Qué es OSINT: herramientas y flujo.
OSINT convierte fuentes públicas en inteligencia, no es hacking. Ciclo de inteligencia, disciplinas -INT, límites legales, OPSEC, flujo y herramientas reales.
OSINT suena a disciplina de hacking y, en su mayor parte, no lo es. La inteligencia de fuentes abiertas (Open-Source Intelligence) es el arte de convertir información que ya es pública —el registro de un dominio, un log de Certificate Transparency, una oferta de empleo, los metadatos incrustados en una foto— en la respuesta a una pregunta concreta. Sin exploits. Sin credenciales que nadie te dio. Sin tocar sistemas que no tienes derecho a tocar. Este artículo es la puerta de entrada a todo un conjunto de guías de investigación, así que lo mantendremos amplio pero concreto: qué es OSINT, el proceso que hay detrás, dónde está la línea legal, cómo protegerte mientras trabajas y las herramientas reales que hacen la recopilación.
Qué es OSINT y qué no es
La palabra "inteligencia" es la que lleva todo el peso. OSINT no es "cosas que encontraste en Google". Es el proceso disciplinado de recopilar información abierta, verificarla, conectarla y producir una valoración sobre la que alguien pueda actuar. Una lista en bruto de subdominios es un dato. "Esta organización expone un servidor de staging olvidado sobre un CMS obsoleto, y aquí está la prueba" es inteligencia.
"Fuente abierta" aquí no tiene nada que ver con el software de código abierto. Significa que la fuente está disponible abiertamente para cualquiera: sitios web públicos, registros DNS, resoluciones judiciales, registros mercantiles, redes sociales, imagen y vídeo, datos de brechas que ya son públicos, imágenes de satélite. Si necesitas una contraseña, un exploit o una orden judicial para verlo, no es fuente abierta, y recopilarlo no es OSINT.
Igual de importante es lo que OSINT no es:
- No es intrusión. Leer una página pública es OSINT. Iniciar sesión en una cuenta que no es tuya, hacer fuerza bruta contra un formulario o sondear en busca de vulnerabilidades no lo es: eso cruza hacia el acceso no autorizado, que es delito en la mayoría de las jurisdicciones.
- No es "hacking". No hay explotación de ningún fallo. Estás leyendo lo que el objetivo eligió (u olvidó) publicar.
- No es automáticamente anónimo ni está exento de consecuencias. Parte de la recopilación toca los servidores del objetivo y puede quedar registrada. Más sobre esto más abajo.
El ciclo de inteligencia, aplicado a OSINT
El trabajo de inteligencia profesional sigue un bucle, y OSINT no es la excepción. Nombrar las fases te mantiene honesto: evita que "hurgar por ahí hasta que aparezca algo" se disfrace de investigación.
- Dirección. Define la pregunta. "¿Este dominio está suplantando nuestra marca?" tiene respuesta. "Cuéntame todo sobre esta empresa" no. Una pregunta afilada decide qué fuentes importan y cuándo has terminado.
- Recopilación. Reúne material en bruto de fuentes abiertas: registros WHOIS, certificados, páginas archivadas, perfiles sociales, imágenes. Aquí es donde viven las herramientas, y donde la mayoría de los principiantes gasta todo su tiempo.
- Procesamiento. Convierte el montón en algo manejable: normaliza formatos, elimina duplicados, traduce, extrae entidades (nombres, dominios, IP, correos), pon marca de tiempo a todo. Captura y calcula el hash de lo que encuentres, porque las páginas cambian y se borran.
- Análisis. Une los puntos, valora la fiabilidad de las fuentes, busca corroboración y separa lo que sabes de lo que infieres. Una fuente es una pista; dos fuentes independientes son un hallazgo.
- Difusión. Repórtalo a quien deba actuar, en un formato que pueda usar, con la prueba adjunta y el nivel de confianza expresado con claridad.
Es un ciclo porque la difusión suele plantear preguntas nuevas, que realimentan la dirección. Los buenos investigadores dan muchas vueltas al bucle con preguntas pequeñas y precisas, en lugar de una sola vuelta con una pregunta vaga.
