OSINT: cómo te investigan antes de atacarte

Lo que saben de ti antes de escribirte. Sin hackear nada.

Antes de que alguien te ataque digitalmente, te estudia.

No es ciencia ficción. Es el primer paso de cualquier ciberataque real: la fase de reconocimiento. Y tiene nombre: OSINT (Open Source Intelligence, o Inteligencia de Fuentes Abiertas).

La mala noticia es que no necesitan hackear nada para saber mucho de ti. Tu nombre, tu empresa, tu banco, tus rutinas, tus relaciones: buena parte de esa información ya está ahí fuera, expuesta en fuentes públicas que tú mismo has ido alimentando a lo largo del tiempo, muchas veces sin saberlo.

La buena noticia es que tú también puedes usar las mismas técnicas para auditarte antes de que lo haga otro.

En este artículo te explico qué es el OSINT, qué información tuya está expuesta ahora mismo, y cómo hacer tu propia auditoría de huella digital paso a paso.

¿Qué es el OSINT?

OSINT es la práctica de recopilar información sobre una persona, empresa u organización usando únicamente fuentes públicas y accesibles. Sin hackeos. Sin accesos ilegales. Sin necesitar permisos de ningún tipo.

Fuentes como redes sociales, registros públicos, foros y webs indexadas, filtraciones de datos, metadatos de fotos y documentos, o registros de dominios web.

Nació en el ámbito militar y de los servicios de inteligencia, donde analistas cruzaban información pública para construir perfiles de objetivos sin operaciones encubiertas. Hoy lo usan periodistas de investigación, profesionales de ciberseguridad para auditar empresas antes de un pentest... y ciberdelincuentes para conocerte antes de engañarte, suplantarte o atacarte.

Lo que hace el OSINT especialmente relevante para la seguridad personal es esto: no es un problema de que alguien robe tu información. Es que tú mismo la has puesto ahí, pieza a pieza, a lo largo del tiempo. El problema no está en cada fragmento por separado, sino en lo que revela el conjunto cuando alguien los cruza todos.

¿Qué información tuya está expuesta sin que lo sepas?

Más de la que imaginas. Aquí los bloques más comunes:

1. Datos personales básicos

Tu nombre completo, ciudad, número de teléfono o correo electrónico pueden estar en bases de datos filtradas, directorios de empresas, o simplemente en tu perfil público de LinkedIn o Instagram. Si eres autónomo o administras una sociedad, tus datos básicos figuran además en registros mercantiles públicos por ley, sin que nadie te haya pedido permiso.

Herramienta: HaveIBeenPwned — introduce tu email y comprueba en cuántas filtraciones aparece.

2. Metadatos de tus fotos

Cada foto que haces con tu móvil contiene metadatos EXIF: fecha, hora y, en muchos casos, coordenadas GPS exactas del lugar donde la tomaste. Si la subes sin limpiar esos datos, cualquiera puede saber dónde estuviste y cuándo. El patrón acumulado de varias fotos puede revelar tu domicilio, tu lugar de trabajo y tus rutinas de desplazamiento.

Herramienta: Jeffrey's Exif Viewer — sube una foto y extrae sus metadatos al instante.

3. Tu huella en redes sociales

Publicaciones antiguas, comentarios, grupos, menciones, check-ins. Aunque tu perfil sea "privado", muchísima información sigue siendo indexable o visible para terceros: los comentarios que haces en publicaciones de perfiles públicos, las reseñas que dejas en Google Maps, los grupos abiertos en los que participas. Y los horarios a los que publicas revelan tu zona horaria y tus rutinas con una precisión que sorprende. Las publicaciones de hace cinco años que ya olvidaste siguen ahí.

Herramienta: Google — busca "Tu Nombre Completo" site:instagram.com o variaciones similares.

4. Tu correo electrónico y contraseñas filtradas

En la dark web circulan millones de combinaciones de email y contraseña procedentes de filtraciones masivas de servicios como Adobe, LinkedIn, Dropbox o Twitch. Si usas la misma contraseña en varios sitios, esto es una bomba de relojería: un atacante que tiene tus credenciales de un servicio secundario las prueba automáticamente en tu banco, tu correo y tus plataformas de trabajo.

Herramientas: HaveIBeenPwned y DeHashed.

5. Información profesional y laboral

Tu cargo, empresa actual, proyectos en los que trabajas, compañeros, tecnologías que usas... LinkedIn es una mina de oro para un atacante que quiere personalizar un spear phishing dirigido exactamente a ti o a alguien de tu organización. Cuanto más completo y actualizado está tu perfil, más material tiene el atacante para construir un engaño creíble.

