La auditoría de exposición: 2 horas para cartografiar lo que se fuga

Un abogado de M&A me pregunta, entre dos cafés, qué se podría encontrar sobre él en dos horas. Pongo un cronómetro. Dos horas más tarde, tiene ante sus ojos su dirección de domicilio de 2019, tres antiguos números de móvil, la lista exhaustiva de sus cargos desde 2012, y un volcado que contiene su contraseña de Gmail de la época, en texto plano. Palideció. No lo sabía. Nadie lo sabe, antes de mirar.

La trampa habitual

El reflejo, cuando uno se preocupa por su visibilidad en línea, es teclear su nombre en Google y recorrer tres páginas de resultados. Aparece su perfil de LinkedIn, un viejo artículo de prensa, quizá una foto de fiesta. Uno se tranquiliza: «al final, no hay gran cosa». Esa es exactamente la falsa sensación de seguridad que le costará cara. Google solo le muestra una fracción ínfima de lo que existe — el índice de superficie, el que es público, legal e indexable. Todo lo demás — las bases de fugas, los brokers de datos, los registros legales, los archivos, los metadatos — nunca aparece en esa primera página.

La segunda trampa es creer que una sola herramienta basta. «He comprobado HIBPServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas.Ver el glosario, estoy limpio.» No. Have I Been PwnedServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas.Ver el glosario indexa fugas públicas y confirmadas. No ve los volcados privados que circulan en foros cerrados, ni los agregados que venden los data brokersEmpresa que recopila, agrega y revende datos personales a gran escala.Ver el glosario, ni las bases que ciertos actores guardan para sí. Una sola herramienta da una sola vista. Su exposición real es la suma de decenas de fuentes heterogéneas, y ninguna tiene la foto completa.

La tercera trampa es metodológica. La búsqueda improvisada — «tecleo mi nombre y veo qué sale» — produce ruido, no inteligencia. Usted no sabe cuándo ha terminado, no puede comparar dentro de seis meses, olvida la mitad de sus antiguas direcciones. Una auditoría es lo contrario: un método reproducible, acotado en el tiempo, que cubre capas definidas y produce un entregable — una tabla de exposición. La diferencia entre «googlearse» y «auditarse» es la diferencia entre mirar por la ventana y hacer el inventario de la casa.

Por qué «auditar» y no solo «googlear»

Pongamos una cifra para fijar el orden de magnitud: lo que Google le devuelve representa, para un perfil moderadamente activo, alrededor de una milésima de lo que un investigador determinado puede reconstruir. No es paranoia, es aritmética de superficie. El motor indexa lo que es público, vivo y autorizado al crawl. No indexa las bases de fugas (ilegales de difundir, por tanto ocultas), ni los registros que exigen una búsqueda estructurada por identificador, ni las páginas muertas que solo la Wayback MachineArchivo web de Internet Archive, que captura páginas desde 1996.Ver el glosario ha conservado, ni los metadatos escondidos en sus archivos. Usted googlea el escaparate. La auditoría abre la trastienda.

La auditoría de exposición es, en el fondo, un ejercicio de OSINTInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos.Ver el glosario vuelto contra uno mismo. Usted adopta la postura del adversario: reclutador demasiado curioso, competidor, periodista, ex pareja en pleno conflicto, o atacante que prepara un spear-phishingCartografía de actores, motivaciones, capacidades e impactos potenciales contra un objetivo.Ver el glosario dirigido. El objetivo no es borrarlo todo — es imposible y es incluso una señal en sí misma. El objetivo es saber con precisión qué está fuera, desde cuándo, y decidir, ítem por ítem, qué hace con ello. No se defiende un perímetro que no se ha cartografiado.

Definir su modelo de amenazaCartografía de actores, motivaciones, capacidades e impactos potenciales contra un objetivo.Ver el glosario antes de empezar lo cambia todo. Auditar sin un adversario en mente es recoger información al azar y entrar en pánico ante la cantidad. La buena pregunta nunca es «¿qué existe sobre mí?» — la respuesta siempre es «muchísimas cosas» — sino «¿quién me busca, con qué medios, y para hacer qué?». Un particular que teme a un reclutador no tiene el mismo modelo que un directivo objetivo de un fraude, ni que un periodista bajo la presión de un Estado. El modelo determina lo que cuenta: para uno, una foto de fiesta mal encuadrada; para otro, un domicilio que se fuga; para el tercero, el menor metadato que revele una fuente. Sin ese encuadre, clasificará mal sus hallazgos y agotará su energía en ruido. Formúlelo en una frase escrita antes de arrancar el cronómetro.

