SpiderFoot: Tu Aliado en la Recolección de Inteligencia de Fuentes Abiertas (OSINT)

SpiderFoot es una herramienta de automatización de OSINT (Open Source Intelligence) escrita bajo el lenguaje de programación Python. Esta herramienta facilita enormente el proceso de Footprinting, que consiste en la recolección de datos sobre un sistema informático. Además, permite identificar posibles vulnerabilidades antes de ser explotadas. SpiderFoot está diseñada para descubrir, correlacionar y visualizar información pública sobre dominios, direcciones IP, correos electrónicos, nombres, redes y entre otros elementos relevantes para el análisis de seguridad.

Los ataques cibernéticos son cada vez más frecuentes y severos, lo que hace necesario implementar nuevas líneas de defensa para protegerse contra los ciberdelincuentes. En este sentido, los usuarios, empresas u organizaciones deben aplicar medidas que minimicen su huella digital y eviten la difusión de información personal identificable como nombres, direcciones, número de teléfono, correos electrónicos, entre otros. 

Estos datos suelen ser compartidos sin precaución en redes sociales, o incluso proporcionados a sitios web, aplicaciones móviles, aplicaciones web (WebApps) u otros activos digitales (Digital Assets). Sin embargo, esta práctica representa o supone un grave riesgo para los individuos, ya que dicha información puede ser filtrada o comprometida, y utilizada por ciberdelincuentes para cometer distintos tipos de delitos, como la suplantación de identidad o ataques dirigidos mediante técnicas como el phishing. 

Actualmente, una de las formas más efectivas para obtener este tipo de datos e información es mediante la implementación de técnicas OSINT (Open Source Intelligence), las cuales permiten recopilar y analizar información a partir de fuentes públicas disponibles en internet.

Debido a que es un método relativamente sencillo, accesible y sin costos adicionales, el OSINT se ha convertido en una de las técnicas más utilizadas, especialmente en comparación con otros métodos que requieren conocimientos técnicos avanzados o herramientas especializadas de licencia comercial.

Además, el uso del OSINT no se limita únicamente al campo de la informática o la ciberseguridad; también ha demostrado ser altamente útil en áreas como el periodismo de investigación, el análisis de negocios, la inteligencia corporativa y la investigación criminal, entre otras áreas.

Por tanto, es necesario proteger los datos personales en la era digital actual. Además, solo de esta forma se podrá garantizar la seguridad y privacidad de los individuos.

¿Qué es SpiderFoot?

SpiderFoot es una herramienta de automatización OSINT (Open Source Intelligence) desarrollada en el lenguaje de programación Python. Es de código abierto y se integra con múltiples fuentes de datos públicas, utilizando alrededor de 200 módulos que permiten realizar búsquedas mediante parámetros como nombres de dominio, direcciones IP, números de teléfono, correos electrónicos, entre otros. 

Además, ofrece un servidor web local integrado, lo que permite trabajar a través de una interfaz gráfica limpia e intuitiva. No obstante, también puede ejecutarse desde la terminal, utilizando comandos en modo consola.

Las características mas relevantes de la herramienta SpiderFoot son:

• Más de 200 módulos de recolección OSINT.
• Motor de correlación configurable por YAML, con 37 reglas predefinidas.
• Exportación de resultados en formatos CSV, JSON y GEXF.
• Importación y exportación de claves API para múltiples servicios de terceros.
• Integración con la red TOR para realizar búsquedas en la Dark Web.
• Compatibilidad con consultas personalizadas mediante bases de datos relacionales como SQLite. 

Dependiendo del nivel de búsqueda seleccionado por el usuario, SpiderFoot ofrece cuatro tipos de escaneos:

1. Passive: recopila información sin interactuar con el objetivo.
2. Investigate: realiza un escaneo básico para detectar malicia.
3. Footprint: identifica la topología de la red del objetivo y recopila información suficiente y relevante para investigaciones estándares.
4. All: realiza un escaneo exhaustivo consultando todos los recursos posibles. Es ideal para investigaciones detalladas y profundas, sin embargo esta opción requiere de un mayor tiempo.

¿Instalar SpiderFoot en la distribución de Kali Linux?

