CSI Linux es una distribución basada en Ubuntu diseñada para investigaciones digitales. Combina herramientas OSINT (Open Source Intelligence), acceso seguro a la dark web a través de Tor, y capacidades de forense digital en un entorno unificado orientado a investigadores y fuerzas de seguridad.

¿Es legal investigar la dark web con CSI Linux?

Acceder a la dark web a través de Tor es legal en la mayoría de países. Sin embargo, acceder a ciertos contenidos o servicios dentro de la dark web puede ser ilegal. CSI Linux se usa en contextos de investigación legítima por fuerzas de seguridad, analistas CTI y periodistas de investigación.

¿Cuál es la diferencia entre CSI Linux y Tails?

Tails es una distribución centrada en anonimato personal (no dejar rastro). CSI Linux es una plataforma de investigación: incluye herramientas para recopilar, documentar y analizar información de fuentes abiertas y la dark web. CSI Linux investiga; Tails protege al usuario.

¿Necesito hardware especial para CSI Linux?

No. CSI Linux funciona como máquina virtual en VirtualBox o VMware con 4 GB de RAM y 50 GB de disco como mínimo. Para investigaciones intensivas con múltiples herramientas abiertas, se recomiendan 8 GB de RAM.

¿CSI Linux protege mi identidad al investigar?

CSI Linux integra Tor para navegación anónima y herramientas de anonimización. Sin embargo, la protección de identidad depende también de las prácticas del investigador: usar VPN, no revelar información personal, y seguir protocolos de OPSEC. La herramienta facilita la anonimización pero no la garantiza por sí sola.

IntermedioCSI LinuxOSINTdark webforense digitalTorinvestigación digital

CSI Linux: OSINT, Dark Web y Forense Digital

Guía completa de CSI Linux: distribución especializada en OSINT, investigación en dark web y forense digital. Herramientas de investigación online, acceso seguro a Tor, análisis forense y flujos de trabajo para investigadores.

MalwareIntel Research·6 de junio de 2026·8 min lectura

Serie: Distros y Frameworks de Análisis — Parte 5

Qué es CSI Linux

CSI Linux (Cyber Security Investigator Linux) es una distribución basada en Ubuntu, diseñada para investigaciones digitales que combinan OSINT, análisis de la dark web y forense digital. A diferencia de Kali (ofensiva) o REMnux (análisis de malware), CSI Linux se centra en la investigación: encontrar información, documentarla y analizarla.

Fue creada por el equipo de CSI Linux con el objetivo de proporcionar un entorno completo para investigadores de fuerzas de seguridad, analistas de inteligencia, periodistas de investigación y equipos de CTI corporativos. La distribución integra tres disciplinas en un solo entorno:

OSINT: recopilación de inteligencia de fuentes abiertas (redes sociales, bases de datos públicas, registros DNS, metadata de archivos)
Dark Web Investigation: acceso seguro y documentado a servicios .onion a través de Tor
Digital Forensics: análisis de evidencia digital con herramientas forenses estándar

Componentes principales

CSI Linux se organiza en tres entornos de trabajo diferenciados:

CSI Linux Investigator

El entorno principal de investigación OSINT. Incluye:

Navegadores preconfigurados: perfiles separados para investigación OSINT (sin cookies personales, sin historial vinculable)
Herramientas de personas: búsqueda en redes sociales, bases de datos públicas, registros
Herramientas de dominios/IP: WHOIS, DNS, geolocalización, historial de dominios
Herramientas de email: verificación, búsqueda de breaches, análisis de cabeceras
Documentación integrada: captura de pantalla con timestamps forenses

CSI Linux Gateway (Tor)

Un gateway dedicado para acceso a la dark web:

Tor Browser preconfigurado: con extensiones de seguridad y configuración hardened
Tor proxy transparente: todo el tráfico del entorno de investigación pasa por Tor
I2P: acceso a la red I2P además de Tor
Monitorización de tráfico: verificación de que no hay fugas DNS o IP

CSI Linux SIEM

Módulo de análisis y correlación:

ELK Stack integrado: Elasticsearch, Logstash, Kibana para análisis de datos
Dashboards predefinidos: visualización de hallazgos de investigación
Timeline: reconstrucción cronológica de eventos investigados

