Imagem em tons escuros de uma sala de controle, mostrando doze grupos de nós luminosos conectados por linhas de análise de ligações na cor laranja sobre um fundo quase preto, representando a pilha de OSINT.
Todas as publicações

A pilha de ferramentas OSINT em 2026: 93 ferramentas OSINT distribuídas por 12 categorias

Ryan Turner
Ryan Turner · Head of Growth
Abrir markdown

A inteligência de fonte aberta deixou de ser uma pasta de favoritos há anos. Em 2026, trata-se de um setor estruturado em camadas, e as ferramentas se dividiram em categorias distintas que raramente são abordadas juntas na mesma análise. A maioria das listas das “melhores ferramentas de OSINT” apresenta 10 ou 15 nomes e não vai além disso. Esta lista mapeia todo o campo: 93 fornecedores classificados em 12 categorias funcionais, além da camada de coleta que, discretamente, sustenta todas elas.

O mercado reflete esse crescimento. As estimativas para o mercado global de OSINT em 2025 variaram entre aproximadamente US$ 11,6 bilhões e US$ 12,7 bilhões, dependendo da empresa de pesquisa, com previsões de crescimento para os próximos cinco anos situando-se entre 20% e 28% ao ano (Global Market Insights, Mercado de Inteligência de Código Aberto (OSINT), 2025). Considere qualquer número isoladamente como indicativo de uma tendência; as empresas divergem em bilhões. A tendência, porém, é a seguinte: mais fornecedores, mais categorias, mais dinheiro.

Pontos principais
  • A pilha de OSINT em 2026 abrange 12 categorias e 93 fornecedores comerciais, ultrapassando em muito a lista de 10 ferramentas.
  • As informações mais valiosas encontram-se em fontes pagas: dados sobre violações na dark web, análise forense de criptomoedas e GEOINT, e não em consultas gratuitas de nomes de usuário.
  • A SpyCloud recuperou 53,3 bilhões de registros de identidade em 2024, um aumento de 22% em relação ao ano anterior, demonstrando a enorme quantidade de dados que os investigadores precisam analisar atualmente (SpyCloud, Relatório Anual sobre Exposição de Identidades de 2025, 2025).
  • Todas as categorias dependem de um elemento comum: coletar dados públicos da web em tempo real e em grande escala, no local certo, sem comprometer a investigação.

Como mapeamos as 12 categorias

Agrupamos os fornecedores de acordo com a função que desempenham, e não por rótulo de marketing. Cada uma das 12 categorias abaixo responde a uma questão investigativa diferente: quem está conectado a quem, o que vazou, o que está exposto online, onde isso se encontra fisicamente e como coletar qualquer uma dessas informações com segurança. Na prática, uma ferramenta pode aparecer em mais de uma categoria; classificamos cada uma de acordo com seu uso principal.

O resultado é uma pilha, não uma classificação. Uma equipe de combate à fraude e um analista de segurança nacional retiram itens de prateleiras diferentes do mesmo armário. A seguir, apresentamos esse armário, de cima para baixo.

The OSINT economy by segment, 2025 Estimated market size, USD billions (figures vary by research firm) 12.7 OSINT 14 Forensics 11.5 Threat Intel 6.6 Satellite Sources: Global Market Insights; Precedence Research; MarketsandMarkets, 2025
Os mercados adjacentes que alimentam a pilha de OSINT, 2025. Os números são indicativos e variam de acordo com a empresa de pesquisa.

As 12 categorias em resumo

  1. Plataformas de investigação e análise de ligações
  2. Mídias sociais e inteligência narrativa
  3. Dark Web e exposição a violações de segurança
  4. Plataformas de inteligência contra ameaças
  5. Pesquisa de pessoas, registros e verificação de antecedentes
  6. Direito Societário, Sanções e Crimes Financeiros
  7. Análise forense de criptomoedas e blockchain
  8. Superfície de ataque e reconhecimento de rede
  9. GEOINT e Inteligência por Satélite
  10. Monitoramento da mídia e percepção da situação
  11. Infraestrutura de Pesquisa e OPSEC
  12. Perícia Digital e Provas

1. Plataformas de investigação e análise de links

As plataformas de análise de links constituem a base de trabalho do OSINT: elas recebem entidades (pessoas, contas, empresas, infraestrutura) e traçam as relações entre elas em uma única tela. É aqui que a maioria das investigações sérias é conduzida, e é também aqui que o mercado está se consolidando mais rapidamente. A Maltego adquiriu a ferramenta de captura de evidências Hunchly em maio de 2025, uma das várias transações que incorporam ferramentas pontuais em pacotes integrados (Maltego, Maltego dá as boas-vindas à Hunchly, 2025).

