Centro de conocimiento

Esta historia no es solo una historia sobre inversiones, criptomonedas o el mercado de capitales.

Es una historia sobre un fallo en la diligencia debida.

Mucha gente cree que una verificación de antecedentes sirve únicamente para contratar empleados. En la práctica, no es menos importante a la hora de elegir un socio comercial, un gestor de inversiones, un proveedor, un asesor o cualquier persona que vaya a tener acceso a dinero, información o activos.

En este caso, parte de la información estaba completamente disponible en fuentes abiertas: una condena penal por delitos de fraude; un largo periodo de prisión; publicaciones mediáticas históricas; procedimientos y resoluciones judiciales; e información comercial y pública que puede localizarse mediante una búsqueda profesional.

El problema es que encontrar la información no basta. Hay que saber unir los puntos.

Una verificación de antecedentes basada en OSINT no se limita a recopilar datos. El verdadero valor está en el análisis y en comprender qué significa la información a la hora de tomar una decisión.

Cuando evaluamos a una persona que va a gestionar nuestro dinero o a tomar decisiones financieras, la pregunta no es solo "¿Tuvo una condena previa?", sino: ¿la reveló por completo? ¿Existen otras señales de alerta? ¿Hay discrepancias entre la imagen pública y la realidad? ¿Y existen patrones que se repiten a lo largo de los años?

Al final, la mayoría de los grandes fraudes no comienzan con sofisticación tecnológica. Comienzan con la confianza.

Y antes de otorgar confianza, conviene realizar una verificación de antecedentes profesional basada en fuentes de información abiertas, para tomar una decisión informada y fundamentada en hechos y no en una impresión personal o en el carisma.

En mi opinión, esa es precisamente la parte fácil.

El verdadero desafío comienza justo después de haber encontrado la información: ¿estamos seguros de que pertenece a la persona que realmente estamos verificando?

En un mundo donde millones de personas comparten nombres similares, usan apodos, mantienen múltiples perfiles digitales y a veces dejan solo rastros parciales, es muy fácil caer en la trampa de una "identificación rápida".

Me encuentro a menudo con casos en los que investigadores, reclutadores o directivos ven un perfil problemático en la red, un artículo antiguo o una mención negativa, y se apresuran a sacar conclusiones.

Pero una verificación de antecedentes profesional no es un ejercicio de recopilación de información. Es un ejercicio de verificación de identidades.

Antes de sacar conclusiones, hay que verificar: ¿se trata de la misma persona? ¿Coincide la ubicación geográfica? ¿Encaja la línea de tiempo? ¿Existen identificadores adicionales que conecten los datos? ¿Y existen fuentes independientes que confirmen el vínculo?

El mayor peligro no es pasar por alto información negativa. El mayor peligro es atribuir información negativa a la persona equivocada.

Un error así puede llevar a decisiones de contratación erróneas, al daño de la reputación de una persona inocente e incluso a una exposición legal.

Por eso uno de los principios más importantes en el trabajo de inteligencia de fuentes abiertas (OSINT) es: primero se verifica. Solo después se concluye.

Esa es la diferencia entre recopilar información y buscar la verdad.

Al principio parecía completamente fiable. Fotos, explicaciones, resultados en Google, menciones en diversos sitios, incluida Wikipedia.

Pero cuanto más ahondaba, más descubría que la mayor parte de la historia no se sustenta en nada en absoluto. Algunas de las fotos eran esculturas de lana de un artista japonés. Otras eran imágenes de especies completamente distintas. Y en la práctica, lo único que existe de verdad es una sola fotografía de una polilla no identificada tomada en Venezuela (la imagen de arriba a la izquierda). Ni siquiera existe un reconocimiento científico oficial de tal especie.

Lo interesante aquí no es la polilla, sino la manera en que la información se convierte en "verdad".

Hoy los motores de búsqueda ya no se basan únicamente en fuentes originales. También se alimentan de contenido creado por AI, de resúmenes automáticos, de copias entre sitios y de información que se recicla a sí misma una y otra vez.

Y eso significa que, incluso si intentas hacer un "rastreo inverso" y comprobar cuál es la fuente real, se vuelve muy difícil. Porque en cierto punto: la fuente original desaparece, la información se copia cientos de veces, los sistemas de AI resumen información errónea, y el contenido no verificado empieza a parecer más fiable que la propia realidad.

