OSINT Forense
Disciplina que aplica técnicas de inteligencia de fuentes abiertas (Open Source Intelligence) al ámbito forense y judicial, recopilando, preservando y analizando información públicamente accesible con estándares de cadena de custodia para su admisibilidad como prueba en procedimientos legales.
¿Qué es OSINT forense?
OSINT (Open Source Intelligence o Inteligencia de Fuentes Abiertas) es la disciplina de recopilar, analizar y correlacionar información procedente de fuentes públicamente accesibles. Cuando esta disciplina se aplica al ámbito forense y judicial, hablamos de OSINT forense: una práctica que combina las técnicas de investigación en fuentes abiertas con los requisitos probatorios exigidos por los tribunales.
La diferencia clave entre el OSINT convencional (utilizado en ciberseguridad, periodismo de investigación o inteligencia empresarial) y el OSINT forense radica en el rigor metodológico: cada dato recopilado debe preservarse con garantías de integridad, trazabilidad y cadena de custodia para que pueda ser admitido como prueba en un procedimiento judicial.
OSINT no es hacking
El OSINT forense trabaja exclusivamente con información pública: perfiles abiertos en redes sociales, registros WHOIS, bases de datos públicas, resultados de motores de búsqueda, certificados SSL, registros DNS y cualquier dato que no requiera autenticación ni acceso no autorizado para ser consultado.
Origen y evolución del OSINT
El concepto de inteligencia de fuentes abiertas tiene su origen en el ámbito militar e institucional. Las agencias de inteligencia llevan décadas recopilando información de medios de comunicación, publicaciones científicas y documentos públicos. Con la digitalización y la explosión de las redes sociales, el volumen de información pública disponible ha crecido exponencialmente:
| Año | Hito relevante | Impacto en OSINT |
|---|---|---|
| 1947 | Creación de la CIA (OSS → CIA) | Primeras unidades formales de open source intelligence |
| 1996 | Creación de OSINT como disciplina formal (IC) | Reconocimiento oficial dentro de la comunidad de inteligencia de EE. UU. |
| 2004 | Lanzamiento de Facebook | Inicio de la era de perfiles públicos masivos |
| 2006 | Lanzamiento de Shodan | Primer motor de búsqueda de dispositivos conectados |
| 2010 | Primer uso masivo de OSINT en Primavera Árabe | Redes sociales como fuente de inteligencia en tiempo real |
| 2012 | Lanzamiento de Maltego CE | Democratización de herramientas OSINT gráficas |
| 2014 | Bellingcat investiga derribo MH17 | OSINT como herramienta de periodismo de investigación |
| 2018 | Entrada en vigor del RGPD | Nuevas restricciones legales al tratamiento de datos personales |
| 2020 | Pandemia COVID-19 | Explosión de fraudes digitales → mayor demanda de OSINT forense |
| 2024-2026 | IA generativa y deepfakes | Nuevos retos: verificación de autenticidad de fuentes OSINT |
Diferencias entre OSINT genérico y OSINT forense
| Aspecto | OSINT genérico | OSINT forense |
|---|---|---|
| Objetivo | Obtener información | Obtener pruebas admisibles |
| Cadena de custodia | No requerida | Obligatoria |
| Hashing | Opcional | SHA-256 de cada artefacto |
| Sellado temporal | No | Sí (timestamp verificable) |
| Documentación | Informal | Informe pericial estructurado |
| Reproducibilidad | Deseable | Exigida |
| Marco legal | Flexible | Art. 197 CP, RGPD, LOPD-GDD |
| Quién lo realiza | Analistas, periodistas, hackers éticos | Perito informático forense |
| Destinatario | Cliente, organización | Juez, tribunal, abogado |
| Formato de salida | Informe libre | Informe pericial con estructura judicial |
Fuentes de información OSINT
Las fuentes de OSINT forense se clasifican en categorías según su naturaleza y el tipo de información que proporcionan. Un investigador forense debe conocer todas estas fuentes y saber cuándo utilizar cada una.
Fuentes de identidad digital
| Fuente | Qué revela | Herramienta principal |
|---|---|---|
| Redes sociales | Conexiones, ubicaciones, actividad, intereses | Sherlock, Social-Analyzer, Maltego |
| Foros y comunidades | Alias, discusiones, conocimiento técnico | Google Dorks, IntelX |
| Registros de dominio (WHOIS) | Propietario, fechas, contactos, registrador | WHOIS CLI, DomainTools |
| Correos electrónicos | Cuentas vinculadas, brechas de datos | Have I Been Pwned, Hunter.io, theHarvester |
| Nombres de usuario | Presencia multiplataforma | Sherlock, Namechk, WhatsMyName |
| Imágenes y fotografías | Ubicación, dispositivo, fecha, personas | TinEye, Google Reverse Image, ExifTool |
| Documentos públicos | Metadatos, autoría, software utilizado | FOCA, ExifTool, metagoofil |
Fuentes de infraestructura técnica
| Fuente | Qué revela | Herramienta principal |
|---|---|---|
| DNS | Subdominios, registros MX, SPF, historial | DNSRecon, Sublist3r, SecurityTrails |
| Certificados SSL/TLS | Dominios asociados, fechas, entidad emisora | crt.sh, Censys, SSLShopper |
| IP y rangos de red | Geolocalización, ASN, hosting | Shodan, Censys, IPInfo |
| Puertos y servicios | Servicios expuestos, versiones, vulnerabilidades | Shodan, Censys, Nmap (solo con autorización) |
| Archivos robots.txt y sitemap | Estructura del sitio, directorios ocultos | Acceso directo por URL |
| Wayback Machine | Versiones históricas de sitios web | web.archive.org, Wayback CDX API |
| Registros BGP | Rutas de red, cambios de ASN | BGPView, Hurricane Electric |
Fuentes institucionales y legales
| Fuente | Qué revela | Acceso |
|---|---|---|
| Registro Mercantil | Sociedades, administradores, cuentas anuales | registradores.org |
| BOE y BOJA | Publicaciones oficiales, sanciones, subvenciones | boe.es |
| CNMV | Avisos sobre chiringuitos financieros | cnmv.es |
| CENDOJ | Jurisprudencia y resoluciones judiciales | poderjudicial.es |
| Catastro | Datos inmobiliarios asociados a personas | sedecatastro.gob.es |
| Lista Robinson | Oposición a comunicaciones comerciales | listarobinson.es |
| INCIBE | Alertas de seguridad, campañas de fraude | incibe.es |
Límite legal fundamental
El acceso a bases de datos que requieran autenticación con credenciales ajenas, la interceptación de comunicaciones o la explotación de vulnerabilidades NO es OSINT. Cruzar esa línea convierte la investigación en un delito tipificado en los artículos 197 y 197 bis del Código Penal, con penas de 1 a 4 años de prisión.
Herramientas principales de OSINT forense
Maltego
Maltego es la herramienta de referencia para investigaciones OSINT que requieren correlación de entidades. Su interfaz de grafos permite visualizar relaciones complejas entre personas, dominios, IPs, emails, números de teléfono y otros elementos.
