🛡️ Guía independiente de formación en ciberseguridad · Certificaciones, itinerarios y cursos
InicioGuías

OSINT: guía completa de inteligencia de fuentes abiertas (2026)

19 de junio de 2026 Guías
OSINT: guía completa de inteligencia de fuentes abiertas (2026)

La inteligencia de fuentes abiertas (OSINT, del inglés Open Source Intelligence) es la disciplina que consiste en recopilar, analizar y transformar en inteligencia útil información que ya es públicamente accesible: páginas web, redes sociales, registros públicos, imágenes de satélite, foros, metadatos de documentos y un largo etcétera. No requiere acceso no autorizado a ningún sistema ni interceptar comunicaciones privadas. Todo lo que se usa ya está ahí, en la red o en archivos públicos, esperando a ser leído con criterio.

Esto hace de OSINT una de las habilidades más versátiles del ecosistema de ciberseguridad: la usan pentesters para cartografiar la superficie de ataque de un objetivo antes de lanzar ninguna prueba, la usan periodistas de investigación para localizar activos de personas de interés público, la usan cuerpos de seguridad para rastrear actividades delictivas, y la usan departamentos de Recursos Humanos para verificar candidatos. La misma técnica, aplicada con fines y marcos legales radicalmente distintos.

Esta guía cubre el campo en profundidad: qué es OSINT y para qué sirve, el marco legal que lo rodea (especialmente en España y Europa), el ciclo de inteligencia que le da estructura, las principales disciplinas y técnicas, las herramientas más utilizadas, cómo encaja en el pentesting profesional, cómo el investigador protege su propia identidad, cómo practicar de forma ética y controlada, y qué recursos y certificaciones existen para quien quiera profundizar.

Qué es OSINT y para qué se usa

El término OSINT nació en el ámbito militar e institucional: agencias como la CIA o el MI6 necesitaban clasificar sus fuentes de inteligencia, y «open source» significaba que la información no provenía de espionaje sino de medios accesibles sin clave ni infiltración. Hoy el concepto ha migrado al mundo civil y a la ciberseguridad, donde su uso se ha popularizado enormemente gracias a la cantidad de datos que las personas y organizaciones dejan en internet.

Hay cinco grandes ámbitos de aplicación:

  • Pentesting y reconocimiento. Antes de cualquier prueba de penetración, el analista realiza una fase de reconocimiento (recon) para conocer la infraestructura del objetivo: dominios, subdominios, rangos de IP, tecnologías usadas, empleados y sus correos, servicios expuestos. OSINT es el primer bloque de esta fase y puede marcar la diferencia entre un pentest superficial y uno que encuentra vulnerabilidades reales.
  • Ciberinteligencia y threat intelligence. Los equipos de defensa (SOC, CIRT) usan OSINT para rastrear grupos APT, identificar indicadores de compromiso (IoCs) que ya han aparecido en foros underground o repositorios públicos, y anticipar campañas de ataque antes de que lleguen.
  • Investigación de fraude y delitos. Seguros, bancos, plataformas de comercio electrónico y cuerpos policiales cruzan datos públicos para detectar identidades falsas, redes de estafa, lavado de activos o acoso en línea.
  • Due diligence y RRHH. Empresas que contratan o que van a cerrar un acuerdo importante verifican antecedentes, reputación en línea e historial profesional de personas o sociedades. Es un uso legítimo siempre que respete la normativa de protección de datos.
  • Periodismo de investigación. Colectivos como Bellingcat han demostrado que con fuentes abiertas (imágenes de satélite, geolocalización de fotos, redes sociales) es posible documentar conflictos bélicos, localizar a responsables de crímenes y desmentir desinformación oficial.

Marco legal y ético: qué está permitido y qué no

OSINT trabaja exclusivamente con información que ya es pública, pero eso no significa que cualquier uso sea legal. Hay tres ejes que hay que entender antes de hacer nada:

Acceso no autorizado: la línea que no se cruza

Recopilar datos de fuentes abiertas es legal. Acceder a sistemas, cuentas o archivos sin autorización no lo es, aunque la información resultante acabe siendo «pública» una vez fuera. En España, el artículo 197 del Código Penal tipifica el descubrimiento y revelación de secretos; a nivel europeo, la Directiva NIS2 y la Directiva sobre ataques contra sistemas de información (2013/40/UE) son igualmente claras. OSINT legítimo no usa contraseñas ajenas, no explota vulnerabilidades para extraer datos, no accede a bases de datos privadas filtradas ilegalmente y no infringe términos de servicio de plataformas de forma deliberada para raspar datos que no son públicos por diseño.

RGPD y protección de datos

El Reglamento General de Protección de Datos (RGPD) aplica cuando el resultado del análisis OSINT implica tratar datos personales de ciudadanos europeos. Que un nombre, foto o dirección esté en internet no convierte automáticamente en legal compilar y almacenar ese perfil con fines propios. Hay que tener una base jurídica legítima (interés legítimo, contrato, consentimiento, interés público) y respetar los principios de minimización, finalidad y limitación del plazo. Los investigadores privados, las empresas de due diligence y los pentesters tienen que manejarse con cuidado aquí: perfilar a una persona privada sin base legal puede acarrear sanciones de la AEPD.

Ética profesional: el investigador responsable

Más allá de lo legal, la comunidad OSINT tiene un código ético no escrito que resume bien el investigador Michael Bazzell en su obra: la información recabada no debe usarse para acosar, intimidar ni dañar a personas privadas; se debe practicar con propósito definido y proporcional; y los hallazgos sensibles (por ejemplo, localización exacta de alguien) no se comparten en público salvo que haya interés público claro. Organizaciones como la OSINT Curious Project o el Trace Labs han formalizado estas normas en sus CTFs y formaciones.

El ciclo de inteligencia aplicado a OSINT

La inteligencia no es buscar en Google sin orden. El ciclo clásico adaptado a OSINT tiene cinco fases:

  1. Dirección y planificación. Definir el objetivo exacto de la investigación, las preguntas concretas a responder (¿qué infraestructura DNS usa la empresa X? ¿qué cuentas de redes sociales están asociadas al alias Y?) y el perímetro ético/legal. Sin esto, la búsqueda se convierte en ruido.
  2. Recopilación. Usar las herramientas y técnicas adecuadas para extraer los datos relevantes de las fuentes identificadas. Esta es la fase técnica más visible.
  3. Procesamiento. Limpiar, normalizar y correlacionar los datos brutos: eliminar duplicados, verificar que las fuentes son fiables, cruzar datos de distintas fuentes para confirmar hechos.
  4. Análisis. Convertir datos procesados en conocimiento accionable: ¿qué significa este patrón? ¿qué riesgo implica? ¿qué hipótesis confirma o descarta?
  5. Diseminación. Comunicar los hallazgos de forma clara al destinatario (cliente de pentest, equipo de defensa, redacción periodística) con el nivel de detalle apropiado.

Este marco distingue a un investigador OSINT profesional de alguien que simplemente «busca cosas en internet». La diferencia no está en las herramientas sino en el rigor analítico.

Disciplinas dentro de OSINT

OSINT no es un bloque monolítico; se ramifica en varias disciplinas según el tipo de fuente que se trabaja:

SOCMINT: redes sociales y personas

SOCMINT (Social Media Intelligence) es la subdisciplina que extrae información de redes sociales: Twitter/X, LinkedIn, Instagram, Facebook, TikTok, Reddit, Telegram, foros especializados. A partir de publicaciones, conexiones, metadatos y comportamientos online es posible construir perfiles de personas (afiliaciones, rutinas, relaciones, ideología), detectar cuentas coordinadas inorgánicas, rastrear la difusión de desinformación o identificar miembros de organizaciones.

Herramientas como Sherlock o WhatsMyName comprueban si un nombre de usuario concreto existe en decenas o cientos de plataformas simultáneamente. Maltego permite visualizar grafos de relaciones entre entidades (personas, dominios, correos) cruzando múltiples fuentes. La búsqueda avanzada nativa de cada plataforma (operadores en Twitter/X como from:, near:, since:) también es básica.

