Es el caso de muchas series de Netflix, las cuales incorporan temáticas de tecnología como son los hackers y el acoso virtual. Esto viene ocurriendo también en otras series, como ‘Mr. Robot’, protagonizada por el ganador del Óscar Rami Malek.

Hace unos meses se estrenó en Netflix la serie ‘You’, la cual muestra a un joven perturbado que usa la información que publica su victima en redes sociales para generar un perfil, entender sus gustos y su forma de vida y empezar su acoso. Lo mismo sucede con la serie ‘Dirty John’, basada en la historia real del norteamericano John Meehan, protagonizada por Eric Bana (antiguo Hulk). El protagonista también aprovecha la tecnología y el uso de redes sociales para encontrar y acosar todo tipo de mujeres.

Publicamos más de la cuenta en nuestras redes sociales

Sin entrar en spoiler, las dos series tienen una clara realidad: lo que publicamos nos define como personas o empresas. En seguridad de la información existe el concepto Osint (Open Source Intelligence), el cual se traduce como búsqueda de información en fuentes publicas. El Osint es la técnica que sirve para recopilar todo tipo de información con datos públicos; todo lo que publicas genera un perfil ya sea en redes sociales como Facebook, Instagram, Twitter, o es indexado por buscadores como Google.

La recopilación de la información puede ser automatizada o por medio de herramientas o software, dependiendo de la plataforma que se quiera analizar. En las series de Netflix muestran cómo los protagonistas usan el Osint básico, se basan en lo que publican la personas, que tiene un común denominador: publican más de lo que deberían. En series como ‘You’, el acosador aprovecha la necesidad de publicar todo lo que haces, lo que algunos psicólogos llaman la motivación del ‘like’ o el me gusta. Pero lo que haces es generar información para perfilarte, analizarte y, en algunos casos, perseguirte.

En el mundo del Osint, se recopila y analiza la información de las fuentes públicas, en muchos casos se puede realizar de forma automatizada, para lo que existen varias herramientas. Un ejemplo es Osint Framework, el cual clasifica herramientas, software, que se pueden utilizar en la técnica de Osint. Otra herramienta que usamos los que trabajamos en seguridad de la información es Namechk, la cual te dice si el nombre es usado en más de 200 plataformas o redes sociales.

Google también es fuente de Osint por medio de Google Hacking, que es una técnica para encontrar información por medio de operadores. Esto lo puedes ver en la nota que aparece en este enlace.

Paciencia y buen criterio

No se debe ser un experto en seguridad o conocer conceptos de Osint para encontrar información; solo se debe tener paciencia y saber buscar. En lo concerniente con las citas en línea en sitios como Tinder, Eharmony o Ahsley Madison, es muy común que se creen perfiles falsos con el fin de conectar personas. Esto es lo que se muestra en series como ‘Dirty John’, en la que el acosador crea perfiles falsos y usa la manipulación para enamorar.

El acosador usa la información que encuentra y crea un perfil que lo hace atractivo para su objetivo. En esto también se utiliza una técnica de seguridad informática denominada ingeniería social, la cual consiste en obtener información confidencial manipulando personas.

El mal uso de las redes sociales o el acoso pueden llevar a delitos informáticos como son la violación de datos, daño informático o el acceso abusivo a sistema informático. La regulación se puede quedar corta para un mundo hiperconectado. Por eso, el próximo 28 de febrero, la Corte Constitucional colombiana realizará una audiencia con el fin de debatir la pregunta ¿cómo las plataformas de información pueden tocar derechos fundamentales y cómo garantizar, al mismo tiempo, los derechos fundamentales que ellas involucran?

Sé prudente con la información que publicas

Para cuidarte y que no te pase lo de las series de Netflix, lo importante es no publicar información sensible y entender que estamos en un mundo de inseguridad de la información.  Así mismo, es importante configurar las opciones de privacidad de redes sociales; el respecto, recomiendo que no tengas un usuario único o similar para todos tus registros.

El Osint es un concepto del mundo de la seguridad informática que ahora se aplica a la vida real y que se muestra en varios capítulos las series ‘You’ y ‘Dirty John’ de Netflix. Muy bien lo dice el hacker Kevin Mitnick: el eslabón mas débil es el ser humano.

Imágenes: Giulio Fornasar, Filistimlyanin y Triocean.

Curso de auditor interno ISO 27001, OSINT y protección de datos

El profesional interesado en el campo de la seguridad puede empezar su formación en entender los distintos aspectos de la norma ISO 27001-2013. Es por esto que ENTER.CO, con el apoyo de la empresa Cloud Seguro, tienen el curso Auditor Interno ISO 27001, OSINT y Protección de datos. En él, los asistentes podrán certificarse como auditores internos en la norma ISO 27001-2013, conociendo su contenido en temáticas como conceptos generales de la norma, auditoría, plan de auditoría, riesgos en seguridad, sistema de gestión de seguridad de la información, identificación y redacción de hallazgos, entre otros temas de la norma ISO 27001.

