Tema 7

7. OSINT y reconocimiento pasivo de objetivos

El reconocimiento pasivo permite entender la superficie pública de una organización sin interactuar directamente con sus sistemas. Bien ejecutado, revela dominios, tecnologías, personas, proveedores, exposiciones y pistas útiles para orientar una prueba autorizada.

Objetivo Recolectar información pública útil y verificable
Enfoque Pasivo, documentado y dentro del alcance
Resultado Construir un mapa inicial de exposición

7.1 Introducción

OSINT significa Open Source Intelligence, o inteligencia de fuentes abiertas. En pentesting, se utiliza para recopilar información disponible públicamente sobre una organización, sus activos, tecnologías, empleados, proveedores, dominios y posibles puntos de exposición.

El reconocimiento pasivo se diferencia del activo porque no envía tráfico directo a los sistemas del objetivo. En lugar de escanear servidores, consulta fuentes públicas, motores de búsqueda, registros DNS históricos, certificados, repositorios, documentos y bases de datos expuestas por terceros.

Esta fase permite planificar mejor la prueba, validar el alcance y priorizar objetivos sin generar alertas ni carga sobre la infraestructura evaluada.

7.2 Qué es OSINT en pentesting

OSINT en pentesting es la recopilación, correlación y análisis de información pública con fines defensivos y autorizados. No se trata de acumular datos sin criterio, sino de transformar señales dispersas en conocimiento útil para evaluar riesgo.

  • Dominios y subdominios asociados.
  • Direcciones IP y proveedores de infraestructura.
  • Certificados TLS y nombres alternativos.
  • Tecnologías usadas en sitios y servicios.
  • Correos corporativos, patrones de usuario y presencia pública.
  • Repositorios, paquetes, documentos y metadatos.
  • Filtraciones públicas de credenciales o secretos.
  • Relaciones con proveedores, sedes, marcas y subsidiarias.
OSINT no es intrusión. El valor está en analizar información pública sin cruzar límites legales ni acceder a sistemas no autorizados.

7.3 Reconocimiento pasivo vs. reconocimiento activo

Ambos enfoques buscan comprender el objetivo, pero tienen diferencias importantes en interacción, riesgo y visibilidad.

Aspecto Pasivo Activo
Interacción con el objetivo No contacta directamente sistemas del objetivo Envía tráfico a sistemas autorizados
Fuentes Buscadores, DNS público, certificados, repositorios Ping, escaneos, fingerprinting, enumeración directa
Riesgo operativo Bajo Variable según intensidad y técnica
Visibilidad para defensa Menor, porque no toca infraestructura propia Mayor, puede generar logs y alertas
Precisión Puede incluir datos antiguos o incompletos Puede confirmar estado actual con más precisión

7.4 Objetivos del reconocimiento pasivo

El reconocimiento pasivo debe tener objetivos definidos para evitar perder tiempo en información irrelevante. En una prueba profesional, se busca construir hipótesis útiles para las fases siguientes.

  • Identificar activos públicos que podrían estar dentro del alcance.
  • Detectar tecnologías, proveedores y servicios expuestos.
  • Descubrir subdominios, dominios relacionados y entornos olvidados.
  • Encontrar referencias a credenciales, tokens o configuraciones sensibles.
  • Entender la estructura pública de la organización.
  • Priorizar objetivos según exposición e impacto potencial.
  • Preparar un plan de reconocimiento activo más preciso.

7.5 Validación del alcance durante OSINT

OSINT puede revelar activos relacionados con la organización, pero relación no significa autorización. Un dominio, IP o repositorio encontrado públicamente debe validarse contra el alcance antes de avanzar con pruebas activas.

Por ejemplo, un subdominio puede apuntar a un proveedor externo, una marca adquirida, un entorno abandonado o una infraestructura compartida. Antes de escanear o probar, hay que confirmar si el activo está autorizado.

  • Marcar activos como confirmados, probables o pendientes de validación.
  • Distinguir activos propios de proveedores externos.
  • Registrar fuente y fecha de cada hallazgo.
  • No ejecutar pruebas activas sobre activos descubiertos si no fueron aprobados.
  • Solicitar ampliación formal del alcance si aparece un activo relevante.
OSINT puede ampliar el mapa de exposición, pero no amplía automáticamente el permiso para probar.

7.6 Fuentes públicas principales

Las fuentes OSINT se complementan entre sí. Una fuente puede estar desactualizada, otra puede mostrar datos parciales y otra puede confirmar una relación.