Características clave:
| Característica | Detalle |
|---|---|
| Tipo | Plataforma de análisis de enlaces y grafos |
| Licencia | Community Edition (gratuita) / Commercial / Enterprise |
| Transforms | +150 integraciones con fuentes de datos |
| Visualización | Grafos interactivos, mapas de calor, líneas temporales |
| Exportación | PDF, CSV, XML, imagen — admisibles como anexo pericial |
| Uso forense | Correlación de identidades, mapping de infraestructura, análisis de red social |
Ejemplo práctico de investigación con Maltego:
Entrada inicial: email sospechoso → info@empresa-falsa.com
Transform 1: Email → Dominios asociados
→ empresa-falsa.com (registrado 15/01/2026)
→ empresa-falsa.es (registrado 16/01/2026)
Transform 2: Dominio → WHOIS
→ Registrante: "Juan García" (probablemente falso)
→ Email registrante: juangarcia88@protonmail.com
→ Servidor DNS: cloudflare
Transform 3: Email registrante → Otros dominios
→ otra-estafa.com (registrado 10/12/2025)
→ inversiones-seguras.es (registrado 05/11/2025)
Transform 4: Dominios → IPs
→ 185.234.xx.xx (mismo servidor para los 4 dominios)
Transform 5: IP → Otros dominios alojados
→ 12 dominios adicionales con patrón de estafa
Resultado: Red de 16 dominios fraudulentos vinculados
a una misma infraestructura y email de contacto.Shodan
Shodan es un motor de búsqueda que indexa dispositivos conectados a Internet. A diferencia de Google, que indexa contenido web, Shodan escanea puertos y servicios, identificando servidores, cámaras IP, dispositivos IoT, sistemas SCADA y cualquier equipo con una IP pública.
Aplicaciones forenses de Shodan:
| Caso de uso | Búsqueda Shodan | Qué revela |
|---|---|---|
| Servidor de phishing | hostname:empresa-falsa.com | Servicios, tecnología, ubicación |
| Cámaras IP expuestas | webcam city:"Madrid" | Dispositivos inseguros |
| Servidor de C&C | ip:185.234.xx.xx | Puertos abiertos, servicios maliciosos |
| Infraestructura del sospechoso | org:"Nombre ISP" port:8080 | Servicios expuestos |
| Bases de datos abiertas | mongodb port:27017 country:"ES" | Datos expuestos sin autenticación |
| Servidores email | port:25 hostname:dominio.com | Configuración SMTP |
SpiderFoot
SpiderFoot es un framework de automatización OSINT de código abierto que ejecuta más de 200 módulos de recopilación de datos a partir de un seed (semilla) inicial como un dominio, IP, email o nombre.
Ventajas para el perito forense:
- Automatización completa del reconocimiento inicial
- Generación de informes en múltiples formatos
- Correlación automática entre hallazgos
- Módulos específicos para detección de datos filtrados
- Interfaz web intuitiva con visualización de grafos
- Posibilidad de ejecutar desde la línea de comandos para reproducibilidad
Recon-ng
Recon-ng es un framework modular escrito en Python con una estructura similar a Metasploit, diseñado específicamente para reconocimiento web. Su arquitectura de módulos permite una investigación sistemática y reproducible.
[recon-ng][default] > marketplace search whois
[*] Searching module index for 'whois'...
Path Description
---- -----------
recon/domains-contacts/whois_pocs WHOIS POC Harvester
recon/domains-hosts/hackertarget HackerTarget DNS Lookup
recon/domains-hosts/threatminer ThreatMiner DNS Lookup
[recon-ng][default] > modules load recon/domains-contacts/whois_pocs
[recon-ng][default][whois_pocs] > options set SOURCE empresa-falsa.com
[recon-ng][default][whois_pocs] > runtheHarvester
theHarvester se especializa en la recopilación de emails, subdominios, IPs y nombres asociados a un dominio objetivo, utilizando múltiples motores de búsqueda y APIs.
# Recopilación de emails y subdominios asociados a un dominio
theharvester -d empresa-sospechosa.com -b all -l 500
# Resultado típico:
# Emails encontrados: 12
# admin@empresa-sospechosa.com
# info@empresa-sospechosa.com
# jgarcia@empresa-sospechosa.com
#
# Subdominios encontrados: 8
# mail.empresa-sospechosa.com
# vpn.empresa-sospechosa.com
# staging.empresa-sospechosa.com ← Entorno de pruebas expuesto
# old.empresa-sospechosa.com ← Versión antigua del sitioHerramientas complementarias
| Herramienta | Función principal | Uso forense |
|---|---|---|
| Hunchly | Captura automática de navegación web | Preservación de evidencias con hash y timestamp |
| Sherlock | Búsqueda de usernames en +400 plataformas | Correlación de identidades digitales |
| ExifTool | Extracción de metadatos de archivos | Geolocalización, fechas, dispositivos |
| FOCA | Análisis de metadatos en documentos | Usuarios, software, rutas de red internas |
| Wayback Machine | Archivo histórico de internet | Recuperación de contenido eliminado |
| crt.sh | Transparencia de certificados SSL | Descubrimiento de subdominios |
| IntelX | Motor de búsqueda de inteligencia | Datos filtrados, dark web, paste sites |
| Social-Analyzer | Análisis de perfiles en redes sociales | Investigación de identidades digitales |
| GHunt | OSINT sobre cuentas de Google | Información vinculada a emails Gmail |
| Holehe | Verificación de email en plataformas | Determinar en qué servicios está registrado un email |
Herramienta imprescindible: Hunchly
Para el perito forense, Hunchly es posiblemente la herramienta más importante: captura automáticamente cada página web visitada durante la investigación, calcula hashes SHA-256, registra timestamps y genera un informe de cadena de custodia listo para adjuntar al dictamen pericial.
Metodología de investigación OSINT forense
La investigación OSINT forense sigue una metodología estructurada que garantiza la admisibilidad de los hallazgos como prueba judicial. A diferencia del OSINT informal, cada paso debe documentarse de forma rigurosa.
Fases de la investigación
Definición del objetivo y alcance: El abogado o cliente define qué se necesita investigar. Se documenta formalmente el encargo: qué información se busca, sobre quién o qué, con qué finalidad y en qué plazo. Se firma un acuerdo de confidencialidad y se establece el marco legal aplicable.
Preparación del entorno: Se configura un entorno de investigación aislado: máquina virtual dedicada, VPN, navegador limpio sin cookies previas, herramientas OSINT instaladas y verificadas. Se activa Hunchly u otra herramienta de captura automática. Se inicia el log de actuaciones con fecha, hora y descripción del entorno.
Recopilación pasiva: Se recopila información sin interactuar directamente con el objetivo: búsquedas en motores (Google Dorks), consultas WHOIS, análisis DNS, búsqueda en redes sociales abiertas, Wayback Machine, registros públicos. Cada hallazgo se captura con screenshot + hash SHA-256.
Recopilación activa controlada: Si el alcance lo permite, se realizan consultas directas a servicios públicos del objetivo: resolución DNS, análisis de certificados SSL, consultas a APIs públicas. Se documenta cada consulta realizada con timestamp, comando exacto y resultado obtenido.
Análisis y correlación: Se procesan los datos recopilados, buscando conexiones entre entidades (personas, dominios, IPs, emails). Se utiliza Maltego u otra herramienta de grafos para visualizar relaciones. Se identifican patrones, anomalías y elementos de interés probatorio.
