Qué es Maltego: OSINT, threat intelligence e investigación gráfica

Maltego es la plataforma de análisis gráfico de OSINT más usada del mundo. Dibuja relaciones entre personas, dominios, infraestructura, redes sociales y filtraciones a partir de fuentes abiertas y APIs comerciales, todo en un único gráfico interactivo. Lo desarrolló Paterva en Sudáfrica en 2007, hoy lo mantiene Maltego Technologies GmbH (Múnich) y se ha vuelto el estándar de facto en investigaciones de Red Team, threat intelligence, due diligence corporativo y trabajo policial.

Esta guía explica qué es Maltego en concreto, cómo se construye un gráfico (entidades, transforms y máquinas), las cuatro versiones que existen, los hubs de datos más relevantes, casos reales de uso en Red Team y CTI, alternativas open source y comerciales, y los aspectos legales que cualquier equipo serio revisa antes de lanzar una investigación con esta herramienta.

Qué es Maltego

Maltego es una aplicación de escritorio Java que permite construir grafos de relaciones a partir de información pública o adquirida vía API. Cada nodo del gráfico es una entidad (persona, email, dominio, IP, organización, identificador de red social, hash, URL) y cada arista es una relación obtenida ejecutando una transform: una función que toma una entidad y devuelve otras entidades relacionadas.

La diferencia con un script de Google Dorks o con consultas directas a APIs es que Maltego centraliza el resultado en un grafo navegable: pulsa botón derecho sobre un email, ejecuta "domains where this email appears", aparecen 3 dominios, pulsa botón derecho sobre cada dominio y ejecuta "subdomains", aparecen 27 subdominios, repites contra cada uno hasta tener un mapa completo del activo investigado en minutos.

Lo que aporta operativamente:

• Visualización de relaciones complejas sin escribir código.
• Repetibilidad: el grafo se guarda y se comparte, otro analista puede continuar.
• Conector único a docenas de fuentes (WHOIS, Shodan, VirusTotal, Have I Been Pwned, Pipl, BuiltWith, GreyNoise, AlienVault OTX, Censys, redes sociales).
• Custom transforms programables en Python o cualquier lenguaje vía servidor TDS local.
• Modo case-management (Casefile) para anotar, etiquetar y exportar como evidencia formal.

No es magia: Maltego no descubre datos que no estén en alguna fuente accesible. Su valor está en encadenar fuentes y dejar el camino documentado.

Las cuatro versiones de Maltego

El producto tiene cuatro ediciones con diferencias relevantes para el trabajo profesional.

Maltego Community Edition (CE)

Gratuita, para uso no comercial. Limita el grafo a 12 entidades por transform y exige una cuenta gratuita registrada. Sirve para aprender la herramienta y para investigaciones puntuales pequeñas. No vale para auditorías profesionales facturables.

Maltego Pro

Licencia comercial individual. Sin el límite de 12 entidades, transforms premium incluidas, exportación avanzada, soporte. Es la versión que usan la mayoría de Red Teamers y analistas CTI freelance.

Maltego Enterprise

Para equipos. Añade colaboración multiusuario, control centralizado de accesos, integración SAML/SSO, gestión de licencias y data retention auditable. Necesaria en organismos públicos, banca y corporativos que ejecutan investigación interna formal.

Maltego Casefile

Versión de pago especializada en gestión de casos: timelines, evidencia adjunta, exportable a paquetes legales. La usan unidades de cumplimiento, antifraude y law enforcement.

Existió además una versión gratuita "Classic CE" anterior a 2020 que perdió funcionalidad cuando Paterva pivotó a SaaS y a integración con CTAS Hub. Mucho material antiguo en internet referencia transforms que ya no existen en Community Edition.

Cómo funciona: entidades, transforms y máquinas

Tres conceptos cubren el 90% del producto.

Entidades. Son los tipos de información que Maltego sabe representar. La librería estándar trae más de 60 (Person, Email Address, Phone Number, Domain, DNS Name, IP Address, Netblock, Document, URL, Phrase, Hash, Twitter Handle, Facebook Object, GitHub User, AWS Account ID, etc.) y los hubs comerciales añaden cientos más (Cryptocurrency Wallet, Telegram Channel, Have I Been Pwned breach, Shodan service, VirusTotal sample). Cada tipo tiene icono propio y propiedades específicas.

