna imagen. En concreto, esta sección muestra: el usuario etiquetado, el usuario que lo ha etiquetado, y la imagen en la que se encuentra etiquetado.

Imagen 5: Sección “Tagged users” del apartado
“Advanced Search” del informe generado por Tinfoleak
Por ejemplo, el usuario con identificador “karstendevreugd” en Instagram, publicó una foto el día 14 de noviembre etiquetando al usuario “csofiedu” (también con cuenta en Instagram):

Imagen 6: Fotografía de un usuario etiquetado, identificado desde el informe generado por Tinfoleak

Una cuarta sección (“Media Resources”) del apartado “Advanced Search” del informe generado como resultado de la búsqueda realizada, nos muestra la siguiente información: imagen o video publicado, usuario que ha publicado dicha imagen o video (incluyendo su fotografía de perfil en Twitter, su identificador en Twitter, la fecha y la hora de la publicación de la imagen o video), usuario que ha retuiteado el tuit en el que se publicaba dicha imagen o video (incluyendo la misma información que para el usuario fuente), así como un enlace al tuit que contiene la imagen o video, para visualizar el contenido del mismo.

Imagen 7: Sección “Media resources” del apartado
“Advanced Search” del informe generado por Tinfoleak
Esta sección nos permite realizar una rápida visita por el contenido publicado y, de forma muy visual, identificar aquellos recursos y usuarios que pudieran ser de interés para nuestra investigación. Haciendo clic en la imagen o video, podemos ampliar y reproducirlo en una nueva pestaña del navegador (o directamente desde la vista previa).

De esta forma, haciendo clic en una de las imágenes reportadas por Tinfoleak podemos, por ejemplo, visualizar la siguiente fotografía que fue publicada por el usuario “megamodelnyc” en Instagram el 14/11 a las 00:08h:

Imagen 8: Fotografía tomada por un usuario y obtenida desde Tinfoleak
Asimismo, haciendo clic en el contenido de la publicación, vemos como diferentes medios de comunicación le solicitaban permiso para publicar la fotografía:

Desde los primeros instantes en los que se iniciaron los atentados, los usuarios comenzaban a alertar de lo ocurrido en las redes sociales, publicando fotografías de los lugares de los hechos.

Continuando con la cronología de los hechos, a continuación se muestran algunos ejemplos.

En la sección “Search by Coordinates” del informe, nos encontramos que, a las 21:53h del viernes 13 de noviembre, el usuario “justdizle” publicaba una imagen en Twitter:

Imagen 10: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram
Haciendo clic en el enlace “view” podemos consultar el tuit publicado por este usuario, conteniendo la imagen:
Imagen 11: Mensaje publicado por un usuario en las redes sociales

O haciendo clic en el enlace “Image”, consultamos directamente la imagen publicada en Instagram:

Imagen 12: Fotografía tomada por un usuario en las
inmediaciones del Estadio de Francia y obtenida con Tinfoleak

Haciendo clic en las coordenadas, observamos como la fotografía fue tomada a escasos metros de la estación de tren, y muy cerca del Estadio de Francia:

Imagen 13: Visualizando en Google Maps las coordenadas de un tuit geolocalizado por Tinfoleak

De la misma forma, en la sección “Search by Coordinates” del informe, observamos que a las 22:35h del viernes 13 de noviembre, el usuario “rabonamag” publicaba contenido en Twitter:


Imagen 14: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram

Haciendo clic en el enlace “view”, accedemos al contenido de la publicación:


Imagen 15: Mensaje publicado por un usuario en las redes sociales

Igualmente, podemos visualizar la imagen publicada por este usuario en Instagram a través del enlace “Image”, donde observamos el interior del estadio de Francia (recordemos, se encontraba el presidente François Hollande y que fue evacuado minutos antes) en el que permanecían los asistentes al partido de fútbol entre las selecciones de Alemania y Francia:

Imagen 16: Fotografía tomada por un usuario desde el Estadio de Francia y obtenida con Tinfoleak
En esos momentos, muchos usuarios ya querían informar a sus seres queridos de que no había sufrido daño. Ese es el caso del usuario “stephendevries” que, a las 23:01h y tras encontrarse fuera del estadio, comunicaba mediante Twitter que se encontraba a salvo:

Imagen 17: Identificación de los datos asociados a la imagen publicada por un usuario en Instagram


Imagen 18: Mensaje publicado por un usuario en las redes sociales

Junto a este mensaje publicaba la siguiente fotografía en la que se aprecia como la policía ya había tomado posiciones en las calles cercanas al Estadio de Francia:

Imagen 19: Fotografía tomada por un usuario en las calles de París y obtenida con Tinfoleak
Más allá del mero hecho informativo, los datos que se pueden obtener en las redes sociales cobran especial relevancia, ya que pueden proporcionar pistas sobre la ejecución de los atentados o los propios terroristas.

Es el caso, por ejemplo, de los videos que publicaban los usuarios minutos antes de que comenzara el partido de fútbol en el que tuvo lugar el primero de los atentados.

