En 15 minutos encontré todo sobre ti. Sin hackear nada.
Tu nombre completo. Tu dirección. Tu número de teléfono. El nombre de tu esposa. La escuela de tus hijos. Tu RFC. Tu correo electrónico personal — no el de la empresa, el personal. El nombre de tu perro. Tu historial de empleo de los últimos 10 años. Las fotos de tu casa que subiste a Facebook en 2017 y que olvidaste que existían. La ubicación exacta de tu oficina, incluyendo el piso y el número de suite, porque el PDF que tu contador subió al SAT tenía metadatos con la geolocalización del dispositivo desde donde fue creado.
No hackeé tu computadora. No hackeé tu teléfono. No hackeé tu correo. No hackeé tus redes sociales. No exploté ninguna vulnerabilidad. No usé ninguna herramienta ilegal. No accedí a ningún sistema protegido. No violé ninguna ley.
Use Google. Use cachés. Use registros públicos. Use metadatos. Use correlación. Use paciencia. Y use la cantidad absurda de información que tú — y las instituciones que tienen tus datos — dejaron accesible al mundo sin darse cuenta.
Eso se llama OSINT. Open Source Intelligence. Inteligencia de Fuentes Abiertas. Y es la disciplina más poderosa y más subestimada del mundo de la ciberseguridad.
Empresario que me lee: lo que sigue debería hacerte reconsiderar cada pieza de información que tu empresa ha publicado, compartido, subido o generado. Porque un atacante no necesita hackear tu red para saber todo sobre tu empresa. Solo necesita saber buscar.
Qué es OSINT y por qué debería importarte
OSINT es la recopilación y análisis de información obtenida de fuentes públicamente disponibles. Fuentes que cualquier persona puede acceder sin necesidad de autorización, sin necesidad de credenciales, sin necesidad de herramientas de hacking, sin violar ninguna ley.
El concepto no es nuevo. Las agencias de inteligencia militar lo usan desde hace décadas — la CIA, el MI6, el Mossad. Antes de internet, OSINT significaba leer periódicos, escuchar radio, monitorear televisiones, analizar documentos públicos. Era tedioso, lento y requería equipos dedicados.
Internet lo cambió todo. Hoy, la cantidad de información disponible de forma pública es tan vasta, tan accesible y tan fácil de correlacionar que un solo investigador con una laptop puede obtener en horas lo que a un equipo de inteligencia le tomaba semanas.
Y aquí está el punto que necesito que entiendas: OSINT no es hacking. No es ilegal. No es intrusión. No es espionaje. Es búsqueda, recopilación y análisis de información que está disponible para el público. Si la información está en un sitio web público, en un registro gubernamental abierto, en un perfil de red social sin restricciones de privacidad, en un documento indexado por Google, en un caché archivado — es pública. Y si es pública, cualquiera puede encontrarla.
El problema no es que exista el OSINT. El problema es que tú — como persona, como empresa, como organización — dejaste disponible información que no debería estar disponible. Y no lo sabes.
Los pilares del OSINT: cómo se construye un perfil completo sin hackear
Voy a explicar las técnicas fundamentales del OSINT, no como tutorial para atacantes — las herramientas son públicas y la información está disponible en cualquier curso de seguridad — sino para que entiendas cómo opera alguien que quiere saber todo sobre ti y qué es lo que necesitas proteger.
Pilar 1: Metadatos de documentos
Cada documento digital que generas — cada PDF, cada Word, cada Excel, cada imagen, cada presentación — contiene metadatos. Información sobre el archivo que no se ve en el contenido pero que está incrustada en la estructura del documento.
Un PDF creado en Word guarda el nombre del autor. El nombre de usuario del sistema operativo. La versión del software. La fecha de creación. La fecha de última modificación. Si fue creado en una computadora llamada «LAPTOP-JOCSAN-DURIVA,» eso está en los metadatos. Si fue modificado por un usuario llamado «admin-contabilidad,» eso está en los metadatos.
