Peritos informáticos colegiados – Tel: 950923905 – Mail: informacion@indalics.com – Atención al público: 09:30h – 13:30h / 17:00h – 19:00h

Ciberinvestigación y técnicas OSINT en procesos judiciales

Ciberinvestigación y técnicas OSINT en procesos judiciales

El proceso de ciberinvestigación realizada por peritos informáticos tiene cada vez mayor impacto en procesos judiciales de toda índole. Las técnicas OSINT son ampliamente utilizadas por los informáticos forenses para investigar la comisión de ciberdelitos en internet.

¿Qué es una ciberinvestigación?

La ciberinvestigación es el proceso de evaluación, integración, análisis e interpretación de información existente en internet al objeto de probar o refutar un hecho controvertido en un proceso judicial.

Toda ciberinvestigación tiene cuatro fases claramente diferenciadas: dirección, recolección, procesamiento y diseminación o difusión de los resultados.

Primera fase: dirección de una ciberinvestigación

En la fase de dirección el perito informático define los objetivos y alcance de la ciberinvestigación. También se estudian, evalúan y planifican las acciones que el perito debe emprender para su resolución.

Para una mejor planificación de las acciones, se suelen dividir los requerimientos a cubrir en generales y, a su vez, cada requerimiento general es dividido en requerimientos específicos. En esta fase, el perito informático debe haber sido capaz de responder a varias preguntas: ¿Qué hechos concretos deben probarse o refutarse con la ciberinvestigación? ¿Qué acciones va a tener que llevar a cabo? ¿Qué esfuerzo le pueden suponer? ¿Es viable alcanzar los objetivos planteados?

Segunda fase: recolección y preservación de evidencias digitales

En esta fase el perito informático deberá obtener y preservar evidencias digitales por medios variados, procedentes de diferentes fuentes de información. Estos elementos constituirán la base informativa a partir de la cual se confirmarán o refutarán los hechos investigados.

El origen de las fuentes de información puede ser muy variado y puede dar lugar a diferentes tipos de información útil en la ciberinvestigación. Las mas conocidas son:

  • Inteligencia en fuentes abiertas (OSINT): El perito informático obtiene las evidencias digitales a partir de fuentes de carácter público. La obtención se realiza con independencia de que el contenido sea comercializado, se difunda por canales restringidos o sea de carácter gratuito.
  • Inteligencia de fuentes humanas (HUMINT): El investigador obtiene la información suministrada directamente por personas, de forma consciente o inconsciente. La obtención de información por medio de fuentes humanas implica la captación de la fuente y convencerla para que suministre información, lo que no es sencillo. Además, la evaluación de la información adquirida por este medio debe hacerse teniendo en cuenta la propia naturaleza de la persona.
  • Inteligencia de señales (SIGINT): Consiste en la obtención de datos provenientes de la detección, interceptación y descifrado de señales y transmisiones de cualquier tipo. Normalmente tienen lugar en ciberinvestigaciones realizadas por los cuerpos y fuerzas de seguridad del estado, bajo tutela judicial y con unas condiciones y alcance muy concretos.

Tercera fase: procesamiento de información

La tercera fase de toda ciberinvestigación consiste con el procesamiento y la explotación
intelectual de la información. Con este fin el perito informático, en base a las pruebas digitales obtenidas, afirmará o refutará los hechos controvertidos objeto de investigación.

Para realizar una adecuada interpretación de la información recibida, es necesario que cada evidencia digital obtenida haya sido convenientemente evaluada por el informático forense.

En este sentido, el Sistema Internacional de Fuentes es una herramienta que ayuda a los peritos en este proceso, al recomendar la evaluación de una información en función de la fiabilidad conocida de la fuente (con letras de la A a la F) y de la credibilidad del contenido de esa información en concreto (con números del 1 al 6).