Dominios, infraestructura y registros técnicos

Una de las ramas más útiles en ciberseguridad es la que analiza la infraestructura técnica de un objetivo. Los datos que se pueden obtener de forma pública incluyen:

  • WHOIS y registros de dominio: propietario histórico, fechas de registro y expiración, registrador, servidores de nombres. Servicios como whois.com, ICANN RDAP o la consulta directa (whois dominio.com) proporcionan estos datos, aunque el RGPD ha reducido la disponibilidad de datos personales en el WHOIS europeo.
  • Registros DNS: A, AAAA, MX, TXT, CNAME, NS. Un registro SPF o DMARC mal configurado puede revelar servicios de correo; un TXT de verificación de propiedad puede revelar qué plataformas SaaS usa la organización. Herramientas: dig, nslookup, DNSdumpster, SecurityTrails.
  • Certificados SSL/TLS: los logs de Certificate Transparency (CT logs) contienen todos los certificados emitidos para un dominio, incluidos subdominios que no aparecen en ningún otro registro. crt.sh es el buscador de referencia.
  • ASN y rangos de IP: saber qué bloques de IP pertenecen a una organización permite luego combinar con Shodan o Censys para ver qué servicios expone.
  • Historial web: la Wayback Machine (Internet Archive) guarda capturas históricas de sitios web, útiles para recuperar páginas eliminadas, versiones antiguas de políticas o páginas de empleo que ya no existen.

GEOINT: geolocalización e imágenes

La inteligencia geoespacial usa imágenes de satélite, fotografías con metadatos de ubicación y referencias visuales para determinar dónde ocurrió algo o dónde está alguien. Bellingcat es la referencia mundial en este campo: han geolocalizando lanzaderas de misiles en conflictos, posicionado vehículos militares en videos de Telegram y verificado imágenes de guerra usando Google Earth, Sentinel Hub y análisis visual de sombras.

En ciberseguridad, la GEOINT aparece al analizar metadatos de imágenes (GPS embebido en fotos tomadas con móvil), al identificar ubicaciones físicas de servidores o instalaciones usando Street View, o al cruzar publicaciones geoetiquetadas en redes sociales. La herramienta exiftool extrae metadatos EXIF de cualquier imagen o documento: coordenadas GPS, modelo de cámara, fecha de creación, versión del software editor y a veces el nombre de usuario que creó el documento.

Metadatos de documentos y archivos

Muchos documentos publicados en la web (PDFs, documentos Word, presentaciones PowerPoint) conservan metadatos que sus creadores no eliminaron: nombre de usuario interno, rutas de red (\servidorcarpetaarchivo.docx), software y versión, historial de revisiones, a veces dirección de correo. Una empresa que publica su informe anual en PDF puede estar revelando el nombre de usuario del empleado que lo creó y la ruta de red del servidor donde se guardó. exiftool y la suite FOCA (Fingerprinting Organizations with Collected Archives) se usan para esto.

Técnicas clave por categoría

Google Dorking (operadores de búsqueda avanzada)

Google indexa mucho más de lo que los administradores creen. Los Google dorks son combinaciones de operadores de búsqueda que permiten localizar información sensible expuesta sin querer:

  • site:empresa.com filetype:pdf — documentos PDF publicados en el dominio.
  • site:empresa.com inurl:admin — páginas de administración accesibles.
  • intitle:"index of" site:empresa.com — directorios web con listado público.
  • site:empresa.com ext:xlsx OR ext:csv — hojas de cálculo publicadas.
  • "@empresa.com" filetype:xls — correos corporativos en hojas de cálculo.

El proyecto Google Hacking Database (GHDB), mantenido por Exploit-DB, recopila miles de dorks categorizados. Es importante recordar que encontrar información expuesta accidentalmente no da permiso para usarla o explotarla.

Shodan y Censys: motores de búsqueda de dispositivos

Shodan escanea continuamente internet y devuelve resultados sobre puertos abiertos, banners de servicios, versiones de software y certificados. No es un escáner activo que el investigador lanza contra el objetivo; es una base de datos de escaneos ya realizados. Eso significa que consultar Shodan para conocer los servicios expuestos de un dominio es pasivo: el objetivo no recibe ningún paquete. Permite buscar por IP, dominio, ASN, país, sistema operativo, banner, versión de software vulnerable y decenas de filtros más.

Censys cubre un territorio similar con un enfoque más orientado a investigadores de seguridad y con una API potente. Ambos son imprescindibles en la fase de reconocimiento de infraestructura.

theHarvester: recolección de correos, dominios y hosts

theHarvester es una herramienta de código abierto (Python, incluida en Kali Linux) que agrega resultados de múltiples fuentes —Google, Bing, LinkedIn, Shodan, VirusTotal, crt.sh entre otras— para recopilar correos electrónicos, nombres de host, subdominios y IPs asociados a un dominio objetivo. Es una de las primeras herramientas que se usan en la fase de reconocimiento de un pentest autorizado.

