OSINT: caso del sospechoso del atropello de Wisconsin (sospechoso Darrell E Brooks)
Volvemos con un artículo de ciberinvestigación que tiene el objetivo de exponer la información que podemos encontrar haciendo diferentes técnicas de OSINT en Internet sobre el sospechoso del atropello en Wisconsin.
Darrell Brooks fue detenido el domingo como sospechoso de haber embestido a decenas de personas que participaban o asistían a un desfile navideño. Cinco personas murieron y más de cuarenta resultaron heridas.
ÍNDICE. No pierdas el tiempo y accede directamente al contenido que te interesa.
Metodología
De igual mamera que lo hicimos con el caso de Tomas Gimeno vamos a empezar creando un Time Line analizando la prensa. En esta ocasión tendremos una mayor dificultad al tratarse un hecho que han hablado muchos medios internacionales.
Posteriormente usaremos Dante’s Gates para encontrar datos que puedan permitirnos tener un perfil o información de interés sobre el sospechoso y por último usaremos aplicaciones de reconocimiento facial para profundizar en noticias y redes sociales donde puede aparecer el sospechoso.
Time line
Recordemos que en esta fase vamos a buscar en nuestro big data para la prensa online y para la internacional usaremos la API de Carrot Search. Navegaremos para hacer scraping usando la librería de Python newspaper3k y recogeremos los autores y fechas de creación para crear la línea de tiempo. Si te interesa esta técnica la he expuesto en varias de mis ponencias como esta última en #TecnologicaSC: https://youtu.be/GedUqYbg_Pc
Cuando tenemos todo el CSV de noticias procedemos a parsear su contenido en busca de nombres, emails, teléfonos o algún dato que pueda ser de internes.
Dante’s Gates Telegram Bot
Usamos varias búsquedas conjugando su nombre compuesto y encontramos un informe bastante extenso. Lo primero que me llama la atención es el uso de muchas identidades digitales compuestos por diferentes usernames que nos llevarán a varias cuentas en redes sociales.
La facilidad con la que encontramos información es debido a la gran exposición que tienen muchos usuarios y proporcionalmente mayor cuanto menos edad tenga o más conocimientos en la era digital. ¿Os imagináis cómo será con las nuevas generaciones?
Lo primero que encontramos en el informe y las noticias son un listado de usernames que nos darán una buena línea de investigación para encontrar sus redes sociales y comentarios que haya podido publicar encontrando así muchas identidades que pueden estar vinculadas con el sospechoso:
- Darrel Brooks
- Darrell E Brooks
- Darrell Edward Brooks
- Darrell Brooks Jr
- Brooks Darrell
- Darre Brooks
- mathboi-fly
- EvangelistFly
Los siguientes pueden ser falsos positivos:
- Darrell Been Brooks Jr
- Jay Brooks Jr
- Darrell Cavendish Edward
- Jay Fly
- Fly Jay
Buscando las redes sociales con esos usernames encontramos varias cuentas:
| Red Social | URL | Comentarios |
| SoundCloud | https://soundcloud.com/mathboi-fly/ | Varios medios de comunicación lo vinculan |
| SoundCloud | https://soundcloud.com/jay-fly-9 | Dante’s Gates lo encuentra con un match mayor al 0.5, pero está sin verificar su vinculación. |
| https://twitter.com/flytalk1oo?lang=es | Coincide en foto y username de SoundCloud | |
| https://www.facebook.com/EvangelistFly/ | Coincidencia en fotos y username que ha encontrado DG | |
| https://www.instagram.com/jayflymastering/?hl=es | Aunque el nombre coincide con dos imágenes de tracks en SoundCloud no está 100% verificado. Además, encontramos publicaciones realizadas hace poco tiempo y físicamente hay discrepancias. Es posible que haya alguna vinculación de amistad o familiar. (DESCARTADO MÁS ADELANTE) |
Relación entre las dos cuentas de SoundCloud y la cuenta de Instagram:
Encontramos una clara relación entre ambas cuentas de SoundCloud. Sin embargo, Jay Fly Mastering queda descartado por el sistema de reconocimiento facial que hemos usado para comparar dos fotos. No obstante, lo dejo en el artículo para evidenciar la importancia de verificar de varias formas los datos obtenidos para no equivocarnos.
Dante’s Gates encuentra varios correos electrónicos y además con las redes sociales y leaks podemos listar las siguientes ubicaciones vinculadas a esta persona:
- 4014 N 19th St, Milwaukee, WI 53209-6804 – 2008 hasta 2018 – Residencial
- 1646 Sue Way, Sparks, NV 89431-1850 – Solo tenemos constancia de estar solo un día el 5 de marzo de 2016 – Residencial
- 727 S Virginia St, Reno, NV 89501-2357 – 2006 hasta diciembre de 2007 – Residencial
- 2441 N 29th St, Milwaukee, WI 53210-3154 – 2000 hasta 2007
- 1933 N 36th St, Milwaukee, WI 53208-1928 – 2004 hasta 2007
- 4617 W Leon Ter, Milwaukee, WI 53216-2432 – Enero hasta junio de 2006 – Residencial
- 6508 N 107th St, Milwaukee, WI 53224-5004 – 1997 hasta 2003
Otros datos que se exponen en redes sociales:
- 22121 River Oaks Drive, Rocky River, Ohio, 441161466 W 81st Street, Cleveland, Ohio, 44102203 Rosenberry
- Street, Alliance, Ohio, 44601Denver, Colorado, 802016908 Lennox Place, University Park, Florida, 34201205 Rosenberry
- Street, Alliance, Ohio, 446011540 N Mccarthy Road, Appleton, Wisconsin, 54913284 47th Street, San
- Diego, California, 92102205 Lafayette Avenue, Niles, Ohio, 44446Pennsylvania4014 N 19th
- Street, Milwaukee, Wisconsin, 5320910214 Ford Terrace, White Plains, Maryland, 206956303 W Carmen
- Avenue, Milwaukee, Wisconsin, 532182528 White Oak Place, Escondido, California, 92027
Con las direcciones donde ha expuesta que ha estado viviendo obtendremos sus números de teléfonos. Por suerte en USA las listas blancas funcionan muy bien y rápidamente tenemos resultados. Datos que son públicos y podemos obtenerlos por ejemplo en la siguiente web: https://www.whitepages.com/
Los correos electrónicos nos vuelcan mucha más información y nos permiten discernir y agrupar la información. Llevándonos a páginas que nos vuelcan los antecedentes sexuales que ha tenido el sospechoso anteriormente.
En este caso USA tiene aplicaciones de transparencia muy superior a las de España. Cuestionable y debatible. Sin embargo, en este caso podemos usarlo para encontrar la edad, fecha de nacimiento y otros datos. Aunque en este análisis de OSINT hemos verificado la información en varias fuentes. Preferimos poner una captura de pantalla de una usuaria que lo ha buscado con anterioridad.
Fuentes de información
¿Estas pensando investigar por tu cuenta?
Por primera vez hemos creado un JSON con todos los enlaces analizados, el informe de Dante’s Gates y otros documentos utilizados. Si te interesan ponte en contacto con nosotros. Me temo que no será gratis porque somos una empresa, nos ha llevado tiempo y dinero obtener algunos documentos. Abstenerse si lo quieren gratis. Gracias.
Espero que os haya gustado y sobre todo os sea útil.
10 años de experiencia en forense informático y OSINT. Apasionado de la ciberseguridad y programación en Python. Desde muy joven empecé a trabajar en el sector de la informática y terminé creando mi propia empresa, llamada QuantiKa14. Actualmente soy CTO del grupo Lazarus Technology y realizo diferentes labores y trabajos: DFIR, peritajes informáticos, desarrollo de aplicaciones y auditoría de seguridad. También he realizado ponencias en congresos y eventos como PyConEs, OpenExpo, Hack&Beers, EastMadHack, Sec/Admin, etc. Y soy socio 116 y vocal de la Asociación de Peritos Tecnológicos de Andalucía (APTAN).
Mi lado divulgador no se queda únicamente en dar charlas, también he estado 4 años como colaborador en Canal Sur Radio y he escrito varios artículos de opinión e investigación en Internet que se han publicado en diversos medios (ElPlural, lamarea.com, etc). Además he escrito más de 400 artículos en mi blog. Fundador de la comunidad con más actividad en Sevilla sobre ciberseguridad, Happy Hacking Sevilla y co-organizador del congreso de inteligencia, ciberseguridad y OSINT, llamado OSINTCITY.
Director del curso de verano sobre ciberdelincuencia de género y profesor en el curso de detectives en la Universidad Pablo de Olavide en el año de 2017 sobre investigación digital. También he impartido formación a cuerpos de seguridad a través de la Escuela Pública de Seguridad Pública de Andalucía (ESPA) y otros cursos.
Co-autor del primer protocolo institucional en España ante la violencia de género en las redes sociales en Andalucía y autor del protocolo de actuación para la búsqueda de personas desaparecidas a través de las TIC.
Y, sobre todo, de Triana.