See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/329947099

Investigación-del-Cibercrimen y Delitos-Informáticos Utilizando OSINT

Technical Report · December 2018

DOI: 10.13140/RG.2.2.21594.59849

CITATIONS READS
0 1,285

3 authors, including:

Marlon Mike Toro-Alvarez Martin Leonardo Bonilla Duitama

Colombian National Police Policia Nacional de Colombia
6 PUBLICATIONS   15 CITATIONS    1 PUBLICATION   0 CITATIONS   

SEE PROFILE SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Cybercrime Project View project

Applied cybercriminology for cyberpolicing improvement and counteracting cybersecurity threats. View project

All content following this page was uploaded by Marlon Mike Toro-Alvarez on 27 December 2018.

The user has requested enhancement of the downloaded file.

Investigación del Cibercrimen y de los Delitos Informáticos
Utilizando Inteligencia de Fuentes Abiertas de
Información (OSINT)

Autores:
Marlon Mike Toro-Alvarez
Centro para la Investigación del Cibercrimen y la Ciberseguridad (CCIC)
miketoro@bu.edu

Wilmer David Parada Jaimes

Escuela de Tecnologías de la Información y las Comunicaciones (ESTIC)
wilmer.parada2746@policia.edu.co

Martín Leonardo Bonilla-Duitama

Escuela de Tecnologías de la Información y las Comunicaciones (ESTIC)
Martin.bonilla2736@policia.edu.co

Resumen
La cantidad de información utilizada y producida por los seres humanos teniendo en cuenta
su interacción digital se convierte en un desafío no sólo para la protección de sus datos y privacidad
sino también en una oportunidad de mejora de la investigación del cibercrimen y los delitos
informáticos. Técnicas especializadas para utilizar la información pública son requeridas en la
aplicación de la ley al igual que para desarrollar protocolos de seguridad informática. Entre estas
técnicas se encuentra el desarrollo de la inteligencia en fuentes abiertas (OSINT por sus siglas en
inglés) la cual no vulnera el derecho a la privacidad y por el contrario aprovecha la publicidad de
los datos dejados por los usuarios al interactuar en redes informáticas. Por lo anterior, el presente
trabajo introduce el concepto de OSINT y sus principales usos a la vez que invita a la comunidad
académica a construir conocimiento sobre las aplicaciones de la inteligencia de fuentes abiertas
para la ciberseguridad del sector público y privado.

Palabras claves
Cibercrimen, delito informático, informática forense, investigación cibercriminal,
OSINT, seguridad digital.
 Investigación de Incidentes Informáticos utilizando OSINT

Abstract
The amount of produced and used information by human beings taking into account their
digital interaction is a challenge not only for privacy and data protection but also it is an
opportunity for the cybercrime and computer-based crime investigation improvement.
Specialized skills for using that public information are required for law enforcement application
as well as for developing computer security protocols. Developing Open Source Intelligence
(OSINT) is one of those skills, which does not affect privacy right but take advantage of data
publicity which are left by users when they interact by computer networks. Hence, the current
work introduces OSINT concept, and its main usages while invites scholars to build up
knowledge about OSINT applications for both public and private sectors.

Key Words
Cybercrime, computer-based crime, computer forensics, cybercrime investigation, digital
security, OSINT.

2| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

Introducción

Los escenarios de la investigación criminal y la aplicación de la ley no se limitan a sólo a

las áreas geográficas en el mundo no digital. El ciberespacio, ese ambiente de interconectividad,
donde existe acceso a un sin número de servicios e información, es también un ambiente de
atención para la prevención, disuasión y contención de las conductas criminales (Parada, Ortiz &
Toro-Alvarez, 2018). Las conductas desviadas en el ciberespacio o con acción directa de las
Tecnologías de la Información y las Comunicaciones (TICs), conocidas como cibercrimen y
delitos informáticos, generan una rentabilidad delincuencial incluso más alta que la del
narcotráfico (Choi, 2015). Según la revista Dinero (2015), los delitos informáticos generan
dividendos por USD$ 3 trillones a nivel mundial, mientras que el tráfico de drogas ilegales
alcanza USD$1 trillón.

