ZenlorLabs LogoZenlorLabs
Volver al blog
Ciberseguridad21 de abril de 2026

7 herramientas OSINT para proteger tu negocio revisando información filtrada

Z
ZenlorLabs Team
13 min de lectura
OSINTciberseguridadinformación filtradacredencialesphishingsuperficie de ataque
¿Te resultó útil?
7 herramientas OSINT para proteger tu negocio revisando información filtrada

7 herramientas OSINT para proteger tu negocio revisando información filtrada

La mayoría de empresas no descubre sus filtraciones cuando pasan. Las descubre cuando alguien ya las usó: un proveedor recibe un correo falso, una cuenta de Microsoft 365 empieza a enviar spam, un cliente cae en una página clonada o aparece un inicio de sesión raro desde otro país.

El problema no siempre empieza con un "hackeo" espectacular. Muchas veces empieza con información pública:

  • correos corporativos expuestos en internet
  • contraseñas reutilizadas que ya aparecieron en brechas
  • subdominios olvidados
  • paneles administrativos visibles
  • repositorios con llaves API
  • documentos PDF con datos internos
  • páginas falsas usando tu marca

Eso es exactamente lo que busca un atacante durante la fase de reconocimiento. La buena noticia es que tu negocio también puede hacerlo de forma defensiva.

En esta guía vamos a ver 7 herramientas OSINT que puedes usar para proteger tu negocio revisando que información esta filtrada o expuesta públicamente.

La idea no es espiar a nadie ni hacer pruebas invasivas. La idea es mirar tu empresa desde afuera, como la ve internet, para corregir problemas antes de que se conviertan en incidentes.

Qué es OSINT y por qué le importa a una PyME

OSINT significa Open Source Intelligence, o inteligencia de fuentes abiertas. En seguridad, se refiere a recopilar y analizar información disponible públicamente: buscadores, DNS, repositorios, certificados, filtraciones conocidas, redes sociales, dominios, metadatos y servicios expuestos.

Para una PyME, OSINT defensivo sirve para responder preguntas muy concretas:

  • Que correos de mi empresa aparecen en filtraciones?
  • Hay contraseñas de empleados comprometidas?
  • Tenemos servidores, camaras, VPNs o paneles administrativos expuestos?
  • Existen subdominios viejos que nadie administra?
  • Alguien filtro una API key en GitHub?
  • Hay páginas de phishing usando mi marca?
  • Que información podria usar un atacante para preparar un correo convincente?

No necesitas un equipo enorme para empezar. Con una tarde de trabajo puedes encontrar riesgos reales y crear un plan de correccion.

Eso si: el OSINT defensivo debe tener limites claros.

  • Revisa dominios, cuentas, marcas y activos que sean tuyos.
  • No intentes entrar a sistemas ajenos.
  • No compres bases de datos robadas.
  • No pruebes credenciales filtradas.
  • Si encuentras información sensible de terceros, reportala de forma responsable.

El objetivo es proteger, no cruzar líneas legales o éticas.

Antes de usar herramientas: crea tu inventario mínimo

Antes de abrir cualquier herramienta, arma una lista base. Sin inventario, el OSINT se vuelve desordenado.

Necesitas al menos:

  • dominio principal, por ejemplo tuempresa.com
  • dominios secundarios o antiguos
  • subdominios conocidos, como app.tuempresa.com o mail.tuempresa.com
  • correos críticos, como gerencia, contabilidad, ventas y soporte
  • nombres comerciales de la marca
  • nombres de productos o plataformas internas
  • rangos de IP si tienes infraestructura propia
  • cuentas oficiales en redes sociales
  • proveedores clave, como hosting, CRM, correo, ecommerce y pasarela de pagos

Con eso puedes empezar a buscar exposición externa con criterio.

1. Have I Been Pwned: correos y credenciales en brechas

Para que sirve: detectar si correos de tu empresa aparecieron en filtraciones conocidas.

Have I Been Pwned es una de las primeras herramientas que deberia revisar cualquier negocio. Permite buscar si un correo ha aparecido en brechas de datos y, si verificas que controlas un dominio, puedes revisar cuentas asociadas a ese dominio.

Esto importa porque muchos ataques no empiezan robando una contraseña nueva. Empiezan usando una contraseña vieja que un empleado reutilizo en otro servicio.

Qué revisar

  • correos de administradores
  • correos de contabilidad
  • correos de ventas
  • correos de soporte
  • cuentas genéricas como info@, ventas@, admin@ o facturacion@
  • dominios antiguos que todavia reciben correos

Qué hacer si aparece una cuenta filtrada

No entres en panico. Aparecer en una brecha no significa necesariamente que la cuenta actual este comprometida, pero si exige acción.

