1.1 Fundamentos de OPSEC antes de tocar nada
Antes de instalar una herramienta, antes de abrir Kali, antes incluso de registrar un dominio, hay algo que debes entender: cada acción digital deja una huella. OPSEC no es un módulo que estudias al final. Es lo primero que tienes que interiorizar.
1.1.1 ¿Qué es OPSEC? Más allá de las cinco fases clásicas
OPSEC son las siglas de Operations Security, seguridad operacional. El término nació en los años 60 en el ejército de los Estados Unidos, durante la Guerra de Vietnam, en el marco del proyecto Purple Dragon. El problema que intentaban resolver era desconcertante: los planes militares estadounidenses llegaban al enemigo antes de ejecutarse, y nadie encontraba al espía. La respuesta fue inesperada — no había espía. El enemigo simplemente observaba información pública y no clasificada, la analizaba en conjunto, y deducía lo que iba a pasar.
Esa es la esencia de OPSEC: el enemigo no necesita acceder a tus secretos si puede deducirlos a partir de lo que dejas visible.
En ciberseguridad, OPSEC es el conjunto de procesos, hábitos y contramedidas que aplicas para evitar que un adversario pueda reconstruir quién eres, qué haces, desde dónde operas y cuáles son tus próximos movimientos, a partir de la información que emites — voluntaria o involuntariamente.
OPSEC no es solo para militares ni para criminales
Hay un error de percepción muy extendido: pensar que OPSEC es algo que solo necesitan las agencias de inteligencia, los actores de amenaza avanzados o los que hacen algo ilegal. Es exactamente lo contrario.
Cualquier persona que opere en ciberseguridad ofensiva — un pentester, un red teamer, un investigador de seguridad, un analista de amenazas — genera datos que pueden comprometer tanto su trabajo como al cliente para el que trabaja. Un error de OPSEC en un red team puede:
- Quemar la operación entera antes de que termine
- Exponer la identidad del cliente al objetivo
- Contaminar la evidenciade un ejercicio de adversarial simulation
- Dejar rastros que un Blue Team agresivo pueda seguir hasta el operador
La definición operativa
La clave está en esas tres palabras que mucha gente ignora: antes, durante y después. OPSEC no es algo que activas cuando algo sale mal. Es una disciplina permanente.
Más allá del checklist
Las cinco fases clásicas de OPSEC (que veremos en el siguiente apartado) son una herramienta de análisis, no un ritual que ejecutas una vez y olvidas. El error más común al estudiar OPSEC es tratarlo como una lista de pasos. En la práctica, OPSEC es un estado mental.
Un operador con buen OPSEC no piensa "¿he seguido los pasos?". Piensa automáticamente, antes de cada acción: ¿qué información estoy emitiendo ahora mismo? ¿quién podría capturarla? ¿qué conclusiones podría sacar de ella?
Ese nivel de automatización solo llega con práctica deliberada, y es exactamente lo que debemos pretender construir desde el principio.
1.1.2 Las 5 fases clásicas de OPSEC
El modelo de cinco fases fue formalizado por el National Counterintelligence Center de Estados Unidos y sigue siendo el marco de referencia estándar. No porque sea perfecto, sino porque estructura el pensamiento de forma útil.
Fase 1 — Identificar la información crítica
El primer paso es saber qué información, si llegara a manos de tu adversario, podría causarte daño real. A esto se le llama información crítica o CII (Critical Information and Indicators).
En un contexto de pentesting, tu información crítica incluye:
- Identidad del cliente: para quien trabajas y qué sistemas tienes permitido tocar
- IPs de operación: las direcciones desde las que operas
- Herramientas y técnicas: pueden quemar un 0-day si se conocen antes de usarlo
- Datos encontrados: credenciales, documentos sensibles durante la operación
- Tu identidad como operador: quién eres tú detrás del teclado
El ejercicio de esta fase no es hacer una lista exhaustiva de todo lo que quieres proteger. Es identificar qué información, específicamente, podría ser usada por un adversario concreto para hacerte daño concreto.
Fase 2 — Analizar las amenazas
Una vez sabes qué información es crítica, la pregunta es: ¿quién querría tenerla y para qué? El análisis de amenazas construye un modelo de adversario. Responde a tres preguntas:
- ¿Quién podría querer tu información crítica?
- ¿Por qué la querría? ¿Cuál es su motivación?
- ¿Qué capacidades tiene para obtenerla?