A nivel Colombia, el Centro de Cibercrimen de Microsoft (2016), afirmó que el país es una
de las naciones sur americanas que presenta mayor número de incidentes informáticos en la región.
Según el informe de amenazas del cibercrimen en Colombia 2016-2017 del Centro Cibernético
Policial (CCP), las víctimas de delitos tales como la suplantación de correos corporativos pierden
en promedio 380 millones de pesos al año y más de $60.000 millones de pesos por fraude cometido
con datos de tarjetas débito y crédito. De igual manera el CCP (2018) manifestó que durante los
últimos 3 años, se recepcionaron 15.565 incidentes informáticos, con un incremento del 28,30%
entre el 2016 y el 2017.

Ésta información permite hipotetizar que la rentabilidad del cibercrimen ha motivado la

generación de nuevas modalidades de delitos cibernéticos y procedimientos de anonimato en el
ciberespacio, con los cuales la labor investigativa policial se ha tornado más compleja. Es decir se
requiere actualizar los procedimientos de investigación cibercriminal para contrarrestar la
probabilidad de impunidad de los delincuentes informáticos y actuar bajo el aprovechamiento de
los datos dejados por la interacción en línea de los cibercriminales. En este orden de ideas, los
investigadores necesitan desarrollar capacidades en la recolección de evidencia digital en medio
de enormes volúmenes de información y multitud de comunidades virtuales por indagar (Choi &
Toro-Alvarez, 2017). Como una respuesta a este panorama, las agencias de aplicación de la ley
como es el caso de la Policía Nacional de Colombia incorporan en sus programas académicos, el

3| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

entrenamiento en la investigación en fuentes abiertas de información o también conocida como

OSINT por su nombre en inglés (Open Source Intelligence) (RedCiber, 2018).

El paradigma de la inteligencia de fuentes abiertas

Según el Centro Europeo del Cibercrimen (2016) OSINT se refiere a la búsqueda y
recolección de información de una persona, ítem o tópico de interés utilizando fuentes de acceso
público como internet, redes sociales, buscadores, códigos fuente, bases de datos públicas, foros,
imágenes, entre otros. Es importante anotar que OSINT no debe ser entendida como una técnica
de inteligencia que incorpore procedimientos de interceptación de comunicaciones o infiltración
de agentes cómo fuentes de información (Parada, et al., 2018) por el contrario OSINT es aceptado
como un protocolo de investigación informática donde se individualiza al ciberofensor y se pueden
recolectar elementos digitales de prueba a través de la búsqueda en fuentes sin restricción
(RedCiber, 2018). Estas fuentes son públicamente accesibles, como por ejemplo el contenido
disponible en la web, una revista, redes sociales o cualquier repositorio de información al cual
podamos acceder sin necesidad de superar mecanismos de protección de privacidad cómo una
contraseña. El indagar sobre un nombre de un ciudadano en un explorador en Internet utilizando
los servicio de buscadores como “Google” o “Duckduckgo”, ya sea digitando una parte del nombre
o acudiendo a caracteres específicos, como por ejemplo las comillas, es una práctica muy común
que podemos definir como una tarea dentro de las labores de la inteligencia de fuentes abiertas.
Un procedimiento de OSINT no requiere orden judicial toda vez que es el producto del análisis de
información pública. No obstante, el investigador debe seguir al pie de la letra los cuatro pilares
de la aplicación de estos procedimientos: primero, el conocimiento de las herramientas, fuentes de
datos e insumos, segundo; el entendimiento del funcionamiento, estructura y manejo de las fuentes;
tercero, la recolección de información, datos y metadatos; y por último, el procesamiento,
producción y documentación de información (Toro-Alvarez, 2018).

