RECURSOS // GLOSARIO
Términos clave en inteligencia de fuentes abiertas, ciberseguridad y análisis de sitios web — definidos para audiencias técnicas y empresariales.
Recopilación de inteligencia que implica interacción directa con el sistema objetivo — escaneo de puertos, sondeo de vulnerabilidades, pruebas de autenticación. A diferencia del reconocimiento pasivo, el reconocimiento activo puede ser detectado por el objetivo y puede tener implicaciones legales sin autorización.
Ver también: Reconocimiento pasivo
Un identificador único asignado a un operador de red (ISP, proveedor de hosting, empresa) para el enrutamiento del tráfico de Internet. La consulta de ASN revela qué organización controla una dirección IP determinada, su huella geográfica y sus relaciones de peering — útil para comprender las decisiones de alojamiento y la topología de la infraestructura.
Un grupo de amenazas patrocinado o afiliado al Estado que lleva a cabo operaciones cibernéticas prolongadas y dirigidas contra sectores u organizaciones específicas. Los grupos APT se atribuyen a los Estados‑nación por autoridades gubernamentales de ciberseguridad y agencias de inteligencia basándose en tácticas observadas, infraestructura y patrones de objetivo. Las designaciones APT (p. ej., APT28, APT41, Lazarus Group) son rastreadas por organizaciones, incluidas MITRE ATT&CK, BSI (Oficina Federal Alemana de Seguridad de la Información) y comunidades internacionales CERT. En evaluaciones de superficie de ataque externa, el mapeo del panorama de amenazas APT identifica qué grupos patrocinados por el Estado tienen actividad documentada que apunta al sector industrial de la organización, proporcionando contexto para decisiones estratégicas de riesgo.
El conjunto total de puntos donde un usuario no autorizado podría intentar ingresar o extraer datos de un sistema. En la inteligencia de sitios web, la superficie de ataque externa incluye todos los puntos finales visibles públicamente, subdominios, puertos abiertos, API expuestas y servicios mal configurados. Reducir la superficie de ataque es un objetivo principal de la gestión de la postura de seguridad.
Una red de servidores distribuida geográficamente que entrega contenido web a los usuarios según su proximidad. Los CDNs más comunes incluyen Cloudflare, Akamai y AWS CloudFront. La detección de CDN revela el nivel de inversión en infraestructura y puede indicar la distribución geográfica de la audiencia del objetivo.
Un sistema de registro público que almacena todos los certificados SSL/TLS emitidos por autoridades de certificación. Los investigadores de seguridad utilizan los registros CT para descubrir subdominios, nombres de proyectos internos, entornos de pruebas y patrones de infraestructura, revelando a menudo información que la organización no pretendía hacer pública.
En una evaluación, los registros CT por sí solos revelaron más de 520 subdominios de una importante plataforma financiera, incluidos los nombres en clave de proyectos internos.
Software utilizado para crear y gestionar el contenido de sitios web — WordPress, Shopify, Drupal, Webflow y otros. La detección de CMS es una señal fundamental en la inteligencia de sitios web, revelando las elecciones tecnológicas, vulnerabilidades potenciales (específicas de versión) y la madurez operativa.
Una normativa de la UE que establece requisitos obligatorios de ciberseguridad para productos con elementos digitales — hardware, software y dispositivos conectados vendidos en el mercado europeo. El CRA exige a los fabricantes y distribuidores implementar principios de seguridad por diseño, proporcionar procesos de gestión de vulnerabilidades y reportar vulnerabilidades explotadas activamente dentro de las 24 horas. El incumplimiento conlleva sanciones de hasta €15 millones o el 2,5 % de la facturación anual global. Fecha clave: septiembre de 2026 para la aplicación total.
Un identificador estandarizado para vulnerabilidades de ciberseguridad conocidas públicamente (p. ej., CVE-2024-2473). Cada CVE tiene una puntuación de gravedad (CVSS) y una descripción. La inteligencia del sitio web cruza referencias de versiones de software detectadas contra bases de datos de CVE para identificar posibles exposiciones.
