Cómo recuperar la imagen de un Estado de WhatsApp después de que haya caducado a partir de un comentario

Los estados de WhatsApp se presentan como publicaciones efímeras: duran 24 horas y desaparecen automáticamente. Al menos eso es lo que el usuario percibe. Sin embargo, la realidad es que las imágenes o vídeos que componen un estado no siempre se eliminan de todos los lugares por donde han viajado. Un ejemplo llamativo aparece cuando se hace un comentario a un estado, ya que el comentario queda en el chat privado como un mensaje independiente, y puede conservar una copia embebida de la imagen original.

Figura 1: Cómo recuperar la imagen de un Estado de WhatsApp

después de que haya caducado a partir de un comentario

Este comportamiento abre un debate interesante. ¿Estamos ante un fallo de privacidad, un “Leak” de WhatsApp, o simplemente es la forma en que la plataforma gestiona los mensajes y contenidos de manera global? Además, siempre una persona, al igual que comenta, podría hacer una captura de pantalla. El comentario es, sin duda, una copia en miniatura del estado. Entendido esto, la motivación de este análisis surge de una pregunta sencilla: ¿Qué ocurre con la imagen de un estado cuando caduca, pero alguien ha dejado un comentario en él? ¿Podríamos recuperarla con buena calidad en una investigación de OSINT en WhatsApp - WhatsApp INTelligence?

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

Consíguelo con Tempos de MyPublicInbox.

El sentido común diría que debería desaparecer todo lo relacionado con el estado, incluida la miniatura que se incrusta en el mensaje de respuesta. No obstante, al analizar el tráfico y los contenidos intercambiados, descubrimos que esa imagen puede seguir presente en el dispositivo de quien ha comentado el estado, como si hubiera hecho una captura.

Esto plantea dudas sobre la protección de datos y sobre el principio de limitación de la finalidad, uno de los ejes del Reglamento General de Protección de Datos (RGPD). Si el estado estaba diseñado para desaparecer, ¿por qué la imagen subsiste más allá de ese contexto? La verdad es que es complejo, ya que, ¿qué sucede si una imagen de estados se captura y se envía por WhatsApp? Lo mismo. Lo único que cambia aquí es que el usuario que hace el comentario lo hace sin la intención de copiarla sino de comentar, pero es el funcionamiento del servicio el que hace que lo copie.

Figura 3: La imagen del estado queda embebida en el

comentario como base64, aun después de caducar.

Para que cualquiera de los lectores podáis comprobarlo vamos a revisar este caso con un ejemplo. Tomamos para ello un estado cualquiera y realizamos un comentario. Al hacerlo, WhatsApp genera un mensaje en el chat con el autor del estado. Ese mensaje contiene dos partes:

• El texto del comentario.
• Una representación de la imagen del estado en formato data URI (una cadena con el prefijo data:image/jpeg;base64,...).

Esto quiere decir que la foto está embebida directamente en el mensaje como una cadena en Base64. Con un sencillo script en Python es posible decodificar esa cadena y reconstruir la imagen, aunque el estado original ya haya caducado.

import base64

# Cadena data URI copiada del mensaje de comentario
data_uri = "data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQ..."

# Separamos la cabecera del contenido
header, encoded = data_uri.split(",", 1)

# Decodificamos la parte base64
image_data = base64.b64decode(encoded)

# Guardamos los bytes en un fichero
with open("estado_recuperado.jpg", "wb") as f:
    f.write(image_data)
print("Imagen recuperada y guardada como estado_recuperado.jpg")

Lo que hace este fragmento es muy simple:

1. Identificar dónde empieza el contenido en base64.
2. Decodificarlo.
3. Guardarlo como un fichero JPEG que se puede abrir con cualquier visor de imágenes.

Al aplicar el código, el resultado es inmediato: se obtiene un archivo .jpg con la misma imagen que formaba parte del estado comentado.

Figura 4: Reconstrucción de la fotografía original a partir de

un comentario en WhatsApp: el archivo .jpg recuperado

muestra la misma imagen que formaba parte del estado.