El conocimiento de software especializado en perfilación y búsqueda selectiva de

información optimiza los tiempos que el investigador puede dedicar a la identificación e
individualización de un ciberofensor. Aunque los buscadores actuales ofrecen servicios semejantes
bajo el uso de palabras o caracteres específicos, las herramientas informáticas diseñadas para
realizar labores de OSINT permiten automatizar procedimientos y visualizar los links del perfil

4| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

buscado con otros cercanos al objetivo motivo de búsqueda. De ésta manera mediante esquemas
concentrados el investigador puede tener una idea más amplia del investigado y su relacionamiento
con la o las potenciales víctimas u otros ciberofensores. En general el conocimiento de la
herramienta informática disponible para realizar tareas de OSINT, junto a la identificación de
permisibles fuentes de datos, le permiten al investigador tener una perspectiva holística de la
investigación y las partes comprometidas.

Por su parte el entendimiento del funcionamiento, estructura y manejo de las fuentes de

información permiten realizar consultas personalizadas cuando los resultados no son tan obvios o
no responden al nombre digitado del investigado. Es decir, el investigador al conocer sobre el
formato de etiquetamiento en una red social o la forma en que los contactos de una persona se
visualizan de acuerdo a la publicidad o no de la información en un determinado sitio web, puede
descartar esfuerzos innecesarios y focalizar búsquedas selectivas de objetivos secundarios. Estos
resultados secundarios de acuerdo a la estructura de almacenamiento de la fuente de información
pueden entregar pistas sobre interacciones de alta relevancia para la individualización del
ciberofensor.

Según Toro-Alvarez (2018) los metadatos son la información adjunta a un archivo la cual
provee detalles asociados al archivo, a los usuarios que han interactuado con este y el dispositivo
que lo creo o modificó. De esta manera la adecuada recolección de información, datos y metadatos
le permite al investigador obtener la ubicación de elaboración de un archivo, las modificaciones
que ha sufrido y la clase de equipo que lo creo. En el caso de una fotografía, es posible llegar a
determinar si la foto es el archivo gráfico original o en su defecto es una réplica o copia modificada
de la original (Choi, 2016).

Finalmente, el procesamiento, producción y documentación de información cierra el cuarto

pilar de la aplicación de las tareas OSINT. Independientemente que esta clase de indagación se
haga bajo fuentes de datos públicos los cuales no requieren la autorización de un ente judicial
competente, las actividades realizadas por el investigador con la información gestionada deben ser
documentada y validada para ser utilizada posteriormente en el juicio (Parada, et al., 2018). De
igual manera es necesario probar la autenticidad de la información recolectada y la técnica aplicada
en caso de requerirse (Toro-Alvarez & Choi, 2017). Aunque el proceso metodológico realizado
por el investigador tenga los protocolos de cadena de custodia preestablecidos, es necesario
5| Patrocinado por www.redciber.org & centercicboston.org
 Investigación de Incidentes Informáticos utilizando OSINT

registrar cada actividad desarrollada en el marco de OSINT. Lo anterior con el fin de evitar
subestimar la utilidad de la información recolectada la cual por falta de documentación suficiente
pierda validez y utilidad en la investigación.

En general, la aplicación de estos pilares provee la guía metodológica para analizar

cantidades masivas de información pública, apoyar otros procesos investigativos, orientar los
planes de trabajo de peritos y de informática forense, y coadyuvar la toma de decisiones frente a
tendencias y patrones observados (Parada, et al., 2018) en Internet o la red profunda comúnmente
conocida como Deepweb. Según Toro-Alvarez y Choi (2017) la red profunda es “una red
superpuesta que requiere software, configuraciones o autorizaciones específicas y protocolos y
puertos de comunicación diferentes a los estandarizados y conocidos para la comunicación en
internet” (p. 558). De igual manera la deepweb (red profunda) se integra por información no
indexada a Internet, lo cual significa que los procedimiento de OSINT en la “red profunda”
requieren un nivel de experticia más técnico con miras a formular técnicas de búsqueda acordes a
los servicios de navegación y descarga de los partes que interactúan en esta otra “Internet”
(RedCiber, 2018).

