Auditoría OSINT corporativa · Exposición real vista por un atacante | OCIRIA
Lo que un atacante ve sobre su empresa, sin tocar nada. Informe ejecutivo y técnico, 100% legal y pasivo.
Auditoría OSINT corporativa
La exposición real de su organización, vista por un atacante
OSINT (Open Source Intelligence · inteligencia de fuentes abiertas) es la disciplina que recopila, correlaciona y analiza información públicamente disponible para construir un perfil de un objetivo. Es lo primero que hace cualquier atacante medianamente serio antes de pasar a la acción. Saber qué tiene a la vista usted antes de que lo use alguien con peores intenciones es elemental.
---
Qué es
Una auditoría OSINT corporativa es un trabajo de inteligencia, no de pentesting. No probamos vulnerabilidades, no accedemos a sus sistemas, no enviamos correos con pretexto. Lo único que hacemos es recopilar, de fuentes abiertas y legítimas exclusivamente, toda la información que un atacante con motivación moderada y diez días de dedicación podría obtener sobre su organización.
El resultado tiene dos lecturas. La primera es defensiva: muestra qué información está expuesta sin que la empresa lo sepa (credenciales filtradas, documentos internos publicados por error, infraestructura olvidada en una nube de proveedor antiguo). La segunda es de inteligencia: muestra cómo un atacante construiría el caso de ataque a partir de esa información (qué directivo es vulnerable a ingeniería social, qué proveedor débil es el camino más probable, qué servicio expuesto es el más explotable).
La diferencia con un escaneo automatizado de superficie de ataque es que aquí hay un analista humano correlacionando piezas, no un script ejecutando reglas. El informe se redacta en lenguaje claro para dirección y en lenguaje técnico para el equipo, sin inflar los hallazgos ni esconderlos detrás de jerga.
---
Cuándo lo necesita
Después de una fusión, adquisición o cambio organizativo relevante. Cada cambio incorpora dominios nuevos, infraestructura heredada, empleados con nuevos perfiles públicos y contratos heredados con proveedores tecnológicos. El mapa cambia rápido y muchas cosas se quedan a medio integrar. Una auditoría OSINT después del cambio identifica los huecos.
Antes de una operación corporativa significativa. Salida pública, ronda de financiación importante, contrato estratégico que cambia su perfil de exposición. El cuestionario del comprador o del inversor incluirá preguntas sobre exposición digital. Es mejor responderlo desde un informe propio reciente que desde la improvisación.
Tras un incidente o sospecha de filtración. Si hubo intento de ransomware, fraude por suplantación al CFO, filtración de un proveedor, o simplemente un correo de phishing que casi cuela, una auditoría OSINT determina si hay información de su organización circulando en lugares que justifican alertas adicionales.
Como práctica recurrente. Recomendamos repetirla anualmente, o tras cambios importantes. La exposición no es estática: cada empleado nuevo, cada herramienta SaaS contratada, cada documento publicado en la web añade superficie.
---
Cómo trabajamos
Fase 1 · Alcance y autorización (días 1-2). Acordamos por escrito el alcance: dominios, marcas, perfiles directivos clave, geografías y proveedores en alcance. Firmamos autorización formal (necesaria por nuestra parte para realizar el trabajo con cobertura legal limpia) y acuerdo de confidencialidad por la suya.
Fase 2 · Recopilación (semana 1-2). Trabajo de campo OSINT pasivo: enumeración de dominios y subdominios, análisis de certificados, inventario de infraestructura expuesta, búsqueda en bases de brechas públicas, análisis de presencia de directivos en redes profesionales y foros, identificación de documentos internos publicados por error, revisión de repositorios públicos por filtración de credenciales o secretos, identificación de suplantaciones activas (dominios homólogos, perfiles falsos), correlación con proveedores tecnológicos clave.
Fase 3 · Análisis y priorización (semana 2-3). Cruzamos los hallazgos. Una credencial filtrada aislada es un dato; una credencial filtrada del responsable de finanzas combinada con un dominio homólogo recién registrado es un escenario de fraude inminente. Priorizamos por probabilidad de explotación y por impacto, no por volumen.
Fase 4 · Entrega y presentación (semana 3). Entregamos dos informes y los presentamos: uno ejecutivo a dirección (qué encontramos, qué significa, qué hacer en los próximos noventa días) y uno técnico al equipo (cada hallazgo con evidencia, fuente, fecha de captura y recomendación operativa específica).
---
Qué entregamos
- Informe ejecutivo (5-8 páginas) dirigido a dirección general y comité directivo, con resumen de hallazgos críticos, impacto estimado, plan de mitigación priorizado y mensajes clave para comunicar internamente.
- Informe técnico (típicamente 30-60 páginas según hallazgos) con cada hallazgo documentado: evidencia capturada, fuente, fecha, criticidad, vector de explotación, contramedida recomendada y prioridad.
- Plan de mitigación a 90 días con acciones concretas, responsable sugerido y orden razonable de ejecución.
- Repositorio de evidencias entregado por canal seguro, con acceso limitado y retención acordada.