Esses são os pesos pesados. Espere encontrar visualização de gráficos, transformações ou conectores para outras fontes de dados e gerenciamento de casos.

  • Maltego - a ferramenta de grafos de referência para a análise de ligações entre entidades.
  • Palantir - integração e análise de dados em grande escala utilizadas tanto no setor público quanto no privado.
  • DataWalk - análises investigativas que conectam conjuntos de dados isolados.
  • Penlink - plataforma de investigação e análise de comunicações.
  • Cognyte - análises investigativas para equipes de segurança e inteligência.
  • ShadowDragon - análise de links com um amplo conjunto de conectores de dados sociais e históricos.
  • Falkor - plataforma de investigação baseada em grafos.
  • IBM i2 - o tradicional caderno de anotações do analista para gráficos de ligações.

2. Redes sociais e inteligência narrativa

As ferramentas de inteligência social e narrativa monitoram o que está sendo dito nas diversas plataformas e, em seguida, identificam comportamentos coordenados, desinformação e ameaças emergentes. Essa categoria evoluiu do simples monitoramento de palavras-chave para a detecção de manipulação e conteúdo sintético, em parte porque a IA generativa agora torna a produção de narrativas falsas em grande escala um processo de baixo custo.

Utilize-os para monitorar contas, mapear redes de influência e identificar campanhas narrativas antes que elas atinjam seu auge.

  • Rua Babel - análise multilíngue de dados e localização.
  • Fivecast - descoberta direcionada e detecção de riscos a partir de dados abertos.
  • Blackbird.AI - inteligência sobre narrativas e riscos de desinformação.
  • Links sociais - Fusão de dados OSINT provenientes de mais de 500 fontes.
  • Cobwebs Technologies - inteligência na web e detecção de ameaças.
  • Voyager Labs - Análise de atividades online com base em inteligência artificial.
  • Pyrra - monitoramento de plataformas alternativas e marginais.
  • Media Sonar - risco digital e monitoramento social.

3. Dark Web e exposição a violações de segurança

O que já vazou sobre um alvo costuma ser o ponto de partida mais revelador: credenciais, cookies de sessão, registros de programas de roubo de informações e conversas em fóruns. Essa é uma das camadas mais reveladoras de toda a pilha. A SpyCloud recuperou 53,3 bilhões de registros de identidade distintos em 2024, um aumento de 22% em relação ao ano anterior, e informou que quase 80% das violações agora envolvem credenciais roubadas (SpyCloud, Relatório Anual sobre Exposição de Identidades de 2025, 2025).

É difícil superestimar a magnitude do problema. A Hudson Rock analisou dados de mais de 30 milhões de máquinas infectadas por programas de roubo de informações, o tipo de telemetria que transforma uma pista vaga em uma invasão confirmada (Hudson Rock, 2025).

  • DarkOwl - uma das maiores bases de dados comerciais de conteúdo da darknet.
  • SpyCloud - dados de identidade recuperados após violação e exfiltrados por malware.
  • Sinal de fogo - monitoramento contínuo de ameaças externas e vazamentos.
  • Searchlight Cyber - investigação na dark web e inteligência pré-ataque.
  • Hudson Rock - infecção por programas de roubo de informações e informações sobre credenciais comprometidas.
  • Inteligência X - mecanismo de busca para vazamentos, darknet e dados históricos.
  • Constella Intelligence - dados sobre a exposição a violações centrados na identidade.
  • Breachsense - monitoramento em tempo real de violações e vazamentos.

