Cómo crear un avatar anónimo y seguro para OSINT

En ocasiones, para investigar con OSINT, vamos a necesitar disponer de un avatar, donde ocultar nuestra identidad real. Los motivos para hacer esto son diversos y legítimos.

En Internet, los malos ocultan su identidad, y nosotros tenemos que aprender a hacerlo también para evitar poner en riesgo nuestro trabajo y a nosotros mismos.

En este artículo no te voy a hablar de navegar de forma anónima, si no de crear una identidad ficticia y que parezca real, y de cómo protegerte de terceros.

Ten en cuenta que navegar de forma anónima, por ejemplo utilizando TOR, puede dar información a terceros, e identificar nuestro navegador, viéndonos como usuarios sospechosos.

Te enseñaré como crear una identidad ficticia en 1 minuto, a cambiar la ubicación en la que te encuentras, a utilizar emails temporales, a obtener números de teléfonos virtuales y a navegar de forma segura por Internet.

Comenzamos!

1.-Usar una VPN

El primer paso que debemos realizar es ocultar nuestra IP para impedir ser rastreados o, incluso algo peor, ser atacados.

Para ello podemos usar algún servicio de VPN (Red Privada Virtual).

¿No sabes lo que es una VPN? Puedes saber más en este artículo y en el vídeo que te dejo aquí:

Lo ideal es usar un servicio de VPN que disponga IPs de España porque, si llegan a identificarnos, sería algo sospechoso que nuestra IP fuese China, de EEUU o de Bulgaria, ¿no crees?

Algunos servicios de pago muy buenos con IPs españolas son:

https://nordvpn.com/es/

https://www.expressvpn.com/es

https://pro.cyberghostvpn.com/es_ES/

https://www.goldenfrog.com/es/vyprvpn

También puedes usar https://www.tunnelbear.com/ en su versión gratuita, la cual tiene IP española.

Si te da igual la ubicación de la IP puedes probar el plan gratuito de Protonvpn.com, pertenece a Protonmail o Hide.me que tiene un plan gratuito de hasta 2 GB.

Recuerda usar siempre la VPN para conectarte a todos tus servicios. En el momento que te conectes tan solo una vez, sin VPN, a tu cuenta de email o RRSS, lo mas probable es que tu IP real quede registrada.

2.-Crear identidad ficticia

Si queremos disponer de una identidad nueva y ficticia, existe un servicio que te facilita la creación de la misma en tan solo 1 minuto.

Se trata de Fakenamegenerator.com.

Fakenamegenerator te genera un perfil con todos los datos necesarios para crear perfiles en redes sociales, como por ejemplo, nombre, dirección postal, nº de teléfono, email temporal, usuario y contraseña, tarjeta de crédito, símbolo del zodiaco, fecha de nacimiento, características físicas, altura, peso, etc.

Gracias a este servicio no tendremos que estrujarnos el cerebro pensando en inventarnos esos datos.

3.-Crear entorno de trabajo virtual

Con nuestra identidad virtual creada en Fakenamegenerator pasamos a crear un entorno de trabajo virtual, para aislar completamente nuestro sistema operativo madre de todas las actuaciones que llevemos a cabo. Además, una vez que no necesitemos SO, solo tenemos que eliminar la maquina virtual y no quedará ni rastro de nuestra actividad.

Para ello necesitamos crear una máquina virtual, de forma que dentro de nuestro sistema operativo madre podamos instalar otro sistema operativo para realizar nuestra investigación.

Es decir, dentro de tu sistema operativo Windows puedes instalar otro sistema operativo independiente, ya sea Windows, linux o Mac.

Para ello vamos a utilizar un programa gratuito llamado VirtualBox y una máquina virtual de windows.

No voy a entrar en detalles de cómo instalar Virtualbox  y la máquina virtual, puedes buscar muchos tutoriales en Google.

Lo ideal es utilizar los datos de nuestra identidad ficticia para crearnos la cuenta en el sistema operativo, de forma que no existan incongruencias entre nuestra identidad ficticia y los datos de usuario del SO.

Si en la identidad ficticia nos llamamos «Eddie» no tendría mucho sentido crear una cuenta de usuario llamada «Paco».

«No es lo mismo ser anónimo que parecer alguien que no eres»

4.-Instalar Navegadores

El siguiente paso será instalar en el sistema operativo virtual los navegadores Chrome y Firefox, para poder usar las extensiones que necesitaremos en nuestra investigación.

5.-Gestor de contraseñas

Algo que recomiendo encarecidamente es utilizar un gestor de contraseñas. No sería la primera vez que se encuentra en una foto de la pantalla del monitor un Post-it pegado con la contraseña.

En nuestra labor vamos a utilizar contraseñas aleatorias y seguras, las cuales va a ser difícil recordar.

Existen algunos servicios en la nube, pero si queremos estar seguros al 100%, lo mejor es usar un programa de escritorio como Keepass, el cual es de código abierto y gratuito.

6.-Cambiar nuestra ubicación

Por diversos motivos es posible que necesitemos ocultar o cambiar nuestra ubicación en el navegador.

Los servicios de VPN nos permiten navegar cambiando nuestra IP real, siendo esta una capa importante de seguridad ante terceros, pero aún así no estamos cubiertos del todo.

A través del navegador se puede obtener nuestra ubicación exacta. Aunque por defecto tendrían que pedirnos permiso antes.

Para comprobar en Chrome como tenemos configurado la información de la ubicación que compartimos, puedes ir «Configuración» y, a continuación  «avanzada». En la sección «Privacidad y Seguridad«, haz clic en  «Configuración de contenido» , y ahí podrás ver qué estás autorizando y qué no.

Si queremos cambiar la ubicación real en la que nos encontramos solo tenemos que instalar la extensión de Chrome Manual Geolocation, con la que podremos elegir la ubicación que queremos mostrar.

Una vez instalada, actívala, cambia la posición a donde quieras y entra aquí, donde podrás comprobar cómo tu ubicación cambia según lo hayas configurado.

7.-Cambiar ubicación en Android

Con el paso de arriba ya tenemos cambiada nuestra ubicación por una ficticia en nuestro pc, ¿pero qué pasa si necesitamos que haya congruencia entre nuestro pc y nuestro móvil?

Si por cualquier motivo necesitamos que la ubicación de nuestro pc y nuestro móvil sea la misma, podemos usar algunas apps que sirven para cambiarla:

• Fake GPS Location Spoofer Free
• Fake GPS location

Puedes buscar más en la Play Store, sólo tienes que poner » GPS falsa » en la caja de búsqueda.

8.-Cuenta de eMail anónima

Ahora vamos a crear una cuenta de email anónima, en la que no dejemos ningún rastro que nos pueda identificar.

La idea no es crear una cuenta tipo Protomail, ya que lo que queremos es crear un avatar creíble, y como te decía antes, usando TOR y Protomail, igual levantamos sospechas.

La idea es crear una cuenta gratuita genérica, tipo Gmail, sin dejar rastros de nuestra IP o teléfono móvil, ni datos personales que nos puedan identificar (nombre, fecha nacimiento, etc).

Podemos hacerlo en un sitio en el cual no utilicemos nuestra IP (ej. Un bar), o a través de una VPN, al ser posible, con IP española.

Los pasos serían los siguientes:

Aviso: este método ha dejado de funcionar, a partir del punto 5 te doy otra alternativa comprobada y que funciona.

1. Fakenamegerator: activamos el email temporal que nos genera
2. Creamos una cuenta en Hotmail o Yahoo, y añadimos como email de recuperación el que nos ha facilitado Fakenamegerator).
3. Ahora nos creamos una cuenta en Gmail, y en este caso usamos como email de recuperación el de Yahoo o Hotmail que acabamos de crear.
4. Volvemos a Hotmail o Yahoo y cambiamos el email de recuperación de Fakenamegenerator por el de Gmail.
5. Accedemos a Gmail con la opción del navegador Chrome «Nueva ventana de incógnito».
6. Entramos en «Crear cuenta»
7. Rellenamos los datos personales (ficticios) y le damos a siguiente.
8. En esta ventana nos aparece la opción de introducir el móvil y un email alternativo, pero ahora nos aparece como datos opcionales.

Si no nos queda mas remedio que usar un teléfono para activar el email podemos usar Sonotel, tiene una prueba gratuita. (siento decirte que para darte de alta aquí tienes que dar un número de teléfono) o alguna aplicación de móvil como Hushed.com.

Cómo ves, es difícil registrarte en servicios sin dejar algún rastro de tu identidad. Tarde o temprano te pedirá algún dato identificativo, pero lo que buscamos es crear un avatar lo mas real posible, y eso nos impide el anonimato total.

Existen algunas opciones para hacerlo 100% anónimo, pero como el fin aquí no es hacer cosas malvadas, no voy a dar detalles.

9.-Creación de perfiles en RRSS

Crear un perfil ficticio tiene su complejidad. Si no queremos ser descubiertos deberemos ser creativos y detallistas.

Para el registro, usaremos la cuenta de email creada en el paso anterior, y en el caso de que no nos quede mas remedio que añadir un teléfono móvil, podemos usar el nº virtual contratado, aunque para el registro de RRSS no suele ser necesario añadir el nº de móvil (de momento).

Y ahora la pregunta del millón. ¿Que fotos uso para mi perfil?

Si lo que queremos es crear una identidad ficticia no podemos usar nuestras propias imágenes, ni tampoco coger imágenes de otros perfiles, primero, porque podría ser ilegal y segundo, porque nos podrían cerrar la cuenta, y tiraríamos  todo el trabajo por la borda.

¿Entonces que opciones te quedan?

La caracterización.

Te dejo una app muy buena, Faceapp.com (ojo con la política de privacidad de esta app), aunque es posible que haya otras, u otros métodos. Se creativo.

Antes de generar ningún tipo de contacto, es importante dar vida a nuestros perfiles con contenido, fotos y contactos, de forma que no levantemos sospechas.

Resumiendo

Encontrar el equilibrio entre creíble y anónimo es complicado.

En este artículo lo que he pretendido no es ser anónimo, sino parecer real y a la vez protegerte de terceros.

Aquí la creatividad tiene un papel muy importante.

Espero que te sea muy útil.