Maltego: grafos de entidades y relaciones

Maltego (de Paterva, ahora parte del ecosistema de Maltego GmbH) es una plataforma de análisis visual que permite construir grafos de relaciones entre entidades: personas, dominios, correos, IPs, organizaciones, números de teléfono, cuentas sociales. Usa transforms (módulos que consultan fuentes externas) para expandir automáticamente el grafo. Existe una versión Community gratuita con límite de entidades y las versiones de pago. Es especialmente útil para investigaciones complejas donde hay que correlacionar mucha información de fuentes heterogéneas.

recon-ng: framework modular

recon-ng es un framework de reconocimiento web escrito en Python con una interfaz similar a Metasploit. Permite cargar módulos específicos para búsquedas DNS, enumeración de hosts, extracción de contactos, búsquedas en Shodan, consultas de dominios, etc., y almacena los resultados en una base de datos local. Es ideal para investigaciones donde se quiere un entorno estructurado y reproducible.

SpiderFoot: automatización total del reconocimiento

SpiderFoot es una herramienta de reconocimiento automatizado que consulta más de cien fuentes públicas a partir de un objetivo inicial (dominio, IP, correo, nombre, ASN) y cruza los resultados para generar un perfil completo. Dispone de interfaz web y permite exportar los hallazgos en varios formatos. Existe una versión de código abierto (SpiderFoot HX era la versión en nube, ahora la oferta ha cambiado) y se integra con Shodan, VirusTotal, HaveIBeenPwned y muchas otras APIs.

Sherlock y WhatsMyName: rastreo de nombres de usuario

Sherlock es una herramienta de línea de comandos escrita en Python que, dado un nombre de usuario, comprueba su existencia en más de 350 plataformas web y devuelve las URLs donde ese usuario tiene cuenta activa. WhatsMyName hace algo similar con una base de datos mantenida comunitariamente y una interfaz web. Son herramientas de SOCMINT directas: en segundos muestran en qué redes sociales, foros o plataformas está presente un alias.

exiftool: extracción de metadatos

ExifTool (de Phil Harvey) es la herramienta de referencia para leer y editar metadatos de casi cualquier tipo de archivo: imágenes JPEG/PNG/TIFF/HEIC, PDF, documentos Office, videos MP4, audios MP3 y muchos más. Un solo comando (exiftool archivo.jpg) devuelve coordenadas GPS, modelo de dispositivo, fecha y hora, software usado e incluso un historial de ediciones. En investigaciones OSINT y en forense digital es herramienta básica.

Wayback Machine: historial web

El Internet Archive Wayback Machine almacena capturas históricas de sitios web desde 1996. En investigaciones OSINT permite recuperar páginas eliminadas, versiones antiguas de términos y condiciones, ofertas de empleo pasadas (que revelan tecnologías internas), registros de transparencia eliminados o simplemente el contenido de un sitio web antes de ser modificado para ocultar algo.

OSINT en el pentesting: la fase de reconocimiento

En un pentest profesional, la metodología estándar distingue entre reconocimiento pasivo y reconocimiento activo. El pasivo (al que pertenece casi todo OSINT) no genera tráfico hacia el objetivo; el activo (escaneos Nmap, intentos de conexión) sí. Los frameworks de referencia como PTES (Penetration Testing Execution Standard) y el OWASP Testing Guide formalizan esta fase.

Un flujo típico de reconocimiento OSINT en pentesting incluye:

  1. Definir el alcance. El contrato delimita qué dominios, IPs y sistemas están en scope. OSINT se aplica dentro de ese perímetro.
  2. Enumeración de dominios y subdominios. crt.sh, theHarvester, DNSdumpster, Amass.
  3. Fingerprinting de infraestructura. Shodan, Censys, BuiltWith, Wappalyzer para identificar tecnologías.
  4. Recolección de correos y usuarios. theHarvester, Hunter.io, LinkedIn.
  5. Google dorking. Buscar documentos expuestos, paneles de administración, archivos de configuración.
  6. Análisis de metadatos. Descargar documentos públicos y pasarlos por exiftool o FOCA.
  7. Revisión del historial web. Wayback Machine para versiones antiguas.
  8. Cruce y correlación. Juntar todos los hallazgos, descartar falsos positivos, priorizar vectores interesantes.