Un sistema de puntuación numérica (0.0–10.0) que califica la gravedad de las vulnerabilidades de seguridad. Las puntuaciones superiores a 7.0 se consideran de alta gravedad, y superiores a 9.0 críticas. Las puntuaciones CVSS ayudan a priorizar la remediación basándose en la explotabilidad real y el potencial de impacto.
El rastro total de datos que una organización o individuo deja en Internet — sitios web, registros DNS, perfiles de redes sociales, repositorios de código, registros de certificados y archivos web históricos. El reconocimiento pasivo mapea esta huella sin crear nuevas trazas.
El sistema que traduce nombres de dominio legibles por humanos (example.com) en direcciones IP. Los registros DNS (A, MX, TXT, CNAME, NS) son una fuente rica de inteligencia — revelando proveedores de correo, infraestructura de alojamiento, integraciones de servicios de terceros y registros de verificación de dominio para herramientas SaaS.
Un protocolo de autenticación de correo electrónico que indica a los servidores de correo receptores cómo manejar los correos que no superan las comprobaciones SPF o DKIM. Una política DMARC de "reject" indica una seguridad de correo madura; "none" significa que el dominio puede ser falsificado trivialmente para ataques de phishing.
Una normativa de la UE aplicable a entidades financieras — bancos, compañías de seguros, firmas de inversión, proveedores de servicios de pago y sus proveedores críticos de servicios TIC de terceros. En vigor desde enero de 2025, DORA exige marcos integrales de gestión de riesgos TIC, notificación de incidentes dentro de plazos estrictos, pruebas de resiliencia operacional digital y supervisión de riesgos de terceros. A diferencia de NIS2, DORA es una regulación (de aplicación directa) y no una directiva, y se centra específicamente en la resiliencia operacional de la infraestructura digital del sector financiero.
El proceso de investigar la presencia digital de una empresa, su postura de seguridad y su infraestructura técnica antes de una decisión comercial — M&A, asociación, selección de proveedores o inversión. La inteligencia de sitios web automatiza el componente técnico de la debida diligencia digital al extraer más de 150 señales de datos públicos.
El proceso continuo de descubrir, inventariar, clasificar y monitorizar los activos expuestos a Internet de una organización — incluidos los activos que la organización puede no saber que posee. EASM va más allá del escaneo tradicional de vulnerabilidades al combinar la detección de subdominios, el análisis de transparencia de certificados, la detección de infraestructura en la nube, la enumeración de API expuestas y el mapeo de servicios de terceros en una visión unificada de la visibilidad externa. Un EASM eficaz proporciona la base para el cumplimiento normativo bajo CRA, NIS2 y DORA al demostrar una monitorización continua de la seguridad.
Ver también: Superficie de Ataque, CRA
La parte de la superficie de ataque de una organización que es visible desde Internet público — servidores web, registros DNS, servicios expuestos, subdominios y API públicas. La gestión de la superficie de ataque externa (EASM) implica monitorear continuamente y reducir esta exposición.
Regulación de la UE que rige la protección de datos personales. En la inteligencia de sitios web, las señales de cumplimiento con GDPR incluyen mecanismos de consentimiento de cookies, calidad de la política de privacidad, implementación de los derechos de los interesados y transparencia en el procesamiento de datos. La falta de cumplimiento representa tanto un riesgo legal como un indicador de oportunidad de venta.
Un encabezado de seguridad que indica a los navegadores que solo se conecten mediante HTTPS, evitando ataques de degradación. HSTS con preload e includeSubDomains indica una fuerte concienciación de seguridad. Su ausencia es una señal de seguridad negativa detectable mediante reconocimiento pasivo.
Malware diseñado para recopilar credenciales, cookies y tokens de sesión de dispositivos infectados. Los registros de Infostealer se comercializan en mercados de la dark web y contienen nombres de usuario, contraseñas y URLs, lo que los convierte en una fuente primaria de inteligencia sobre violaciones de credenciales.