El método cabe en dos horas para una primera pasada, a condición de estructurarlo. Cuatro fases de treinta minutos, cada una dirigida a una capa: superficies públicas, fugas e identificadores, registros legales, social y metadatos. Luego una formalización. El reparto temporal no es cosmético: le impide lanzarse a una exploración sin fin sobre una sola pista y garantiza una cobertura homogénea. La tentación, cuando uno empieza a tirar de un hilo, es pasar una hora sobre un único hallazgo fascinante olvidando las otras tres capas. El cronómetro está para eso: treinta minutos, anota lo que tiene, pasa a la siguiente. Volverá a profundizar en las pistas críticas después, una vez completada la cartografía.

Antes de arrancar el cronómetro, prepare su materia prima. Es el paso que todo el mundo se salta y es el que determina la calidad del resultado. Liste todas sus direcciones de correo históricas: la personal actual, pero también la antigua dirección del proveedor de acceso de 2008, el alias que usaba para los foros, el buzón desechable creado para un registro olvidado, la dirección profesional de su empleador anterior. Liste todos sus números de los últimos cinco años — cada cambio de operador ha dejado un número detrás, vinculado a cuentas. Liste sus apodos antiguos: el handle de Twitter abandonado, el nick de gaming, la cuenta de foro de su adolescencia técnica. Esos identificadores secundarios son precisamente los que andan tirados en los viejos volcados, porque los había olvidado y por tanto nunca asegurado. Por último, abra una sesión de navegador aislada — perfil nuevo, sin ninguna extensión, desconectada de todo, idealmente en una red distinta de la suya. Usted busca lo que ve un desconocido, no lo que su sesión conectada y personalizada le devuelve. Google, LinkedIn, Facebook adaptan sus resultados a quién es usted; una auditoría hecha desde su cuenta miente por omisión.

Las cuatro fases — la rutina de dos horas

Fase 1 — Superficies públicas (30 min). Empiece por lo que está indexado, pero con operadores de búsqueda, no a mano. Los Google dorksInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos.Ver el glosario transforman un motor de gran público en herramienta de investigación. Lance en serie: site:linkedin.com "Nombre Apellido" para aislar los perfiles, "Nombre Apellido" filetype:pdf para los documentos (presentaciones, actas, listas de invitados), site:boe.es "Apellido" y site:axesor.es "Apellido" para las trazas de empresa indexadas. Varíe las comillas, pruebe en Google y Bing y Yandex — los índices difieren considerablemente. Pase luego cada uno de sus antiguos dominios personales o blogs por la Wayback MachineArchivo web de Internet Archive, que captura páginas desde 1996.Ver el glosario: un sitio de 2010 que cree muerto suele estar congelado allí, aviso legal, dirección y teléfono incluidos. Termine con una búsqueda de imagen inversa sobre su foto de perfil principal — Yandex es netamente superior a Google en reconocimiento facial, TinEye para recuperar los contextos antiguos. Resultados esperados: perfil completo, direcciones pasadas, cargos, artículos de prensa, fotos reutilizadas en otros sitios.

Fase 2 — Fugas e identificadores (30 min). Usted pasa por debajo de la superficie. Compruebe cada dirección de correo histórica en HIBPServicio público gratuito de Troy Hunt que indexa los correos comprometidos en brechas públicas.Ver el glosario — no solo la actual, ese es el error clásico. Anote el número de fugas, su antigüedad, y sobre todo la naturaleza de los datos expuestos (contraseña, dirección, número). Una fuga de 2014 en un foro desaparecido puede parecer benigna, hasta que se da cuenta de que la contraseña expuesta es una variación de la que todavía usa. Los adversarios lo saben: construyen diccionarios personalizados a partir de sus antiguas contraseñas para adivinar las nuevas. Para ir más lejos, DeHashed (parcialmente gratuito, ~5 $/mes para el detalle) muestra contraseñas en texto plano procedentes de ciertos volcados — las suyas, en su caso. Intelligence X indexa archivos de foros desaparecidos (RaidForums, Breached) y ofrece una búsqueda en la dark web. Para un perfil sensible, Constella Intelligence o Snusbase cubren bases de fugasServicio que indexa datos procedentes de brechas públicas o semipúblicas.Ver el glosario ausentes de HIBP. Cruce también su número de teléfono: introducido sin comillas y luego con ellas, en varios formatos (nacional, internacional, con y sin espacios), suele revelar registros olvidados. Lo que usted busca: una contraseña reutilizada todavía activa en algún sitio, un número de teléfono que se fuga, una dirección postal vinculada a una cuenta olvidada, un identificador que tienda un puente entre dos identidades que creía separadas.

