JunkMail
Volver al blog
OSINT: Cómo los investigadores usan los correos olvidados para encontrarte

OSINT: Cómo los investigadores usan los correos olvidados para encontrarte

¿Crees que eres anónimo? Una vieja dirección de correo en un foro de 2012 puede bastar para rastrear toda tu vida. Una inmersión en las técnicas de Open Source Intelligence.

Por El Experto en Seguridad21/1/2026

Imagina un escenario. Eres un experto en ciberseguridad, o quizás un periodista de investigación. Quieres mantener un perfil bajo. Pero un día, alguien llama a tu puerta. Sabe tu nombre real, dónde trabajas e incluso cómo se llama tu perro.

¿Cómo lo ha hecho? No ha hackeado la NSA. Solo ha usado Google y una vieja cuenta de "Fotolog" que creaste cuando tenías 14 años.

Bienvenido al mundo del OSINT (Open Source Intelligence).

El fallo: Reutilizar el seudónimo

El error más común es el apego a un alias o seudónimo. Digamos que usas Cazador99 en Twitter. Un investigador buscará Cazador99 en todas partes. Encontrará una cuenta de GitHub. En ese GitHub, en un viejo commit de 2018, hay una dirección de correo: cazador99@gmail.com.

Bingo. Ya tiene tu Gmail.

La herramienta temible: La recuperación de cuenta

El investigador va a Google, Facebook, PayPal, Amazon. Escribe tu email y hace clic en "¿Has olvidado tu contraseña?". No quiere hackear tu cuenta. Solo quiere ver qué muestra la web.

"Se ha enviado un código al +34 6 ** ** 45 12". Ya tiene las 4 últimas cifras de tu móvil.

Vuelve a intentarlo en otro sitio menos seguro que a veces muestra: "Email de recuperación: p.perez@empresa.com". Bingo. Ya tiene tu inicial, tu apellido y tu empresa.

El cruce de datos (Data Cross-Referencing)

Con p.perez@empresa.com, va a LinkedIn. Encuentra a "Pedro Pérez". Mira tus posts. Has subido una foto de tu oficina. Se ve el logo de la empresa. Se ve la vista por la ventana. Con Google Street View, geolocaliza tu oficina.

Partiendo de un simple alias en Twitter, ha llegado a tu dirección física en menos de 20 minutos. Sin usar ninguna herramienta ilegal.

La defensa: Compartimentación total

Para protegerse del OSINT, hay que romper la cadena de vínculos. No debe haber ninguna conexión entre tu Identidad A (Twitter) y tu Identidad B (LinkedIn).

La solución no es tener 50 cuentas de Gmail (imposible de gestionar). La solución es un email único por servicio.

Si tu cuenta de Twitter está vinculada a twitter.acceso@junkmail.site:

  1. El investigador no puede adivinar esa dirección (no es pública).
  2. Aunque la encontrara (por una filtración de datos), no lleva a ninguna parte. No está vinculada a ninguna otra cuenta.
  3. Si la borras, es un callejón sin salida (Dead End).

Conclusión

En Internet, tu pasado es tu peor enemigo. Las migas de pan que dejaste hace 10 años llevan directamente a tu puerta de hoy.

Deja de dejar rastro. Empieza a usar zapatos que no marquen el suelo. Usa correos desechables para todo lo que no requiera tu identidad legal.

Conviértete en un fantasma. Asegura tu huella digital con JunkMail.