- Sesión de presentación doble: una a dirección, una al equipo técnico.
- Listado priorizado de monitorización continua sugerida (dominios homólogos a vigilar, perfiles a alertar, fuentes a chequear).
---
Para quién es
Organizaciones con presencia digital significativa, directivos visibles o exposición a ingeniería social. Particularmente útil para:
- Empresas en operación corporativa (fusión, adquisición, ronda, salida pública) que necesitan documentación reciente y verificable de su exposición.
- Sectores con riesgo regulatorio o reputacional alto (financiero, salud, energía, infraestructuras críticas, servicios profesionales con clientes de alto perfil).
- Organizaciones con directivos públicos o influyentes, donde la ingeniería social dirigida a personas es un vector relevante.
---
FAQs
¿Es legal hacer una auditoría OSINT sobre nuestra propia empresa?
Sí, dentro del alcance que ustedes nos autorizan. Trabajamos exclusivamente con fuentes abiertas y técnicas pasivas. No accedemos a sus sistemas ni a los de terceros, no nos hacemos pasar por nadie, no contactamos a empleados. La autorización por escrito que firmamos antes de empezar nos cubre frente a malentendidos y le cubre a usted frente a auditores que pregunten por qué un tercero estuvo recopilando datos sobre la organización.
¿Cuánto tiempo dura el trabajo?
Tres semanas desde firma de la autorización formal y kick-off. Si el alcance es muy amplio (grupo internacional con decenas de filiales y marcas), se segmenta en oleadas para mantener la calidad del análisis humano.
¿Qué diferencia hay entre esto y un pentesting?
El pentesting prueba vulnerabilidades activamente, tocando sus sistemas con autorización. OSINT no toca nada: sólo recopila y analiza lo que ya es público. Son complementarios; OSINT suele preceder al pentesting para que éste vaya focalizado a lo que realmente importa.
¿Qué pasa si encuentran algo grave durante el trabajo?
Lo escalamos inmediatamente, sin esperar a la entrega final. Si hay credenciales filtradas críticas activas, un dominio homólogo en uso para fraude, o información sensible publicada por error, le avisamos en menos de 24 horas con el hallazgo y la recomendación de mitigación inmediata.
¿Pueden hacerla periódicamente como servicio gestionado?
Sí. Tras la primera auditoría podemos contratar un servicio de monitorización continua que vigila las fuentes relevantes y le alerta cuando algo cambia (nueva credencial filtrada, nuevo dominio homólogo, nueva mención de su organización en foros de actividad ilícita). Lo conversamos al cierre si tiene sentido.
¿Qué pasa con los datos personales de empleados que aparecen en los hallazgos?
Tratamos información mínima necesaria, anonimizamos cuando es posible y eliminamos las evidencias al final del proyecto salvo retención acordada con usted. Cumplimos GDPR como responsables conjuntos del tratamiento durante el proyecto.
---
Casos de uso típicos
Caso 1 · La empresa en pleno proceso de adquisición. Empresa industrial de ciento cincuenta empleados en proceso de venta a un grupo internacional. El comprador exige due diligence de ciberseguridad como condición para cerrar precio. Realizamos auditoría OSINT en tres semanas. Hallazgo principal: tres credenciales filtradas activas de exempleados con accesos no revocados, un dominio homólogo en uso desconocido y documentación sensible publicada en un repositorio antiguo de proveedor IT. La empresa cierra los hallazgos antes de la due diligence formal y entrega informe limpio al comprador.
Caso 2 · El bufete tras intento de fraude al CFO. Despacho profesional sufre un intento de fraude por suplantación del CFO en una transferencia. La transferencia se detuvo a tiempo. Auditoría OSINT identifica que el atacante tenía perfilada toda la jerarquía directiva desde redes profesionales públicas, conocía los nombres de los principales clientes por noticias de prensa, y había registrado un dominio homólogo dos meses antes. Plan de mitigación: revisión de exposición de directivos, monitorización de dominios homólogos, protocolo de doble verificación para transferencias por encima de umbral.
Caso 3 · El grupo internacional con expansión rápida. Grupo de servicios con presencia en cinco países y diez marcas, crecimiento por adquisiciones. Auditoría OSINT focalizada en cartografiar el verdadero perímetro: dominios olvidados de marcas adquiridas, infraestructura no inventariada, perfiles públicos de directivos heredados que no se actualizaron. Resultado: inventario corregido con doce dominios y veintitrés activos no contabilizados previamente, plan de consolidación posterior.
---
¿Cómo empezar?
El primer paso es un diagnóstico inicial gratuito de una semana. Acordamos alcance, le decimos qué encontraríamos típicamente con una empresa de su perfil y le entregamos una propuesta concreta sin compromiso. Si no es para usted, se lo decimos.
Escríbanos a [[email protected]](mailto:[email protected])
---
Otros servicios
- [vCISO mensual · Dirección de seguridad](/servicios/vciso-detalle)
- [ISO/IEC 42001 · Piloto de gestión de IA responsable](/servicios/iso-42001-detalle)