Paranoia Hack Viernes, 2 mayo 2014

Descubre la IP de un acosador de Facebook, Twitter, Ask.fm y más

Miguel Guerra

Comunicador dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

En ocasiones llegan mensajes de lectores para solicitar hazañas poco éticas, sin embargo, llegó un correo que decía que desde una cuenta de ask.fm (nombre que curiosamente me hace recordar a asco), estaba difamando a menores de edad. Cabe señalar que ask.fm es una página de publicaciones anónimas, lo que hace más complicado la ubicación de alguien. El mensaje detallaba que la cuenta: ask.fm/Sullanachismosea, se dedicaba a contar chismes contra adolescentes de la ciudad de Piura, Perú. Sin embargo, con unos cuantos trucos se logró obtener la IP de origen, y tras verse acorralado, cerró la cuenta. Si estás harto de acosos te muestro dos técnicas para obtener información del delincuente.

acosador-ip-internet

 

En este planeta el ‘Bien y el Mal’ se ajusta a la ética de las personas, por consiguiente, el fin justifica los medios, dándome la atribución de filosofar un poco. En los últimos años el acoso, difamación y extorsión por Redes Sociales ha aumentado. La privacidad está en extinción o atraviesa un proceso de afinamiento que será determinado por los más jóvenes. Las personas publican fotografías, vídeos, ubicación y archivos sin darse cuenta que se exponen al peligro, cuyo resultado serán problemas personales, familiares y hasta sociales contra la víctima.

Las páginas como Facebook, Twitter, Ask.fm y todas las que conocen, por temas legales, no siempre proporciona información de una cuenta que los extorsione, lo que complica que la víctima logre encontrar a su acosador para posteriormente realizar una denuncia formal. Sin embargo, si las plataformas no te ayudan, uno debe ingeniárselas gracias a la ‘Ingeniería Social’ para conseguir la IP del delincuente y luego presentar las pruebas a las autoridades, anexando los mensajes del acosador y toda la información que se haya recolectado. Antes de empezar señalar que se logró obtener información de la página de Ask.fm con su cierre.

capturado-CUENTA_ASK-DESACTIVADA-IP

MÉTODOS:

Existen muchas formas para rastrear a una persona, por ejemplo, conversando una vez con el ‘amixer’ @SeguridadBlanca me explicó que tiene su propio método para ubicar a una persona. No obstante, para el público menos relacionado a la tecnología, enseñaré dos formas fáciles para conseguir la IP, Sistema Operativo, Navegador, Coordenadas de ubicación, fecha y hora que entró el usuario a la trampa. Para ello solo hay que usar la creatividad para enviar un mensaje (Inbox, DM, Correo,Whatsapp) con un enlace o link para que el delincuente de clic y nos envíe los datos que necesitamos:

 

EL ENLACE AUTOMÁTICO:

Es lo más sencillo que he encontrado que proporciona datos que luego pueden ser muy útiles en una investigación. Para ello deben seguir los siguientes pasos:

1) INGRESA A WWW.WHATSTHEIRIP.COM. Colocar seguidamente el correo a donde quieres que llegue la información del delincuente (osea pon tu correo), luego clic en GET LINK. Cargará una pantalla con unos enlaces, los puedes guardar en un archivo de texto para tenerlos a la mano. Ya que son esos los enlaces que debe enviar al cibercriminal, aunque los datos también llegan al correo.

capturar_IP_rastrear1

2) Verá que a la Bandeja de Entrada un correo que dice: “SETUP COMPLETE”. Lo que indica que ya todo está listo para enviar el enlace o link.

capturar_IP_rastrear2

3) El correo “SETUP COMPLETE” tiene los detalles y los enlaces. Recomiendo enviar el 1er enlace que muestra, tal como lo señala la imagen. Cabe señalar que aunque el enlace será diferente para cada usuario.

capturar_IP_rastrear3

 

4) Una vez que el enlace fue enviado y el extorsionador abrió el link, sus datos se enviarán automáticamente. Tendrás la IP, las coordinadas de ubicación, el país, ciudad y otros datos que dependerán del país y proveedor de Internet (Movistar, Claro, Olo)

capturar_IP_rastrear4

VÍDEO DEMOSTRACIÓN:

 

 

CREANDO UNA PÁGINA WEB:

Para ello es necesario un poco más de conocimiento pero no a nivel experto. Así que paso a explicarles paso a paso con un servidor gratuito llamado 000Webhost, porque es estable, con una cuenta puedes tener tres webs y tiende a no colocar publicidad en las páginas, lo cual lo hace menos sospechoso. Para quienes están familiarizados con entornos digitales, las capturas le serán algo muy conocido, pero me di el trabajo para que usuarios con poco conocimiento se pierdan.