Al inspeccionar los metadatos (EXIF), descubrimos que WhatsApp los elimina casi por completo. Esto significa que la imagen está “limpia” de información sensible como fecha, localización GPS o modelo de dispositivo. No obstante, lo relevante es que la fotografía como tal sigue ahí. Además, se pueden aplicar técnicas de procesado digital para ampliar o mejorar la nitidez de la imagen:

from PIL import Image, ImageEnhance

img = Image.open("estado_recuperado.jpg")

# Ampliar al doble de tamaño con interpolación de calidad
img_up = img.resize((img.width*2, img.height*2), Image.LANCZOS)

# Mejorar contraste y nitidez
enhanced = ImageEnhance.Contrast(img_up).enhance(1.3)
enhanced = ImageEnhance.Sharpness(enhanced).enhance(1.5)

enhanced.save("estado_mejorado.jpg")

Con este segundo script conseguimos que la fotografía se vea más grande y algo más nítida, recuperando detalles que parecían perdidos por la compresión.

Figura 5: Comparación entre la imagen original extraída

y la versión mejorada con filtros, que muestra

mayor tamaño y nitidez.

Si ya quieres, puedes hacer lo mismo que hacía Chema Alonso en su artículo dedicado al "leak" de la miniatura de las Imágenes de 1 Solo Uso, donde aplicaba GenAI para hacer una ampliación del thumbnail de WhatsApp con Inteligencia Artificial, lo que daba unos resultados más que aceptables. Por suerte, WhatsApp eliminó ya el Thumbnail de las imágenes de 1 sólo uso.

Figura 6: Reconstruyendo la miniatura con Gigapixel

En este caso sucede algo similar, ya que el hallazgo no es trivial. Aunque el estado haya caducado, la imagen permanece embebida en el mensaje del comentario, tal vez, de manera fortuita. 

Interpretación

Todo esto nos lleva a una cuestión de diseño. ¿Debería WhatsApp eliminar también la miniatura del comentario cuando expira el estado? ¿Sería suficiente conservar solo el texto del comentario, sin la imagen? ¿O realmente no es tan importante porque cualquier estado, como cualquier imagen o vídeo que se envíe por WhatsApp puede ser grabada y compartida, como vimos en el artículo de "WhatsApp: View-Once en fotos y vídeos con el "No Bug" de la visualización eterna para que que se graben con buena calidad"?

Figura 7: Grabación de fotografía de View-Once

en un WhatsApp usando una webcam.

Desde el punto de vista del usuario, existe una expectativa de privacidad: si publico un estado temporal, quiero que desaparezca en 24 horas. Que una copia quede en un chat rompe esa expectativa. Pero que se pueda hacer una copia de ese estado, una captura, o una grabación con otro móvil debería estar dentro de su expectativa. Ahora bien, desde el punto de vista de la arquitectura de la aplicación, el comentario es un mensaje independiente, con un contenido que incluye una imagen. Bajo esta lógica, no se trataría de un “Leak”, sino de un funcionamiento coherente con el sistema de mensajería.

La línea es difusa, y tendríamos que dirimir si es un fallo de privacidad o una consecuencia inevitable de cómo se implementa la función de interacción con los estados en una aplicación de mensajería.

Conclusiones

Este caso demuestra cómo la percepción de privacidad que ofrece una aplicación puede diferir de su funcionamiento real. Los estados caducan, pero las imágenes asociadas a comentarios no siempre desaparecen. Con un simple script en Python se puede recuperar la foto, incluso cuando ya no está visible como estado.

Figura 8: WhatsApp Intelligence (WhatsINT):. Jugando con leaks de WhatsApp

Desde el prisma de la protección de datos, esto plantea dudas: ¿se ajusta al principio de caducidad y limitación de la finalidad, o debería mejorarse? No se trata necesariamente de un “Leak” en el sentido clásico, pero sí de un diseño que puede llevar a confusión a los usuarios y a un exceso de retención de datos. La suma de Leaks puede acabar siendo un problema, como ya hemos visto muchas veces.

Figura 9: (Web)ScrAPIficar & Weaponizar WhatsApp.