Cuarta fase: difusión de resultados de la ciberinvestigación

En esta última fase, el perito informático pone a disposición del juez o tribunal los resultados de su investigación forense. Estos resultados se aportan, por escrito, a través del correspondiente informe pericial informático. También se aportarán de forma verbal a través de la correspondiente vista oral, en la que el perito deberá de explicar al tribunal y a las partes el trabajo realizado y las conclusiones de la ciberinvestigación.

¿Qué es OSINT?

¿Qué es OSINT?

OSINT es el proceso de obtención de información de fuentes públicas o abiertas, es decir, a partir de información con cualquier tipo de contenido, fijada en cualquier clase de soporte (papel, fotográfico, magnético, óptico…), transmitida por diversos medios (impreso, sonoro, audiovisual…) y al que se puede acceder en modo digital o no, pero que en todo caso es puesto a disposición del público.

Los tipos de fuentes de información documental abiertas pueden ser muy diversos y no necesariamente tienen que tener un soporte tecnológico. En esta categoría nos podemos encontrar desde obras de referencia como enciclopedias, anuarios o directorios, monografías y publicaciones científicas o técnicas hasta la propia legislación e incluso las emisiones de radio y televisión o las distintas bases de datos abiertas que utilizamos diariamente.

En el ámbito de una ciberinvestigación el perito informático se centrará en fuentes OSINT digitales, utilizando herramientas informáticas muy diversas para su obtención y preservación de forma que sean válidas en un proceso judicial.

¿Qué problemas presenta OSINT?

El perito informático que utiliza OSINT para obtener información deberá afrontar tres problemas fundamentales: La naturaleza digital de la información, el filtrado de gran cantidad de datos y determinar su fiabilidad.

Problemas debidos a la naturaleza digital de la información

La información digital presenta una serie de problemas inherentes a su naturaleza que dificultan su valoración por parte de un juez:

  • Intangibilidad: La información digital no puede apreciarse directamente a través de los sentidos, sino mediante complejos procesos informáticos.
  • Replicabilidad: Toda información digital puede copiarse o replicarse tantas veces como se desee. Con ello se plantea el problema de distinción de la originalidad, el cual se declara como trivial si se puede acreditar que la fuente original y la copia son exactas, bit a bit.
  • Volátilidad: La información digital es mudable, inconstante por ser intangible, y especialmente sujeta a la posibilidad de modificación o alteración, lo que añade especial complejidad para determinar su originalidad y fiabilidad.
  • Deleble: Una información digital puede ser fácilmente destruida, sin que sea necesaria la destrucción del soporte que la contiene. Por ello la fuente original de información puede perderse tras haber sido obtenida en el proceso de ciberinvestigación.
  • Parcial: En ocasiones, la información digital está contenida en múltiples ficheros informáticos, repartidos en distintos soportes digitales y localizaciones, como por ejemplo un sistema de información en la nube, lo que añade todavía más complejidad para ser obtenida y preservada.

Problemas debidos a la gran cantidad de datos y su poca fiabilidad

El principal problema al utilizar fuentes OSINT es la enorme cantidad de información que puede obtenerse a través de internet. El perito informático puede acceder a muchísima información, pero en muchos casos será excesiva y en gran medida no procederá de fuentes fiables.

El perito informático deberá realizar un proceso de cribado de los datos. Únicamente será válida para la ciberinvestigación la información relativa a los hechos investigados que proceda de fuentes lo suficientemente fiables. El principal enemigo del investigador es la desinformación y tomar fake news como hechos consolidados.

