Desde la Segunda Guerra Mundial, agentes altamente cualificados de la comunidad de inteligencia han monitorizado información de código abierto, como emisiones de radio, periódicos y fluctuaciones del mercado. Hoy en día, dada la cantidad y variedad de fuentes de datos de fácil acceso, casi cualquier persona puede participar en la recopilación de inteligencia de código abierto.

Algunas de las fuentes públicas de las que los investigadores del OSINT recopilan puntos de datos incluyen:

• Motores de búsqueda en Internet como Google, DuckDuckGo, Yahoo, Bing y Yandex.

• Medios de comunicación impresos y en línea, incluidos periódicos, revistas y sitios de noticias.

• Cuentas de redes sociales en plataformas como Facebook, X, Instagram y LinkedIn.

• Foros en línea, blogs y Internet Relay Chats (IRC).

• La dark web, un área encriptada de Internet que no está indexada por los motores de búsqueda.

• Directorios en línea de números de teléfono, direcciones de correo electrónico y direcciones físicas.

• Registros públicos que incluyen nacimientos, defunciones, documentos judiciales y archivos comerciales.

• Registros gubernamentales, como transcripciones de reuniones, presupuestos, discursos y comunicados de prensa emitidos por gobiernos locales, estatales y federales/nacionales.

• Investigación académica que incluye artículos, tesis y revistas.

• Datos técnicos como direcciones IP, API, puertos abiertos y metadatos de páginas web.

Sin embargo, antes de comenzar la recopilación de datos de fuentes OSINT, debe establecerse un objetivo claro. Por ejemplo, los profesionales de la seguridad que utilizan OSINT determinan en primer lugar qué perspectivas pretenden descubrir y qué datos públicos arrojarán los resultados deseados.

Una vez recopilada la información pública, hay que procesarla para filtrar los datos innecesarios o redundantes. A continuación, los equipos de seguridad pueden analizar los datos refinados y crear un informe de inteligencia procesable.

Los actores de amenazas a menudo usan OSINT para descubrir información confidencial que pueden aprovechar para explotar vulnerabilidades en las redes informáticas.

Esto puede incluir detalles personales sobre los empleados, socios y proveedores de una organización a los que se puede acceder fácilmente en las redes sociales y en los sitios web de la empresa. O información técnica como credenciales, brechas de seguridad o claves de cifrado que puedan aparecer en el código fuente de páginas web o aplicaciones en la nube. También hay sitios web públicos que publican información comprometedora, como inicios de sesión y contraseñas robadas de vulneraciones de datos.

Los ciberdelincuentes pueden utilizar estos datos públicos para diversos fines nefastos.

Por ejemplo, podrían utilizar información personal de las redes sociales para crear correos electrónicos de phishing a medida que convenzan a los lectores de hacer clic en un enlace malicioso. O realizar una búsqueda en Google con comandos específicos que revelen debilidades de seguridad en una aplicación web, una práctica llamada "Google dorking". También pueden eludir la detección durante un intento de pirateo tras revisar los activos públicos de una empresa que describen sus estrategias de defensa de la ciberseguridad.

Por estas razones, muchas organizaciones llevan a cabo evaluaciones OSINT de las fuentes públicas de información relacionadas con sus sistemas, aplicaciones y recursos humanos.

Los hallazgos se pueden utilizar para localizar filtraciones no autorizadas de datos privados o confidenciales, evaluar la seguridad de la información e identificar vulnerabilidades como software sin parches, errores de configuración o puertos abiertos. Las organizaciones también pueden realizar pruebas de penetración en sus sistemas y redes utilizando los mismos datos de OSINT a los que acceden públicamente los ciberdelincuentes y los hackers.

A menudo, la información recopilada durante una evaluación OSINT se combina con datos no públicos para crear un informe de inteligencia de amenazas más completo. Las actualizaciones frecuentes de las evaluaciones de ciberseguridad de OSINT pueden ayudar a las organizaciones a mitigar el riesgo de violaciones de datos, ransomware, malware y otros ciberataques.

Debido a la gran cantidad de información pública disponible, a menudo no es práctico recopilar, clasificar y analizar manualmente los datos de OSINT. Las herramientas especializadas de inteligencia de código abierto pueden ayudar a administrar y automatizar las tareas de datos para una variedad de casos de uso de OSINT.

Algunas herramientas de análisis OSINT utilizan inteligencia artificial y machine learning para detectar qué información es valiosa y relevante y cuál es insignificante o no está relacionada. Entre las herramientas OSINT más populares se encuentran:

• Osintframework.com (enlace externo a ibm.com) : un extenso directorio de herramientas y recursos OSINT en línea gratuitos alojados en la plataforma para desarrolladores GitHub. Tanto los hackers como los profesionales de la ciberseguridad pueden utilizar este directorio como punto de partida para profundizar en la funcionalidad específica que buscan en una herramienta OSINT.

• Maltego (enlace externo a ibm.com): una solución de minería de datos en tiempo real para plataformas Windows, Mac y Linux que proporciona representaciones gráficas de patrones de datos y conexiones. Con su capacidad para perfilar y rastrear las actividades en línea de las personas, esta herramienta puede ser útil tanto para los profesionales de la ciberseguridad como para los actores de amenazas.

• Spiderfoot (enlace externo a ibm.com): una herramienta de integración de fuentes de datos para información como direcciones de correo electrónico, números de teléfono, direcciones IP, subdominios y más. Los hackers éticos pueden utilizar este recurso para investigar la información disponible públicamente que podría representar una amenaza para una organización o una persona.

• Shodan (enlace externo a ibm.com): un motor de búsqueda para dispositivos conectados a Internet que también puede proporcionar información sobre metadatos y puertos abiertos. Dado que esta herramienta puede identificar vulnerabilidades de seguridad para millones de dispositivos, puede resultar útil tanto para los profesionales de la ciberseguridad como para los ciberdelincuentes.

• Babel X (enlace externo a ibm.com): una herramienta de búsqueda multilingüe habilitada para IA capaz de buscar en la World Wide Web y la Dark Web en más de 200 idiomas. Los equipos de seguridad dentro de una organización pueden utilizar esta herramienta para buscar información confidencial o de propiedad exclusiva que pueda publicarse en la dark web o en un país extranjero.

• Metasploit (enlace externo a ibm.com): una herramienta de prueba de penetración que puede identificar vulnerabilidades de seguridad en redes, sistemas y aplicaciones. Tanto los profesionales de la ciberseguridad como los hackers encuentran valor en esta herramienta porque puede exponer las debilidades específicas que pueden permitir un ciberataque exitoso.