Transforms. Son las funciones que convierten una entidad en otras. Por ejemplo, la transform [CTAS] To DNS Names from Domain toma un dominio y devuelve sus registros DNS. La transform [Have I Been Pwned] Get breaches for Email Address toma un email y devuelve las brechas en las que aparece. Se ejecutan con botón derecho sobre la entidad o desde la barra de transforms del menú.

Máquinas. Son secuencias de transforms automatizadas. Una máquina llamada "Footprint L1" parte de un dominio y ejecuta automáticamente DNS, WHOIS, MX, NS, subdominios y servicios escuchando, todo de un click. Hay máquinas estándar incluidas y se pueden definir custom.

El flujo típico de trabajo es: arrastrar la entidad inicial al canvas, ejecutar una máquina o varias transforms sucesivas, podar manualmente lo irrelevante, repetir contra los nodos prometedores hasta que el grafo cuenta una historia útil para el caso.

Hubs y data sources que importan

El valor de Maltego depende directamente de a qué fuentes esté conectado. Los hubs más relevantes en investigaciones serias en 2026:

• Maltego Standard Transforms (CTAS). Incluidas en cualquier licencia. Cubren DNS, WHOIS, búsqueda de emails, redes sociales públicas, traducción de coordenadas y demás básicos.
• Have I Been Pwned. Brechas asociadas a un email o dominio. Imprescindible para due diligence y para verificar exposición pre-pentest.
• Shodan. Servicios expuestos a internet, certificados, banners. Esencial en reconnaissance de pentesting de infraestructura.
• VirusTotal. Samples, dominios, IPs maliciosas. Usado en threat intelligence para pivotar entre IoCs.
• Censys. Alternativa o complemento a Shodan, con mejor cobertura de certificados TLS.
• AlienVault OTX, MISP, Recorded Future, ThreatConnect. Plataformas CTI que enriquecen entidades con context de amenazas conocidas.
• GreyNoise. Diferencia tráfico de internet ruido (escáneres masivos) de tráfico potencialmente dirigido.
• WhoisXML, DomainTools, RiskIQ PassiveTotal. WHOIS histórico y resolución pasiva de DNS para investigaciones temporales.
• Pipl, IPQualityScore, Hunter.io. Enriquecimiento de personas y emails. Pipl en concreto tiene reputación como referente en investigación de personas, con coste alto y restricciones legales según jurisdicción.
• Social Links, Datawalk. Hubs comerciales potentes para SOCMINT (social media intelligence).
• Have I Been Sold, Snusbase, Dehashed. Brechas crudas con material crackeado. Su uso ético depende mucho de jurisdicción y del marco contractual del trabajo.

Casi todos los hubs son de pago (créditos por consulta o suscripción anual). Una investigación profesional combina típicamente 4 a 8 hubs; un Red Team que reconnaisance un cliente B2B suele activar CTAS más Shodan, VirusTotal, Have I Been Pwned, Hunter.io y un hub de SOCMINT.

Casos de uso en Red Team

En la fase de reconocimiento de un ejercicio Red Team, Maltego encadena lo que de otra forma serían 30 búsquedas manuales:

1. Empieza por el dominio del cliente. Ejecuta máquina Footprint L2 o L3.
2. Salen subdominios, MX, registros TXT, IPs, netblocks, certificados TLS.
3. Cruza certificados TLS contra Censys: aparecen otros dominios del mismo cliente que el departamento de marketing nunca declaró al CISO.
4. Pivota a Hunter.io desde el dominio: emails corporativos públicos.
5. Cruza emails con Have I Been Pwned: brechas pasadas, credenciales potencialmente reutilizadas.
6. Pivota a LinkedIn vía hub SOCMINT: empleados clave, organigrama.
7. Cruza handles de redes sociales con análisis de exposición: documentos filtrados, repos GitHub corporativos accidentales.
8. Pivota a Shodan desde IPs: servicios expuestos, paneles de administración, WAF detectables, versiones de software.
9. Final: grafo con dominios fantasma, emails con credenciales filtradas, repos GitHub con secretos y servicios externos olvidados.