La pregunta queda abierta: ¿debería WhatsApp rediseñar el comportamiento de los comentarios a estados para eliminar la imagen y conservar únicamente el texto? Mientras tanto, los usuarios deben ser conscientes de que un estado comentado no desaparece del todo, al igual que debían ser conscientes de lo que sucedía con la privacidad de los grupos públicos de WhatsApp.

Saludos,

Autor: Amador Aparicio,  escritor de los libros “Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun!” y "Hacking Web Technologies 2ª Edición"  y Miembro del Grupo de Investigación en Ingeniería de la Privacidad del Departamento de Informática de la Universidad de Valladolid.

 Contactar con Amador Aparicio en MyPublicInbox

Cómo investigar y hacer doxing con las sombras de una fotografía en la calle publicada en Instagram usando Google Earth Pro, ShadeMap, Google Street y ChatGPT

Dentro de una investigación de una fotografía, tal vez te interese saber dónde está hecha, o a qué hora se hizo. Cualquiera de esas dos informaciones puede requerir observar hasta el último detalle de la misma, los metadatos, letreros de tiendas, edificios, bocas de riego, postes de telefónica y, por supuesto, las sombras de los mismos en la calle.

Figura 1: Cómo investigar y hacer doxing con las sombras

de una fotografía en la calle publicada en Instagram usando

Google Earth Pro, ShadeMap, Google Street y ChatGPT

Para localizar un lugar, utilizar Google Street View suele ser una forma bastante sencilla donde, a partir de una simple foto de Instagram, se puede intentar buscar toda la información. Esto es parte de las disciplinas OSINT (Open Source Intelligence) que tantas veces han ayudado a resolver un caso.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

En el caso de las fotografías de Instagram, hay dos puntos de información que son relevantes. El primero de ellos es la Localización de la fotografía. Normalmente no se publica la ubicación exacta de la fotografía, pero sí es común encontrarse con pueblos, ciudades, o lugares genéricos que pueden ayudar a acotar la búsqueda.

Figura 3: Muchas fotografías de Instagram llevan localización genérica.

Yo muy pocas veces hago uso de ese metadato. Pero....

Una vez que tengas el lugar genérico, por ejemplo Móstoles, son muchas las horas que te puedes pasar con Google Street View buscando las calles, y paseando a ver si alguna de esas se parece a la que se ve en la fotografía publicada en Instagram. Yo uso la versión de Google Street View que viene con Google Earth Pro que me resulta más cómoda y puedo llevarla a veces en entornos con conexión intermitente como el tren.

Figura 4: Google Street View en Google Earth Pro

Sin embargo, una cosa que puedes hacer para acotar la búsqueda, especialmente si no conoces el lugar es preguntarle a ChatGPT o Perplexity Pro que seguro que te ayudan. Por ejemplo, si en la calle se ven árboles, un bulevar o un centro de salud, puedes preguntarle y que te dé calles donde pasear.

Figura 5: Buscando un bulevar en Móstoles... o en cualquier otra ciudad.

Además, si hay detalles más finos, le puedes dar la información completa a ChatGPT o Perplexity que te va a ayudar a acotar la búsqueda para que des menos paseos, como ves en esta parte de la respuesta que nos da para este Prompt.

Figura 6: Acotando la búsqueda de la calle

Y una vez acotada, pues nos vamos a nuestro querido Google Street View, para comprobar si esta podría ser la respuesta a la información de la ubicación que estamos buscando. En este caso, nuestra mítica Avenida de Portugal, segmentada de la Nacional V hace muchos años.

Figura 7: Avenida de Portugal en Google Street View

con su bulevar, cera y árboles

Pero puede que nos encontremos con dudas, especialmente si queremos localizar una zona muy concreta de esa calle o una hora muy determinada, que son dos cosas totalmente diferentes. Para ello, en Instagram podemos extraer en primer lugar la hora de publicación. ¿Es la hora en la que se tomó la fotografía? Puede que sí o puede que no, pero si es que sí, va a ayudar mucho a acotar la ubicación.

Sacar la hora exacta de la publicación de una foto en Instagram

Este es un proceso muy sencillo. Basta con seleccionar la fecha de publicación de la fotografía, donde día el día del año, o cuánto hace que se publicó, y luego dar con el botón derecho para seleccionar la opción de Inspeccionar en Google Chrome.