Verificación y contraste: Cada hallazgo relevante se verifica mediante al menos dos fuentes independientes. Se descartan los datos no verificables o de procedencia dudosa. Se comprueba que ninguna información se obtuvo mediante acceso no autorizado.
Preservación forense de evidencias: Todos los archivos recopilados se empaquetan en un contenedor forense con hash SHA-256 global. Se genera un acta de preservación con el listado de evidencias, sus hashes individuales y el hash del contenedor. Se almacenan copias de seguridad en al menos dos ubicaciones independientes.
Elaboración del informe pericial: Se redacta el informe pericial estructurado con: identificación del perito, objeto del encargo, metodología empleada, herramientas utilizadas, hallazgos (con referencias a las evidencias preservadas), conclusiones y anexos. El informe debe permitir a otro perito reproducir la investigación.
Documentación del proceso investigador
La documentación es el elemento que diferencia una investigación OSINT informal de un trabajo pericial. El log de actuaciones debe registrar:
═══════════════════════════════════════════════════
LOG DE ACTUACIONES — OSINT FORENSE
Expediente: 2026-OSINT-0042
Perito: Jonathan Izquierdo
Fecha inicio: 30/03/2026 09:00 CET
═══════════════════════════════════════════════════
[09:00] Inicio de sesión de investigación
Entorno: Ubuntu 22.04 VM (hash imagen: a3b4c5d6...)
VPN: Mullvad (servidor ES-MAD-001)
Herramientas: Maltego 4.6, SpiderFoot 4.0, Hunchly 2.0
Hunchly activado — sesión ID: HN-20260330-001
[09:05] Consulta WHOIS: empresa-falsa.com
Comando: whois empresa-falsa.com
Resultado: Registrado 15/01/2026 via Namecheap
Hash resultado: SHA256:e7f8a9b0c1d2...
Captura: evidencia-001.png (SHA256:f1e2d3c4...)
[09:12] Búsqueda Google Dorks: "empresa-falsa.com"
Query: site:empresa-falsa.com OR "empresa-falsa.com"
Resultados: 47 páginas indexadas
Hash captura: SHA256:b2c3d4e5...
[09:18] Análisis DNS: empresa-falsa.com
Comando: dig empresa-falsa.com ANY
Registros A: 185.234.xx.xx
Registros MX: mail.empresa-falsa.com
Hash resultado: SHA256:c3d4e5f6...
[...continúa...]OSINT en redes sociales
Las redes sociales constituyen la fuente de OSINT más rica y, al mismo tiempo, más compleja desde el punto de vista legal. Los perfiles públicos ofrecen una cantidad enorme de información útil para investigaciones forenses.
Técnicas de análisis en redes sociales
| Técnica | Descripción | Plataformas aplicables |
|---|---|---|
| Username pivoting | Buscar el mismo nombre de usuario en múltiples plataformas | Todas (Sherlock, WhatsMyName) |
| Reverse image search | Localizar otras apariciones de una foto de perfil | Google Images, TinEye, Yandex |
| Timeline reconstruction | Reconstruir cronología de actividad | Twitter, Facebook, Instagram |
| Análisis de conexiones | Mapear red de contactos públicos | LinkedIn, Facebook, Twitter |
| Geolocalización por contenido | Identificar ubicaciones a partir de fotos o check-ins | Instagram, Facebook, Twitter |
| Análisis de metadatos | Extraer datos EXIF de imágenes publicadas | Todas (ExifTool) |
| Análisis lingüístico | Identificar patrones de escritura, idioma, horarios | Todas |
| Análisis de hashtags | Rastrear participación en conversaciones temáticas | Twitter, Instagram, TikTok |
Búsqueda inversa de imágenes
La búsqueda inversa de imágenes es una técnica esencial en OSINT forense, especialmente en casos de suplantación de identidad, perfiles falsos o estafas románticas.
Proceso forense de búsqueda inversa:
Descarga de la imagen original: Guardar la imagen del perfil sospechoso con su URL original, calculando el hash SHA-256 inmediatamente.
Análisis de metadatos EXIF: Ejecutar ExifTool sobre la imagen buscando coordenadas GPS, modelo de cámara, fecha de creación y software de edición.
Búsqueda en múltiples motores: Subir la imagen a Google Images, Yandex Images (especialmente eficaz con rostros), TinEye y Bing Visual Search. Cada motor tiene diferentes índices.
Análisis de resultados: Identificar la aparición más antigua de la imagen (probable fuente original), comparar contextos (la misma foto aparece en un banco de imágenes, otro perfil, una web de modelaje) y documentar cada hallazgo.
Verificación de manipulación: Comprobar si la imagen ha sido editada, recortada o modificada mediante análisis ELA (Error Level Analysis) o herramientas como FotoForensics.
Documentación forense: Generar un informe con todas las apariciones encontradas, fechas de indexación, URLs y capturas preservadas con hash.
Análisis de perfiles y patrones de comportamiento
En investigaciones de ciberacoso, amenazas o suplantación de identidad, el análisis del comportamiento del perfil puede revelar información crucial:
| Indicador | Qué revela | Valor probatorio |
|---|---|---|
| Horario de publicación | Zona horaria real del usuario | Localización geográfica aproximada |
| Frecuencia de posts | Patrón de actividad, posible automatización | Diferencia entre persona real y bot |
| Idioma y jerga | Origen geográfico, nivel educativo | Identificación del autor |
| Interacciones | Red de contactos, vínculos reales | Conexión con otros sospechosos |
| Evolución del perfil | Fecha de creación, cambios de nombre/foto | Perfiles creados ad hoc para acoso |
| Coherencia de datos | Contradicciones entre publicaciones | Perfil falso o suplantado |
| Contenido compartido | Intereses, ideología, afiliaciones | Motivación del sospechoso |
Perfiles privados: fuera de OSINT
Si un perfil en redes sociales está configurado como privado, su contenido NO es fuente abierta. Acceder a él mediante cuentas falsas, ingeniería social o exploits técnicos constituye un delito de acceso ilícito (art. 197 bis CP). Solo se puede analizar la información que el propio usuario ha hecho pública voluntariamente.
OSINT de infraestructura: dominios, IPs y servicios
El análisis de infraestructura técnica es fundamental en investigaciones de fraude online, phishing, distribución de malware y ciberataques. El perito forense puede obtener una cantidad notable de información sobre el atacante analizando la infraestructura que utiliza.
Análisis de dominios
Investigación WHOIS y registros de dominio:
$ whois empresa-estafa.com
Domain Name: EMPRESA-ESTAFA.COM
Registry Domain ID: 2812345678_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2026-01-15T10:23:45Z
Creation Date: 2026-01-15T10:23:45Z ← Dominio muy reciente
Registrar: NameCheap, Inc.
Registrant Name: WhoisGuard Protected ← Datos protegidos
Registrant Organization: WhoisGuard, Inc.