OSINT también presente en ciberseguridad

OSINT se utiliza en multitud de ámbitos además de en las ciberinvestigaciones ligadas a procesos judiciales. El más destacado dentro del ámbito tecnológico es el de la ciberseguridad, con varias aplicaciones:

  • En la etapa de reconocimiento de un pentesting para descubrir hosts en una organización, información de Whois, encontrar subdominios, información de DNS, ficheros de configuración o passwords.
  • Se usa en tests de ingeniería social, para buscar toda la información sobre un empleado en internet y ser consciente de la información que hay disponible en abierto sobre la organización.
  • En la prevención de ciberataques, obteniendo información que permita alertar ante una amenaza o un potencial ciberataque que pueda sufrir la organización.
Distribuciones OSINT gratuitas en Linux

Distribuciones OSINT gratuitas en Linux

Hay dos distribuciones OSINT gratuitas con gran cantidad de herramientas:

Osintux

Osintux es una distribución Linux en castellano, con base en ElementaryOS versión 0.4.1., a su vez basada en Ubuntu LTS y Debian, y distribuida bajo licencia «GNU General Public License v3«. La distribución Osintux está completamente enfocada a labores de inteligencia en fuentes abiertas (OSINT). La distribución fue creada por Manuel Torres Martínez y por Pedro De La Torre Rodríguez.

Kali Linux

Kali es la distribución Linux más destacada en el ámbito de la ciberseguridad con multitud de herramientas, entre ellas una selección para la realización de ciberinvestigaciones mediante OSINT.

Buscadores generalistas usados en OSINT

En el marco de una ciberinvestigación los buscadores generalistas muestran resultados procedentes de páginas web públicas. Son el principal punto de partida de gran parte de cualquier investigación en la red así como de muchas investigaciones que tienen lugar en este ámbito.

Google

Google es probablemente el buscador generalista más potente, pero la cantidad de resultados se puede volver inmanejable si el perito no acota bien las búsquedas. Adicionalmente, existe un proyecto que nació ya hace algunos años llamado Google Hacking DataBase donde la gente comparte búsquedas avanzadas para conseguir determinada información.

Bing

Bing es el buscador de Microsoft y comparte una gran cantidad de operadores con los ya mostrados en el buscador de Google.

Baidu

Baidu es un motor de búsqueda en idioma chino y focalizado en este país. Pueden existir ocasiones en las que Google o Bing no tengan indexada cierta información relacionada con contenidos en este idioma, por lo que conocer las características de un buscador centrado en esta cultura puede ser muy útil.

Yandex

Yandex es un buscador ruso que también comparte con el resto de buscadores ciertos operadores como la búsqueda literal o los caracteres especiales como los comodines.

DuckDuckGo

Con el foco puesto en la privacidad y en asegurar a sus usuarios que no son rastreados, DuckDuckGo es un buscador peculiar que incluye algunas funcionalidades interesantes para el investigador forense.

Buscador Google Imágenes

Buscadores de imágenes empleados en ciberinvestigaciones

Algunos buscadores convencionales cuentan con herramientas que, dada una imagen,
permiten la búsqueda de imágenes similares ya publicadas. Los algoritmos utilizados tratan de comparar aspectos relevantes de las imágenes, lo que es muy útil para una ciberinvestigación. Aunque no son perfectos, si la imagen es muy particular muchas veces puede servir para identificar la primera publicación de una de ellas y con ello validar si esta es una imagen reciente o no lo es.

Google Imágenes

Google Imágenes permite hacer búsqueda inversa de imágenes de forma convencional por texto o a partir de imágenes que tengamos en nuestro equipo o a través de una dirección URL.

Yandex Imágenes

Yandex Imágenes también permite permite realizar la búsqueda inversa, permitiendo al usuario facilitar los archivos bien directamente desde el disco duro o facilitando una dirección URL de los mismos.

Tineye

Tineye es una compañía especializada en la búsqueda y reconocimiento de imágenes. Ofrecen productos muy útiles para una ciberinvestigación, que van desde el reconocimiento de imágenes similares a los de Google o Yandex hasta casos de uso muy concretos como la identificación de imágenes en base al color, la realidad aumentada o incluso la identificación de bebidas alcohólicas en base a la forma de las botellas y las etiquetas. Para el perito informático lo relevante es que es un servicio similar a los anteriores pero que también pone el foco en el reconocimiento de texto en las imágenes.