Es de anotar que la implementación de tareas de OSINT no está restringida a las agencias

de investigación o aplicación de la ley, por su parte, el sector privado también aprovecha la
disponibilidad de información pública en las redes informáticas. Por ejemplo el análisis de
mercados y de potenciales grupos de clientes es un resultado del análisis de información de fuentes
abiertas. De esta manera es posible acceder a nuevos servicios en línea para realizar tareas de
OSINT bajo software desarrollado por empresas privadas que comercializan con servicios y
productos. Esta participación del sector comercial provee una retroalimentación sobre la utilidad
de las técnicas de búsqueda de información en fuentes abiertas y motiva la participación de otros
sectores para la construcción de buenas prácticas en OSINT. Investigación académica para el
desarrollo de algoritmos de búsqueda en nuevas tecnologías de indexación o de almacenamiento
y tratamiento de datos es requerida teniendo en cuenta que las TICs están en permanente desarrollo
al igual que el incremento de datos almacenados en plataformas digitales. De igual manera
tecnologías de uso abierto como BlockChain ofrecen acceso a información pública de alta utilidad
en la medida en que su aplicación se vuelve más común (Toro-Alvarez & Choi, 2017).
Transacciones financieras, trazabilidad de distribución de medicamentos, y registros de

6| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

participación ciudadana en procesos democráticos o activismo político, son algunas de las

aplicaciones de BlockChain en un proceso por crear sociedades más trasparentes respecto a su
administración publica (Toro-Alvarez & Motta-Castaño, 2017) y más seguras teniendo en cuenta
el registro obligado de cada interacción y la imposibilidad de borrado de las mismas (RedCiber,
2018).

7| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

Conclusiones

Las redes informáticas ofrecen servicios de interacción con usuarios quienes dejan registros
públicos de su actividad en línea, esa opción de trazabilidad se puede utilizar a favor de una
investigación cibercriminal o para el desarrollo de nuevos productos o servicios. Esta característica
también se aplica para los sitios web de un sinnúmero de grupos sociales y comunidades
interconectadas, como por ejemplo las redes sociales.

OSINT no debe considerarse como una labor de inteligencia realizada por una agencia
gubernamental, por el contrario la búsqueda y aprovechamiento de la información pública está
disponible tanto para el sector público como privado. Esta disponibilidad permite el desarrollo de
herramientas informáticas y servicios de perfilamiento en línea muy útiles para la investigación
del cibercrimen y los delitos informáticos.

Las tareas a OSINT desplegadas por el investigador pueden ser ejecutadas haciendo uso de
las funcionalidades de los buscadores y exploradores de red, sin embargo el conocimiento de
herramientas informáticas diseñadas para perfilación y asociación de entidades reduce tiempo de
investigación y optimiza las fuentes disponibles.

Las fuerzas de policía y agencias para la aplicación de la ley tienen la responsabilidad de

preparar a sus investigadores en la aplicación de técnicas OSINT con las cuales se pueden articular
procedimientos investigativos de mayor alcance y ampliar el análisis de una problemática o
fenómeno cibercriminal. Un funcionario dotado de habilidades para visualizar instancias de
relación a través de OSINT puede documentar el comportamiento cibercriminal de toda una
organización delincuencial, incluyendo aliados financieros, testaferros y vínculos familiares o
sentimentales entre los miembros del grupo criminal o sus víctimas.

Nuevas tecnologías de indexación de datos y de almacenamiento de información deben ser

incluidas en el desarrollo de tareas de OSINT. De igual manera se deben replantear los métodos
investigativos que sólo contemplan fuentes no digitales de datos. Con el acceso abierto y masivo
a dispositivos electrónicos, la cantidad de datos incrementa al igual que las capacidades de
máquina para procesar y gestionar esa información con lo cual existen mayores oportunidades de
perfilación de cibercriminales y víctimas.

8| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

Desde la perspectiva de la cibervictimología y la aplicación de técnicas de OSINT se

pueden mejorar estrategias de seguridad de la información y a su vez de ciberseguridad. Es decir
se puede monitorear que tanta información pública de una potencial victima está expuesta en línea
y la delimitación de esa información con su trabajo y sus círculos familiares o de amigos. OSINT
aunque puede ser utilizada por cibercriminales de manera previa a un ataque de ingeniería social
también puede ser usada para contrarrestar la victimización en el ciberespacio.