4. Plataformas de inteligência contra ameaças

As plataformas de inteligência contra ameaças transformam sinais externos de risco em informações que permitem à equipe de operações de segurança tomar medidas: indicadores, perfis de agentes e alertas antecipados. Segundo uma estimativa, o mercado ficou em torno de US$ 11,5 bilhões em 2025, com previsão de crescimento para US$ 23 bilhões até 2030 (MarketsandMarkets, Mercado de Inteligência contra Ameaças, 2025). A análise de viabilidade é contundente: a IBM estimou o custo médio global de uma violação de dados em US$ 4,44 milhões em 2025 e em US$ 10,22 milhões nos Estados Unidos (IBM, Relatório sobre o Custo de uma Violação de Dados 2025, 2025).

Essas plataformas combinam o OSINT com a coleta de dados proprietária e as técnicas analíticas.

  • Recorded Future - gráfico de inteligência contra ameaças em grande escala.
  • Ponto de inflamação - inteligência sobre comunidades ilícitas e ameaças.
  • Cybersixgill - coleta automatizada de dados da deep web e da dark web.
  • KELA - inteligência sobre ameaças de crimes cibernéticos.
  • Cyble - Inteligência contra ameaças e monitoramento da superfície de ataque com base em IA.
  • SOCRadar - inteligência ampliada sobre ameaças e proteção contra riscos digitais.
  • Group-IB - inteligência contra ameaças e investigação de fraudes.
  • Hunt.io - detecção de infraestruturas de ameaças em toda a Internet.

5. Pesquisa de pessoas, registros e triagem

As ferramentas de busca de pessoas e de registros identificam indivíduos e extraem os registros públicos e licenciados a eles associados: endereços, parentes, empresas, processos judiciais e muito mais. Essa categoria é fundamental para investigações de fraude, due diligence e verificação de antecedentes, e depende fortemente de corretores de dados licenciados, além de fontes abertas.

O trabalho aqui consiste na resolução de identidade: transformar um nome ou um apelido em registros verificados e, em seguida, filtrar o que for encontrado.

  • Skopenow - investigações automatizadas em redes sociais e registros públicos.
  • OSINT Industries - enriquecimento de contas e identidades em tempo real.
  • LexisNexis - registros públicos e dados de risco em grande escala.
  • Thomson Reuters CLEAR - pesquisa investigativa em registros públicos.
  • Tracers - dados e localização de pessoas para investigadores.
  • TransUnion TLOxp - dados de investigação e verificação de identidade.
  • Checkr - verificação de antecedentes por meios modernos.
  • IDI - inteligência de identidade e dados de registros.

6. Direito Societário, Sanções e Crimes Financeiros

Essas plataformas mapeiam a estrutura acionária das empresas, os beneficiários efetivos e a exposição a sanções — o elo que une o trabalho de due diligence ao combate ao crime financeiro. Com os regimes de sanções em constante mudança, o valor reside em determinar quem realmente controla uma entidade e se alguma pista leva a uma parte sujeita a restrições.

Utilize-os para verificações de “conheça seu cliente”, riscos na cadeia de suprimentos e investigações sobre estruturas de fachada.

  • Sayari - informações sobre a estrutura acionária das empresas e as redes comerciais.
  • Kharon - pesquisa sobre sanções e ameaças à segurança.
  • ComplyAdvantage - Dados sobre riscos de crimes financeiros baseados em inteligência artificial.
  • Castellum.AI - sanções em tempo real e análise de riscos.
  • Risco e Conformidade da Dow Jones - dados sobre cobertura negativa na mídia e sanções.
  • Quantifind - inteligência de risco para crimes financeiros.
  • Sigma360 - tomada de decisões e triagem de riscos.
  • Linkurious - investigação de crimes financeiros com base em grafos.

7. Análise forense de criptomoedas e blockchain

As ferramentas forenses de blockchain rastreiam fundos entre carteiras e cadeias, associando entidades do mundo real a endereços na cadeia. Essa categoria existe porque o dinheiro foi movimentado na cadeia. A Chainalysis estimou o volume mínimo de transações ilícitas com criptomoedas em 2024 em US$ 40,9 bilhões, sendo que 63% desse fluxo passa por stablecoins (Chainalysis, Relatório sobre Crimes Criptográficos de 2025, 2025).

