Intermedioosintthreat-intelligenceinvestigacionherramientassoc

OSINT Handbook: Guia para Analistas de Seguridad

Guia completa de OSINT (Open Source Intelligence) para analistas de seguridad. Metodologia, herramientas, fuentes de datos publicas, investigacion de dominios, IPs, personas y organizaciones con enfoque defensivo.

MalwareIntel Research··8 min lectura
Serie: Handbooks y Guías Gratuitas — Parte 8

OSINT en el contexto de ciberseguridad

OSINT no es espionaje. Es la disciplina de obtener inteligencia util de fuentes publicas y legales. Para un analista de seguridad, OSINT es el primer paso en casi cualquier investigacion: antes de analizar un binario, antes de triagear una alerta, antes de evaluar un riesgo.

Este handbook organiza el conocimiento OSINT que un analista de seguridad necesita en su trabajo diario.

Metodologia OSINT

El ciclo de inteligencia aplicado a OSINT

  1. Direccion: definir la pregunta. "Esta IP es maliciosa?", "Que infraestructura usa este actor?", "Que superficie de ataque tiene esta organizacion?"

  2. Recopilacion: obtener datos de fuentes publicas. DNS, WHOIS, certificados, repositorios, redes sociales, paste sites, foros.

  3. Procesamiento: normalizar y estructurar. Convertir datos crudos en formato analizable.

  4. Analisis: correlacionar, validar, establecer relaciones. Separar senal de ruido.

  5. Difusion: documentar hallazgos con contexto y confianza. IOCs, informes, recomendaciones.

Principios operativos

Minimo contacto: evita interactuar directamente con la infraestructura investigada. Usa servicios pasivos (PassiveDNS, Shodan cached results) en lugar de escanear activamente.

Anonimato operativo: para investigaciones sensibles, usa VPN, navegador Tor, y cuentas no vinculadas a tu identidad real.

Documentacion continua: captura pantallas, guarda URLs con timestamp, registra cada consulta. La informacion publica puede desaparecer.

Validacion cruzada: un dato de una sola fuente es una hipotesis. Dos fuentes independientes que coinciden son inteligencia.

Investigacion de dominios

WHOIS y RDAP

WHOIS revela el registrante de un dominio, fechas de registro, servidores de nombres y contacto del registrador.

# WHOIS clasico
whois evil-domain.com

# RDAP (sucesor moderno de WHOIS, formato JSON)
curl https://rdap.org/domain/evil-domain.com

Informacion clave:

  • Fecha de registro reciente (dias o semanas) es indicador de dominio malicioso
  • Registrante oculto por WHOIS privacy no es conclusivo (muchos sitios legitimos lo usan)
  • Registrador (NameCheap, GoDaddy, Njalla) puede dar contexto
  • Servidores de nombres compartidos con otros dominios maliciosos (pivot point)

DNS pasivo

PassiveDNS registra las resoluciones DNS observadas historicamente. Muestra que IPs apuntaron a un dominio en el pasado.

Servicios:

  • PassiveTotal (RiskIQ/Microsoft): historico DNS amplio
  • Farsight DNSDB: la base de datos mas grande de DNS pasivo
  • SecurityTrails: API gratuita con limites
  • VirusTotal: seccion "Relations" del dominio

Transparencia de certificados

Certificate Transparency (CT) logs registran todos los certificados SSL/TLS emitidos. Esto revela subdominios que no aparecen en DNS publico.

# Buscar subdominios via certificados
curl "https://crt.sh/?q=%25.evil-domain.com&output=json" | python3 -m json.tool

Esto puede revelar subdominios como admin.evil-domain.com, staging.evil-domain.com, vpn.evil-domain.com que no estan en DNS publico pero tienen certificados emitidos.

Subdominios

Tecnicas complementarias para descubrir subdominios:

# theHarvester: multiples fuentes
theHarvester -d target.com -b all

# subfinder: rapido y efectivo
subfinder -d target.com -silent

# amass: exhaustivo (mas lento)
amass enum -d target.com

Investigacion de IPs

Geolocalizacion y ASN

# Geolocalizacion basica
curl ipinfo.io/1.2.3.4

# ASN y prefijo
whois -h whois.radb.net 1.2.3.4

El ASN (Autonomous System Number) te dice que proveedor controla esa IP. Ciertos ASNs son conocidos por hospedar infraestructura maliciosa (bulletproof hosting).

Shodan

Shodan indexa servicios expuestos en Internet. Para una IP sospechosa:

# Buscar IP en Shodan
shodan host 1.2.3.4

# Buscar por organizacion
shodan search "org:Evil Corp"

# Buscar Cobalt Strike beacons
shodan search "product:Cobalt Strike"

Informacion clave: puertos abiertos, servicios detectados, certificados SSL, banners, vulnerabilidades conocidas, capturas de pantalla de servicios web.

Censys

Similar a Shodan pero con enfoque en certificados y TLS:

# Buscar por IP
censys search 1.2.3.4

# Buscar por certificado
censys search "parsed.subject.common_name: evil-domain.com"

AbuseIPDB

Base de datos comunitaria de IPs reportadas como maliciosas:

curl -G "https://api.abuseipdb.com/api/v2/check" \
  --data-urlencode "ipAddress=1.2.3.4" \
  -H "Key: TU_API_KEY" \
  -H "Accept: application/json"

GreyNoise

Diferencia entre escaneo de fondo (bots, crawlers) y actividad dirigida:

# Consultar IP
curl "https://api.greynoise.io/v3/community/1.2.3.4" \
  -H "key: TU_API_KEY"

Si GreyNoise clasifica la IP como "benign" o "mass scanner", la alerta tiene menos prioridad.

Investigacion de archivos y hashes

VirusTotal

La herramienta central para IOCs de archivos:

# Buscar hash
curl "https://www.virustotal.com/api/v3/files/SHA256_HASH" \
  -H "x-apikey: TU_API_KEY"

# Buscar dominio
curl "https://www.virustotal.com/api/v3/domains/evil-domain.com" \
  -H "x-apikey: TU_API_KEY"

VirusTotal no solo muestra detecciones de antivirus. Las pestanas de relaciones, comportamiento y comunidad son mas valiosas para CTI.

MalwareBazaar

Repositorio de muestras con metadatos y tags de familia:

# Buscar por hash
curl -X POST "https://mb-api.abuse.ch/api/v1/" \
  -d "query=get_info&hash=SHA256_HASH"

# Buscar por tag
curl -X POST "https://mb-api.abuse.ch/api/v1/" \
  -d "query=get_taginfo&tag=emotet"

Hybrid Analysis

Sandbox publico que muestra comportamiento de malware sin ejecutarlo tu:

# Buscar por hash
curl "https://www.hybrid-analysis.com/api/v2/search/hash" \
  -H "api-key: TU_API_KEY" \
  -d "hash=SHA256_HASH"

Investigacion de emails

Verificar existencia

# theHarvester para emails de un dominio
theHarvester -d target.com -b all -l 500

# Hunter.io (API)
curl "https://api.hunter.io/v2/domain-search?domain=target.com&api_key=KEY"

Headers de email

Los headers de un email de phishing contienen informacion valiosa:

  • Received: cadena de servidores por los que paso el email (de abajo a arriba)
  • X-Originating-IP: IP del remitente original (si no esta anonimizada)
  • Return-Path: donde van los rebotes
  • DKIM/SPF/DMARC: resultados de autenticacion

Breach databases

Para verificar si credenciales han sido expuestas (sin acceder a datos robados):

  • Have I Been Pwned: API publica y etica
  • DeHashed: busqueda por email, IP, nombre
  • IntelX: archivo de pastes, breaches, darknet

Investigacion de organizaciones

Superficie de ataque

Evaluar que expone una organizacion publicamente:

  1. Subdominios: crt.sh, subfinder, amass
  2. Servicios expuestos: Shodan, Censys
  3. Repositorios de codigo: GitHub (buscar el nombre de la organizacion, dominios, IPs internas)
  4. Metadatos en documentos: FOCA (extrae metadatos de PDFs, DOCs publicados)
  5. Empleados: LinkedIn (perfiles publicos, roles, tecnologias mencionadas)

GitHub dorks

# Buscar secretos expuestos (NUNCA usarlos, solo reportar)
org:target-company password
org:target-company api_key
org:target-company "BEGIN RSA PRIVATE KEY"
org:target-company AWS_SECRET_ACCESS_KEY