Y este es precisamente uno de los grandes desafíos en el mundo de las verificaciones de antecedentes.

No basta con saber buscar información. Hay que saber dudar de la información.

Hay que entender: ¿quién es la fuente? ¿Hay alguna verificación? ¿Se trata de información primaria o de una copia? ¿Hay algún interés de por medio? ¿Y todos simplemente se citan unos a otros?

En una era en la que la AI sabe generar cantidades enormes de contenido convincente, la capacidad de pensar de forma crítica se convierte en un activo profesional crítico.

Esta es exactamente la razón por la que las verificaciones de antecedentes profesionales no pueden basarse únicamente en una búsqueda rápida en Google ni en herramientas de AI.

Al final, siguen haciendo falta personas que sepan conectar contextos, identificar manipulaciones, entender qué falta en el cuadro — y, sobre todo, saber cuándo no creer de inmediato algo que parece fiable.

La solicitud era clara: localizar la fuente de difusión, detenerla rápidamente y eliminar el contenido.

A primera vista, esto suena como una tarea clásica de inteligencia de fuentes abiertas. Pero ahí es exactamente donde comienza el problema.

Quiero compartir con ustedes, con honestidad profesional, dónde el OSINT es fuerte y dónde simplemente no es suficiente.

Dónde el OSINT aporta verdadero valor: se puede mapear cómo se difunde el contenido, identificar grupos, canales y focos de difusión, rastrear usuarios recurrentes en distintas plataformas y comprender quién "impulsa" la historia hacia adelante. Esto ofrece una imagen de inteligencia muy importante.

Pero aquí llega la limitación crítica: no se puede identificar con certeza quién es la persona detrás de la cuenta, probar quién creó el contenido, acceder a información cerrada (IP, dispositivos, registros) ni garantizar la eliminación completa de internet.

Y cuando se trata de incidentes delicados, especialmente con menores o violaciones de la privacidad, el error más pequeño en la identificación puede convertirse en un grave problema legal.

El riesgo real: el problema no es solo tecnológico, es de gestión. Cuando se hacen promesas como "encontraremos a quien lo hizo" y "lo quitaremos todo de la red" sin comprender los límites, esa es una receta para la decepción en el mejor de los casos, y para el daño en el peor.

Entonces, ¿qué es lo correcto hacer en casos así? El enfoque correcto siempre es multidisciplinario: el OSINT para mapear y comprender, el DFIR para recopilar pruebas de dispositivos y sistemas, acompañamiento legal para dirigirse a las plataformas, gestión del daño y prevención de la difusión repetida, y monitoreo continuo. Quien aborda esto solo, desde un único ángulo, pierde la imagen completa.

La conclusión: la inteligencia de fuentes abiertas es una herramienta muy poderosa, pero no es magia.

Saber qué se puede hacer es importante. Pero saber qué no se puede hacer es lo que distingue el trabajo profesional del riesgo.

Y este es justamente el punto en el que muchas organizaciones fallan.

Vivimos en una era con información abierta infinita: foros, grupos, filtraciones, pequeñas pistas. Pero sin un contexto de negocio real, sin entender qué es relevante para una organización específica, todo se convierte en ruido.

Y esto no ocurre solo en el mundo del ciber.

Es exactamente el mismo principio en el mundo de la inteligencia de fuentes abiertas.

Lo veo todo el tiempo: las organizaciones creen que necesitan "más verificaciones", "más fuentes", "más datos". Pero la verdad es lo contrario. El valor real viene de la capacidad de conectar los puntos.

Por ejemplo: alguien publica en un foro oscuro ofreciendo acceso a un sistema. No menciona el nombre de una empresa. No hay palabras clave claras. Los sistemas clásicos no lo detectarán. Pero si entiendes el contexto, el tipo de sistema, el tamaño de la empresa, la ubicación geográfica, el tipo de actividad, de repente ya no es "información general". Es una amenaza muy específica.

Y ahora piensa en esto en el contexto de los insider threats.

Muchas veces la amenaza no comienza dentro de la organización. Comienza fuera, en la dark web, en foros, en grupos. Pero se conecta con personas de dentro: un empleado con acceso, un proveedor con permisos, un candidato que intenta entrar.

Sin una conexión entre la inteligencia externa y una comprensión interna de la organización, se pierde la historia.

