SHIELD

Identidad y cuentas

OSINT defensivo: lo que usted deja escapar

Usar las herramientas de la inteligencia ofensiva sobre uno mismo para anticipar lo que un adversario verá en 2 horas.

Publicado el 16 min de lectura Exposed

Última revisión:

Lupa sobre fondo de datos digitales

«No hay nada sobre mí en internet», me dice el cliente al abrir la reunión. Dos horas más tarde, en la pantalla del proyector, muestro su segunda residencia, el nombre de pila de sus dos hijos, su antiguo número de móvil de 2014 aún activo en una cuenta olvidada, y la foto de su despacho tomada desde su ventana —con las coordenadas GPS en los metadatos. No dijo una palabra durante treinta segundos. No es que mintiera. No sabía lo que no sabía.

Angle de lecture

La trampa habitual

La mayoría de la gente confunde dos cosas que no tienen nada que ver: «no aparece nada cuando tecleo mi nombre en Google» y «no hay nada localizable por alguien que sabe buscar». El primero es una vista filtrada, ordenada por un algoritmo concebido para la pertinencia comercial y la frescura, que le muestra lo que ha publicado intencionadamente y lo que ha generado engagement. El segundo es el trabajo de un investigador que parte de un dato inicial y tira del hilo hasta reconstituir un perfil. Estas dos actividades ni siquiera se parecen.

El discurso dominante sobre el tema cabe en dos consejos: «elimínese de Google» y «presente una solicitud de derecho al olvido». Ambos son ilusiones cómodas. La desindexación de GoogleInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. en la UE retira un resultado del índice europeo —la página fuente sigue existiendo, el archivo sigue existiendo, el buscador estadounidense la muestra igual, y el atacante que sabe buscar no pasa de todos modos por la primera página de Google. En cuanto al artículo 17 del RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018., tiene un alcance real pero limitado, sometido a excepciones amplias, y ninguna influencia sobre las bases de datos de fugas ni sobre los actores fuera de jurisdicción.

Existe una tercera ilusión, más perniciosa: «no tengo nada que ocultar, así que no tengo nada que temer». Confunde dos cuestiones distintas. La cuestión no es saber si su información es vergonzosa —casi nunca lo es. La cuestión es saber si su agregación le da a un adversario con qué dirigirse a usted. Su dirección, el nombre de sus hijos, su trayecto diario, el nombre de su banquero: ninguno de estos datos es secreto, y su combinación es precisamente lo que hace posible un ataque. El peligro no está en el secreto violado, está en el cruce de datos.

El OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. defensivo invierte por completo la lógica. En lugar de intentar borrar, usted hace por sí mismo lo que haría un adversario —antes que él, con sus herramientas, con su mentalidad. El objetivo no es «desaparecer»: es saber con precisión lo que un atacante competente verá de usted en dos horas, y transformar ese conocimiento en decisiones. No puede defender una superficie de ataque que nunca ha mirado. Y la buena noticia, que siempre sorprende a mis clientes: la mayor parte de esa superficie se reduce con gestos gratuitos y rápidos —cortar una geolocalización, cerrar tres cuentas muertas, limpiar unos metadatos. Lo costoso es la ignorancia, no la remediación.

El modelo de amenaza real: lo que un adversario reconstituye en dos horas

El OSINT no es una lista de búsquedas en Google. Es un método de grafo: se parte de un dato inicial —un nombre, una dirección de correo, un alias— y se exploran las aristas que conectan ese dato con otros. Cada dato nuevo se convierte en un nuevo punto de partida. El perfil se construye por acumulación y cruce, no por una consulta mágica.

He aquí el desarrollo típico de un ejercicio de reconocimientoInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. sobre una persona identificada, tal como lo practico en misión. Punto de partida: una dirección de correo profesional. Desde esa dirección, herramientas como Holehe prueban silenciosamente unos cientos de servicios en línea para identificar cuáles reconocen la dirección como una cuenta existente —sin alertar jamás al objetivo. Se descubren así cuentas olvidadas: un viejo foro, una plataforma de coche compartido, un servicio de almacenamiento, un sitio de citas. Cada una de estas cuentas suele llevar un alias. Segundo salto: del correo a los alias. Con Sherlock, se busca ese alias en varios cientos de plataformas simultáneamente. Un alias reutilizado desde hace quince años conecta la cuenta de GitHub profesional con la cuenta de gaming de adolescente, con el foro de aficionados a la aviación, con la cuenta de discusión sobre un problema de salud publicado anónimamente —salvo que el anonimato no se sostiene cuando el alias es el mismo por todas partes.

Tercer salto: de las cuentas a los contenidos. Las cuentas contienen fotos, comentarios, fechas, lugares. Es ahí donde entran en juego los metadatosDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién.. Una foto tomada con un smartphone incrusta por defecto datos EXIFMetadatos adjuntos a las imágenes: fecha, GPS, modelo del dispositivo, parámetros de captura.: coordenadas GPS precisas, marca de tiempo al segundo, modelo del dispositivo. Estos metadatos sobreviven a la subida en numerosas plataformas y en los adjuntos de correo. Una serie de fotos publicadas cartografía un domicilio, un lugar de trabajo, unos hábitos, un horario. Cuarto salto: las fugas. En paralelo, se pasa la dirección de correo por Have I Been PwnedServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas. y por las bases de fugasServicio que indexa datos procedentes de brechas públicas o semipúblicas. de pago (DeHashed, Intelligence X). Se encuentran antiguas contraseñas en claro, números de teléfono asociados, a veces una dirección postal. Una contraseña de 2014 reutilizada con una variación mínima se convierte en una llave.

Al final de la cadena —correo → cuentas → alias → fotos → coordenadas GPS → dirección → número de teléfono → entorno → empleador— el investigador dispone de un expediente que habría requerido un seguimiento físico hace veinte años. Todo ello en dos horas, desde un sillón, por unos cientos de euros de servicio. Y ese expediente no es un fin: es la materia prima de un ataque. La ingeniería socialManipulación humana para obtener información o acciones, eludiendo las defensas técnicas. seria no empieza por un exploit técnico, empieza por ese reconocimiento. El pretexto creíble —«Hola, soy un colega de Juan Carlos, me ha pedido que le llame directamente sobre el expediente de Sevilla»— se construye enteramente a partir de lo que el OSINT ha revelado.

Las fuentes que nadie piensa en incluir

Cuando listo con un cliente los lugares donde está expuesto, cita espontáneamente LinkedIn, Facebook, quizá Twitter. Olvida sistemáticamente las capas que hacen el verdadero trabajo de un investigador. Los registros públicos primero: en España, el Registro Mercantil hace consultables sus cargos sociales, las sociedades donde ha sido administrador, sus direcciones, a veces su remuneración si la sociedad cotizaba; el BORME (Boletín Oficial del Registro Mercantil) publica los anuncios legales, nombramientos y procedimientos concursales. Estos datos no son una fuga, son públicos por obligación legal, y el RGPD no tiene ninguna influencia sobre ellos. Para un directivo, cartografían una vida profesional completa en unos minutos.

Los archivos después. La Wayback MachineArchivo web de Internet Archive, que captura páginas desde 1996. captura páginas web desde 1996: su sitio personal alojado en un proveedor gratuito en 2009, su perfil de LinkedIn de 2013 cuando era consultor junior, el foro en el que publicaba bajo su nombre real a los veintidós años —todo sigue siendo consultable. archive.today permite a cualquiera congelar un snapshot permanente de una página, sin mecanismo oficial de retirada. Suprimir la página fuente no suprime el archivo.

El WHOIS histórico por último, un punto ciego clásico. Si alguna vez registró un nombre de dominio sin protección de confidencialidad, su nombre, su dirección, su correo y su teléfono quedaron inscritos en la base WHOIS pública. Activar la protección más tarde no suprime nada: servicios de historial como DomainTools o ViewDNS conservan los registros anteriores. He localizado la dirección personal de un directivo vía un dominio que había reservado para el blog de su esposa en 2011, y abandonado desde entonces.

El investigador no se limita a recopilar: cruza. Una dirección encontrada en un WHOIS de 2011 confirma una zona geográfica deducida de una foto geolocalizada de 2022. Un empleador listado en LinkedIn valida un correo profesional encontrado vía Holehe. Un alias de gaming conecta una cuenta «anónima» en un foro con la identidad civil. Cada cruce aumenta la confianza y reduce el ruido. Es la diferencia entre una lista de datos dispersos y un expediente explotable.

El buen enfoque: la auditoría OSINT como rutina, no como pánico

El cambio pragmático cabe en una frase: usted no se borra, se audita. El borrado total es imposible y perseguirlo agota recursos para un resultado mediocre. La auditoría, en cambio, es factible, repetible, y produce decisiones concretas. La buena postura no es «borrar todo», es «saber lo que está expuesto, y decidir para cada cosa qué hacer con ella».

En concreto, una auditoría defensiva sigue la misma lógica de grafo que el ataque, pero vuelta hacia uno mismo. Lista primero sus datos iniciales: nombres y variantes (nombre de nacimiento, apellido de casado, apodos profesionales), direcciones de correo actuales e históricas, alias actuales y antiguos, números de teléfono, nombres de dominio que ha registrado. Pasa luego cada dato por las herramientas: Holehe sobre los correos para encontrar las cuentas olvidadas, Sherlock sobre los alias para encontrar las plataformas, Have I Been Pwned sobre los correos para las fugas, ExifTool sobre sus propias fotos y documentos publicados para los metadatos. Cruza, anota, construye su propio grafo de exposición. Ninguna de estas herramientas está reservada a los profesionales: Holehe, Sherlock y ExifTool son de código abierto y gratuitas, Have I Been Pwned es público.

Viene después la decisión, que es la parte que de verdad cuenta. Para cada exposición identificada, usted elige entre cuatro opciones. Mutar: cambiar el dato subyacente —cerrar una cuenta y recrear una bajo una identidad compartimentada, rotar una dirección de correo. Retirar: suprimir el contenido, desactivar la cuenta, solicitar la desindexación cuando tiene sentido. Reducir: pasar un perfil a privado, retirar un número de teléfono de una página pública, desactivar la compartición de GPS de una aplicación. Aceptar: asumir una exposición inevitable (sus cargos sociales en el Registro Mercantil, por ejemplo) preparando la respuesta por si fuera explotada. La disciplina no está en la exhaustividad de la limpieza —está en la regularidad de la auditoría. Un directivo expuesto debería rehacer el ejercicio cada trimestre; un particular, una vez al año basta sobradamente.

Un matiz operativo a menudo ignorado: hágase auditar por un tercero, al menos una vez. Tiene un punto ciego sobre sí mismo. Sabe qué cuentas «ha querido» cerrar, no sabe cuáles existen realmente todavía. Un investigador externo, sin prejuicios, encontrará cosas que ha olvidado haber publicado. Es el mismo principio que un pentest: uno no se audita a sí mismo de verdad.

Una palabra sobre la legalidad y la higiene del ejercicio

Hacer OSINT sobre uno mismo no plantea ningún problema: son sus datos, sus cuentas, sus fuentes abiertas. La frontera se desplaza en cuanto el ejercicio recae sobre otra persona —sus directivos, por ejemplo. Una auditoría OSINT encargada por la organización sobre sus propios cuadros debe estar enmarcada por un mandato escrito, un perímetro definido, y el consentimiento informado de las personas afectadas. No se hurga en la exposición de un colaborador a sus espaldas; se le explica el objetivo defensivo, se recoge su acuerdo, y se le devuelve el expediente para que actúe. El prestador tercero trabaja únicamente con fuentes abiertas: sin acceso a cuentas, sin elusión de autenticación, sin compra de datos robados. La línea es clara entre consultar una fuga ya pública para medir su exposición, y adquirir datos ilegalmente —el primer enfoque es defensivo, el segundo es un delito.

En cuanto a la higiene, dos reflejos. Primero, registre su auditoría: lleve una hoja de seguimiento por exposición encontrada, con la decisión tomada (mutar, retirar, reducir, aceptar) y la fecha. Es ese documento el que transforma un ataque de pánico puntual en una rutina medible, y el que permite comparar de un trimestre a otro. Luego, lleve a cabo la auditoría desde un entorno limpio: un navegador dedicado, desconectado de sus cuentas, idealmente sobre un perfil separado, para no contaminar sus resultados con sus propias sesiones activas y para ver realmente lo que ve un tercero —y no lo que las plataformas le muestran porque saben que es usted.

Lo que esto implica en concreto

Angle de lecture

Para usted, como persona

Sus metadatos son su punto ciego más accesible y más rápido de corregir. Sus fotos de LinkedIn y Twitter contienen quizá coordenadas GPS. Sus documentos PDF y Word compartidos contienen quizá su nombre completo de autor y el historial de revisiones. Todo eso se arregla en unos minutos, sin presupuesto.

Sus tres prioridades, esta semana, por menos de 200 € (a menudo 0 €):

  1. Verifique sus metadatos EXIF, luego córtelos en origen. Instale ExifTool (gratuito, brew install exiftool en Mac, paquete libimage-exiftool-perl en Linux) y lance exiftool ~/Escritorio/mi-foto.jpg sobre sus diez últimas fotos publicadas: busque las líneas GPS Latitude y GPS Longitude. En el smartphone, corte luego la geolocalización de la cámara (iOS: Ajustes → Privacidad → Localización → Cámara → Nunca; Android: ajustes de la app Cámara, desactivar las etiquetas de ubicación). Coste: cero.

  2. Repase sus cuentas olvidadas y sus fugas. Pase sus direcciones de correo principal y secundarias por Have I Been Pwned. Para cada fuga que contenga una contraseña aún en uso: cámbiela inmediatamente, en todas partes. Luego lance Holehe sobre sus direcciones para redescubrir las cuentas que había olvidado, y cierre las que ya no sirven. Coste: cero.

  3. Audite sus aplicaciones que comparten una posición. Reloj deportivo, aplicación de running, de ciclismo, de marcha: verifique que el perfil no es público y que sus recorridos no parten de su puerta de entrada. Desactive la compartición pública, o defina una «zona de privacidad» alrededor de su domicilio en los ajustes de la app. Es la trampa que me permitió localizar a un directivo en una hora. Coste: cero.

Para usted, CISO / Dirección de TI / dirección

1. Encargue un ejercicio OSINT ofensivo sobre sus 3 a 5 directivos más expuestos. Un prestador tercero, mandatado por escrito, produce el expediente que produciría un atacante: exposición de correo, cuentas personales, metadatos, registros, entorno cartografiado, escenarios de pretexto plausibles. El entregable no es un informe de cumplimiento, es un mapa de ataque. Consecuencia directa: conoce su exposición real antes que su adversario, y prioriza las remediaciones sobre hechos, no sobre hipótesis. Es uno de los mejores ratios coste/inteligencia de todo su presupuesto de seguridad.

2. Integre la exposición externa de las personas clave en su modelo de amenazaInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos., no solo su perímetro técnico. Su EDR, su SIEM, su firewall no ven nada del reconocimiento que se desarrolla en LinkedIn, en las fugas y en los registros públicos. El eslabón de entrada de un ataque dirigido es casi siempre una persona, reconstituida por OSINT. Consecuencia directa: una auditoría de exposición anual sobre el comité de dirección y las funciones sensibles (jurídico, M&A, I+D, finanzas, asistencia de dirección) se vuelve tan estructurante como un pentest aplicativo, y alimenta directamente su programa de concienciación dirigida.

3. Trate los metadatos documentales como una fuga organizativa, no como un detalle individual. Sus equipos publican presupuestos, informes, respuestas a licitaciones, PDF en el sitio corporativo —a menudo con el nombre del autor, la ruta del archivo interno, y a veces revisiones recuperables. Consecuencia directa: una limpieza sistemática de los metadatos antes de la publicación externa (script de strip en la cadena de publicación, o control manual para los documentos sensibles) cierra un vector de reconocimiento que nadie vigila. Es una medida de coste casi nulo y de valor defensivo desproporcionado.

Errores que se ven constantemente

  • Buscar solo su nombre. El nombre es el dato inicial más pobre. Los alias, las direcciones de correo secundarias, los nombres de dominio, el nombre de la empresa son puntos de entrada mucho más productivos para un investigador —y por tanto para su auditoría.
  • Creer que suprimir una publicación borra la información. La Wayback MachineArchivo web de Internet Archive, que captura páginas desde 1996., archive.today, las cachés de los buscadores y las republicaciones por terceros conservan lo que ha retirado. Suprimir reduce la visibilidad, no borra.
  • Olvidar los metadatos de los documentos. Decenas de PDF profesionales publicados contienen el nombre del autor, la organización, y a veces versiones intermedias recuperables. Se descuida sistemáticamente, tanto por los particulares como por las organizaciones.
  • Subestimar los rastros de gaming y de deporte. Steam, Discord, Twitch, y sobre todo las plataformas de compartición de actividad deportiva: alias antiguos ligados a correos personales, recorridos GPS públicos, raramente verificados durante una auditoría de superficie.
  • Confundir «perfil discreto» y «perfil compartimentado». Publicar poco no protege si lo poco que publica conecta sus identidades entre sí. La protección viene de la separación de las identidades por usoEmpresa que recopila, agrega y revende datos personales a gran escala., no del silencio.
  • Hacer la auditoría una vez y considerar el tema cerrado. Su exposición está viva: nuevas cuentas, nuevas fugas, nuevas publicaciones. Una auditoría aislada caduca en unos meses.

Checklist accionable

  • N1 Listar sus datos iniciales: nombres y variantes, correos actuales e históricos, alias actuales y antiguos, números de teléfono, dominios
  • N1 Verificar sus direcciones de correo en Have I Been Pwned, y cambiar inmediatamente toda contraseña aún en uso que aparezca en una fuga
  • N1 Lanzar ExifTool sobre sus 10 últimas fotos publicadas y verificar los campos GPS Latitude / GPS Longitude
  • N2 Cortar la geolocalización en la aplicación de cámara del smartphone
  • N2 Verificar que las aplicaciones de deporte (reloj, running, bici) no comparten recorridos públicos que parten del domicilio
  • N2 Pasar Holehe sobre sus direcciones de correo para redescubrir y cerrar las cuentas olvidadas
  • N2 Pasar Sherlock sobre sus alias activos y antiguos, y limpiar las cuentas que conectan las identidades entre sí
  • N2 Verificar y limpiar los metadatos de los documentos PDF/Word publicados en sitios de terceros
  • N2 Retirar el número de teléfono de los perfiles públicos (LinkedIn, foros, firmas, anuncios)
  • N3 Establecer una alerta sobre su nombre y sus alias principales
  • N3 Para perfil expuesto: encargar un ejercicio OSINT ofensivo a un tercero y medir el tiempo de reconstitución
  • N3 Para organización: integrar la exposición externa del comité de dirección en el modelo de amenaza y en el cuadro de mando trimestral

Para profundizar

Las referencias estructurantes figuran en el frontmatter de este artículo. Para el método y el instrumental, el OSINT Framework cartografía las herramientas por tipo de dato, el Bellingcat Online Investigation Toolkit es la caja de herramientas de los investigadores de referencia, y la obra Open Source Intelligence Techniques de Michael Bazzell —exagente del FBI— sigue siendo el manual más completo, actualizado con regularidad. Para el instrumental defensivo inmediato: la documentación de ExifTool para los metadatos, las guías del INCIBE sobre huella digital para el contexto español, y Have I Been Pwned para el seguimiento de sus fugas.

Para el encuadre estratégico que da todo su sentido a esta auditoría, consulte Sus datos ya son públicos y La auditoría de exposición. Para transformar la exposición cartografiada en arquitectura defensiva, consulte Compartimentación de identidad. Y para comprender cómo estos datos alimentan un ataque concreto, SIM swapping y Directivo expuesto.

Fuentes y lecturas complementarias

Artículos relacionados