6. Registros de dominio (si tienes web o negocio)

Si registraste un dominio sin privacidad activada, tu nombre, dirección y correo pueden estar públicos en el WHOIS del dominio. Y aunque lo hayas corregido después, existen servicios que archivan versiones históricas de esos registros y permiten consultarlas hoy.

Herramienta: whois.domaintools.com

Cómo piensan los que te investigan

Para entender por qué esto importa en la práctica, conviene ver el proceso desde la perspectiva del atacante. No busca información de forma aleatoria. Trabaja en capas: parte de un dato inicial —tu nombre, tu correo, tu número de teléfono— y expande el perfil progresivamente.

Desde ese dato de partida, un sistema automatizado puede buscar tu email en bases de datos de filtraciones, cruzar tu nombre con LinkedIn para obtener historial y empresa, usar el dominio de tu negocio para encontrar correos y teléfonos históricos, y analizar tus redes para extraer patrones de comportamiento y ubicaciones frecuentes. Cada pieza abre nuevas puertas. En quince o veinte minutos se puede construir un perfil operativamente útil de cualquier persona con presencia digital mínima. La IA ha acelerado ese proceso hasta hacerlo instantáneo y escalable para miles de objetivos simultáneos.

Cómo auditarte tú mismo: paso a paso

Esto se llama auditoría de huella digital y es lo primero que hace cualquier profesional de ciberseguridad antes de un test de intrusión. Puedes hacerlo tú mismo en menos de 30 minutos:

Paso 1 — Google tu propio nombre Busca "Tu Nombre Apellido" entre comillas. Añade variantes con tu ciudad, empresa o profesión. Revisa las primeras tres páginas. Repite la búsqueda con tu foto de perfil más conocida en Google Images para ver en qué otros sitios aparece esa imagen.

Paso 2 — Comprueba filtraciones de tu email Entra a HaveIBeenPwned con todos los correos que uses. Si apareces en alguna filtración, cambia la contraseña afectada y activa la verificación en dos pasos en ese servicio. Empieza por los más críticos: correo principal, banca online, plataformas de trabajo.

Paso 3 — Audita tus redes sociales Revisa qué información tienes pública en cada red: teléfono, fecha de nacimiento, ubicación. Desactiva lo que no sea necesario que sea visible. Presta especial atención a configuraciones que parecen privadas pero mantienen ciertas cosas públicas por defecto.

Paso 4 — Limpia metadatos antes de subir fotos Usa herramientas como ExifTool para eliminar metadatos, o simplemente haz una captura de pantalla de la imagen antes de publicarla. La captura no hereda las coordenadas GPS del original.

Paso 5 — Crea una alerta con tu nombre Configura una alerta en Google Alerts con tu nombre entre comillas. Te avisará cada vez que aparezcas indexado en algún sitio nuevo, lo que te permite detectar menciones que no has autorizado.

El objetivo no es desaparecer: es gestionar tu exposición

Hay una tentación comprensible cuando uno se enfrenta por primera vez a su huella digital: querer borrarlo todo. Esa reacción, aunque entendible, no es práctica ni necesaria. En 2026, la presencia digital no es opcional para la mayoría de profesionales y negocios. La visibilidad online tiene valor real.

La solución no es desaparecer. Es saber exactamente qué información existe sobre ti, en qué fuentes y con qué nivel de detalle. Y tomar decisiones deliberadas sobre qué mantener, qué reducir y qué proteger.

La ciberseguridad no funciona por perfección. Funciona por fricción: cuanto más cueste atacarte en relación con el beneficio esperado, más probable es que el esfuerzo se dirija hacia otro lado. Conocer tu exposición antes de que lo haga otro es la primera línea de defensa real.

Conclusión

La privacidad digital no es paranoia. Es higiene.

El OSINT no es una herramienta exclusiva de hackers o espías. Es una realidad del entorno digital en el que vivimos, y conocerla es el primer paso para protegerte. Antes de que llegue cualquier ataque personalizado, alguien ha invertido tiempo en conocerte. El mejor contramovimiento es conocerte tú primero.

Tómate 30 minutos esta semana para auditarte. Lo que encuentres puede sorprenderte. Y una vez que desarrollas el hábito de ver tu propia huella con ojos externos, empiezas a tomar decisiones de publicación diferentes. Más deliberadas. Con más criterio.

¿Quieres aprender más sobre ciberseguridad aplicada a tu día a día? Visita el blog para acceder a más recursos gratuitos. Y si este artículo te ha resultado útil, compártelo: una persona más informada es una persona más difícil de engañar.

ETIQUETAS: OSINT qué es, huella digital pública, privacidad online 2026, cómo te investigan antes de atacarte, auditoría digital personal, ingeniería social OSINT, seguridad digital familias, reducir exposición datos personales