Dónde encaja OSINT entre las disciplinas -INT
La inteligencia se divide tradicionalmente en "disciplinas de recopilación", cada una abreviada con el sufijo -INT. OSINT es una de varias, y conocer a sus vecinas ayuda a ver sus límites:
- OSINT — inteligencia de fuentes abiertas. A partir de fuentes disponibles públicamente. El tema de este artículo.
- HUMINT — inteligencia humana. A partir de personas, mediante conversación, entrevistas o ingeniería social. Convencer a un recepcionista de que revele una agenda es HUMINT, no OSINT.
- SIGINT — inteligencia de señales. A partir de comunicaciones interceptadas y señales electrónicas. El terreno de las agencias de inteligencia, no de los investigadores en abierto.
- GEOINT — inteligencia geoespacial. A partir de imágenes y datos geográficos: fotos de satélite, mapas, las pistas de ubicación dentro de una imagen. OSINT y GEOINT se solapan mucho cuando geolocalizas una foto.
- SOCMINT — inteligencia de redes sociales. A partir de plataformas sociales en concreto. Suele tratarse como una subrama de OSINT porque los datos son públicos, pero es lo bastante distinta como para tener su propio nombre y sus propias trampas de privacidad.
OSINT es el paraguas amplio y en su mayoría legal bajo el que trabaja la mayoría de defensores e investigadores, tomando prestadas técnicas de GEOINT y SOCMINT por el camino. Hay un artículo dedicado a las disciplinas de inteligencia en camino; por ahora, recuerda que OSINT es la que se construye por entero a partir de lo que ya está abierto.
La línea legal y ética
Esta es la parte que los principiantes se saltan y que los profesionales cuidan con obsesión. "Accesible públicamente" y "legal de recopilar, almacenar y usar" no son la misma afirmación, y equivocarse aquí convierte la investigación en responsabilidad legal.
Recopilación pasiva frente a activa
La recopilación pasiva lee datos de terceros sin tocar al objetivo: consultar WHOIS, revisar logs de Certificate Transparency, leer una página archivada en la Wayback Machine. El objetivo no tiene forma de saber que miraste. La recopilación activa toca la propia infraestructura del objetivo: visitar su sitio, resolver sus subdominios contra él, escanear puertos. Puede quedar registrada, y una recopilación activa intensa empieza a parecer reconocimiento para un ataque. Ten claro en qué modo estás en cada paso. Ante la duda, prefiere la vía pasiva y los conjuntos de datos de terceros.
Condiciones de servicio, robots y la ley
- Respeta las condiciones de servicio y las directivas de robots. El scraping automatizado de una plataforma a menudo incumple sus condiciones aunque los datos sean públicos. Eso puede hacer que baneen tus cuentas y, en algunas jurisdicciones, tener peso legal.
- La ley de privacidad se aplica a los datos abiertos. Bajo el RGPD (y regímenes similares), el nombre, correo, IP o foto de una persona son datos personales aunque los encontraras en una página pública. Recopilarlos y almacenarlos exige una base legal, una finalidad y límites de conservación. "Era público" no es, por sí solo, una defensa.
- Nunca cruces hacia la intrusión. En el momento en que pruebas una credencial, envías un formulario para ver qué se rompe o accedes a algo tras una autenticación, has dejado OSINT y probablemente has infringido la ley (por ejemplo, la Computer Fraud and Abuse Act de EE. UU. o la Computer Misuse Act del Reino Unido).
La regla práctica: observa, no interactúes; documenta, no explotes; y recopila solo lo que tu pregunta realmente necesita. Si haces esto profesionalmente, consigue la autorización por escrito y mantente dentro de su alcance.
OPSEC del investigador
La seguridad operativa aquí significa protegerte a ti mismo y no alertar al sujeto. Las investigaciones tienen fugas en ambas direcciones: un clic descuidado puede revelar quién está mirando, y puede contaminar tus propios hallazgos.
- Usa cuentas "sock puppet" dedicadas. Nunca investigues desde tus perfiles sociales reales. Mantén identidades de investigación separadas y verosímiles, con sus propias direcciones de correo, y consérvalas coherentes para que las plataformas no las bloqueen. Nunca las uses para engañar de formas que crucen hacia el fraude o hacia HUMINT para el que no estás autorizado.