Una foto tomada con un smartphone contiene datos EXIF. El modelo del teléfono. La versión del sistema operativo. La fecha y hora exacta de la toma. Y, si el GPS estaba habilitado — que es la configuración por defecto en la mayoría de los teléfonos — las coordenadas exactas de dónde fue tomada. Latitud, longitud, altitud. Con precisión de metros.
Hemos visto en investigaciones de Duriva documentos oficiales de empresas — propuestas comerciales, contratos, estados financieros — cuyos metadatos revelaban la estructura interna de la organización. Nombres de usuarios. Nombres de servidores. Versiones de software. Rutas de archivos. Un solo PDF puede revelar que la empresa usa Windows Server 2012 (sin soporte desde octubre de 2023), que el documento fue creado por un usuario con permisos de administrador (mala práctica), que el servidor de archivos se llama «SRV-CONTABILIDAD-01» (información útil para un atacante que ya está dentro de la red) y que la última modificación fue hace 18 meses (lo que sugiere que los procesos de revisión documental no funcionan).
Todo eso sin abrir el documento. Solo leyendo sus metadatos. Con una herramienta como ExifTool, que es gratuita y se ejecuta desde la línea de comandos en dos segundos.
Y esos documentos están publicados. En la página web de la empresa. En portales de licitaciones. En sitios de transparencia gubernamental. En repositorios de documentos públicos. Cada uno con sus metadatos intactos, esperando a que alguien los lea.
Pilar 2: Registros de dominio y DNS
Cuando una empresa registra un dominio de internet — empresa.com.mx, por ejemplo –, la información del registrante se almacena en una base de datos llamada WHOIS. Tradicionalmente, el WHOIS contenía el nombre del registrante, su dirección, su teléfono y su correo electrónico. Todo público. Todo accesible.
Hoy, muchos registradores ofrecen servicios de privacidad WHOIS que ocultan los datos del registrante. Pero hay una cantidad enorme de dominios registrados antes de que esos servicios fueran comunes, o registrados sin activar la opción de privacidad. Y la información histórica del WHOIS está archivada en servicios como DomainTools, que almacenan snapshots históricos.
Un investigador OSINT puede buscar un dominio y encontrar que fue registrado hace 10 años por «Juan Pérez, Calle Reforma 123, Ciudad de México, RFC PEJUXXXXXX, correo juan.perez@gmail.com.» Esa información era pública cuando se registró el dominio. Y aunque hoy el WHOIS esté protegido, la versión histórica sigue disponible en los archivos.
Pero WHOIS es solo el principio. Los registros DNS — los registros que traducen nombres de dominio a direcciones IP — revelan la infraestructura de la empresa. Qué servidores de correo usa. Qué proveedor de hosting tiene. Si usa CDN. Si tiene subdominios internos mal configurados que no deberían ser públicos.
He visto subdominios como «vpn.empresa.com.mx», «dev.empresa.com.mx», «staging.empresa.com.mx», «old-erp.empresa.com.mx» en los registros DNS de empresas que no sabían que esos subdominios eran visibles. Cada subdominio es información para un atacante. «vpn.empresa.com.mx» le dice que la empresa usa VPN y le da un objetivo de ataque. «dev.empresa.com.mx» le dice dónde está el servidor de desarrollo — que probablemente tiene menos seguridad que producción. «old-erp.empresa.com.mx» le dice que hay un sistema legacy que posiblemente está desactualizado y vulnerable.
Pilar 3: Cachés y archivos web
Internet tiene memoria. Una memoria mucho más larga de lo que la mayoría de la gente imagina.
Google Cache almacena copias de las páginas web que indexa. Si una empresa publicó algo en su sitio web y después lo borró, la versión cacheada puede seguir disponible durante semanas o meses en el caché de Google.
Wayback Machine — el proyecto de Internet Archive — almacena copias históricas de sitios web desde 1996. Si una empresa tuvo una página web en 2005 donde publicaba el directorio completo de empleados con nombres, cargos, teléfonos y correos electrónicos, esa página probablemente está archivada en Wayback Machine. Aunque la empresa la haya borrado hace 15 años.
