GitHub Arsenal: herramientas de código abierto para luchar contra la ciberdelincuencia
En el panorama de las amenazas cibernéticas, en constante evolución, las herramientas de código abierto de GitHub ofrecen una defensa eficaz.
La lucha contra la ciberdelincuencia es un esfuerzo global, y la comunidad de código abierto desempeña un papel fundamental. GitHub, como plataforma líder mundial en el desarrollo de software, alberga una amplia gama de herramientas diseñadas para detectar, analizar y combatir diversas amenazas cibernéticas, incluida la omnipresente amenaza del phishing.
El poder del código abierto en la ciberseguridad
Los proyectos de código abierto ofrecen una transparencia sin igual, lo que permite a los investigadores de seguridad y a los desarrolladores de todo el mundo examinar el código, identificar vulnerabilidades y contribuir a su mejora. Este modelo colaborativo fomenta la innovación rápida y genera soluciones sólidas, validadas por la comunidad, contra ciberataques sofisticados.
Recursos clave para la lucha contra el phishing
Más allá de las herramientas generales de ciberseguridad, existen varios recursos especializados que resultan de gran valor para combatir directamente los intentos de phishing. Estas herramientas abarcan desde fuentes de información sobre amenazas en tiempo real hasta servicios de análisis de URL y listas de bloqueo creadas por la comunidad:
- TweetFeed.live: Ofrece información en tiempo real sobre amenazas cibernéticas, que suele incluir alertas tempranas sobre campañas de phishing compartidas en las redes sociales.
- Phish.Report: Una plataforma para denunciar sitios web de phishing, que contribuye a una base de datos colectiva que ayuda a bloquear las URL maliciosas.
- URLQuery.net: Ofrece un servicio gratuito para analizar direcciones URL sospechosas, proporcionando informes detallados sobre su comportamiento y las posibles amenazas.
- Tuits experimentales de ThreatView.io sobre indicadores de compromiso (IOC): Un flujo de datos sin procesar sobre indicadores de compromiso (IOC) extraídos de tuits, útil para los sistemas automatizados de detección de amenazas.
- Repositorio de casos de phishing de Polkadot-JS: Un repositorio de GitHub dedicado al seguimiento y la detección de intentos de phishing dirigidos al ecosistema de Polkadot.
- Datos públicos de URLAbuse.com: Ofrece una lista pública de direcciones URL denunciadas por contenido abusivo, que puede utilizarse para actualizar las listas de bloqueo.
- MetaMask/detección de phishing en Ethereum: Un proyecto de código abierto de MetaMask para detectar y prevenir intentos de phishing relacionados con Ethereum.
- Lista de bloqueo de Phishing.Army: Una lista negra de direcciones URL de phishing conocidas, que se actualiza periódicamente y es gestionada por la comunidad de Phishing.Army.
- Análisis de la URL en VirusTotal: Un servicio muy utilizado que analiza archivos y direcciones URL sospechosas, aportando información procedente de múltiples motores antivirus y servicios de listas negras.
- Phish Guard Azul: Una aplicación web diseñada para ayudar a los usuarios a identificar y evitar los enlaces de phishing.
- Informe sobre phishing de Netcraft: La plataforma de Netcraft para denunciar sitios web de phishing, que contribuye a sus esfuerzos globales contra el phishing.
- Bot de phishing «Seal» (Telegram): Un bot de Telegram que ayuda a los usuarios a comprobar si los enlaces son de phishing y a denunciar actividades sospechosas.
- URLScan.io: Un servicio gratuito que escanea y analiza sitios web, y ofrece informes detallados sobre su contenido, las tecnologías que utilizan y posibles actividades maliciosas.
«En PhishDestroy, creemos firmemente en el poder de la colaboración y la transparencia en materia de ciberseguridad. Nuestra labor se basa en principios que están en consonancia con la filosofía del código abierto».
Kit de herramientas para investigadores de OSINT
Más allá de las listas de bloqueo, una investigación real requiere una instrumentación más exhaustiva. Las siguientes herramientas de código abierto constituyen la columna vertebral de cualquier flujo de trabajo para la eliminación de el phishing; todas ellas son gratuitas, permiten la creación de scripts y han sido probadas en la práctica por la comunidad:
- urlscan.io — Análisis de URL en entorno aislado: instantánea completa del DOM, capturas de pantalla, llamadas de red y detalles de los certificados. Imprescindible para la conservación de pruebas antes del cierre del sitio.
- VirusTotal — Búsqueda de reputación mediante múltiples fuentes para URL, archivos, direcciones IP y hash. Al enviar aquí una URL de phishing, la detección se transmite a docenas de proveedores de antivirus y EDR.
- Shodan — Motor de búsqueda especializado en el Internet de las cosas y servicios expuestos. Se utiliza para localizar la infraestructura de los estafadores, identificar clústeres de alojamiento y descubrir paneles de control.
