Caso de la vida real con Rappi
Contenidos
ocultar
El OSINT en el 2022 lo vivimos con muchos CTFs y nuevas comunidades que han ido creciendo, en las cuales algunos somos voluntarios.
Sin embargo, en este post veremos cómo los procesos de OSINT nos fueron útiles para lograr identificar un ladrón de laptop de un amigo y motivar a muchas más personas a este increíble mundo.
Este proceso lo mostraremos con los procesos reales empleados, que también son usados en la vida real para resolver investigaciones y llegar incluso a judicializar personas, aún así, ocultaremos por seguridad algunos datos personales.
Fecha incidente: 16 /dic/ 2022 – 3:27 pm
Contexto:
Un conocido nuestro, a quien llamaremos Tavo, quien en sus tiempos libres nos apoya reparando equipos y haciendo mantenimiento; después de arreglar uno de nuestros laptops decide enviárnoslo por medio de la aplicación Rappi como un Rappifavor.
Por descuido, no notó que en la aplicación quien recogería el paquete decía ser una mujer, pero lo recogió un hombre joven, el cual recibió el paquete y procedió a irse en la moto.
Unos minutos después, llegó un nuevo mensajero por el pedido, fue ahí cuando Tavo logró darse cuenta de que el mensajero número 1 había hurtado la laptop.
El juego empieza:
16 /dic/ 2022 4:30 pm
Si bien abrimos un caso con Rappi, el soporte no fue muy rápido ni tampoco daba alternativas, simplemente nos decía que el repartidor no contestaba.
A continuación, creamos un grupo en WhatsApp para entender toda la situación y documentar el proceso, en este punto solo teníamos la última ubicación del repartidor y una foto de Google Maps del presunto barrio.
Además, teníamos solo el registro facial de la mujer que tenía la cuenta de Rappi asociada y su nombre, sin embargo, en este punto no sabíamos si es un nombre real o falso o si el ladrón abrió la cuenta en la aplicación con un documento robado.
Dado que la situación no tenía algún avance, se propuso iniciar la investigación del sujeto:
Iniciamos con la búsqueda de la mujer que registraba en la aplicación de Rappi “Angie” sin embargo no se lograba identificar a la persona en cuestión.
Después de casi 3 horas de investigar, al final parecía que teníamos una luz, encontramos un video en YouTube de una mujer que se llamaba igual a la de Rappi, sin embargo, no estábamos seguros si era ella.
Aquí ya teníamos una sospecha con alta probabilidad, aún así, ese video no tenía más información que su nombre, su rostro y su voz.
Posteriormente un compañero del equipo logró identificar la presunta red social de “angie”
A continuación, usamos el servicio de rekognition de AWS para comparar si la foto de la mujer de Rappi era la misma de nuestra red social; este nos arrojó un 95% de similitud en la comparación de los dos rostros
A la izquierda, la imagen tomada del cuadro de la aplicación de Rappi y a la derecha, la foto de la red social de Facebook que sospechamos.
En este punto ya teníamos algo tangible, si bien no fue la persona que nos robó la laptop, era la persona que aparecía en la aplicación de Rappi y gracias a su red social ahora sabíamos de dónde era; Bucaramanga.
Recapitulando… ¿qué tenemos hasta ahora?
- El nombre completo de la mujer registrada en la aplicación, su perfil y un video en YouTube
- Su red social de Facebook y su presunto origen y ubicación (Bucaramanga)
- Además de las redes sociales de su familia.
El juego se acerca a su final…
Analizando la red social de Angie, observamos que había un posible hermano de nombre Andrés, Angie tenía una foto de su hermano y su mama el día del grado; eso nos permitió conocer su nombre completo
Ya solo nos falta la confirmación de nuestro único testigo: Tavo, el cual nos dijo que ese sí era el ladrón.
¡Encontramos nuestro ladrón!
Ahora ya sabemos que nuestro ladrón se llama Andrés y es el hermano de Angie, quien está en Bucaramanga, él probablemente usó su cuenta de Rappi para trabajar.
El siguiente reto en este punto era encontrar la red social de Andrés. En este punto el equipo ya creó un diagrama de conexiones para enfocar mejor la investigación:
Alrededor de las 11:32 p.m., el equipo logró encontrar el perfil de Andrés, además por sus publicaciones, logramos ver que trabajó en otra aplicación de envíos de comida, en este caso Ifood:
Investigando un poco más a Angie (su hermana), logramos ver un correo y teléfono, además de correlacionar su dirección física en Bucaramanga.
Gracias a un like, del padre de ellos, a una fanpage de Facebook, logramos determinar la empresa de Angie y conocer los anteriores datos
Ahora bien, con los datos identificados hasta el momento podemos afirmar que:
- Andrés y Angie son hermanos
- Angie está en Bucaramanga, pero su hermano está en Medellín y trabaja con los datos de ella en Rappi
- Andrés ha trabajado antes en otras empresas de mensajería.
- Andrés esta entre los 18 y 26 años de edad
- Tenemos el registro facial de Andrés
- Tenemos la foto de su moto y placa parcial
Para finalmente localizar a Andrés, necesitábamos ahora pensar un poco fuera de la caja, Andrés seguía activo en Rappi, por lo que es probable siguiera recibiendo pedidos; ya sabíamos también que estaba en el norte de la ciudad de Medellín.
Así, el siguiente paso sería disponernos a realizar vigilancia a los centros comerciales del sector norte, empezamos por el más grande: Puerta del Norte Centro Comercial.
Se inició por este centro comercial, dado que es uno de los más grandes y donde podría haber más posibilidad de que nuestro objetivo estuviese.
17 de diciembre del 2022 – La confrontación.
En el centro comercial Puerta del Norte, en la zona de comidas, Tavo logró identificar a Andrés en horas de la tarde, estaba recogiendo pedidos.
Allí se logró la confrontación, en donde este actor se asustó y pidió disculpas, posterior a eso, acordó que al otro día entregaría el equipo y se fue (en el proceso de la confrontación se le mostró las fotos de él, sus familiares y demás).
Finalmente, en horas de la mañana del 18 de diciembre del 2022, Andrés se presentó y nos devolvió el equipo.
Equipo, que por cierto tiene unas calcomanías muy cool de behackerpro 
Si bien la investigación fue corta, se pudo aplicar varios procesos de OSINT para la identificación del actor y la recopilación de los datos de manera ordenada, conectando las evidencias entre sí mediante un análisis link, que a su vez, nos permitió dar estructura a la investigación y lograr el final esperado
Al final de esta historia nos sentíamos como Liam Neeson. Cabe mencionar que, finalmente, el personal de Rappi y su soporte, no nos logró dar solución al reporte, por lo que buscamos la solución por nuestra cuenta.
Esperamos hayan disfrutado esta historia tanto como nosotros los que la vivimos y los tips y procesos aplicados les puedan ser de ayuda.
Si tienen historias similares los invitamos nos las cuenten en nuestras redes sociales o en los comentarios de este post.
Recuerden registrarse en nuestro sitio y seguirnos en la redes
Suscríbete hoy a nuestros cursos Exploratorios
¡Descubre cuál es tu perfil Hacker!
¡Quiero Registrarme Gratis!
Introducción a la Seguridad en AI – Parte 2
Después de entender los principales ataques, técnicas, tácticas y procedimientos...
Leer más
Introducción a la Seguridad en AI
Cuando hablamos de Seguridad en AI (Artificial Intelligence o Inteligencia...
Leer más
5 pilares para Hackers o Profesionales en Ciberseguridad desde una perspectiva técnica
Después de la master class que realizamos en Be Hacker...
Leer más