Lo que un Red Team experimentado hace en 4 horas con Maltego dura 2 días con scripts sueltos. Y el grafo resultante se entrega al cliente como anexo del informe, lo que fuerza al CISO a auditar el shadow IT que aparezca.

Casos de uso en threat intelligence

El equipo CTI usa Maltego de forma distinta. Parte de un IoC (un hash, un dominio C2, una dirección Bitcoin) y va expandiendo la infraestructura del adversario:

• Hash de una muestra de ransomware recibida.
• VirusTotal devuelve dominios contactados, IPs, samples relacionadas.
• Pivot a Censys: certificados que comparten huella en otros servidores.
• Pivot a passive DNS: histórico de resoluciones de cada dominio.
• Pivot a investigación de wallets cripto si hay extorsión.
• Resultado: mapa de campaña con activos del adversario que pueden ser bloqueados proactivamente.

Esta actividad encaja en el flujo TTP-driven de threat hunting: los hallazgos se traducen a queries SIEM o EDR para detectar el adversario en el entorno propio.

Casos de uso en due diligence corporativo

Antes de firmar con un proveedor, fusionarse con una empresa o invertir, Maltego mapea:

• Estructura corporativa pública (filiales, accionistas, registros mercantiles).
• Reputación digital del equipo directivo (apariciones en medios, redes sociales, brechas pasadas).
• Exposición digital de la empresa target (subdominios olvidados, brechas de empleados, repos GitHub corporativos).
• Riesgos reputacionales (litigios, sanciones, conexiones con jurisdicciones de riesgo).

El entregable suele ser un informe gráfico que acompaña al due diligence legal y financiero clásico.

Maltego frente a alternativas open source

No todo el mundo necesita o puede pagar Maltego Pro. Las alternativas más usadas:

• SpiderFoot. Open source, modo CLI o Web UI. Cubre cientos de fuentes, ejecuta investigaciones desatendidas. Menos visual que Maltego, mejor para automatización en pipelines.
• theHarvester. Open source, CLI. Especializado en enumeración de emails, subdominios y banners. Imprescindible en cualquier Red Team toolkit, complementario a Maltego.
• Recon-ng. Open source, framework modular tipo Metasploit. Ideal para builders que quieren automatizar transforms sin pagar hubs.
• OSINT Industries, Skopenow, ShadowDragon SocialNet. Comerciales orientados a investigación de personas, fuertemente regulados por jurisdicción.
• i2 Analyst's Notebook (IBM). Comercial, dominante en law enforcement clásico. Más caro, mejor para investigaciones complejas de fraude financiero, pero con curva de aprendizaje alta.

Una stack realista para una boutique como Secra en un proyecto Red Team típico: Maltego Pro + theHarvester + SpiderFoot + scripts custom. Cada herramienta cubre una fase distinta y el resultado se consolida en el grafo Maltego para entrega.

Limitaciones y errores comunes

Maltego tiene limitaciones reales que conviene asumir.

Coste por consulta. La mayoría de hubs cobran por crédito. Una investigación grande puede consumir cientos de euros en una sesión si no se planifica.

Tasa de transforms. Los hubs imponen rate limits. Lanzar Footprint L3 contra un dominio grande puede tardar y costar caro. La práctica es ir por capas: L1, examinar resultados, luego L2 sobre nodos prometedores.

Dependencia de fuentes externas. Si Have I Been Pwned o Shodan caen, parte del grafo no se completa. Buen ejecutor mantiene fallback en herramientas open source.

Ruido. Los grafos crecen rápido. Sin disciplina, terminan con miles de nodos irrelevantes. La habilidad del analista está en podar lo que no aporta antes de seguir expandiendo.

Datos de redes sociales en flux. APIs de Twitter, Meta, Instagram han cambiado mucho desde 2023. Transforms que funcionaban en cursos de 2019 hoy no devuelven nada. Verificar siempre que los hubs activos siguen vivos.

