Maltego permite crear entidades personalizadas, lo que le permite representar cualquier tipo de información además de los tipos básicos de entidades que forman parte del soporte lógico. El enfoque básico de la aplicación es analizar las relaciones del mundo real (red social y red de ordenadores entre personas, grupos, páginas de red, dominios, redes, infraestructura de Internet y afiliaciones con servicios de línea nodos de redes informáticas como Twitter y Facebook. Entre sus fuentes de datos se encuentran el sistema de nombres de dominio, entre otros.
Es usado para la seguridad de la información y por detectives privados.
Para usar Maltego es necesario instalarlo y registrarse en su página de red, creando una cuenta que permita al usuario usar la aplicación junto con sus servidores gratuitos.
TIPOS DE INFORMACIÓN RECOLECTADA
Con este programa pueden hacerse búsquedas de personas, dominios, direcciones de correo electrónico, números telefónicos, servidores DNS, entre otros datos. Obviamente, en la versión gratuita el número de resultados es limitado; aún así, Maltego recopila los siguientes tipos de información:
- Información de red: Este programa puede escanear y recopilar información sobre los nodos de la red, los puertos abiertos y los protocolos utilizados. Si es necesario, Maltego permite descargar Shodan [motor de búsqueda que le permite al usuario encontrar iguales o diferentes tipos específicos de equipos (routers, servidores, etc.) conectados a Internet a través de una variedad de filtros] dentro de la herramienta, lo cual permite recopilar información más específica sobre la red a analizar.
- Información de dominio: Este programa puede recopilar información sobre los dominios, como registros de DNS, registros de correo electrónico y registros de nombres de anfitrión.
- Información de correo electrónico: Puede recopilar información sobre direcciones de correo electrónico, como nombres de dominio, proveedores de correo electrónico y registros de DNS.
- Información de redes sociales: Maltego también puede recopilar información de las redes sociales, incluyendo perfiles, publicaciones, amigos, seguidores y conexiones.
- Información de personas y organizaciones: Este programa puede recopilar información sobre personas y organizaciones, incluyendo nombres, direcciones, números de teléfono, direcciones de correo electrónico, sitios de red y perfiles en redes sociales. Lamentablemente, este tipo de información también es utilizada por los cibercriminales para poder desplegar campañas de phishing dirigidas.
- Información de programas malicioso: Maltego puede recopilar información sobre programas maliciosos ("malware", en inglés), como nombres de archivo, huellas digitales, comportamiento y patrones de ataque. Esto ayuda a recolectar información sobre amenazas, siendo una gran herramienta para realizar tareas de inteligencia de amenazas ("Threat Intelligence", en inglés).
USUARIOS DEL PROGRAMA
Puesto que Maltego es una herramienta de inteligencia de código abierto que se utiliza tanto para recopilar información como para realizar análisis de datos, y que posee la capacidad de recopilar una amplia variedad de información de fuentes públicas y privadas, puede ayudar a múltiples sectores de la industria, ya sea el sector privado como público.
En el ámbito de la ciberseguridad, este programa puede ser utilizada para tomar decisiones y obtener información valiosa sobre posibles amenazas que pongan en riesgo la seguridad de la información e infraestructura de una empresa.
En el caso de las fuerzas de seguridad, Maltego puede ser utilizado para obtener información valiosa en el contexto de una investigación.
Dado que este programa, al ser una herramienta, puede ser utilizado para diferentes propósitos, como la investigación de amenazas cibernéticas, la seguridad de la información, la inteligencia empresarial y la investigación de fraudes, debe emplearse con cautela.
No obstante, la información que se recolecta a través de Maltego también puede ser utilizada por los ciberdelincuentes a la hora de desplegar sus ataques, por lo que puede ser útil si se quiere comprender qué información puede obtener un cibercriminal de un usuario o de alguna empresa y tomar dimensión de cuán expuestos están.
VERSIONES
Existen, principalmente, 4 versiones, dos de pago y dos gratuitas. El precio de las versiones de pago (Maltego XL y Maltego Classic) es muy elevado para el usuario común; la versión Maltego CE es igual que la versión Classic pero con limitaciones, entre las que se encuentra que tan sólo se mostrarán 12 resultados como máximo por transformación analizada.
Maltego CE
Como se ha indicado, es la versión gratuita del programa, y viene integrada con Kali Linux. La característica más importante frente a su versión de pago es que Maltego CE no permite la exportación de grafos ni la utilización en entornos comerciales (será la versión que se utilice en nuestros ejemplos).
Maltego Classic
Es la versión profesional de este programa, orientada a empresas, que puede ser utilizada de forma comercial.
