ofensiva
OSINT
inteligencia
Maltego

Qué es OSINT: ciclo, fuentes, herramientas y marco legal en España

Qué es OSINT (Open Source Intelligence), ciclo de inteligencia, fuentes, herramientas (Maltego, Shodan, SpiderFoot), casos de uso y marco legal RGPD.

Secra12 de mayo de 202614 min de lectura

OSINT es la disciplina de inteligencia que produce conclusiones útiles a partir de información de fuentes públicas. Las siglas vienen del inglés Open Source INTelligence. Recopila, procesa y analiza información obtenida de fuentes públicas o accesibles legalmente para producir un entregable accionable. La diferencia con "buscar en Google" es de método: OSINT estructura el trabajo con un ciclo formal de inteligencia, herramientas especializadas, criterio para descartar ruido y documentación trazable. En 2026 OSINT es parte estándar de cualquier ejercicio Red Team profesional, de la fase de reconocimiento de un pentesting serio, de la due diligence corporativa pre-M&A y del trabajo de inteligencia de amenazas (CTI).

Esta guía explica qué es exactamente OSINT, el ciclo de inteligencia que estructura cualquier investigación profesional, las cinco familias de fuentes con las que se trabaja, las herramientas que componen el toolkit moderno (Maltego, Shodan, Censys, SpiderFoot, theHarvester, Google Dorks, SOCMINT), los seis casos de uso reales que aparecen en empresa española, el marco legal RGPD y LOPD-GDD, errores comunes y cómo se defiende una organización del OSINT adversarial.

Qué es OSINT

OSINT es una metodología y un conjunto de prácticas para obtener inteligencia accionable a partir de información de acceso público. Las tres ideas clave:

  1. Fuentes accesibles legalmente. Buscadores, redes sociales, registros mercantiles, BOE, foros públicos, datasets abiertos, certificados TLS, DNS pasivo, leaks de brechas indexadas, archivos públicos de organismos.
  2. Proceso estructurado. La diferencia entre OSINT y curiosear es el ciclo: requerimientos, recolección, procesamiento, análisis, diseminación, retroalimentación.
  3. Producto final accionable. No "datos crudos"; conclusiones que respaldan una decisión.

Lo que aporta operativamente:

  • Reconocimiento de superficie de ataque antes de un Red Team o pentesting.
  • Threat intelligence sobre actores que afectan al sector del cliente.
  • Due diligence digital de proveedores, partners, candidatos a fusión.
  • Investigación de fraude interno y externo.
  • Soporte a investigación judicial (con orden) o periodística.
  • Identificación de fugas de datos propios en internet abierto.

Lo que NO es OSINT:

  • Acceso no autorizado a sistemas (eso es intrusión, Art. 197 bis Código Penal).
  • Compra de bases de datos crackeadas para uso fuera de investigación de seguridad autorizada.
  • Vigilancia masiva sobre ciudadanos sin marco legal.
  • Recopilación masiva de datos personales sin base jurídica documentada.

El ciclo de inteligencia

Cualquier OSINT profesional sigue las seis fases del ciclo clásico de inteligencia. Saltarse una es lo que diferencia un trabajo amateur de uno serio.

1. Requerimientos

Definir qué pregunta de negocio responde la investigación. "Mapear empleados de la empresa X" no es un requerimiento; "identificar empleados con acceso privilegiado y huella digital expuesta para evaluar riesgo de spear phishing" sí lo es.

2. Recolección

Búsqueda activa o pasiva según el plan: buscadores, APIs, scraping autorizado, monitorización de foros, suscripción a feeds CTI. La calidad de la recolección determina la calidad del producto final.

3. Procesamiento

Filtrar, normalizar, deduplicar, traducir. Lo recopilado en bruto rara vez es directamente útil. Esta fase es la que más se subestima.

4. Análisis

Cruzar fuentes, identificar patrones, construir hipótesis, validarlas o descartarlas. Aquí entra el criterio del analista; la herramienta no decide nada por sí sola.