Hemos encontrado en investigaciones para clientes de Duriva versiones antiguas de páginas web que contenían directorios de personal completos, organigramas, documentos internos indexados por error, portales de intranet accesibles desde internet que habían sido «eliminados» pero que seguían en el caché, y hasta credenciales de prueba publicadas en páginas de soporte técnico que los desarrolladores habían olvidado remover.
La frase «lo borré de internet» es, en la práctica, una ilusión. Si estuvo en internet el tiempo suficiente para que un crawler lo capturara, probablemente sigue en internet. En algún archivo. En algún caché. En algún snapshot. Esperando a que alguien con la paciencia de buscarlo lo encuentre.
Pilar 4: Redes sociales y perfiles públicos
Las redes sociales son la mina de oro del OSINT. No porque sean vulnerables técnicamente, sino porque las personas publican voluntariamente información que debería ser privada.
LinkedIn es un caso particularmente rico para el investigador OSINT. Los perfiles de los empleados de una empresa revelan la estructura organizacional, las tecnologías que usan (por las certificaciones y habilidades listadas), los proyectos en los que trabajan, los proveedores con los que se relacionan (por los endorsements y conexiones) y el historial de rotación de personal. Un investigador puede mapear el departamento de TI de una empresa solo analizando los perfiles de LinkedIn de sus empleados. Sabe que usan Cisco porque el ingeniero de red tiene certificación CCNP. Sabe que usan SAP porque el funcional tiene experiencia en SAP HANA. Sabe que migraron a la nube de AWS porque el arquitecto lo menciona en su descripción.
Facebook e Instagram revelan información personal que las personas comparten sin pensar en las implicaciones: fotos del interior de la oficina que muestran las pantallas de las computadoras, fotos de credenciales de acceso colgadas del cuello, fotos del gafete de la empresa que incluyen el número de empleado, fotos en la fiesta de fin de año que revelan quiénes son los ejecutivos y cómo se relacionan socialmente.
He visto casos donde un ejecutivo publicó una foto celebrando un logro y en el fondo se veía la pantalla de su computadora con un correo abierto que incluía información confidencial. La foto fue pública durante semanas antes de que alguien se diera cuenta.
Pilar 5: Bases de datos públicas y registros gubernamentales
En México, la cantidad de información disponible en registros públicos es extraordinaria.
El Registro Público de la Propiedad te dice qué inmuebles tiene una persona y cuándo los adquirió. El SAT publica la lista de contribuyentes con operaciones presuntamente inexistentes (EFOS y EDOS) — con nombres, RFC y domicilio fiscal. El IMPI publica los registros de marcas y patentes con los datos del solicitante. El IMSS, a través de ciertos procesos, puede revelar el historial laboral de una persona. El Sistema de Información Empresarial Mexicano (SIEM) contiene datos de empresas registradas. El portal de CompraNet publica las licitaciones públicas con datos de los participantes.
Y cuando cruzas esa información — cuando correlacionas el domicilio del Registro Público con el RFC del SAT, con el empleo del IMSS, con las licitaciones de CompraNet, con el perfil de LinkedIn, con los metadatos de los documentos que la empresa publicó en su página web — el perfil que se construye es completo. Devastadoramente completo.
No hackeaste nada. Solo buscaste en fuentes públicas y conectaste los puntos.
Pilar 6: Correlación de filtraciones de datos
Este pilar camina sobre una línea ética delgada, pero es necesario mencionarlo porque los atacantes lo usan sin ningún escrúpulo.
En los últimos 15 años, ha habido filtraciones masivas de datos de servicios de internet: LinkedIn (2012 y 2021), Facebook (2019), Adobe (2013), Yahoo (2013 y 2014), y cientos más. Esas filtraciones están disponibles en la dark web, en foros de hacking y, en muchos casos, indexadas en servicios que permiten buscar si un correo electrónico aparece en alguna filtración.
Un investigador OSINT puede tomar un correo electrónico — obtenido de fuentes públicas, no hackeado — y verificar si aparece en alguna filtración conocida. Si aparece, puede saber qué contraseña usaba esa persona en ese servicio. Y si esa persona reutiliza contraseñas — como hace la mayoría de la gente –, esa contraseña puede funcionar en otros servicios.
