Cada día parece ser más y más difícil hacer cuentas de marionetas (es decir, 'falsas') para la investigación OSINT. Los servicios quieren más información. Requieren números de teléfono reales (no VOIP). Suponen usar una VPN = incompleto.
Personalmente, culpo a las granjas de trolls rusos.
Independientemente de las razones y restricciones, hay buenas noticias para nosotros, los investigadores de OSINT. Siempre que quieran permanecer en el negocio y crecer, los servicios deben permitir que se registren nuevos usuarios. Así que todo lo que tenemos que hacer es convencerlos de que eso es lo que somos: nuevos usuarios legítimos.
A partir de marzo de 2021, estos son los pasos exactos que he encontrado más exitosos al intentar crear una nueva cuenta de títere de calcetín desde cero. Tenga en cuenta que las cosas cambian rápidamente. Los sitios web se caen. Cambio de aplicaciones. Los servicios se adaptan. Al igual que durante una investigación, también debemos poder pivotar.
Siga esta guía de creación de marionetas con calcetines paso a paso, en orden cronológico, y no solo creará sus cuentas hoy, sino que aprenderá el proceso para el futuro. Intentaré mantener esto actualizado, pero si encuentra algún error o instrucciones desactualizadas, no dude en enviarme un correo electrónico a [email protected] .
No caiga en la tentación de inventar cosas sobre la marcha. Al menos tenga estos conceptos básicos resueltos de antemano:
A medida que cree nuevas cuentas, tendrá que ingresar muchos detalles sobre 'usted'. Su nombre, contraseñas, números de teléfono, fecha de nacimiento, preguntas de seguridad, etc. Los administradores de contraseñas gratuitos y de código abierto como Bitwarden (alojado en la nube) o KeePassXC (alojado localmente) pueden ser una excelente manera de realizar un seguimiento de todo.
Sí, en realidad necesitas un teléfono físico.
No, los teléfonos 'quemadores' no son ilegales.
De hecho, cualquiera que no tenga un teléfono fijo debería tener un teléfono adicional disponible en todo momento de todos modos. ¿Qué pasa si hay una emergencia y su teléfono principal se cae al agua, se congela sin motivo o simplemente no puede encontrarlo?
estoy divagando
Hoy en día, es casi imposible configurar cuentas (y mantenerlas vivas) sin tener un número de teléfono que no sea VOIP. Compra un Android barato y usado de la forma más anónima posible. Sé que es vago, pero una explicación detallada está más allá del alcance de este artículo. Investigue un poco, sea creativo y descubra cómo comprar uno con efectivo. Luego límpielo varias veces.
Una nueva tarjeta SIM te da un nuevo número de teléfono. No te hace anónimo. El dispositivo físico tiene una identificación de hardware que no se puede cambiar, por lo que no es difícil rastrear diferentes SIM hasta un solo dispositivo. Por lo tanto, la razón por la que pagó en efectivo por un nuevo dispositivo en el último paso.
Actualmente, si vive en los EE. UU., la mejor oferta en tarjetas SIM es la prueba de 7 días de Mint Mobile por $0.99 en Amazon . También puede comprarlo de forma anónima, si crea una nueva cuenta, paga con una tarjeta de crédito enmascarada de privacy.com y lo envía a un casillero de Amazon. Pero de nuevo, más allá del alcance aquí.
Apague su dispositivo, cambie a la nueva tarjeta SIM y vuelva a iniciarlo. Solo por diversión, continúe y borre ese dispositivo usado una vez más. No se puede ser demasiado cauteloso.
No querrás hacer nada de esto en casa o en el trabajo donde compartes tu dirección IP real. Tampoco puede usar una VPN, ya que casi siempre le impedirá crear cuentas. Use una biblioteca local, un centro comercial o una cafetería. Trate de elegir un lugar que no esté justo al lado de su casa, pero que esté lo suficientemente cerca para viajar. Volverás aquí en el futuro.