Fuente Qué puede revelar Cuidado
Motores de búsqueda Páginas indexadas, documentos, rutas, errores Puede mostrar contenido antiguo o cacheado
DNS público Registros, nombres, servidores, correo No todo subdominio encontrado sigue activo
Transparencia de certificados Subdominios y nombres alternativos Puede incluir entornos antiguos o internos filtrados
Repositorios públicos Código, secretos, dominios, nombres de sistemas No clonar ni usar secretos fuera del marco autorizado
Redes profesionales Roles, tecnologías, estructura de equipos Tratar datos personales con responsabilidad
Bases de datos de filtraciones Correos o credenciales expuestas No intentar autenticación con credenciales filtradas sin autorización expresa

7.7 Búsquedas avanzadas en motores

Los motores de búsqueda permiten localizar información pública usando operadores. Esto puede revelar documentos, directorios indexados, paneles, mensajes de error o archivos expuestos.

Ejemplos de enfoques útiles:

  • Buscar páginas dentro de un dominio específico.
  • Localizar documentos públicos por tipo de archivo.
  • Encontrar menciones a tecnologías, rutas o mensajes de error.
  • Identificar subdominios indexados.
  • Detectar paneles o páginas de administración expuestas públicamente.

La búsqueda no debe convertirse en intento de acceso no autorizado. Si aparece un panel o archivo sensible, se documenta evidencia mínima y se valida el tratamiento con las reglas del proyecto.

7.8 DNS y subdominios

DNS es una de las fuentes más valiosas para reconocimiento. Los nombres suelen revelar entornos, tecnologías, funciones internas y proveedores.

  • www: sitio principal.
  • api: servicios de backend o integraciones.
  • dev, test, staging: entornos no productivos que podrían estar menos protegidos.
  • vpn: acceso remoto.
  • mail, smtp, owa: correo o acceso web a correo.
  • sso, login, auth: identidad y autenticación.
  • cdn, static, assets: distribución de contenido.

La presencia de un subdominio no prueba que esté activo o dentro de alcance. Debe correlacionarse con registros DNS actuales, certificados, respuestas HTTP o validación del cliente.

7.9 Transparencia de certificados

Los registros de Certificate Transparency almacenan certificados emitidos por autoridades certificadoras. Como muchos certificados incluyen nombres alternativos, son útiles para descubrir subdominios y relaciones entre servicios.

En OSINT, estos registros pueden revelar:

  • Subdominios activos o históricos.
  • Entornos de prueba incluidos en certificados.
  • Dominios relacionados con marcas o unidades de negocio.
  • Servicios migrados a proveedores cloud.
  • Errores de nomenclatura que exponen información interna.
Un certificado histórico puede revelar un nombre que ya no existe. La información OSINT siempre necesita validación antes de usarse como base para acciones activas.

7.10 WHOIS, registradores y datos de dominio

WHOIS y datos de registradores pueden aportar información sobre fechas de registro, servidores de nombres, registrador y contactos, aunque muchas organizaciones usan privacidad o datos genéricos.

Su utilidad principal es contextual:

  • Identificar dominios oficiales y dominios relacionados.
  • Detectar servidores DNS autoritativos.
  • Observar cambios históricos en registradores o nombres.
  • Relacionar marcas, subsidiarias o dominios defensivos.
  • Detectar dominios parecidos que podrían usarse para confusión o phishing.

7.11 Información de infraestructura e IPs

La información pública sobre IPs, ASN y proveedores ayuda a entender dónde se aloja la superficie externa. Una organización puede usar infraestructura propia, cloud, CDN, proveedores de correo, WAF o servicios administrados.

Dato Qué indica Utilidad
ASN Bloques de red asociados a una organización o proveedor Identificar infraestructura propia o tercerizada
Reverse DNS Nombres asociados a direcciones IP Descubrir roles de servidores o proveedores
CDN Intermediario de entrega de contenido Distinguir origen real de capa de protección
Cloud Uso de AWS, Azure, Google Cloud u otros Orientar revisión de exposición y servicios administrados

7.12 Tecnologías y fingerprinting pasivo

Algunas fuentes públicas permiten inferir tecnologías sin escanear directamente. Buscadores, páginas cacheadas, cabeceras indexadas, archivos públicos, documentación técnica y ofertas laborales pueden revelar frameworks, lenguajes y plataformas.

  • Frameworks web como React, Angular, Laravel, Django o Express.
  • Servidores como Nginx, Apache, IIS o servicios cloud.
  • Herramientas de CI/CD, repositorios y sistemas de monitoreo.
  • Plataformas de identidad, SSO o proveedores de MFA.
  • Gestores de contenido, comercio electrónico o CRM.

