ESENRODEFRIT
Contacto

2026-07-13 · Ibida Black Level S.L.

OSINT 101: 7 cosas que un atacante encuentra sobre su empresa en 30 minutos

Lo que un observador externo aprende sobre su empresa con solo datos públicos en menos de 30 minutos. Informe de campo sin alarmismo.

OSINT 101: 7 cosas que un atacante encuentra sobre su empresa en 30 minutos

Hay una razón por la que OSINT es la herramienta más barata de la caja ofensiva. No es nueva, no es sutil y no requiere ningún acceso. Solo requiere que el observador sepa dónde mirar. Ese mismo hecho hace que el trabajo OSINT defensivo sea barato por nuestro lado. El propósito de este artículo es darle, sin adornos, las siete cosas que normalmente afloramos sobre una empresa mediana europea en los primeros treinta minutos de triaje OSINT. Ninguna requiere una herramienta de pago. Todas pueden convertirse en una jugada de apertura en un ataque real.

Las ordenamos por frecuencia. La primera aparece casi siempre. La última aparece aproximadamente en un tercio de los casos, y cuando aparece suele cambiar la conversación con el cliente.

1 · Un mapa razonablemente completo de la plantilla (10 minutos)

Empezamos por LinkedIn. No necesitamos conexión con nadie. La búsqueda gratuita filtrada por empresa, ubicación y empleo actual nos da, en la empresa mediana europea típica de 80 a 400 empleados, entre el 50% y el 80% de la plantilla. Leemos cargos, empleadores previos, idiomas y, con mucha frecuencia, el stack tecnológico declarado en la sección de aptitudes.

Qué hace el atacante con eso: una lista objetivo para spear phishing con pretextos adaptados al rol. Hemos visto mensajes redactados con el título interno exacto y el proyecto que el destinatario anunció dos semanas antes en LinkedIn. La tasa de apertura de esos mensajes no juega en la misma liga que la de un phishing genérico.

Qué puede hacer al respecto: pida a su equipo que mantenga el empleador actualizado, pero que sea más deliberado al anunciar proyectos internos y herramientas. Una breve sesión de higiene LinkedIn para personal sénior es una de las victorias más baratas en concienciación.

2 · El stack tecnológico desde las ofertas de empleo (3 minutos)

Las vacantes son una mina OSINT. Un puesto backend que pide "PostgreSQL 14, Kafka, Vault y Terraform en AWS eu-west-1" le dice al atacante el motor de base de datos, el bus de mensajería, el gestor de secretos, la región de despliegue y la herramienta de orquestación. Un puesto en operaciones de seguridad que pide "Splunk Cloud, CrowdStrike Falcon y Tines para SOAR" le dice el SIEM, el EDR y la plataforma de orquestación.

Qué hace el atacante con eso: salta la fase de descubrimiento. El reconocimiento entra directamente a buscar CVE conocidos para las versiones nombradas.

Qué puede hacer al respecto: no deje de publicar ofertas. Quite los números de versión. Hable en capacidades ("SIEM moderno", "EDR gestionado") en vez de nombres de proveedor siempre que el puesto lo permita. Use un intermediario reclutador para puestos muy específicos.

3 · La infraestructura de correo y su postura DMARC (2 minutos)

Tres consultas DNS nos dan los registros MX, SPF y DMARC de cualquier dominio corporativo. En una empresa mediana europea típica seguimos encontrando más de la mitad con DMARC ausente, en `p=none`, o en `p=quarantine` sin `pct=100`. Esas mismas empresas suelen tener SPF con `~all` en vez de `-all`, y de tres a cinco rangos IP legacy autorizados que ninguna persona del equipo actual sabe explicar.

Qué hace el atacante con eso: registra un dominio parecido o, sencillamente, suplanta el legítimo, según la postura DMARC. La suplantación de remitentes legítimos fue el vector de entrada de varios casos de BEC con fuerte impacto que vimos en 2025.

Qué puede hacer al respecto: mueva DMARC a `p=reject` y SPF a `-all` con un calendario documentado. Tenemos un artículo aparte sobre la versión 24 horas de este trabajo.

4 · El perímetro público tal como lo ven Shodan y Censys (5 minutos)

Buscamos el nombre de la empresa y su ASN. En una empresa típica encontramos: entre tres y doce servicios expuestos a internet que nadie esperaba que estuvieran expuestos. Los más frecuentes: concentradores VPN heredados que se dejaron "por emergencias", interfaces de gestión remota de equipamiento de red (Mikrotik, Cisco SMB, Ubiquiti), buckets S3 olvidados marcados como públicos para una prueba rápida, portales internos en `:8443` que se creían ocultos por no estar enlazados, y la interfaz IPMI de un servidor que debería haber sido retirado en 2022.

Qué hace el atacante con eso: empieza a sondear los servicios descubiertos en busca de vulnerabilidades conocidas. Para una empresa mediana hemos medido el tiempo entre la aparición pública en Shodan y la primera sonda dirigida en menos de 24 horas.

