En esta habitación vamos a realizar la investigación básica de una web, usando técnicas OSINT (Open Source Inteligence o Inteligencia de Fuentes Abiertas).

Cuando una web no existe

El objetivo es RepublicofKoffee.com, una web que ya no existe. Una manera de recoger información sobre una página sin visitarla directamente es simplemente buscarla.

La primera tarea es poner “RepublicofKoffee.com”, así con comillas, en Google.

Registro WHOIS

Sólo porque no aparezca nada cuando visitemos RepublicofKoffee.com no significa que nadie posea el dominio. De hecho, si hay alguna clase de página, aunque sea con pinta de spam, alguien lo posee.

¿Pero es esa persona la misma que durante el período en el que estamos interesados?

Puede que podamos saber eso o no, pero merece la pena echarle un vistazo.

Una búsqueda whois es la forma más básica de reconocimiento que hay disponible para un dominio. Nos debería decir la actual compañía de alojamiento web y los nombres de servidores (name servers). Mirando a los datos en bruto, es posible incluso obtener más detalles.

Lo que queremos son datos que podamos usar como puntos de pivotaje. ¿Una dirección de correo quizá? O mejor aún, una dirección física o número de teléfono.

Técnicamente son necesarios para registrar cualquier dominio, pero muchos registradores ofrecen alguna clase de protección de privacidad. Veamos qué encontramos.

¿Cuál es el nombre de la compañía con la que se registró el domino?

Nos vamos a https://lookup.icann.org/ que es lo que recomiendan.

Namecheap INC

¿Qué número de teléfono de la compañía de registro aparece?

6613102107

¿Cuál es el primer nombre de servidor que aparece para el sitio?

DNS1.REGISTRAR-SERVERS.COM

¿Qué aparece como nombre de la persona que lo registró?

redacted for privacy

¿Qué país aparece para el que registró la web?

Aparece el nombre de Reikiavik, capital de Islandia, pero no es ese el país que acepta. Hay un problema con esta habitación, por lo que sea y lo que he visto en otros escritos sobre ella, la solución era Panamá, pero eso ya no aparece.

Panama

El fantasma de los sitios web pasados

Si las primeras búsquedas no nos dan nada, no debemos desesperar. Aquí es donde entran archive.org y The Wayback Machine.

Hay una extensión que nos muestra automáticamente la búsqueda en Wayback Machine cuando una web falla al cargar. Sea como sea, veamos si hay resultados disponibles.

Con eso, respondemos a las preguntas.

¿Cuál es el nombre del autor del blog?

Steve

¿Desde que ciudad y país escribe?

El país es Corea del Sur, las ciudades aparecen varias, pero es la del primer post y en varios otros.

Gwangju, South Korea

¿Cuál es el nombre (en inglés) del templo que hay dentro del Parque Nacional que el autor suele frecuentar?

El parque, según un post, es el Mudeungsan national park, así que buscamos en Google. No tiene pérdida.

Jeungsimsa Temple

Profundizando en los DNS

Vamos con la recopilación de detalles técnicos. Aquí es donde entra https://viewdns.info/

Esta web nos proporciona un interfaz conveniente para buscar información sobre el registro de la web objetivo. Usándola, podemos extraer conclusiones que no aparecen a primera vista, como por ejemplo si la web está alojada en una IP compartida o dedicada.

La respuesta a esta pregunta puede implicar cosas sobre el presupuesto de la web y su tráfico.

Veamos si podemos responder a estas preguntas.

¿Cuál fue la dirección IP de RepublicOfKoffee.com en Octubre de 2016?

Hay un apartado de IP históricas, buscamos ahí y nos salen varias.

173.248.188.152

Basado en los otros dominios alojados en la misma IP, ¿Qué clase de servicio de alojamiento podemos asumir que se utiliza?

Si ponemos RepublicOfKoffee.com anterior en la primera opción, Reverse IP Lookup, salen un montón de webs.

shared

¿Cuántas veces ha cambiado la IP durante la historia del dominio?

Buscar la respuesta a la primera pregunta de este apartado nos da también esta respuesta.

4

Quitando los ruedines de entrenamiento

A partir de ahora, tenemos que usar lo que hemos aprendido y solo nos dan un dominio a fin de contestar las preguntas.

heat.net

¿Cuál es el segundo nombre de servidor listado para el dominio?

Lo miramos en un whois básico.

NS2.HEAT.NET

¿Qué dirección IP tenía el dominio en diciembre de 2011?