Esse limite mínimo costuma ser revisado para cima à medida que mais endereços são atribuídos, o que é exatamente o que essas ferramentas fazem.

Illicit crypto flow by asset type, 2024 63% stablecoins Stablecoins (63%) Other assets (37%) Source: Chainalysis, 2025 Crypto Crime Report
De acordo com a Chainalysis, as stablecoins representaram a maior parte do valor ilícito na cadeia de blocos em 2024.
  • Chainalysis - análise de blockchain para investigações e conformidade.
  • TRM Labs - riscos e análise forense na cadeia de blocos.
  • Elíptico - conformidade e investigação no setor de criptomoedas.
  • Inteligência Cristalina - análise de blockchain para instituições financeiras.
  • Arkham - inteligência de entidades na cadeia de blocos.
  • Merkle Science - monitoramento e análise preditiva de riscos relacionados a criptomoedas.
  • AnChain.AI - Segurança e análise forense de blockchain com tecnologia de IA.
  • Nansen - identificação de carteiras e análises na cadeia.

8. Superfície de ataque e reconhecimento de rede

Algumas ferramentas indexam a própria internet: portas abertas, serviços, certificados e dispositivos expostos. Elas respondem à pergunta “como essa organização se apresenta do ponto de vista externo?”, o que constitui o ponto de partida tanto para os invasores quanto para os defensores. Essa é a camada mais técnica da pilha e uma das mais maduras.

Os analistas recorrem a essas ferramentas para mapear uma superfície de ataque, explorar a infraestrutura compartilhada e identificar o que um alvo deixou exposto.

  • Censys - dados de varredura em toda a Internet e sobre a superfície de ataque.
  • Shodan - o primeiro mecanismo de busca para dispositivos conectados.
  • GreyNoise - contexto sobre o ruído de fundo na internet.
  • SecurityTrails - Dados históricos de DNS, domínios e endereços IP.
  • BinaryEdge - dados sobre exposição à internet e ameaças.
  • Netlas - detecção e pesquisa de recursos na internet.
  • ZoomEye - mecanismo de busca no ciberespaço para ativos expostos.
  • ONYPHE - mecanismo de busca de defesa cibernética para dados da internet.

9. GEOINT e Inteligência por Satélite

As ferramentas de inteligência geoespacial respondem à pergunta “onde” por meio de imagens e sinais provenientes da órbita, cada vez mais provenientes de constelações comerciais, em vez de satélites governamentais. O mercado de imagens de satélite comerciais atingiu cerca de US$ 6,6 bilhões em 2025, com os compradores dos setores governamental e de defesa representando quase metade (Precedence Research, Mercado de Imagens de Satélite Comerciais, 2025).

O radar de abertura sintética e o mapeamento por radiofrequência tornaram essa camada utilizável mesmo com cobertura de nuvens e à noite, o que alterou o que os analistas de código aberto podem verificar por conta própria.

  • Maxar - imagens ópticas de satélite de alta resolução.
  • Planet Labs - imagens da Terra atualizadas diariamente.
  • BlackSky - monitoramento geoespacial em tempo real.
  • HawkEye 360 - análise geoespacial por radiofrequência.
  • ICEYE - constelação de radares de abertura sintética.
  • Umbra - SAR comercial de alta resolução.
  • Satellogic - imagens ópticas de alta frequência.

10. Monitoramento da mídia e percepção da situação

As ferramentas de consciência situacional transformam o fluxo contínuo de notícias, publicações nas redes sociais e dados de sensores em alertas antecipados sobre eventos que afetam a segurança física e a reputação. Equipes de segurança corporativa, redações e centros de operações governamentais utilizam essas ferramentas para tomar conhecimento de um incidente em questão de minutos, em vez de horas.

A rapidez é o que importa: identificar o evento, alertar a equipe e fornecer informações preventivas antes que a notícia venha a público.