El curso también tiene como valor agregado el módulo de OSINT. En este las personas conocerán de la temática de búsqueda de información en fuentes abiertas, algo también conocido como Open Source Intelligence. Esto es necesario para las personas que requieran trabajar en seguridad de la información. El OSINT se vuelve la mejor herramienta para recolectar información en fuentes públicas es el caso de redes sociales, buscadores como Google, noticias y otras fuentes públicas. En esta nota puedes ver la importancia del OSINT.

Otra de las temáticas del curso es protección de datos personales, con la que podrás conocer sobre privacidad y su relación con la seguridad de la información. En esté módulo aprenderás sobre conceptos de protección de datos y obligaciones para las empresas en privacidad como la forma de integrarlo con un SGSI.

El curso lo realizan las empresas Cloud Seguro y COTECNA. Esta última certifica como auditor interno después de pasar un examen sobre la norma ISO 27001. Podrás aprender tres temáticas en un solo curso, el cual en el ultimo año ha formado más de 100 profesionales.

Los detalles del curso

En conclusión en un curso virtual teórico práctico podrás certificarte como auditor interno en la norma ISO 27001, así como aprender de OSINT y protección de datos. El curso tiene un costo de 1.000.000 de pesos más IVA y comenzará el 12 de julio.

Puedes hacer el pago a través de la plataforma de ENTER.CO a través del siguiente link. Además, si deseas más información puedes escribir al correo contacto@cloudseguro.co.

Imagen: yourstockbank (vía iStock).

También te puede interesar: Ciberseguridad: ¿qué profesionales necesita el país?

Es por eso que un buen paso para empezar en la seguridad informática es entender el estándar internacional dado por la norma ISO 27001-2013, la cual describe como implementar procesos de seguridad de la información en las empresas. Pensando en generar un valor en el mercado de la seguridad Cloud Seguro, SGS, y ENTER.CO desarrollarán los días 22 y 29 de noviembre el Curso Auditor Interno ISO 27001, OSINT y Protección de Datos. Allí, el participante no solo se podrá certificar como Auditor en la ISO 27001, sino que aprenderá de OSINT (Búsqueda de información en fuentes públicas) y de Protección de Datos Personales.

Así es nuestro curso de auditor interno ISO 27001

El curso es en modalidad virtual con 45 horas teórico practicas. Al finalizar el 2017, contarás con tu certificación internacional de ISO 27001 dada por SGS, y entenderás las ultimas tendencias en OSINT y Protección de datos. Estas dos ultimas temáticas de Open Source Intelligence y Protección de datos son un complemento necesario para las personas que quieren empezar en el campo de la seguridad informática.

En el curso aprenderás la estructura de la norma ISO 27001, técnicas de auditoria, controles y estructura de la norma ISO 27001, Conceptos de un Sistema de Gestión de Seguridad de la Información, Planificación, Programa de Auditoria, entre otros. En el tema de OSINT y Protección de datos aprenderás sobre definiciones y concepto de OSINT, la información pública como fuente de inteligencia, técnicas de búsqueda de información pública y Google Hacking, entre otros temas.

En el módulo de protección de datos en el curso se mostrará la diferencia de protección de datos personales y seguridad de la información, aprenderás sobre el marco normativo y la creación de un sistema integral de protección de datos, como las obligaciones actuales para las empresas en privacidad.

El curso tiene un costo de $1.300.000 IVA incluido, y lo puedes pagar con tarjeta de crédito en el siguiente link. Para aprovechar el descuento de ENTER.CO del 5% lo puedes hacer en consignación en la cuenta de ENTER.CO. Para mayor información puedes escribir al correo contacto@cloudseguro.co.

Reserva tu cupo ahora y  mejora tu proyección profesional.

Imagen:

La búsqueda de información en fuentes públicas es una habilidad que deben tener profesionales de distintos sectores.  Así mismo, para las personas y empresas interesadas en ampliar sus conocimientos en temas de seguridad de la información, la norma ISO 27001-2013 es la mejor alternativa para aprender a crear procesos fuertes de seguridad informática. Es por eso que ENTER.EDU, la línea de educación de ENTER.CO, la empresas Cloud Seguro y SGS, lanzan el Curso Auditor Interno ISO 27001- OSINT y Protección de Datos. 

El curso se llevará a cabo de forma virtual con 45 horas teórico-prácticas. Al final, se te otorgará el certificado como Auditor Interno ISO 27001-2013.

El curso, que comienza el próximo 23 de noviembre, entregará herramientas sobre la norma ISO 27001-2013, la estructura y contenido de la norma, auditorías internas en seguridad de la información, numerales y controles de la norma ISO 27001, habilidades y competencias del auditor y gestión de una auditoría.