- Censys — Búsqueda de certificados y banners; pasar de un certificado TLS a un centenar de dominios relacionados es algo habitual aquí.
- crt.sh — Búsqueda gratuita en el registro de Certificate Transparency, ideal para detectar certificados falsos de nueva emisión que imitan marcas protegidas.
- Wayback Machine — conserva instantáneas que perduran incluso después de que el sitio original haya desaparecido.
- WHOIS & ViewDNS.info — consultas de registrantes, búsqueda inversa de direcciones IP y pivote de DNS.
- Maltego CE — Análisis de enlaces basado en grafos; ideal para visualizar redes de estafadores a través de nodos de correo electrónico, dominios, direcciones IP y redes sociales.
- theHarvester — recopila direcciones de correo electrónico, subdominios, servidores y nombres de empleados a partir de fuentes públicas.
- Kali Linux — una distribución con cientos de herramientas de OSINT y de seguridad preinstaladas.
Medidas de protección en el navegador
La mayoría de las víctimas del phishing caen en la trampa al hacer clic. Las defensas a nivel del navegador detienen el ataque antes de que llegue a la cartera:
- MetaMask: detección de phishing en Ethereum — Lista de dominios bloqueados que viene incluida en MetaMask y en muchas carteras Web3, y que bloquea las páginas de phishing conocidas antes de que se carguen.
- PhishDestroy: lista de eliminación — Más de 130 000 dominios activos de estafas y phishing seleccionados, en diversos formatos (DNS, hosts, JSON, CSV), listos para su integración con Pi-hole, AdGuard, extensiones de navegador o cortafuegos corporativos.
- Listas de PhishFort — listas de bloqueo contra el «cripto-phishing» gestionadas por la comunidad.
- uBlock Origin + Privacy Badger — Filtra los anuncios y los rastreadores, lo que reduce drásticamente la exposición a los canales de distribución de publicidad maliciosa.
- ScamSniffer — Extensión de Web3 con una base de datos de estafas que muestra en la propia página los riesgos asociados a los contratos «drainer».
Fuentes de información sobre amenazas
Si gestionas un SOC, un CERT o una infraestructura de seguridad, incorpora estas fuentes públicas para detectar infraestructuras de phishing activas:
- lista de eliminación — Actualización automática, más de 130 000 amenazas, API gratuita, múltiples formatos.
- OpenPhish — Feed de phishing de la comunidad en formato de texto sin formato.
- PhishTank — URL de phishing verificadas (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URL que distribuyen malware.
- TweetFeed — IOC extraídos de las redes sociales dedicadas a la seguridad de la información.
- Base de datos de estafas de ScamSniffer — Listas negras de Web3.
YARA, honeypots y defensa activa
- PhishingKit: reglas Yara — detectar huellas características de kits de phishing conocidos en HTML/JS.
- Reglas de Yara — biblioteca de reglas gestionada por la comunidad.
- Trampas de cebo & tokens de Canary — canarytokens.org, MazeRunner CE.
- Operación «Takedown» — nuestra propia colección de scripts para desbaratar campañas activas de phishing.
Flujo de trabajo: desde la pista hasta la detención
Una investigación típica combina estas herramientas de la siguiente manera:
- Recibir un cliente potencial — un informe de la comunidad (Bot de Telegram), un resultado del analizador de anuncios de pago o una alerta del registro CT.
- Confirmar intento de phishing — Entorno de pruebas a través de urlscan.io; verificación cruzada con VirusTotal, OpenPhish y PhishTank.
- Infraestructura cartográfica — Utilizar Censys/Shodan para encontrar dominios, direcciones IP y certificados relacionados.
- Conservar las pruebas — Instantánea de Wayback, archivo de urlscan, captura completa de HTML/JS, capturas de pantalla.
- Notificar a los socios — Enviar la información a más de 50 proveedores de antivirus, presentar una denuncia por abuso ante el registrador o el proveedor de alojamiento, y distribuirla a los canales de MetaMask y ScamSniffer.
- Monitor — Confirmar la retirada; estar atentos a posibles reapariciones en direcciones IP vecinas o en dominios similares recién registrados.
Más información:Anatomía de una derribada · Los registradores que facilitan las estafas · Guía de seguridad en el mundo de las criptomonedas
Al aprovechar estas herramientas de código abierto, tanto los particulares como las pequeñas empresas y las grandes corporaciones pueden mejorar considerablemente su nivel de ciberseguridad. La inteligencia colectiva y el desarrollo continuo dentro de la comunidad de código abierto son activos inestimables en la lucha constante contra la ciberdelincuencia. Mantente alerta, mantente informado y aprovecha el poder del código abierto para protegerte a ti mismo y a tu comunidad.