Estas pistas ayudan a preparar pruebas futuras, pero no deben tratarse como confirmación final hasta validar el estado actual.

7.13 Repositorios públicos

Los repositorios públicos pueden revelar código, documentación, scripts, nombres de servicios, rutas internas, dominios, variables de entorno y, en casos graves, secretos. La revisión debe hacerse con responsabilidad y dentro del marco autorizado.

Elementos que conviene revisar:

  • Archivos de configuración y ejemplos.
  • Historial de commits con información sensible eliminada tarde.
  • Issues y documentación técnica.
  • Referencias a dominios, endpoints y nombres internos.
  • Dependencias y versiones.
  • Claves, tokens o contraseñas expuestas accidentalmente.
Encontrar un secreto público no autoriza a usarlo. Debe documentarse de forma mínima y reportarse por el canal acordado.

7.14 Documentos públicos y metadatos

Documentos publicados por una organización pueden contener metadatos: nombres de usuario, rutas internas, versiones de software, impresoras, sistemas operativos o fechas. También pueden revelar estructura organizativa y nombres de áreas.

  • PDF, DOCX, XLSX y presentaciones.
  • Manuales técnicos o guías de usuario.
  • Licitaciones, publicaciones institucionales y reportes.
  • Material de soporte o capacitación.
  • Archivos indexados por error.

En un reporte, no hace falta conservar documentos completos si contienen información sensible. Basta con evidenciar el metadato relevante y su origen.

7.15 Personas, roles y estructura organizacional

OSINT también puede revelar información sobre personas: cargos, áreas, tecnologías usadas, correos, convenciones de nombres y proveedores. Esta información puede ser útil para comprender riesgo, especialmente en pruebas de ingeniería social autorizada o evaluación de exposición.

Debe tratarse con cuidado porque involucra datos personales. El objetivo no es invadir privacidad, sino entender exposición organizacional dentro de un marco profesional.

  • Patrones de correo corporativo.
  • Roles técnicos y administrativos.
  • Tecnologías mencionadas en perfiles profesionales.
  • Sedes, áreas, proveedores y canales públicos.
  • Publicaciones que revelan detalles operativos.

7.16 Filtraciones y credenciales expuestas

Las filtraciones públicas pueden incluir correos corporativos, contraseñas reutilizadas, hashes, tokens o datos de empleados. En un pentest, esta información debe manejarse con mucha cautela.

Buenas prácticas:

  • No intentar iniciar sesión con credenciales filtradas salvo autorización explícita.
  • No almacenar contraseñas en texto claro en el reporte.
  • Reportar exposición de cuentas con evidencia mínima.
  • Recomendar rotación de credenciales y revisión de reutilización.
  • Relacionar el hallazgo con MFA, monitoreo y políticas de contraseñas.
  • Proteger cualquier evidencia sensible durante y después del proyecto.

7.17 Redes sociales y presencia pública

Las redes sociales, blogs, conferencias, publicaciones técnicas y anuncios de empleo pueden revelar información sobre tecnologías, proyectos, proveedores y cultura de seguridad. En OSINT, esta información se usa para contexto y priorización.

Fuente Información posible Uso responsable
Ofertas laborales Stacks tecnológicos, cloud, herramientas internas Orientar hipótesis técnicas, no perfilar personas innecesariamente
Perfiles profesionales Roles, áreas, certificaciones, tecnologías Usar información agregada y relevante para el alcance
Blogs técnicos Arquitectura, prácticas, herramientas Identificar tecnologías y posibles superficies
Comunicados públicos Proveedores, adquisiciones, nuevas plataformas Correlacionar con dominios y activos

7.18 Cloud y servicios SaaS expuestos

Muchas organizaciones usan servicios cloud y SaaS que dejan señales públicas: buckets de almacenamiento, dominios de aplicaciones, endpoints de identidad, tenants, CDN, repositorios de artefactos o paneles de administración.

El reconocimiento pasivo puede identificar:

  • Uso de proveedores cloud.
  • Nombres de buckets o contenedores referenciados públicamente.
  • Aplicaciones hospedadas en plataformas PaaS.
  • Dominios de autenticación federada.
  • URLs de almacenamiento, CDN o funciones serverless.
  • Errores de configuración publicados en mensajes o documentación.

La validación activa de permisos sobre recursos cloud debe estar autorizada. OSINT solo permite identificar señales y documentar exposición pública.

7.19 Correlación y limpieza de datos

OSINT produce mucho ruido. Una lista enorme de subdominios o correos no sirve si no está filtrada, clasificada y relacionada con el alcance. La correlación convierte datos crudos en información útil.