Trampa del "todo es OSINT". Algunos hubs combinan datos comprados, datos crackeados y datos legítimamente abiertos. Saber qué se está consultando importa por motivos legales y éticos.

Aspectos legales en España y UE

Una investigación con Maltego puede mover datos personales (emails, perfiles, brechas) y eso entra en RGPD, en la LOPD-GDD y en la Ley 34/2002 de servicios de la sociedad de la información, según el caso de uso.

Reglas que cualquier equipo serio aplica:

• Base legal documentada. Para clientes corporativos, contrato y autorización por escrito específica para reconnaissance OSINT sobre la organización (no solo sobre IPs). Para investigaciones propias, interés legítimo bien argumentado y registrado.
• Minimización de datos. Solo se recogen los datos personales estrictamente necesarios para el objetivo declarado. Brechas masivas de empleados se consultan con limitación, no se exfiltran enteras.
• Retención. El grafo y las exportaciones se borran tras el ciclo de vida del proyecto, salvo obligación legal en contrario (litigios, requerimientos judiciales).
• Cuidado con datos crackeados. Hubs como Snusbase o Dehashed devuelven contraseñas en claro de brechas pasadas. Su uso para fines legítimos de seguridad es defendible; cualquier uso secundario es delito.
• Subjects de la UE. Si el target es una persona física UE, RGPD aplica al investigador aunque el servidor esté en otra jurisdicción.
• Cliente fuera de UE. Aún con cliente en EEUU, si los empleados o la infraestructura investigada están en UE, el RGPD aplica al tratamiento.
• Transparencia interna. Las investigaciones OSINT corporativas internas requieren información a empleados y a comité de empresa cuando aplique.

Mal uso típico que conviene evitar siempre: investigar a una pareja, vecino o competidor sin marco legal documentado. Más allá del problema ético, expone al investigador a sanciones administrativas serias por la AEPD y posibles consecuencias penales.

Setup práctico paso a paso

Cómo arrancar con Maltego sin perder horas en fricción:

1. Elegir versión. Pro si vas a facturar, CE para aprender. Enterprise solo si tu organización exige SSO y gestión central.
2. Crear cuenta y descargar cliente. Java incluido en el instalador moderno.
3. Activar hubs CTAS estándar. Vienen sin coste adicional.
4. Activar 2-3 hubs clave según trabajo: Shodan, Have I Been Pwned y VirusTotal cubren la mayoría de Red Team. Hunter.io añade enriquecimiento email. SpiderFoot HX integrado por hub si quieres el motor desatendido.
5. Configurar API keys. Cada hub pide su propia clave; centralizarlas en un gestor (1Password, Bitwarden) facilita la rotación.
6. Ejecutar grafo de prueba sobre tu propio dominio para entender flujos sin riesgo.
7. Construir tu primer Casefile. Ayuda a interiorizar la disciplina de notas y hallazgos antes de un encargo real.

Curva razonable para ser útil profesionalmente: 1-2 semanas a tiempo parcial. Para dominio fluido y construcción de máquinas custom: 2-3 meses de uso intensivo.

Cómo defenderse de una investigación con Maltego

Maltego no es invasivo en el sentido clásico (no exploita nada, no ataca activos), pero deja huella mínima en logs DNS pasivos, queries Shodan o accesos a APIs comerciales. La defensa es de higiene, no de detección.

Buenas prácticas que reducen la superficie OSINT contra una organización:

• Auditar subdominios y certificados TLS propios cada 6-12 meses. Recortar lo no usado.
• Sanitizar repos GitHub corporativos: secretos rotados, ramas viejas eliminadas.
• Política de redes sociales: mínimo viable para roles sensibles (CISO, CFO, CTO).
• Formación a empleados sobre suplantación: si Maltego identifica la jerarquía, un atacante ya tiene blanco para spear phishing.
• Monitorización de dominios homógrafos y typosquatting.
• Ejercicio Red Team OSINT periódico que documente exactamente qué información se filtra y a quién prevenir.

