El manual de la NSA para convertirte en maestro de las búsquedas en Internet

Por David Ormeño @Arcanus_tco

La , esa agencia gubernamental norteamericana que ha sido objeto de cientos y cientos de noticias y artículos en la web y fuera de ella gracias a sus nada justificables prácticas de espionaje en todo el mundo. En el año 2013 la NSA se vio obligada a liberar al publico un libro que utilizan sus empleados para el cyberespionaje, y desde entonces podemos descargar en PDF el tomo completo de 643 páginas y unos 35 megabytes, llamado: Untangling the Web: A Guide to Internet Research.

Este libro fue publicado por el Centro de Contenido Digital de la Agencia de Seguridad Nacional de los Estados Unidos, y contiene todo tipo de consejos para aprovechar al máximo los motores de búsquedas y todo tipo de herramientas en linea para acceder a información confidencial en la web. Todo el contenido de este compendio era información clasificada y dedicada únicamente para uso oficial de las autoridades, hasta que un popular sitio que se dedica a solicitar récords públicos para activistas hizo una petición bajo la ley del Acta de Libertad de Información (FOIA) que permite a los ciudadanos obtener datos sobre lo que está haciendo el gobierno.

Las claves del laberinto

La versión de este libro de 2007 a la que podemos acceder es la duodécima edición de lo que empezó como un pequeño folleto. El prefacio deja en claro algo que debería ser obvio para cualquiera que intente aprovechar la web al máximo:

"Internet -en toda su gloria de información y desinformación- es para todos los propósitos prácticos, ilimitada, lo que significa que nunca podemos saberlo todo, verlo todo, o entenderlo todo, ni siquiera imaginar lo que ese todo es o será".

Uno de los objetivos del libro, como lo expone claramente en la sección "Cada ángulo del universo" es ayudarte a disminuir tu perfil cybernetico y aumentar tu seguridad. Bueno, no la nuestra, la de los empleados de la NSA a la que estaba dirigido en primer lugar.

El autor no deja de hacer énfasis en que incluso para el momento en el que el libro se publicó ya estaba desactualizado. Muchos de los enlaces a los que se hacen referencia pueden estar rotos, sitios pueden haber dejado de existir, y tips y técnicas usados, como por ejemplo las reglas de búsqueda y sintaxis en buscadores, pueden ya no ser iguales. Sin embargo, el compendio es tan grande que mucho se puede aprender de él.

La doble moral

En el libro su autor expone claramente lo siguiente:

Nada de lo que describo aquí es ilegal, ni tampoco implica de ninguna manera el acceso a datos no autorizados. Es en cambio la utilización de motores de búsqueda disponibles públicamente para acceder a información disponible públicamente que casi seguramente no estaba destinada a ser distribuida públicamente.

Por este tipo de prácticas que según el manual de la NSA no tienen nada de ilegales, han ido a prisión ciudadanos de los Estados Unidos.

En sus más de 600 páginas, Untangling the web cubre los aspectos fundamentales de las búsquedas en Internet, y explica como funcionan los motores de búsqueda. Habla sobre Internet Explorer y Firefox. Explica herramientas de megabúsqueda y metabúsqueda. Cubre Google y Yahoo y repasa hacks para cada buscador. También hace un repaso sobre el antiguo Windows Live Search, y el detestable Ask. Incluye tutoriales y enlaces (muchos rotos) a otras guías en la web para aprender a hacer mejores búsquedas.

El " Google Hacking " se utiliza como término para designar la utilización de este motor de búsqueda o de cualquier otro, para obtener información disponible públicamente... que seguramente no estaba puesta ahí para acceder a ella públicamente. Esto incluye: información personal o financiera, nombres de usuario, datos de inicio de sesión en servicios y ordenadores, contraseñas; datos privados, confidenciales o propietarios de empresas, información sensible del gobierno, vulnerabilidades en sitios web o servidores que pueden facilitar el acceso a un sitio.

"Uso Google todo el tiempo y nunca he encontrado este tipo de información"

Solo una pequeña fracción de los billones de páginas de resultados en Google contienen información que no estaba destinada para el publico. Y las técnicas expuestas en el libro están dedicadas a descubrir esos datos útiles. Por ejemplo, muchas organizaciones almacenan información sobre su inventario, personal, finanzas, etc., en documentos de Excel con la extensión "xls" y además marcan el archivo como "confidencial". El libro explica que podrías usar el comando [filetype:xls site:za confidential] en Google, para buscar información marcada como confidencial sobre una compañía en Sudafrica, o utilizar el comando [filetype:xls site:in budget] para buscar información sobre presupuestos de alguna compañía hindú.

Las técnicas más populares consisten en usar palabras clave como " proprietary, confidential, not for distribution, do not distribute" junto a un tipo específico de archivo, especialmente hojas de Excel, documentos de Word, y presentaciones en PowerPoint. Para buscar archivos que contengan información de usuario se usan las palabras login, userid, password que incluso en sitios internacionales suelen aparecer en inglés. Un búsqueda típica sería: [filetype:xls site:ru login] esto busca archivos de Excel que contengan información de inicio de sesión en webs rusas.

El autor no repara en advertir que este tipo de prácticas requieren cuidado especial y que el hacker sea capaz de no dejar huellas. Si estás interesado en este tipo de cosas lo mejor es que te leas completo el manual, y no empieces a "inventar" más de la cuenta sin saber en lo que te estás metiendo.