Figura 8: Inspeccionar en Google Chrome la fecha

de publicación de una fotografía en Instagram

Esto nos llevará al código HTML, donde tenemos la etiqueta Time y el parámetro datetime. Allí verás la fecha y la hora exacta en formato ISO 8601 (por ejemplo, 2025-08-22T15:34:20.000Z), que normalmente está en UTC. Y si das con el botón derecho a la opción de Edit HTML podrás copiarlo

Figura 9: Hora exacta de publicación de una foto de Instagram

Una vez copiada, solo debes ver qué hora era exactamente. Puedes buscar la conversión correcta del formato, o decirle a Perplexity o ChatGPT que hagan el trabajo de convertirlo por ti. ¿Quién necesita un conversor cuando puede hacer Prompts?

Figura 10: Foto publicada a las 17:00 de la tarde en Instagram

Ya tenemos la hora en Instagram, ahora podes ir e investigar las sombras. Para eso necesitamos un mapa con la luz solar a cada día y hora, y para ello Google Earth Pro es perfecto. Primero debemos ir al menú de View y seleccionar la opción de Sun.

Figura 11: Activando la luz solar en los mapas 3D de Google Earth Pro

Una vez activado el "Sun" podemos ver la evolución de la luz solar en cada ubicación en todo el mundo, dependiendo del día y la hora que configures. En este vídeo se ve cómo puedes ir desplazándote por los horarios y ver cómo cambia la luz.

Figura 12: Luz solar por horas en Google Earth Pro

Una vez hecho esta configuración, puedes ir a la visión 3D del mapa, seleccionando un día y una hora exacta para poder ver las sombras en la forma correcta, lo que te va a ayudar a poder detectar si el sitio es el correcto o no. 

Figura 13: Configuración de Luz Solar a una determinada hora en Google Earth Pro

Es decir, primero lo compruebas en Google Street View y luego lo confirmas con las sombras incluidas en Google Earth Pro... o viceversa. Como podéis ver, se ven las sombras proyectadas de forma correcta a esa hora concreta.

Figura 14: 3D con Sombras en Google Earth Pro

En la visión 3D de Google Earth Pro ves la orientación de las sombras, pero el realismo no es igual que el de Google Street View. Allí son fotografías que puedes revisar, pero están tomadas a distintas horas y procesadas. Con la mezcla de las dos puedes investigar mejor la ubicación de una fotografía.

Figura 15: Luz solar y sombras en Móstoles a una hora concreta en ShadeMap

También lo puedes hacer con ShadeMap, como podéis ver aquí, que es otra buena alternativa. Esto te puede ayudar a saber a qué hora fue tomada una fotografía, si conoces el lugar, de forma muy ajustada, solo con ver la orientación y longitud de las sombras de los elementos que salen en ella.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Chatbots de Inteligencia Artificial Maliciosos hechos con LLMs para sacarte información personal

Para hoy domingo os dejo una de esas lecturas que me gustan a mí, ya que tienen que ver con Ciberseguridad, con Inteligencia Artificial, y con algo que está alrededor de nosotros cada vez más, como son los Chatbots para ayudarnos, entretenernos, hacernos la vida más fácil, pero que por detrás pueden tener objetivos de engagement, de consecución de información, catalogación de usuarios, de manipulación o venta persuasiva, como vimos en el artículo "Conversación y venta persuasiva a Humanos usando IA". Hoy lo vamos a ver para conseguir datos personales.

Figura 1: Chatbots de Inteligencia Artificial Maliciosos hechos

con LLMs para sacarte información personal

El paper, que han hecho investigadores de la Universitat Politècnica de València y el King's College of London se centra en evaluar el funcionamiento de Chatbots AI Maliciosos diseñados para robar datos personales a personas, y se titula: "Malicious LLM-Based Conversational AI Makes Users Reveal Personal Information".

Figura 2: Malicious LLM-Based Conversational AI Makes Users Reveal Personal Information

El objetivo de este trabajo de investigación se centra en responder principalmente a tres preguntas claves, que son las siguientes:

• ¿Se puede diseñar un Chatbot AI Malicioso para robar datos de forma efectiva a los usuarios con los que interactúa?

