ProtOSINT es un script en Python 3 que nos puede ayudar a investigar cuentas de ProtonMail y las direcciones IP que se encuentran detrás de las cuentas de ProtonVPN

Esta herramienta ha sido creada con la finalidad de ayudarnos en nuestras investigaciones OSINT, aunque solo para «fines educativos».

ProtOSINT

La herramienta ProtOSINT se divide en 3 submódulos:

  1. Para probar la validez de una cuenta de ProtonMail.
  2. Para averiguar si nuestro objetivo de la investigación tiene una cuenta de ProtonMail, generando direcciones y combinando los distintos campos.
  3. Encontrar si una IP esta vinculada a ProtonVPN.

Como requisito previo, tenemos que tener instalado Python 3

Uso ProtOSINT

python3 protosint.py

ProtonMail

Debemos tener en cuenta que el en el nombre de la cuenta en ProtonMail no distinguen entre mayúsculas y minúsculas y se consideran los símbolos “.” “_” “-” como transparentes. También tenemos que tener en consideración, que las palabras introducidas a continuación del signo “+” no se tienen en cuenta.

Por tanto, todas estas direcciones de correo electrónico son la misma que pepepepe@protonmail.com:

  • “pepe.pepe@protonmail.com”
  • “pepe_pepe@protonmail.com”
  • “pepe-pepe@protonmail.com”
  • “pepe.pepe+paypal@protonmail.com”

En todos estos correos encontraremos la misma hora de creación de la cuenta y es porque pertenecen a pepe@protonmail.com. Hay veces, que esta técnica no devuelve la hora y la fecha de creación de la cuenta de ProtonMail en sí, sino la hora y la fecha en que se creó la dirección de correo electrónico.

Claves de cifrado de correo electrónico

ProtOSINT también nos permite saber qué clave de cifrado se utiliza para una cuenta de protonmail:

  • RSA de 2048 bits (+ antiguo + rápido): alta seguridad
  • RSA de 4096 bits (seguro + lento): máxima seguridad
  • X25519 ( + moderno, + rápido, + seguro): moderno