El proceso estructurado de producir inteligencia procesable: definición de requisitos → recolección → procesamiento → análisis → elaboración de informes → retroalimentación. Las operaciones profesionales de OSINT siguen este ciclo para garantizar la consistencia, precisión y relevancia de los resultados.
Ver: Nuestra Metodología
El proceso de identificar y documentar la infraestructura técnica de una organización — servidores, rangos de IP, proveedores de hosting, topología DNS, configuración CDN y arquitectura de servicios. El mapeo pasivo de infraestructura utiliza DNS, certificados y datos WHOIS sin tocar los sistemas objetivo.
Una metodología para clasificar prospectos según su probabilidad de conversión. En la inteligencia de sitios web, la calificación de leads utiliza señales públicas — profundidad del stack tecnológico, brechas de seguridad, estado de cumplimiento e indicadores de negocio — para asignar calificaciones de la A a la F que predicen el potencial del trato y recomiendan enfoques de compromiso.
La práctica de cruzar referencias de inteligencia de múltiples fuentes independientes antes de informar los hallazgos. Una señal detectada por un método es una pista; confirmada en tres fuentes independientes, se convierte en inteligencia. Este principio reduce los falsos positivos y aumenta la confianza en las evaluaciones.
Marco regulatorio de la UE (Reglamento 2023/1114) que establece normas integrales para los proveedores de servicios de criptoactivos (CASPs). MiCA abarca la gestión de riesgos de TIC (Art. 62), la resiliencia operativa (Art. 67), la protección de los criptoactivos de los clientes (Art. 68), la custodia y administración (Art. 75), los servicios de intercambio (Art. 79) y la gestión de reclamaciones (Art. 83). En la evaluación de la superficie de ataque externa, el mapeo de cumplimiento de MiCA identifica brechas de seguridad relevantes para las organizaciones que operan en el sector de criptoactivos — desde intercambios y proveedores de carteras custodiales hasta emisores de tokens.
Ver también: DORA
La directiva actualizada de la UE sobre ciberseguridad, que reemplaza a la Directiva NIS original. NIS2 es una directiva — lo que significa que los Estados miembros de la UE deben transponerla al derecho nacional — no un reglamento de aplicación directa como DORA o CRA. Amplía el alcance de las entidades cubiertas a dos categorías: “esenciales” (energía, transporte, banca, salud, agua, infraestructura digital) e “importantes” (servicios postales, gestión de residuos, fabricación, alimentación, proveedores digitales). NIS2 exige medidas de gestión de riesgos, notificación de incidentes dentro de las 24 horas para incidentes significativos, seguridad de la cadena de suministro y responsabilidad del órgano de gestión. Las sanciones para las entidades esenciales pueden alcanzar los 10 millones de euros o el 2 % de la facturación global.
Una calificación numérica (0-100) que indica el valor comercial potencial de interactuar con un prospecto, basada en brechas y necesidades identificadas. Las puntuaciones de oportunidad altas indican múltiples problemas abordables — debilidades de seguridad, brechas de cumplimiento o deuda técnica — combinados con señales de presupuesto y preparación organizacional.
Inteligencia derivada de fuentes públicamente disponibles — sitios web, registros DNS, redes sociales, registros de certificados, repositorios de código, bases de datos públicas y archivos web. OSINT es legal por definición porque solo utiliza información accesible sin autenticación ni autorización. Es utilizada por investigadores de seguridad, fuerzas del orden, periodistas y empresas en todo el mundo.
Recopilación de inteligencia mediante la observación de datos de acceso público sin ninguna interacción con el sistema objetivo. No se realizan intentos de autenticación, no se envían formularios, no hay sondeo activo. El reconocimiento pasivo es indetectable para el objetivo y completamente legal — observa los mismos datos visibles para cualquier navegador web o motor de búsqueda.
