OSINT con SpiderFoot
OSINT con SpiderFoot
SpiderFoot es una de las herramientas de automatización para OSINT (Inteligencia de Fuentes Abiertas) más potentes y utilizadas en el ámbito de la ciberseguridad [1.1.1, 1.1.3]. Permite recopilar información pública de forma automatizada sobre objetivos como direcciones IP, nombres de dominio, direcciones de correo electrónico o nombres de personas [1.1.3, 1.3.1].
Aquí tienes una guía básica para entender y utilizar SpiderFoot en Kali Linux.
1. ¿Qué hace SpiderFoot?
Automatización: Utiliza más de 200 módulos para consultar fuentes de datos públicas en Internet [1.1.3].
Versatilidad: Puede identificar amenazas, realizar mapeo de superficies de ataque y analizar relaciones entre diferentes entidades [1.1.3, 1.3.2].
Interfaz: Aunque puede usarse por línea de comandos, incluye un servidor web integrado que ofrece una interfaz visual e intuitiva para gestionar los escaneos y ver los resultados [1.1.1, 1.3.2].
2. Instalación en Kali Linux
Como SpiderFoot suele estar disponible en los repositorios de Kali, puedes verificar si ya está instalado o instalarlo mediante la terminal [1.2.4]:
Instalar/Actualizar:
Bashsudo apt update sudo apt install spiderfootAlternativamente, puedes clonar el repositorio oficial desde GitHub para obtener la versión más reciente [1.2.1, 1.3.2]:
Bashgit clone https://github.com/smicallef/spiderfoot.git cd spiderfoot pip3 install -r requirements.txt
3. Cómo ejecutarlo
Para iniciar el servidor web y acceder a la interfaz gráfica, utiliza el siguiente comando:
python3 ./sf.py -l 127.0.0.1:5001
Después, abre tu navegador web y dirígete a [http://127.0.0.1:5001](http://127.0.0.1:5001) [1.3.2].
4. Uso recomendado y Ética
Inicio de escaneo: En la interfaz web, puedes crear un "New Scan", introducir el objetivo (por ejemplo, un dominio) y seleccionar el tipo de escaneo (ej. Passive para no interactuar con el objetivo, o Investigate para un análisis más profundo) [1.1.1, 1.2.2].
Ética y Legalidad: Es fundamental que utilices esta herramienta solo en objetivos de tu propiedad o sobre los cuales tengas una autorización explícita y escrita [1.2.2, 1.3.2]. Aunque recopila información pública, el uso automatizado y masivo de consultas puede ser interpretado como un ataque o infringir términos de servicio de terceros [1.3.2].
Interpretación: No asumas que todo lo que encuentres es un hecho absoluto. La herramienta puede generar falsos positivos, por lo que siempre requiere tu criterio profesional para validar los hallazgos [1.3.2].
Para profundizar en SpiderFoot, lo más efectivo es entender cómo configurar los módulos. El poder de esta herramienta no reside en ejecutar un escaneo genérico, sino en saber qué buscar específicamente para no saturar tu reporte con datos irrelevantes.
Aquí tienes los pasos para personalizar una investigación:
1. Selección de Módulos (Targeting)
Al configurar un "New Scan", verás una pestaña llamada "Modules". Aquí es donde defines la profundidad del escaneo:
Para Investigaciones de Dominio (Footprinting):
Activa módulos como
sfp_dns,sfp_whois, ysfp_subdomainspara obtener la estructura técnica.Usa
sfp_hibp(Have I Been Pwned) para buscar correos vinculados al dominio que hayan estado involucrados en brechas de datos.
Para Investigaciones de Personas o Correos:
Utiliza módulos como
sfp_linkedin,sfp_social, ysfp_profilespara buscar la presencia de ese usuario en redes sociales o plataformas públicas.sfp_pasteses excelente para buscar menciones de correos o nombres de usuario en sitios de "paste" (donde a veces se filtran datos).
2. Uso de la API (El "Turbo" de SpiderFoot)
Muchos módulos potentes requieren una clave API para funcionar. Sin estas claves, SpiderFoot solo usará fuentes básicas.
Ve a Settings > API Keys en la interfaz web.
Las más recomendadas para instalar son: Shodan (para escaneo de activos conectados), VirusTotal (para reputación de IPs/dominios) y Censys.
Tener estas claves configuradas cambia radicalmente la calidad y cantidad de la información obtenida.
3. Ajuste de la "Correlación"
SpiderFoot no solo busca datos, los conecta. En Settings > Core, puedes ajustar la "Correlation".
Si permites una correlación alta, la herramienta intentará vincular nodos de información (por ejemplo, si el correo A está en el dominio B, y el dominio B apunta a la IP C, SpiderFoot te mostrará la relación entre A, B y C).
Consejo: Si estás empezando, deja la configuración de correlación en modo automático, pero revisa el grafo resultante en la pestaña "Graph"; es la forma más rápida de visualizar las conexiones ocultas.
Ejemplo de flujo de trabajo:
Objetivo: Investigar un dominio corporativo.
Configuración: Activa los módulos de DNS, Subdomains, y Threat Intelligence.
Ejecución: Lánzalo en modo "Passive" primero. Esto es vital para no alertar al servidor del objetivo.
Análisis: Espera a que termine y dirígete al "Graph". Filtra por nodos de tipo "IP" o "Email" para ver qué activos están expuestos.