• ¿Cómo entregan sus datos personales los usuarios y cuál es su percepción frente a diferentes estrategias de diseño de estos Chatbots AI Maliciosos?

• ¿Cómo entregan sus datos personales los usuarios y cuál es su percepción frente a diferentes LLMs con lo que se han construido estos Chatbots AI Maliciosos?

Para hacer este estudio, por tanto se han utilizado diferentes LLMs - en este caso Llama y Mistral -, un grupo amplio de personas - un total de 600 participantes en el estudio - y hasta cuatro estrategias de funcionamiento de los Chatbots AI Maliciosos diferentes, lo que nos da buenos insighs sobre cómo pueden usarse estas estrategias en ataques dirigidos contra personas u organizaciones. Una forma diferente y efectiva de "Hacking & Pentesting con Inteligencia Artificial".

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

La idea principal es diseñar el Chatbot AI Malicioso usando un LLM instruido para tener un rol de conseguir extraer información de las personas con las que converse. Además de que pueda hacer cualquier otra función, debe sacarle información y datos personales a los usuarios que chateen con él.

Figura 4: ChatBot AI Benigno y Chatbot AI Malicioso 

Si os fijáis en el Prompt Malicioso de la imagen anterior, está instruyendo al LLM para que extraiga una lista de datos personales grande, con el objetivo final de poder hacer perfilado de cada uno de los usuarios con los que interactúa. Pero además, se utilizan cuatro estrategias de CAI diferente, que son las siguientes:

• U-CAI (User Benefits Chatbot AI): Esta comprobado que para los usuarios, pagar servicios por privacidad es algo que ha funcionado en la mayoría de las plataformas de servicios digitales que viven de la publicidad, así que este CAI ofrece beneficios a cambio de datos personales.

• R-CAI (Reciprocal Chatbot AI): En este caso se utiliza una estrategia de confianza, empatía y compartición de datos conjuntamente, ya que los humanos tenemos la empatía como una debilidad que es explotada muchas veces en los esquemas de ingeniería social.

• D-CAI (Direct Chatbot AI): Esta estrategia es preguntarle de forma directa los datos a los usuarios y ver como responden. Demuestra si las personas tienen mecanismos de protección contra el robo de datos, si son capaces de no responder a una pregunta directa, o cuándo dejan de hacerlo. 

• B-CAI (Benign Chatbot AI): En esta estrategia no hay un cuestionamiento directo, y solo se van recogiendo esos datos cuando los usuarios voluntariamente los van soltando.

Definidas estas estrategias y probados los Chatbots AI Maliciosos con los usuarios, los resultados son bastante reveladores, como podéis ver en la siguiente imagen.

Figura 5: Datos Personales obtenidos con las diferentes estrategias

El gráfico anterior tiene diferentes simbologías para representar los diferentes grupos de usuarios, mediciones, LLMs, y estrategias, pero se puede ver claramente como el U-CAI y el D-CAI tienen un éxito mayor que el R-CAI y el B-CAI, con lo que una estrategia de directamente preguntar, y aún más, dar beneficios en el servicio a cambio de privacidad funciona perfectamente.

Figura 6: Frecuencia de copartición de datos por cada estrategia

En la gráfics anterior podéis ver la frecuencia con la que se obtienen diferentes tipos de datos, y cuáles son los datos que son más fáciles de conseguir y con qué estrategia se tiene más éxito a la hora de lograr el objetivo de ese dato.

Por otro lado, si vamos a ver cuál es la percepción de los usuarios, podemos ver datos muy interesantes. En primer lugar salvo el B-CAI todos fueron percibidos como que preguntaban por muchos datos, pero aún así se lograron muchos. La mayoría de los usuarios afirman haberse contenido a la hora de dar determinados datos.

Figura 7: Respuestas dadas por lo usuarios sobre la prueba

Y si miramos a su comportamiento, como muchos de vosotros seguro que hacéis en Internet, afirman haber datos inventados, parciales, erróneos. Y la interpretación de algunos es un riesgo para la privacidad y para otros confianza. Curioso.

