🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Cómo pueden usar tu cuenta de Gmail para averiguar dónde vives y posiblemente más

Descargo de responsabilidad: toda la información y las técnicas proporcionadas en este artículo tienen fines educativos únicamente. No somos responsables ni aprobamos el mal uso de la información/técnicas que se muestran en este artículo.

El poder de OSINT

OSINT significa Open-Source Intelligence, que es básicamente toda la información disponible públicamente sobre una persona, organización o empresa en Internet. Ahora, puede parecer que no hay mucha información sobre ti disponible y fácilmente accesible de forma gratuita, aparte de cosas básicas como tu número de teléfono, correo electrónico, nombre completo, etc. Sin embargo, incluso la información oculta detrás de los sitios web de “Búsqueda de personas” con opciones de pago son en realidad totalmente accesible desde diferentes partes de Internet. 

En esta publicación, hablaré específicamente sobre un método de OSINT, que puede descubrir la ubicación general de alguien, los lugares en los que ha estado y posiblemente algunos otros detalles personales.

Cómo funciona la técnica

Básicamente, todas las cuentas de Gmail están conectadas y son utilizadas por casi todas las demás aplicaciones creadas por Google. Google Maps es uno de ellos. Actualmente, Google Maps tiene una característica llamada “contribuciones” que básicamente muestra todas las contribuciones que un usuario de Gmail ha hecho a Google Maps haciendo cosas como dejar reseñas en las ubicaciones. 

Como investigadores de OSINT, podemos usar esta función para nuestro beneficio al observar las contribuciones de un objetivo (que, de forma predeterminada, son universalmente visibles). Estas contribuciones (la mayoría de las veces) nos brindan información precisa sobre el área relativa en la que viven y posiblemente otra información personal, como sus ¡restaurantes favoritos!

Recreación de un escenario real en una investigación

¡Incluso podemos encontrar información sobre la salud personal de un objetivo si ha dejado fotos o reseñas!

Recreación de un escenario real en una investigación

¡Incluso hubo una vez que esta técnica (junto con otra) me permitió encontrar la dirección exacta del objetivo de su restaurante favorito en Google Maps!

Ruta desde el restaurante favorito del objetivo hasta su domicilio

Utilidad de la técnica

Obviamente, existe la posibilidad de que el objetivo de tu investigación no haya hecho contribuciones a Google Maps y, en ese caso, esta técnica es inútil. La utilidad de esta técnica depende en definitiva de la información que aporten las contribuciones. Es posible que un objetivo solo filtre su ubicación relativa, incluso dejando algunas calificaciones en blanco en las ubicaciones, o puede dejar una revisión detallada con fotos y filtrar mucho más que solo su ubicación relativa. Pueden proporcionar una cantidad arbitraria de detalles confidenciales, como has visto en las capturas de pantalla de arriba. Esta información se puede usar para continuar con una investigación y encontrar más información sobre el objetivo.

Ver tus propias contribuciones

Como puedes ver, esta función es importante porque permite a las personas tener información más precisa sobre los lugares y porque se puede usar para algunos trucos OSINT geniales. Puedes ver información sobre las contribuciones que has realizado desde tu cuenta de Gmail yendo a Google Maps y haciendo clic en “Tus contribuciones” en el Menú.

El método manual

Ahora, obviamente, no hay ninguna opción de menú para ver las contribuciones de la cuenta de Gmail de alguien en el menú de contactos. Sé que a nadie le gusta hacer las cosas manualmente y todos prefieren la automatización, pero para entender cómo funciona esta técnica, es bueno probarla una vez manualmente. Después de todo, es muy fácil.

Paso 1

En primer lugar, debes crear un contacto con el Gmail del objetivo en Contactos de Google, y solo se debe completar el campo de Gmail en la información de contacto. Si tienes suerte, incluso puedes obtener una selfie o una imagen del objetivo (créeme, no es tan inusual), que puedes usarla para recopilar más información desde la perspectiva de un pentester.

Contacto de Gmail de destino en Contactos de Google

Paso 2

En segundo lugar, después de crear el contacto, debes acceder a Herramientas para desarrolladores y hacer clic en el campo de Gmail en “Detalles de contacto”. Cerca del código HTML para esa parte de la página, debes encontrar un atributo data-person-id cuyo valor debes copiar en el portapapeles o guardar porque lo necesitará para el siguiente paso.

Atributo “data-person-id” resaltado en las herramientas para desarrolladores
valor del atributo “data-person-id”

data-person-id="c8632971339135127084"

Advertencia: el atributo “data-person-id” es dinámico

Ten en cuenta que el valor de este atributo esencialmente define la ID del contacto que has guardado, pero cambia según la cuenta en la que hayas iniciado sesión. Por lo tanto, puedes guardar el mismo contacto en otro correo electrónico tuyo, pero el valor del atributo “data-person-id” será diferente. Por lo tanto, es esencial que realices los pasos 1 al 3 mientras estás conectado al mismo correo electrónico.

Paso 3

En tercer lugar, debes ir a PeopleAPI de Google y usar el método people.get para obtener el ID estático (el ID que no cambia) de la cuenta de Gmail de destino.

Método people.get de PeopleAPI de Google

Hay algunos valores de parámetros que deben introducirse:

resourceName debe establecerse en people/<your data-person-id value>.

personFields debe establecerse en metadata.

parámetros del método people.get

Ahora, debes ejecutar el comando y deberías ver un objeto JSON devuelto.

Objeto JSON devuelto

El dato que necesitamos de este objeto JSON es el valor del campo id (que debe ser una cadena larga de números enteros) debajo del campo "type": "PROFILE". Este valor es el ID estático del Gmail objetivo que se puede usar para acceder finalmente a la página de contribuciones del objetivo.

Paso 4

Finalmente, ahora que hemos adquirido el ID estático, puedes visitar la página de contribuciones del objetivo en Google Maps escribiendo esta URL en la barra de búsqueda de tu navegador: https://www.google.com/maps/contrib/<target's static ID>

Página de contribuciones objetivo

¡Y voilá! Ahora, como pentester, posiblemente puedas usar cualquier información recopilada de esta técnica para fines de phishing. Como investigador de OSINT, puedes usar la información recopilada de esta técnica como un punto para recorrer más vías de inteligencia que quizás no hayas visto antes. Hagas lo que hagas, ¡simplemente no uses esta técnica con fines ilegales!

El método automatizado

Epieos.com es una excelente herramienta OSINT que automatiza esta técnica y muchas otras técnicas que involucran cuentas de correo electrónico. ¡Pero úsalo con responsabilidad!

Contramedidas

Una cosa que hace que esta técnica sea tan peligrosa es que la mayoría de la gente no la conoce, por lo que descuidadamente ponen fotos y escriben las reseñas que quieren en Google Maps. Afortunadamente, hay una manera fácil de evitar que personas aleatorias vean tu página de contribuciones. Puedes ir a la pestaña “Tus contribuciones” en el menú de Google Maps. Debería haber una pestaña de “Configuración de perfil” ubicada allí, y si haces clic en ella, Google Maps te permite desactivar tu perfil de contribuciones para que no sea visible en todo el mundo.

Opción para deshabilitar el perfil visible en todo el mundo
Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información