Descargue e instale las siguientes aplicaciones en este orden:
Idealmente, usará un token de hardware como YubiKey cuando sea posible. No solo es el método más seguro de usar 2FA, es el más conveniente en mi opinión. Desafortunadamente, no todos los servicios lo usan, así que configura Authy (o la alternativa que elijas) también.
Esta es su cuenta de correo electrónico central . Puede configurar servicios de reenvío u otras cuentas de correo electrónico más adelante, pero querrá tener una cuenta de correo electrónico principal y centralizada a la que reenvíe todo lo demás.
¿Qué servicio de correo electrónico debe utilizar? Bueno, eso es discutible. Desea una cuenta que se vea normal (lo que facilita la creación de cuentas). Los proveedores de correo electrónico centrados en la privacidad, como ProtonMail o Tutanota, a menudo son señalados. Los servicios de correo electrónico temporales también están fuera de discusión, ya que es probable que los necesite en el futuro. Odio decirlo, pero mi recomendación es:
Gmail
Sí, lo sé, es Google. Sí, te está espiando. Sí, ProtonMail y Tutanota son mejores. Sí, personalmente me duele recomendarlo, de ahí la falta de negrita .
Pero si siguió los pasos anteriores, no está conectado a usted de todos modos. Y dado que solo lo está usando para cuentas de marionetas, no debería importarle qué información tiene sobre 'usted'. Además, probablemente terminará usando un número de Google Voice aquí pronto, así que muerda la bala y configure una cuenta de Gmail.
Mira, te dije que estarías configurando Google Voice. Sí, hay mejores opciones como MySudo. Incluso podría pasar por la molestia de comprar números manualmente directamente desde Twilio. Si tienes el tiempo y la paciencia para hacerlo, siéntete libre. Pero Google Voice es rápido, fácil, gratuito y, de todos modos, no le importa si se realiza un seguimiento de la información de sus personas. Simplemente elija su veneno y cree un número de VOIP para que no dependa de Mint Mobile.
Debe tener todo lo que necesita para crear sus cuentas, ya sea en Facebook, Twitter, LinkedIn, Instagram, etc. Tómese su tiempo, cree cada cuenta de principio a fin y almacene toda la información en su administrador de contraseñas durante la creación, en este ordenar:
Solo una vez que haya creado su cuenta y haya confirmado que puede iniciar sesión con Authy para 2FA, debe continuar con la creación del perfil.
Dedica algo de tiempo a crear tu perfil. Imagina que en realidad eres esa persona que pretendes ser... ¿qué harían? Haz esas cosas. Como mínimo, asegúrese de:
Ahora parar. No te excedas.
Cierre la sesión de esta cuenta y pase a la siguiente cuenta que desee crear. Lave, enjuague, repita.
¡Felicidades, lo hiciste! ¡Tienes cuentas de títeres de calcetines en funcionamiento! Ahora, ¿quieres tener que pasar por todo eso nuevamente en un día o dos?
No lo creo.
Nada evitará por completo que sus cuentas se cierren, pero puede hacer que sea menos probable al envejecerlas. Trate de no usarlos durante unos días, idealmente una semana. Deja que hiervan a fuego lento.
Luego, regresa al mismo lugar donde los creaste. Conéctese a ese mismo Wi-Fi público. Uno por uno, inicie sesión en cada cuenta e involucre a otros usuarios como lo haría su persona.
Sigue más temas.
Me gusta y compartir publicaciones.
Haz algunos comentarios.
Sigue a personas y solicita conexiones.
Enséñele al proveedor de servicios que 'usted' es una persona normal, que hace cosas normales, y que será menos probable que lo bloquee en el futuro. Una vez que haya hecho todo eso, desconéctese de todo y déjelo envejecer durante otra semana.
Ahora deberías estar listo para irte. Sus cuentas se crean y dependen únicamente de su número de VOIP y token de software 2FA. Sus perfiles parecen reales para los humanos y también bastante legítimos para los algoritmos. Siéntase libre de seguir adelante y OSINT.