- Aísla el navegador y la máquina. Trabaja desde una máquina virtual o un perfil de navegador aparte, para que las cookies, extensiones e inicios de sesión de tu vida real nunca se filtren en la investigación. Lo ideal es una instantánea a la que puedas revertir si vas a tocar enlaces dudosos.
- Enruta el tráfico por una VPN. No expongas tu IP doméstica o corporativa a los logs del objetivo. Una VPN (o, para trabajo sensible, Tor) mantiene tu origen fuera de escena.
- No alertes al objetivo. Evita dar "me gusta", seguir, conectar o iniciar sesión con una cuenta real. Prefiere los conjuntos de datos pasivos antes que golpear directamente al objetivo. Cada interacción directa es un posible cable trampa.
- Practica higiene de datos. Pon marca de tiempo, captura y calcula el hash de las pruebas a medida que las recopilas. Almacénalas de forma segura, minimiza los datos personales y borra lo que ya no necesites. Tu propio expediente es, en sí mismo, dato sensible.
El flujo de trabajo OSINT
Toda investigación sólida, sea cual sea el objetivo, recorre más o menos el mismo camino:
- Delimita y siembra. Escribe la pregunta. Anota tu "semilla" de partida: un dominio, un correo, un nombre de usuario, una imagen, el nombre de una empresa.
- Pivota hacia fuera. Usa cada artefacto para encontrar el siguiente. Un dominio revela una IP y certificados; un certificado revela más subdominios; un subdominio revela un servidor nuevo; un correo revela cuentas. Este pivoteo es el corazón de OSINT.
- Corrobora. Confirma cada hecho importante con una segunda fuente independiente antes de apoyarte en él.
- Documenta sobre la marcha. Captura la prueba en el momento en que la ves: URL, marcas de tiempo, capturas, hashes. Un hallazgo sin documentar no existe.
- Analiza e informa. Monta el cuadro, expresa tu confianza y entrégalo a quien actúe sobre ello.
La caja de herramientas, por categoría
El instrumental de OSINT es enorme, así que ayuda agruparlo por qué trabajo hace. Todo lo de abajo es gratuito para empezar salvo que se indique; los planes de pago compran sobre todo volumen e histórico.
Frameworks y recopilación
- OSINT Framework — un directorio gigante y categorizado de recursos OSINT. Un mapa, no un escáner: úsalo para encontrar la herramienta adecuada para un tipo de dato.
- Maltego — análisis de vínculos y grafos. Tira de datos mediante "transforms" y dibuja las relaciones entre entidades. El estándar del sector para el pivoteo visual.
- SpiderFoot — automatiza la recopilación en cientos de fuentes a partir de una sola semilla (dominio, IP, correo, nombre) y correlaciona los resultados.
- Recon-ng — un framework de reconocimiento modular y de línea de comandos, con un flujo al estilo Metasploit. Estupendo para recopilación programada y repetible.
- Colecciones de start.me — paneles curados de enlaces OSINT mantenidos por la comunidad; una forma sencilla de tener tus marcadores organizados por tipo de investigación.
- IntelTechniques — el centro de Michael Bazzell con herramientas de búsqueda, flujos de trabajo y material de referencia, desde hace tiempo un pilar de la comunidad OSINT.
Dominios, DNS e infraestructura
- WHOIS (búsqueda de ICANN) — quién registró un dominio, cuándo y a través de qué registrador. Hoy suele estar enmascarado por privacidad, pero las fechas de registro y los registradores siguen siendo reveladores. (Explicamos cómo leerlo en Qué es WHOIS y cómo leerlo.)
- crt.sh — busca en los logs de Certificate Transparency. Como cada certificado TLS queda registrado públicamente, esto revela sin ruido subdominios que una organización nunca quiso exponer.
- DNSDumpster — reconocimiento DNS gratuito que mapea los hosts, registros y red de un dominio en una sola vista.
- SecurityTrails — datos históricos de DNS y WHOIS. Mira a qué solía apuntar una IP o un nameserver, lo cual es oro para seguir la pista de la infraestructura a lo largo del tiempo.
- ViewDNS — un cajón de sastre de utilidades DNS, incluida la búsqueda de IP inversa para encontrar otros dominios que comparten un servidor.
- dnstwist — genera y comprueba dominios parecidos (typosquatting). Esencial para la protección de marca y para detectar infraestructura de phishing antes de que se use.
- Amass (OWASP) — enumeración profunda de subdominios y mapeo de red, combinando conjuntos de datos pasivos con resolución activa.
- subfinder — descubrimiento de subdominios rápido y pasivo, de ProjectDiscovery. Combina bien con Amass.
Superficie de ataque y dispositivos expuestos
- Shodan — el "motor de búsqueda de dispositivos". Indexa servicios expuestos a internet y sus banners, para que puedas ver qué software y puertos expone una IP sin tocarla tú mismo.
- Censys — un escaneo de internet similar, con sólidos datos de certificados y hosts. Shodan y Censys son los dos primeros que se aprenden (comparados en Shodan y Censys explicados).
- ZoomEye — un motor de búsqueda de dispositivos y servicios, fuerte en activos de Asia.
- FOFA — otro motor de búsqueda de activos de internet, con potentes consultas por fingerprint.
- Netlas — datos de escaneo de internet consultables, que cubren hosts, certificados y DNS.
- GreyNoise — te dice si una IP es "ruido de fondo" que escanea masivamente o algo dirigido. Reduce los falsos positivos cuando estás triando una dirección.
Sitio web y stack tecnológico
- urlscan.io — visita una URL en un sandbox e informa de la captura, los recursos, las redirecciones y los dominios contactados, de forma segura y sin que tú la cargues.
- web-check.xyz — un panel de una sola página con el DNS, las cabeceras, los certificados, la tecnología y más de un sitio.
- Wayback Machine — el histórico de una página en Internet Archive. Mira qué decía un sitio antes de que lo cambiaran o lo retiraran.
- BuiltWith — perfila las tecnologías que ejecuta un sitio: CMS, analítica, frameworks, hosting.
- Wappalyzer — identifica el stack tecnológico de un sitio; disponible como extensión de navegador para comprobaciones rápidas.
- securityheaders.com — puntúa las cabeceras de seguridad HTTP de un sitio; una lectura rápida de con qué cuidado está configurado.
Reputación y malware
- VirusTotal — comprueba archivos, URL, dominios e IP contra decenas de motores y muestra indicadores relacionados. Una primera parada para "¿esto es malicioso?"
- AbuseIPDB — una base de datos comunitaria de IP reportadas por abuso, con una puntuación de confianza.
- URLhaus, ThreatFox y MalwareBazaar — la familia abuse.ch: URL maliciosas, indicadores de compromiso y muestras de malware, respectivamente. Inteligencia de amenazas gratuita y de alta calidad.
Personas y SOCMINT
Esta categoría exige la ética más afilada: estás manejando datos de personas reales. Ten una finalidad legal y recopila lo mínimo.
- Sherlock — rastrea un nombre de usuario por cientos de sitios desde la línea de comandos.
- WhatsMyName — una herramienta web de enumeración de nombres de usuario que cubre una lista de sitios amplia y curada.
- Have I Been Pwned — te dice si un correo aparece en brechas de datos conocidas. Útil para la defensa y para entender la exposición.
- holehe — comprueba si un correo está registrado en varios sitios usando su comportamiento de restablecimiento de contraseña, sin alertar al titular.
- Búsqueda inversa de imágenes: Google Lens, TinEye y Yandex Images encuentran dónde aparece una foto en otros sitios. Yandex suele ser el más potente con caras y lugares; usa los tres, porque indexan rincones distintos de la web.
Correo electrónico
- Hunter.io — encuentra y verifica direcciones de correo asociadas a un dominio y revela el patrón de direcciones que usa una organización.
- EmailRep — un resumen de reputación de una dirección de correo, basado en dónde aparece en línea.
Geolocalización y GEOINT
- Metadatos EXIF — las fotos pueden incrustar la cámara, la marca de tiempo e incluso las coordenadas GPS. Una herramienta como ExifTool los lee. (La mayoría de las plataformas sociales eliminan el EXIF al subir, así que la ausencia de datos es normal.)
- SunCalc — muestra la posición del sol para cualquier lugar y momento. Combinado con las sombras de una foto, ayuda a confirmar o estimar cuándo y dónde se tomó.