Páginas web de archivado

En muchas ocasiones, el contenido de diferentes páginas web termina por dejar de estar disponible. En un momento dado puede ser interesante para una ciberinvestigación recuperar la información que estas almacenaban en el pasado.

Al margen de la opción de consultar copias recientes de las páginas web utilizando la caché de los buscadores, existen otras herramientas que nos serán útiles para esta tarea cuando queremos hacer una búsqueda más hacia el pasado.

Wayback Machine

La Internet Library ofrece una base de datos denominada como Wayback Machine. Esta herramienta ofrece al perito informático la posibilidad de consultar las diferentes capturas que se han ido realizando a lo largo del tiempo de una misma página web. Resulta utilísima en multitud de ciberinvestigaciones.

Se trata de un servicio que lleva vigente desde el año 1996 y que realiza un proceso de crawling de los recursos existentes en la red con la particularidad de que almacena todas las capturas que va obteniendo.

Aunque la plataforma no tiene ciclos de búsqueda tan rápidos como los buscadores convencionales, el hecho de que ofrezca la posibilidad de consultar información que ya no está vigente la hace muy interesante para los peritos informáticos que quieran consultar información que ha podido ser eliminada.

Archive.is

También está disponible la web Archive.is con objetivos similares a Wayback Machine pero que
no lleva a cabo el proceso de crawling automático. Este servicio se basa en las páginas voluntariamente archivadas por los usuarios.

Buscadores tecnológicos

Existen otros buscadores que se centran en el escaneo de todo el rango de direcciones IP conocido para identificar las tecnologías utilizadas en cada segmento de la red.

Por este motivo, cuando se identifica una vulnerabilidad en un determinado tipo de tecnología muchos utilizan estos buscadores para identificar servidores que no hayan aplicado los parches de seguridad o para identificar recursos que han quedado sin protección.

Estas herramientas resultan fundamentales para el perito informático inmerso en la ciberinvestigación del origen de daños informáticos.

Shodan

Shodan es un motor de búsqueda que permite al investigador forense encontrar diferentes tipos de equipos conectados a internet usando una variedad de filtros. Realmente, lo que hace este servicio es capturar los banners, que son como metadatos que el servidor devuelve al cliente.

Esta herramienta permite al perito informático realizar búsquedas por país, dominio, rango de red, sistema operativo, puerto, texto y un largo etcétera.

Zoomeye

Zoomeye es otro buscador similar a Shodan pero desarrollado por la empresa china Knownsec Inc,. Su primera versión fue publicada en el año 2013. A diferencia de Shodan, que permite realizar algunas búsquedas sin usuario, es necesario tener siempre un usuario registrado para poder obtener resultados.

Esta herramienta permite al ciberinvestigador buscar por aplicación, versión, localización, puerto, sistema operativo, servicio, dominio, dirección IP e incluso keywords SEO.

Mrlooquer

El buscador MrLooquer es similar a Shodan que permite al perito informático buscar tecnologías que están disponibles en direcciones IPv6. MrLooquer soporta búsquedas por el texto que aparece en los banners. Sin embargo, también cuenta con una gran variedad de búsquedas avanzadas por rango de direcciones IP, dominio, puerto, por palabras o una combinación de todas ellas.

Ciberinvestigación en redes anónimas

Buscadores en redes anónimas

Para diferenciar contenidos web presentes en la surface web y en la deep web habitualmente se hace referencia a la facilidad con la que un contenido es indexado por los buscadores convencionales. Por definición, los contenidos alojados detrás de hidden services son contenidos a los que los buscadores convencionales no pueden acceder y que pueden resultar interesantes en una ciberinvestigación.

ahmia.fi

Disponible a través del dominio ahmia.fi, este buscador ofrece al perito informático la posibilidad de ser accedido también como hidden service a través de la red Tor utilizando el dominio msydqstlz2kzerdg.onion. Los enlaces a los resultados son mostrados empleando una pasarela intermedia si no accedes desde la red Tor de forma que pueden ser consultados sin necesidad de usar la propia red.