Servicio como Have I Been Pwned, creado por el investigador de seguridad Troy Hunt, permite verificar de forma ética si un correo electrónico aparece en filtraciones conocidas. Pero los atacantes no usan Have I Been Pwned. Usan las bases de datos completas, con contraseñas incluidas, que circulan en foros underground.
No estoy sugiriendo que se use esta técnica de forma ilegal. Estoy documentando que existe, que se usa y que la única defensa es tener contraseñas únicas para cada servicio y cambiarlas regularmente. Si tu contraseña del LinkedIn de 2012 es la misma que tu contraseña del correo corporativo de 2026, tienes un problema que no se resuelve con firewalls.
OSINT en la práctica: la investigación que el CEO no vio venir
Voy a contar un caso tipo — basado en investigaciones reales de Duriva, con datos modificados — que ilustra cómo se usa OSINT en un contexto corporativo.
Una empresa contrató a Duriva para hacer una evaluación de exposición de información. No un pentesting clásico. No querían que atacáramos su red. Querían saber qué podía encontrar un atacante sobre ellos sin tocar sus sistemas. Solo con fuentes públicas.
Empezamos por el dominio de la empresa. WHOIS histórico: encontramos el nombre del fundador, su correo personal de Gmail y su dirección fiscal de hace 8 años. El dominio había sido registrado originalmente sin privacidad WHOIS.
Registros DNS: encontramos 27 subdominios. Tres de ellos apuntaban a servicios internos que no deberían ser públicos — un portal de administración de recursos humanos, un sistema de ticketing interno y un servidor de desarrollo que tenía una aplicación en pruebas con datos reales de clientes.
Metadatos de documentos: descargamos 43 documentos PDF que la empresa tenía publicados en su sitio web — propuestas comerciales, casos de éxito, informes anuales. Los metadatos revelaron 12 nombres de usuario únicos, 3 versiones diferentes de Windows (incluyendo una que ya no tenía soporte), la estructura de carpetas del servidor de archivos y el nombre del controlador de dominio de Active Directory.
LinkedIn: mapeamos 87 empleados. Identificamos al CISO, al director de TI, a los 4 administradores de sistemas y al equipo de desarrollo. Supimos que usaban Azure para cloud, Fortinet para firewall, CrowdStrike para endpoint, ServiceNow para ticketing y SAP para ERP. Todo por las habilidades y certificaciones listadas en los perfiles de los empleados.
Redes sociales del CEO: encontramos su cuenta de Instagram. Privada. Pero su esposa tenía cuenta pública. En las fotos de la esposa encontramos fotos del interior de la casa, fotos en el estacionamiento que mostraban las placas del auto, fotos en un restaurante que geolocalizamos por los metadatos EXIF que revelaban las coordenadas exactas.
Google Dorks: búsquedas avanzadas de Google nos revelaron documentos indexados que la empresa no sabía que eran públicos. Un directorio de archivos en su servidor web que no tenía protección de listado. Dentro de ese directorio había respaldos de bases de datos en archivos .sql que contenían tablas de usuarios con contraseñas hasheadas.
Filtraciones conocidas: verificamos los correos de los ejecutivos en Have I Been Pwned. Tres de ellos aparecían en filtraciones conocidas. Uno de esos correos había sido filtrado junto con una contraseña que era una variación del nombre de la empresa.
El reporte que le entregamos al CEO tenía 60 páginas. No habíamos tocado un solo sistema de su empresa. No habíamos enviado un solo paquete a su red. No habíamos vulnerado nada. Solo habíamos buscado en fuentes públicas.
El CEO leyó el reporte en silencio durante 40 minutos. Cuando terminó, dijo: «No tenía idea de que todo esto estaba disponible.»
Ese es el problema. Nunca tienen idea.
OPSEC: la disciplina que necesitas y que no practicas
OPSEC — Operations Security, seguridad operacional — es la disciplina de proteger la información que, en manos de un adversario, podría ser utilizada en tu contra. Es lo opuesto del OSINT: si el OSINT es el arte de encontrar información, el OPSEC es el arte de no dejar información disponible para que la encuentren.
OPSEC no es paranoia. Es higiene informativa. Así como te lavas las manos antes de comer sin considerarlo un acto de paranoia médica, practicar OPSEC debería ser un hábito automático para cualquier persona que use internet — y absolutamente obligatorio para cualquier ejecutivo, empresario o profesional cuya información personal pueda ser utilizada como vector de ataque contra su empresa.
Principios básicos de OPSEC que deberían ser hábito:
Limpia los metadatos de cada documento que publiques. Antes de subir un PDF a tu página web, limpia los metadatos. En Adobe Acrobat: Archivo > Propiedades > Descripción > borra todo. Mejor aún: usa herramientas específicas de limpieza de metadatos como MAT2 o ExifTool para asegurarte de que no queda nada. Hazlo política de empresa. Ningún documento sale sin limpieza de metadatos.
Activa la privacidad WHOIS en todos tus dominios. Si tienes dominios registrados sin privacidad WHOIS, actívala ahora. Si tu registrador no ofrece privacidad WHOIS, cambia de registrador. Y ten en cuenta que la información histórica ya está archivada — la privacidad WHOIS protege de aquí en adelante, no hacia atrás.
Revisa tus registros DNS. Haz un inventario de todos los subdominios asociados a tus dominios. Elimina los que no se usen. Asegúrate de que los que se usen no apunten a servicios internos que no deban ser públicos. Usa herramientas como Sublist3r o Amass para ver tus subdominios como los ve un investigador OSINT.
Controla lo que tus empleados publican en redes sociales sobre la empresa. No digo que censures a tus empleados. Digo que los capacites. Que entiendan que publicar una foto de su escritorio puede revelar información en la pantalla de la computadora. Que publicar «Emocionado por nuestra migración a AWS» le dice a un atacante qué infraestructura usar como objetivo. Que listar las tecnologías específicas que manejan en LinkedIn le da al atacante un mapa de tu stack tecnológico.
Usa correos diferentes para propósitos diferentes. Un correo para servicios personales. Otro para servicios corporativos. Otro para registros de dominio. Otro para cuentas de prueba. La correlación de identidades funciona porque una sola dirección de correo conecta todos los puntos. Si usas correos diferentes, el investigador no puede cruzar la información.
Busca tu propia información regularmente. Haz OSINT sobre ti mismo. Googlea tu nombre. Googlea tu RFC. Busca tus correos en Have I Been Pwned. Busca tus dominios en herramientas de reconocimiento. Ve lo que el mundo puede ver sobre ti. Y después cierra lo que puedas cerrar.
OSINT como herramienta de defensa, no solo de ataque
OSINT no es solo una herramienta ofensiva. Es una herramienta de defensa extraordinariamente poderosa.
Las empresas más maduras en ciberseguridad hacen OSINT sobre sí mismas de forma continua. Monitorean qué información está disponible públicamente sobre su organización. Detectan filtraciones de credenciales en bases de datos comprometidas. Identifican subdominios olvidados que siguen activos. Encuentran documentos con metadatos sensibles publicados en su propio sitio web. Descubren perfiles falsos en redes sociales que suplantan a ejecutivos de la empresa para phishing dirigido.
En Duriva, la evaluación de exposición OSINT es una de las primeras cosas que hacemos cuando un cliente nos contrata para una evaluación integral de seguridad. Antes de tocar la red, antes de ejecutar un escaneo de vulnerabilidades, antes de hacer pentesting, hacemos OSINT. Porque lo que encontramos en fuentes públicas nos dice más sobre la postura de seguridad de la empresa que cualquier escaneo automatizado.
Si una empresa tiene documentos con metadatos sin limpiar publicados en su web, eso nos dice que no tiene un proceso de publicación controlada. Si tiene subdominios de desarrollo accesibles, eso nos dice que no tiene un proceso de gestión de activos de internet. Si sus ejecutivos aparecen en filtraciones de datos con contraseñas reutilizadas, eso nos dice que no tiene un programa de concientización de seguridad efectivo. Si su CEO tiene un Instagram público con fotos que revelan su rutina diaria, eso nos dice que la empresa no ha evaluado el riesgo ejecutivo.
Todo eso sin tocar un solo sistema. Todo eso sin ejecutar un solo exploit. Todo eso con información que está ahí, disponible, esperando a que alguien la busque.
El OSINT que los abogados no saben que existe
Abogado litigante que me lee: el OSINT es una herramienta que debería estar en tu arsenal y que probablemente no conoces.
En un litigio comercial, el OSINT puede revelar activos no declarados del demandado. Propiedades registradas a nombre de sociedades que se descubren a través de registros públicos cruzados. Vehículos asociados a domicilios que se encuentran en imágenes de Google Street View. Negocios no declarados que aparecen en directorios comerciales. Relaciones corporativas que se descubren a través de registros del Registro Público de Comercio.
En una investigación de fraude, el OSINT puede revelar la verdadera identidad detrás de una empresa fachada. Dominios web registrados con datos reales antes de que existiera la privacidad WHOIS. Perfiles de redes sociales que conectan a personas que dicen no conocerse. Fotos geolocalizadas que colocan a una persona en un lugar donde dice no haber estado.
En una investigación laboral, el OSINT puede demostrar que un exempleado que firmó un acuerdo de no competencia está trabajando con la competencia — su perfil de LinkedIn lo dice, literalmente.
La información está ahí. La diferencia entre un abogado que la usa y uno que no es la diferencia entre ganar y perder el caso.
Lo que necesita saber cada persona que lee esto
CEO: tu información personal es un vector de ataque contra tu empresa. No es vanidad protegerla — es seguridad corporativa. Haz una evaluación OSINT sobre ti y sobre tu equipo directivo. Ve lo que un atacante puede ver. Y después actúa.
CISO: incorpora OSINT a tu programa de seguridad. No como un ejercicio único, sino como un monitoreo continuo de la exposición digital de tu organización. Servicios como SpiderFoot, Maltego, Recon-ng y theHarvester pueden automatizar gran parte del proceso. Y los hallazgos van a sorprenderte.
Director de marketing: cada pieza de contenido que publicas — cada PDF, cada imagen, cada video, cada caso de éxito, cada informe — contiene información que un investigador OSINT puede usar. Establece un proceso de limpieza de metadatos antes de publicar. Y revisa que fotos de la oficina, del equipo, de los eventos no revelen información sensible en el fondo.
Empleado que publica en redes sociales: piensa dos veces antes de publicar. No digo que no publiques. Digo que antes de publicar, pregúntate: ¿qué información estoy revelando? Si publicas una foto de tu credencial de la empresa, estás publicando tu nombre, tu foto, tu número de empleado y el logo de tu empresa. Un atacante puede usar eso para hacer un clon de tu credencial para acceso físico. Si publicas «Primer día en el nuevo trabajo» con la ubicación activada, estás confirmando dónde trabajas y cuándo empezaste.
En 15 minutos encontré todo sobre ti. No porque sea un genio. No porque tenga herramientas secretas. No porque tenga acceso privilegiado a bases de datos. Lo encontré porque tú lo dejaste disponible. Tú, tu empresa, tu contador, tu programador web, tu equipo de marketing, tu esposa en Instagram.
La información que publicaste voluntariamente, combinada con la información que las instituciones publicaron sobre ti, combinada con los metadatos que no sabías que existían en tus documentos, combinada con los registros históricos que no sabías que estaban archivados — todo eso, correlacionado, construye un perfil tan completo que un atacante no necesita hackear nada para saber todo lo que necesita saber para atacarte.
El OSINT no se combate con firewalls. Se combate con OPSEC. Con disciplina. Con conciencia de que cada pieza de información que sale de tu control es una pieza que alguien puede usar en tu contra.
Llevo 17 años haciendo esto. He investigado personas y empresas usando solo fuentes públicas y he construido perfiles que los investigados no podían creer que existieran sin una intrusión. No había intrusión. Había búsqueda. Había correlación. Había paciencia. Y había una cantidad absurda de información pública que nadie se había tomado la molestia de proteger.
La próxima vez que publiques algo — un documento, una foto, un perfil, un registro — pregúntate: ¿qué puede encontrar alguien a partir de esto? La respuesta, casi siempre, es: más de lo que crees.