Fase 3 — Registros y fuentes legales (30 min). En España, su vida de directivo es pública por construcción. El Registro Mercantil y portales como Infocif o Axesor listan sus cargos sociales, cuentas anuales, concursos de acreedores. El BORMEPublicación oficial española de anuncios mercantiles (constituciones, modificaciones, concursos).Ver el glosario publica los anuncios legales y las menciones en resoluciones. La OEPM recoge las marcas y patentes depositadas a su nombre. Para un perfil internacional: Companies House (Reino Unido), OpenCorporates (multijurisdicción), PACER (procedimientos federales de EE. UU.). Una dirección de domicilio «confidencial» a menudo se ha depositado en texto plano en un anuncio de constitución de sociedad diez años antes — y ahí sigue.

Fase 4 — Social y metadatos (30 min). Pruebe su perfil de LinkedIn en navegación privada, sin conectarse: lo que ve un desconocido difiere de lo que ve usted. A menudo, relaciones, una trayectoria detallada y datos de contacto que creía reservados a su red siguen siendo visibles por defecto. Haga lo mismo en Twitter/X, cuyo historial público puede remontarse a diez años — y donde una vieja publicación geolocalizada delata sus lugares de vida de entonces. Descargue algunas imágenes que haya publicado y páselas por ExifTool: los metadatosDatos sobre los datos: quién escribió qué, cuándo, dónde, a quién.Ver el glosario EXIFMetadatos adjuntos a las imágenes: fecha, GPS, modelo del dispositivo, parámetros de captura.Ver el glosario contienen con frecuencia coordenadas GPS al metro, modelo de dispositivo, número de serie y marca de tiempo. Una foto de su despacho publicada en una red puede así dar la dirección exacta del domicilio desde el que teletrabaja. Por último, una búsqueda en Google Images y Yandex sobre su nombre completo cierra el bucle entre identidad textual y rostro — es lo que permite a un adversario vincular un apodo anónimo a su identidad real, o al revés.

Formalizar: la tabla de exposición

Sin entregable, la auditoría no sirve de nada: no podrá ni decidir ni comparar. La salida es una tabla única, de cuatro columnas como mínimo: información (el elemento exacto: «dirección domicilio 2019»), fuente («BORME, anuncio sociedad patrimonial»), fecha (cuándo apareció la información y/o la fecha de su hallazgo), criticidad. Añada una quinta columna acción. La criticidad se ordena en cuatro niveles: crítica (compromete directamente su seguridad física o financiera — domicilio actual, contraseña activa), sensible (explotable en ingeniería social — antiguos números, cargos, relaciones), pública (legítimamente conocida, sin palanca — su puesto actual), benigna (sin interés para un adversario).

Para cada fila crítica, usted decide según tres opciones y ni una más. Retirar: ejercer el derecho de supresión, contactar con un broker, solicitar una desindexación, eliminar una vieja cuenta. Mutar: si la información no puede desaparecer (un cargo publicado sigue siendo público), usted cambia lo que depende de usted — rotación de la contraseña filtrada, nuevo número para los usos sensibles, compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones.Ver el glosario de las identidades. Aceptar: asumir la exposición, pero con un plan de respuesta escrito — «si me llaman usando esta información, este es el protocolo». Un dato aceptado conscientemente deja de ser una brecha, es un parámetro conocido.