Instalación

# Descargar OVA desde https://csilinux.com/download
# Importar en VirtualBox (recomendado) o VMware

# Requisitos mínimos:
# RAM: 4 GB (8 GB recomendado)
# Disco: 50 GB
# CPU: 2 cores

# Post-instalación:
# 1. Actualizar el sistema
sudo apt update && sudo apt upgrade -y

# 2. Verificar que Tor funciona
tor --version
systemctl status tor

# 3. Crear snapshot limpio

Herramientas OSINT incluidas

Búsqueda de personas e identidades

Herramienta	Uso
Sherlock	Búsqueda de nombres de usuario en más de 300 plataformas
Maigret	Similar a Sherlock con soporte para más de 2.500 sitios
social-analyzer	Análisis de perfiles en redes sociales
PhoneInfoga	Investigación de números de teléfono (carrier, ubicación, OSINT)
GHunt	Investigación de cuentas de Google por email
Holehe	Verificar si un email está registrado en servicios web

Investigación de dominios e infraestructura

Herramienta	Uso
Maltego CE	Análisis visual de relaciones entre entidades
theHarvester	Emails, subdominios, hosts desde fuentes OSINT
Sublist3r	Enumeración de subdominios
Shodan CLI	Búsqueda de dispositivos y servicios expuestos
Censys	Alternativa a Shodan para escaneo de Internet
WHOIS	Registros de propiedad de dominios
DNSRecon	Enumeración DNS completa

Análisis de metadata

Herramienta	Uso
ExifTool	Extracción de metadatos de imágenes, documentos, vídeos
FOCA	Extracción de metadatos de documentos públicos
Metagoofil	Descarga y análisis masivo de documentos públicos

Geolocalización y mapas

Herramienta	Uso
Google Earth Pro	Análisis geoespacial de ubicaciones
GeoSocial Footprint	Geolocalización de publicaciones en redes sociales
Creepy	Geolocalización a partir de publicaciones de redes sociales

Flujos de trabajo de investigación

Investigación de un dominio sospechoso

# 1. WHOIS y registro
whois suspicious-domain.com
# Buscar: registrante, fechas, nameservers, email de contacto

# 2. DNS pasivo (historial de resoluciones)
# Usar herramientas como SecurityTrails, PassiveTotal, VirusTotal

# 3. Subdominios
sublist3r -d suspicious-domain.com
amass enum -d suspicious-domain.com

# 4. Tecnologías del sitio
whatweb https://suspicious-domain.com

# 5. Historial web (Wayback Machine)
# Revisar snapshots anteriores en web.archive.org

# 6. Certificados SSL
# crt.sh → buscar certificados emitidos para el dominio
curl "https://crt.sh/?q=%25.suspicious-domain.com&output=json" | jq .

# 7. Relacionar con otros dominios
# Maltego: pivoting por IP, registrante, nameservers

Investigación de una persona de interés

# 1. Búsqueda de usernames
sherlock "username_objetivo"
maigret "username_objetivo"

# 2. Búsqueda por email
holehe [email protected]
# Resultado: en qué servicios está registrado el email

# 3. Búsqueda en breaches (ético y legal)
# haveibeenpwned.com (API)
# Solo verificar si está comprometido, NO acceder a datos filtrados

# 4. Metadatos de documentos públicos
metagoofil -d dominio-empresa.com -t pdf,doc,xls -l 100 -o output/
exiftool output/*.pdf  # Extraer autor, software, fechas

# 5. Geolocalización de publicaciones
# Revisar fotos publicadas con EXIF habilitado
exiftool -GPSLatitude -GPSLongitude foto_publicada.jpg

# 6. Documentar hallazgos
# CSI Linux incluye herramientas de captura con timestamp forense

Investigación en dark web

# 1. Verificar anonimato
# Abrir Tor Browser → check.torproject.org
# Verificar que NO hay fugas DNS: dnsleaktest.com

# 2. Acceder a sitios .onion
# Usar directorios conocidos (Ahmia, dark.fail)
# NUNCA ejecutar scripts ni descargar archivos sin sandbox