Ahmia.fi funciona como un buscador convencional sobre la red TOR y también sobre I2P y ofrece la posibilidad de reportar sitios con contenido no apropiado para que los resultados no sean mostrados. Su código fuente ha sido liberado con licencia BSD y está basado en Python2.7, Django y ElasticSearch para la indexación del contenido y los analistas pueden optar por instalarlo localmente para utilizar su propia instancia de búsqueda.

Torch

Torch es una plataforma de búsqueda que está accesible como hidden service. Funciona como un buscador convencional limitado exclusivamente a páginas accesibles a través de la red Tor, listando cerca de medio millón de enlaces a páginas .onion.

El buscador también cuenta con una opción de búsqueda avanzada muy útil en toda ciberinvestigación. En él se pueden configurar opciones como la identificación de patrones que aparezcan en la URL, el número de resultados por página o definir si todos los términos facilitados han de aparecer en los resultados o si con que aparezca una de ellos es suficiente.

Herramientas para la ciberinvestigación en redes sociales

Existen diferentes herramientas y técnicas útiles para la búsqueda de información en diferentes tipos de plataformas y redes sociales de gran utilidad en una ciberinvestigación.

OSRFramework

OSRFramework es un paquete de aplicaciones de obtención de información en fuentes abiertas programado en Python y distribuido bajo licencia AGPLv3. El conjunto de aplicaciones integradas en OSRFramework incluye herramientas para facilitar el proceso de investigación OSINT con el objetivo de facilitar la identificación de usuarios en la red.

Su característica principal es la capacidad de buscar usuarios en más de 300 plataformas distintas que agilizan las actividades de obtención y que podrían servir como punto de partida para la identificación de información relativa al investigado por el perito informático.

Algunas herramientas destacadas de este framework son:

  • USUFY: Una vez que el perito ha identificado algunos perfiles en los sitios de redes sociales, un problema importante que surge después implica tratar de encontrar nuevos perfiles asociados al investigado en otras redes. Por lo general, los usuarios tendemos a utilizar nombres similares en cada una de las diferentes plataformas. Por este motivo, nos interesará tratar de encontrar información sobre ellos en otras redes de forma automática validando si existe un determinado nombre de usuario dado de alta. Usufy nos ayudará en esta tarea automatizando el proceso de búsqueda y lanzando varias peticiones de forma simultánea.
  • ALIAS_GENERATOR: En determinadas situaciones, el ciberinvestigador puede no contar con un alias concreto al disponer solamente de algunos datos del perfil objeto de estudio. Para dichos casos, se ha configurado un script que genera una lista de posibles alias a partir de la información suministrada por el usuario y empleando una serie de transformaciones observadas en el proceso de generación de nuevos alias. Los resultados generados se mostrarán por pantalla y se almacenarán, uno por línea.
  • MAILFY: Permite al ciberinvestigador descubrir si existe una cuenta de correo vinculada a un nombre de usuario dado
  • SEARCHFY: Permite al perito informático realizar consultas contra los servicios de búsqueda de usuarios de diferentes plataformas. También se pueden hacer búsquedas más amplias empleando nombres y apellidos o cualquier término que se considere relevante, muy útil en cualquier ciberinvestigación. Entre las plataformas en las que se puede buscar utilizando searchfy se encuentran Facebook, Twitter, Skype, Github o PGPMit, el repositorio de claves públicas PGP del MIT.
  • PHONEFY: Permite al investigador identificar posibles casos de spam telefónico asociados a un número de teléfono. Los resultados retornados en este caso devolverán incidencias reportadas por otros usuarios asociadas a prácticas abusivas en diferentes fuentes como ListaSpam.

TheHarvester

TheHarvester es una aplicación escrita en Python y liberada con licencia GPL 2.0 que permite al perito la identificación de cuentas corporativas y subdominios gracias a los diferentes wrappers que tiene para distintos buscadores. También se puede utilizar theHarvester para identificar subdominios dentro de una compañía.

