Login Probar gratis
Herramientas OSINT: investigación de fuentes abiertas en ciberseguridad

Herramientas OSINT: investigación de fuentes abiertas en ciberseguridad

por MataSpam Herramientas de Seguridad

La inteligencia de fuentes abiertas (OSINT) consiste en recopilar información pública disponible en internet, registros oficiales y redes sociales para investigar personas, empresas o amenazas. Las herramientas OSINT como Maltego, Shodan o theHarvester han pasado de ser juguetes de periodistas de investigación a material de trabajo diario en equipos de ciberseguridad, fuerzas de seguridad y departamentos de compliance. El auge de la investigación OSINT tiene una razón práctica: aproximadamente el 80-90% de la información que necesitas sobre un objetivo ya está publicada en algún sitio, según estimaciones habituales en el sector. Solo hay que saber dónde mirar y cómo correlacionarla. Este artículo repasa qué herramientas merece la pena dominar, con qué limitaciones legales te vas a topar en España y cómo montar un flujo de trabajo decente sin acabar doxxeado tú mismo.

Qué es OSINT y por qué ha explotado en los últimos años

OSINT viene del inglés Open Source Intelligence. Traducción honesta: rebuscar en Google con método. La disciplina existe desde la Segunda Guerra Mundial, cuando los aliados analizaban prensa alemana para deducir movimientos de tropas. Lo que ha cambiado es el volumen de datos públicos disponibles.

Cada vez que alguien sube una foto a Instagram con geolocalización, registra un dominio, deja un perfil de LinkedIn a medio configurar o comenta en un foro de 2009, deja migas de pan. Las herramientas OSINT modernas automatizan la recolección y correlación de esas migas.

Los usos legítimos son variados: verificación de identidades en onboarding bancario, investigación de fraudes, threat intelligence, búsqueda de personas desaparecidas, periodismo de investigación (Bellingcat ha construido su reputación sobre esto) y análisis de superficie de ataque en pentesting. Los usos ilegítimos también existen, claro, y de ahí la importancia de conocer los límites del RGPD y la LOPDGDD antes de lanzarte a investigar al vecino.

Maltego: el rey de la visualización de conexiones

Maltego es probablemente la herramienta más reconocible del ecosistema. Su gracia está en los transforms: pequeños módulos que, a partir de una entidad (un email, un dominio, una persona), sacan datos relacionados y los dibujan en un grafo.

Metes un dominio y Maltego te devuelve subdominios, registros MX, direcciones IP asociadas, emails expuestos en filtraciones, perfiles sociales vinculados... todo conectado visualmente. Para un analista, pasar de una pantalla llena de texto a un grafo interactivo cambia la forma de entender un caso.

La versión Community Edition es gratuita pero limitada a 12 resultados por transform. La versión Pro parte de precios en torno a los 1.000-2.000 euros anuales según estimaciones de 2026, lo que la deja fuera del alcance del curioso ocasional. Alternativas libres: SpiderFoot (open source, muy potente) y Recon-ng (framework en línea de comandos estilo Metasploit).

Shodan: el Google de los dispositivos conectados

Mientras Google indexa páginas web, Shodan indexa dispositivos conectados a internet: servidores, cámaras IP, routers, sistemas SCADA industriales, neveras inteligentes mal configuradas. Busca por puerto, banner, país, organización o producto concreto.

Una consulta tipo product:"Apache" country:"ES" port:"80" te devuelve todos los servidores Apache expuestos en España por el puerto 80. Filtrar por versión vulnerable y tienes un mapa de objetivos potenciales. Los defensores lo usan al revés: buscar qué activos propios están expuestos sin saberlo.

Shodan destapa periódicamente escándalos: cámaras de vigilancia domésticas sin contraseña, paneles de control de plantas potabilizadoras accesibles desde internet, bases de datos MongoDB abiertas. Si gestionas infraestructura, te recomendamos cruzar los rangos IP de tu empresa con Shodan al menos una vez al trimestre. La sorpresa suele ser desagradable.