# 3. Monitorización de foros
# Buscar menciones de la organización objetivo
# Buscar credenciales filtradas, datos comprometidos
# Documentar con capturas de pantalla con timestamp

# 4. Marketplace monitoring
# Buscar datos corporativos en venta
# Documentar vendedores, precios, muestras

# Reglas de seguridad:
# - NUNCA comprar nada
# - NUNCA interactuar directamente con actores
# - NUNCA revelar identidad real
# - SIEMPRE usar VM con snapshot
# - SIEMPRE documentar con evidencia

OPSEC para investigadores

La seguridad operacional es crítica cuando se investiga en la dark web o se recopila OSINT sobre actores de amenaza:

Separación de identidades

Identidad real          │  Identidad de investigación
────────────────────────┼──────────────────────────────
Email personal          │  Email desechable (ProtonMail)
Nombre real             │  Nombre ficticio consistente
IP real                 │  VPN + Tor
Navegador personal      │  Navegador dedicado sin historial
Redes sociales propias  │  Cuentas sock puppet
Dispositivo personal    │  VM dedicada con snapshot

Configuración de red segura

┌─────────────────────────────────────────────┐
│ HOST (sin conexión directa a la investigación)│
│                                             │
│  ┌──────────────┐    ┌──────────────┐      │
│  │  VPN Client  │───→│  CSI Linux   │      │
│  │  (Mullvad)   │    │  Gateway     │      │
│  └──────────────┘    │  (Tor)       │      │
│                      └──────┬───────┘      │
│                             │               │
│                      ┌──────┴───────┐      │
│                      │  CSI Linux   │      │
│                      │  Investigator│      │
│                      └──────────────┘      │
└─────────────────────────────────────────────┘

Flujo: Internet → VPN → Tor → Destino

Reglas de OPSEC

Compartimentalización: cada investigación en una VM separada con snapshot propio
No reutilizar credenciales: cada investigación usa emails y usernames nuevos
No acceder a servicios personales: nunca revisar email personal desde la VM de investigación
Timestamps: todas las capturas de pantalla con fecha y hora para cadena de custodia
Destrucción de evidencia temporal: restaurar snapshot después de cada sesión de investigación

CSI Linux vs otras distribuciones

Característica	CSI Linux	Kali	REMnux	SIFT	Tails
OSINT	Excelente	Bueno	No	No	No
Dark web	Excelente	Básico	No	No	Excelente
Pentesting	Básico	Excelente	No	No	No
Análisis malware	Básico	Básico	Excelente	Básico	No
Forense disco	Bueno	Básico	No	Excelente	No
Anonimato	Bueno	No	No	No	Excelente

Casos de uso

Para equipos SOC/CTI

Monitorizar foros de la dark web buscando menciones de la organización
Investigar actores de amenaza que aparecen en alertas (perfiles, infraestructura)
Verificar credenciales corporativas filtradas en breaches
Recopilar IOCs de fuentes OSINT para alimentar plataformas como MalwareIntel

Para fuerzas de seguridad

Investigación de cibercriminales (perfiles, relaciones, infraestructura)
Documentación forense de evidencia digital con cadena de custodia
Monitorización de marketplaces ilegales

Para periodistas de investigación

Investigación de fuentes con protección de la identidad del periodista
Verificación de información en fuentes abiertas
Acceso seguro a fuentes en la dark web

Limitaciones

No es la mejor para análisis de malware: REMnux y FlareVM son superiores
Rendimiento: ejecutar Tor + herramientas OSINT + ELK Stack requiere recursos
Actualizaciones: la comunidad es más pequeña que la de Kali o REMnux
Curva de aprendizaje en dark web: requiere conocimiento de OPSEC y protocolos de seguridad
Falso sentido de anonimato: la herramienta no garantiza anonimato total; el comportamiento del investigador es igualmente importante

CSI Linux llena un nicho que otras distribuciones no cubren: la investigación digital completa que combina OSINT, dark web y forense en un solo entorno. Para equipos CTI que necesitan investigar actores de amenaza y monitorizar la dark web, es una herramienta valiosa que complementa al resto del arsenal de seguridad.

Preguntas frecuentes

Libros recomendados

Open Source Intelligence Techniques

Amazon (enlace afiliado)

OSINT Techniques