Así mismo, en el componente de la empresa Cloud Seguro aprenderás de OSINT (búsqueda de Información en fuentes públicas), fuentes de información, herramientas especializadas en OSINT, historia del Osint y tipos de búsqueda.  El curso es certificado por Cloud Seguro y SGS

Cómo te puedes inscribir al curso de OSINT

El costo del curso, que es certificado por Cloud Seguro y SGS, es de 1.350.000  pesos (IVA incluido). ¿Quieres hacer parte del curso? Los interesados y que quieran hacer el pago en tarjeta de crédito lo pueden hacer a través de este link.

Lee además: Google hacking, una herramienta ‘clásica’ pero que sigue siendo útil

Además, si haces el pago en efectivo recibirás un descuento de 5%. Para mayor información puedes escribir al correo contacto@cloudseguro.co. Solo quedan 5 cupos disponibles. El curso es dictado por Cloud Seguro, SGS con el apoyo de ENTER.EDU

Imágenes: ENTER.CO

Si bien no es un concepto nuevo, el Google Hacking se le atribuye al autor Johnny Long, el cual presentó el concepto en un evento de hackers en Las Vegas hace unos años. Google Hacking se define como las técnicas o parámetros con comandos de Google para conseguir búsquedas avanzadas o precisas.  En el mundo de la seguridad informática es utilizada para temas de OSINT (búsqueda de información en fuentes públicas) o ethical hacking, así como para conseguir información de un objetivo (empresas, personas, datos personales, cuentas de correo, etc.).

El uso de términos especializados para buscadores se puede utilizar para otros buscadores distintos a Google, tal y como son Bing o DuckDuck, entre otros. Mostraremos Google por ser el buscador más importante y el que más información indexa.

Los parámetros especializados de Google Hacking se pueden dividir así:

Operadores booleanos

Es el uso de operadores y símbolos para realizar búsquedas combinadas. Por ejemplo:

“ ”: Sirve para buscar una expresión literal. Por ejemplo, si usas la expresión “empresas de drones”, te mostrará los términos y búsquedas relacionados con dichos términos.

–: Para excluir páginas que incluyan cierto término o palabra. En este caso, lo único que debes hacer es agregar el signo – justo antes de la palabra que quieres excluir para que no se generen búsquedas que contengan dicho término.

OR: Busca páginas que contengan un término y otro, buscando los dos términos al tiempo. Por ejemplo: drones OR robots. Así, te buscará elementos que contengan las dos palabras.

+: Permite realizar una búsqueda que incluya el elemento que vaya luego del signo. Por ejemplo, si buscas +cámara drones, buscará enlaces que contengan cámaras de drones.

*: Permite remplazar palabras o y buscar complementos.

Comandos

Existe una serie de comandos o palabras claves los cuales te ayudan a que las búsquedas sean más especializadas. Algunos comandos son los siguientes:

Define: Con este comando podrás encontrar la definición del término que pongas a continuación de los dos puntos.

Filetype: término. Este comando sirve para buscar las extensiones de archivos específicos como es el caso de Word, PDF y Excel, entre otros. Por ejemplo, al escribir filetype: pdf drones, el motor busca los documentos en formato PDF que incluyan la palabra drones.

Cache: Busca la versión en la cache de Google y que ha sido indexada por el buscador.

Intitle: Busca la palabra en el título de una página web.

Site: URL: Sirve para buscar una página web específica relacionada con su dominio.

Author: nombre: El comando te buscará los sitios web, foros y demás ubicaciones que asocien al autor.

Allinurl: Sirve busca páginas que tengan el término en alguna parte del URL.

Related: URL: El operador muestra páginas semejantes a la URL o dominio.

Info: URL: Muestra la información que tiene el buscador Google, sobre un dominio o página, por ejemplo: info: www.enter.co

Así mismo, los anteriores operadores se pueden mezclar. Por ejemplo, al buscar filetype: pdf site: mintic.gov.co, me muestra todos los documentos en PDF en el sitio web de la entidad.

Veamos la diferencia si solo pongo en Google la siguiente búsqueda: PDF mintic.gov.co.

Y así se ve cuando utilizo el operador filetype:pdf site: mintic.gov.co.

El Google Hacking es, sin duda, una de las mejores herramientas para buscar información. En otros buscadores también existen comandos para mejorar las búsquedas, algunos de estos muy parecidos a los de Google. La conclusión de esto es que en ocasiones no le sacamos todo el provecho a los buscadores.

Desde ENTER.CO y la empresa Cloud Seguro estaremos generando notas sobre el uso de información en fuentes públicas. En estas mostraremos la importancia de OSINT, no solo para la seguridad de la información sino también para la toma de decisiones empresariales y personales.

*Germán Realpe Delgado: Abogado Especialista en Derecho Informático y Nuevas Tecnologías. Auditor interno en ISO 27001, Gerente de Cloud Seguro y parte de ENTER.CO. Consultor en empresas públicas y privadas. Consultor en temas de tecnología, Protección de Datos, Seguridad de la información, Delitos Informáticos, OSINT, Búsqueda de Información en fuentes públicas.

Imágenes: ENTER.CO, captura de pantalla