Alternativas: Censys (más orientada a certificados TLS y muy usada en investigación académica) y ZoomEye (origen chino, cobertura distinta).

El arsenal imprescindible para investigación OSINT

Más allá de Maltego y Shodan, hay un conjunto de herramientas que deberías tener a mano. Estas son las que usamos habitualmente en el equipo editorial:

  • theHarvester: recolecta emails, subdominios y nombres asociados a un dominio desde buscadores y fuentes públicas. Ideal para reconocimiento inicial.
  • Have I Been Pwned: verifica si un email ha aparecido en filtraciones conocidas. Útil tanto para autoauditoría como para contexto en investigaciones. Si nunca lo has mirado, monitorizar si tus datos aparecen en la dark web es un buen punto de partida.
  • Sherlock: busca un nombre de usuario en cientos de plataformas a la vez. Sorprende descubrir en cuántos foros de 2011 sigue activo tu alias de adolescente.
  • Google Dorks: operadores avanzados de Google (site:, filetype:, intitle:, inurl:) que permiten encontrar documentos expuestos, paneles de administración indexados y mucho más.
  • ExifTool: extrae metadatos de imágenes y documentos. Coordenadas GPS, modelo de cámara, nombre de usuario del sistema operativo que creó el archivo.
  • Wayback Machine: archivo histórico de páginas web. Lo que alguien borró hace dos años probablemente siga cacheado.
  • OSINT Framework: no es una herramienta sino un directorio web clasificado. Punto de partida obligatorio.

Cómo montar un flujo de trabajo OSINT serio

Juntar herramientas no es tener método. Un investigador OSINT decente trabaja con un proceso replicable y documentado. Estos son los pasos que funcionan:

  1. Definir el objetivo: qué quieres saber exactamente. "Investigar a X" es demasiado amplio. "Confirmar si X tiene relación con la empresa Y" es útil.
  2. Trabajar desde máquina virtual: una VM aislada con VPN y navegador limpio. No investigues desde tu Chrome con sesión de Gmail abierta. Bellingcat tiene guías públicas sobre setup.
  3. Recolección pasiva primero: nunca interactúes con el objetivo antes de agotar las fuentes pasivas. Un "me gusta" accidental puede arruinar una investigación.
  4. Correlación: cruza datos de múltiples fuentes. Un dato solo es un dato; tres datos consistentes son una pista.
  5. Documentación: captura todo con timestamps y hash. Las webs cambian, los perfiles se borran. Usa herramientas como Hunchly para grabar sesiones enteras.

Para equipos de seguridad corporativos, el flujo encaja bien con el mapeo de superficie de ataque y la automatización con IA de tareas repetitivas, que permite monitorizar menciones de la marca, fugas de credenciales y activos expuestos sin dedicar a una persona a tiempo completo.

Los límites legales: RGPD, LOPDGDD y sentido común

Aquí es donde muchos entusiastas se pegan la hostia. El hecho de que un dato sea técnicamente accesible no significa que puedas recolectarlo, almacenarlo o publicarlo libremente.

En España rigen el Reglamento General de Protección de Datos (Reglamento UE 2016/679) y la LOPDGDD (Ley Orgánica 3/2018). Lo relevante para OSINT:

ActividadPermitidaRequiere base legal
Consultar perfil público de LinkedInNo, si no almacenas
Scraping masivo de perfilesGeneralmente noSí, y suele no existir
Crear dossier sobre un particularNo sin consentimientoInterés legítimo muy acotado
Investigación periodísticaInterés público, con límites
Due diligence corporativaInterés legítimo documentado

La Agencia Española de Protección de Datos ha sancionado a empresas por crear bases de datos a partir de fuentes públicas sin base legal. Que esté en internet no equivale a ser de dominio público en sentido legal. Si trabajas en una consultora que hace investigación comercial, que te revise el delegado de protección de datos el procedimiento antes de empezar.

OSINT defensivo: úsalo contra ti mismo primero

La aplicación más inmediata y legal de OSINT es auditar tu propia exposición. Empresas y profesionales deberían ejecutar un ejercicio OSINT sobre sí mismos al menos una vez al año.

Qué buscar sobre tu propia organización: dominios y subdominios olvidados, servidores expuestos en Shodan, credenciales filtradas en brechas, perfiles de empleados con información sensible en LinkedIn (nombres de proyectos internos, tecnologías usadas), documentos con metadatos comprometedores subidos a la web corporativa, repositorios de GitHub con claves API hardcodeadas.

Esto último es un clásico. theHarvester cruzado con búsquedas en GitHub destapa regularmente tokens AWS, credenciales de bases de datos y claves privadas en repos públicos. La auditoría técnica de un sitio web debería incluir por defecto una revisión OSINT de exposición, igual que se revisan cabeceras de seguridad o configuración TLS.

Mientras tanto, a nivel personal, herramientas como Sherlock y Have I Been Pwned te dan una foto de tu huella digital. Combínalo con el uso de un gestor de contraseñas decente y la migración a un navegador con foco en privacidad y ya vas por delante del 95% de la población.

Preguntas frecuentes

¿Es legal usar herramientas OSINT en España?

Las herramientas en sí son legales. Lo regulado es el uso que hagas de los datos recolectados. Consultar fuentes públicas está permitido, pero almacenar datos personales, cruzarlos o publicarlos requiere una base legal conforme al RGPD. Para uso profesional, documenta siempre la finalidad y consulta con tu DPO.

¿Qué herramienta OSINT es mejor para empezar?

SpiderFoot es gratuita, open source y automatiza buena parte del trabajo que hacen otras herramientas de pago. Combínala con Have I Been Pwned, theHarvester y Google Dorks para cubrir el 80% de casos de uso. Maltego Community Edition vale para aprender el paradigma de grafos.

¿Puedo investigar a alguien con herramientas OSINT sin que se entere?

Técnicamente sí, si te limitas a fuentes pasivas. Legalmente, depende de tu base legal para tratar sus datos. Investigar a un particular por curiosidad personal no tiene amparo legal y puede constituir infracción del RGPD. Investigaciones legítimas (fraude, periodismo de interés público, due diligence) sí están cubiertas bajo ciertas condiciones.

¿Qué diferencia hay entre OSINT y SOCMINT?

SOCMINT (Social Media Intelligence) es una subdisciplina de OSINT centrada exclusivamente en redes sociales. OSINT es el paraguas general que incluye también registros oficiales, prensa, foros, dark web, datos técnicos de infraestructura y cualquier fuente abierta. SOCMINT aporta contexto humano; OSINT técnico aporta contexto de infraestructura.

¿Shodan es peligroso o una herramienta de seguridad?

Ambas cosas. Shodan es un buscador, como Google, y su peligrosidad depende de quién lo use. Los equipos defensivos lo usan para detectar activos propios expuestos antes que los atacantes. Los atacantes lo usan para encontrar objetivos vulnerables. La herramienta es neutral; la responsabilidad es del usuario.

El siguiente paso

Abre Have I Been Pwned ahora mismo, mete tu email principal y comprueba en cuántas brechas has aparecido. Si el resultado te incomoda, cambia las contraseñas de las cuentas afectadas y activa la autenticación en dos factores en cada servicio que lo permita. Ese ejercicio de cinco minutos es literalmente el punto de entrada al mundo OSINT aplicado a la defensa personal.

osint herramientas osint inteligencia fuentes abiertas investigación osint maltego shodan
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Metasploit Framework: introducción al pentesting automatizado
Herramientas de Seguridad

Metasploit Framework: introducción al pentesting automatizado

Wazuh: SIEM open source para monitorizar la seguridad de tu empresa
Herramientas de Seguridad

Wazuh: SIEM open source para monitorizar la seguridad de tu empresa

Herramientas OSINT: investigación de fuentes abiertas en ciberseguridad
Herramientas de Seguridad

Herramientas OSINT: investigación de fuentes abiertas en ciberseguridad

← Volver al blog