5. Diseminación

Entrega del producto al solicitante en el formato que necesita. Para un CISO, executive summary más matriz. Para un Red Team operador, IoCs y dominios concretos. Para un comité de M&A, informe ejecutivo con riesgos y red flags.

6. Retroalimentación

El solicitante valora si el producto resolvió su pregunta. Lo aprendido alimenta el siguiente ciclo. Sin esta fase, los errores se repiten.

Las cinco familias de fuentes

OSINT serio combina información de cinco categorías. Especializarse en una sola limita el resultado.

Fuentes técnicas e infraestructura

DNS, certificados TLS, banners de servicios, escaneos pasivos, BGP, WHOIS. Detectables con herramientas como Shodan, Censys, crt.sh, SecurityTrails, DNSDumpster. Es la base de la enumeración técnica que abre pentesting de infraestructura y Red Team.

Fuentes web tradicionales

Buscadores (Google, Bing, Yandex, DuckDuckGo), web archive, sitios oficiales, BOE, registros mercantiles, transparencia. La técnica de Google Dorks entra aquí, complementada cada vez más con generadores tipo DorkGPT.

SOCMINT (Social Media Intelligence)

LinkedIn, X (Twitter), Instagram, TikTok, Telegram, Discord, Reddit, foros sectoriales. Información sobre personas, eventos, opiniones, conexiones. La fuente más sensible legalmente y la que más cambia: APIs y políticas de cada plataforma cambian cada año.

HUMINT digital y deep web

Filtraciones en pastebins, foros underground, marketplaces, canales Telegram dedicados a leaks. Investigación responsable con cuidado de no cruzar líneas legales. Aquí se mezcla OSINT con threat intelligence comprada y con observación pasiva de actores.

GEOINT (Geospatial Intelligence)

Imágenes satelitales (Google Earth Pro, Sentinel Hub, Planet Labs públicos), Street View, mapas catastrales, datos cartográficos. Útil en investigación de instalaciones físicas, due diligence inmobiliaria, periodismo de investigación.

El toolkit moderno

Las herramientas que aparecen en investigación profesional en 2026. El stack típico de un investigador OSINT serio combina cinco o seis.

Maltego

La plataforma de análisis gráfico de referencia. Construye grafos de relaciones a partir de entidades (personas, dominios, IPs, emails) y transforms que las consultan contra fuentes externas. Más detalle en la guía dedicada de Maltego. Estándar para investigaciones que producen entregable visual auditable.

Shodan y Censys

Buscadores de dispositivos conectados a internet. Permiten consultas tipo "todos los servidores con FortiOS vulnerable expuestos en España" o "todos los certificados TLS recientes para un dominio". Imprescindibles en pentesting externo y en CTI de superficie de ataque.

SpiderFoot

Plataforma open source de automatización OSINT. Configura módulos por categoría (DNS, certificados, redes sociales, leaks, dominios maliciosos) y lanza investigación desatendida sobre un target. Ideal para passes iniciales antes de profundizar manualmente.

theHarvester

Herramienta CLI clásica para enumeración rápida de emails y subdominios desde buscadores y otras fuentes. Imprescindible en cualquier toolkit de Red Team.

Google Dorks y variantes

La técnica clásica de operadores avanzados en buscadores. Sigue siendo el primer escalón de cualquier OSINT serio. Aceleradores como DorkGPT generan variantes de queries con modelos de lenguaje.

Have I Been Pwned y servicios equivalentes

Verificación de exposición de credenciales en brechas conocidas. La versión gratuita cubre el caso doméstico; las APIs comerciales (HIBP Pro, IntelX, Snusbase, Dehashed) cubren investigaciones formales.

Plataformas SOCMINT comerciales orientadas a investigación de personas. Reglas de uso variables según jurisdicción. Empresas legítimas las usan en due diligence; empresas opacas las usan en zonas grises de stalking corporativo.

