Auditoría OSINT: qué entregamos y cuánto tarda realmente

Esta es una descripción de servicio que no se lee como tal. Vamos a recorrer, en orden, exactamente cómo es una auditoría OSINT defensiva en nuestra firma: cuánto dura, qué contiene el entregable, qué no contiene y qué esperamos del cliente. El objetivo es que un responsable pueda evaluar el servicio sin llamada comercial, decidir si encaja y llamarnos solo cuando la llamada sea informada.

Escogimos esta transparencia por dos razones. La primera es de marca: nos hemos comprometido públicamente con la honestidad operativa y un servicio que describimos vagamente contradice ese compromiso. La segunda es operativa: los clientes que llegan informados producen encargos más rápidos y de mayor valor, y preferimos esos clientes. El cribado es mutuo.

Qué es una auditoría OSINT defensiva

Una auditoría OSINT defensiva es la recogida y análisis sistemáticos de información pública sobre su empresa, realizada desde la perspectiva externa sin acceso privilegiado, organizada en un informe escrito que lista exposiciones, las ordena por severidad y dificultad de remediación y propone acciones específicas.

No es un pentest. No intentamos acceder a sistemas. No es una evaluación de vulnerabilidades. No escaneamos su infraestructura con herramientas que sondean debilidades. No es un servicio de monitorización continua. Entregamos una fotografía puntual.

Es el ejercicio de ciberseguridad más barato que produce consistentemente hallazgos accionables para empresas medianas europeas. La relación coste-impacto es estructuralmente favorable porque la mayor parte del valor viene de síntesis y priorización, no de herramientas caras.

Alcance: qué miramos

Nuestro alcance estándar cubre seis categorías. La amplitud es deliberada; la profundidad varía según lo que encontremos.

Categoría 1 · Exposición del personal

• Huella en LinkedIn de la empresa y empleados nombrados.
• Charlas públicas, apariciones en podcasts y artículos firmados por empleados.
• Actividad pública en GitHub, GitLab y Bitbucket de empleados en horario laboral.
• Exposiciones en blogs personales o redes sociales profesionalmente relevantes.

Categoría 2 · Perímetro técnico

• Registros DNS (A, AAAA, MX, CNAME, TXT, SOA, NS) de dominios principales y descubiertos.
• Entradas en logs de transparencia de certificados de los últimos 24 meses.
• Visibilidad de Shodan, Censys y ZoomEye del ASN y rangos IP conocidos.
• Barridos de DNS inverso sobre los rangos IP conocidos.
• Enumeración de subdominios mediante logs de certificados, indexación de buscadores y fuerza bruta DNS sobre los patrones más comunes.

Categoría 3 · Infraestructura de correo

• Postura SPF, DKIM y DMARC de dominios y subdominios descubiertos.
• Presencia BIMI y estado de verificación VMC.
• Cambios históricos de postura de seguridad de correo (via DNS pasivo) de los últimos 24 meses.
• Identificación del proveedor MX y cambios históricos.

Categoría 4 · Marca y superficie de suplantación

• Dominios parecidos registrados en los últimos 24 meses que recuerden a sus dominios principales (typosquats, homoglifos, sufijos de marca).
• Cuentas en las principales plataformas sociales que coincidan o suplanten su marca.
• Aplicaciones móviles en grandes tiendas que usen el nombre de marca.
• Referencias a kits de phishing que mencionen su empresa en fuentes públicas indexadas.

Categoría 5 · Visibilidad de cadena de suministro

• JavaScript de terceros cargado en sus propiedades web públicas.
• Subdominios SaaS alojados bajo su dominio (páginas de estado, portales de soporte, plataformas de aprendizaje).
• Logos de proveedores visibles en sus materiales públicos.
• Referencias públicas en testimonios y casos de cliente que mapean relaciones empresa-proveedor.

Categoría 6 · Credenciales públicas y exposición de código

• Repositorios públicos bajo su organización o reconociblemente vinculados.
• Gists públicos o pastes en pastebins que referencien su dominio o identificadores de marca.
• Índices públicos de fugas de credenciales para sus dominios de correo (usando solo datos ya indexados por fuentes serias de threat intelligence con licencia).
• Metadatos de documentos PDF y Office públicamente descargables (no saltamos ningún control de acceso).

Qué no incluimos

• Nada que requiriera autenticación, ingeniería social o explotación técnica. Si no podemos alcanzarlo como observador externo sin acceso privilegiado, no lo documentamos.
• Datos personales de empleados más allá de lo que ellos exponen profesionalmente. Notaremos que el rol está en LinkedIn. No enumeraremos su vida personal en redes sociales.
• Datos sujetos a consideraciones de protección de datos para cuyo tratamiento no estamos autorizados. Cuando identificamos exposición de datos personales de personas que no son empleados, describimos la categoría y la magnitud sin incluir el dato en el informe.
• Especulación sobre quién podría atacarle o atribución. El informe trata exposición, no modelado de adversario.

Plazo: 5 días laborables y un pulido opcional

Un encargo estándar dura 5 días laborables el trabajo central, con extensión opcional de 2 días si el volumen de hallazgos lo justifica (raro, aproximadamente uno de cada siete encargos).