1) DESCARGAR LOS ARCHIVOS que luego subirá al servidor web (000Webhost) para capturar los datos del cibercriminal.

2) Acceder a 000Webhost para registrarte en SIGN UP para conseguir un espacio (hosting) y subir los archivos.

Tec2capturar_IP_rastrear1_

 

3) Deben llenar los requisitos para tener una cuenta: Nombre de la web, Nombre de usuario y un Correo Electrónico. Luego transcribir el “código ‘captcha'”, clic en “I agree to Terms Of Service” y finalmente: “CREATE MY ACCOUNT”.

Tec2capturar_IP_rastrear2

 

 

4) Al correo debió llegar un mail para confirmar el registro en 000Webhost. Posteriormente ir al botón MEMBERS AREA para loguearse e ir al CPANEL de nuestra web.

Tec2capturar_IP_rastrear3

 

5) Entrar a GO TO CPANEL para empezar a subir los archivos a la web.

Tec2capturar_IP_rastrear5

 

6) Una vez dentro del CPANEL, verás varios iconos, escoge la opción: FILE MANAGER (como lo muestra la imagen) para administrar los archivos de tu servidor.

Tec2capturar_IP_rastrear6

 

7) Una vez dentro de FILE MANAGER, verá el explorador para administrar los archivos. Para ello clic en el ícono del directorio: PUBLIC_HTML.

Tec2capturar_IP_rastrear7

8) Una vez dentro de la carpeta PUBLIC_HTML deberá borrar los archivos: .HTACCESS” y DEFAULT.PHP” seleccionándolos y clic en el botón DELETE. Y ¿por qué? Para luego subir los archivos que capturen los datos del acosador.

Tec2capturar_IP_rastrear8

 

9) Observará que los archivos se eliminaron y paso siguiente, subir los archivos que tenemos preparados con el botón UPLOAD.

Tec2capturar_IP_rastrear9

 

10) Una vez dentro de la opción UPLOAD. Deberá SELECCIONAR LOS ARCHIVOS: Tres documentos (INDEX.PHP, LOG.TXT y FONDO.JPG) que están en el archivo comprimido. Finalmente cargarlos dando clic en el icono de CHECK ().

Tec2capturar_IP_rastrear10

 

Los archivos luego que suban, podrán dar clic en el icono de flecha hacia atrás (◄-).

Tec2capturar_IP_rastrear11

 

11) Cuando los archivos estén en el servidor, seleccionar con check () a LOG.TXT y clic en CHMOD.

Tec2capturar_IP_rastrear12

 

12) Una vez dentro de la opción CHMOD seleccionar todos los 9 recuadros (check ✓) hasta que marque 777. Y ¿Por qué? Esto sirve para: Leer, Escribir, Ejecutar en el archivo LOG.TXT, y así guarde los datos que necesitamos del acosador.

Tec2capturar_IP_rastrear13

 

Los cambios 777 se darán, y luego clic en la flecha de atrás.

Tec2capturar_IP_rastrear14

 

13) Luego todo estará listo para enviar la web al acosador: www.nombredetuweb/index.php Para que sea menos sospechoso, pueden enviar un enlace corto.

Tec2capturar_IP_rastrear15

 

14)  Con paciencia y buen humor, habrá que esperar a que el criminal pinche el enlace, suceso que no podría ocurrir o por determinados hechos, no devolvernos datos exactos si quien está detrás es un Hacker con experiencia. Para constatar si cayó el acosador ir a VIEW del archivo LOG.TXT.

