¿Qué es OSINT y cuál es su diferencia fundamental con otras técnicas de ciberseguridad que requieren acceso a sistemas privados?

Explica las dos grandes aplicaciones de OSINT en el ámbito de la ciberseguridad: su uso en defensa y en investigación de incidentes. ¿Qué busca conseguir cada una?

¿En qué fases del ciclo de vida de respuesta a incidentes interviene OSINT según el material? Describe brevemente qué aporta en cada una.

El SIEM alerta sobre una IP sospechosa. ¿Cómo interviene OSINT para convertir ese dato bruto en inteligencia procesable? ¿Qué herramientas mencionadas se utilizan y qué resultados permiten confirmar o descartar la amenaza?

En la fase de contención, OSINT actúa como un "radar" para mapear la infraestructura del atacante. Explica qué técnicas concretas (historiales DNS, certificados SSL, WHOIS) permiten descubrir dominios o servidores C2 relacionados y por qué es crucial esta información.

Tras un incidente con credenciales comprometidas, ¿cómo ayuda OSINT a determinar si el vector de entrada fue un ataque de credential stuffing u otro tipo de ataque (phishing, vulnerabilidad, etc.)?

Explica la diferencia clave entre investigar si una filtración ocurrió "antes" o "durante" el incidente. ¿Qué implicaciones tiene para la identificación del vector de entrada que las credenciales ya estuvieran expuestas públicamente con anterioridad?

Nombra al menos tres herramientas o tipos de búsqueda OSINT mencionados en el material y explica para qué tipo específico de investigación sería más útil cada una.