Registrant Country: PA ← Panamá (servicio de privacidad)
Name Server: NS1.CLOUDFLARE.COM
Name Server: NS2.CLOUDFLARE.COMDatos clave para el informe pericial:
| Dato | Relevancia forense |
|---|---|
| Fecha de creación | Dominio reciente → mayor probabilidad de fraude |
| Registrador | Namecheap, GoDaddy (populares entre estafadores por aceptar criptomonedas) |
| Protección WHOIS | WhoisGuard/Privacidad activada → intento de ocultar identidad |
| País del registrante | Puede indicar origen del atacante (aunque los servicios de privacidad lo ocultan) |
| Servidores DNS | Cloudflare, registrador propio → información sobre infraestructura |
| Historial de cambios | DomainTools WHOIS History revela cambios de propietario |
Análisis DNS avanzado
# Registros DNS completos
$ dig empresa-estafa.com ANY +noall +answer
empresa-estafa.com. 300 IN A 185.234.xx.xx
empresa-estafa.com. 300 IN MX 10 mail.empresa-estafa.com.
empresa-estafa.com. 300 IN TXT "v=spf1 include:_spf.google.com ~all"
empresa-estafa.com. 300 IN NS ns1.cloudflare.com.
# Historial DNS (SecurityTrails)
# Revela IPs anteriores, cambios de hosting, otros dominios en la misma IPSubdominios descubiertos y su relevancia:
| Subdominio | Qué indica |
|---|---|
mail.empresa-estafa.com | Servidor de correo propio (para enviar phishing) |
vpn.empresa-estafa.com | Infraestructura VPN (posible acceso remoto del atacante) |
admin.empresa-estafa.com | Panel de administración (gestión de la estafa) |
api.empresa-estafa.com | API (posible exfiltración automatizada de datos) |
staging.empresa-estafa.com | Entorno de pruebas (puede revelar versiones sin proteger) |
old.empresa-estafa.com | Versión anterior (puede tener datos históricos útiles) |
Análisis de IPs y geolocalización
# Consulta Shodan de la IP del servidor sospechoso
$ shodan host 185.234.xx.xx
IP: 185.234.xx.xx
Organization: Hosting Company X
Country: Netherlands
City: Amsterdam
OS: Ubuntu
Ports:
80/tcp HTTP nginx 1.18.0
443/tcp HTTPS nginx 1.18.0
22/tcp SSH OpenSSH 8.9p1
8080/tcp HTTP Apache Tomcat 9.0.65 ← Posible panel de control
Vulnerabilities:
CVE-2023-XXXXX (Critical) ← Servidor sin parchearCertificados SSL y transparencia
Los registros de Certificate Transparency (CT) son una mina de información para OSINT:
# Consulta a crt.sh para descubrir todos los certificados
# emitidos para un dominio (incluidos subdominios)
$ curl -s "https://crt.sh/?q=empresa-estafa.com&output=json" | jq '.[].name_value' | sort -u
empresa-estafa.com
*.empresa-estafa.com
mail.empresa-estafa.com
admin.empresa-estafa.com
panel.empresa-estafa.com ← Subdominio no encontrado por DNS
payment.empresa-estafa.com ← Posible sistema de cobros
api-internal.empresa-estafa.com ← API interna expuestaLos certificados no mienten
Los registros de Certificate Transparency son públicos e inmutables. Si un dominio solicitó un certificado SSL, queda registrado para siempre. Esto es especialmente útil cuando el atacante ha eliminado el dominio: los registros CT demuestran que existió y cuándo.
Marco legal del OSINT en España
El OSINT forense opera dentro de un marco legal que el perito debe conocer en profundidad. La línea entre investigación legítima y delito puede ser delgada, y cruzarla invalida toda la investigación como prueba.
Legislación aplicable
| Norma | Artículo | Relevancia para OSINT |
|---|---|---|
| Código Penal | Art. 197 | Descubrimiento y revelación de secretos. Prohíbe acceder a datos de carácter personal sin consentimiento. |
| Código Penal | Art. 197 bis | Acceso ilícito a sistemas informáticos. Pena de 6 meses a 2 años. |
| Código Penal | Art. 197 ter | Facilitación de herramientas para cometer delitos del 197 bis. |
| RGPD | Art. 6 | Bases de legitimación para el tratamiento de datos personales. |
| RGPD | Art. 9 | Categorías especiales de datos (ideología, salud, orientación sexual). |
| LOPD-GDD | Art. 24 | Sistemas de información de denuncias internas. |
| LEC | Art. 299.2 | Medios de prueba: incluye “instrumentos que permiten archivar y conocer datos relevantes”. |
| LEC | Art. 382-384 | Prueba por instrumentos tecnológicos y medios de reproducción. |
| Constitución | Art. 18 | Derecho a la intimidad, al honor y a la propia imagen. |
Qué se puede y qué no se puede hacer
| Actividad | ¿Legal? | Base legal |
|---|---|---|
| Consultar perfiles públicos en redes sociales | Sí | Información publicada voluntariamente |
| Consultar registros WHOIS públicos | Sí | Datos registrales de acceso público |
| Buscar en Google, Bing, Shodan | Sí | Motores de búsqueda indexan información pública |
| Consultar Registro Mercantil | Sí | Registro público |
| Analizar metadatos de documentos públicos | Sí | Información embebida en documentos accesibles |
| Usar cuentas falsas para acceder a perfiles privados | NO | Art. 197 bis CP — acceso ilícito |
| Interceptar comunicaciones (email, WhatsApp) | NO | Art. 197.1 CP — violación de comunicaciones |
| Explotar vulnerabilidades para obtener datos | NO | Art. 197 bis CP — acceso ilícito a sistemas |
| Acceder a bases de datos protegidas con contraseña | NO | Art. 197 bis CP |
| Comprar datos en mercados de la dark web | NO | Art. 197.3 CP — difusión de datos sustraídos |
| Rastrear ubicación GPS sin consentimiento | NO | Art. 197.1 CP + art. 18 CE |
| Suplantar identidad para obtener información | NO | Art. 401 CP — usurpación de estado civil |
Jurisprudencia relevante
STS 300/2015: Estableció criterios para la admisibilidad de evidencias digitales obtenidas de fuentes abiertas, reconociendo su validez cuando se garantiza la cadena de custodia y la integridad de los datos.
SAP Madrid 452/2019: Admitió como prueba capturas de pantalla de perfiles públicos de redes sociales, siempre que estuvieran acompañadas de un informe pericial que verificara su autenticidad y la metodología de obtención.
STS 489/2018: Declaró nula la prueba obtenida mediante acceso a un perfil privado de Facebook usando credenciales proporcionadas por un tercero, al vulnerar el derecho a la intimidad del investigado.
STSJ Cataluña 3874/2020: Validó una investigación OSINT completa realizada por un perito informático forense en un caso de competencia desleal, destacando la importancia de la documentación metodológica y la reproducibilidad del proceso.
El RGPD no prohíbe OSINT, pero lo limita
El Reglamento General de Protección de Datos (RGPD) no prohíbe la recopilación de datos personales de fuentes abiertas, pero exige una base de legitimación. En el contexto forense, la base suele ser el interés legítimo (art. 6.1.f RGPD) o el ejercicio de reclamaciones judiciales (art. 9.2.f RGPD). El perito debe documentar esta base en su informe.
Comparación: OSINT vs hacking
Una de las confusiones más frecuentes es la frontera entre OSINT legítimo y técnicas de hacking. Es fundamental que tanto el perito como el abogado que encarga la investigación comprendan esta diferencia.