Tec2capturar_IP_rastrear16

 

15)  Si el acosador cae, saldrán datos del sistema operativo que usa, su IP, el navegador que usó, y otros datos más que podrá usar continuar una investigación y colocar una denuncia.

Tec2capturar_IP_rastrear17

 

VIDEO DEMOSTRATIVO

RESULTADOS:

En el caso de ask.fm/Sullanachismosea obtuvimos los siguientes resultados que luego serían reenviados para una denuncia por parte de algún afectado. El espacio fue suspendido por el mismo administrador por temor a que la policia le toque la puerta y se lo lleven junto a todos sus dispositivos digitales.

capturado-TRACK-IP_

capturado-CUENTA_ASK-DESACTIVADA-IP

 

+ DATOS Y RECOMENDACIONES:

– Una vez tengan los datos, reunirnos y hacer la denuncia correspondiente a las autoridades, en este caso a la DIVINDAT.

– El hecho de obtener la IP no significa saber la ubicación del acosador, más si este se protegío con una herramienta como la que mostró Camilo hace unas semanas. Es decir, si el acosador usa oculta su IP con una VPN o similar, será complicado saber el origen, a menos que las investigaciones continúen.

– Las IP en Perú son normalmente dinámicas, y las usan los proveedores de Internet por distintos motivos de conectividad, ya que la mayotia de IP Fijas van conectadas a servicios estaticos como una cámara IP, un cajero automático, un canal streaming o similares, aunque también todo puede depender de la configuración que el usuario o empresa de Internet configure en el router.

ip-tipos-dinamicas

– Pedir apoyo del proveedor de Internet (MOVISTAR/CLARO/OLO) para conocer el origen de las IPs, ya que las ubicaciones obtenidas en Perú normalmente apuntan a servidor central que es (al parecer) donde todos los usuarios se conectan. Si alguien diera un detalle se agradecería.

– ¿Qué es el Hosting? Es el espacio en donde se encuentran los archivos de una web.

+ AYUDA EN EL MÉTODO DOS (CREAR WEB):
– ¿Qué archivos subiremos? Tendrá que subir tres archivos: index.php [Contiene el script de captura los datos de un usuario], log.txt [archivo donde se guarda el registro de los usuarios] y fondo.jpg [imagen que ayuda a crear un diseño -en este caso de un concurso- dentro del archivo index.php].

– Si quieres cambiar el diseño, solo debes reemplazar la imagen FONDO.JPG por la que deseas, eso si, guárdala y súbela con el mismo nombre.
– Los datos obtenidos en el archivo LOG.TXT deben ser presentados a las autoridades como una prueba más, ellos se encargarán de analizar la línea de código, el mismo que varia dependiendo quien acceda a la web. Sin embargo, hay unos campos que querrán saber, así que explicaré de manera práctica. Generalmente si aparece:

– Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.XX (KHTML, like Gecko) Chrome/XX.X.XXX.XX Safari/537 = Navegador Chrone
– Mozilla/5.0 (Windows NT 5.1; rv:15.0) Gecko/20100101 Firefox/15.0.1 = Navegador Mozilla Firefox
– Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0) = Navegador Internet Explorer
– Mozilla/5.0 (Windows NT 6.1) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50 = Navegador Safari
– Opera/9.80 (Windows NT 6.1; U; en) Presto/2.9.168 Version/11.50 = Navegador Opera
– Cuando se habla de Windows NT 6.2 = Windows 8
– Cuando se habla de Windows NT 6.1 = Windows 7
– Cuando se habla de Windows NT 6.0 = Windows Vista
– Cuando se habla de Windows NT 5.1 = Windows XP
– Cuando se habla de Windows NT 5.0 = Windows 2000
– También captura la información si el acosador usa un iPad, iPhone o Android, guardando su IP de conexión.

 

ANTECEDENTES:

Las investigaciones forenses informáticas, la búsqueda de IP siempre es una vía para tratar de hallar más información, tal como lo prensentó el programa Panorama el 20 de abril del 2014 en el caso Fefer.  En donde tuvieron la cortesía de invitarme para hablar un poco sobre los IPs y simplemente corroborar la información que ellos tenían.

///////////////////////////////////////////////////////////////////////////////////////////////////////////
Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra

Comunicador dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.