Aceleradores IA

ChatGPT, Claude, Gemini, Perplexity para resumen de hallazgos, generación de queries, traducción automática. La trazabilidad es el reto: si la IA es parte del proceso, el output queda menos auditable. Solución pragmática: registrar prompt, modelo y resultado en el grafo o en el caso.

Casos de uso reales en empresa española

Los seis escenarios más frecuentes en proyectos profesionales en España.

1. Reconocimiento en Red Team y pentesting

Fase 1 de cualquier ejercicio ofensivo serio. El operador construye el mapa de superficie de ataque del cliente: subdominios olvidados, certificados expuestos, empleados clave en LinkedIn, repos GitHub corporativos con secretos, credenciales filtradas, paneles de administración expuestos. Detalle en Red Team: guía para empresas.

2. Cyber Threat Intelligence

El equipo CTI estudia qué grupos atacan al sector, qué TTPs usan, qué infraestructura mantienen y cuáles serían IoCs relevantes. El mapeo posterior contra MITRE ATT&CK permite priorizar defensa. Detalle en la guía de threat hunting.

3. Due diligence pre-M&A o pre-contratación

Antes de firmar adquisición de una empresa, fusión o contrato con proveedor crítico, el equipo de M&A solicita due diligence digital: estructura corporativa, exposición digital, reputación del equipo directivo, contenciosos pendientes, riesgos reputacionales, comprobación de credenciales de los key managers.

4. Investigación interna y fraude

Departamentos de cumplimiento y RRHH usan OSINT para investigar denuncias internas, presuntos casos de fraude, conflictos de interés no declarados, conducta de empleado público con alcance reputacional para la empresa. Marco legal estricto.

5. Monitorización de huella digital propia

Equipos de seguridad usan OSINT regular para detectar fugas propias antes que el atacante: repos GitHub con secretos, buckets S3 expuestos, dominios homógrafos registrados, datos en filtraciones underground. Es la disciplina hermana de la auditoría de superficie de ataque.

6. Periodismo de investigación y litigios

Periodistas usan OSINT para investigaciones complejas: redes corporativas opacas, paraísos fiscales, comprobación de identidad de fuentes, verificación de imágenes o vídeos. Despachos de abogados lo usan para apoyo en litigios. Bellingcat es el referente público de este uso.

OSINT vive en una zona muy regulada por RGPD, LOPD-GDD y Código Penal.

Información pública sí, pero con condiciones

Acceder a información pública es legal por defecto. La complicación aparece cuando se agregan datos personales: cada dato individual puede ser público, pero su agregación crea un perfil que entra en alcance RGPD aunque cada pieza fuese libre. La AEPD ha sancionado tratamientos OSINT con agregación sin base legal documentada.

Bases legales aplicables

Para investigación corporativa formal: interés legítimo del responsable bien argumentado y registrado, o ejecución de contrato (due diligence pre-firma), o cumplimiento de obligación legal (KYC, AML). Sin base legal documentada, el tratamiento es ilícito.

Datos especialmente protegidos

Salud, orientación sexual, ideología, religión, afiliación sindical: tratamiento prohibido salvo causas tasadas. OSINT que recolecte este tipo de datos sin justificación clara es infracción grave.

Minimización y proporcionalidad

Solo se recopilan los datos estrictamente necesarios para el objetivo. Investigaciones masivas "por si acaso" no son defendibles ante una auditoría.

Retención corta

El producto OSINT y los datos brutos se borran al cierre del proyecto, salvo obligación legal en contra (litigios, requerimiento judicial).

Brechas, leaks y material crackeado

Servicios que ofrecen acceso a brechas o datos crackeados (Snusbase, Dehashed) tienen uso legítimo defendible en investigación de seguridad autorizada. Cualquier uso fuera de ese marco es ilegal en España (acceso a datos personales con tratamiento ilícito + posible delito de Art. 197 CP).

Subjects en UE

RGPD aplica cuando los sujetos están en UE, aunque el investigador esté fuera. Investigaciones contra ciudadanos UE desde EEUU u otras jurisdicciones tienen que cumplir RGPD igualmente.

Transparencia interna corporativa

Investigaciones OSINT internas (sobre empleados) requieren información previa adecuada, política documentada y proporcionalidad. La sentencia López Ribalda c. España (TEDH 2019) marca el estándar europeo.

Errores comunes en OSINT profesional

Lo que se ve en consultoría y auditoría de proyectos OSINT existentes.

OSINT sin pregunta de negocio. La investigación arranca con "recopilar todo sobre X" en lugar de "responder Y para decidir Z". El resultado es un mar de datos sin valor accionable.

Ignorar el ciclo formal. Saltarse procesamiento y análisis, entregando datos crudos al solicitante. El producto es ilegible y nadie toma decisiones con él.

Confiar en una sola fuente. Especializarse en SOCMINT o Shodan dejando ciegas otras fuentes. OSINT serio combina cinco familias mínimo.

Sin documentación trazable. El analista recuerda lo que hizo pero no lo registra. Si la investigación se cuestiona en juicio, en auditoría o en disputa, no hay defensa documental.

Cruzar líneas legales por desconocimiento. Agregar perfiles de ciudadanos sin base legal, escarbar en brechas para fines no autorizados, scraping masivo contra ToS de plataformas que prohíben automatización.

No considerar contramedidas. El target puede tener perfiles cebo, redes sociales falsas, infraestructura honey. Sin contraste y triangulación, el investigador cae.

Usar IA generativa sin trazabilidad. La IA acelera pero la auditabilidad del producto baja. Si el cliente formal pide reproducibilidad y solo se aportan outputs de modelo, no defendible.

Cómo defenderse del OSINT adversarial

Si OSINT es lo que hace tu adversario antes de atacar, la defensa pasa por reducir lo que puede encontrar.

  • Auditoría OSINT propia trimestral o semestral. Probar exactamente lo que un Red Team encontraría sobre la organización.
  • Sanitización de subdominios y certificados olvidados. Inventario actualizado y eliminación de lo que no se usa.
  • Política de redes sociales para roles sensibles (CISO, CFO, CTO, abogados). Mínimo viable público.
  • Saneamiento de repos GitHub corporativos. Secretos rotados, ramas viejas eliminadas, scanning continuo con TruffleHog o Gitleaks.
  • Monitorización de leaks propios en pastebins, foros underground y repos públicos.
  • Formación a empleados de perfil expuesto sobre exposición personal en redes (foto del badge, capturas con datos sensibles, geolocalización en publicaciones).
  • Política de borrado de personas que ya no trabajan en la empresa pero siguen en LinkedIn como contacto vigente.
  • Monitorización de marca y dominios homógrafos. Servicios que alertan cuando aparecen variantes registradas.

Encaje con compliance

OSINT bien hecho aporta evidencia directa en varios marcos:

  • NIS2 (artículo 21). Threat intelligence formalizada y gestión de riesgos. La capacidad OSINT propia es parte del programa defensivo razonable.
  • DORA (artículos 13, 26). Pruebas de penetración basadas en amenazas (TLPT) que requieren fase OSINT formal. Detalle en TIBER-EU y TLPT.
  • ISO 27001:2022 (control 5.7 threat intelligence). Vigilancia continua sobre amenazas externas.
  • ENS Real Decreto 311/2022. Medidas op.mon (monitorización) y op.exp (operaciones explícitas) acordes con vigilancia OSINT.
  • PCI DSS v4.0 (req. 12). Programa de seguridad que incluye threat intelligence.
  • RGPD y LOPD-GDD. El propio OSINT es la actividad regulada, no un mero requisito.

Preguntas frecuentes

¿Diferencia entre OSINT y HUMINT?

OSINT trabaja con información pública o accesible legalmente sin contacto encubierto. HUMINT (Human Intelligence) implica interacción con personas, fuentes humanas, en muchos casos encubierta o con engaño. HUMINT es terreno de servicios de inteligencia estatales y de algunas investigaciones privadas con marco legal específico; OSINT es accesible a cualquier profesional cualificado.