Fase 3 — Analizar las vulnerabilidades
Ahora sabes qué tienes que proteger y de quién. El siguiente paso es identificar los puntos débiles actuales. Las vulnerabilidades OPSEC más comunes no son técnicas — son conductuales:
- Reutilización de identidades: mismo email o nickname entre perfiles separados
- Operación desde IP doméstica: conectarse a infraestructura ofensiva desde casa
- Metadatos en archivos publicados: capturas con elementos identificativos
- Compartir información de operaciones activas: hablar de lo que haces por canales no cifrados
- Patrones de comportamiento consistentes: mismo horario, mismo estilo de escritura entre identidades
Fase 4 — Evaluar los riesgos
No todas las vulnerabilidades tienen el mismo impacto ni la misma probabilidad de ser explotadas. La fase de evaluación prioriza mediante una matriz:
PROBABILIDAD
Baja Alta
┌─────────────┬─────────────────┐
Alto │ Vigilar │ ACTUAR YA │
IMPACTO ├─────────────┼─────────────────┤
Bajo │ Ignorar │ Monitorizar │
└─────────────┴─────────────────┘Fase 5 — Aplicar contramedidas
La fase final es la que mucha gente toma como punto de partida saltándose las anteriores. Es un error grave: las contramedidas sin análisis previo son ruido.
Una contramedida es cualquier acción técnica, procedimental o conductual que reduce la probabilidad de que una vulnerabilidad sea explotada. Se clasifican en tres tipos:
| Tipo | Ejemplos |
|---|---|
| Técnicas | VPN con killswitch, cifrado de disco, sistemas operativos amnésicos (Tails, Whonix) |
| Procedimentales | Política de compartimentalización, protocolo de limpieza de metadatos, rotación de identidades |
| Conductuales | No hablar de operaciones activas, no mezclar actividad personal y operacional, mantener patrones coherentes con la identidad usada |
1.1.3 Diferencias entre OPSEC, INFOSEC, COMSEC y PERSEC
Estos cuatro términos se usan frecuentemente de forma intercambiable, y es un error. Cada uno tiene un alcance específico, y entender las diferencias te ayuda a saber qué tipo de control aplicar en cada situación.
INFOSEC — Information Security
INFOSEC es el campo más amplio. Se ocupa de proteger la información en todas sus formas — digital, física, verbal — garantizando las tres propiedades de la tríada CIA:
- Confidencialidad: la información solo es accesible a quien está autorizado
- Integridad: la información no puede ser modificada sin autorización
- Disponibilidad: la información está accesible cuando se necesita
INFOSEC es el paraguas. Incluye controles técnicos (cifrado, firewalls), controles administrativos (políticas, formación) y controles físicos (control de acceso, destrucción de documentos).
COMSEC — Communications Security
COMSEC es un subconjunto de INFOSEC centrado en proteger las comunicaciones: garantizar que los mensajes lleguen solo a su destinatario y que nadie pueda interceptarlos, modificarlos o deducir información de sus patrones.
COMSEC abarca cifrado E2E, autenticación de las partes, y especialmente la protección de metadatos — no solo el contenido, sino quién habla con quién, cuándo y con qué frecuencia.
PERSEC — Personal Security
PERSEC protege la información personal del individuo: identidad, ubicación, rutinas, relaciones, situación financiera. En el contexto de este curso es especialmente relevante porque muchos ataques no van dirigidos a los sistemas que gestionas, sino a ti como persona.
El doxing, el swatting, la ingeniería social dirigida, la suplantación de identidad — todos son ataques al PERSEC del individuo.
OPSEC — la diferencia clave
OPSEC no es simplemente proteger información. OPSEC es un proceso de análisis que se aplica a una operación concreta para identificar qué información sobre esa operación podría ser usada en tu contra.
OPSEC es el proceso. INFOSEC, COMSEC y PERSEC son los dominios en los que se aplican las contramedidas que ese proceso identifica.
| Concepto | Se ocupa de | Ejemplo práctico |
|---|---|---|
| INFOSEC | Toda la información de una organización o sistema | Cifrado de disco, política de contraseñas, control de acceso |
| COMSEC | Las comunicaciones en tránsito | Signal, PGP, TLS, anonimato de metadatos de comunicación |
| PERSEC | La información personal del individuo | No ser doxeable, apartado postal, separar identidad real de alias operacional |
| OPSEC | La información que emana de una operación concreta | Proceso completo de análisis de amenazas y contramedidas antes, durante y después |
1.1.4 Por qué OPSEC no es anonimato — el modelo de capas
Este es uno de los malentendidos más peligrosos en el campo. Muchas personas creen que "tener buen OPSEC" significa "ser anónimo". No es así.
El anonimato completo — ser completamente no identificable, en todo momento, para cualquier adversario — es prácticamente inalcanzable en el mundo real. Y perseguirlo como objetivo absoluto lleva a la parálisis operacional.
OPSEC no busca el anonimato perfecto. Busca algo más pragmático: que el coste para tu adversario de identificarte y actuar contra ti sea mayor que el beneficio que obtendría al hacerlo.