Diferencias técnicas y legales
| Criterio | OSINT | Hacking |
|---|---|---|
| Acceso | Solo información pública | Acceso no autorizado a sistemas/datos |
| Herramientas | Motores de búsqueda, WHOIS, Shodan, redes sociales | Exploits, malware, ingeniería social intrusiva |
| Interacción con el objetivo | Pasiva o mínima (consultas públicas) | Activa e intrusiva (explotación de vulnerabilidades) |
| Legalidad | Legal (dentro de límites) | Ilegal (art. 197 bis CP) |
| Admisibilidad | Prueba válida si hay cadena de custodia | Prueba nula (art. 11.1 LOPJ — prueba ilícita) |
| Riesgo para el perito | Ninguno | Responsabilidad penal |
| Ejemplo | Buscar “empresa-falsa.com” en Google | Inyectar SQL en la web de empresa-falsa.com |
Zonas grises
Existen situaciones que pueden generar dudas y que el perito debe manejar con prudencia:
| Situación | Evaluación | Recomendación |
|---|---|---|
| Encontrar un directorio /admin sin protección | Zona gris: accesible pero no intencionadamente público | Documentar que es accesible pero NO interactuar con el panel |
| Descubrir credenciales en un paste público | Legal consultar, pero los datos son robados | Documentar la existencia, informar al afectado, NO usar las credenciales |
| Base de datos MongoDB sin autenticación | Accesible técnicamente pero no intencionadamente pública | Documentar la exposición, NO descargar datos personales |
| Imagen con coordenadas GPS en perfil público | Legal: metadatos incluidos voluntariamente | Extraer y documentar, pero evaluar proporcionalidad |
| Web archivada en Wayback Machine pero ya eliminada | Legal: la Wayback Machine es un archivo público | Documentar con timestamp de la captura original |
Casos reales de OSINT forense
Caso 1: Identificación de red de phishing bancario
Contexto: Un bufete de abogados encargó una investigación OSINT para identificar la infraestructura detrás de una campaña de phishing que había afectado a 47 clientes de un banco español, con un perjuicio total de 380.000 euros.
Investigación OSINT realizada:
| Fase | Hallazgo | Herramienta |
|---|---|---|
| WHOIS del dominio phishing | Registrado con WhoisGuard (Panamá) | WHOIS CLI |
| Historial DNS | IP compartida con 8 dominios más de phishing | SecurityTrails |
| Análisis Shodan de la IP | Servidor en Países Bajos, panel de control en puerto 8443 | Shodan |
| Certificados SSL | 12 dominios vinculados al mismo certificado wildcard | crt.sh |
| Emails asociados | Email del registrante aparecía en un foro de hacking (2019) | IntelX |
| Correlación de username | Mismo nickname en Telegram, GitHub y un foro de carding | Sherlock |
| Wayback Machine | Versiones anteriores de los dominios con datos del atacante | web.archive.org |
Resultado: Se identificó un grupo organizado con base en Europa del Este que operaba 12 dominios de phishing bancario. La investigación OSINT fue clave para obtener una orden de cooperación judicial internacional.
Caso 2: Suplantación de identidad en redes sociales
Contexto: Un empresario descubrió que existían perfiles falsos en LinkedIn, Instagram y Twitter que utilizaban su nombre, fotografías y datos profesionales para estafar a potenciales inversores.
Investigación OSINT:
Análisis de imágenes: Búsqueda inversa de las fotos de perfil. Se descubrió que las imágenes procedían de las redes sociales legítimas del empresario, modificadas con herramientas de edición para evitar la detección.
Username pivoting: El nombre de usuario del perfil falso de Instagram (
inversor_carlos_m) aparecía también en Telegram y en un foro de criptomonedas fraudulentas.Análisis de seguidores: Los perfiles falsos tenían seguidores comprados (bots con patrones identificables: creación reciente, sin foto, nombres genéricos).
Timeline de actividad: El perfil falso publicaba entre las 08:00 y las 16:00 CET, sugiriendo zona horaria UTC+2/UTC+3.
Análisis lingüístico: Los mensajes del perfil falso contenían errores gramaticales consistentes con un hablante no nativo de español, con interferencias del ruso.
Infraestructura vinculada: Los enlaces de “inversión” del perfil apuntaban a un dominio registrado en Namecheap con la misma IP que otros 5 dominios de estafas de criptomonedas.
Resultado: El informe pericial OSINT documentó la suplantación con evidencias suficientes para que el juzgado ordenara a las plataformas la eliminación de los perfiles falsos y la entrega de datos de registro (IP de creación, email asociado).
Caso 3: Competencia desleal y fuga de información
Contexto: Una empresa tecnológica sospechaba que un exempleado estaba revelando información confidencial a un competidor. El caso requería demostrar la conexión entre el exempleado y la empresa rival sin acceder a comunicaciones privadas.
Investigación OSINT:
| Hallazgo | Fuente | Relevancia |
|---|---|---|
| Perfil de LinkedIn actualizado con puesto en empresa rival | LinkedIn (público) | Confirma nueva relación laboral |
| Publicaciones técnicas del exempleado en Medium | Medium (público) | Contenido con información confidencial de la empresa original |
| Dominio registrado por el exempleado | WHOIS | Dominio similar al producto de la empresa original |
| Repositorio GitHub con código fuente | GitHub (público) | Fragmentos de código propietario de la empresa original |
| Presentación en SlideShare | SlideShare (público) | Diapositivas con datos internos de la empresa |
| Metadatos de documentos PDF en web del competidor | ExifTool + FOCA | Autor: nombre del exempleado. Software: versión corporativa de MS Office |
Resultado: La investigación OSINT demostró la conexión y la fuga de información sin necesidad de acceder a ningún sistema privado. El informe pericial fue clave para la demanda de competencia desleal.
Preservación de evidencias OSINT
La preservación adecuada de las evidencias recopiladas mediante OSINT es lo que otorga valor probatorio a la investigación. Sin una cadena de custodia rigurosa, los hallazgos más reveladores pueden ser impugnados y desestimados por el tribunal.