9| Patrocinado por www.redciber.org & centercicboston.org

 Investigación de Incidentes Informáticos utilizando OSINT

Referencias

Brown, M.F. (2001). Criminal investigation: Law and practice. Boston: Butterworth-Heinemann.

Casey, E. (2000). Digital evidence and computer crime. London: Academic Press.

Centro Cibernético Policial (2018) Informe de amenazas del cibercrimen en Colombia 2016-2017.
Recuperado el 4 de febrero de 2018 de https://caivirtual.policia.gov.co/contenido/informe-
amenazas-del-cibercrimen-en-colombia-2016-2017

Centro de cibercrimen Microsoft (2016, noviembre 30) Colombia es el tercer país de

Latinoamérica con mayor índice de cibercrimen. Recuperado el 10 de octubre de 2017 de
http://www.microsoftcolombia.com/dia-de-cibercrimen-colombia

Centro Europeo del Cibercrimen (2016) Evaluación de las Amenazas del Crimen Organizado en
Internet (IOACTA 2016) de Europol. http://www.ituser.es/it-
whitepapers/2016/10/evaluacion-de-las-amenazas-del-crimen-organizado-en-internet-
ioacta-2016-de-europol

Choi, K. (2015). Cybercriminology and digital investigation. El Paso. TX. LFB Scholarly
Publishing LLC,

Choi, K. (2016). CJ 710 Applied Digital Forensic Investigation: Study guide module #3.

Choi, K-S & Toro-Alvarez, M. M. (2017) Cibercriminología: Guía para la investigación del
cibercrimen y mejores prácticas en seguridad digital. Bogotá: Fondo Editorial UAN.

García, L. E., Gómez, C. P. & Cortés, Y. L. (2018). Policing Strengthen for knowledge society
challenges: Series 1-Policing Beliefs. December 11, 2018. Technical report PSKSC-S1-
20181211. DOI: 10.13140/RG.2.2.23479.57766. 14 pages. Available in
https://www.researchgate.net/publication/329574001_Policing_Strengthen_for_knowledg
e_society_challenges_Series_1-Policing_Beliefs

Instituto Nacional de Ciberseguridad de España (2014, mayo 28). OSINT - La información es

poder. Recuoerado el 14 de octubre de 2018 de https://www.certsi.es/blog/osint-la-
informacion-es-poder

10 | Patrocinado por www.redciber.org &

centercicboston.org
 Investigación de Incidentes Informáticos utilizando OSINT

Parada, W. D., Ortiz, E. E. & Toro-Alvarez, M. M. (2018). IRETE resultado preliminar del estudio
comparativo de metodologías de pruebas de intrusión informática. Diciembre 17, 2018.
Documento de trabajo. AC2IC2T-20181217. DOI: 10.13140/RG.2.2.19947.18728. 14
paginas. Disponible en
https://www.researchgate.net/publication/329718546_IRETE_resultado_preliminar_del_
estudio_comparativo_de_metodologias_de_pruebas_de_intrusion_informatica/related

RedCiber. (2018). Diagnóstico del cibercrimen, delitos informáticos y comportamiento desviado

en el ciberespacio en Colombia. Bogotá: RedCiber

Revista Dinero (2015, septiembre 28). El cibercrimen es un delito más rentable que el narcotráfico.
Recuperado el 14 de diciembre de 2018 de
http://www.dinero.com/internacional/articulo/principales-cifras-del-cibercrimen-mundo-
colombia/213988

Toro-Alvarez, M. & Choi, K-s. (2017). Cibercriminología: Guía para la Investigación del
Cibercrimen y Mejores Prácticas en Securidad Digital. Bogota: Fondo editorial UAN.

Toro-Alvarez, M. M. y Motta-Castaño, D. (2017). Articuladores de innovación social para

contrarrestar amenazas a la seguridad ciudadana. Revista Logos Ciencia & Tecnología,
8(2), 24-34.

Toro-Alvarez, M. M. (2018). Programa de entrenamiento integral de prevención y contención del

cibercrimen contra niños, niñas y adolescentes. Bogotá. Escuela de Postgrados de Policía
(ESPOL)

11 | Patrocinado por www.redciber.org &

centercicboston.org

View publication stats