El modelo de 7 capas
La forma más útil de pensar en OPSEC no es como un interruptor (anónimo / no anónimo) sino como un modelo de capas donde cada una añade fricción al adversario.
| Capa | Qué protege | Pregunta clave |
|---|---|---|
| 1 — Dispositivo | El hardware que usas | ¿Puede vincularse a tu identidad real? ¿MAC registrada, número de serie, compra con tarjeta? |
| 2 — Sistema operativo | El OS y sus rastros | ¿Deja rastros entre sesiones? ¿Envía telemetría? ¿Hay logs que sobreviven al apagado? |
| 3 — Red | Tu tráfico de red | ¿Tu IP real es visible? ¿Hay fugas DNS? ¿Tu ISP puede ver con quién te comunicas? |
| 4 — Identidad | Los alias que usas | ¿La identidad operacional puede vincularse a la real? ¿Reutilizas nicknames o emails? |
| 5 — Comportamiento | Tus patrones de actividad | ¿Siempre operas en el mismo horario? ¿Tu estilometría te identifica entre identidades? |
| 6 — Financiero | Tus pagos e infraestructura | ¿Los pagos de VPS, dominios, VPNs son trazables hasta ti? ¿Usas tarjeta personal? |
| 7 — Físico | Tu ubicación en el mundo real | ¿Cámaras de seguridad, teléfono encendido, redes WiFi usadas pueden localizarte? |
Las capas son acumulativas — y un fallo las anuncia todas
Un adversario tiene que penetrar todas las capas relevantes para identificarte. Pero si fallas en una sola capa, las demás pueden no ser suficientes.
Las capas también tienen rendimientos decrecientes. Añadir una décima capa de protección de red cuando tu capa de comportamiento tiene agujeros enormes es un desperdicio. La prioridad siempre es reforzar la capa más débil, no perfeccionar la más fuerte.
OPSEC calibrado al adversario
1.1.5 OPSEC ofensivo vs defensivo
OPSEC tiene dos perspectivas que muchas veces se presentan como opuestas pero que son complementarias: el OPSEC del que ataca y el OPSEC del que defiende. Trabajamos con las dos, porque entender una es imposible sin entender la otra.
OPSEC ofensivo: no dejes rastro mientras atacas
Cuando operas ofensivamente — en un red team, en un pentest, en cualquier ejercicio de adversarial simulation — generas rastros constantemente. Cada conexión, cada payload ejecutado, cada archivo creado deja evidencia que un defensor puede usar para detectar la intrusión, reconstruir la línea de tiempo o vincularlo a un operador concreto.
El OPSEC ofensivo se ocupa de minimizar este rastro. No eliminarlo — eso es imposible — sino reducirlo al mínimo necesario para que la operación funcione, y asegurarse de que los rastros que quedan no puedan vincularse a ti.
- Infraestructura dedicada: un VPS diferente para cada operación, nunca reutilizar servidores C2
- IPs no vinculables: VPS pagados con Monero, nunca operar desde casa
- Living off the Land: usar herramientas del propio sistema objetivo (LOLBins) para reducir artefactos
- Horarios coherentes: no operar a las 3 AM si el adversario simulado trabaja en horario de oficina
- Malleable C2: que el tráfico de tu framework parezca tráfico legítimo (Teams, AWS, Cloudflare)
- Limpieza post-operación: eliminar herramientas, restaurar configuraciones, no dejar implantes activos
OPSEC defensivo: analizar el rastro del atacante
Cuando un defensor — analista de SOC, respondedor de incidentes, threat hunter — investiga una intrusión, busca exactamente los rastros que el atacante intentó no dejar. Entender OPSEC ofensivo te hace mejor defensor. Sabes qué buscar porque sabes cómo se genera.
Lo que el defensor busca:
- Artefactos en disco: herramientas, scripts, archivos temporales que el atacante olvidó limpiar
- Rastros en memoria: procesos inyectados, conexiones establecidas
- Logs de red: conexiones a IPs externas, dominios consultados, volumen de datos transferidos
- Logs del sistema: comandos ejecutados, usuarios creados, cambios en registro o configuración
- Anomalías de comportamiento: proceso inusual, usuario que se autentica a las 2 AM, cuenta que accede a recursos que nunca tocó
El concepto de huella mínima (minimal footprint)
En red team profesional existe el concepto de minimal footprint: usar solo las herramientas, técnicas y privilegios estrictamente necesarios para el objetivo, durante el menor tiempo posible.
El OPSEC del operador siempre está activo
Punto crítico: el OPSEC ofensivo no solo protege la operación. Te protege a ti. En un ejercicio de red team, si el Blue Team consigue rastrear el tráfico hasta tu servidor C2, y ese servidor está registrado con información que puede vincularse a ti, tienes un problema que va más allá del ejercicio.
