Saltar al contenido
OSINT AI One

Preguntas frecuentes

General

¿Que necesito para empezar?

Lo minimo:

  1. Python 3.11+
  2. Ollama con un modelo Qwen3 (o una API key de OpenAI/Anthropic)
  3. Al menos una API key de OSINT (VirusTotal recomendado — free tier: 500 req/dia)

¿Es gratuito?

Si. El proyecto es open source (MIT). Las herramientas OSINT tienen free tiers suficientes para la mayoria de casos de uso. Ollama es gratuito y corre localmente.

¿Mis datos salen a internet?

Solo las queries a los servicios OSINT (VirusTotal, AbuseIPDB, etc.) salen a sus respectivas APIs. Con Ollama, el modelo LLM corre completamente en local. Las investigaciones, evidencias e informes se quedan en tu maquina.

¿Funciona en Windows?

Si, pero recomendamos WSL2. El CLI y el agente funcionan correctamente en WSL2. Windows nativo no ha sido probado extensivamente.

¿Cuantos IOCs puedo analizar al dia?

Depende de tus API keys. Con el free tier de VirusTotal (500 req/dia) y el cache de 24h activo, puedes analizar hasta 500 IOCs unicos al dia. Para mas volumen, actualiza al tier de pago o distribuye entre multiples keys.

¿Necesito Ollama para el MCP Server?

No. El MCP Server expone las herramientas pero el razonamiento lo hace el modelo del cliente (Claude Desktop, VS Code…). Ollama solo es necesario para el agente ReAct interactivo.

¿Funciona en espanol?

Si, por defecto. El agente responde en el mismo idioma que uses. Si escribes en espanol, responde en espanol. Los modelos Qwen3 soportan espanol nativamente.

¿Puede automatizarse con cron?

Si:

Ventana de terminal
# Analiza los feeds de amenazas cada mañana a las 7:00
0 7 * * * /path/to/.venv/bin/osint-agent --feed feodo --limit 10 --json >> /var/log/osint/feodo.json

¿Cuanto espacio ocupa?

  • Codigo: ~50 MB
  • Modelo Ollama qwen3:14b: ~9 GB
  • Modelo de embeddings: ~100 MB
  • Datos (SQLite + ChromaDB): variable, tipicamente < 1 GB por investigacion

Investigaciones

¿Puedo tener multiples investigaciones abiertas?

Si, hasta 5 simultaneamente (configurable con ACTIVE_INVESTIGATIONS_LIMIT). Puedes tener mas en estado archivado.

¿Los datos de la investigacion se pierden si cierro el terminal?

No. Todo persiste en SQLite y ChromaDB. La investigacion activa se recuerda en data/.active.

¿Como exporto una investigacion?

El informe generado por /report-generate es un fichero Markdown estandar que puedes abrir con cualquier editor o convertir a PDF/HTML. Las evidencias originales estan en investigaciones/<slug>/evidencias/.

¿Que formatos de evidencia soporta?

PDF, TXT, HTML, Markdown y JSON. Tambien acepta URLs (descarga y procesa el HTML de la pagina).

¿Como elimino una investigacion?

Ventana de terminal
/investigation-manage archive caso-acme    # Archiva (mantiene datos)
/investigation-manage delete caso-acme     # Elimina completamente (irreversible)

Herramientas y APIs

¿Cual es la API key mas importante?

VirusTotal. Cubre IPs, dominios y hashes con una sola key, y tiene el free tier mas generoso (500 req/dia).

¿Que pasa si no tengo ninguna API key?

Las herramientas gratuitas (WHOIS, DNS, crt.sh, threat feeds, GDELT, RSS, country risk) siguen funcionando. El analisis sera menos completo pero funcional para dominios y consultas contextuales.

¿El agente puede usar todas las herramientas en paralelo?

El agente selecciona y ejecuta herramientas de forma secuencial pero rapida. El Python import directo permite paralelismo con asyncio.gather. Ver Recetas → Python import.

¿Con que frecuencia se actualizan los threat feeds?

  • Feodo Tracker: cada hora
  • URLhaus: cada pocas horas
  • IPsum: diariamente

El cache local es de 24h por defecto para los resultados de herramientas individuales.