# Buscar infraestructura interna
org:target-company "10.0." OR "172.16." OR "192.168."
org:target-company internal.target.com

Google dorks para seguridad

# Archivos expuestos
site:target.com filetype:pdf OR filetype:xlsx OR filetype:docx

# Paneles de administracion
site:target.com inurl:admin OR inurl:login OR inurl:dashboard

# Directorios abiertos
site:target.com intitle:"Index of"

# Configuraciones expuestas
site:target.com filetype:env OR filetype:yml OR filetype:conf

Herramientas de automatizacion

SpiderFoot

Framework OSINT automatizado que consulta decenas de fuentes:

# Ejecutar escaneo de dominio
spiderfoot -s target.com -t DOMAIN_NAME -o json

SpiderFoot consulta Shodan, VirusTotal, Have I Been Pwned, Hunter.io, Censys y muchas mas fuentes automaticamente.

Maltego

Herramienta visual que construye grafos de relaciones entre entidades (IPs, dominios, personas, organizaciones). Las "transforms" consultan fuentes de datos y expanden el grafo.

Caso de uso: empiezas con un dominio de C2, Maltego descubre las IPs historicas, los dominios que comparten esas IPs, los registrantes de esos dominios, y las organizaciones asociadas.

Recon-ng

Framework modular de reconocimiento:

recon-ng
[recon-ng] > marketplace search
[recon-ng] > modules load recon/domains-hosts/certificate_transparency
[recon-ng] > options set SOURCE target.com
[recon-ng] > run

Pivoting: de un IOC a una infraestructura

El pivoting es la tecnica central de OSINT en CTI. A partir de un unico IOC (una IP, un dominio, un hash), expandes la investigacion para descubrir toda la infraestructura del atacante.

Ejemplo de cadena de pivoting

  1. IOC inicial: IP 1.2.3.4 detectada en logs de firewall
  2. PassiveDNS: la IP resolvio a evil-c2.com y backup-c2.net
  3. crt.sh: evil-c2.com tiene certificados para admin.evil-c2.com y api.evil-c2.com
  4. WHOIS: evil-c2.com registrado con email [email protected]
  5. Busqueda por email: el mismo email registro otros 15 dominios
  6. Shodan: 3 de esos dominios tienen Cobalt Strike beacon en puerto 443
  7. VirusTotal: muestras de malware contactan esos dominios como C2

De un solo IP has descubierto 15 dominios, multiples servidores de C2, y muestras de malware asociadas. Esto es pivoting.

Puntos de pivoting mas utiles

DesdeHaciaHerramienta
IPDominiosPassiveDNS, Shodan
DominioIPs historicasPassiveDNS
DominioSubdominioscrt.sh, subfinder
DominioRegistranteWHOIS
Email registranteOtros dominiosWHOIS inverso
Hash de malwareC2 domains/IPsVirusTotal, ANY.RUN
Certificado SSLOtros servidoresCensys, crt.sh
Nombre de servidor SSHOtros servidoresShodan
JA3 hashOtros clientesShodan, GreyNoise

OPSEC para investigadores

Cuando investigas actores de amenazas, ellos pueden estar monitorizando quien investiga su infraestructura.

No visites dominios de C2 directamente: usa urlscan.io, VirusTotal URL scan, o cached results de Shodan.

VPN obligatoria: no expongas la IP de tu organizacion al consultar infraestructura sospechosa.

Cuentas dedicadas: usa cuentas de investigacion separadas de tus cuentas personales.

No interactues: observa, documenta, pero no contactes ni intentes acceder a sistemas del atacante.

Conclusiones

OSINT es la primera linea de investigacion en ciberseguridad. Con las herramientas y metodologia adecuadas, un solo IOC puede revelar toda la infraestructura de un atacante. La clave esta en el pivoting sistematico, la validacion cruzada de fuentes, y la documentacion rigurosa de cada hallazgo.

Preguntas frecuentes

Artículos relacionados

Handbooks y Guías GratuitasPrincipiante

Top 20 Cheatsheets de Análisis de Malware

Handbooks y Guías GratuitasPrincipiante

MITRE ATT&CK Cheatsheet: Referencia Rápida para el SOC

Handbooks y Guías GratuitasPrincipiante

SANS Posters y Guías de Referencia Gratuitas

Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.