Lo que el reconocimiento OSINT aporta al pentesting es contexto: sin él, el analista llega al objetivo a ciegas y pierde tiempo escaneando donde no hay nada. Con una buena fase OSINT, el pentest se vuelve mucho más certero y el informe final tiene más valor para el cliente.

Si te interesa profundizar en la certificación más reconocida en pentesting, consulta nuestra guía sobre recursos para preparar el OSCP, donde la fase de recon tiene un peso importante.

OSINT aplicado a la seguridad web

El reconocimiento OSINT es especialmente relevante antes de una auditoría de aplicaciones web. Conocer qué tecnologías usa una aplicación, qué versiones, qué CDN emplea, qué subdominios existen y si hay endpoints de API publicados en documentación pública (Swagger, Postman collections en GitHub) permite orientar las pruebas mucho antes de tocar el objetivo. Nuestra guía completa de hacking web cubre en detalle cómo esta información de reconocimiento alimenta las fases siguientes de un test de seguridad web.

OPSEC del investigador: no dejar rastro

OPSEC (Operational Security) es la disciplina de proteger la propia actividad de investigación. Un investigador OSINT que no cuida su OPSEC puede alertar al objetivo de que está siendo estudiado, o contaminar la investigación dejando huellas que invaliden los hallazgos.

Cuentas sock puppet

Una sock puppet es una cuenta falsa creada específicamente para investigar sin revelar la identidad real del investigador. Es una práctica común y legal cuando se usa para observación pasiva (no para engañar activamente a personas vulnerables ni para infringir los términos de servicio de forma que dañe a terceros). Una buena sock puppet tiene historial creíble, foto de perfil generada por IA (This Person Does Not Exist), datos coherentes y se crea desde una red y dispositivo distintos a los habituales.

Red y navegador limpio

Investigar desde la IP real puede revelar la identidad del investigador si el objetivo monitoriza sus logs. Las buenas prácticas incluyen:

  • Usar una VPN fiable o Tor según el nivel de anonimato necesario. Tor es más lento pero más anónimo; una VPN comercial es más rápida pero implica confiar en el proveedor.
  • Usar un navegador dedicado (o perfil de navegador) sin sesión iniciada en cuentas personales, sin extensiones que filtren datos, con cookies y caché limpiados.
  • En investigaciones sensibles, usar una máquina virtual dedicada (Tails OS, Whonix) que no comparta credenciales ni historial con la máquina principal.
  • Evitar buscar directamente el nombre del objetivo desde un motor de búsqueda logueado en cuenta personal: Google registra el historial de búsqueda.

No contactar al objetivo

Durante la fase OSINT de un pentest, el equipo no se pone en contacto con el objetivo ni hace peticiones activas a sus sistemas (eso ya es reconocimiento activo). En investigaciones de terceros, contactar al objetivo puede alertarle y destruir evidencias.

Documentar sin comprometer fuentes

Los hallazgos deben documentarse (capturas de pantalla con fecha, URLs, fuente) pero sin compartir en entornos inseguros información que pueda comprometer personas o revelar fuentes confidenciales.

Cómo practicar OSINT de forma ética

Practicar OSINT en personas reales sin su consentimiento es éticamente problemático. Afortunadamente, existen entornos diseñados específicamente para ello:

CTFs y retos OSINT

  • TraceLabs Search Party CTF. Competición organizada por TraceLabs en la que los participantes usan OSINT para buscar personas realmente desaparecidas, colaborando con autoridades. La información se envía a un panel de jueces que la pasan a las familias o cuerpos de seguridad. Es quizá el uso más impactante de OSINT colectivo a gran escala y tiene componente humanitario real. Más información en tracelabs.org.
  • Sourcing Games. Competiciones organizadas originalmente para profesionales de selección de personal (RRHH), ahora populares también en la comunidad OSINT. Piden encontrar personas con perfiles muy específicos usando solo fuentes públicas.
  • OSINTDojo. Plataforma con retos de OSINT progresivos, desde nivel básico hasta avanzado, con objetivos ficticios creados específicamente para practicar.
  • Plataformas de hacking como TryHackMe y Hack The Box incluyen salas y máquinas específicas de OSINT y reconocimiento. Nuestra recopilación de mejores plataformas para practicar hacking cubre estas y otras opciones.

Practicar con objetivos propios o ficticios

Otra opción es crear un perfil ficticio completo (con cuentas en varias plataformas, un dominio de prueba, documentos con metadatos plantados) y practicar investigando esa identidad creada ad hoc. Algunas organizaciones docentes crean estos entornos para sus alumnos.

Recursos esenciales de la comunidad OSINT

OSINT Framework

OSINT Framework (de Justin Nordine) es un árbol interactivo de herramientas y recursos organizados por categoría: personas, nombres de usuario, correos, dominios, IPs, imágenes, redes sociales, datos de empresas y mucho más. No es una herramienta en sí misma sino un mapa de todo el ecosistema. Es el punto de partida cuando no sabes qué herramienta usar para un tipo de dato concreto.

Bellingcat

Bellingcat es el colectivo de periodismo de investigación de referencia mundial en OSINT. Sus guías, tutoriales y casos reales (desde la identificación de los atacantes del MH17 hasta la documentación de crímenes de guerra en Siria) son lectura obligatoria para entender qué se puede hacer con fuentes abiertas cuando se aplica con rigor. Su sección de tutoriales es gratuita y cubre desde geolocalización hasta análisis de videos.

IntelTechniques de Michael Bazzell

IntelTechniques (Michael Bazzell) es quizá el recurso más completo para el OSINT orientado a personas: su libro Open Source Intelligence Techniques (actualizado anualmente) y su podcast The Privacy, Security, & OSINT Show son referencias en la comunidad. Bazzell fue asesor técnico de la serie Mr. Robot y tiene un enfoque muy práctico, con herramientas propias y flujos de trabajo detallados.

OSINT Curious Project

OSINT Curious produce webinars, podcasts y artículos en inglés sobre técnicas OSINT actualizadas, con un enfoque muy práctico y ético. Sus directos mensuales (#OSINT10x) son especialmente populares para ver técnicas aplicadas en tiempo real.

Formación y certificaciones en OSINT

El mercado de formación OSINT ha crecido significativamente en los últimos años. Estas son las opciones más reconocidas:

Certificación OSCP y reconocimiento en pentesting

Aunque el OSCP (OffSec Certified Professional) no es específicamente de OSINT, la fase de reconocimiento es una parte integral del examen. Los candidatos que dominan técnicas OSINT tienen ventaja en la fase de enumeración. Si tu objetivo es el pentesting profesional, el reconocimiento pasivo es uno de los pilares que hay que dominar antes del examen. Nuestra guía de recursos para el OSCP lo cubre en detalle.

GIAC GOSI: certificación especializada

El GOSI (GIAC Open Source Intelligence) es una de las pocas certificaciones dedicadas exclusivamente a OSINT, emitida por GIAC/SANS. Está orientada a profesionales que necesitan acreditar competencias en recopilación de inteligencia de fuentes abiertas en contextos legales y de seguridad. Al ser de GIAC, tiene el respaldo de la marca SANS y está bien considerada en el mercado de contratación anglosajón. Los aspirantes deben realizar el examen de 75 preguntas en 2 horas con un mínimo del 67% para aprobar (datos según la web oficial de GIAC; verificar actualizaciones en giac.org).

Cursos especializados

  • TCM Security: OSINT Fundamentals. Curso asequible de TCM Security (creadores del PNPT) orientado a principiantes, con cobertura de herramientas, sock puppets, Google dorking y casos prácticos.
  • Maltego: certificaciones propias. Maltego ofrece formación y certificaciones en el uso de su plataforma, con distintos niveles.
  • SANS FOR578: Cyber Threat Intelligence. Curso de SANS orientado a la inteligencia de amenazas, que incluye OSINT como componente clave. Es uno de los más completos pero también de los más caros.
  • TryHackMe y Hack The Box. Rutas de aprendizaje guiadas con componente OSINT, más baratas y accesibles para quien empieza. Nuestra comparativa de plataformas de hacking ayuda a elegir.

Si estás construyendo tu ruta de certificaciones y no sabes por dónde empezar, consulta nuestro mapa de certificaciones de seguridad para ver cómo encaja OSINT y las certificaciones relacionadas en el panorama general.

