OSINT no implica acceder a sistemas ajenos. Toda la inteligencia se construye sobre fuentes que ya son públicas o que los propios titulares han hecho accesibles. Por eso es la primera fase obligada en pentesting y red team: aporta el mapa sin tocar nada, sin generar tráfico contra el objetivo y sin entrar en zona gris legal.
Qué es OSINT
OSINT (Open Source Intelligence) es la disciplina que recopila y analiza información disponible públicamente para construir inteligencia accionable. Sus fuentes son técnicas (DNS, certificados TLS, ASN, registros WHOIS, escaneos pasivos, repositorios públicos, paste sites) y no técnicas (registros mercantiles, prensa, redes sociales, foros, filtraciones publicadas). Es la primera fase de un ejercicio de red team, una pieza central de cualquier programa de inteligencia de amenazas y un insumo recurrente en investigación forense, prevención de fraude y reducción de superficie de ataque. Una práctica seria se apoya en metodologías documentadas (SANS, NATO OSINT Handbook, marcos públicos publicados por la comunidad) y técnicas reproducibles, no en colecciones de bookmarks personales.
Por qué importa
Para un responsable de seguridad, OSINT es el espejo en el que se ve la organización tal y como la ven los atacantes antes de lanzar nada. Por menos esfuerzo del que se imagina, una persona externa puede enumerar dominios olvidados, paneles de administración expuestos, repositorios de código con credenciales pegadas, empleados con perfil técnico que se anuncian en redes y filtraciones antiguas que siguen sirviendo para campañas de credential stuffing. Conocer ese mapa propio antes de que lo conozca el atacante es la única forma de reducirlo. Para programas regulados (NIS2, DORA, ISO 27001) OSINT aporta evidencia continua de la exposición real, y para campañas de phishing dirigido o ingeniería social es la munición principal del atacante. Cuanta menos información explotable haya pública, más caro es construir un lure creíble.
Puntos clave
Las cuatro categorías más rentables para empezar son superficie técnica externa (dominios, subdominios, certificados, ASN), exposición de código (GitHub, GitLab, paste sites), credenciales filtradas en brechas históricas y huella humana (LinkedIn, prensa, foros técnicos). Las cuatro juntas suelen dar el ochenta por ciento del valor del primer ciclo.
El OSINT serio se documenta. Cada hallazgo debe registrar fuente, fecha de consulta, evidencia (captura o copia) y enlace original. Sin esa trazabilidad la inteligencia no sirve ni para tomar decisiones internas ni para apoyar una denuncia, una investigación forense o una conversación con un proveedor.
Sesgo y obsolescencia son los dos enemigos. Una página parqueada hoy puede volver a estar en producción mañana; una identidad que aparece en un foro de 2018 puede no tener nada que ver con la persona actual. Hay que datar siempre los datos y, sobre objetivos sensibles, contrastar la fuente con al menos otra independiente.
Es una técnica útil para defensa, no solo para ofensiva. Un programa interno de OSINT continuo descubre subdominios olvidados, dashboards expuestos, repositorios filtrados y menciones de la marca en foros antes de que aparezca el atacante. Es lo que conecta OSINT con gestión de superficie de ataque y con threat intelligence.
La automatización aporta velocidad, pero el análisis es humano. Las plataformas técnicas (DNS pasivo, certificados, scanners) entregan datos en bruto; el valor aparece cuando un analista los cruza, descarta ruido y construye una narrativa. OSINT puramente automatizado produce informes inflados que nadie lee y decisiones inflables.
Ejemplo: OSINT como primera fase de un red team sobre una empresa con marca conocida
Una empresa con marca pública y exposición a internet contrata un ejercicio de red team con el alcance de probar la cadena completa de acceso desde el exterior hasta un activo crítico. La primera semana se dedica entera a OSINT. El equipo enumera todos los dominios y subdominios visibles desde fuentes pasivas, los cruza con certificados emitidos en los últimos cinco años (Certificate Transparency) y descubre tres entornos de preproducción olvidados con paneles de administración abiertos. En GitHub aparecen dos repositorios personales de antiguos empleados con tokens de servicio que siguen siendo válidos.
En paralelo se mapea la huella humana del comité directivo, se identifican intereses profesionales públicos y un patrón de viajes que da pistas sobre la disponibilidad. Una búsqueda en colecciones públicas de credenciales filtradas encuentra contraseñas reutilizadas en servicios externos por dos cuentas internas. Con ese material, sin haber tocado todavía ningún sistema de la empresa, el red team prepara un lure de phishing dirigido creíble, una hipótesis de acceso por preproducción y una alternativa por las credenciales filtradas. El informe final entrega tres rutas viables, todas construidas sobre datos públicos, y el plan de remediación se centra en cerrar precisamente lo que el atacante real habría encontrado primero.
Errores habituales
- Confundir OSINT con búsqueda en Google. La fase técnica (DNS pasivo, certificados, escaneo de repositorios) requiere herramientas específicas y conocimiento operativo. Sin esa parte, el informe queda incompleto y describe solo lo más superficial de la huella.
- No documentar fuente y fecha de cada hallazgo. Una pieza de inteligencia sin trazabilidad no resiste una segunda lectura ni soporta decisiones internas. La disciplina de citar y datar es lo que separa OSINT profesional de una colección de capturas.
- Quedarse en el primer dato sin contrastar. Una identidad que aparece en un foro o una contraseña en una colección de filtraciones puede ser irrelevante o caducada. En objetivos sensibles, cada hallazgo crítico necesita al menos una segunda fuente independiente.
- Tratar OSINT como un ejercicio puntual. La exposición cambia cada semana: aparecen subdominios nuevos, certificados emitidos por terceros y filtraciones publicadas. Un programa serio ejecuta OSINT con cadencia y lo integra en la gestión de superficie de ataque, no como una foto anual.
- Cruzar la línea legal sin darse cuenta. Acceder a un panel olvidado con credenciales por defecto, descargar un repositorio privado mal configurado o consultar bases de datos de filtraciones de pago según jurisdicción puede ser ilegal. OSINT serio para por revisión jurídica del alcance.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Es legal hacer OSINT sobre una empresa o persona?
En términos generales, sí, porque trabaja sobre fuentes públicas. Pero el límite está en cómo se accede y qué se hace con los datos. Acceder a un panel olvidado con credenciales por defecto deja de ser OSINT y entra en intrusión; descargar un repositorio privado mal configurado puede ser ilegal según jurisdicción. Un programa serio define el alcance con asesoría jurídica.
¿En qué se diferencia OSINT de threat intelligence?
OSINT es una técnica de recopilación; threat intelligence es la disciplina que convierte esos datos (y otros) en inteligencia accionable sobre actores, campañas y amenazas. OSINT alimenta a CTI, pero no es lo mismo: CTI incluye análisis, hipótesis, priorización y entrega a clientes internos como SOC, CISO o respuesta a incidentes.
¿Qué fuentes son las más rentables para empezar?
Cuatro categorías. Superficie técnica externa (dominios, subdominios, certificados, ASN). Exposición de código (GitHub, GitLab, paste sites). Credenciales filtradas en brechas históricas. Y huella humana en redes profesionales y prensa. Cubrir estas cuatro suele entregar el grueso del valor en el primer ciclo.
¿OSINT sirve solo para ataque o también para defensa?
Sirve y mucho para defensa. Un programa interno de OSINT continuo descubre subdominios olvidados, dashboards expuestos, repositorios filtrados y menciones de la marca antes de que el atacante los use. Es la base de la gestión de superficie de ataque y un alimentador natural del CTI defensivo.
¿Hace falta herramientas de pago?
No para empezar. Hay un ecosistema amplio de herramientas abiertas que cubre la mayoría de los casos. Las plataformas de pago aportan velocidad, escala y datos históricos que aceleran trabajos grandes, pero un primer ciclo bien hecho con herramientas gratuitas ya entrega resultados accionables.