ESTUDIO DE CASO // INVESTIGACIÓN DE INFRAESTRUCTURA
Una investigación pasiva de OSINT de 27 partes que mapeó una infraestructura de streaming multinacional, identificó al operador a través de 37+ cuentas vinculadas y produjo un dossier de inteligencia completo con 186 pasos de evidencia.
Se investigó una operación de transmisión ilegal que distribuía miles de canales pirateados en varios mercados europeos utilizando técnicas de OSINT pasivo exclusivamente. Durante una investigación de múltiples fases que abarcó 27 sesiones analíticas, se identificó completamente al operador, se mapeó la infraestructura completa de servidores, se reconstruyó el modelo financiero y se produjo un dossier listo para la aplicación de la ley.
La investigación comenzó con un solo punto de datos — una URL de panel de transmisión — y mediante una correlación sistemática de inteligencia multi-fuente, se expandió para revelar la identidad del operador, su ubicación del hogar, sus conexiones familiares, su relación con el ISP, una arquitectura de servidor de 5 nodos que abarca 3 países y una operación estimada que genera €84.000–€420.000 en ingresos totales.
El objetivo operaba detrás de múltiples capas de ofuscación: proveedores de alojamiento "bulletproof", protección de Cloudflare, DNS con comodín y roles separados de infraestructura (codificación, gestión de paneles, entrega CDN, distribución periférica). El operador mantenía cero entidad comercial registrada — ningún registro corporativo, ningún registro fiscal a su nombre vinculado a la operación.
El objetivo era responder tres preguntas mediante medios pasivos: ¿Quién opera esta infraestructura? ¿Cómo está estructurada técnicamente y financieramente la operación? ¿Qué evidencia existe para apoyar una acción de cumplimiento?
Análisis de patrones de nombre de usuario, correlación de correos electrónicos, enumeración de plataformas. Se descubrieron 37+ cuentas en plataformas de desarrolladores, redes sociales, servicios de juego y foros subterráneos — todas vinculadas mediante patrones consistentes de nombre de usuario y direcciones de correo electrónico.
Análisis DNS, correlación de certificados, escaneo de puertos, huella digital de servicios. Se mapearon 5 nodos de servidor en 3 países con roles distintos: origen de codificación, gestión de panel, entrega CDN, borde europeo y retransmisión de correo. Se identificó alojamiento inquebrantable, infraestructura NAS y patrones de acceso a VPN.
Enumeración de API, inventario de canales, categorización de contenido. Se documentó el alcance completo: miles de transmisiones en vivo, miles de títulos VOD, cientos de series de televisión — incluyendo cientos de canales premium de 11+ titulares de derechos en 5+ jurisdicciones.
Identificación de canales de pago, estimación de ingresos, mapeo de proveedores upstream. Se descubrió un modelo de pago en moneda fiduciaria solo a través de plataformas de pago identificadas, se estimó la base de suscriptores y los ingresos, y se trazó la cadena de suministro del contenido desde el origen satelital hasta la codificación y la distribución.
Cruzar todos los flujos de inteligencia. Se confirmó la identidad real del operador mediante la convergencia de múltiples cadenas de evidencia independientes: confirmaciones en repositorios de código, perfiles de redes sociales, registros públicos, publicaciones en foros e infraestructura digital.
La arquitectura de 5 nodos fue mapeada mediante DNS pasivo, transparencia de certificados y huellas digitales de servicio:
Nodo 1 (Origen/Encoder): Conexión de ISP residencial que aloja hardware de codificación (NAS + encoder de hardware). Operado desde la ubicación física del operador con servicios FTP, SMTP, RTSP, RTMP y VPN expuestos. El nodo con peores prácticas de OPSEC.
Nodo 2 (Panel): Proveedor de alojamiento bulletproof ejecutando software de panel de streaming con puertos de base de datos (MariaDB) y caché (Redis) accesibles desde internet — aunque con lista blanca de IPs.
Nodo 3 (CDN): Mismo proveedor de alojamiento bulletproof, encargado de la entrega de streams y alojamiento de VOD. Ejecutando software de servidor web de fin de vida con CVE conocidos.
Nodo 4 (Edge): Nodo de entrega de edge europeo en un proveedor de alojamiento diferente.
Nodo 5 (Correo): Relé de correo en la nube encargado de las comunicaciones del dominio.
El paquete completo de inteligencia —que incluye identificación del operador, topología de la infraestructura, análisis financiero, inventario de contenido y evaluación del impacto en los titulares de derechos— se compiló en un dossier estructurado apto para su derivación a las fuerzas del orden. La documentación identificó los marcos legales aplicables en más de 5 jurisdicciones y sugirió pasos de investigación específicos que requerirían autoridad legal para ejecutar (acceso a bases de datos, registros de transacciones, información de suscriptores de ISP).
La investigación completa de 27 partes se realizó utilizando técnicas exclusivamente pasivas de OSINT. Las fuentes de inteligencia incluyeron: respuestas de API públicas, registros DNS, registros de transparencia de certificados, análisis de repositorios de código, perfiles de redes sociales, búsquedas en registros públicos, detección pasiva de huellas digitales de servicios y análisis de publicaciones en foros. En ningún momento se accedió a ningún sistema sin autorización, no se probaron credenciales y no se realizó explotación activa.
Ya sea redes de fraude, abuso de marcas o infraestructura de competidores, mapeamos lo que otros pierden de vista.