Ruth Gonzalez & Miguel Hernández - Lo que un stalker puede saber de ti, los riesgos de publicar tu información [rootedvlc2019]

1. Lo que un stalker puede
saber de ti, Los riesgos de
publicar tu información

2. RUTH GONZÁLEZ NOVILLO
Security & Cloud Researcher at BBVA Next Technologies
https://twitter.com/RuthGnz
https://www.linkedin.com/in/ruthgonzaleznovillo/
MIGUEL HERNÁNDEZ BOZA
Security Researcher & Pentester at BBVA Next Technologies
https://twitter.com/MiguelHzBz
https://www.linkedin.com/in/miguelhzbz

3. ÍNDICE
3
➤ Introducción al OSINT
➤ Herramientas existentes
➤ SpyScrap
➤ Conclusiones

4. ¿OSINT?
4
Inteligencia de fuentes abiertas u «Open Source Intelligence» (OSINT) hace referencia al
conocimiento recopilado a partir de fuentes de acceso público. [INCIBE]
➤ Medios de comunicación
➤ Redes sociales
➤ Foros
➤ Fuentes gubernamentales
➤ Conferencias
SOCMINT tiene como fuente de información exclusiva-
mente las redes sociales y trata de convertirla en
inteligencia.

5. Leyes de protección de datos
Constitución española - Artículo 18.
1. Se garantiza el derecho al honor, a la intimidad
personal y familiar y a la propia imagen.
4. La ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y
familiar de los ciudadanos y el pleno ejercicio de
sus derechos
5
AEPD: Agencia Estatal de Protección de
Datos.
“La AEPD protege tus derechos de acceso,
rectificación, limitación, oposición, supresión
(“derecho al olvido”), portabilidad y oposición al
tratamiento de decisiones automatizadas.”

6. General Data Protection Regulation
(GDPR):
✘ Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo
✘ Aplicable desde el 25 de mayo de 2018
✘ Deroga la Directiva 95/46/CE del
Parlamento Europeo y del Consejo de 24
de octubre de 1995
6
Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía
de los derechos digitales.
✘ Aplicable desde 07/12/2018
✘ Adaptar nuestra legislación al GDPR.
✘ Extensión de la GDPR.
✘ Regular el derecho fundamental a la
protección de datos
✘ Garantizar los derechos digitales de los
ciudadanos
Reglamento: Actos legislativos
vinculantes. Deben aplicarse en su
integridad en toda la UE.
Directiva: Actos legislativos que
establecen objetivos que todos los
países deben cumplir. Cada país
elabora sus propias leyes.

7. 7
¿Qué es posible
hacer con datos?

8. 8
Cambridge Analytica
Fuente: https://www.vox.com/policy-and-politics/2018/3/23/17151916/facebook-cambridge-analytica-trump-diagram

9. 9
Fuente: https://techgaming.pk/2019/05/28/a-chinese-programmer-with-the-help-of-neural-networks-has-identified-100-thousand-porn-actresses-from-photos-in-social-networks/
Un programador chino dice que
con ayuda de unos amigos ha
sido capaz de identificar y
relacionar, a través de redes
neuronales, a 100.000 actrices
porno usando sus fotos en redes
sociales.
Los autores decían que el objetivo
es saber si la mujer con la que te
vas a casar aparece en algún
video de este tipo.
No aparece rastro alguno de si
este proyecto es real, código
disponible o bases de datos con
algún tipo de prueba que pueda
verificar lo que dicen.
¿Es posible?
Osint
+
Porn

10. 10
Osint + Porn
Top Sites
No existe path para listar usuarios
api.pornhub.com api.xhamster.com
https://sexualitics.github.io/ -> Dataset de videos (2007 - 2013) ~ 800.000 entradas

11. 11
Osint + Porn
Proceso bastante manual
debido a que las webs no
tienen implementadas (al
menos de cara a un
usuario consumidor) las
llamadas para poder
recopilar la información
de sus usuarios.
No es el objetivo de
esta charla

12. 12
Lo que Google sabe de mí
➤ Apariciones en medios
➤ Redes sociales
➤ Fotografías

