Ivan Castañeda
@ivancastl • 14,768 subscribers
🇲🇽Ingeniero y Maestro en Tecnologías de la Información con conocimientos en OSINT (Open Source Intelligence)
Shorts
![Tan solo el día de ayer, un mismo actor registró 441 dominios relacionados con la Copa Mundial 2026. El patrón fue consistente: uso de códigos de país de dos letras al inicio (por ejemplo, mx), seguido de “worldcupclub”, generando dominios como: mx-worldcupclub[.]com (referencia a México) Esta estructura se replicó con distintos países, principalmente bajo el TLD .com. Aunque podría tratarse de una estrategia comercial o de marca global, no se descarta un uso malicioso, ya que este tipo de registros masivos suele emplearse para phishing, fraude, malware o suplantación relacionados con eventos de alto impacto como el Mundial 2026.](https://image.24vids.com/tw-2018131528807567407/amplify_video_thumb/2018129203720335361/img/2MoQc9oQKI05YM2I.jpg)
Videos
Les comparto una URL temporal que expone registros de direcciones IP públicas asociadas a usuarios identificados dentro del foro internacional DarkForums. La información proviene de una filtración reciente y permite analizar infraestructura utilizada por actores vinculados a actividades de ciberdelincuencia. El sistema permite visualizar geográficamente direcciones IP por país, explorar registros a nivel mundial, buscar directamente usernames o coincidencias relacionadas con determinados ciberdelincuentes y observar las distintas IP que han utilizado alrededor del mundo. Asimismo, la plataforma permite visualizar información técnica asociada a cada dirección IP, incluyendo proveedor de internet (ISP/ASN), país de origen y geolocalización aproximada del registro. En algunos casos se identificaron conexiones asociadas a proveedores residenciales en México, como Totalplay, lo que podría indicar que algunos usuarios no implementaron medidas adecuadas de anonimización. También se observó el uso de servicios VPN como ProtonVPN para aparentar tráfico local y posiblemente evadir restricciones geográficas implementadas en diversas plataformas. La herramienta facilita la correlación de usernames internacionales, patrones de conexión y comportamiento de infraestructura, proporcionando una visión útil para labores de investigación digital, análisis de amenazas y ciberinteligencia. Para garantizar la integridad y autenticidad de la información compartida, el archivo original en formato JSON cuenta con el siguiente hash SHA-256: 77E12E11465CDAC07F3F24B968FD1EA2B089BCA01208510DD380FF9C07E0B33D El proyecto opera actualmente con recursos limitados y sin APIs comerciales de pago, por lo que soporta aproximadamente hasta 3,000 consultas diarias relacionadas con enriquecimiento de datos IP. Plataforma:
Ivan Castañeda51,601 views • 1 month ago
Ya no descargues vídeos de YouTube con aplicaciones que pueden contener virus. Hazlo usando Python con los módulos pytube y moviepy. Con este script puedes descargar el vídeo en formato MP4 y luego separarlo en MP3 de manera más rápida y segura, sin riesgo de virus.
Ivan Castañeda371,861 views • 1 year ago
Tengan cuidado al abrir archivos RAR de fuentes desconocidas, especialmente en grupos de Telegram o foros de ciberdelincuencia, porque andan con todo con esta vulnerabilidad. La vulnerabilidad CVE-2025-8088 en WinRAR (hasta la versión 7.12) permite que un archivo RAR malicioso coloque un .exe o .bat en la carpeta shell:startup de Windows, donde el sistema ejecuta programas automáticamente al iniciar. Esto significa que el malware se ejecutará sin que el usuario lo note al reiniciar o apagar la computadora. Ejecutar este ataque es relativamente sencillo. El atacante solo necesita preparar un archivo señuelo (por ejemplo, un PDF u otro documento cualquiera), junto con un archivo ejecutable (.exe o .bat) y un script en Python (.py). Al ejecutar el script desde la línea de comandos (CMD), se generará un archivo RAR malicioso que, al ser descomprimido en Windows, colocará automáticamente el malware en la ruta objetivo sin requerir intervención del usuario.. Este método combina dos técnicas: Path Traversal: permite colocar el archivo malicioso fuera de la carpeta de extracción habitual, apuntando a rutas críticas del sistema. ADS de NTFS (Alternate Data Streams): oculta el malware dentro de otro archivo “cebo” para dificultar su detección. Aunque el concepto parezca simple, detectar estos archivos en segundo plano o en la carpeta de inicio no siempre es evidente. Los atacantes con más experiencia pueden mover el malware a otras ubicaciones y borrar rastros para que pase desapercibido. ✅ Recomendaciones: Actualiza WinRAR a la versión 7.13 o superior. No abras archivos RAR de fuentes no confiables. Revisa la carpeta Startup y otras rutas críticas si notas actividad sospechosa. Este contenido se publica con fines éticos y educativos.
Ivan Castañeda84,812 views • 10 months ago
Bot de Telegram para analizar videos de YouTube (OSINT) Te comparto un pequeño script que desarrollé para un bot de Telegram, el cual permite realizar búsquedas de palabras clave dentro de los subtítulos de un video de YouTube. La herramienta funciona de forma sencilla: 1. Envías la URL del video al bot. 2. Después indicas la palabra clave que deseas buscar. 3. El bot analiza la transcripción del video y devuelve los momentos exactos donde aparece esa palabra, junto con el enlace directo al minuto correspondiente. Esto resulta muy útil para tareas de OSINT, análisis de contenido, monitoreo de declaraciones o revisión rápida de videos largos, ya que evita tener que revisar manualmente todo el material. Script:
Ivan Castañeda21,927 views • 3 months ago
Una de las herramientas desarrolladas por ciberdelincuentes rusos en Telegram para analizar patrones de comportamiento de usuarios se basa en el uso de las APIs oficiales de la plataforma, lo que les permite recolectar información pública de forma masiva y rastrear la actividad de cada usuario a través de sus mensajes, enlaces compartidos y cambios en sus perfiles. El proceso generalmente funciona así: 1. Extracción de miembros: Crean bots automatizados para recopilar la lista de miembros de múltiples grupos. Obtienen información como ID, username, nombre, apellido, número de teléfono (si está público), y si la cuenta es bot, verificada o premium. 2. Rastreo de mensajes: Si la lista de miembros está oculta en el grupo, los atacantes analizan los mensajes. A partir de cada mensaje, identifican al usuario que lo envió y asocian su actividad con los datos disponibles, construyendo historiales completos de conversaciones públicas. 3. Captura de información adicional: Si un usuario tiene su número de teléfono visible, también lo registran y lo vinculan a su perfil. 4. Monitoreo de enlaces: Automatizan bots que rastrean miles de grupos en busca de enlaces compartidos. Estos enlaces pueden servir para acceder a nuevos grupos o ampliar la recolección de datos. 5. Actualización continua: Una vez funcionando, el sistema solo requiere actualizar la información existente: registra cambios en usernames, fotos de perfil, descripciones o cuentas nuevas vinculadas, manteniendo la base de datos siempre actualizada. La única forma segura de protegerse de este tipo de seguimiento es no unirse a grupos públicos. Mientras más expuesto estés, más fácil es ser rastreado.
Ivan Castañeda24,402 views • 3 months ago
Ayer se filtró un archivo JSON de DarkForums con cientos de miles de registros que vinculan IDs de publicación con usuarios, direcciones IP y nombres de host. Tras depurar la información y enriquecerla con APIs de geolocalización, identificamos 1,168 direcciones IP de México asociadas a ese foro, junto con los nombres de usuario que las utilizaron. Esto abre varios escenarios: 1. Usuarios sin protección 2. Fallas o caídas de VPN 3. Uso de VPN/proxys con salida en México 4. Nodos de salida Tor ubicados en el país 5. Usuarios comprometidos por ciberdelincuentes Este último punto es el más relevante. Algunos actores maliciosos de alto perfil, que operan contra México, dejaron rastros con IPs de proveedores locales. Dada su experiencia, es poco probable que se trate de un descuido; también podría apuntar a un intento de sembrar evidencias. Esto amerita un análisis más profundo. Dependiendo de cómo evolucione la investigación, compartiré más hallazgos en otro post.
Ivan Castañeda14,045 views • 2 months ago
Con Telegram + Python Flask puedes crear tu aplicacion para monitorear usuarios o ciberdelincuentes en grupos y canales para OSINT. Solo necesitas: tu cuenta de Telegram, un número vinculado y tu código listo. Puedes usarla local o en línea con Visual Studio Dev Tunnels o PythonAnywhere. Lo que usamos en el código para monitorear es el ID del usuario. Este ID se obtiene con Telethon, ya sea a partir de su username o de cualquier publicación que haya hecho en canales o grupos públicos. Con este ID, la aplicación puede rastrear su actividad sin necesidad de acceder a su cuenta directamente. Lo importante es que aunque el usuario borre mensajes, puedes guardar evidencia mediante capturas o guardando los archivos que envíe. Aprende a crear tu aplicación sin saber programar en nuestro curso de OSINT. Info:
Ivan Castañeda47,553 views • 10 months ago
En este video, el grupo de hackers FSEC demuestra cómo un sitio web de una universidad en México puede ser comprometido debido a la falta de protocolos de seguridad fundamentales. La demostración evidencia que, sin sanitización de entradas ni el uso de un framework seguro, incluso ataques básicos pueden exponer información sensible. El flujo de ataque mostrado incluye: 1. Identificación de páginas vulnerables mediante Google Dorks: Un Dork es una búsqueda avanzada en Google que permite localizar sitios web con ciertas características. En este caso, buscan allinurl:"vista.php?id=" porque muchos sistemas PHP usan parámetros id para mostrar información de bases de datos. Esto permite al atacante encontrar páginas potencialmente vulnerables. 2. Acceso no autorizado mediante inyección SQL: Una vez detectada la página vulnerable, prueban con entradas como ' OR '1'='1 para manipular las consultas SQL del sitio. La inyección SQL aprovecha la falta de validación de entradas, permitiendo acceder sin credenciales o exfiltrar información de la base de datos. 3. Subida de un web shell: Tras obtener acceso, suben un archivo PHP malicioso (web shell) disfrazado de imagen. Este archivo permite ejecutar comandos directamente en el servidor, explorando directorios y archivos. 4. Extracción de información vía consola y TOR Usando comandos desde la web shell y enrutando el tráfico a través de TOR, el atacante puede descargar información de manera anónima y segura para él, pero peligrosa para el servidor. Este caso resalta la necesidad crítica de implementar, al menos, aplicativos básicos de seguridad: 1. Validar y filtrar todas las entradas de usuarios para evitar inyecciones. 2. Implementar frameworks modernos y seguros que eviten errores comunes de programación. 3. Restringir la ejecución de scripts en directorios de subida para impedir que se ejecute código malicioso. La seguridad básica protege la integridad y confidencialidad de los datos, evitando que incidentes como este se conviertan en un riesgo real.
Ivan Castañeda39,992 views • 9 months ago
Les comparto un sencillo sistema que he visto utilizar con frecuencia en SOCMINT, el cual permite localizar ubicaciones públicas de usuarios en X dentro de un radio determinado. Este sistema es fácil de implementar y no requiere registro: solo necesitas clonar el repositorio y ejecutar la aplicación. Para su desarrollo se utilizaron Leaflet.js para los mapas interactivos, OpenStreetMap como fuente de datos de calles y ubicaciones, y la API de Nominatim para geocodificación y autocompletado de direcciones. La ubicación de los usuarios se obtiene porque, al activar la opción de ubicación en sus publicaciones, estas registran automáticamente un lugar cercano desde donde se realizaron, lo que permite visualizarlo tanto en la plataforma como sobre mapas interactivos. 👇
Ivan Castañeda29,518 views • 7 months ago
Monitoreo inteligente de CVE y explotación real La librería nvdlib, un wrapper en Python para la National Vulnerability Database (NVD) del NIST, nos permite obtener en tiempo casi real los CVE que se publican globalmente. Estos CVE se almacenan en una base de datos interna, lo que facilita su análisis y seguimiento sistemático. Una vez detectadas, podemos complementar la información mediante OSINT en Telegram, usando un bot que consulta grupos y canales públicos donde los ciberdelincuentes comparten PoC y técnicas de explotación. Esto nos permite entender cómo se está explotando una vulnerabilidad en el mundo real y priorizar riesgos más allá del CVSS. ¿Por qué es importante analizar la explotación activa? 1. Permite priorizar vulnerabilidades según su impacto real, no solo según el CVSS. 2. Detecta explotación en entornos reales y activos. 3. Identifica patrones, herramientas y frameworks utilizados por atacantes. 4. Reduce significativamente el tiempo de respuesta ante amenazas efectivas. En un nivel más avanzado, los CVE pueden analizarse por palabras clave y correlacionarse con la API de FOFA y nuestros rangos de IP para identificar componentes expuestos en Internet. Con apoyo de IA, es posible generar consultas automáticas y contrastarlas con los activos propios de la organización. Aunque FOFA no siempre refleja parches o versiones actualizadas, mantener un inventario interno de componentes tecnológicos nos permite validar con mayor precisión si una vulnerabilidad nos afecta realmente, proporcionando una gestión de riesgos más efectiva y basada en contexto.
Ivan Castañeda19,376 views • 5 months ago
Para quienes pedían un ejemplo práctico de cómo funciona un ataque automatizado con scraping, les muestro este ejercicio con fines éticos. Es una demostración usando Selenium y mis propios accesos al portal de PythonAnywhere. Primero se escribe un script en Python que: 1. Lee un archivo llamado combolist.txt, que contiene líneas en el formato ya conocido: 2. Extrae usuario y contraseña, ignora la URL y hace login con Selenium. 3. Si el login es exitoso, accede directamente a la sección de API tokens en: 4. Extrae el token de la clase api_token usando scraping. 5. Guarda los resultados en un archivo de texto plano con el siguiente formato: TOKEN-ID,API-TOKEN 6. Cierra la sesión correctamente enviando el formulario POST y vuelve a intentar con la siguiente línea del archivo, que pueden ser cientos o miles. Este tipo de procesos son utilizados por ciberdelincuentes para automatizar el acceso a sistemas protegidos. En un escenario real, suelen trabajar con combinaciones filtradas de grandes empresas o instituciones, utilizando proxys para probar miles de accesos y extraer datos sensibles como nombres, tokens de API, historiales, archivos descargables o información personal. Una vez dentro, identifican elementos clave del HTML, como clases o IDs, para localizar secciones críticas. Imaginen el impacto de que se filtren miles de accesos a servicios como los de una cadena comercial o una dependencia gubernamental. Esos datos pueden ser utilizados para recolectar información de usuarios o acceder a paneles internos que expongan datos delicados. Esto ya ha sido detectado en entornos corporativos y públicos. En esta demostración, el navegador se mantuvo visible con fines educativos; sin embargo, en la práctica, este tipo de ataques se ejecutan completamente en segundo plano, utilizando opciones como el modo headless El objetivo de este ejercicio es mostrar cómo se puede comprometer información crítica sin necesidad de vulnerabilidades técnicas complejas, solo mediante credenciales válidas. Las cuentas utilizadas fueron propias y los tokens ya fueron revocados. Más allá del ejemplo, este tipo de ejercicios deben servir como advertencia sobre la importancia de medidas preventivas como la autenticación en dos pasos, el bloqueo tras múltiples intentos fallidos, la supervisión constante de accesos y el control riguroso sobre las plataformas
Ivan Castañeda33,269 views • 1 year ago
Te comparto este script en Python orientado a OSINT; es una herramienta sencilla pero útil en investigaciones sobre posibles grupos de ciberdelincuencia, ya que permite registrar en tiempo real los estados de conexión en Telegram. El monitoreo identifica estados como: 🟢 EN LÍNEA 🔴 ÚLTIMA VEZ 🟡 VISTO RECIENTEMENTE 🟠 VISTO ÚLTIMA SEMANA 🔵 VISTO ÚLTIMO MES ⚫ VISTO POR ÚLTIMA VEZ HACE MUCHO TIEMPO ⚫ ESTADO DESCONOCIDO Aunque se trata únicamente de metadatos visibles, el análisis de patrones temporales puede ayudar a detectar incrementos coordinados de actividad, posibles turnos operativos entre cuentas, reutilización de perfiles o perfiles que aparentan ser distintos pero muestran comportamiento sincronizado. El bot puede funcionar bajo demanda (mediante un botón de consulta), pero también puede modificarse para monitorear cambios en tiempo real, registrar transiciones de estado y generar alertas automáticas cuando una cuenta pasa a EN LÍNEA o cambia su patrón de actividad. Esto permite anticipar picos operativos, identificar cuentas inactivas o señuelo y fortalecer el análisis estratégico, siempre dentro del marco legal y con fines legítimos de investigación. Únete al grupo de Telegram WhatsApp grupo: Los enlaces se rompen cada mes.
Ivan Castañeda13,289 views • 3 months ago
Se filtra un combolist de WordPress con dominios y la extensión wp-login.php, junto con usuarios y contraseñas. En este caso, filtré los dominios con la extensión de Gobierno de México y se han encontrado 111 filtrados. Algunas contraseñas de estos aún son válidas. Se deben cambiar.
Ivan Castañeda33,672 views • 1 year ago
La Leaks Intelligence Platform México integra un módulo especializado para la identificación y análisis de actores maliciosos vinculados a actividades de ciberdelincuencia. Este buscador se nutre de información obtenida tras la filtración del foro internacional BreachForums, atribuida al grupo ShinyHunters, donde quedaron expuestos registros de usuarios involucrados en el cibercrimen. (Breachforums 2025) A partir de estos datos, la plataforma permite consultar perfiles de actores que han participado en ataques dirigidos contra objetivos en México, facilitando su análisis desde una perspectiva de ciberinteligencia, prevención y seguimiento de amenazas. 🔎 Explora el módulo de Actores Maliciosos:
Ivan Castañeda11,143 views • 5 months ago