Requisitos de la cadena de custodia OSINT
| Requisito | Implementación | Herramienta |
|---|---|---|
| Integridad | Hash SHA-256 de cada archivo recopilado | sha256sum, HashMyFiles |
| Autenticidad | Sellado temporal (timestamp) verificable | FreeTSA, DigiStamp |
| Trazabilidad | Log de actuaciones con fecha, hora y acción | Hunchly, log manual |
| Reproducibilidad | Documentar comandos exactos y configuración | Informe metodológico |
| Almacenamiento seguro | Cifrado AES-256, copias redundantes | VeraCrypt, discos externos |
| No repudio | Firma digital del perito sobre el informe | Certificado digital FNMT |
Estructura de carpetas forenses
caso-2026-OSINT-0042/
├── 00-encargo/
│ ├── acuerdo-encargo.pdf
│ └── alcance-investigacion.pdf
├── 01-evidencias/
│ ├── whois/
│ │ ├── empresa-falsa-com-whois.txt
│ │ └── empresa-falsa-com-whois.txt.sha256
│ ├── dns/
│ │ ├── empresa-falsa-com-dns-all.txt
│ │ └── empresa-falsa-com-dns-all.txt.sha256
│ ├── redes-sociales/
│ │ ├── perfil-instagram-captura-20260330.png
│ │ ├── perfil-instagram-captura-20260330.png.sha256
│ │ ├── perfil-twitter-captura-20260330.png
│ │ └── perfil-twitter-captura-20260330.png.sha256
│ ├── shodan/
│ │ ├── ip-185234xxxx-shodan.json
│ │ └── ip-185234xxxx-shodan.json.sha256
│ └── certificados/
│ ├── crt-sh-empresa-falsa.json
│ └── crt-sh-empresa-falsa.json.sha256
├── 02-analisis/
│ ├── maltego-grafo-relaciones.mtgx
│ ├── timeline-actividad.xlsx
│ └── correlacion-entidades.pdf
├── 03-log-actuaciones/
│ ├── log-completo.txt
│ └── hunchly-export.pdf
├── 04-informe/
│ ├── informe-pericial-OSINT-2026-042.pdf
│ ├── informe-pericial-OSINT-2026-042.pdf.sha256
│ └── anexos/
├── hashes-maestro.txt ← Hash global de todo el contenido
└── hashes-maestro.txt.sha256Preservación de páginas web
Las páginas web son efímeras: pueden ser modificadas o eliminadas en cualquier momento. El perito debe preservarlas de forma inmediata y verificable:
| Método | Ventajas | Limitaciones |
|---|---|---|
| Hunchly | Automático, hash integrado, informe forense | De pago, solo Chrome |
| SingleFile | Guarda página completa en un archivo HTML | Sin hash automático |
| Wayback Machine Save | Timestamp verificable por tercero | No siempre funciona con JavaScript |
| HTTrack | Copia completa de sitios web | Puede ser detectado como scraping |
| Screenshot + hash | Simple, rápido | No preserva el código fuente |
| Archive.today | Timestamp independiente, persistente | Limitado en sitios con JavaScript |
| PDF desde navegador | Preserva contenido visual | Pierde funcionalidad interactiva |
Regla de oro: preservar antes de analizar
En OSINT forense, la primera acción al encontrar información relevante es preservarla. Antes de analizarla, investigarla o seguir navegando, capturar la evidencia con screenshot + hash. Los contenidos online pueden desaparecer en minutos.
Limitaciones éticas y buenas prácticas
Código ético del investigador OSINT forense
| Principio | Aplicación práctica |
|---|---|
| Legalidad | Solo fuentes abiertas. Nunca acceso no autorizado. |
| Proporcionalidad | Recopilar solo la información necesaria para el encargo. |
| Minimización de datos | No almacenar datos personales irrelevantes para la investigación. |
| Confidencialidad | Proteger la identidad del cliente y los datos del investigado. |
| Imparcialidad | Documentar tanto hallazgos favorables como desfavorables para el cliente. |
| Transparencia metodológica | Describir con exactitud las herramientas y técnicas empleadas. |
| No causar daño | No notificar al investigado, no alterar evidencias, no publicar hallazgos. |
| Actualización continua | Mantenerse al día en técnicas, herramientas y legislación. |
Errores comunes en investigaciones OSINT
| Error | Consecuencia | Cómo evitarlo |
|---|---|---|
| No documentar el proceso | Hallazgos no reproducibles → impugnación | Log de actuaciones desde el minuto uno |
| Acceder a perfiles privados | Prueba nula + responsabilidad penal | Solo perfiles públicos, verificar privacidad |
| No calcular hashes | Integridad no demostrable → impugnación | Hash SHA-256 de cada archivo inmediatamente |
| Usar cuenta personal | Sesgo, contaminación de datos | Máquina virtual limpia + VPN |
| No verificar hallazgos | Información falsa en el informe | Mínimo dos fuentes independientes |
| Exceder el alcance del encargo | Vulneración de privacidad | Ceñirse estrictamente al encargo documentado |
| Almacenar datos en la nube sin cifrar | Brecha de confidencialidad | Cifrado AES-256, almacenamiento local |
| No considerar el RGPD | Sanción de la AEPD | Documentar base de legitimación |
Google Dorks para OSINT forense
Los Google Dorks (operadores avanzados de búsqueda) son una de las herramientas más potentes y accesibles del OSINT forense. Permiten extraer información pública que no aparece en búsquedas convencionales.
Operadores fundamentales
| Operador | Función | Ejemplo |
|---|---|---|
site: | Limitar búsqueda a un dominio | site:empresa-falsa.com |
intitle: | Buscar en el título de la página | intitle:"panel de control" |
inurl: | Buscar en la URL | inurl:admin |
filetype: | Buscar por tipo de archivo | filetype:pdf "confidencial" |
cache: | Ver versión cacheada de Google | cache:empresa-falsa.com |
intext: | Buscar en el cuerpo del texto | intext:"contraseña por defecto" |
link: | Páginas que enlazan a un dominio | link:empresa-falsa.com |
related: | Sitios similares | related:empresa-falsa.com |
- | Excluir resultados | site:empresa.com -www |
"" | Búsqueda exacta | "nombre del sospechoso" |
OR | Combinación de términos | "nombre1" OR "nombre2" |
* | Comodín | "el * de la empresa" |
AROUND(n) | Términos cercanos | "perito" AROUND(3) "informático" |
Dorks aplicados a investigación forense
Búsqueda de documentos expuestos:
# Documentos confidenciales de una empresa
site:empresa-objetivo.com filetype:pdf "confidencial"
site:empresa-objetivo.com filetype:xlsx "nómina" OR "salario"
site:empresa-objetivo.com filetype:doc "uso interno"
# Presentaciones con datos sensibles
site:empresa-objetivo.com filetype:pptx "estrategia" OR "presupuesto"
# Documentos de configuración
site:empresa-objetivo.com filetype:cfg OR filetype:conf OR filetype:ini
# Archivos de backup
site:empresa-objetivo.com filetype:sql OR filetype:bak OR filetype:oldBúsqueda de infraestructura expuesta:
# Paneles de administración
site:empresa-objetivo.com inurl:admin OR inurl:login OR inurl:panel
# Directorios abiertos
site:empresa-objetivo.com intitle:"index of" "parent directory"
# Archivos de log expuestos
site:empresa-objetivo.com filetype:log
# Phpinfo expuesto (revela configuración del servidor)
site:empresa-objetivo.com inurl:phpinfo.php
# Repositorios Git expuestos
site:empresa-objetivo.com inurl:.gitBúsqueda de información sobre personas:
# Perfiles profesionales
"nombre completo" site:linkedin.com OR site:xing.com
"nombre completo" curriculum OR CV filetype:pdf
# Presencia en redes sociales
"nombre completo" site:twitter.com OR site:instagram.com
"email@ejemplo.com" -site:ejemplo.com
# Datos en registros públicos
"nombre completo" site:boe.es OR site:registradores.org
# Participación en foros
"nombre completo" OR "nickname" site:forocoches.com OR site:reddit.comGoogle Dorks legales, siempre
Utilizar Google Dorks es legal porque accede a información que Google ya ha indexado públicamente. Sin embargo, si los resultados revelan información que no debería ser pública (por ejemplo, un directorio con datos personales expuesto por error), el perito debe documentar el hallazgo pero no descargar ni utilizar esos datos personales sin base de legitimación. Informar al responsable de la exposición es una buena práctica.
