Maltego es una programa que recopila información de internet y la representa de forma gráfica para que sea sencilla de analizar, es una herramienta muy potente, llena de opciones que pueden ser muy útiles para investigar empresas, sitios, personas y mucho más.
Permite iniciar búsquedas a partir de dominios, IPs, ubicaciones geográficas, correos, nombres, teléfonos e incluso frases. En la siguiente captura se puede ver una representación de ejemplo con el dominio spamloco.net:
Al realizar esta simple búsqueda aparecieron varios datos, la herramienta automáticamente la asoció con mi nombre, una ciudad, mi correo, entre otros datos con un par de clics. Cada resultado se puede transformar en un nuevo nodo, generando un árbol inmenso de datos que se puede relacionar y visualizar de diferentes formas para seguir profundizando.
Les recomiendo bajar el programa y jugar un rato para conocer un poco más su potencial, un pequeño manual sobre Maltego lo pueden encontrar publicado en el blog de Chema Alonso.
¿Cómo se podría usar?
Combinando el poder de Maltego con otras herramientas como la FOCA (más información) y servicios para buscar personas, se puede recopilar mucha información para generar perfiles de usuarios y empresas.
Esto es lo que generalmente se hace en las etapas iniciales de un pentesting, por ejemplo un auditor podría obtener algunos nombres -y sus respectivos correos- de empleados que trabajan en una determinada empresa, incluso podría saber qué sistemas operativos y programas utilizan a diario, dónde guardan los documentos, con quienes los comparten, qué recursos compartidos utilizan y hasta con qué antivirus los analizan. Todo esto desde la comodidad de su casa ya que toda la información se encuentra disponible públicamente en la red.
A partir de ahí se podría planear un ataque personalizado, si las políticas de seguridad de la empresa son buenas o es un usuario con su sentido común entrenado, se podría investigar a las personas de su entorno, tal vez infectar el equipo de su hogar que también es utilizado por otras personas y por ahí encontrar otro camino para cumplir el objetivo del pentest.
Descarga: Maltego