• Día 1. Kick-off con el cliente (90 minutos, virtual). Confirmación de alcance, dominios en y fuera de alcance, canal de comunicación, persona de contacto, acuerdo sobre qué hacer si afloramos algo que requiere acción inmediata.
• Días 2 y 3. Reconocimiento activo en las seis categorías. La mayor parte de la profundidad ocurre aquí. Los hallazgos se registran sobre la marcha en un repositorio interno estructurado.
• Día 4. Triaje y priorización. Cada hallazgo recibe una puntuación bidimensional: severidad (baja, media, alta, crítica) y dificultad de remediación (trivial, fácil, moderada, difícil). Redactamos el borrador del informe.
• Día 5. Revisión por pares interna del borrador por un segundo consultor sénior. Entrega al cliente (PDF firmado y fechado). Debriefing con el cliente (60 minutos, virtual). Repaso opcional de cada hallazgo de severidad alta con el ingeniero responsable en el lado cliente.

El plazo de 5 días es lo que comprometemos al firmar. Hemos entregado más rápido a petición en dos ocasiones; no hemos entregado tarde.

Entregable: el informe

El informe es un documento escrito, firmado por el responsable de encargo, fechado y entregado en PDF y bundle Markdown. La extensión varía; la mediana está entre 25 y 45 páginas para un encargo mediano. Estructura:

1. Resumen ejecutivo (2 páginas, para el órgano de dirección).

2. Metodología (2 páginas, qué hicimos y cómo).

3. Hallazgos por categoría (15-30 páginas, una sección por categoría, cada hallazgo con severidad, dificultad, URL o referencia de evidencia y acción recomendada).

4. Top 10 de remediaciones prioritarias (2 páginas, las que hacer primero).

5. Recomendaciones de cola larga (1-3 páginas, las que hacer después).

6. Anexos (detalles técnicos: lista completa de subdominios, volcado completo de DNS, volcado completo de banners Shodan cuando aplique).

Cada hallazgo incluye la URL o la referencia técnica que permite a su equipo reproducirlo. El informe es reproducible. Lo dejamos explícito porque algunos clientes se han llevado disgustos con informes que no podían verificar internamente.

Qué esperamos del cliente

• Una persona de contacto con autoridad para decidir sobre alcance durante el encargo. Sin comités.
• Lista de dominios dentro y fuera de alcance confirmada por escrito antes del día 1.
• Permiso para lanzar consultas contra su DNS y certificados durante la ventana del encargo. No necesitamos acceso a ninguno de sus sistemas.
• Un contacto de emergencia para la pequeña probabilidad de aflorar algo que requiera acción inmediata (por ejemplo, un bucket S3 abierto con datos personales, una interfaz de administración expuesta con credenciales por defecto).
• Una ventana de 60 minutos para el debriefing del día 5. Sin debriefing, el valor del informe cae un 30% en nuestra estimación interna.

Principio de precio (no precio)

Seguimos un modelo de alcance fijo y precio fijo. El precio se fija en la propuesta una vez conocido el conteo de dominios en alcance, la plantilla aproximada y la huella técnica. No facturamos por horas. No facturamos sorpresas. Si el encargo revela más trabajo del que el alcance permitía, entregamos el alcance acordado al precio acordado y proponemos un encargo separado si el cliente lo quiere.

No publicamos precios públicamente porque dependen genuinamente del alcance. Damos un rango en la primera conversación, antes de cualquier compromiso.

Qué pasa después del informe

Tres caminos. El cliente elige.

1. El cliente toma el informe y remedia internamente. Es el camino más común. El informe es lo bastante detallado para ejecutar. Quedamos disponibles para preguntas de clarificación durante los 30 días siguientes a la entrega sin coste.

2. El cliente nos contrata para la remediación. Ofrecemos sprints de alcance fijo (típicamente 4-8 semanas) para los hallazgos prioritarios.

3. El cliente se suscribe a un refresco OSINT periódico. Entregamos una auditoría actualizada cada 3 o 6 meses, centrada en qué ha cambiado desde el informe anterior.

Ninguno es la respuesta para todo cliente. Lo discutimos honestamente en el debriefing.

> "Los clientes que llegan con noción clara de qué entregará y qué no entregará una auditoría OSINT producen encargos de más valor. El coste de escribir este artículo en detalle es el tiempo que costó. El beneficio es el cribado que hace por ambas partes." — Nota de diseño de servicio IBL, 2026

Qué hacemos en IBL

Llevamos auditorías OSINT defensivas como encargo fijo de 5 días con informe escrito, debriefing y ventana de clarificación de 30 días. Rechazamos encargos en los que el alcance sea genuinamente demasiado estrecho (menos de 30 empleados, dominio único, sin huella pública digna de mención) o donde el cliente espera un servicio de monitorización continua que aún no ofrecemos.

Si quiere conversar sobre su alcance específico, escriba a [email protected]. Respondemos en un día hábil.

---

Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.

Lectura relacionada

• OSINT 101: 7 cosas que un atacante encuentra sobre su empresa en 30 minutos (cluster pillar Q4)
• Tier-1 frente a tier-2 en proveedores de ciberseguridad: cómo elegir según su tamaño
• DMARC explicado: por qué su correo es vulnerable y cómo arreglarlo en 24 horas (cluster pillar Q3)

Etiquetas: osint, auditoría, transparencia, entregables, metodología, empresa-mediana