  • Eliminar duplicados.
  • Marcar fuente y fecha de obtención.
  • Clasificar activos por tipo: dominio, IP, aplicación, repositorio, persona, proveedor.
  • Separar activos confirmados de hipótesis.
  • Identificar datos antiguos o inconsistentes.
  • Priorizar por exposición, criticidad y relación con el alcance.

7.20 Matriz de hallazgos OSINT

Una matriz simple ayuda a documentar información sin mezclar hechos, hipótesis y acciones recomendadas.

Hallazgo Fuente Estado Acción sugerida
Subdominio de staging encontrado Certificado público Pendiente de validar alcance Confirmar propiedad antes de pruebas activas
Repositorio con endpoint interno Repositorio público Relacionado con la organización Reportar exposición y revisar si hay secretos
Patrón de correos identificado Perfiles y documentos públicos Confirmado por múltiples fuentes Usar solo si el alcance autoriza pruebas de identidad
Proveedor cloud detectado DNS y certificados Probable Correlacionar con activos incluidos

7.21 Riesgos comunes detectables con OSINT

El reconocimiento pasivo puede revelar problemas relevantes sin tocar sistemas del objetivo.

  • Subdominios antiguos o entornos de prueba expuestos.
  • Documentos con metadatos sensibles.
  • Repositorios con secretos o información interna.
  • Credenciales corporativas en filtraciones públicas.
  • Paneles administrativos indexados.
  • Errores de configuración en DNS o correo.
  • Dependencia visible de proveedores críticos.
  • Información excesiva en ofertas laborales o documentación técnica.

7.22 Buenas prácticas de documentación

La documentación OSINT debe ser precisa y reproducible. Cada dato importante necesita fuente, fecha, contexto y nivel de confianza.

  • Registrar URL o fuente consultada.
  • Guardar fecha y hora aproximada.
  • Diferenciar hecho confirmado de inferencia.
  • Evitar capturar datos personales innecesarios.
  • Reducir exposición de secretos en capturas o reportes.
  • Indicar si el activo requiere validación de alcance.
  • Relacionar el hallazgo con impacto potencial y recomendación.
Un buen hallazgo OSINT no solo dice "encontré esto"; explica por qué importa, de dónde salió y qué debería hacerse.

7.23 Errores frecuentes

  • Confundir información pública con autorización para probar.
  • No registrar fuentes y fechas.
  • Acumular listas enormes sin clasificar ni priorizar.
  • Tratar datos antiguos como si fueran estado actual.
  • Usar credenciales filtradas sin autorización expresa.
  • Incluir datos personales innecesarios en reportes.
  • No diferenciar activos propios de proveedores externos.
  • Pasar a reconocimiento activo sin validar el alcance.

7.24 Flujo práctico de OSINT

Un flujo simple y ordenado para esta fase podría ser:

  1. Confirmar organización, marcas, dominios iniciales y alcance autorizado.
  2. Buscar dominios y subdominios en fuentes públicas.
  3. Revisar certificados, DNS, proveedores y relaciones de infraestructura.
  4. Consultar motores de búsqueda para documentos, rutas y exposición indexada.
  5. Revisar repositorios públicos y documentación técnica.
  6. Identificar correos, patrones de usuario y posibles filtraciones sin probar credenciales.
  7. Clasificar activos como confirmados, probables o pendientes.
  8. Priorizar hallazgos por impacto y relación con el alcance.
  9. Preparar insumos para reconocimiento activo autorizado.

7.25 Qué debes recordar de este tema

  • OSINT usa fuentes públicas para construir inteligencia útil antes de interactuar con el objetivo.
  • Reconocimiento pasivo reduce riesgo operativo, pero puede incluir información antigua o incompleta.
  • Un activo descubierto públicamente no queda automáticamente autorizado para pruebas activas.
  • DNS, certificados, repositorios, documentos y filtraciones son fuentes especialmente valiosas.
  • La correlación y limpieza de datos son tan importantes como la recolección.
  • La documentación debe diferenciar hechos, inferencias, fuentes y recomendaciones.

7.26 Conclusión

El OSINT bien ejecutado permite llegar a la fase activa con mejor contexto, menos ruido y mayor precisión. También puede revelar exposiciones importantes sin tocar directamente la infraestructura del objetivo.

En el próximo tema avanzaremos hacia el reconocimiento activo, el descubrimiento de hosts y el mapeo de superficie expuesta, siempre dentro del alcance autorizado y con control sobre la intensidad de las pruebas.

Volver al índice