Imagen 20: Identificación de videos publicados por los usuarios mediante búsquedas con Tinfoleak
El usuario de Twitter “justdizle”, a las 00:52h del día 14 de noviembre, publicaba el siguiente video[3] momentos antes de acceder al estadio:

Imagen 21: Reproducción de un video publicado minutos antes del partido Francia-Alemania, obtenido con Tinfoleak
Haciendo clic en el enlace “view”, podemos consultar el mensaje publicado junto al video, donde comenta que el video fue realizado 30 minutos antes de comenzar el partido:

Imagen 22: Mensaje publicado por un usuario en las redes sociales
Entre las 21:20h y 21:43h se produjeron tres tiroteos. Las redes sociales no cesaban de suministrar información sobre los lugares de los hechos, publicando fotografías y videos.

Imagen 23: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Muchos usuarios se refugiaban en casas o comercios donde se les abría las puertas (el hashtag “porteouverte” fue de gran ayuda y demostró el nivel de solidaridad del pueblo francés). Es el caso del usuario “SydneyBaloue”, que publicaba el siguiente tuit a las 00:03h en las cercanías del restaurante Le Petit Cambodge, donde los terroristas asesinaron a doce personas:

Imagen 24: Mensaje publicado por un usuario en las redes sociales
Haciendo clic en el enlace “view” del informe de Tinfoleak, se visualiza la fotografía ampliada que publicaba en Instagram:

Imagen 25: Fotografía realizada por un usuario e identificada desde Tinfoleak
Pero, sin duda, la situación más dramática se vivía en la popular sala de teatro Bataclan, donde tenía lugar un concierto de la banda Eagles of Death Metal. Allí accedieron varios terroristas tomando como rehenes a un elevado número de personas que se encontraban en pleno concierto.

A las 23:35h Leo Novel, un reportero gráfico, fotografiaba como la policía acordonaba las inmediaciones de la sala Bataclan:

Imagen 26: Identificación de los datos asociados a la imagen publicada por un usuario en Twitter


Imagen 27: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak

Publicando el siguiente mensaje en Twitter:

Imagen 28: Mensaje publicado por un usuario en las redes sociales

Con esta fotografía en Instagram (reportada por Tinfoleak y a la que es posible acceder sin necesidad de pasar por la red social):

Imagen 29: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak

Un gran número de medios de comunicación contactaban con los usuarios a través de las redes sociales para ampliar la información:

Imagen 30: Mensaje publicado por un medio de comunicación hacia uno de los usuarios

A las 00:15h del día 14 de noviembre, el usuario “TraceyFriley” de Twitter, publicaba en Instagram un video[5] con numerosos servicios de emergencia circulando por una de las calles de París:

Imagen 31: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak

Accediendo al contenido de la publicación a través del enlace “view”:

Imagen 32: Mensaje publicado por un usuario en las redes sociales
Y visualizando el video haciendo clic en la vista previa:

Imagen 33: Video obtenido con Tinfoleak mostrando vehículos de emergencia en una calle de París

Otros usuarios publicaban videos desde sus casas, como el usuario de Twitter “ianmcall” que a las 01:18h del día 14 de noviembre publicaba el siguiente:

Imagen 34: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 35: Video obtenido con Tinfoleak desde la vivienda de un usuario
O directamente desde la calle, en las inmediaciones de la zona. Como el publicado por el usuario de Twitter  “matte_mag" desde la Place de la République mostrando números medios policiales:

Imagen 36: Identificación de videos publicados por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 37: Video obtenido con Tinfoleak mostrando vehículos policiales en las calles de París
El usuario de Instagram “mickael_rahmeek” publicaba distintas fotos minutos antes del asalto por parte de la policía francesa:

Imagen 38: Identificación de imágenes publicadas por los usuarios mediante búsquedas realizadas con Tinfoleak


Imagen 39: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak


Imagen 40: Fotografía realizada por un usuario en las inmediaciones de la sala Bataclan e identificada desde Tinfoleak
Observando las coordenadas desde las que publicaba estos tuits, se aprecia que se encontraba a escasos metros de la sala Bataclan:

Imagen 41: Identificación de los datos asociados a imágenes publicadas por un usuario en Instagram


Imagen 42: Mostrando posición de un tuit en Google Maps geolocalizado mediante Tinfoleak
Minutos después, conoceríamos el fatídico desenlace. Los cuerpos de seguridad franceses asaltaban la sala de teatro Bataclan para liberar a los rehenes. Tres de los terroristas que se encontraban en el interior, accionaron los explosivos que llevaban en sus cinturones incrementado así la tragedia, provocando un elevado número de muertos y heridos (muchos de ellos en estado crítico).

Nuestras condolencias a los familiares y amigos de todas y cada una de las víctimas.

Referencias

Tinfoleak.
La Vanguardia - Cronología de los atentados de París
Video realizado 30 minutos antes del inicio del partido Francia-Alemania
Video mostrando los numerosos servicios de emergencia
Video desde la vivienda de un usuario
Video desde la Place de la République


Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader 
Director Departamento de Auditoría. 

Suscríbete al Blog