Namechk

Namechk permite consultar si un usuario está ocupado en determinadas redes sociales o dominios en internet, lo que puede llevar a identificar en qué redes está presente la persona objeto de investigación. Resulta muy útil para acotar el alcance de una ciberinvestigación.

Socialbearing

Socialbearing es una plataforma que permite al perito informático extraer información sobre Twitter de forma sencilla. Se pueden utilizar funcionalidades como extraer aquellos tweets publicados en base a determinadas keywords, localizaciones, followers y friends con la necesidad de estar logueados. Sin embargo, la opción de extraer información sobre un usuario (@handle) es la que más información de contexto suele proporcionar.

Geolocation Twitter

En ciertas ocasiones, los usuarios de Twitter tienen habilitada la opción de localización de sus tweets, por lo que a través de herramientas como la que ofrece GeoSocial Footprint el perito puede monitorizar la actividad de un usuario en un momento determinado. Para incorporar esta técnica a la ciberinvestigación sólo hay que introducir el nombre de usuario y ya se pueden obtener los tweets geolocalizados.

Escena del crimen digital y ciberinvestigación

Herramientas OSINT para ciberinvestigación de dominios y direcciones

Los métodos manuales de obtener información sobre un determinado rango de red son efectivos, pero se tarda mucho tiempo. El perito informático puede acelerar su ciberinvestigación utilizando las siguientes herramientas OSINT:

Domaintools

Domaintools ofrece al investigador diversas opciones de búsqueda sobre los diferentes registradores de dominio. Así, el perito puede consultar los registradores de un dominio, la fecha del registro o el email que utilizaron, entre otra información.

Domaintools también permite realizar las consultas por dirección IP así como por correo electrónico. De esta manera, aparecerán todos los dominios registrados por la misma dirección de correo.

ViewDNS

La herramienta online ViewDNS tiene entre sus funcionalidades consultas del Whois, ver los dominios registrados por determinadas direcciones de correo o consultas por dirección IP, etc. Sin embargo, mientras que en Domaintools algunas de estas consultas son de pago, en ViewDNS podemos encontrar muchas de estas funcionalidades de forma gratuita.

Un ejemplo de lo que puede hacer el ciberinvestigador es la realización de un Reverse Whois. Un Reverse Whois es una consulta que pretende identificar todos los dominios registrados por una determinada dirección de correo. En ViewDNS se puede realizar esa consulta gratuitamente (con un límite de 500 resultados).

IP2Location

Otra de las herramientas OSINT que muy probablemente se usen en el marco de una ciberinvestigación es la geolocalización de una dirección IP. IP2Location nos permite obtener obtener la geolocalización de una IP en la actualidad así como otra información relativa al ISP, la hora local o la empresa que provee el servicio de hosting.

Ciberinvestigador enmascarado

Enmascarando la identidad del ciberinvestigador

Uno de los problemas a los que tienen que hacer frente los peritos informáticos cuando realizan una ciberinvestigación usando fuentes OSINT es el enmascaramiento del origen de las conexiones. Normalmente las direcciones IP desde las que nos conectamos son visibles para los servicios que visitamos ya que se puede registrar el punto desde el que se solicitan los recursos.

Existen algunas técnicas y herramientas de gran utilidad:

Proxies de red

Un servidor proxy es un elemento que hace de intermediario entre dos sistemas de modo que ambos extremos de la conexión no interactúan sino es a través de este agente intermedio. De esta manera, cada sistema solo tiene visibilidad de este agente intermedio lo que en la práctica tiene el efecto de enmascarar el origen. Existen una gran cantidad de listas de proxies públicos localizados en diferentes lugares como freeproxylists.net.

La configuración de estos proxies de red es bastante sencilla desde el navegador. Basta con tomar nota del país desde el que se quiere salir y ajustar los parámetros de la configuración del proxy.