- Google Earth — imágenes de satélite y de calle para verificar ubicaciones, casar puntos de referencia y reconstruir una escena.
Un miniejemplo trabajado: un dominio sospechoso, de principio a fin
Supón que un cliente te reenvía un correo de secure-login-tubanco.example y tienes que valorarlo, de forma pasiva, sin iniciar sesión ni atacar nada. El camino a alto nivel:
1) WHOIS -> registrador + fecha de creación
2) crt.sh -> certificados y subdominios hermanos
3) urlscan.io -> render seguro: captura, redirecciones, recursos
4) web-check -> DNS, cabeceras, hosting, stack tecnológico
5) VirusTotal -> ¿está marcado el dominio/URL?
6) GreyNoise -> ¿la IP de hosting es solo ruido o algo dirigido?
Leyéndolo en orden: un dominio registrado hace tres días a través de un registrador masivo ya es sospechoso. crt.sh muestra un certificado emitido el mismo día y nombres de host hermanos que reutilizan la cadena "tubanco": un patrón, no una casualidad. urlscan.io renderiza un clon idéntico de la página de inicio de sesión y muestra el formulario enviando a un host no relacionado. web-check confirma un hosting barato y desechable y cabeceras de seguridad ausentes. VirusTotal ya marca la URL; AbuseIPDB y GreyNoise completan la reputación de la IP. Nada de eso tocó el servidor del atacante más allá de un sandbox, y tienes un veredicto documentado y respaldado por pruebas.
Esa es la forma de la cosa. Profundizamos en este mismo proceso en Cómo investigar un dominio sospechoso, y en la versión rápida de "¿esto es falso?" en Cómo saber si un dominio es falso o sospechoso.
Dónde se usa OSINT
- Inteligencia de amenazas. Mapear la infraestructura del atacante, seguir campañas y enriquecer indicadores de compromiso.
- Protección de marca. Cazar typosquats, perfiles falsos y sitios de phishing que suplantan a una organización, a menudo antes de que golpeen a los clientes.
- Investigación de phishing. Atribuir un señuelo, desenmascarar la infraestructura que hay detrás y alimentar los procesos de retirada.
- Reconocimiento en pentesting. La primera fase, autorizada y pasiva, de un encargo: mapear la huella pública del objetivo antes de cualquier prueba activa, dentro de un alcance firmado.
- Periodismo de investigación e investigación académica. Verificar imágenes, geolocalizar sucesos y seguir registros públicos para pedir cuentas al poder.
Elige la herramienta por lo que quieres
Los principiantes se ahogan porque memorizan herramientas en lugar de trabajos. Parte del resultado que necesitas y ve hacia atrás:
| Lo que quieres | Echa mano de |
|---|---|
| Subdominios de un objetivo | crt.sh, Amass, subfinder, DNSDumpster |
| Quién registró un dominio / cuándo | WHOIS, SecurityTrails, ViewDNS |
| Qué software / puertos expone una IP | Shodan, Censys, Netlas, FOFA |
| Qué tecnología ejecuta un sitio web | BuiltWith, Wappalyzer, web-check.xyz |
| Ver con seguridad qué hace una URL | urlscan.io |
| El histórico de una página / una página borrada | Wayback Machine |
| Si este archivo / URL / IP es malicioso | VirusTotal, abuse.ch, AbuseIPDB, GreyNoise |
| Dominios parecidos / typosquat | dnstwist |
| Dónde aparece un nombre de usuario | Sherlock, WhatsMyName |
| Si un correo está en brechas / registrado en algún sitio | Have I Been Pwned, holehe, EmailRep |
| Correos de un dominio | Hunter.io |
| Dónde aparece una foto / dónde se tomó | TinEye, Yandex, Google Lens, ExifTool, SunCalc, Google Earth |
| Automatizar la recopilación desde una semilla | SpiderFoot, Recon-ng, Maltego |
OSINT tiene menos que ver con ningún sitio concreto que con un hábito mental: haz una pregunta precisa, recopila solo de fuentes abiertas, pivota de un artefacto al siguiente, corrobora, documenta y mantente del lado legal de la línea. Domina ese bucle y las herramientas se vuelven intercambiables, que es justo lo que el resto de este conjunto de guías te ayudará a lograr.