Investigar la huella digital pública del competidor (sitio web, comunicados, perfiles corporativos) es legal y normal en inteligencia competitiva. Investigar a empleados individuales del competidor agregando perfiles personales sin base legal entra en zona gris o ilegal según el alcance.

¿Qué nivel técnico requiere hacer OSINT?

Un nivel inicial básico permite resultados útiles para due diligence simple y reconnaissance ligero. Un nivel profesional con grafos en Maltego, automatización en SpiderFoot, scripts custom y análisis cruzado de cinco fuentes requiere 6-12 meses de práctica intensiva o formación específica (curso de SANS SEC487, IntelTechniques de Michael Bazzell, Bellingcat Workshop).

¿OSINT sustituye al pentesting técnico?

No. OSINT alimenta la fase de reconnaissance, pero el pentesting técnico ataca activos identificados durante OSINT y prueba si son explotables. Son complementarios. Más sobre la metodología en qué es un pentesting.

¿Cuánto cuesta un servicio OSINT profesional?

Varía mucho según alcance. Una auditoría OSINT de superficie de ataque para una empresa mediana suele cerrarse como proyecto de varias semanas con entregable concreto. Para due diligence pre-M&A complejas con investigación multi-jurisdicción, los presupuestos crecen significativamente. El precio refleja sobre todo la dedicación del analista senior, no los costes de herramientas (las herramientas serias suman pocos miles al año comparado con el coste/hora).

¿Bellingcat usa qué exactamente?

Una combinación pública de fuentes: imágenes satelitales (Sentinel Hub, Google Earth, Planet), redes sociales (X, Telegram, Reddit, TikTok), análisis de metadatos de fotos y vídeos, archivado web, herramientas de geolocalización por imagen, OSINT colaborativo. Casi todo lo que usan es público y replicable; la diferencia es la disciplina del análisis.

¿Cuándo OSINT se vuelve stalking?

Cuando se centra en una persona física sin base legal documentada, recoge datos personales privados aunque sean accesibles, persiste en el tiempo y se usa para perseguir, intimidar o influir indebidamente. La frontera no es técnica, es jurídica. La AEPD sanciona regularmente este tipo de comportamiento.

Recursos relacionados

OSINT profesional en Secra

En Secra integramos OSINT en la fase de reconnaissance de cada ejercicio Red Team y de cada auditoría de superficie de ataque, con foco en trazabilidad documental para que el entregable resista revisión legal y auditoría. El alcance habitual incluye reconocimiento técnico (subdominios, certificados, servicios expuestos), SOCMINT con cuidado RGPD, búsqueda de leaks propios del cliente, identificación de empleados de perfil expuesto, monitorización de marca y dominios homógrafos, y producto final accionable con prioridades concretas. Si tu organización quiere medir empíricamente cuánto encontraría un atacante motivado sobre vuestra huella digital actual antes de invertir en defensas técnicas, escríbenos a través de contacto o consulta nuestro servicio de Red Team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Qué es hacking ético: tipos de hackers, certificaciones y marco legal

Qué es el hacking ético, tipos de hackers (white/grey/black hat), certificaciones (OSCP, OSWE, CEH), camino profesional y marco legal en España.

2026-05-1214 min
ofensiva

Qué es ingeniería social: tipos, casos reales y cómo defenderse

Qué es la ingeniería social, principios de Cialdini, tipos (phishing, vishing, BEC, pretexting), casos reales (Twitter, Uber, MGM) y defensa.

2026-05-1213 min
ofensiva

Ataques Kerberos en Active Directory: Kerberoasting, Golden Ticket y delegaciones

Cómo funciona Kerberos en Active Directory y guía técnica de Kerberoasting, AS-REP Roasting, Golden Ticket, delegaciones y DCSync, con detección y mitigación.

2026-05-1015 min