VPN

Mientras que los servidores proxy solamente hacían de intermediarios entre dos puntos, una VPN es una tecnología más compleja que permite ampliar la extensión de una red local doméstica o corporativa más allá del emplazamiento físico. La conexión entre el perito que la utiliza y la red física en sí se tuneliza de modo que el tráfico circula cifrado y de forma segura.

Existen algunos proveedores de servicios VPN gratuitos para poder utilizar en una ciberinvestigación, como ProtonVPN. Aunque también ofrecen VPN de pago a más velocidad, ofrecen una lista de VPN gratuitas y fáciles de configurar.

La Red TOR

TOR es software libre concebido para ayudar a activistas, periodistas y usuarios de internet a evadir la vigilancia masiva mediante el enrutamiento del tráfico de forma cifrada a través de una serie de nodos que componen esta red. Con ello permite examinar fuentes OSINT de forma razonablemente anónima.

El perito informático, en lugar de conectarse directamente a su destino, elige un nodo de la red TOR como nodo de entrada tras conectarse a un directorio de nodos disponibles. Inicia entonces una conexión que rebota internamente de forma aleatoria dentro de la red TOR de forma que los sucesivos nodos de la red solo conocen al inmediatamente anterior o posterior. El nodo de salida es el que se conectará a su destino y será su dirección IP la única de la que el destino tendrá constancia, enmascarando así el origen de la ciberinvestigación en caso de ser detectada.

Además de para conectarse a páginas web y servicios convencionales, la red TOR ofrece la posibilidad de conectarse a los conocidos servicios .onion. Estos servicios solamente están disponibles si se inicia una conexión dentro de la red TOR y tienen la particularidad de preservan el anonimato tanto de quien consulta la información como de quien la sirve. Activistas de todo el mundo utilizan los hidden services o dominios .onion para mantener accesibles páginas web cuyos dominios son bloqueados o censurados en la red normal. Por desgracia también los utilizan multitud de ciberdelincuentes.

TOR Browser

La forma más sencilla de utilizar la red TOR es a través del navegador TOR Browser Bundle, a menudo abreviado como TBB. TOR Browser Bundle no es más que una versión especial del navegador Firefox empaquetada de tal forma que tiene ya integrada la conectividad con la red TOR. El navegador es portable dado que no hace falta ni tan siquiera instalarlo y con descomprimir la propia carpeta es más que suficiente.

Comprobar rápidamente si nuestro navegador está configurado correctamente para usar la red
Tor es sencillo. Bastará con consultarlo en http://check.torproject.org/. Una vez confirmado, podremos comenzar la ciberinvestigación de dominios .onion como el de DuckDuckGo o usar de forma nativa los resultados mostrados por los buscadores Ahmia y TOR.

Torify

TOR también ofrece la posibilidad de instalar la herramienta y utilizarla para redirigir el tráfico de otras aplicaciones a través de la red TOR, lo que puede ser muy útil al perito informático para enmascarar el origen de su ciberinvestigación. El comando Torify nos permitirá realizar esta acción.

Sistemas operativos para navegación anónima

Existen algunos sistemas operativos que tienen como objetivo preservar la identidad del usuario como razón de ser, lo que resulta muy útil al perito informático en el marco de una ciberinvestigación de fuentes OSINT de forma anónima.

  • The Amnesic Incognito Live System (TAILS): Es una distribución diseñada para proteger la privacidad y el anonimato al forzar que todas las conexiones de este sistema Debian se realicen desde la red TOR. A diferencia de los sistemas operativos convencionales se diseñó específicamente para ser ejecutado desde un Live CD o USB, por lo que no requiere instalación.
  • Whonix está distribuido en un entorno virtualizado con dos máquinas virtuales. Una de ellas tiene la única misión de hacer de pasarela hacia internet enrutando todo el tráfico generado por la otra, que hace de estación de trabajo, hacia la red TOR.

Otra información de interés: