CanaryTokens y IP Logger no son solo registradores de direcciones IP, sino verdaderas herramientas de vigilancia y cebos digitales que permiten recopilar información sobre usuarios y sus dispositivos. Son especialmente relevantes en el contexto de investigaciones OSINT, ciberseguridad y lucha contra el fraude. Veamos en detalle cómo funcionan y para qué se emplean.
Qué son los registradores y para qué sirven
Los registradores (del verbo "registrar") son servicios o scripts que capturan datos del usuario que abre un enlace o un archivo. La tarea principal de estas herramientas es recopilar metadatos: dirección IP, geolocalización, datos del navegador y del sistema operativo, proveedor de servicios y, en ocasiones, extensiones instaladas o el tipo de dispositivo utilizado.
Con mayor frecuencia, los registradores se usan con los siguientes fines:
- Análisis de actividad sospechosa o de ataques de phishing.
- Creación de la huella digital de un usuario.
- Verificar quién abrió un enlace o documento concreto.
- Uso activo dentro de operaciones de OSINT.
CanaryTokens: qué es y cómo funciona
CanaryTokens es una herramienta gratuita de Thinkst Applied Research diseñada para crear distintos tipos de cebos. Inicialmente se empleó como medio de detección temprana de compromisos, pero con el tiempo se ha convertido en una herramienta versátil para OSINT.
Un CanaryToken se puede insertar en:
- Documento de Word, archivo de Excel o PDF.
- Imagen o enlace a un sitio web.
- Archivo comprimido con señuelo.
- Tarjeta de crédito o consulta DNS.
Cuando la víctima interactúa con el token (por ejemplo, abre el archivo), el sistema registra:
- Dirección IP y ubicación.
- Fecha y hora de apertura.
- Tipo de dispositivo y sistema operativo.
- Información sobre consultas DNS (si corresponde).
IP Logger: simple pero potente
El servicio IP Logger ofrece enlaces cortos, píxeles incrustados, botones o códigos QR que registran la interacción del usuario. En comparación con CanaryTokens, está más orientado al uso masivo y cuenta con una interfaz amigable.
Funciones adicionales de IP Logger:
- Generación de un mapa de visitantes por geolocalización.
- Recopilación del agente de usuario del navegador.
- Integración con Telegram o correo electrónico para notificaciones instantáneas.
- Acortamiento de URL manteniendo la analítica.
Uso en OSINT e investigaciones
En operaciones de OSINT, CanaryTokens e IP Logger se usan para rastrear la actividad de sujetos concretos. Son imprescindibles en escenarios como:
- Determinar quién abrió un correo de phishing.
- Registrar indicios de compromiso en un buzón de correo.
- Verificar actividad sospechosa en un foro o en un mensajero.
- Rastrear cómo se difunde un documento.
Todo esto permite no solo registrar el evento, sino también obtener pruebas de la interacción técnica, útiles para una investigación interna o para entregar a las autoridades.
Crear una trampa: paso a paso
A continuación un ejemplo de cómo crear una trampa básica con CanaryTokens:
- Acceder al sitio canarytokens.org.
- Seleccionar el tipo de token (por ejemplo, documento de Microsoft Word).
- Introducir un correo electrónico para las notificaciones y una etiqueta.
- Descargar el archivo y enviarlo al objetivo.
Tras abrir el archivo recibirá una notificación con los metadatos de quien lo abrió.
Ética, leyes y limitaciones
A pesar de su amplio potencial, es importante recordar los límites legales y éticos. El uso de registradores puede violar la legislación si se realiza sin el consentimiento del usuario. Esto es especialmente relevante en países de la UE donde rige el GDPR (Reglamento General de Protección de Datos).
Al mismo tiempo, su uso es aceptable dentro de una investigación interna o para defensa frente a amenazas, siempre que se respeten las políticas corporativas y las leyes locales.
Herramientas alternativas
Si CanaryTokens o IP Logger no son apropiados, se pueden considerar otras soluciones:
- Snitch.link — alternativa a CanaryTokens con posibilidad de personalizar dominios.
- Z9 Logger — para crear escenarios de seguimiento complejos.
- Webhook.site — permite probar solicitudes del cliente en tiempo real.