Por eso tratamos el OPSEC del operador como una capa separada del OPSEC de la operación. Puedes tener una operación perfectamente limpia en el objetivo y comprometer tu propia identidad por un descuido en cómo gestionas tu infraestructura.
1.1.6 OPSEC by design: desde el primer minuto
Este es el principio más importante de este apartado, y el que más se viola en la práctica. Se puede resumir en una frase:
La mayoría de los fallos de OPSEC documentados — los estudiaremos en el módulo 34 — no ocurrieron porque el operador no supiera cómo protegerse. Ocurrieron porque empezó a operar antes de establecer sus controles, con la intención de añadirlos "después" o "cuando fuera necesario".
El problema de la huella acumulada
Cada acción realizada sin OPSEC activo crea una huella. Algunas se pueden borrar. Muchas no.
- Una conexión desde tu IP doméstica: existe en los logs del servidor, en los de tu ISP, potencialmente en capturas de terceros. Puedes borrar los logs del servidor. No puedes borrar los del ISP.
- Un dominio registrado con tu email real: existe en registros históricos de WHOIS, en SecurityTrails, en DNSDB. Puedes cambiar el WHOIS después. La historia ya está escrita.
- Un post con un detalle identificativo: puede estar indexado por Google, archivado en Wayback Machine, capturado por quien te monitorizaba. El OPSEC retroactivo no lo elimina.
OPSEC by design: las preguntas antes de empezar
Antes de iniciar cualquier operación, independientemente de su escala, responde a estas preguntas:
## INFRAESTRUCTURA
¿Desde qué dispositivo opero? # ¿Puede vincularse a mí?
¿Desde qué red me conecto? # ¿Puede vincularse a mí?
¿Qué infraestructura necesito? # ¿Cómo la pago? ¿A nombre de quién?
## IDENTIDAD
¿Qué identidad uso para esta op? # ¿Completamente separada de las demás?
¿Hay algún punto donde se tocan? # ¿Mismo dispositivo, red, email?
## OPERACIÓN
¿Qué rastros genero inevitablemente? # ¿Cómo los gestiono?
¿Las herramientas tienen telemetría? # ¿Envían datos a casa?
¿Quién sabe que hago esto? # ¿Necesitan saberlo?
## CIERRE
¿Cómo termina la operación? # ¿Qué limpieza hago?
¿Cómo destruyo la infraestructura? # ¿Cómo verifico que fue efectiva?El coste real del OPSEC by design
Una objeción habitual es que establecer todo esto antes de empezar lleva tiempo y fricción. Es verdad. Pero hay que compararlo con el coste alternativo.
Registrar un VPS con Monero, configurar un servidor de salto, establecer una identidad separada y verificar que no hay fugas puede llevarte 2-3 horas la primera vez. Con práctica, menos de una hora. Que esa operación te comprometa por no haberlo hecho puede costarte tu carrera, tu reputación, o mucho más.
El OPSEC se degrada: auditoría periódica
Incluso cuando estableces correctamente tu OPSEC al inicio, se degrada con el tiempo. Los servicios cambian políticas. Las herramientas desarrollan vulnerabilidades. Los patrones de comportamiento se vuelven predecibles. Las identidades acumulan inconsistencias.
OPSEC by design no es solo establecer los controles al principio. Es mantenerlos, auditarlos periódicamente y actualizarlos cuando cambia el entorno o el adversario. En el módulo 17 construimos el plan de OPSEC personalizado con su rutina de mantenimiento.
↓ Resumen del apartado 1.1
| Concepto | Clave |
|---|---|
| OPSEC | Proceso de proteger la información que emana de tus operaciones |
| 5 fases | Identificar → Analizar amenazas → Analizar vulnerabilidades → Evaluar riesgos → Contramedidas (ciclo continuo) |
| INFOSEC | Protección de información en general (tríada CIA) |
| COMSEC | Protección específica de las comunicaciones, incluyendo metadatos |
| PERSEC | Protección de la información personal del individuo |
| Anonimato vs OPSEC | El anonimato es una propiedad. OPSEC es un proceso. No busques perfección, busca que el coste de identificarte supere el beneficio. |
| Modelo de 7 capas | Dispositivo, OS, red, identidad, comportamiento, financiero, físico. Refuerza siempre la más débil. |
| OPSEC ofensivo | Minimizar el rastro que dejas mientras operas. Minimal footprint. |
| OPSEC defensivo | Analizar el rastro que deja el adversario. Entenderlo te hace mejor atacante y mejor defensor. |
| OPSEC by design | Los controles van antes de la operación, no después. La huella acumulada no se borra. |