1️⃣ Introducción
En un test de intrusión serio, la fase OSINT marca la diferencia entre un ataque genérico y uno dirigido y efectivo. Este playbook te guía paso a paso por técnicas OSINT útiles para pentesters y Red Teams: desde footprinting pasivo, identificación de empleados clave, hasta explotación basada en datos expuestos públicamente.
2️⃣ Objetivos del OSINT ofensivo
- Identificar vectores de entrada realistas antes del escaneo
- Descubrir tecnologías, infraestructuras y patrones de uso
- Recolectar datos sobre empleados, correos, credenciales, exposiciones
- Planificar ataques de phishing, password spraying, acceso inicial o movimiento lateral basados en evidencia pública
3️⃣ Recolección de información organizativa
Empresa y estructura técnica:
- Nombre exacto de la organización (variantes, marcas, dominios)
- Subdominios públicos: usa Amass, Subfinder, crt.sh, RapidDNS Tecnologías web y stack: WhatWeb, Wappalyzer CLI, Shodan, BuiltWith Activos en nubes públicas (S3 buckets, Azure Blob, GitHub, DockerHub).
Ejemplos:
subfinder -d midominio.com
whatweb https://midominio.com
shodan search ssl:"midominio.com"4️⃣ Recolección de datos de empleados
Identidad y cuentas:
- LinkedIn: identificar empleados, departamentos y patrones de naming
- Hunter.io y Email-Format.com: obtener patrones de correos
- GitHub y GitLab: contribuciones, leaks de API keys o .env
- HaveIBeenPwned, Scylla.sh, IntelligenceX: filtraciones con correos válidos
- Google Dorks: archivos con metadata (creador, correos, path internos)
Ejemplos:
site:linkedin.com/in/ AND "empresa x"
intitle:"index of" "secret" site:midominio.com
site:github.com midominio.com password5️⃣ Correlación y preparación ofensiva
A partir de los datos recogidos:
- Genera lista de correos válidos para phishing o password spraying
- Verifica leaks antiguos de contraseñas con hashcat o crackstation
- Identifica accesos API públicos con burp/gobuster
- Extrae URLs internas y endpoints expuestos desde Google Cache, Wayback Machine y ArchiveBox
Ejemplos:
cewl -d 3 -m 5 https://midominio.com > wordlist.txt
wfuzz -w emails.txt -d "username=FUZZ&password=1234" https://midominio.com/login6️⃣ Explotación basada en OSINT
- Phishing realista con GoPhish usando estructura interna y datos reales
- Descubrimiento de dominios internos mal configurados (subdominio takeover, CORS abierto)
- Validación de credenciales expuestas (sólo en entorno autorizado)
- Pivoting desde leaks en plataformas públicas
Ejemplo: Un empleado publicó en GitHub un config.yml con credenciales de AWS. A partir de ahí, el Red Team accede a un bucket S3 con documentos internos.
7️⃣ Herramientas clave
- Recon-ng
- SpiderFoot
- theHarvester
- GHunt (para perfiles de Google)
- Maltego (si se usa bien, no solo visual)
- FOCA (para metadatos de docs en castellano)
- Censys.io
- Shodan.io
- IntelligenceX
- PublicWWW
8️⃣ Repositorios útiles y fuentes de OSINT
- GitHub – OSINT-Framework https://github.com/lockfale/osint-framework
- Curated OSINT List https://github.com/jivoi/awesome-osint
- Herramientas OSINT ofensivas https://github.com/v3ded/Awesome-RedTeam-OSINT
- Wayback Machine (archivos históricos de dominios) https://archive.org/web/
9️⃣ Buenas prácticas
- No contamines tus fuentes: usa VPNs, entornos aislados y cuentas de señuelo
- Guarda todo: cada leak, credencial o dato puede ser útil más adelante
- Nunca ataques sin autorización: incluso info pública requiere permisos en entornos reales
- Documenta cada hallazgo con URL, fecha y categoría (infraestructura, identidad, filtración…)
🔟 Tip final
La mayoría de las organizaciones se comprometen con información que ya estaba expuesta sin saberlo. El OSINT no es solo una fase previa: es una mina de oro si sabes buscar, correlacionar y usarla con inteligencia táctica.
Un pentester sin OSINT es como un francotirador con los ojos vendados.