Y este es el punto verdaderamente importante: la AI por sí sola no resuelve el problema. Apoyarse solo en OSINT no resuelve el problema.

Solo la combinación de un contexto de negocio real, un análisis humano que entiende el comportamiento y una tecnología capaz de operar a escala crea una ventaja real.

Quien siga recopilando información sin entender qué es relevante para él se ahogará en el ruido. Quien sepa conectar los puntos a tiempo identificará la amenaza antes de que se convierta en un incidente.

La idea central es simple pero muy profunda: nuestro cuerpo no solo "expresa" emociones y pensamientos, sino que también influye en ellos, y a veces incluso los revela antes de que el cerebro logre controlar el mensaje.

Durante años se vio el lenguaje corporal como un "añadido" a la comunicación. Hoy ya está claro que es parte del propio sistema de pensamiento. La postura al sentarse, la posición de las manos, el ritmo de la respiración, los movimientos de la cabeza, la distancia de la cámara, el uso del espacio, las microexpresiones, los cambios de voz e incluso la manera de teclear: todo esto forma parte de un sistema de información conductual.

En el perfilado empresarial esto es crítico.

Cuando realizamos una evaluación de fiabilidad o intentamos identificar el potencial de una amenaza interna dentro de una organización, no buscamos solo una "mentira". Es mucho más complejo. Buscamos la incongruencia.

El Embodiment Effect permite comprender cuándo el comportamiento físico no se sincroniza con la narrativa que la persona intenta producir. Por ejemplo: un candidato que habla con seguridad pero cuyo cuerpo está en una defensa continua; un empleado que declara compromiso con la organización pero reacciona físicamente con tensión cuando surgen temas de autoridad, control o lealtad; un directivo que muestra estabilidad pero exhibe signos anómalos de activación en torno a preguntas financieras o conflictos internos; un candidato a distancia que produce un contacto visual "demasiado perfecto", con un ritmo de respuesta artificial y patrones de comunicación que recuerdan al uso de ayudas externas o de AI en tiempo real.

Y aquí entra el nuevo desafío: la evaluación a distancia.

En la era del trabajo híbrido y las entrevistas por Zoom, algunas personas creen que es posible "ocultar" el comportamiento a través de una pantalla. En la práctica, a veces ocurre lo contrario.

La cámara reduce el ruido de fondo y nos obliga a centrarnos en los microcomportamientos: retrasos en la respuesta, cambios de tono, saltos en la mirada, sobreajustes, escucha poco natural, desconexiones entre la voz y la expresión, congelamiento motor y un uso excesivo de gestos calculados.

Precisamente en un entorno a distancia, cuando se sabe qué buscar, es posible identificar indicaciones muy significativas de fiabilidad, tensión, ocultación, manipulación o conflicto interno.

Pero es importante decir la verdad profesional: no existe un "signo mágico" que demuestre una mentira. Este es uno de los mayores errores en el campo.

El perfilado profesional no se construye sobre mitos del tipo "tocarse la nariz = mentir". Se construye sobre: crear una línea de base conductual, identificar anomalías, cruzar fuentes de información, analizar el contexto, comprender las motivaciones y leer la dinámica y no solo signos aislados.

El Embodiment Effect es especialmente importante para identificar amenazas internas en las organizaciones, porque las personas pueden controlar sus palabras mucho más que su cuerpo. Y en situaciones de tensión, conflicto de lealtades, sensación de amenaza u ocultación, el cuerpo casi siempre "filtra" información.

El futuro del mundo del perfilado empresarial no se basará solo en la tecnología ni solo en la intuición humana. Será una combinación de: comprensión conductual profunda, análisis digital, apoyo en OSINT, detección de anomalías y la capacidad humana de leer a las personas incluso a través de una pantalla.

Porque al final, incluso en la era de la AI, la persona sigue dejando una firma conductual.

Se trata de tres rasgos de personalidad que al principio pueden parecer seguridad en uno mismo, carisma o asertividad, pero dentro de una organización pueden convertirse en una verdadera amenaza interna: el narcisismo, que implica una necesidad de admiración, una sensación de superioridad y dificultad para aceptar las críticas; la manipulación (Machiavellianism), que significa usar a las personas como herramientas para lograr objetivos, sin mucha culpa por el camino; y la psicopatía funcional, que implica una frialdad extrema, una falta de empatía y la capacidad de realizar acciones dañinas sin conciencia.