Preguntas frecuentes

¿Maltego es legal en España?

Sí. La herramienta es legal y la usan administraciones, fuerzas de seguridad y empresas. Lo que requiere supervisión es el uso concreto: las consultas a fuentes con datos personales tienen que cumplir RGPD y LOPD-GDD. Una investigación corporativa con base contractual y minimización de datos es defendible; una investigación personal sin marco legal no lo es.

¿Cuánto cuesta Maltego Pro y los hubs?

Maltego Pro es una licencia anual individual. Los hubs comerciales se pagan por suscripción o por créditos. Una stack mid-range para un Red Teamer profesional ronda varios miles de euros al año entre licencia y hubs activados, sin entrar en planes Enterprise. La página oficial mantiene los precios actualizados.

¿Diferencia entre Maltego Casefile y Pro?

Pro es la herramienta de análisis para uso ágil. Casefile añade sobre Pro la gestión formal del caso: timelines, custodia de evidencia, exportación legal. Lo usan unidades de fraude, antiblanqueo y law enforcement.

¿Qué hub merece la pena pagar primero?

Depende del trabajo. Para Red Team y pentest: Shodan más Have I Been Pwned. Para CTI: VirusTotal Premium más AlienVault OTX. Para SOCMINT y due diligence: Hunter.io más Pipl o equivalente. Empezar con un máximo de 2-3 hubs y ampliar según necesidad real evita gastar antes de saber qué queda corto.

¿Maltego sustituye a SpiderFoot, theHarvester o scripts propios?

No. Es complementario. Maltego destaca en visualización y trazabilidad; SpiderFoot en automatización masiva; theHarvester en enumeración rápida desde CLI; scripts propios cuando hay APIs muy específicas o requisitos custom. El equipo maduro combina todos.

¿Puede Maltego encontrar información detrás de logins o pago?

No directamente. Maltego solo accede a fuentes a las que el usuario tiene credenciales válidas (vía API key). No bypassa controles. Lo que parece "magia" es en realidad la combinación de fuentes pagas más OSINT puro, no acceso ilícito.

¿Qué relación tiene con DorkGPT y herramientas IA OSINT recientes?

Son enfoques distintos. Maltego es estructurado y trazable; soluciones tipo DorkGPT usan modelos de lenguaje para generar consultas Google Dork u OSINT en lenguaje natural, útiles para acelerar la primera fase pero menos auditable. En investigaciones formales conviene usar IA solo para acelerar, nunca para sustituir la traza documental que sí ofrece Maltego.

Recursos relacionados

• Google Dorks para OSINT y reconnaissance: técnica clásica complementaria a Maltego en fase inicial.
• Red Team: guía para empresas: donde un grafo Maltego encaja como entregable de la fase de reconocimiento.
• Pentesting de infraestructura: cómo el reconnaissance OSINT con Maltego enlaza con la auditoría externa e interna posterior.
• Qué es threat hunting: la disciplina defensiva que consume mapas de adversario construidos con Maltego.
• TIBER-EU y TLPT: marco regulatorio donde la fase OSINT está formalmente delimitada.
• Qué es MITRE ATT&CK: catálogo donde encajan las técnicas de Reconnaissance que Maltego operacionaliza.

Investigación OSINT con Maltego en Secra

En Secra integramos Maltego en la fase de reconocimiento de cada ejercicio Red Team y de cada due diligence digital. Trabajamos con Maltego Pro más una stack de hubs activos según el alcance del cliente, mantenemos máquinas custom para sectores específicos (fintech, sanidad, industrial) y entregamos el grafo final como anexo del informe, no como documento aislado. El cliente recibe un mapa accionable: dominios olvidados a retirar, empleados con credenciales filtradas a forzar reset, repos GitHub a sanitizar, exposiciones Shodan a parchear o mover detrás de WAF. Si necesitas evaluar la huella OSINT de tu organización antes de un Red Team formal o quieres validar la calidad de un proveedor que ya te ofrece servicio de threat intelligence, escríbenos a través de contacto o consulta nuestro servicio de Red Team.