Wiz
Todos los artículosThreat Landscape

Las 9 mejores herramientas OSINT

Equipo de expertos de Wiz
Plantilla de respuesta a incidentes en la nubeVer demostración de 5 minutos
Key takeaways about OSINT tools:

  • OSINT tools help you uncover risks you might miss: They automate the process of finding exposed data, misconfigurations, and potential attack paths across public sources.

  • There's a tool for every use case: From mapping your attack surface to tracking leaked credentials or analyzing dark web chatter, the right OSINT tool can make your security team more efficient.

  • Automation saves time: Modern OSINT tools can run scheduled scans, send alerts, and integrate with your existing security stack, so you don't have to do everything manually.

  • Context matters: The best results come from combining OSINT with internal data and threat intelligence, so you can prioritize what really matters to your business.

  • Wiz brings it all together: With Wiz Threat Intelligence, you get OSINT insights plus proprietary research, all in one platform – so you can act fast and stay secure.

¿Qué es OSINT?

La inteligencia de código abierto (OSINT) es un marco que implica la recopilación, el análisis y la interpretación de datos disponibles públicamente para obtener información sobre las amenazas cibernéticas, las actividades adversarias y las técnicas de ataque. OSINT identifica información aparentemente inocua que, si se analiza con la mentalidad de un atacante, podría revelar lagunas críticas en la postura de seguridad de una empresa. 

Figure 1: The OSINT framework (Source: OSINT)

OSINT ético vs. malicioso 

Las operaciones de OSINT a menudo se llevan a cabo de manera ética por analistas de inteligencia de amenazas y expertos en seguridad de la información que utilizan datos recopilados de sitios web, publicaciones, redes sociales, bases de datos públicas, registros de dominios, la web oscura y otras fuentes de datos públicos para descubrir amenazas conocidas y de día cero.

Además de sus casos de uso legítimos, OSINT también es implementado por adversarios malintencionados para descubrir activos expuestos accidentalmente, datos filtrados (confidenciales) u otra información que puedan aprovechar en ciberataques coordinados. 

Cuando OSINT se realiza de manera legítima, generalmente sigue un proceso de seis pasos descrito por OWASP, incluida la identificación de objetivos, la recopilación de fuentes, la agregación de datos, el procesamiento de datos, el análisis y el respeto de los límites éticos. Este proceso suele ser facilitado por una amplia gama de herramientas OSINT como Intelligence X y Maltego.

Why is OSINT important?

¿Por qué es importante OSINT?

Desde la recopilación de inteligencia y el descubrimiento de TI en la sombra hasta la evaluación de riesgos, las empresas pueden beneficiarse de OSINT tanto directa como indirectamente. 

Cómo las organizaciones se benefician directamente de OSINT 

Como organización con aplicaciones y servicios orientados a Internet, la realización de operaciones OSINT internas le ofrece una amplia gama de ventajas: 

  • La información recopilada de foros de hackers y otras fuentes puede servir como un sistema de alerta temprana, descubriendo debilidades de seguridad o posibles ataques antes de que puedan causar daño. 

  • OSINT puede ayudar a mejorar sus estrategias de ciberdefensa y la seguridad operativa general (OPSEC) al mapear las configuraciones incorrectas de la nube y las rutas hacia activos públicos potencialmente vulnerables.

  • Con OSINT, puede detectar vulnerabilidades de terceros y riesgos de la cadena de suministro de software para ayudarlo a tomar decisiones informadas sobre qué software de terceros incorporar a su pila.

Cómo las organizaciones se benefician indirectamente de OSINT 

Cuando las organizaciones se asocian con proveedores de ciberseguridad que integran OSINT en sus servicios, pueden disfrutar de herramientas potentes y dinámicas diseñadas para mejorar la seguridad de su pila de TI. Las empresas también se benefician considerablemente de la experiencia de los analistas de inteligencia de amenazas de los proveedores. Estos investigadores son expertos en descubrir errores de configuración en la nube, como Azure Blob Storage expuesto o buckets de AWS S3, que los equipos internos pueden pasar por alto.

Además, los proveedores de seguridad pueden dedicar muchos más recursos a monitorear los códigos abiertos en busca de vulnerabilidades y ataques de día cero en sus etapas de planificación. La información recopilada se puede introducir en sus sistemas de inteligencia de amenazas cibernéticas (CTI), proporcionando a las empresas los últimos TTP de los actores de amenazas y capacitando a los CISO e ingenieros de ciberseguridad para que tomen decisiones informadas sobre la seguridad de la infraestructura crítica. 

Academia Wiz

The 13 Must-Follow Threat Intel Feeds

Leer más

Mejores herramientas OSINT

Aunque es extremadamente beneficioso, la recopilación y el procesamiento de OSINT pueden ser un proceso laborioso y lento sin las herramientas adecuadas. A continuación se presentan las 9 mejores herramientas para aprovechar al máximo su viaje OSINT:  

1. Babel X

Babel X, impulsada por Babel Street, es una plataforma OSINT multilingüe impulsada por IA que extrae y analiza información de fuentes de información disponible públicamente (PAI), incluidas redes sociales, blogs, foros de la web oscura y más. Entrenado para entender 200+ idiomas, Babel X utiliza sus algoritmos avanzados de aprendizaje automático y capacidades de procesamiento de lenguaje natural (NLP) para filtrar el ruido de OSINT recopilado y traducir el contenido a los idiomas preferidos de los usuarios. A continuación, indexa los datos y destaca la inteligencia crítica, optimizando su toma de decisiones.

Figure 2: OSINT with Babel X (Source: Babel X)

Características y casos de uso

Babel X admite escaneos activos y pasivos, visualización de datos a través de gráficos, mapeo geoespacial y más. Puede realizar su OSINT en Babel X utilizando búsquedas booleanas para escaneos rápidos o configurar búsquedas por palabra clave, marco de tiempo, geolocalización o tipo de archivo para un filtrado detallado. También puede integrar sus API para alimentar directamente la información de Babel X en sus plataformas para la detección proactiva de amenazas. Aún así, para los usuarios empresariales que buscan aprovechar su variedad de funciones, el elevado precio de Babel X puede requerir una cuidadosa consideración. 

2. BuiltWith

Construido con es una herramienta de creación de perfiles de sitios web para analizar los registros DNS, los sistemas de gestión de contenido, las bibliotecas de terceros y otra infraestructura de TI en la que se basa el sitio web de un objetivo. BuiltWith identifica los patrones únicos que dejan incluso los elementos de infraestructura más oscuros. A continuación, almacena toda la información recopilada en su base de datos indexada, incluidos los datos históricos, como cuándo se añadió o eliminó una determinada tecnología de un sitio web. 

Figure 3: BuiltWith dashboard (Source: BuiltWith)

Características y casos de uso

Las empresas pueden usar BuiltWith para recopilar información sobre las vulnerabilidades existentes o potenciales de su sitio web en función de sus componentes de infraestructura. Esto es particularmente útil para el mapeo de la superficie de ataque y la gestión de riesgos de la cadena de suministro de software. Aunque BuiltWith tiene algunos casos de uso de OSINT, no es una herramienta OSINT completa. Por ejemplo, no proporciona información sobre los atacantes' últimos TTP u objetivos.

3. DarkSearch.io

DarkSearch (Búsqueda Oscura) es un motor de búsqueda para recopilar inteligencia de la web oscura de sitios de volcado de datos, foros de sombrero negro, varios formatos de documentos, salas de chat IRC, chats de juegos y más. Funciona rastreando Tor2web e indexando información en datos estructurados para obtener respuestas de consulta más rápidas. 

Figure 4: DarkSearch homepage (Source: DarkSearch)

Características y casos de uso

Puede consultar información en DarkSearch mediante lógica booleana o búsquedas de palabras clave. También puede integrar API de terceros para exportar los resultados de las consultas para su posterior procesamiento. Además, DarkSearch alerta a los usuarios en tiempo real a través de correos electrónicos designados cada vez que nuevos escaneos revelan información crítica. Aún así, al escanear solo la web oscura, DarkSearch puede perder de vista las vulnerabilidades y amenazas que están directamente debajo de sus narices en la web superficial disponible públicamente.

4. FOCA

Organizaciones de Huellas Dactilares con Archivos Recopilados (FOCA) es una herramienta especializada para recopilar metadatos ocultos de documentos disponibles públicamente, incluidos Microsoft y Docs abiertos, SVG, PDF, hojas de cálculo de Excel, archivos de PowerPoint y archivos de Adobe InDesign. Estos documentos suelen ser archivos indexados descargados de dominios corporativos, sitios web públicos y motores de búsqueda.

 

Features and use cases

Características y casos de uso

Puede ejecutar consultas FOCA a través de Google, Bing y DuckDuckGo para descubrir información como nombres de usuario comprometidos, correos electrónicos, direcciones IP y rutas internas, y TTP de los atacantes. Si bien FOCA es un excelente punto de partida para la recopilación de OSINT, su incapacidad para escanear archivos no indexados, páginas web, la web profunda/oscura y otras fuentes críticas de OSINT es una limitación importante.

5. Inteligencia X

Inteligencia X es un motor de búsqueda para monitorear las actividades de la web oscura y para descubrir credenciales filtradas o datos confidenciales expuestos. Reúne OSINT a través de múltiples plataformas, incluyendo foros de la web profunda/web oscura alojados en Tor, sitios I2P, páginas web desactivadas y fuentes principales como Facebook, Pastabin y GitHub. Intelligence X rastrea continuamente Internet centrándose en fuentes más oscuras que normalmente no son indexadas por los motores de búsqueda tradicionales.

Features and use cases

Características y casos de uso

Intelligence X le permite consultar información de ocho categorías diferentes. Puede usar Intelligence X para descubrir actividades o menciones adversas dirigidas a su organización, identificar documentos que contengan datos confidenciales de su organización recuperados de sitios de volcado, etc. A pesar de estos beneficios, los usuarios de Intelligence X deben sopesar cuidadosamente sus pros frente a sus contras, ya que la herramienta puede ser bastante costosa y compleja de usar para los usuarios empresariales.

6. Maltego

Maltego es una herramienta gráfica de análisis de enlaces para recopilar OSINT sobre actores de amenazas, organizaciones, dominios y más. Tiene una arquitectura basada en transformación para realizar consultas automatizadas y personalizables. Maltego admite la visualización de datos a través de gráficos interactivos para permitir a los usuarios mapear las relaciones de datos (por ejemplo, la relación entre una organización y un grupo de hackers). 

Features and use cases

Características y casos de uso

Maltego extrae metadatos de redes sociales, bases de datos de identidad, la web oscura y otras fuentes de OSINT, proporcionando capacidades de monitoreo en tiempo real impulsadas por IA. Con su soporte para 120+ plataformas, puede usar Maltego para realizar investigaciones OSINT complejas en objetivos específicos o descubrir amenazas y ataques cibernéticos en la naturaleza. 

7. Mitaka

Mitaka es una extensión de navegador web de código abierto para analizar malware, evaluar la credibilidad de una URL o dirección de correo electrónico y, en general, encontrar indicadores de compromiso (IOC) en IP, dominios y más. Mitaka recopila información de una amplia gama de fuentes, incluidas bases de datos de reputación de IP, kits de verificación de certificados SSL/TLS y fuentes de inteligencia de amenazas como MalwareBazaar.

Características y casos de uso

Una vez configurado, Mitaka se ejecuta automáticamente junto a su navegador, extrayendo datos de amenazas como CVE, virus y malware en sitios web objetivo a través de extensiones de navegador. Si bien es útil para investigar malware y ataques de phishing, la capacidad de Mitaka para interferir con la actividad del navegador puede llevar a la exposición de contraseñas a través de una puerta trasera de terceros. 

8. Reconocimiento-ng

Reconocimiento es una herramienta de prueba de lápiz y OSINT de código abierto de línea de comandos. Recon-ng recopila OSINT de bases de datos y direcciones IP, búsquedas de DNS, motores de búsqueda y más.

Features and use cases

Características y casos de uso

Para recopilar OSINT sobre organizaciones, individuos y más, busque los módulos de Recon-ng como 'bing_domain_web' para la recopilación de información de dominio, 'ip_geolocation' para recopilar datos sobre la ubicación del objetivo, y 'ssl_search' para descubrir los certificados SSL comprometidos del objetivo. 

