En la era digital, donde la información fluye a través de diversas plataformas en línea, la habilidad de investigar y discernir la autenticidad de las fuentes se ha convertido en un imperativo. En este sentido, mecánicas como la obtención de inteligencia a través de fuentes abiertas (OSINT), la práctica de recopilar y analizar información disponible públicamente con fines de investigación, y especialmente cómo pueden utilizarla los ciberdefensores para ir un paso por delante de los atacantes, ganan protagonismo.
Durante la búsqueda de información en investigaciones de tipo OSINT, desde ESET, compañía líder en ciberseguridad, advertimos sobre un potencial peligro: los Sock Puppets – o cuentas títeres. “Las llamadas cuentas Sock Puppet, cómo se crean y utilizan, junto con los riesgos que su uso puede conllevar, son elementos clave antes de encarar cualquier investigación de tipo OSINT, y debemos saber detectarlos y prestarles atención durante la búsqueda de información“, comenta Josep Albors, director de Investigación y Concienciación de ESET España.
¿Qué son los «Sock Puppets»?
En pocas palabras, las cuentas títeres son identidades o perfiles ficticios que se usan para obtener anonimato en foros de discusión, plataformas de comentarios, redes sociales, servicios de email, entre otros. Este anonimato, debe ir acompañado del uso de otros recursos como VPNs o Proxys, para que sea más efectivo. Por otro lado, estos perfiles se presentan como usuarios genuinos, pero son controlados por una persona o entidad que puede ser un actor malintencionados que intenta engañar, manipular e influir en la percepción de la información. Además, los Sock Puppets pueden ser utilizados en investigaciones OSINT para evaluar ciberamenazas emergentes, recabar información sobre fraudes online, abusos y otras actividades ilícitas y reunir pruebas de tales delitos, rastrear ideologías extremistas u obtener otras perspectivas sobre tendencias o problemas específicos.
La información recopilada por estas cuentas de investigación suele ser más profunda que la que se divulga fácilmente y puede requerir el establecimiento de relaciones con otras personas. Las entidades que utilizan estas cuentas son muy variadas y van desde las fuerzas del orden, investigadores privados y periodistas hasta analistas de inteligencia, y otros profesionales de la ciberseguridad, incluidos los esfuerzos destinados a detectar y mitigar posibles amenazas.
Por otra parte, desde ESET advertimos que estas personalidades falsas también pueden utilizarse para cumplir las órdenes de agentes maliciosos, que pueden utilizar los Sock Puppets para ayudar a difundir spam o extraer información de sus objetivos o manipularlos de alguna otra forma. “Estas cuentas también se utilizan a menudo en los esfuerzos de desinformación para ayudar a dirigir los debates en una dirección determinada, amplificar falsas narrativas, dar forma al discurso público y, en última instancia, influir en las opiniones sobre un problema social más amplio o una organización“, añade Albors.
Los «Sock Puppets» como herramienta de los investigadores
Las cuentas títere permiten a los profesionales de OSINT mezclarse en las comunidades en línea y recopilar información sin revelar su verdadera identidad y sin temor a represalias, especialmente cuando su seguridad personal podría estar en peligro. Pueden proporcionar a sus «titiriteros» acceso a grupos cerrados o privados que, de otro modo, serían inaccesibles para observadores externos.
“La creación de Sock Puppets requiere una buena dosis de planificación estratégica que tenga en cuenta variables como la elección de las plataformas que albergan la mayor cantidad de información sobre los objetivos, hasta la reflexión y posterior puesta en práctica de medidas de seguridad operativa adecuadas“, explica nuestro experto Albors, sobre la creación de las llamadas cuentas títeres.
En contrapartida, recordamos que no todas las cuentas títeres son iguales. Dejando a un lado las cuentas temporales ad hoc, que se descartan una vez completada su tarea (como registrarse en un sitio web o enviar un correo electrónico), quizá el caso de uso más común e interesante sean las cuentas de redes sociales, y esas requieren mucho más esfuerzo. Esto comienza con la creación de una cuenta de correo electrónico que no pueda ser rastreada hasta su propietario y, a continuación, una identidad realista con información personal detallada. Es igual de importante elaborar una historia creíble y coherente que se apoye en una actividad sostenida a lo largo del tiempo en forma de comentarios, publicaciones y fotos. Un plan que establezca las actividades de la cuenta -como identificar y visitar otras cuentas, publicar comentarios y mantener una imagen realista en general- ayuda a evitar que salten las alarmas.
Identificando potenciales «Sock Puppets»
Las cuentas de títeres pueden ser detectadas por:
- Observar análisis de patrones de comportamiento: los Sock Puppets tienden a seguir patrones de comportamiento similares. Su actividad puede revelar una falta de autenticidad, como la replicación de mensajes, la interacción entre perfiles falsos o la ausencia de interacciones con usuarios reales.
- Examinar los detalles del perfil: la falta de información personal detallada, fotos genéricas, realizadas con IA, o imágenes sacadas de bancos de imágenes, y la ausencia de interacciones humanas auténticas pueden ser señales de alerta.
- Hacer investigación cruzada y verificación: comparar la información proporcionada por estos perfiles con otras fuentes y realizar verificaciones de autenticidad de imágenes o datos puede revelar inconsistencias, esta tarea es muy importante para validar la información que estemos recolectando, pues una verdad se oculta entre dos mentiras.
Los “Sock puppets“ en acción
Los Sock Puppets desempeñan un papel fundamental en la inteligencia operativa, ya que proporcionan a sus usuarios una poderosa herramienta para recopilar información manteniendo el anonimato. Sin embargo, comprender las amenazas asociadas y las posibles trampas también es esencial para llevar a cabo investigaciones eficaces y éticas. Para empezar, los investigadores deben evitar el riesgo de ser descubiertos y estar bien versados en la identificación de cuentas sock puppet que puedan ser utilizadas con fines de contrainteligencia.
Es importante señalar que el uso de cuentas de títeres también implica consideraciones éticas y posibles riesgos o restricciones legales, y debe ajustarse a los objetivos previstos y evitar causar daños no deseados. Los «titiriteros» también deben sopesar cuidadosamente las ventajas e inconvenientes de estos personajes y asegurarse de que su uso se ajusta a las normas éticas, los requisitos legales y los objetivos generales de la recopilación responsable de información.
Mario Macucci. Accede al post en inglés aquí.