Figura 8: Respuestas dadas por lo usuarios sobre la prueba

Cada día vamos a enfrentarnos más y más a este tipo de tecnologías, y aprender a comportarnos frente a ellas va a ser crucial. Como se ha visto, es posible construir este tipo de Chatbots AI Maliciosos, consiguiendo un mayor o menor éxito en su objetivo, y generando una percepción distinta según la estrategia. 

Figura 9: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Y es que tampoco va a ser el mismo objetivo si está creado por una empresa legítima que necesita datos para hacer su negocio pero la percepción que el usuario tenga es importante, o si esto lo ha creado un atacante como fase OSINT previa de un ataque a una compañía. Curioso usar esto para poder hacer un ataque dirigido, ¿no?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Un poco de OSINT sobre un Fake Tweet hecho con el Paint

Estos días pasados alguien, con muy mala baba, ha hecho un Fake Tweet supuestamente mío con el Paint, que no es mío. Se ve burdamente que es un Fake, pero por desgracia mucha gente lo ha creído, y otros lo han querido creer, pero no es verdad. No quiero ni publicar el mensaje, porque me parece feo y ofensivo, pero basta con ver algunos detalles para saber que es un Fake Total. 

Figura 1: Un Fake Tweet hecho con el Paint y un poco de OSINT

El primer punto, my más evidente, es que no está en Twitter y ha aparecido inicialmente en una web de guardar imágenes. Se puede hacer un poco de Open Source INTelligence para rastrear los orígenes de ese fichero... más luego algo de doxing.

Figura 2: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

El segundo punto es la foto de perfil del supuesto Tweet, que yo no la he usado en mi cuenta de Twitter nunca. La foto que se ve en este artículo es la que yo usaba en Twitter, que es la misma que usaba en Linkedin. Pero es que además la foto es de Mayo del 2016, cuando se hizo público que yo entraba en el Comité Ejecutivo de Telefónica.  En el mes de Abril, como podéis ver, aún no estaba yo en el organigrama y esa foto ni existía, como teneis en WebArchive.

Figura 3: Este es el Tweet FAKE en cuestión

Que en el mensaje salgan perritos y cosas más allá que los clásicos emoticonos hechos con ASCII ART como mi cara maligna con cuernecitos }:) que son lo que suelo usar yo es otro indicio de que es un Fake malo - y con maldad -.

Pero es que además, esa semana estuve en Ecuador, donde pasé el día 5 de Abril de 2016 dando una conferencia en Quito, así que estaba con muchas horas de diferencia en otro lugar del mundo. Se puede ver que el post de mi blog de ese día 3 de Abril se publicó en un horario lejano 3 A.M., y el del 4 de Abril estaba el programado para las 6:04 que es lo que hago yo cuando estoy con mucho lío.

Figura 3: El 4 de Abril de 2016 no hubo partido del Real Madrid

Además, ese día 4 de Abril de 2016 no hubo partido del Real Madrid con el Fútbol Club Barcelona, que fue, según he mirado en las bases de datos, el día 2 de Abril, sábado, mientras que el día 4 fue lunes... Y lo más importante, jamás insultaría así a nadie, y mira que han dicho cosas en mi vida en las redes, pero creo que cuando alguien insulta dice más de él que de la otra persona.

Me gusta el salseo del fútbol y me troleo con amigos, pero nada más...y el que ha hecho esto es una mala persona. Nada más que decir. Eso sí, lo mismo acabo sabiendo quién lo creo, que he visto la imagen origen y voy a jugar un poco más al doxing.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cloudflare Radar: Open (Security & Network) Data para CERTs & CSIRTs

La empresa Cloudflare tiene disponible para todos los equipos de seguridad, especialmente para los CERTs y los CSIRTs, el servicio Cloudflare RADAR de datos abiertos sobre lo que está pasando en su red y en sus servicios de seguridad, y te permite tener una visión de lo que está pasando en la seguridad de Internet desde sus servicios, lo que complementa la información que tengas desde otras fuentes de datos. Al final, la colaboración y la compartición de datos entre los equipos de ciberseguridad es fundamental para protegernos entre todos.