Algoritmos criptográficos diseñados para resistir ataques tanto de computadoras clásicas como cuánticas. NIST finalizó tres estándares PQC en agosto de 2024: ML-KEM (FIPS 203) para encapsulación de claves, ML-DSA (FIPS 204) para firmas digitales y SLH-DSA (FIPS 205) para firmas basadas en hash. Las organizaciones enfrentan presión regulatoria para iniciar la migración PQC bajo los plazos de CRA, NIS2 y CNSA 2.0, con la completa depreciación de los algoritmos vulnerables a la cuántica esperada entre 2030 y 5 363.
Ver t
Estrategia adversaria en la que el tráfico de red cifrado se intercepta y almacena hoy con la expectativa de descifrarlo una vez que las computadoras cuánticas sean capaces de romper los algoritmos criptográficos actuales. Esta amenaza es particularmente relevante para datos con requisitos prolongados de confidencialidad: registros financieros, datos médicos, propiedad intelectual, comunicaciones diplomáticas y secretos comerciales. El intervalo entre la recolección y la capacidad de descifrado se estima en tres a diez años, lo que convierte la migración inmediata a criptografía post‑cuántica en una prioridad de gestión de riesgos más que en una consideración futura.
El proceso de sondear los puertos de red de un servidor para identificar los servicios en ejecución (servidor web en 443, correo en 25, FTP en 21, etc.). El escaneo activo de puertos es detectable; los enfoques pasivos utilizan bases de datos de escaneos históricos para identificar servicios expuestos sin interacción directa.
La práctica de informar vulnerabilidades de seguridad a la organización afectada antes de publicarlas, permitiendo tiempo para la remediación. Los profesionales de OSINT siguen protocolos de divulgación responsable cuando el reconocimiento pasivo revela problemas críticos de seguridad.
Encabezados de respuesta HTTP que indican a los navegadores cómo manejar el contenido de forma segura. Los encabezados clave incluyen Content-Security-Policy (previene XSS), X-Frame-Options (previene clickjacking), HSTS (obliga a usar HTTPS) y Permissions-Policy (restringe las funcionalidades del navegador). La ausencia de encabezados de seguridad es uno de los hallazgos más comunes en las evaluaciones de inteligencia de sitios web.
El estado general de seguridad de los activos digitales de una organización tal como se observa desde el exterior — configuración SSL, encabezados de seguridad, vulnerabilidades conocidas, servicios expuestos e indicadores de amenazas. La evaluación de la postura de seguridad mediante reconocimiento pasivo revela lo que un atacante vería sin necesidad de explotación.
Evaluación de seguridad automatizada de programas autoejecutables desplegados en redes blockchain (principalmente Ethereum y cadenas compatibles con EVM). El análisis estático examina el código fuente del contrato en busca de patrones de vulnerabilidad conocidos sin ejecución, mientras que el análisis simbólico simula rutas de ejecución para descubrir estados explotables. Las clases clave de vulnerabilidades incluyen reentrada (cuando una llamada externa vuelve a entrar en el contrato antes de que se completen las actualizaciones de estado), debilidades en el control de acceso, condiciones de desbordamiento de enteros y patrones inseguros de delegatecall. El análisis requiere código fuente verificado públicamente: los contratos sin código fuente verificado en los exploradores de bloques no pueden ser analizados a nivel de código fuente.
Ver también: YARA Rules
Protocolos criptográficos que aseguran las comunicaciones entre navegadores web y servidores (la "S" en HTTPS). El análisis de certificados SSL revela la autoridad emisora, las fechas de expiración, la cobertura de dominios (incluidos subdominios mediante entradas SAN) y los registros del registro de transparencia de certificados, todos ellos señales de inteligencia valiosas.
Un prefijo de dominio que crea una dirección separada dentro de un dominio padre (p. ej., mail.example.com, staging.example.com). La enumeración de subdominios mediante registros DNS y la transparencia de certificados a menudo revela sistemas internos, entornos de staging e infraestructura que no están destinados a ser descubiertos públicamente.