Lo interesante es que las personas con tales rasgos no siempre fracasan en las entrevistas de trabajo. Al contrario.

Más de una vez resultan muy impresionantes. Saben hablar. Saben venderse. Saben identificar las debilidades de los demás. Y saben exactamente qué personaje quiere ver la organización frente a ellos.

Por eso creo que uno de los mayores desafíos hoy en el mundo de las amenazas internas no es solo identificar un 'pasado problemático', sino comprender patrones de personalidad y de comportamiento que en el futuro podrían convertirse en un riesgo organizacional.

Esto puede manifestarse en la filtración de información, en perjudicar deliberadamente a la organización, en manipular a los empleados, en crear una cultura tóxica, o simplemente en tomar decisiones peligrosas sin ninguna empatía por las consecuencias.

Está claro que no toda persona con rasgos de la Tríada Oscura es un delincuente o una amenaza interna. Pero cuando se combinan el acceso a información sensible, la presión, el ego, la falta de supervisión y la capacidad manipuladora, se obtiene una combinación que los directivos deben conocer.

Y aquí es exactamente donde entra el valor de una evaluación en profundidad, un interrogatorio adecuado, la inteligencia a partir de fuentes de información abiertas y la identificación de señales de alerta antes de que ocurra el daño.

Porque al final, la amenaza más peligrosa en una organización no suele ser quien parece peligroso. Sino quien sabe parecer perfecto.

Por ejemplo, hay culturas en las que evitar el contacto visual es una señal de respeto. Para otras, eso enseguida genera dudas. Hay lugares donde la comunicación directa se considera positiva, mientras que en otros se percibe como grosera.

Y aquí es donde entran los sesgos.

Cuando no somos conscientes de ellos, en realidad no estamos analizando a la persona. Estamos analizando la brecha entre ella y nosotros.

En el perfilamiento empresarial, esto es especialmente crítico. Se toman decisiones sobre personas: candidatos, socios, proveedores. Un error de interpretación puede llevar a dejar escapar a una persona excelente o, peor aún, a no identificar un riesgo real.

Entonces, ¿qué aprendemos de esto?

Antes que nada, humildad profesional. Comprender que no todo lo que nos parece "correcto" lo es realmente.

En segundo lugar, el contexto. Preguntar siempre: ¿de dónde viene esta persona? ¿Su comportamiento encaja con la cultura de la que proviene?

Y por último, la combinación adecuada entre herramientas analíticas y comprensión humana. Sin esto, no hay verdadera objetividad.

Quien trabaja con personas debe entender las culturas. De lo contrario, simplemente está adivinando.

Recuerdo una época en la que LinkedIn era un lugar muy "limpio". Profesional, calculado, un poco estéril. Todos escribían lo mismo, todos sonaban igual, y casi no había nada allí que revelara de verdad quién era la persona detrás del perfil.

Y entonces comenzó la enshittification.

Más publicaciones personales. Más política. Más opiniones extremas. Más provocaciones que ganan exposición porque al algoritmo le gusta el ruido.

Para quien busca una plataforma puramente profesional, esto parece un deterioro. Y en gran medida, realmente lo es.

Pero desde mi punto de vista, aquí ha ocurrido algo interesante.

Precisamente ese contenido "que no encaja" es el que empieza a contar la historia real.

Cuando investigo a alguien en el marco de una verificación de antecedentes a partir de fuentes de información abiertas, no busco solo lo que hace. Busco cómo piensa. Cómo reacciona. Qué lo activa. Dónde están sus límites.

Y estas cosas casi nunca aparecían en el viejo LinkedIn.

Hoy están ahí. Y en abundancia.

Una publicación política escrita sin filtros, una respuesta agresiva a un debate profesional, la elección de sumarse a una tendencia provocadora, todo esto ya no es "ruido" para mí. Son señales.

Lo que antes era un desierto baldío en términos de comprensión de la personalidad, se ha convertido en una mina de oro de indicadores de comportamiento.

Así que sí, LinkedIn ha cambiado. Y quizá no para mejor para quien busca solo profesionalidad.

Pero para quien entiende cómo leer entre líneas, es una plataforma que cuenta mucha más verdad que antes.