Presenta ventajas frente a la versión de la comunidad en la mayor cantidad de formatos en los que poder exportar los grafos, así mismo permite crear grafos mayores que la versión gratuita de Maltego debido a que no limita la cantidad de búsquedas.
Maltego XL
Tiene todo el potencial y las funcionalidades de Maltego Classic, pero está preparado para trabajar con grafos extremadamente grandes.
CaseFile
Se trata de una herramienta de análisis de inteligencia que permite a los usuarios visualizar y examinar las relaciones entre datos fuera de línea, como la inteligencia humana y los datos de fuentes como llamadas telefónicas. A diferencia de los anteriores, su función principal es crear gráficos manualmente sin la necesidad de transformaciones automáticas para extraer información de fuentes en línea.
 |
| Comparativa de las versiones. |
PANTALLA PRINCIPAL
En el recuadro verde de la imagen se encuentra el menú de acciones de Maltego CE, en el que se puede navegar para realizar las tareas durante cualquier fase de la recopilación de información. El recuadro rojo avisa de las actualizaciones pendientes.
Por último, el recuadro azul es uno de los lugares más importantes de la herramienta, aquí es posible activar o desactivar las transformaciones que se emplearán para mejorar los resultados de una búsqueda.
Las transformaciones pueden instalarse seleccionándolas y eligiendo la opción de instalar.
TRANSFORMACIONES BÁSICAS
En la versión CE de este programa existen las siguientes transformaciones:
- PATERVA CTAS CE: Da acceso al servidor oficial de Maltego para realizar las operaciones básicas. Se debe tener instalado.
- CaseFiles Entities: Importa características del cliente CaseFile de este programa. No es necesario instalarlo para un uso básico.
- Kaspersky Lab: Ayuda uniendo nuestros datos recopilados en Maltego con la base de datos de Kaspersky para detectar posibles programas maliciosos. Es recomendable tenerlo instalado.
- Shodan: Permite realizar búsquedas en este programa desde Maltego. Es recomendable tenerlo instalado.
- Hybrid-Analysis: Permite realizar análisis de programas maliciosos desde este programa. Es recomendable tenerlo instalado.
- Virus Total: Conecta la aplicación de VirusTotal con este programa, permitiendo realizar análisis de nuestros grafos. Es recomendable tenerlo instalado.
- NewsLink: Buscador en bases de datos de noticias, con el que es posible ver si un objetivo ha aparecido en algún periódico o noticia. Es recomendable tenerlo instalado.
- ThreatMiner: Permite analizar datos mediante la aplicación de ThreatMiner.org {portal de inteligencia de amenazas que proporciona a los analistas de ciberseguridad datos como indicadores de compromiso ["Indicator Of Compromise" ("IOC"), en inglés] y otra información contextual para ayudarles a identificar y responder a amenazas}. Es recomendable tenerlo instalado.
- PassiveTotal: Proporciona una vía para analizar nuestros datos con PassiveTotal (plataforma de inteligencia de amenazas que recopila, analiza y correlaciona datos de diversas fuentes para proporcionar información detallada sobre amenazas cibernéticas; ofrece funciones de búsqueda, visualización y análisis para investigaciones de seguridad efectivas), pero hasta un total de 25 elementos al día. Es recomendable tenerlo instalado.
- Bitcoin: Transformación que permite ver transacciones de bitcoins, en esta guía no vamos a centrarnos en ello porque se necesita una cartera de bitcoins.
- The Movie Database: Proporciona una manera de buscar nombres de películas, actores y entornos del ámbito del cine.
- Haveibeenpwned: Muestra si el correo electrónico a analizar pertenece a una base de datos que ha sido sustraída de un sitio de red. Es recomendable tenerlo instalado.
- People Non: Buscador de personas. Es muy útil para indagar en los objetivos. Se recomienda tenerlo instalado.
INSTALACIÓN
Si se quiere instalar, primeramente hay que ir a la página de Maltego y crear una cuenta.
En Windows se puede descargar el instalador de la página de Maltego (ruta "RESOURCES > FOR CUSTOMERS > DOWNLOAD MALTEGO").
Al iniciar el instalador, éste buscará si hay instalado Java (si no es así, se debe instalar cuando lo indique). Después arrancará el asistente de instalación. En la primera pantalla sólo hay que pulsar en el botón "Next".
Cuando termine de instalar, aparecerá la pantalla de finalización, en la que se puede escoger si se quiere configurar el Java (marcar sólo si se es usuario avanzado) y si se desea un acceso directo del programa en el escritorio. Al terminar, se pulsará en el botón "Finish".
