ClatScope: reseña completa de la plataforma OSINT todo en uno con más de 70 herramientas

ClatScope: reseña completa de la plataforma OSINT todo en uno con más de 70 herramientas

Si alguna vez le ha dolido la cabeza por tener diez pestañas abiertas de Shodan, Have I Been Pwned, Hunter y un par de scripts caseros, ClatScope se parece a una visita al osteópata: un clic y la columna vertebral de su rutina de OSINT se endereza. La herramienta ya ha crecido hasta más de 70 funciones, reuniendo en un solo menú todo, desde la banal geolocalización de IP hasta búsquedas exóticas como «a ver si este número apareció en filtraciones de los infostealers Hudson Rock».

Por qué el OSINT «antiguo» es una molestia

La inteligencia tradicional al estilo antiguo recuerda a montar un rompecabezas cuando el vecino de vez en cuando pega piezas a la mesa. Los servicios son distintos, las claves API están en cada sitio nuevo, los resultados vienen en CSV y JSON de formatos variados. Al final, la mitad del tiempo se gasta no en análisis, sino en pulsar y copiar y pegar. Y cuando el plazo vence hoy a las 18:00, resulta que la pieza que falta —el WHOIS con la fecha de expiración del dominio— se quedó por error en el portapapeles anteayer.

Qué es ClatScope

ClatScope es un script en Python (¡incluso tiene GUI y aplicación móvil!) creado por el pentester Joshua M. Clatney alias Clats97. La versión 1.20 se lanzó el 25 de junio de 2025, incorporando la instalación automática de dependencias y un par de comprobaciones nuevas. En mayo apareció ClatScope Mini, una edición ligera sin claves API —la opción ideal de «instalar y listo».

Por cierto, si no le gusta usar un cliente SSH más de la cuenta, descargue la versión para Android y haga la recopilación directamente desde el teléfono en la facultad o en el aeropuerto.

Funciones principales por las que vale la pena instalar

  • IP Address Search — muestra la ubicación, el ISP y un enlace a Google Maps.
  • Deep Account Search — verificación en más de 250 sitios para coincidencias de nombre de usuario.
  • Phone Leak Search — mostrará rápidamente si el número apareció en bases de filtraciones.
  • Integraciones con Hudson Rock — comprobación de compromisos por infostealers mediante correo, IP o nombre de usuario.
  • Travel Risk Search — índice de riesgo de 40 parámetros para país/ciudad (útil en expediciones OSINT).
  • AutoScan — informe automático «todo sobre todo» para un objetivo, con salida en CSV.
  • …y unas dos docenas de módulos adicionales, incluyendo Reverse Image Search, Botometer y cifrado AES de archivos.

La práctica muestra que, para el caso estándar «email → filtraciones → redes sociales → verificación del teléfono», basta con una ejecución del script con cuatro opciones del menú —sin la caminata de una hora por la jungla de Internet.

Instalación en cinco minutos

  1. Clonar el repositorio: git clone https://github.com/Clats97/ClatScope.git.
  2. Entrar en la carpeta e instalar dependencias (Python 3.10+): pip install -r requirements.txt
    A partir de la v1.20, el script descargará todo lo necesario en el primer inicio.
  3. Ejecutar: python "ClatScope Info Tool (1.20).py".

En el primer inicio la herramienta solicitará claves API ( HIBP, Hunter.io, RapidAPI y otras). Puede introducirlas una vez para siempre o contratar una suscripción en la que el autor «inyecta» las claves por usted.

Quién usa ClatScope y para qué

1. Perito forense digital

Mientras los investigadores incautaban el portátil del sospechoso, el analista introdujo en ClatScope el correo electrónico y el número de teléfono: en un minuto ya se ve en qué redes sociales estaba y qué cuentas habían aparecido en filtraciones. El acta queda en un CSV limpio y el perito judicial no tiene que verificar manualmente cientos de enlaces.

2. Pentester independiente

Durante una auditoría interna bancaria hay que reunir con rapidez la máxima información pasiva sobre los dominios del cliente: registros DNS, subdominios, snapshots antiguos en Wayback. ClatScope exporta todo en un solo pase y ofrece una lista de servicios potencialmente vulnerables (puertos abiertos, subdominios olvidados): ahorro de tiempo y de créditos en Shodan.

3. Administrador de sistemas «todoterreno»

El administrador suele compaginar SOC y helpdesk. Un usuario se queja: «Correo de RR. HH. con un adjunto sospechoso». El administrador pega los encabezados en ClatScope y ve que el dominio remitente se registró ayer con un registrador en Panamá, y que el certificado SSL es de Let’s Encrypt por 90 días. Las dudas se disipan.

Consejos y trucos

  • Guarde las claves API en un .env separado —el script admite variables de entorno.
  • Deep Account Search suele dar «coincidencias falsas» —verifíquelas siempre con una captura como prueba.
  • Para análisis masivos de teléfonos/correos utilice Bulk CSV Search y exporte directamente a Excel —el informe para el cliente queda listo.
  • Instale la versión Mini en las máquinas de los analistas de campo —menos riesgo de filtración de claves y onboarding más sencillo.

Ventajas y desventajas

Ventajas

  • Gran funcionalidad «bajo un mismo techo».
  • Código abierto —se puede ampliar con sus propias fuentes.
  • Aplicación móvil y versión Mini ligera.
  • Instalación automática de dependencias desde la v1.20.

Inconvenientes

  • Algunas funciones requieren claves API de pago.
  • Resultados a veces «ruidosos» (especialmente en nombre de usuario/Deep Account).
  • La interfaz gráfica está aún en estado Beta —en algunos puntos se siente sin pulir.

Alternativas

Existen decenas de marcos OSINT —desde el veterano Metagoofil hasta la herramienta Aquatone. Pero la mayoría resuelve una sola tarea o requiere infraestructura propia. ClatScope cubre el 80 % de los casos típicos «en caja» —el 20 % restante es más sencillo de agregar como módulo que de construir una nueva cadena de herramientas desde cero.

Conclusiones

ClatScope ya se ha convertido en un verdadero «cuchillo suizo» para el practicante de OSINT. No sustituye al pensamiento crítico, pero ahorra horas de trabajo rutinario y ofrece un único punto de entrada al ecosistema de APIs de inteligencia. Y si solo tiene un smartphone a mano, ahora eso tampoco es un problema. Pruébelo: puede eliminar el marcador «Comprobar dominio en WHOIS» —al fin y al cabo, ahorrar un clic al día durante un año se convierte en todo un turno de trabajo.

Ética ante todo: ClatScope está creado para la investigación legal. Compruebe siempre la legislación local y obtenga el consentimiento del cliente antes de realizar escaneos. La herramienta es potente, pero la responsabilidad recae en el usuario.


Alt text
article-title

Niko Nepo