Prioriza esto:

  1. Cambia la contraseña de la cuenta afectada.
  2. Cambia contraseñas reutilizadas en otros servicios.
  3. Activa autenticación de dos factores.
  4. Revisa reglas de reenvio sospechosas en el correo.
  5. Cierra sesiones activas en dispositivos desconocidos.
  6. Migra a un gestor de contraseñas como Bitwarden o 1Password.

Error común

El error es revisar solo el correo del dueño del negocio. Los atacantes aman cuentas menos obvias: asistentes, contabilidad, soporte, vendedores y correos compartidos. Esas cuentas suelen tener acceso a facturas, clientes, pagos y conversaciones reales.

2. GitHub Search y Secret Scanning: llaves API y código expuesto

Para que sirve: encontrar repositorios, menciones de tu dominio y posibles secretos filtrados en código.

GitHub es una fuente enorme de información pública. No porque GitHub sea inseguro, sino porque los humanos cometemos errores: subimos archivos .env, dejamos tokens en scripts, copiamos credenciales de prueba o publicamos código que menciona dominios internos.

Para un negocio, revisar GitHub es obligatorio si tienes software propio, integraciones, automatizaciones, ecommerce, apps internas o proveedores que desarrollan para ti.

Búsquedas defensivas simples

Empieza con búsquedas seguras como:

"tuempresa.com"
"Tu Empresa"
"api.tuempresa.com"
"app.tuempresa.com"

Luego revisa variaciones con nombres de productos, dominios antiguos o marcas secundarias.

También puedes buscar referencias a archivos sensibles dentro de repositorios que pertenezcan a tu organización:

org:tu-organización filename:.env
org:tu-organización filename:config
org:tu-organización "tuempresa.com"

Que información buscar

  • tokens de API
  • credenciales de bases de datos
  • URLs internas
  • endpoints administrativos
  • claves privadas
  • webhooks
  • archivos de configuracion
  • dominios de staging o desarrollo

Qué hacer si encuentras un secreto

La regla es sencilla: si una llave fue pública, se considera comprometida.

No basta con borrar el archivo o hacer privado el repositorio. Git guarda historial y muchas plataformas indexan rápido.

Acciones recomendadas:

  1. Revoca la llave o token.
  2. Genera credenciales nuevas.
  3. Revisa logs de uso del proveedor.
  4. Elimina el secreto del historial si aplica.
  5. Activa secret scanning y push protection.
  6. Documenta el incidente internamente.

Tip de cultura técnica

No conviertas esto en caceria de culpables. La exposición de secretos es un problema de sistema: falta de plantillas, falta de revision, falta de variables de entorno, falta de automatizacion. Corrige el proceso para que no vuelva a pasar.

3. Shodan: servicios expuestos en internet

Para que sirve: ver que dispositivos y servicios de tu infraestructura son visibles desde internet.

Shodan es un buscador de dispositivos y servicios conectados a internet. A diferencia de Google, que indexa páginas web, Shodan indexa banners y metadatos de servicios: puertos abiertos, versiones de software, certificados, protocolos y tecnologías.

Esto lo hace muy útil para encontrar exposiciones como:

  • paneles de administración abiertos
  • servidores con versiones antiguas
  • bases de datos expuestas
  • camaras o dispositivos IoT visibles
  • VPNs publicas
  • escritorios remotos accesibles
  • servicios de desarrollo olvidados

Búsquedas defensivas útiles

Si tienes una IP o rango propio, busca:

net:TU_RANGO_IP

Si quieres revisar menciones del dominio:

hostname:tuempresa.com
ssl.cert.subject.cn:tuempresa.com

Si no tienes infraestructura propia, aun puedes revisar dominios y hosts asociados a tu sitio, especialmente si usas servidores, VPS o servicios cloud.

Qué debería levantar alerta

  • RDP abierto al mundo
  • MongoDB, Redis, Elasticsearch o PostgreSQL expuestos
  • paneles como /admin, phpMyAdmin, Grafana, Jenkins o Kibana
  • servicios con versiones viejas
  • certificados vencidos o raros
  • ambientes dev, test o staging accesibles sin proteccion

Qué hacer con los hallazgos

Cada exposición debe convertirse en una tarea concreta:

  • cerrar el puerto si no es necesario
  • limitar acceso por VPN o lista de IPs
  • actualizar software vulnerable
  • activar autenticación fuerte
  • mover paneles internos fuera de internet publico
  • revisar logs si el servicio estuvo expuesto por mucho tiempo

Shodan no es solo una herramienta de curiosidad. Es un espejo de tu superficie externa.

4. Censys: certificados, hosts y superficie de ataque

Para que sirve: mapear activos publicos, certificados, puertos y relaciones entre infraestructura.

Censys es otra herramienta muy potente para ver tu organización desde afuera. Es especialmente útil para investigar certificados TLS, subdominios, hosts, servicios y cambios en la superficie de ataque.

En negocios donde nadie tiene un inventario completo, Censys puede revelar cosas como:

  • subdominios antiguos
  • certificados emitidos para ambientes internos
  • servicios escuchando en puertos no estándar
  • hosts asociados a proveedores cloud
  • infraestructura que quedo activa despues de una migracion

Por qué usar Censys si ya usas Shodan

Shodan y Censys se parecen, pero no son iguales. En la practica conviene usar ambos porque pueden mostrar datos distintos y complementarios.

Shodan suele ser muy rápido para detectar servicios expuestos. Censys brilla cuando necesitas entender relaciones entre certificados, dominios, hosts y puertos desde una vista más estructurada.

Qué revisar

  • certificados que contienen tu dominio
  • subdominios asociados a certificados
  • hosts con servicios abiertos
  • puertos no esperados
  • tecnologías antiguas
  • activos que no reconoces

Ejemplo de hallazgo común

Una empresa migra su sitio principal a un nuevo hosting, pero deja activo old.tuempresa.com en un servidor anterior. Ese subdominio no aparece en el menu, nadie lo usa, pero sigue online con un WordPress viejo.

Para un atacante, eso es suficiente.

5. SecurityTrails: DNS, subdominios e historial

Para que sirve: descubrir subdominios, registros DNS e historial asociado a tu dominio.

SecurityTrails ayuda a investigar información DNS: registros actuales, historicos, subdominios, WHOIS e IPs relacionadas. Es especialmente útil cuando quieres responder:

  • Que subdominios existen o existieron?
  • A que IPs apuntaba antes mi dominio?
  • Hay servicios olvidados en dev, test, vpn, mail, crm o old?
  • Que cambios DNS se hicieron recientemente?

Subdominios que conviene revisar

Presta atencion a nombres como:

admin.tuempresa.com
dev.tuempresa.com
test.tuempresa.com
staging.tuempresa.com
old.tuempresa.com
backup.tuempresa.com
vpn.tuempresa.com
mail.tuempresa.com
crm.tuempresa.com
api.tuempresa.com

No todos son malos. El problema aparece cuando existen, estan expuestos y nadie los administra.

Qué hacer con subdominios olvidados

Para cada subdominio encontrado, clasificalo:

  • activo y necesario
  • activo pero sin dueño
  • antiguo y debe apagarse
  • desconocido y requiere investigación
  • apuntando a un proveedor externo

Los subdominios olvidados pueden causar desde fugas de información hasta subdomain takeover, un escenario donde alguien toma control de un subdominio que apunta a un servicio externo mal configurado.

Consejo practico

Crea una hoja simple con columnas:

Subdominio | Proveedor | Responsable | Estado | Riesgo | Acción

Eso convierte OSINT en gestion real, no solo en una lista de links raros.

6. urlscan.io: phishing, páginas clonadas y comportamiento web

Para que sirve: analizar URLs sospechosas y buscar páginas que puedan estar usando tu marca.

urlscan.io funciona como una especie de sandbox para páginas web. Cuando analizas una URL, la herramienta carga el sitio y registra información como:

  • dominios contactados
  • IPs
  • recursos JavaScript
  • capturas de pantalla
  • estructura del DOM
  • cookies
  • redirecciones
  • tecnologías utilizadas

Esto es muy útil para revisar links sospechosos que llegan por correo o WhatsApp, pero también para investigar phishing contra tu marca.

Cómo usarlo defensivamente

Busca tu marca, dominio o nombres de productos:

"Tu Empresa"
"tuempresa.com"
"login tuempresa"
"facturacion tuempresa"

También puedes analizar URLs sospechosas que reciban tus clientes o empleados.

Señales de phishing

Presta atencion a:

  • dominios parecidos al tuyo
  • páginas con tu logo pero dominio diferente
  • formularios que piden correo, contraseña o datos bancarios
  • redirecciones a servicios extraños
  • sitios recién creados
  • capturas que copian tu login o tu ecommerce

Qué hacer si encuentras una página falsa

  1. Toma capturas y guarda evidencias.
  2. Reporta el dominio al registrador o proveedor de hosting.
  3. Reporta la URL a Google Safe Browsing y Microsoft.
  4. Avisa a tus clientes por canales oficiales si el riesgo es activo.
  5. Revisa si hubo correos o mensajes masivos usando esa URL.
  6. Refuerza DMARC, SPF y DKIM para reducir suplantacion por correo.

El phishing no solo roba credenciales. También destruye confianza. Detectarlo rápido importa.

7. VirusTotal: reputacion de dominios, IPs, archivos y URLs

Para que sirve: revisar indicadores sospechosos y entender si un dominio, IP, archivo o URL esta asociado a actividad maliciosa.

VirusTotal es conocido por analizar archivos con multiples motores antivirus, pero también sirve para investigar dominios, IPs y URLs.

En OSINT defensivo, puedes usarlo para:

  • verificar URLs sospechosas antes de abrirlas
  • revisar dominios que imitan tu marca
  • analizar archivos adjuntos recibidos por correo
  • buscar relaciones entre dominios, IPs y muestras maliciosas
  • validar indicadores durante un incidente

Cuando usarlo

Usalo cuando:

  • recibes un adjunto inesperado
  • un cliente reporta un link raro
  • un empleado hizo clic en una página sospechosa
  • aparece un dominio parecido al tuyo
  • tienes un hash de archivo y quieres verificar reputacion

Advertencia importante

No subas documentos confidenciales a VirusTotal.

Los archivos enviados pueden quedar disponibles para investigadores y productos de seguridad. Si el archivo contiene contratos, estados de cuenta, datos personales o información interna, analizalo con herramientas locales o en un entorno privado.

Como interpretar resultados

No todo resultado con una deteccion aislada es malware. A veces hay falsos positivos. Pero si multiples motores marcan una URL o archivo como malicioso, tratala como riesgo alto.

Combina VirusTotal con criterio:

  • quien envio el archivo?
  • esperabas ese adjunto?
  • el dominio es el correcto?
  • hay redirecciones?
  • el archivo pide habilitar macros?
  • el mensaje crea urgencia?

La herramienta ayuda, pero la decision final debe mirar el contexto.

Herramienta extra: Google Dorks para exposición pública

No hace falta pagar nada para encontrar mucha información pública. Google, Bing y otros buscadores pueden revelar documentos, PDFs, hojas de calculo, páginas antiguas o subdominios indexados.

Búsquedas defensivas simples:

site:tuempresa.com filetype:pdf
site:tuempresa.com filetype:xls
site:tuempresa.com "confidencial"
site:tuempresa.com "password"
site:tuempresa.com "admin"
"tuempresa.com" "api"
"tuempresa.com" "invoice"

Usa esto con cuidado y solo para revisar tu propia exposición. Si encuentras documentos sensibles:

  • elimina o restringe el acceso
  • revisa permisos del CMS o almacenamiento
  • solicita desindexacion si corresponde
  • cambia credenciales si habia secretos
  • crea una politica para publicar documentos

Muchas filtraciones no son "hackeos". Son archivos publicos que nunca debieron ser publicos.

Checklist OSINT para revisar tu negocio en una tarde

Si quieres algo accionable, sigue este orden:

Paso 1. Revisa credenciales

  • Busca correos críticos en Have I Been Pwned.
  • Activa alertas de nuevas brechas.
  • Cambia contraseñas reutilizadas.
  • Activa 2FA en correo, banco, redes y herramientas internas.

Paso 2. Revisa código y secretos

  • Busca tu dominio en GitHub.
  • Revisa repositorios de tu organización.
  • Activa secret scanning.
  • Revoca cualquier token filtrado.

Paso 3. Revisa infraestructura visible

  • Busca tu dominio e IPs en Shodan.
  • Repite revision en Censys.
  • Cierra puertos innecesarios.
  • Protege paneles con VPN o listas de IP.

Paso 4. Revisa DNS y subdominios

  • Usa SecurityTrails para listar subdominios.
  • Identifica ambientes viejos o sin responsable.
  • Elimina registros abandonados.
  • Verifica que no haya servicios externos mal apuntados.

Paso 5. Revisa phishing y marca

  • Busca tu marca en urlscan.io.
  • Analiza URLs sospechosas.
  • Reporta páginas falsas.
  • Configura SPF, DKIM y DMARC.

Paso 6. Revisa archivos y URLs sospechosas

  • Usa VirusTotal para indicadores no confidenciales.
  • No subas documentos internos sensibles.
  • Guarda evidencias si estas investigando un incidente.

Paso 7. Documenta y asigna responsables

Un hallazgo sin responsable se queda como curiosidad. Un hallazgo con dueño se convierte en reduccion de riesgo.

Para cada problema, define:

  • que se encontro
  • por qué importa
  • quien lo corrige
  • fecha limite
  • evidencia antes y despues

Cómo priorizar hallazgos

No todo tiene la misma urgencia. Una lista de 80 hallazgos puede paralizar a cualquier equipo. Prioriza por impacto.

Riesgo crítico

Atiende hoy:

  • credenciales activas filtradas
  • llaves API publicas
  • paneles administrativos sin proteccion
  • bases de datos expuestas
  • phishing activo usando tu marca
  • RDP o VPN expuestos sin controles fuertes

Riesgo alto

Atiende esta semana:

  • subdominios antiguos con software desactualizado
  • servicios internos visibles
  • documentos con información sensible
  • correos de directivos en brechas
  • certificados o hosts desconocidos

Riesgo medio

Planifica:

  • datos comerciales publicos que facilitan spear phishing
  • tecnologia visible que conviene ocultar o actualizar
  • metadatos en documentos
  • información de empleados demasiado detallada

Riesgo bajo

Monitorea:

  • menciones antiguas de marca
  • dominios historicos sin actividad
  • resultados duplicados
  • información pública normal del negocio

La seguridad mejora cuando priorizas bien, no cuando intentas arreglar todo al mismo tiempo.

Qué hacer si encuentras información filtrada

Encontrar información filtrada no es el final. Es el inicio de la respuesta.

Un flujo simple:

  1. Captura evidencia: URL, fecha, captura, herramienta, descripcion.
  2. Clasifica el dato: credencial, documento, subdominio, servicio, phishing, código.
  3. Conten el riesgo: revoca, bloquea, baja, restringe o reporta.
  4. Revisa impacto: logs, accesos, cambios, uso de credenciales.
  5. Corrige la causa: permisos, procesos, configuracion, entrenamiento.
  6. Monitorea recurrencia: alertas, revisiones mensuales, responsables.

Si el hallazgo involucra datos personales de clientes o empleados, también debes evaluar obligaciones legales y de notificacion segun tu país y tu industria.

Frecuencia recomendada

Para una PyME, no necesitas vivir dentro de estas herramientas todos los dias. Pero si necesitas una rutina.

Una buena base:

  • revision rapida mensual de correos, GitHub y phishing
  • revision trimestral de dominios, subdominios y servicios expuestos
  • revision despues de cambios grandes, como migraciones, nuevo sitio web o cambio de proveedor
  • revision inmediata si recibes reportes de phishing, accesos raros o correos sospechosos

La clave es que OSINT sea un habito, no una reaccion desesperada despues del incidente.

Conclusión

OSINT no es solo una técnica para investigadores. Es una practica muy concreta para proteger negocios.

Si un atacante puede buscar tus correos filtrados, tus subdominios olvidados, tus paneles expuestos o tus repositorios publicos, tu empresa también deberia hacerlo primero.

Estas 7 herramientas te dan una vista bastante completa:

  • Have I Been Pwned para brechas de correos y credenciales.
  • GitHub Search y Secret Scanning para código y secretos expuestos.
  • Shodan para servicios visibles desde internet.
  • Censys para certificados, hosts y superficie externa.
  • SecurityTrails para DNS, subdominios e historial.
  • urlscan.io para phishing y páginas sospechosas.
  • VirusTotal para reputacion de URLs, archivos, dominios e IPs.

La diferencia entre una empresa vulnerable y una empresa preparada muchas veces no es presupuesto. Es visibilidad.

Lo que no ves, no lo puedes proteger. Lo que encuentras a tiempo, lo puedes corregir.

Quieres revisar que información de tu negocio esta expuesta?

En ZenlorLabs ayudamos a PyMEs a revisar su exposición pública con OSINT defensivo, identificar información filtrada, priorizar riesgos y convertir hallazgos en acciones concretas.

Podemos ayudarte con:

  • auditoria OSINT de dominio y marca
  • revision de credenciales filtradas
  • búsqueda de secretos en código
  • análisis de superficie de ataque externa
  • deteccion de phishing y suplantacion
  • plan de remediacion priorizado

Si quieres saber que podria encontrar un atacante sobre tu negocio, podemos revisarlo contigo antes de que se convierta en un problema.

Fuentes y referencias

¿Te gustó este artículo?

En ZenlorLabs podemos ayudarte a implementar estas soluciones en tu negocio. Agenda una consultoría gratuita y descubre cómo automatizar tus procesos o mejorar tu seguridad.

Solicitar consultoría gratuitaVer más artículos

📚Sigue aprendiendo

← ARTÍCULOS

Ver todos los artículos del blog

SERVICIOS →

Descubre nuestros servicios