Al abrir el programa, aparecerá una ventana emergente donde habrá que realizar ciertas configuraciones finales. En la primera pantalla se escoge el modo de activación [en este ejemplo, el "MALTEGO ID" (el habitual si se es usuario nuevo)]. Al finalizar, se pulsará en el botón "Next".
En la siguiente pantalla se elegirá desde dónde se realizará dicha activación (normalmente la opción por defecto). Al terminar, se pulsará en el botón "Next".
En la siguiente pantalla hay que marcar la casilla de verificación "Accept" y pulsar en el botón "Next".
Seguidamente, en la pantalla siguiente, se pulsará el botón "Browser Login" para que abra la página de red de Maltego en el navegador predeterminado y se inicia sesión en la misma. Al finalizar, se pulsa el botón "Next".
En la pantalla siguiente sólo hay que pulsar en el botón "Next".
Acto seguido, se escogerá la fuente de recursos para instalar las transformaciones ("Utilities", en el ejemplo). Al terminar, se pulsará en el botón "Next".
Si todo está en orden, en la pantalla siguiente sólo se pulsará en el botón "Next".
A continuación, en las dos pantallas siguientes sólo hay que pulsar en el botón "Next".
Después, en la pantalla siguiente, se selecciona un navegador de red en el desplegable (en este ejemplo, "Chrome"), y se pulsa en el botón "Next".
Acto seguido, se deberá escoger el grado de privacidad con el que usar el programa en el desplegable "Privacy Mode" ("Normal", en este ejemplo). Al terminar, se pulsará el botón "Next".
Finalmente, en la siguiente pantalla, se selecciona el modo en que se abrirá el programa y se pulsa en el botón "Finish".
INSTALAR TRANSFORMACIONES
Una vez instalado y configurado el programa, se deben instalar las transformaciones con las que se desee trabajar desde la pestaña "Maltego Data Hub" en la pestaña de inicio. Para ello, en primer lugar, se pueden marcar las opciones de los filtros en las casillas de verificación, y seleccionando la opción deseada en "Display" (en este ejemplo "NOT INSTALLED") y "Sort by" (aquí se suele dejar la opción predeterminada). Las transformaciones relacionadas aparecen bajo el filtro, y sólo se pueden instalar si aparece la opción "INSTALL" en ellas.
Una vez pulsado el botón antes mencionado, se abrirá un asistente de instalación de la transformación. En su primera pantalla pedirá una confirmación de que se quiere instalar esa transformación (en este ejemplo "VirusTotal (Public API)"), se pulsará en el botón "Yes".
A continuación, en la siguiente pantalla, se pulsará en el botón "Next".
USO BÁSICO
Se puede crear una gráfica desde la pestaña "Investigate" pulsando en el botón "New".
En este ejemplo se revisará una red, por lo que, en el panel izquierdo de la pantalla se buscará la sección "Infrastructure" en "Entity Palette". Dentro de ésta se buscará la entidad "Netblock/A range of IP version 4 addresses", se seleccionará y se arrastrará a la gráfica.
Una vez en la gráfica, se selecciona la entidad y se pulsa dos veces con el botón izquierdo del ratón, lo que hará que aparezca una ventana emergente, donde se cambiará el rango de la red predeterminada de la entidad por el que se desee ("192.168.10.0-192.168.10.255", en este ejemplo). Al terminar, se pulsa en el botón "OK" de dicha ventana.
Si se selecciona una entidad (en este ejemplo la red principal) y se pulsa con el botón derecho, se desplegará un menú contextual con las opciones de la sección "Run View" adecuadas a la misma. Se puede seleccionar una ("[Utilities] To Netblocks [Cuts Netblock into smaller ones]", en este ejemplo) y pulsar en su botón de inicio para ejecutarla.
Aparecerá una nueva ventana donde se escogerá el tamaño de las subredes (en este ejemlpo "2") y se pulsará en el botón "Run!".
Aparecerán las nuevas subredes en la gráfica.
Puede guardarse la gráfica pulsando sobre el botón de guardado (icono de disquete) en el menú superior izquierdo.
En la parte baja del menú contextual que aparece al seleccionar una entidad con el botón derecho hay un submenú con diversas opciones: Copiar a otra gráfica, eliminar, cambiar tipo, unir, copiar, cortar, adjuntar, enviar a una URL, acciones tipo, y limpiar/actualizar imágenes.
Por otra parte, se puede exportar un informe en PDF desde el botón "Generate Report" de la pestaña "Import/Export".
Cuando termina, avisará en una nueva ventana. Se pulsa en el botón "OK".
Aguardo que la presente entrada haya sido interesante para el lector. Si es así, espero que éste la comente y/o la comparta, por favor.
No hay comentarios:
Publicar un comentario
Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.