Qué puede hacer al respecto: una rutina de gestión de superficie de ataque externa, aunque sea trimestral y manual, elimina el 80% de esta categoría. La inversión es dos jornadas de analista por trimestre para una empresa mediana típica.

5 · Repositorios de código y los secretos que la gente filtra en ellos (4 minutos)

Las búsquedas en GitHub del tipo `org:<empresa>` y `"@empresa.com" path:.env` revelan más de lo que deberían. Los hallazgos más comunes: un repositorio de pruebas olvidado con una cadena de conexión a base de datos real, el GitHub personal de un exempleado con un archivo de configuración que contiene una clave API que la empresa nunca rotó, un gist público con una URL de webhook que sigue funcionando.

Qué hace el atacante con eso: prueba las credenciales. Aproximadamente una de cada tres credenciales que afloramos en esta categoría siguen siendo válidas la primera vez que las probamos con el cliente durante un diagnóstico.

Qué puede hacer al respecto: active GitHub secret scanning en la organización, haga un barrido de commits históricos en repositorios privados y operacionalice la rotación de claves cuando un empleado se marcha. Nada de esto requiere comprar un nuevo producto en la mayoría de empresas medianas.

6 · La cadena de suministro que no dibujó en ningún diagrama (4 minutos)

Miramos el JavaScript cargado en su sitio web público, los subdominios SaaS que resuelven bajo su dominio (`status.`, `support.`, `helpdesk.`, `learn.`, `tracking.`), los registros de transparencia de certificados y los hashes de favicon de portales internos. En una empresa mediana europea típica identificamos entre 15 y 40 terceros que tocan sus datos, sus clientes o su superficie de marca, de los cuales 5 a 10 suelen no figurar en la lista de compras.

Qué hace el atacante con eso: elige al tercero más débil como pivote. El patrón de brechas vía tercero de 2023 a 2025 no fue casualidad; era el camino más fácil contra empresas que habían endurecido su propio perímetro.

Qué puede hacer al respecto: un inventario de terceros impulsado por OSINT, refrescado trimestralmente, contrastado con la lista oficial de compras. Los deltas son el trabajo.

7 · La fragilidad de la que nadie habla: depender de una sola persona (2 minutos)

Este es el hallazgo OSINT al que los clientes reaccionan con más fuerza. Combinando LinkedIn, charlas públicas, contribuciones GitHub, posts técnicos e histórico WHOIS, frecuentemente identificamos que una persona concreta es la única cara pública de toda un área técnica. Si esa persona no está disponible 72 horas, varios sistemas que mantiene no tienen sucesor documentado.

Qué hace el atacante con eso: convierte a esa persona en objetivo de spear phishing de alto valor. En un caso público bien documentado (no cliente nuestro), el phishing exitoso de un solo SRE dejó caída una plataforma SaaS 48 horas porque ningún otro miembro del equipo tenía las credenciales de recuperación.

Qué puede hacer al respecto: una revisión interna de factor-bus. No es un ejercicio de ciberseguridad en sentido estricto; es un ejercicio de continuidad con consecuencias ciber.

Cómo usar esta lista dentro de su empresa

No recomendamos ejecutar estos siete pasos contra su propia empresa sin involucrar al equipo de seguridad y, según jurisdicción, al departamento legal. Aunque los datos sean públicos, el acto de compilarlos en contexto corporativo puede tener implicaciones. El camino más simple es pedir a un tercero que lo haga con un alcance claro y entregar los hallazgos a un responsable interno nombrado.

El propósito de un ejercicio OSINT defensivo no es impresionarse de lo que un observador externo puede ver. El propósito es convertir los hallazgos en una lista de remediación con responsables y fechas. Los hallazgos sin responsable son ruido.

> "Nunca hemos entregado un informe OSINT defensivo a una empresa mediana que encontrara cero exposición relevante. Sí hemos entregado varios donde el hallazgo más caro era interno: un área crítica sostenida por una sola persona a la que nadie había pedido que tuviera respaldo." — Revisión interna IBL de auditorías OSINT 2025-2026

Qué hacemos en IBL

Nuestro encargo OSINT defensivo es un ejercicio fijo de cinco días. El entregable es un informe escrito, firmado y fechado, con los hallazgos ordenados por dificultad de remediación y severidad de exposición. No incluimos dato alguno que no hayamos obtenido de fuentes públicas. Incluimos la URL y la fecha de cada hallazgo para que su equipo lo pueda reproducir.

Si quiere conversar sobre su huella concreta, escriba a [email protected]. Respondemos en un día hábil.

---

Ibida Black Level S.L. es una consultora boutique de ciberseguridad con sede en Málaga y equipo operativo en Rumanía. Trabajamos con empresas medianas europeas que prefieren la honestidad técnica al envoltorio comercial. Fuimos fundados en 2026; no inventamos una historia más larga.

Lectura relacionada

Etiquetas: osint, exposición, perímetro, cadena-suministro, seguridad-correo, empresa-mediana, informe-campo