Herramientas OSINT: tabla de referencia rápida

Herramienta Categoría Qué hace Acceso
Shodan Infraestructura Busca dispositivos y servicios expuestos en internet Web + API (freemium)
Censys Infraestructura Escaneos de hosts e inventario de internet Web + API (freemium)
Maltego CE Grafos / relaciones Visualiza relaciones entre entidades de múltiples fuentes Gratuito (Community) / pago
theHarvester Correos / hosts Recopila correos, subdominios, IPs de múltiples fuentes Open source (Kali)
Sherlock SOCMINT Busca un nombre de usuario en +350 plataformas Open source (Python)
WhatsMyName SOCMINT Igual que Sherlock con base de datos comunitaria Web + open source
Wayback Machine Historial web Capturas históricas de páginas web Web (gratuito)
crt.sh Subdominios / SSL CT logs: todos los certificados SSL emitidos para un dominio Web (gratuito)
exiftool Metadatos Extrae metadatos de imágenes, PDFs, Office Open source (CLI)
recon-ng Framework Módulos de reconocimiento web con base de datos integrada Open source (Python/Kali)
SpiderFoot Automatización Reconocimiento automático contra +100 fuentes Open source + versión cloud
DNSdumpster DNS Enumera registros DNS y relaciones de dominio Web (gratuito)
OSINT Framework Directorio Mapa de herramientas por categoría Web (gratuito)

OSINT y la fase inicial del pentesting: flujo integrado

Para dar una visión concreta de cómo OSINT encaja en el trabajo diario de un analista de seguridad, veamos un flujo de reconocimiento pasivo típico:

  1. Punto de partida: el dominio principal. empresa-objetivo.com. Se usa crt.sh para obtener todos los subdominios con certificado emitido. Se cruza con theHarvester consultando Google, Bing y LinkedIn.
  2. Enumeración DNS. DNSdumpster y dig para obtener registros A, MX, TXT. El registro TXT revela: verificación de Google Workspace (usan Gmail corporativo), un registro Atlassian (usan Jira/Confluence) y un registro SendGrid (usan ese proveedor para email marketing).
  3. Fingerprinting con Shodan. Se buscan los rangos de IP del ASN de la empresa. Shodan muestra un servidor con OpenSSH 7.4 (versión de 2016, potencialmente sin parchear), un panel de administración de un router expuesto en un puerto no estándar, y un servidor de Jenkins.
  4. Correos y usuarios. theHarvester extrae 12 correos del dominio desde resultados de búsqueda y documentos indexados. El patrón es nombre.apellido@empresa-objetivo.com. LinkedIn confirma nombres de empleados en el departamento de IT.
  5. Google dorking. site:empresa-objetivo.com filetype:pdf devuelve un informe de auditoría interna publicado accidentalmente. Sus metadatos (exiftool) muestran el nombre de usuario del autor y la ruta de red.
  6. Wayback Machine. Versiones antiguas del portal de empleados revelan que usaban una VPN SSL de un fabricante concreto, actualmente con vulnerabilidades conocidas.
  7. Cruce y priorización. Con todo esto, el pentest puede arrancar apuntando directamente al Jenkins expuesto, al servidor con OpenSSH desactualizado y al portal de acceso remoto VPN. El reconocimiento OSINT ha transformado horas de escaneo ciego en vectores prioritarios.

Este flujo es el que se estudia y practica en cursos especializados de seguridad ofensiva. Si quieres ver cómo completar la ruta desde cero hasta pentest profesional, el artículo cómo empezar en ciberseguridad desde cero y la guía de mejores cursos gratuitos de ciberseguridad son un buen punto de partida.

OSINT en la defensa: threat intelligence y monitorización

OSINT no es solo para el atacante. Los equipos de defensa lo usan para:

  • Monitorizar su propia huella digital. Saber qué información sobre la organización es pública ayuda a reducir la superficie de exposición antes de que lo descubra un atacante. Ejecutar un reconocimiento OSINT sobre la propia empresa periódicamente es una buena práctica de seguridad proactiva.
  • Threat intelligence. Rastrear indicadores de compromiso (IoCs: IPs, dominios, hashes) en fuentes públicas como VirusTotal, Abuse.ch, URLhaus, AlienVault OTX, o foros underground monitorizados por empresas especializadas. Cuando se detecta que un dominio de phishing está usando el logo de la empresa, el equipo de defensa puede actuar antes de que llegue a los empleados.
  • Vigilancia de marca. Detectar dominios typosquatting, cuentas falsas en redes sociales o aplicaciones móviles fraudulentas que se hacen pasar por la organización.
  • Detección de credenciales filtradas. Servicios como HaveIBeenPwned o DeHashed permiten comprobar si correos corporativos o contraseñas hasheadas han aparecido en brechas de datos públicas.

Preguntas frecuentes sobre OSINT

¿Es legal hacer OSINT sobre una empresa sin su permiso?

Consultar información que ya es pública (WHOIS, registros DNS, resultados de Google, perfiles públicos de LinkedIn) es legal. Lo que no es legal es acceder a sistemas sin autorización, extraer datos protegidos o incumplir el RGPD al tratar datos personales de empleados sin base jurídica. En el contexto de un pentest, siempre debe existir un contrato firmado que autorice la investigación.

¿Qué diferencia hay entre OSINT y web scraping?

El scraping es una técnica técnica de extracción automatizada de datos de sitios web. Puede ser una herramienta OSINT pero no todo OSINT implica scraping. El scraping puede infringir los términos de servicio de una plataforma o leyes de propiedad intelectual según cómo y qué se raspe. OSINT es más amplio: abarca desde una búsqueda manual en Google hasta análisis de metadatos de imágenes.

¿Puedo aprender OSINT sin saber programar?

Sí. Muchas herramientas tienen interfaz web (Shodan, crt.sh, OSINT Framework, Wayback Machine, WhatsMyName). El nivel básico de OSINT es accesible sin código. Sin embargo, para usar herramientas como theHarvester, recon-ng, Sherlock o SpiderFoot es útil saber usar la línea de comandos y tener algo de Python. A nivel avanzado, saber programar permite crear scripts personalizados, automatizar búsquedas y procesar grandes volúmenes de datos.

¿En qué se diferencia OSINT de inteligencia privada o espionaje?

OSINT usa exclusivamente fuentes públicas sin acceso no autorizado. La inteligencia privada puede usar técnicas más invasivas (vigilancia física, fuentes humanas). El espionaje implica acceso no autorizado a información clasificada. La línea entre OSINT ético y vigilancia invasiva la marcan la fuente (pública vs privada), el método (pasivo vs activo) y la finalidad (seguridad/investigación vs acoso/control).

¿Cuánto tiempo lleva aprender OSINT?

Un nivel funcional para reconocimiento básico (dorking, Shodan, crt.sh, theHarvester) puede alcanzarse en pocas semanas de práctica dirigida. Dominar análisis geoespacial, SOCMINT avanzado o inteligencia de amenazas puede llevar meses o años. La práctica con CTFs OSINT es el camino más rápido para subir nivel de forma ética y medible.

¿Qué herramienta OSINT debo aprender primero?

Para alguien que empieza en ciberseguridad: domina primero Google dorking (sin instalar nada, aprende a formular búsquedas), luego crt.sh y DNSdumpster para entender el DNS, luego Shodan (crea una cuenta gratuita y empieza a buscar). Después theHarvester (viene en Kali Linux). Eso te da una base sólida para el reconocimiento pasivo antes de pasar a herramientas más complejas.

Dónde encaja OSINT en tu ruta profesional

OSINT es transversal: aparece en perfiles ofensivos (pentester, red team), defensivos (analista SOC, threat intelligence), legales (investigación forense, cumplimiento) y periodísticos. No es un nicho estrecho sino una habilidad base que amplifica cualquier especialidad de ciberseguridad.

Si estás definiendo tu ruta, el artículo cómo empezar en ciberseguridad desde cero da una visión panorámica de las especialidades. Para la vertiente ofensiva, donde OSINT tiene más peso, la sección de hacking web y los cursos gratuitos de ciberseguridad son recursos concretos con los que arrancar sin coste. Y si ya tienes claro que quieres certificarte, el mapa de certificaciones de seguridad te ayuda a ver qué credenciales reconoce el mercado y en qué orden tiene sentido ir a por ellas.

Las guías de nuestra sección de guías cubren en profundidad las disciplinas y herramientas más relevantes del sector para ayudarte a tomar decisiones informadas en tu carrera.

Reseñas relacionadas

Sigue tu camino

Cursos de ciberseguridad por especialización

Descubre los cursos que más se adaptan a tu perfil profesional.