Figura 1: Cloudflare Radar - Open (Security & Network)

Data para CERTs & CSIRTs

Los servicios de ciberseguridad de Cloudflare ofrecen protección para los activos que las empresas tienen en Internet, que van desde proteger los sitios web o sus plataformas de e-commerce expuestos en la red frente a ataques de DDOS, hasta proteger el e-mail, pasando por WAFs, protección contra interceptación de conexiones de red, protección de servicios de DNS, protección contra técnicas de WebScrapping como vimos con AI Labirynth, o los más modernos servicios de monitorización y protección de servicios digitales basados en arquitecturas de Inteligencia Artificial.

Figura 2: Servicios de Seguridad de Cloudflare

Si te interesa este mundo del las fuentes abiertas de datos, o quieres tener información de seguridad desde un punto de vista privilegiado, Cloudflare Radar te puede ayudar a completar tus dashboards de OSINT para tus servicios de CERT o para tus investigaciones en un CSIRT.

Figura 3: Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet 2ª Edición de 0xWord, escrito por Vicente Aguilera y Carlos Seisdedos

Toda esta información puede ser consumida vía API, mediante un Dashboard web/mobile, o mediante el uso de un Asistente AI al que se le puede preguntar por datos concretos, informes, e información en las bases de datos de Cloudflare Radar.

Figura 4: Consola de Cloudflare Radar

En este panel tienes datos de todos esos servicios, procesados, filtrados, destilados y disponibilizados para que puedas interactuar con ellos y sacar detalles que puedan ayudarte en tu trabajo en ciberseguridad, o entender mejor qué está pasando o qué va a pasar.

Figura 5: GPTBot lidera los escaneos recientes como USER-Agent

Como los datos de Cloudflare están centrados en Ciberseguridad, y debido a que muchos de ellos proceden de sus servicios de protección, el curado de los datos está orientado a ello, por lo que se pueden obtener datos de ataques, informes de incidentes recientes, estadísticas de dominios atacadas, bots maliciosos, etcétera.

Figura 6: Informe de un Phishing de ayer mismo

(aún activo a día de hoy)

Todos los datos están procesados, pero están los detalles disponibles, por lo que si ves este informe de Phishing de ayer mismo, puedes ver incluso los ficheros de la web que se han descargado, y absolutamente todos los datos disponibles.

Figura 7: Detalles del incidente de Phishing

La información completa y detallada de la API la tienes en la web para Devevelopers de Cloudflare, donde por ejemplo tienes APIs para tener datos de anuncios de BGP - uno de los ataques Nation State que hemos visto en el pasado - que pueden alterar la seguridad de las redes a nivel de conexión. 

Figura 8: Descripción de las APIs de BGP en

el portal de developers de Cloudflare

Esa información, también la puedes analizar directamente desde la consola de Cloud Radar, y ver si todo está como debe, si hay una actividad maliciosa o si se ha producido un Hijacking de una determinada ruta de interconexión de redes que pueda ser un riesgo, o que explique cómo se ha producido un ataque.

Figura 9: Información de las rutas BGP las últimas 48 horas

Los datos también dan información sobre el DNS, o los incidentes detectados por los productos de seguridad de e-mail security (recordad que sigue siendo el principal vector de ataque en las empresas), teniendo datos en tiempo real de cuando una campaña de ataque ha comenzado.

Figura 10: Información de E-mail Security en Cloudflare Radar

Y datos de dominos más peligrosos, cabeceras de seguridad de cada mensaje, y datos de las protecciones SPF, DKIM y DMARC de estos mensajes, para detectar las debilidades que los atacantes están explotando en sus campañas.

Figura 11: Los TLDs más vistos en los sistemas que originan más ataques

Y si además del Dashboard de Cloudflare Radar o de las APIs de Cloudflare Radar quieres encontrar algo usando lenguaje natural, puedes usar el Asistente AI que tienes disponibles, donde puedes interactuar con él para aprender todo lo que necesites de los datos disponibles.

Figura 12: Asistente AI de Cloudflare Radar

Al final, es una fuente de información que tienes disponible para utilizar en cualquier momento, y si te gusta este mundo, merece la pena que entres en Cloudflare Radar y mires todos datos que tienes disponibles, listos para utilizar en tus sistemas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)