9. Pie de araña

SpiderFoot es una herramienta OSINT de código abierto con 200+ módulos para recopilar información sobre organizaciones objetivo, dominios y direcciones IP, redes, correos electrónicos y nombres de usuario. Ofrece capacidades de automatización para tareas rutinarias de OSINT, como consultas de DNS, comprobaciones de inteligencia de amenazas, detección de infracciones, búsquedas de WHOIS y más.

Features and use cases

Características y casos de uso

SpiderFoot extrae datos de 100+ fuentes públicas, incluidas redes sociales, sitios web, fuentes de inteligencia de amenazas y registros DNS. Admite la correlación cruzada de datos para mapear las relaciones entre diferentes entidades y proporciona herramientas de visualización de datos para mapear gráficamente las conexiones entre varios tipos de inteligencia. Las empresas pueden utilizar la información recopilada por SpiderFoot para identificar patrones de amenazas comunes y gestionar su superficie de ataque. 

Enhancing your cybersecurity with solutions powered by Wiz Threat Intelligence (Wiz TI)

Mejore su ciberseguridad con soluciones impulsadas por Wiz Threat Intelligence (Wiz TI)

Wiz Inteligencia de Amenazas (Wiz TI) le permite beneficiarse de OSINT sin la molestia de realizar sus propios escaneos extensos. Y además de OSINT, Avisos de Wiz se generan utilizando datos privados a los que se ha accedido legítimamente y que enriquecen los hallazgos más allá de lo que OSINT por sí solo puede proporcionar. 

Wiz TI continuously identifies indicators of compromise (IoCs); explores tactics, techniques, and procedures (TTPs) used by threat actors; and discerns threat behaviors in real time. With these insights, organizations are better informed on how to mitigate risks and improve their ability to detect and respond to actual threats. Key features of Wiz TI include:

Wiz TI identifica continuamente indicadores de compromiso (IoC); explora las tácticas, técnicas y procedimientos (TTP) utilizados por los actores de amenazas; y discierne los comportamientos de amenaza en tiempo real. Con estos conocimientos, las organizaciones están mejor informadas sobre cómo mitigar los riesgos y mejorar su capacidad para detectar y responder a las amenazas reales. Las características clave de Wiz TI incluyen:

  • Centro de amenazas de Wiz: Aquí es donde el equipo de investigación de amenazas de Wiz comparte las amenazas emergentes, las tecnologías dirigidas, las defensas y los conocimientos que detallan cómo puede verse afectado su entorno.

  • Investigación en profundidad: El equipo de Wiz Research lleva a cabo una investigación exhaustiva para descubrir e investigar nuevas amenazas en la nube, utilizando herramientas como la Sensor de tiempo de ejecución Wiz. Al mantenerse actualizado sobre las últimas amenazas a medida que surgen, puede desarrollar estrategias de ciberdefensa para adelantarse a los atacantes.

  • Autoridad de numeración CVE (CNA): En reconocimiento a sus esfuerzos en la investigación de amenazas y vulnerabilidades hacia una nube más segura y transparente, Wiz ha sido autorizada como CNA por el Programa de Vulnerabilidades y Exposiciones Comunes (CVE).

  • Análisis de TTPs: Wiz investiga varios TTP utilizados por los actores de amenazas (por ejemplo, TTP utilizados en los ataques de EKS) para proporcionarle información sobre los componentes más vulnerables de su pila y por qué son vulnerables.

Estas capacidades mejoran colectivamente a Wiz'capacidad para detectar, analizar y responder a las amenazas de seguridad en la nube. Debido a que la información de Wiz TI se basa en investigaciones de fuentes abiertas y datos privados, el Plataforma Wiz siempre cuenta con la inteligencia más reciente para proteger su pila y garantizar su resistencia continua, incluso cuando surgen nuevas amenazas, TTP y CVE.  

También tenemos algunas capacidades interesantes que llegarán pronto. Estén atentos a:

  • Un portal directamente en tu plataforma Wiz que incorpora informes de la Panorama de amenazas en la nube para mantenerlo informado sobre los actores de amenazas y lo que están haciendo

  • Una función que te ayuda a correlacionar los hallazgos en tu entorno y atribuirlos a actores amenazantes específicos.