OSINT de dominios: subdominios y emails de empleados de una empresa (2026)

Investigar un dominio es uno de los primeros pasos de cualquier auditoría de seguridad o red team. Aprende a enumerar subdominios, descubrir los emails reales de los empleados, analizar registros WHOIS y DNS y mapear la superficie de exposición de una empresa, todo con fuentes abiertas.

¿Qué información esconde un dominio?

Un dominio corporativo es la puerta de entrada a la superficie de ataque de una organización. A partir de él se puede descubrir:

• Subdominios (vpn.empresa.com, correo.empresa.com, paneles internos…).
• Emails de empleados con el patrón corporativo.
• Registros WHOIS y DNS (registrador, fechas, MX, SPF, DMARC).
• Certificados TLS y servicios expuestos.
• Tecnología y proveedores (cloud, CDN, email).

Este proceso se conoce como footprinting y es la base de la fase de reconocimiento.

Paso 1: Enumeración de subdominios

Los subdominios revelan servicios olvidados, entornos de staging, paneles de administración y APIs que amplían la superficie de ataque. La enumeración pasiva (sin tocar la infraestructura del objetivo) combina fuentes como Certificate Transparency (crt.sh), motores de subdominios y herramientas como BBOT.

crt.sh                → certificados emitidos
BBOT (passive)        → cientos de subdominios sin tocar el objetivo
DNS / MX / SPF        → infraestructura de correo y servicios

Domain Analyzer de OSINT UI

Con Domain Analyzer obtienes en segundos un mapa completo del dominio: subdominios validados, WHOIS, DNS, certificados, reputación y emails, combinando decenas de fuentes pasivas.

Paso 2: Descubrir los emails de los empleados

Obtener los emails reales de empleados (nombre.apellido@empresa.com) es uno de los objetivos más valiosos: permite mapear el organigrama, preparar campañas de concienciación o evaluar el riesgo de phishing.

Las técnicas más efectivas son:

• Enumeración pasiva con BBOT y theHarvester, que rastrean buscadores y fuentes públicas.
• Hunter.io, que agrega correos corporativos con nombre y departamento.
• Búsqueda web filtrada por el dominio ("@empresa.com"), descartando buzones genéricos (info@, rrhh@) para quedarte con personas reales.

Domain Analyzer unifica todas estas fuentes en una única lista de emails deduplicada, derivando el nombre del empleado a partir del patrón nombre.apellido@.

Paso 3: WHOIS, DNS y exposición

Los registros WHOIS revelan el registrador, las fechas de creación y caducidad y, a veces, datos de contacto. Los registros DNS (MX, TXT, SPF, DMARC) muestran cómo se gestiona el correo y si el dominio está protegido frente a la suplantación. Los certificados TLS y los servicios expuestos completan el mapa de superficie.

Buenas prácticas y legalidad

El OSINT de dominios trabaja con información pública. Recuerda:

• No realices escaneos intrusivos sin autorización.
• No accedas a paneles ni servicios protegidos.
• Cumple el RGPD y la normativa local.
• Usa estas técnicas solo en auditorías autorizadas y con fines legítimos.

Conclusión

Investigar un dominio con OSINT permite mapear subdominios, descubrir los emails reales de los empleados y entender la superficie de exposición de una empresa, todo sin tocar su infraestructura. Es la base del reconocimiento en cualquier auditoría de seguridad.

Prueba gratis Domain Analyzer y obtén el mapa completo de cualquier dominio en segundos.