  • Dataminr - detecção de eventos em tempo real a partir de sinais públicos.
  • Zignal Labs - inteligência narrativa e de mídia em tempo real.
  • Janes - defesa e análise de inteligência de código aberto.
  • Água de degelo - monitoramento da mídia e análise de redes sociais.
  • Samdesk - detecção de crises globais.
  • Ontic - plataforma conectada de inteligência de segurança.
  • Everbridge - gerenciamento de eventos críticos e alertas.

11. Infraestrutura de pesquisa e OPSEC

As ferramentas de infraestrutura e OPSEC são aquelas que os investigadores utilizam, e não aquelas que consultam. Essa camada abrange a estrutura de coleta de dados, a navegação com atribuição gerenciada e a disciplina de registro de casos, que mantêm uma investigação produtiva e segura. É a categoria menos glamorosa e, sem dúvida, a que arca com a maior carga de trabalho: todas as outras ferramentas desta lista são tão boas quanto os dados aos quais conseguem acessar com segurança.

A questão da OPSEC não é meramente teórica. No momento em que um alvo percebe que um endereço IP corporativo ou de um data center está realizando sondagens em sua rede, a investigação fica comprometida; e, cada vez mais, os investigadores recorrem a configurações de atribuição gerenciadas, criadas especificamente para esse fim, justamente para evitar isso (SANS: O que são “sock puppets” no OSINT, 2025).

  • Massive - rede de proxies residenciais e Web Render API para a coleta de dados públicos da web a partir de origens reais de dispositivos de consumidores em mais de 195 países.
  • Authentic8 Silo - navegação isolada com atribuição controlada.
  • Ntrepid - plataformas gerenciadas de atribuição e atribuição incorreta.
  • Bright Data - infraestrutura de coleta de dados da web.
  • Hunch.ly - captura automática de provas da internet para investigações.
  • SpiderFoot - coleta e correlação automatizadas de OSINT.
  • Lampyre - análise de dados e automação de OSINT.

12. Perícia digital e provas

As ferramentas de perícia digital recuperam e preservam provas de dispositivos e fontes de dados de maneira defensável e pronta para ser apresentada em tribunal. É nesse momento que uma investigação se transforma em um caso. O mercado de perícia digital situou-se na faixa de US$ 13 bilhões a US$ 15 bilhões em 2025, segundo as principais empresas de pesquisa de mercado, crescendo a uma taxa anual na casa dos 10% (Precedence Research, Mercado de Perícia Digital, 2025).

A cadeia de custódia e a reprodutibilidade caracterizam essa categoria. O resultado final deve resistir ao escrutínio de um advogado de defesa.

  • Cellebrite - extração forense de dispositivos móveis.
  • Magnet Forensics - investigação digital e análise de provas.
  • Oxygen Forensics - perícia forense em dispositivos móveis e na nuvem.
  • MSAB - perícia forense em dispositivos móveis para as autoridades policiais.
  • Exterro - descoberta eletrônica e investigação forense.
  • OpenText EnCase - suíte de perícia digital de longa data.
  • Nuix - análises investigativas para grandes volumes de dados.
  • Belkasoft - perícia digital e resposta a incidentes.

De onde vêm, de fato, os dados

Todas as categorias acima compartilham uma dependência que raramente recebe uma seção própria: coletar dados públicos da web em tempo real e em grande escala, do local certo, sem ser bloqueada ou detectada. Uma plataforma de investigação é um gráfico composto pelos dados que conseguiu recuperar. Um monitor da dark web está atualizado apenas até o momento de sua última coleta bem-sucedida. Uma ferramenta de busca de pessoas que sofre limitação de taxa retorna registros desatualizados.

Essa é a camada de coleta, e é nela que o Massive se encaixa. O Massive opera uma rede de dispositivos de consumidores reais em mais de 195 países; assim, uma solicitação a uma fonte pública chega parecendo tráfego local orgânico, em vez de uma sondagem de data center. Sobre essa rede está a Web Render API, que retorna HTML limpo ou Markdown a partir de qualquer fonte pública, em qualquer local (Documentação abrangente sobre o produto, 2026). Para equipes que implementam agentes de IA ou pipelines em páginas ativas, essa saída em Markdown é inserida diretamente em um prompt. Para uma equipe de OSINT, isso significa duas vantagens práticas: é possível acessar fontes com restrições geográficas ou propensas a bloqueios como um usuário local, e é possível manter a operação discreta enquanto isso ocorre. Em nosso trabalho com equipes de dados e investigações, o ponto crítico raramente é a ferramenta de análise. É a solicitação ser sinalizada ou bloqueada geograficamente antes mesmo que a página seja carregada, o que silenciosamente paralisa todo o processo a jusante.