Automatización de Google Dorks
Para investigaciones a gran escala, los dorks pueden automatizarse respetando los límites de uso de Google:
# Ejemplo conceptual (NO ejecutar contra Google sin control de tasa)
import time
dorks = [
'site:empresa-objetivo.com filetype:pdf',
'site:empresa-objetivo.com inurl:admin',
'site:empresa-objetivo.com intitle:"index of"',
'"empresa-objetivo" filetype:xlsx',
]
for dork in dorks:
# Registrar cada consulta en el log de actuaciones
log_entry = f"[{datetime.now()}] Google Dork: {dork}"
save_to_log(log_entry)
# Ejecutar búsqueda (usar API oficial de Google Custom Search)
results = google_custom_search(dork)
# Preservar resultados con hash
for result in results:
screenshot = capture_page(result.url)
hash_sha256 = calculate_hash(screenshot)
save_evidence(screenshot, hash_sha256)
# Respetar rate limiting
time.sleep(30) # Mínimo 30 segundos entre consultasAnálisis de la dark web con OSINT
El análisis de la dark web es una extensión del OSINT forense que permite investigar actividades ilícitas relacionadas con el caso: venta de datos robados, comunicaciones de grupos criminales, marketplaces de herramientas de hacking, y foros donde se planifican ataques.
Fuentes accesibles en la dark web
| Fuente | Qué contiene | Acceso |
|---|---|---|
| Foros de hacking | Discusiones técnicas, venta de exploits, tutoriales | Tor Browser (registro generalmente requerido) |
| Marketplaces | Datos robados, credenciales, herramientas | Tor Browser + invitación o pago |
| Paste sites (.onion) | Dumps de datos, leaks, comunicaciones | Tor Browser |
| Servicios de leaks | Bases de datos filtradas completas | IntelX, DeHashed (parcialmente superficie) |
| Canales de Telegram | Comunicaciones de grupos criminales | Telegram (algunos privados) |
| Foros de carding | Venta de datos de tarjetas bancarias | Tor Browser |
Consideraciones legales del OSINT en dark web
| Actividad | ¿Legal para el perito? | Condición |
|---|---|---|
| Navegar por foros de la dark web | Sí | Solo observar, no participar |
| Leer publicaciones públicas | Sí | Información publicada voluntariamente |
| Capturar evidencias de venta de datos del cliente | Sí | Documentar para informe pericial |
| Registrarse en un foro con datos falsos | Zona gris | Riesgo de considerarse participación |
| Comprar datos robados para verificar | NO | Receptación de datos sustraídos |
| Contactar con el vendedor | NO | Posible participación en delito |
| Descargar bases de datos filtradas | NO | Posesión de datos personales robados |
El perito NO es un agente encubierto
El perito informático forense NO tiene las prerrogativas legales de un agente de las fuerzas de seguridad. No puede infiltrarse en organizaciones criminales, comprar productos ilícitos ni interactuar con sospechosos. Su función se limita a documentar lo observable públicamente y preservar evidencias. La investigación activa corresponde a la Policía Nacional y la Guardia Civil.
Herramientas para OSINT en dark web
| Herramienta | Función | Uso forense |
|---|---|---|
| Tor Browser | Navegador para acceder a servicios .onion | Acceso a sitios de la dark web |
| OnionScan | Escáner de servicios ocultos Tor | Identificar vulnerabilidades y conexiones |
| DarkOwl | Monitorización de dark web | Alertas sobre menciones de marcas/datos |
| IntelX | Motor de búsqueda de inteligencia | Buscar datos filtrados, paste sites |
| DeHashed | Base de datos de brechas | Verificar si datos del cliente están expuestos |
| Ahmia | Motor de búsqueda de .onion | Buscar servicios ocultos indexados |
| Hunchly | Captura de navegación en Tor | Preservación forense de evidencias dark web |
Formación y certificaciones en OSINT
Para el perito informático forense que desee especializarse en OSINT, existen diversas formaciones y certificaciones reconocidas:
Certificaciones internacionales
| Certificación | Organismo | Nivel | Enfoque |
|---|---|---|---|
| GOSI (GIAC Open Source Intelligence) | SANS/GIAC | Avanzado | Metodología OSINT completa |
| OSCP (Offensive Security Certified Professional) | Offensive Security | Avanzado | Incluye módulos de reconocimiento |
| GCTI (GIAC Cyber Threat Intelligence) | SANS/GIAC | Avanzado | Inteligencia de amenazas con OSINT |
| **C | OSINT (Certified OSINT Professional)** | CyberSec Labs | Intermedio |
| SEC497 (Practical Open-Source Intelligence) | SANS Institute | Intermedio-avanzado | Curso de referencia en OSINT |
| MCSI OSINT | Mossé Cyber Security Institute | Intermedio | Práctico, basado en ejercicios |
Recursos de aprendizaje gratuitos
| Recurso | Tipo | URL |
|---|---|---|
| OSINT Framework | Directorio de herramientas | osintframework.com |
| Bellingcat Online Investigation Toolkit | Guía de herramientas | bellingcat.com |
| Trace Labs | CTF de personas desaparecidas | tracelabs.org |
| OSINT Curious | Comunidad y webcasts | osintcurio.us |
| IntelTechniques | Tutoriales y herramientas | inteltechniques.com |
| Google Dorking CheatSheet | Guía de operadores | exploit-db.com/google-hacking-database |
| The OSINT Library | Biblioteca de recursos | github.com/osint-library |
OSINT con inteligencia artificial (2025-2026)
La incorporación de herramientas de inteligencia artificial al OSINT forense ha transformado la disciplina, permitiendo analizar volúmenes de datos que antes resultaban inabarcables para un investigador individual.
Aplicaciones de IA en OSINT forense
| Aplicación | Tecnología | Ejemplo de uso |
|---|---|---|
| Reconocimiento facial | Computer vision, redes neuronales | Vincular perfiles anónimos con personas reales |
| Análisis de sentimiento | NLP | Detectar amenazas o intenciones en publicaciones |
| Detección de deepfakes | GAN detection | Verificar autenticidad de imágenes de perfil |
| Análisis de grafos sociales | Graph neural networks | Identificar nodos centrales en redes criminales |
| Traducción automática | LLMs | Analizar contenido en idiomas desconocidos |
| Clasificación de contenido | ML supervisado | Categorizar miles de publicaciones automáticamente |
| Análisis de patrones temporales | Series temporales | Detectar automatización en perfiles de redes sociales |
| OCR en imágenes | Computer vision | Extraer texto de capturas de pantalla o documentos escaneados |
Riesgos de la IA en OSINT
| Riesgo | Impacto | Mitigación |
|---|---|---|
| Falsos positivos | Identificación errónea de personas | Verificación manual obligatoria |
| Sesgos algorítmicos | Discriminación en reconocimiento facial | Usar múltiples herramientas, documentar limitaciones |
| Alucinaciones de IA | Generación de correlaciones inexistentes | Validar cada hallazgo con fuentes primarias |
| Dependencia tecnológica | Pérdida de capacidad analítica humana | IA como asistente, no como sustituto del perito |
| Privacidad | Procesamiento masivo de datos personales | Minimización de datos, base de legitimación RGPD |
La IA no sustituye al perito
Las herramientas de IA pueden automatizar la recopilación y el análisis preliminar, pero el juicio experto, la interpretación legal y la responsabilidad pericial siguen siendo exclusivamente humanos. Un tribunal admite el informe de un perito, no el output de un algoritmo.