Una palabra sobre la criticidad, porque es ahí donde las auditorías descarrilan. La tentación es clasificarlo todo como «crítico» por ansiedad, o minimizarlo todo por negación. Ni lo uno ni lo otro. La criticidad de un dato no es intrínseca: depende de lo que un adversario pueda hacer con él en su contexto. Su dirección profesional es pública y benigna para un comercial; la misma información se vuelve crítica para alguien que sufre acoso. Un antiguo número de teléfono es sensible porque sirve de segundo factor de recuperación en cuentas antiguas — no porque puedan llamarle. Razone siempre en términos de palanca: «con esto, ¿qué se desencadena?». Un dato que no abre ninguna puerta sigue siendo benigno, aunque le moleste.

La auditoría no es un one-shot. Su exposición se mueve permanentemente: nuevas fugas, nuevos cargos, nuevas publicaciones, una mudanza declarada en algún sitio. Para un perfil estándar, itere cada seis meses. Para un perfil expuesto — directivo, función sensible, exposición mediática — pase a tres meses, y confíe idealmente la pasada a un tercero: una mirada nueva encuentra lo que usted ya no busca, porque ha asumido que «eso ya se sabe» y su cerebro lo filtra. Conserve cada tabla fechada: el valor nace de la comparación entre dos iteraciones, no de una instantánea aislada. Es comparando como detecta la fuga aparecida el trimestre pasado, la desindexación que funcionó, o el cargo que había olvidado vigilar.

Lo que implica en concreto

Errores que se ven constantemente

• Auditar una sola vez, sin repetición. Una foto tomada hoy caduca dentro de seis meses. Sin iteración, nunca ve las nuevas fugas ni los nuevos cargos.
• Centrarse en la dirección de correo actual y olvidar las antiguas, los alias y las desechables — que son precisamente las que andan tiradas en los viejos volcados.
• Ignorar los apodos y handles históricos. El foro de 2008, la cuenta de gaming, el antiguo Twitter: otros tantos puentes entre sus identidades, y lo que la compartimentaciónSeparar las identidades por uso (civil, profesional público, profesional sensible, operacional) para limitar la propagación de filtraciones.Ver el glosario se supone que debe romper.
• Saltarse los registros legales creyendo que solo conciernen a «las grandes empresas». Una sociedad patrimonial familiar o una asociación bastan para exponer una dirección de domicilio.
• Olvidar los metadatos. Una foto publicada con sus coordenadas EXIFMetadatos adjuntos a las imágenes: fecha, GPS, modelo del dispositivo, parámetros de captura.Ver el glosario intactas da su posición, allí donde creía compartir solo una imagen.
• No guardar ningún rastro de la auditoría. Sin tabla fechada, imposible comparar, por tanto imposible medir un progreso o una deriva.
• Querer borrarlo todo. El borrado total es ilusorio y paradójicamente señala algo que ocultar. El objetivo es decidir, no desaparecer.

Checklist accionable

• N1 Comprobar todas sus direcciones de correo históricas en HIBP
• N1 Googlearse a uno mismo con operadores (site:, filetype:, intitle:)
• N1 Probar su perfil de LinkedIn en navegación privada — anotar lo que es visible
• N2 Comprobar el Registro Mercantil / BORME para los cargos sociales
• N2 Lanzar una verificación inversa sobre su foto de perfil principal
• N2 Consultar la Wayback Machine sobre sus antiguos dominios o blogs
• N2 Controlar los metadatos EXIF de algunas imágenes publicadas
• N3 Formalizar los resultados en tabla de criticidad y decidir para cada ítem: mutar, retirar, aceptar
• N3 Para perfil expuesto: encargar a un tercero una mirada nueva (2 h, 100-300 €)
• N3 Planificar la próxima iteración (6 meses estándar, 3 meses expuesto) y archivar la tabla fechada

Para profundizar

Empiece por el gesto más rentable y más rápido: pase sus direcciones por Have I Been Pwned(opens in a new tab), es gratis e inmediato. Para estructurar una auditoría recurrente y grafiar los vínculos entre sus identidades, Maltego Community Edition(opens in a new tab) sigue siendo la referencia accesible. Domine los operadores de búsqueda avanzada de Google(opens in a new tab) — la mitad del trabajo está en la consulta correcta. Para resucitar sus trazas antiguas, la Wayback Machine(opens in a new tab) es irreemplazable. Y para medir la magnitud real del fenómeno en España, la memoria anual de la AEPD(opens in a new tab) confirma que lo esencial de las vulneraciones explota datos ya accesibles — exactamente los que esta auditoría le enseña a ver.