A rede é obtida de forma ética, com cada endereço IP cadastrado voluntariamente por meio do SDK da Massive, e a empresa é auditada segundo a norma SOC 2, está em conformidade com o GDPR e possui certificação AppEsteem. Para trabalhos de investigação que possam resultar em um relatório ou em um tribunal, essa trilha de auditoria, desde a fonte até a solicitação, não é apenas um recurso opcional.

Está criando ou executando uma coleta de OSINT em grande escala? Veja como a camada de coleta da Massive lida com alvos difíceis

Dê uma olhada

A pilha continua crescendo

O campo de OSINT em 2026 é mais amplo e profundo do que qualquer lista de 10 ferramentas possa abranger. São 93 fornecedores em 12 categorias, e os limites continuam se expandindo à medida que a IA reformula tanto a forma como os analistas trabalham quanto o que eles precisam verificar. Duas forças definirão o próximo ano: a consolidação contínua, à medida que os pacotes de ferramentas absorvem ferramentas pontuais, e uma crescente valorização da coleta segura e confiável, à medida que os alvos se tornam mais hábeis em detectar e bloquear atenção indesejada.

Seja qual for a prateleira do armário em que o senhor trabalhe, a mesma questão está sempre presente: o senhor consegue acessar os dados de que precisa, a partir do local em que precisa parecer estar, sem comprometer a operação? Se essa camada estiver correta, o restante da pilha cumpre sua função.

Fontes

Perguntas frequentes

Quais são as principais categorias de ferramentas OSINT em 2026?+

A pilha de OSINT em 2026 abrange 12 categorias funcionais: investigação e análise de ligações, inteligência social e narrativa, dark web e exposição a violações, inteligência de ameaças, busca de pessoas e registros, triagem corporativa e de sanções, perícia em criptomoedas, reconhecimento da superfície de ataque, GEOINT, monitoramento de mídia, infraestrutura de pesquisa e OPSEC, e perícia digital.

As ferramentas OSINT são gratuitas ou pagas?+

Ambos, e essa distinção é importante. As ferramentas gratuitas predominam nas consultas de nomes de usuário, na extração de metadados e no reconhecimento básico. As camadas de maior valor, como dados de violações na dark web, perícia em criptomoedas, imagens GEOINT e infraestrutura de atribuição gerenciada, são quase inteiramente comerciais, pois os dados subjacentes e sua coleta são caros de manter.

O que é OPSEC no contexto do OSINT e por que isso é importante?+

OPSEC significa segurança operacional: manter a investigação invisível para o alvo. Se um alvo perceber que um endereço IP corporativo ou de um data center está realizando sondagens em sua direção, a investigação estará comprometida. Os investigadores utilizam navegação com atribuição gerenciada e redes de coleta residenciais para que suas solicitações pareçam tráfego local comum; é por isso que a infraestrutura constitui uma categoria à parte.

Qual é o tamanho do mercado de OSINT?+

As estimativas para o mercado global de OSINT em 2025 variaram entre cerca de US$ 11,6 bilhões e US$ 12,7 bilhões, com previsões de crescimento entre 20% e 28% ao ano, de acordo com empresas como a Global Market Insights e a The Business Research Company. Os números variam amplamente de acordo com a empresa e o escopo; portanto, considere-os como orientativos, e não como definitivos.

Por qual ferramenta de OSINT um investigador deve começar?+

Comece com uma plataforma de análise de links, como o Maltego, para organizar entidades e relações; em seguida, adicione categorias conforme as necessidades do trabalho: dados de violações para casos de fraude, análise forense de blockchain para casos envolvendo criptomoedas e GEOINT para verificação física. Por trás de tudo isso, uma camada de coleta confiável determina a quantidade de dados que você pode realmente acessar.