Nos vamos a viewdns.info y buscamos en IP History

72.52.192.240

Basado en los dominios que comparten la misma IP, ¿qué clase de alojamiento está usando el dueño del dominio?

Buscamos en Reverse IP Lookup y aparecen 48 dominios alojados en ese servidor.

shared

¿En qué fecha fue capturado el sitio por primera vez en Internet Archive?

06/01/97

¿Cuál es la primera frase del primer párrafo de la captura final de 2001?

After years of great online gaming, it’s time to say good-bye.

Usando nuestras habilidades de búsqueda, ¿cuál era el nombre de la compañía responsable de la versión original del sitio?

En alguna página del 97 hay algún copyright al pie que lo revela.

SegaSoft

¿Qué dice el primer encabezado del sitio en la última captura de 2010?

Heat.net – Heating and Cooling

Echando un vistazo bajo el capó

Es interesante que el sitio desapareciera un tiempo y luego volviera. El propósito del sitio es diferente ahora, vamos a averiguar qué ocurre.

Primero, ¿qué nos dice el instinto? ¿Cuál es nuestra impresión general? ¿Parece una fuente legítima de información? ¿Por qué?

Deberíamos considerar los siguientes puntos:

  • Lenguaje: ¿Qué nivel tiene la escritura? ¿Parece escrito en un inglés nativo?
  • ¿Es el diseño moderno? ¿Es amigable para el usuario?
  • ¿Qué páginas tiene el sitio?

Investigación técnica

A menudo, el código fuente del sitio contiene pistas que su creador deja sin pretenderlo. Examinarlo es interesante y también funciona en Archive.org.

Una vez se carga la fuente de la página, podemos examinar.

Elemento Explicación Más información
<!– Comentarios Ver más arriba
@ Dirección de email Pivotar desde un email
ca-pub Google Publisher ID Descripción de Google
ua- Google AdSense ID Tutorial de Bellingcat
.jpg Probar otras extensiones Puede revelar estructura de directorios

Encontrar los datos de arriba nos puede dar puntos de pivotaje esenciales. El artículo de Bellingcat entra en detalle de cómo hacerlo exactamente, pero no tenemos que complicar demasiado las cosas.

Siempre podemos coger lo de arriba, ponerlo en nuestro buscador y encontrar algo de oro.

Las siguientes preguntas se refieren a heat[dot]net/36/need-to-hire-a-commercial-heating-contractor/

¿Cuántos enlaces internos hay en el texto del artículo?

5

¿Y externos?

1

¿Cuál es la web en ese externo (y que no es un anuncio)?

purchase.org

Tratemos de encontrar el código de Analytics del sitio (código fuente, buscar Analytics)

UA-251372-24

¿Este código se usa en otro sitio? (yay,nay) La pista nos dice que podemos buscar en nerdydata.com

nay

¿Tiene códigos de afiliado obvios en los enlaces? (yay/nay) Nos dice que busquemos en href y obvios en sí no son.

nay

Examen final, conectando los puntos

Los veteranos en OSINT te dirán que perseguir por madrigueras de conejo día y noche sin hacer conexiones sólidas no es OSINT.

OSINT se refiere a los patrones que comienzan a surgir conforme conectamos los puntos en el análisis de los datos.

Hemos encontrado que nuestro objetivo enlaza a un sitio externo interesante, pero la pregunta es, ¿por qué?

No hay código de afiliado en el enlace, así que no hay una conexión obvia entre los dos, pero puede que haya otra clase de conexión. Este es el examen final y solo consta de una pregunta.

Usa las herramientas DNS para confirmar el nexo entre los dos sitios, trata de hacerlo sin recurrir a la pista.

Si buscamos en IP History, nos aparece la misma empresa como poseedora de la IP.

Liquid Web, L.L.C

Informe

Efectivamente, es probable que los dos sitios estén operados por la misma entidad.

Examinemos esto.

Aunque hay muchos anuncios, probablemente son un pequeño porcentaje del dinero que se consigue con la web. Requeriría más investigación para confirmarlo, pero es posible que los creadores de estos sitios ganen funcionando como PBN (Private Blog Network).

Estos existen para convencer al algoritmo del buscador de que otro sitio debería puntuar alto en los rankings de los motores de búsqueda.

Heat.net no parece un sitio diseñado para humanos, sino para convencer al algoritmo de que purchase.org debe estar más alto de lo que debería.

Purchase.org parece un sitio de dropshipping, lo que probablemente gane más dinero que heat.net.