FraudeDigital // defensa: privacidad-identidad-digital clase: guía dual · público + técnico
Defensa Avanzada · Reducción de Superficie de Ataque Humano

Privacidad e Identidad Digital: lo que ya saben de ti sin que lo sepas

Para todos: qué información tuya está expuesta ahora mismo y cómo reducirla. Para profesionales: OSINT pasivo, superficie de ataque humana y minimización de metadatos.

Miguel Ángel Carriazo 3 julio 2026 4 min de lectura
← Volver a Defensas
01 // Para todos Público general

¿Por qué lo que compartes hoy es munición para mañana?

Cada foto, cada check-in de ubicación, cada dato en tu perfil público de LinkedIn o Instagram es una pieza de información que un atacante puede usar para construir un ataque de ingeniería social creíble. No hace falta hackear nada: basta con mirar lo que ya publicas tú mismo.

Este proceso de recopilar información pública dispersa para construir un perfil de alguien se llama OSINT (Open Source Intelligence), y no requiere ninguna habilidad técnica especial — cualquiera con tiempo puede hacerlo.

⚠️ Ejemplo real que te puede pasar mañana:

Publicas en LinkedIn que empiezas un nuevo trabajo como responsable de compras en una empresa. Tres días después recibes un email "del CEO" (en realidad suplantado) pidiéndote una transferencia urgente a un proveedor, con detalles que suenan creíbles porque el atacante ha investigado tu empresa, tu cargo y tu jefe real en cuestión de minutos. Es la base del fraude del CEO — ver nuestro expediente de Ingeniería Social & OSINT.

¿Qué tipo de información es la más peligrosa si está expuesta?

  • Tu cargo y empresa actual — base de cualquier fraude del CEO o suplantación corporativa dirigida.
  • Rutinas y ubicaciones habituales — dónde vives, dónde trabajas, cuándo viajas — información útil para robos físicos y para dar credibilidad a estafas de "he tenido un accidente cerca de X".
  • Relaciones familiares visibles — nombres de hijos, pareja, padres — usados en estafas de deepfake de voz familiar (ver nuestro caso real).
  • Respuestas de seguridad "obvias" — nombre de mascota, colegio, ciudad natal — visibles a menudo en publicaciones de nostalgia o presentaciones personales.
✅ Regla de oro: no necesitas desaparecer de internet. Necesitas revisar quién ve qué: perfiles personales en privado, perfiles profesionales solo con lo estrictamente necesario, y pensar dos veces antes de publicar en tiempo real dónde estás.
02 // Para todos Checklist rápido de revisión

Auditoría rápida de tu huella digital (20 minutos)

Un repaso práctico, red social por red social:

  1. Busca tu propio nombre en Google — mira qué aparece en las primeras 2 páginas de resultados. Sorprende a mucha gente lo que encuentra.
  2. Revisa la privacidad de Instagram/Facebook — cuenta privada si no necesitas alcance público, revisa quién puede ver tus publicaciones antiguas.
  3. En LinkedIn, limita lo que ven los "no conectados" — tu actividad reciente, cambios de cargo, no tiene por qué ser visible para cualquiera fuera de tu red.
  4. Revisa las respuestas de seguridad de tus cuentas críticas (banco, email) — si la respuesta es algo que has publicado alguna vez, cámbiala por algo que nunca compartirías.
  5. Desactiva la geolocalización automática en las fotos que subes, y evita publicar ubicaciones en tiempo real (mejor publicar cuando ya te has ido).
  6. Habla con tu familia sobre la palabra clave mencionada en nuestro caso de deepfake de voz — es la defensa más efectiva ante suplantación familiar.
🛡️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS 🛡️
03 // Para técnicos OSINT · Superficie de Ataque Humana

Metodología OSINT pasiva desde la perspectiva del atacante

Entender cómo se construye un perfil OSINT ayuda a saber qué reducir:

🔹 Agregación de fuentes públicas dispersas

Un atacante combina LinkedIn (cargo, organigrama), Instagram (rutinas, familia), registros públicos (Colegio Registradores, BOE), y filtraciones previas (email en brechas conocidas) para construir un perfil completo sin interactuar nunca con el objetivo.

🔹 Metadatos EXIF en imágenes

Fotos subidas sin limpiar metadatos pueden contener coordenadas GPS exactas, modelo de dispositivo y hora de captura. La mayoría de redes sociales las eliminan automáticamente, pero WhatsApp, email y algunos foros no siempre lo hacen.

🔹 Correlación de nombres de usuario entre plataformas

Reutilizar el mismo nombre de usuario en múltiples plataformas (Twitter/X, Reddit, foros de nicho) permite correlacionar identidad y actividad entre contextos que la persona asumía separados — herramientas como Sherlock automatizan esta correlación.

Dato relevante: el fraude del CEO y el spear-phishing dirigido tienen tasas de éxito significativamente más altas que el phishing masivo precisamente porque se apoyan en OSINT — el mensaje "encaja" con la realidad del objetivo.

04 // Para técnicos Minimización de superficie

Estrategias de minimización de superficie de exposición

Medidas técnicas concretas más allá de la configuración de privacidad básica:

🔹 Alertas de Google (Google Alerts)

Configurar una alerta con tu nombre completo permite detectar nuevas menciones públicas casi en tiempo real, útil para identificar filtraciones de información o suplantaciones tempranas.

🔹 Separación de identidad profesional/personal

Para roles con alta exposición (directivos, personal de finanzas), es recomendable mantener perfiles profesionales y personales completamente desvinculados, sin nombres de usuario ni fotos compartidas que permitan correlación automática.

🔹 Concienciación organizativa sobre publicaciones corporativas

Los anuncios de "nuevo empleado", cambios organizativos o proyectos en curso publicados en RRSS corporativas son, sin quererlo, un mapa de organigrama gratuito para atacantes que preparan fraude del CEO dirigido.

Resumen: la privacidad no es "no usar redes sociales" — es controlar conscientemente qué información sirve a un potencial atacante y reducir esa superficie sin renunciar a la presencia online que necesitas.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo