OSINT Etico: Investigando tu Propia Huella Digital con Maltego y Spiderfoot

Ya te doxearon y no lo sabes. Un domingo reciente lance Spiderfoot HX contra mi correo principal y obtuve 412 hits en 38 minutos: brokers como BeenVerified y Spokeo, dumps antiguos del Collection #1, un perfil olvidado en Last.fm de 2011 con la misma foto que uso en LinkedIn, y dos foros tecnicos donde publique mi ciudad en la bio. Ninguno de esos puntos por si solo es peligroso. Combinados entregan direccion aproximada, rango salarial probable, stack tecnico e incluso el horario en que suelo dormir. Ese es el punto ciego que el OSINT etico contra ti mismo resuelve, y por eso conviene empezar antes que el adversario.

Maltego Community Edition sigue siendo el punto de partida mas didactico en 2026. Instala la version 4.6, crea una cuenta gratuita y activa los transforms estandar del Hub: Have I Been Pwned, Shodan free tier, DNS y WhoisXML. Crea una Entity tipo Email Address con tu direccion primaria, clic derecho y ejecuta To Breaches [HIBP]. Despues arrastra una Phrase con tu nombre completo y corre To Websites [using Search Engine]. El grafo crece rapido, y el truco es usar la pestana Collections para colapsar nodos antes de que se conviertan en espagueti visual. Documenta cada nodo nuevo con tags de color: rojo para PII real, amarillo para seudonimos, verde para desechable. Ese cuidado inicial de OPSEC encaja con lo que discute OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal en profundidad.

Spiderfoot complementa Maltego donde el trabajo manual agota. Usa el contenedor oficial: docker run -p 5001:5001 spiderfoot/spiderfoot y abre http://localhost:5001. Crea un escaneo tipo Footprint con tu correo, dominio personal y telefono, marca All modules excepto los que requieren claves pagas, y dejalo correr de 30 a 90 minutos. El modulo sfp_haveibeenpwned lista todas las filtraciones historicas, sfp_hunter devuelve correos secundarios asociados a tu dominio, y sfp_spider rastrea tu sitio personal buscando correos comentados en HTML antiguo. Encontre un fragmento de mi documento en un PDF de un evento de 2018 indexado por Google, problema clasico que resuelven retroactivamente las tecnicas de Higiene de Metadatos: Limpiando EXIF, PDF y Office antes de Publicar.

La parte menos atractiva es la mas valiosa: cruzar fotos. Usa PimEyes con cautela o, preferiblemente, instala FaceCheck.ID self-hosted via Docker y lanza tu foto de perfil profesional contra la base. En paralelo, ejecuta exiftool en cada imagen publica tuya: exiftool -a -G1 -s perfil.jpg revela latitud GPS, modelo de camara e incluso numero de serie cuando olvidaste limpiar metadatos. Salve a un cliente de un acoso real porque su Instagram tenia GPS preciso de su casa en fotos de 2019 nunca depuradas. El proceso completo para compartimentar identidades visuales futuras esta en Compartimentacion Digital: Identidades Separadas sin Filtrar Metadatos, y conviene leerlo antes de crear cualquier perfil nuevo.

El telefono es el vector que mas se subestima. Ejecuta PhoneInfoga contra tu numero: phoneinfoga scan -n +34666123456. La herramienta consulta NumVerify, OVH y Google dorks que revelan el numero indexado en sitios de clasificados, grupos publicos de WhatsApp e incluso hojas de Google olvidadas. Despues prueba en Truecaller via una app limpia en una VM Android para ver como apareces ante terceros, frecuentemente con un alias filtrado por alguna app de delivery. Combina eso con un lookup en bases regionales y ya tienes el mismo dataset que un estafador compraria por unos pocos euros en la deep web. Para entender el ecosistema iberoamericano de brokers, Seguridad Personal Anti-Doxxing: Eliminando Datos de Data Brokers en Brasil trae un playbook regional adaptable.

Documenta todo en un markdown estructurado por categoria: Correo, Telefono, Nombre, Foto, Direccion, Empleador, Familia. Para cada item expuesto, escribe una accion de remediacion con plazo: pedir opt-out al broker, cambiar foto recidiva, borrar post antiguo, activar passkeys donde aun uses SMS. Repite el escaneo completo cada 90 dias y haz diff de los resultados, y veras el impacto real del trabajo. La huella digital no desaparece, solo se encoge bajo disciplina. Takeaway practico: agenda ahora 4 horas en tu calendario, instala Maltego CE y Spiderfoot esta semana, y trata tu propio nombre como un objetivo de bug bounty cuya recompensa es tu tranquilidad.