Información sobre la pila tecnológica que una empresa utiliza — CMS, frameworks, analítica, procesadores de pagos, CDN, hosting y integraciones de terceros. Los datos tecnográficos son una señal primaria para la inteligencia de ventas porque revelan el presupuesto, la sofisticación y necesidades específicas que pueden ser atendidas.
El proceso de identificar software, frameworks y servicios que se ejecutan en un sitio web mediante el análisis de patrones HTML, bibliotecas JavaScript, encabezados HTTP y otros indicadores observables. Las bases de datos de fingerprinting modernas contienen más de 3.000 firmas de tecnologías.
Una calificación numérica compuesta (normalmente 0-100) que agrega múltiples señales de seguridad en un único indicador de riesgo. Las puntuaciones de amenaza combinan hallazgos de reglas de detección de malware, bases de datos de URL maliciosas, indicadores de vulnerabilidades y análisis de configuración de seguridad. Las puntuaciones más altas indican mayor riesgo.
Un individuo, grupo u organización que lleva a cabo actividades cibernéticas maliciosas. Los actores de amenaza van desde grupos criminales motivados financieramente y hacktivistas hasta grupos APT patrocinados por el Estado que realizan espionaje, sabotaje o robo de propiedad intelectual. En la inteligencia de amenazas, los actores se clasifican por atribución (país de origen), motivación (espionaje, financiero, ideológico), sectores objetivo (finanzas, salud, defensa, energía) y tácticas documentadas mapeadas a marcos como MITRE ATT&CK. Comprender qué actores de amenaza apuntan a un sector industrial específico informa las prioridades defensivas y la planificación de respuesta a incidentes.
El conjunto completo de amenazas relevantes para una organización, sector o geografía específica en un momento dado. Una evaluación del panorama de amenazas identifica qué actores de amenaza están apuntando activamente al sector, qué técnicas de ataque emplean y qué activos o datos buscan. Para evaluaciones de superficie de ataque externa, el mapeo del panorama de amenazas específico por sector correlaciona la clasificación industrial de la organización con bases de datos de actores de amenaza atribuidas por el gobierno para revelar los grupos patrocinados por el Estado más relevantes, sus tácticas conocidas y su historial documentado de focalización.
Plantillas de detección mantenidas por la comunidad que cubren más de 10 000 vulnerabilidades conocidas, configuraciones erróneas y servicios expuestos. El escaneo basado en plantillas permite la identificación rápida de problemas de seguridad en infraestructuras extensas al comparar patrones observables con una biblioteca continuamente actualizada de debilidades conocidas. Las plantillas abarcan encabezados de seguridad ausentes, paneles de administración expuestos, software obsoleto, credenciales predeterminadas y CVE conocidos, contribuyendo al puntaje automático de amenazas y al mapeo de cumplimiento.
Un sistema de seguridad que monitorea y filtra el tráfico HTTP entre una aplicación web y Internet. La detección de WAF (o su ausencia) es un indicador significativo del nivel de seguridad — las organizaciones sin protección WAF exponen sus aplicaciones directamente al tráfico de ataque.
La práctica de extraer, correlacionar y puntuar datos integrales de cualquier URL para producir informes estructurados y accionables de inteligencia. La inteligencia de sitios web combina detección de tecnología, evaluación de seguridad, descubrimiento de contactos, análisis SEO, evaluación de cumplimiento y extracción de señales empresariales en un único proceso automatizado.
Un protocolo y sistema de base de datos que almacena la información de registro de dominios — titular, registrador, servidores de nombres, fechas de creación y expiración. Incluso con la protección de privacidad activada, los datos de WHOIS revelan patrones de registro, elecciones de servidores de nombres y la antigüedad del dominio — todos son señales de inteligencia útiles.
Reglas de coincidencia de patrones utilizadas para identificar y clasificar malware, amenazas web y contenido sospechoso. Las reglas YARA escanean HTML, JavaScript y otro contenido web en busca de patrones maliciosos conocidos: scripts de criptominería, formularios de phishing, skimmers de tarjetas de crédito, webshells y redirecciones maliciosas.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.