13. REDES SOCIALES
Como hemos visto con el caso de Cambridge
Analytica, hay que tener el cuenta el poder de
los datos de redes sociales.
Muchas de las empresas están poniendo
medidas para evitar que se puedan explotar sus
datos desde fuera.
FUENTES GUBERNAMENTALES
Para información más institucional, es posible
analizar la que aparece tanto en el BOE como en
el BORME, aunque en el último año han ido
cambiando la publicación y ya no son visibles
documentos como el D.N.I.
Aunque en los antiguos se sigue pudiendo
conseguir estos datos.
FUENTES DE INFORMACIÓN
13

14. 14
¿Existen herramientas?
¿Qué puedo hacer?

15. 15
REPOSITORIOS DE HERRAMIENTAS - OSINT
https://osintframework.com/https://ciberpatrulla.com/links/

16. 16
SERVICIOS WEB DE OSINT
https://stalkface.com/
https://instamon.net
https://inteltechniques.com/menu.html

17. 17
HERRAMIENTAS DE OSINT
Maltego
✘ https://paterva.com/buy/maltego-clients.php
✘ La herramienta más famosa para analistas y
expertos en ciberinteligencia ($$$).
✘ Proporciona multitud de módulos, y expone la
información de manera interactiva.
○ Personas
■ Nombre
■ Correo
■ Alias
○ Grupos de personas
○ Empresas
✘ Herramientas basadas en servicios
americanos.

18. 18
HERRAMIENTAS DE OSINT
Pown-Recon
✘ https://github.com/pownjs/pown-recon
✘ Herramienta de recopilación de datos
abiertos con la salida en modo grafo para
después poder visualizarlo con otras
aplicaciones como SecApps.com.
✘ Proporciona multitud de modulos, los más
interesantes:
○ Búsquedas en GitHub por usuarios,
repositorios y Gists.
○ Búsquedas en Bitbucket por
usuarios, repositorios y Snippets.
○ Whoaretheyreport para buscar
donde se ha creado cuentas.

19. HERRAMIENTAS DE OSINT PARA RSS
OSRFramework
Esta herramienta no requiere de credenciales de ninguna
API.
✘ Busca en distintas redes sociales y muestra el
resultado por consola y en un CSV.
✘ Puedes buscar por nombre de persona, nickname
o nombre de empresa.
✘ Puede comprobar si los correos existen y en qué
rrss se ha registrado.
✘ Puedes seleccionar una o varias rrss
✘ Incluye un gran número de rrss
✘ https://github.com/i3visio/osrframework
19

20. 20
¿Y con imágenes?

21. Reverse image search
✘ Búsqueda de imágenes similares
✘ ¿Quién?
○ Google
○ Bing
○ Yandex
○ Baidu
○ Yahoo
✘ Herramientas web dedicadas
○ TinEye
○ Prepostseo
○ Duplichecker
21

22. {"similar_images":
["http://d279m997dpfwgl.cloudfront.net/wp/2019/01/AP_19019717725291-1000x666.jpg",
"https://s.abcnews.com/images/Politics/donald-trump-lawn-01-ap-jc-190125_hpMain_1
6x9_992.jpg",
"https://thenypost.files.wordpress.com/2018/12/donald-trump-pay-freeze.jpg?quality=9
0&strip=all&w=618&h=410&crop=1",
"https://media.wired.com/photos/5ba036249c21992d8a957128/master/pass/PresDonald
Trump_18260700973102.jpg",
"https://fm.cnbc.com/applications/cnbc.com/resources/img/editorial/2018/12/21/105643
460-1545429807479trump2.530x298.jpg?v=1546021780",
"https://media.vanityfair.com/photos/5c2fe03e3fa6927f3c5fb45a/master/pass/donald-t
rump-wall-street.jpg",
"https://www.thoughtco.com/thmb/5OLfQHG0gd06t3ZGjCZw8QzYvXw=/1500x1000/filters
:fill(auto,1)/DonaldTrumpSilly-589a41493df78caebc7c934e.jpg",
"https://ichef.bbci.co.uk/images/ic/720x405/p05lp7sn.jpg",
"https://s.abcnews.com/images/Politics/president-trump-ap-jef-190116_hpEmbed_4x3_
992.jpg"}
22
TOOLS SEARCH REVERSE IMAGE
✘ Herramienta CLI OpenSource
✘ https://github.com/vivithemage/mrisa
✘ Búsqueda de imágenes inversas de
Google.
✘ Devuelve los resultados en un JSON.
MRISA (Meta Reverse Image Search API)
Solo funciona con personas influyentes

23. 23
OSINT CON IMÁGENES
✘ Servicios Web:
○ Son de pago
○ Analizan Internet
○ Generan bases de datos
○ Algunos bloqueados por
GDPR
■ https://pimeyes.com/en/
■ https://socialcatfish.com/

24. 24
SocialMapper
OSINT CON IMÁGENES
● Correlación de perfiles en RRSS
mediante identificación facial.
● Entradas:
○ Carpeta con imágenes conocidas y
nombres.
○ Nombre de una organización
○ CSV con nombres y URLs de
imágenes
● RRSS:
○ Linkedin, Facebook, Twitter,
GooglePlus, Instagram, VKontakte,
Weibo, Douban Necesita siempre NOMBRE de la persona
Necesitas credenciales de las RRSS :
Problemas con las sesiones.

25. 25
¿Hay algo más?

26. APIs: Las tripas de las RRSS
✘ Las principales redes sociales cuentan
con APIs que permiten la interacción
con sus plataformas para crear tus
propias aplicaciones.
✘ Dependiendo de la autenticación
permiten extraer grandes cantidades
de datos.
26
✘ Muchas de ellas están documentadas y
tienen ratios de uso.

27. Recopilación de ~ 500 usuarios por día
27
APIs: Las tripas de las RRSS
✘ APIs Ocultas
api.adoptauntio.es/robots.txt
---- Scanning URL:
https://api.adoptauntio.es/api/ ----
https://api.adoptauntio.es/api/users (CODE:401)
https://api.lovoo.com/robots.txt
Disallow: /api_web.php/*
---- Scanning URL:
https://api.lovoo.com/api_web.php/ ----
https://api.lovoo.com/api_web.php/init (CODE: 200)
https://api.happn.fr/
---- Scanning URL: https://api.happn.fr/api/ ----
https://api.happn.fr/api/users/user_id
FAIL AUTH TOKEN FB
✘ Es sencillo escanear las peticiones para automatizar.

28. 28
Pero... ¿se
puede hacer
algo nuevo?

29. SpyScrap
Herramienta de Scraping OSINT
29

30. 30
OBJETIVO
OSINT
Facial Recognition (Machine Learning)
Natural Language Processing
SpyScrap

31. ¿Cómo Funciona?
31
¿Quién es?
Perfilado del usuario:
● Fotos similares
● URLs
● Palabras
relacionadas
● Perfiles RSS
➔ Image Search
➔ RRSS
➔ Fuentes
Gubernamentales

32. 1. Image Search
✘ Yandex (Reverse Image Search)
○ Inputs:
■ Imágen conocida
○ Outputs:
■ Imágenes y urls.
✘ Google (Search Photos)
○ Inputs:
■ Nombre
■ Imágen conocida
○ Outputs:
■ Imágenes y urls.
■ NLP
32

33. 2. Redes Sociales
33
Facebook Twitter Instagram Tinder
Selenium Selenium API Abierta API REST con Token
https://facebook.co
m/public/<name>
https://www.google.c
om/search?q=site:twi
tter.com+AND+<name
>
https://www.instagram
.com/web/search/tops
earch/?context=blend
ed&query=<name>
https://api.gotinder.com
Fotos y datos. Coge información del
perfil y la imágen.
Fotos y datos. Límite por usuario/día.
No permite búsquedas
concretas, se
almacenan los datos en
DB y se busca sobre ella.

34. 3. Fuentes Gubernamentales
BOE: Contiene documentos oficiales donde se pueden encontrar DNIs,
nombres y apellidos. Hay versión PDF y versión XML.
✘ Selenium + XML
✘ Búsquedas:
○ DNI
○ Apellidos y/o Nombre
○ Palabras clave
✘ Fechas de búsqueda opcional.
✘ Resultados:
○ Documento BOE,
○ DNIs, Nombres y apellidos encontrados.
34

35. BROWSER AUTOMATION:
SELENIUM
✘ Herramienta para automatizar acciones
del navegador.
✘ Programable:
○ Python API
https://selenium-python.readthedocs.io/
✘ Testing de aplicaciones
✘ AUTOMATIZACIÓN DE BÚSQUEDAS
35

36. PLN/NLP
El procesamiento del lenguaje natural, en inglés natural language processing, es un campo de las
ciencias de la computación, inteligencia artificial y lingüística que estudia las interacciones entre las
computadoras y el lenguaje humano.
En nuestro caso, lo hemos aplicado para tratar de extraer entidades (Ciudades que aparezcan en el
texto por ejemplo).
36
import spacy
nlp = spacy.load("en_core_web_sm")
doc = nlp(stripped_filter2)
resp = req.get(from_url)
for e in doc.ents:
if e.label_ == "LOC":
# Palabras clave

37. RECONOCIMIENTO FACIAL
✘ OpenFace:
○ http://cmusatyalab.github.io/openface/
○ Dlib + OpenCv: Detección
○ Facenet (Python y Torch): Reconocimiento
○ shape_predictor_68_face_landmarks.dat
✘ Face Recognition:
○ https://github.com/ageitgey/face_recognition
○ Dlib: Detección y reconocimiento
37

38. RECONOCIMIENTO FACIAL
38
Face-Recognition
● Fácil instalar
● No es configurable
● Lento
OpenFace
● Difícil de instalar
● Configurable
● Rápido

39. 39
It’s Time To Play….

40. 40
python3 main.py -t yandex -k token -i path
python3 --tag google -n name -i path
python3 -t tinder -k token
python3 -t instagram -n name -i path
python3 -t facebook -n name -i path
python3 -t twitter -n name -i path
python3 -t boe -n text -s pages
Se puede elegir realizar o no el
reconocimiento facial. Si no se hace,
se puede elegir descargar o no las
fotografías.

41. Data, Data, Data!
41
● Datos de una gran cantidad
de usuarios.
● Múltiples cuentas de Tinder
para extraer más perfiles.
● Búsquedas sobre la DB:
○ Nombre
○ Trabajo
○ Edad
○ Localización

42. 42
Paula Echevarria
● Búsqueda: Paula Echevarria

43. 43
Ruth González Novillo
● Búsqueda:
○ Ruth
○ Ruth Gonzalez
○ Ruth G
○ Ruth Gz

44. 44
Miguel Hernández Boza
● Búsqueda:
○ Miguel
○ MiguelHB
○ MiguelHernandez
○ Miguel Hz
Foto de perfil, muy pequeña y de
muy lejos!

45. Facebook
45

46. Yandex
46

47. boe
Texto de entrada:
Nombre, Apellidos, DNI, Texto….
47
* A partir de 2019 los DNIs ya no se
publican enteros.

48. google
python3 main.py -t google -n "miguel hernandez boza" -s 100
48

49. python3 main.py -t google -n "ruth gonzalez novillo" -s 100 -i
ruth.jpeg
49

50. DEMO
TIME
50

51. Recomendaciones
● Recopilar información de cómo una persona puede aparecer en
Internet.
● Los usuarios ya no usan Nombre y Apellidos en las RSS pero la
mayoría hacen combinaciones.
○ PepeMartinezPerez
○ PepeMarPer
○ Pepe MP
○ PepeMP
○ PPMartinez
● Hacer búsquedas automáticas encadenadas.
● No siempre funciona el reconocimiento facial.
○ Calidad
○ No es una cara
51

52. Conclusiones
52
● Existen muchas fuentes de información
● Múltiples herramientas
● Definir:
○ Qué se quiere buscar
○ Cómo se quiere hacer
● Importante:
○ Automatización
○ Correlación de datos
● Diferenciación:
○ NLP
○ Identificación facial mediante ML

53. Lo que un stalker puede
saber de ti, Los riesgos de
publicar tu información
@MiguelHzBz
@RuthGnz
Ruthgonzaleznovillo