Si por algún motivo esta herramienta no viene integrada en la distribución de Kali Linux, puedes instalar SpiderFoot fácilmente utilizando el comando sudo apt install spiderfoot. Este proceso es sencillo y aplicable a cualquier distribución basada en Debian que utilice el sistema de gestión de paquetes APT, como Ubuntu, Debian, Kali Linux, Zorin OS, entre otras. La instalación solo requiere seguir tres pasos:

• Paso 1. Abre la Terminal: Actualiza la lista de paquetes disponibles en los repositorios con el siguiente comando:

sudo apt update

• Paso 2. Instalar SpiderFoot (Opcional): Escribe el siguiente comando en la Terminal, e ingresa la contraseña de usuario root:

sudo apt install spiderfoot

• Paso 3. Verificar SpiderFoot: Completada la instalación, puedes verificar que SpiderFoot se haya instalado correctamente con el comando: 

                                                           spiderfoot -v

Ejecución de SpiderFoot vía navegador web

La forma más básica y práctica de utilizar SpiderFoot es mediante su interfaz web gráfica. Para ello, basta con ejecutar el siguiente comando. Tenga en cuenta que no se abordarán comandos avanzados para el modo consola (CLI).

spiderfoot [opciones] <direcciónIP:puerto>

sudo spiderfoot -l 127.0.0.1:5000

Estructura del comando:

1. spiderfoot: Es la herramienta principal de OSINT.

2. [opciones]:  Son parámetros o flags que permiten personalizar la ejecución. La opción más frecuentes es:

-l: Especifica la dirección IP y el puerto en los que se lanzará el servidor web local.

3. <direcciónIP:puerto>: Indica que se aceptarán conexiones locales (localhost) y define el puerto en el que se levantará la interfaz web.

Entendiendo la estructura básica del funcionamiento de SpiderFoot, pasemos a la práctica. Para ello, abre tu navegador y entra en la dirección IP que has configurado junto con su puerto: http://127.0.0.1:5000

Desde ahí podrás iniciar un nuevo escaneo, ver el historial de escaneos realizados y configurar opciones globales. 

En este caso, crearemos un nuevo escaneo. Para ello, sigue los siguientes pasos:

• Haz clic en "New Scan".
• En el campo "Scan Name", ingresa un nombre para el proyecto, por ejemplo: scan sitioweb.com
• En el campo "Scan target", escribe el dominio, teléfono móvil, correo electrónico u otro dato compatible que deseas escanear (ejemplo): sitioweb.com
• En  "By Use Scan", selecciona la opción "All" para realizar un análisis más completo y profundo.

• Por último, presiona el botón "Run Scan Now" para iniciar la tarea. Este procedimiento puede tomar desde pocos minutos hasta varias horas, dependiendo de la profundidad del escaneo y del objetivo seleccionado.

  Si el investigador desea personalizar el escaneo, puede optar por las siguientes opciones:

  • By Required Data: permite seleccionar los módulos según el tipo de datos que se desea obtener, como direcciones IP, servidores DNS, correos electrónicos, nombres de usuario, redes sociales, entre otros.

  • By Module: muestra todos los módulos disponibles, divididos por proveedor (por ejemplo: Shodan, HaveIBeenPwned, etc.). Esta opción es recomendable si se cuenta con conocimientos técnicos más avanzados o si se desea un control más preciso sobre qué se va a buscar y qué módulos utilizar.

• Posteriormente, se desplegará a la pestaña "Scans". Junto al nombre del proyecto se mostrará el estado del escaneo, indicando si se encuentra en ejecución (Running) o si ya ha finalizado (Finished).

    Ahora, es momento de interpretar los resultados.

Ejemplo Práctico

Si el estado ha finalizado, puede visualizar e interpretar los resultados obtenidos dirigiéndose a la pestaña "Browse". En este caso, con fines demostrativos, se visualizará una dirección de correo electrónico afiliada al objetivo escaneado. Esto indica que se encontró una relación entre el dominio/objetivo escaneado y uno o más correos electrónicos.

                                                                    Affiliate - Email Address

En este caso, el valor "59" indica el número de ocurrencias únicas encontradas del tipo de dato (por ejemplo, 59 direcciones de correo electrónico distintas afiliadas al objetivo). El valor "164" puede representar el número total de veces que se detectó ese tipo de dato; es decir, esos 59 correos aparecieron un total de 164 veces en distintas fuentes o módulos. Por último, se muestra la fecha y hora en la que se generaron o actualizaron los datos del escaneo.

Para finalizar, se recomienda que el investigador explore las distintas pestañas y resultados obtenidos. Este tipo de información es fundamental para identificar las relaciones existentes entre los activos digitales y el objetivo, como direcciones de correo electrónico, números de teléfono, entre otros. Estos datos pueden ser utilizados para un análisis de seguridad, investigaciones o actividades de inteligencia OSINT.

CRÉDITOS: Ing. Vega Valencia Miguel A.