Saltar al contenido
Lección 8 de 8

OPSEC, Ética y Legalidad

5 min read

OPSEC para el Investigador

La seguridad operacional (OPSEC) es la disciplina de proteger la propia investigación y al propio investigador. Mucha gente que aprende OSINT se concentra en recolectar información del objetivo y olvida que, mientras lo hace, también está generando su propia huella. Cada visita a una web, cada consulta a una API y cada cuenta usada deja rastros que pueden revelar quién investiga, qué busca y desde dónde. Una OPSEC pobre puede comprometer la investigación, alertar al objetivo o, en casos sensibles, poner en riesgo al propio analista.

El primer principio es la separación de identidades. Un investigador serio nunca usa sus cuentas personales para investigar: emplea cuentas dedicadas (a veces llamadas "sock puppets" o personas de investigación) creadas y mantenidas específicamente para ese fin, sin conexión con su identidad real. Estas cuentas deben construirse con cuidado y coherencia para resultar verosímiles, y siempre dentro de los términos de servicio y la ley.

El segundo principio es el control de la atribución de red. Herramientas como VPNs, navegadores con buen aislamiento o máquinas virtuales dedicadas evitan que la dirección IP real o la configuración del navegador delaten al investigador o vinculen sus actividades. Para investigaciones de mayor sensibilidad, entornos aislados y desechables reducen el riesgo de contaminación cruzada entre casos. El objetivo no es la clandestinidad ilegal, sino una higiene operativa que protege tanto la integridad de la investigación como la privacidad del analista.

Evitar Dejar Rastro en el Objetivo

Una de las máximas del OSINT es la preferencia por las técnicas pasivas. Recolectar información de fuentes de terceros (Shodan, DNS pasivo, buscadores, archivos históricos) no genera ningún contacto con la infraestructura del objetivo y, por tanto, no deja rastro en sus registros. Las técnicas activas — escanear puertos, resolver subdominios contra sus servidores, visitar directamente sus sistemas — sí dejan huella y pueden disparar alertas o, peor, salirse del marco legal si no hay autorización.

Hay rastros sutiles que los principiantes suelen pasar por alto. Visitar repetidamente un perfil de LinkedIn puede notificar al objetivo "quién vio tu perfil"; interactuar con publicaciones en redes sociales deja constancia visible; descargar archivos puede registrar la IP en logs del servidor. Un investigador consciente entiende qué acciones son observables por el objetivo y las evita o las gestiona deliberadamente cuando trabaja en casos donde el sigilo importa.

La regla práctica es sencilla: maximizar las fuentes pasivas y reservar las activas para cuando sean necesarias y estén autorizadas. Esto no solo protege el sigilo de la investigación, sino que también reduce el riesgo de cruzar, sin querer, la línea que separa el OSINT de la intrusión. Cuanto menos contacto directo con el objetivo, más limpia y más legalmente sólida es la investigación.

Marco Legal

El OSINT se mueve en un terreno donde la frontera entre lo legal y lo ilegal puede ser fina, por lo que conocer el marco jurídico es imprescindible. El principio fundamental es claro: acceder a información públicamente disponible es legal; acceder a sistemas, cuentas o datos sin autorización no lo es. La diferencia no está en lo fácil que sea encontrar algo, sino en si se tiene derecho legítimo a acceder a ello.

Varias áreas legales son especialmente relevantes. Las leyes contra el acceso no autorizado a sistemas informáticos (como la CFAA en Estados Unidos o equivalentes en otros países) penalizan el acceso a sistemas sin permiso, aunque la vulnerabilidad sea trivial. Las leyes de protección de datos (RGPD en Europa y normativas análogas) regulan el tratamiento de datos personales, lo que afecta directamente al OSINT de personas: recopilar, almacenar y procesar datos de individuos puede tener obligaciones legales aun cuando los datos sean públicos. Y las normas sobre acoso, difamación o suplantación pueden aplicar según el uso que se dé a la información.

Las jurisdicciones difieren enormemente, y lo que es legal en un país puede no serlo en otro. El investigador responsable conoce la legislación que le aplica y, en contextos profesionales, se ampara siempre en una autorización por escrito que define claramente el alcance, los objetivos y los límites del trabajo. Ante la duda, la consulta legal previa es la opción prudente. Ninguna técnica de este curso justifica saltarse la ley.

La Ética como Brújula

Más allá de lo estrictamente legal, el OSINT exige una brújula ética, porque hay cosas que son legales pero no deberían hacerse. La pregunta no es solo "¿puedo hacer esto?", sino "¿debería?". El criterio de proporcionalidad debe guiar cada decisión: recolectar solo lo necesario para el objetivo legítimo, minimizar el impacto sobre la privacidad de terceros y descartar todo lo que no sirva al propósito declarado.

Hay líneas que nunca deben cruzarse, sea cual sea la justificación. El doxing —publicar información privada para exponer o intimidar a alguien—, el acoso, el stalking, la suplantación de identidad para engañar y la vigilancia no consentida de personas son inaceptables, y a menudo ilegales. El hecho de que las técnicas para hacerlo existan y se enseñen para fines defensivos no las legitima cuando se usan para dañar. La responsabilidad del mal uso recae enteramente en quien lo comete.

El OSINT bien practicado es una fuerza para el bien: protege organizaciones, esclarece la verdad, encuentra personas desaparecidas, combate el fraude y refuerza la seguridad de quienes lo aplican sobre sí mismos. Esa es la vocación de este curso. Las mismas técnicas que un atacante usaría para hacer daño, el investigador ético las usa para defender, comprender y proteger. La diferencia, una vez más, no está en la herramienta, sino en la intención, el respeto a la ley y la integridad de quien la maneja.