Conclusión
El OSINT forense es una disciplina que combina la potencia de las técnicas de inteligencia de fuentes abiertas con el rigor probatorio exigido por los tribunales. Para que una investigación OSINT tenga valor como prueba judicial, debe cumplir requisitos estrictos de cadena de custodia, documentación metodológica y respeto al marco legal.
Las herramientas como Maltego, Shodan, SpiderFoot y theHarvester permiten al perito informático forense recopilar y correlacionar información pública de forma eficiente, pero es la metodología — la documentación del proceso, la preservación de evidencias y la imparcialidad del análisis — lo que otorga valor probatorio a los hallazgos.
En un mundo donde la mayor parte de nuestra actividad deja rastros digitales en fuentes abiertas, el OSINT forense se ha convertido en una herramienta imprescindible para la investigación de fraudes, suplantaciones de identidad, competencia desleal, ciberacoso y todo tipo de delitos informáticos.
Referencias y fuentes
NIST SP 800-86 — Guide to Integrating Forensic Techniques into Incident Response. National Institute of Standards and Technology. Disponible en: csrc.nist.gov
OSINT Framework — Directorio de herramientas y recursos OSINT clasificados por categoría. Disponible en: osintframework.com
Bellingcat — Online Investigation Toolkit. Guía de herramientas y metodologías OSINT para investigación. Disponible en: bellingcat.com
Michael Bazzell — “Open Source Intelligence Techniques” (10th Edition, 2023). Referencia académica fundamental sobre metodología OSINT.
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal — Artículos 197, 197 bis, 197 ter (delitos de descubrimiento y revelación de secretos).
Reglamento (UE) 2016/679 (RGPD) — Artículos 6 y 9 sobre bases de legitimación y categorías especiales de datos.
STS 300/2015 — Sentencia del Tribunal Supremo sobre admisibilidad de evidencias digitales de fuentes abiertas.
INCIBE — “Guía para la gestión de incidentes de seguridad”. Instituto Nacional de Ciberseguridad de España. Disponible en: incibe.es
ENISA — “OSINT for Cyber Security”. European Union Agency for Cybersecurity. Disponible en: enisa.europa.eu
RFC 7258 — Pervasive Monitoring Is an Attack. Internet Engineering Task Force. Establece límites éticos en la recopilación de datos.
Maltego Technologies — Documentación oficial de Maltego. Disponible en: docs.maltego.com
SAP Madrid 452/2019 — Sentencia de la Audiencia Provincial de Madrid sobre admisibilidad de capturas de redes sociales como prueba pericial.
Última actualización: 30 de marzo de 2026 Categoría: Análisis Forense Código: ANA-055
Preguntas Frecuentes
¿Qué es OSINT forense y en qué se diferencia del OSINT convencional?
OSINT forense aplica las técnicas de inteligencia de fuentes abiertas con rigor probatorio: cada hallazgo se preserva con hash criptográfico, se documenta la cadena de custodia y se genera un informe pericial admisible en tribunales. El OSINT convencional busca información; el OSINT forense busca pruebas.
¿Es legal hacer OSINT en España?
Sí, siempre que se acceda únicamente a información públicamente disponible. El artículo 197 del Código Penal prohíbe acceder a datos protegidos o interceptar comunicaciones privadas. El OSINT forense trabaja exclusivamente con fuentes abiertas: registros públicos, redes sociales con perfiles abiertos, WHOIS, DNS, certificados SSL y bases de datos públicas.
¿Las pruebas obtenidas con OSINT son admisibles en juicio?
Sí, si se cumplen los requisitos de cadena de custodia: sellado temporal de cada captura, hash SHA-256 de los archivos recopilados, documentación del proceso de obtención y acreditación del perito. La STS 300/2015 reconoce la validez de evidencias digitales obtenidas de fuentes abiertas con preservación adecuada.
¿Qué herramientas usa un perito OSINT forense?
Las principales son Maltego (correlación de entidades y grafos), Shodan (dispositivos IoT y servicios expuestos), SpiderFoot (automatización de reconocimiento), Recon-ng (framework modular), theHarvester (recopilación emails y subdominios), y herramientas de análisis de redes sociales como Sherlock o Social-Analyzer.
¿Cuánto cuesta un informe pericial OSINT?
Depende de la complejidad de la investigación. Una búsqueda básica de identidad digital puede costar entre 400€ y 800€. Investigaciones complejas con múltiples sujetos, análisis de infraestructura técnica y correlación de datos pueden superar los 2.000€. El coste incluye la recopilación, preservación forense y redacción del informe pericial.
¿Se puede localizar a una persona anónima con OSINT?
En muchos casos sí. Las técnicas de correlación de identidades (username pivoting, análisis de metadatos, reconocimiento facial inverso, patrones de escritura) permiten vincular perfiles anónimos con identidades reales. Sin embargo, hay límites legales: no se pueden emplear técnicas intrusivas ni acceder a datos protegidos.
¿Qué diferencia hay entre OSINT y hacking?
La diferencia fundamental es el acceso: OSINT trabaja exclusivamente con información pública o publicada voluntariamente. El hacking implica acceso no autorizado a sistemas, redes o datos protegidos. Si durante una investigación OSINT se descubre una vulnerabilidad, el investigador forense NO puede explotarla; debe documentarla y reportarla.
¿Cómo se preserva la cadena de custodia en OSINT?
Mediante capturas de pantalla con sellado temporal (timestamps verificables), cálculo de hashes SHA-256 de cada archivo recopilado, uso de herramientas como Hunchly o SingleFile para preservar páginas web completas, grabación de pantalla del proceso de investigación y documentación detallada de cada paso en un log de actuaciones con fecha y hora.
¿Puede OSINT revelar el autor de un perfil falso en redes sociales?
Frecuentemente sí. El análisis de metadatos de imágenes subidas, la correlación de nombres de usuario entre plataformas, el análisis de patrones horarios de publicación, la búsqueda inversa de imágenes y el análisis lingüístico pueden identificar al responsable. Estos hallazgos, debidamente documentados, se presentan como prueba pericial.
¿Qué papel juega OSINT en casos de ciberacoso o suplantación?
OSINT es fundamental para identificar al acosador cuando opera desde perfiles anónimos, documentar el alcance del daño (difusión del contenido), preservar pruebas antes de que sean eliminadas y establecer líneas temporales de la actividad delictiva. En casos de suplantación de identidad digital, OSINT permite rastrear la creación y actividad del perfil falso.
Términos Relacionados
OSINT
Open Source Intelligence - Recopilación y análisis de información públicamente disponible en Internet, redes sociales, registros públicos y otras fuentes abiertas para investigaciones forenses, debida diligencia y verificación de hechos.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
Geolocalización Forense
Técnicas de análisis forense para extraer, verificar y documentar datos de ubicación geográfica desde dispositivos digitales, metadatos de archivos, registros de redes móviles y servicios en línea.
Suplantación de Identidad Digital
Técnica criminal que consiste en hacerse pasar por otra persona en entornos digitales mediante el uso no autorizado de credenciales, tokens, o técnicas de ingeniería social. En el ámbito forense, su detección requiere análisis de patrones conductuales, metadatos y correlación temporal de actividades.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita