← Notas
2026.04.097 min

OPSEC para founders: qué pasa cuando tu Calendly es un radar

Tu Calendly dice en qué zona horaria estás, cuándo dormís y cuándo tenés huecos. Múltiplicalo por LinkedIn, Twitter y conferencias. Radar completo.

OPSECfoundersexposición-pública

Hay una categoría de error que no aparece en ningún pentest ni en ninguna auditoría de código: la información que vos mismo publicás, sistemáticamente, sin darte cuenta de lo que comunica en conjunto.

A esto le llamo huella de exposición. No es un dato puntual — es la integración en el tiempo de todas las señales que emitís. Para un atacante que te estudia antes de apuntarte, es una mina de oro. Y la mayoría de founders la alimentan ellos mismos, diaria y voluntariamente.

El Calendly como radar en tiempo real

Abrí un link de Calendly cualquiera. Mirá qué te muestra:

  • Zona horaria. Exacta. Detecta la tuya por navegador, pero el anfitrión está configurado con la suya.
  • Horario laboral. Sabés que empieza a las 9am hora local y termina a las 6pm.
  • Huecos disponibles. Cuándo está ocupada la agenda, cuándo está libre.
  • Días que no trabaja. Fines de semana, viernes a la tarde, feriados locales.
  • Duración de reuniones típicas. 30 min vs 60 min te dice qué tipo de conversaciones prioriza.

Con un scrape semanal automatizado, en un mes sabés:

  • En qué zona horaria vive (útil si vos querés encontrarlo físicamente).
  • Si viajó (cambiaron los huecos, hay días enteros bloqueados).
  • Cuándo duerme (huecos constantes 11pm-8am hora local).
  • Qué tan ocupado está (proxy de cómo le va al negocio).
  • Si tiene familia (huecos recurrentes los jueves 4-5pm típicamente = llevar al pibe a algo).

Nada de esto es "información sensible" por sí sola. En conjunto, es un perfil operacional.

El efecto multiplicador

El Calendly no existe en el vacío. Está al lado de:

LinkedIn. Tu ciudad actual. Tus trabajos previos. Tus conexiones (si un atacante mapea contactos, encuentra a tu asistente, tu contador, tus co-founders — vectores indirectos). Tus posts cronológicos, que dicen dónde estuviste.

Twitter/X. Tus horarios de actividad (tiempos de respuesta, timestamps). Los eventos que asistís ("nos vemos en Devconnect"). Las fotos con geolocalización residual aunque el JPEG no tenga EXIF (landmarks reconocibles). Los threads de tus co-founders que mencionan dónde están.

Conferencias públicas. Tu sitio web dice "speaker en ETHDenver". Esa conferencia tiene agenda publicada, incluye tu slot. Alguien sabe exactamente dónde vas a estar, cuándo, y en qué hotel por los acuerdos publicados.

Email from-address. Mandás desde founder@tustartup.com. El WHOIS del dominio (si no tenés privacy) muestra tu nombre real, dirección personal, teléfono. El historial del dominio en archive.org muestra versiones previas con más data.

GitHub. Tu ritmo de commits (timezone, horario de actividad). Commits con email personal en el metadata. Repos privados que fugan nombres de colaboradores, clientes, infraestructura.

Todo eso junto, un atacante motivado lo construye en una tarde. Yo lo hago para clientes como parte de la review inicial, y siempre los asusta ver todo consolidado.

El caso que ilustra el punto

Founder Web3, LatAm, treasury de 8 figuras. Revisión rutinaria. Lo que encontré publicado, todo legítimamente público:

  • Calendly con zona horaria UTC-3 (Argentina).
  • LinkedIn con "Buenos Aires".
  • Tweet de hace 2 meses: "finalmente conseguí barrio tranquilo en Palermo, disfrutando el cambio".
  • Instagram de la esposa (cuenta pública): foto de la terraza con el skyline, vista identificable.
  • Google Street View cruzado con el skyline: se reduce a ~6 edificios en un radio.
  • Padron electoral (leak de 2021): domicilio exacto.

Desde "perfil de LinkedIn público" hasta "dirección física" me llevó 40 minutos. No sé hackear nada. Solo leo.

Esto no es paranoia abstracta. En LatAm, secuestro express y extorsión focalizada contra founders cripto subieron significativamente en los últimos 3 años.

Qué se puede hacer sin volverse invisible

La idea no es desaparecer — seguís teniendo un negocio, seguís vendiendo, seguís hablando en público. La idea es reducir lo que emitís sin beneficio claro.

Calendly / agenda pública

  • Zona horaria proxy. Tenés opciones como [Flatmates](https://flatmates.com) o configurar manualmente una TZ distinta a la real. Si reciben de la misma TZ que los viste, perfecto; si no, se ajustan. No es infalible pero rompe el análisis automatizado.
  • Buffer generoso. No muestres "disponible 9am a 6pm cada día". Mostrá solo algunos huecos específicos. Menos señal.
  • Sin fines de semana, sin early morning. Huecos solo en horario neutro tipo 11am-4pm. No revelás cuándo dormís.
  • Requerir aprobación. Calendly permite "solicitar reunión", donde vos confirmás. Los que requieren mucho scraping no pueden hacerlo en escala si hay revisión manual.

LinkedIn

  • Privacy estricta. Desactivá "mostrar cuando estoy online". Ocultá la lista de conexiones a terceros. Desactivá el "quién vio tu perfil" recíproco (vos ves menos, ellos ven menos).
  • No mencionés ciudad. "Latin America" o nada. Si tu rol lo requiere, un país, pero no ciudad.
  • No confirmés que estás en evento X. Comentá después, no antes.

Twitter/X

  • Desactivá geolocalización en todo tweet. Pasó mucho tiempo, pero todavía veo founders tweeteando con ubicación.
  • No respondas en tiempo real consistentemente. El patrón "responde cada 15 min de 9am a 10pm hora X" es una firma.
  • Fotos sin landmarks identificables. Ese café famoso en tu ciudad te delata la ciudad.
  • No anuncies viajes por adelantado. "Estaré en Lisboa la semana que viene" = casa vacía + ubicación conocida.

Email y dominios

  • Alias en vez de dirección principal. Usá algo como [SimpleLogin](https://simplelogin.io) (integrado con Proton) o Apple's Hide My Email. Un alias por contexto: ventas@, prensa@, personal@. Si uno se filtra, lo quemás.
  • Domain privacy siempre. Cloudflare Registrar da privacy gratis. Otros cobran USD 10/año, vale cada peso.
  • Dominio separado para operaciones internas. No uses el mismo @tustartup.com que figura público para todo. Alias internos en un dominio distinto que no esté indexado.

Foto de eventos y conferencias

  • Pide que no te taggeen en vivo. Que suban fotos al día siguiente, no en el momento.
  • Hotel diferente al publicado. Si el evento tiene "hotel sede", quedate en otro. Sobre todo si sos speaker conocido.
  • Uber no, taxi sí (en contexto de seguridad alta). Uber guarda ruta con tu cuenta; el taxi no se asocia a tu identidad.

Cómo lo manejamos para clientes en riesgo

Para founders con exposición real (treasury grande, doxxing previo, amenazas concretas), tenemos un proceso de "exposure footprint audit" donde:

1. Mapeamos todo lo público (no usamos nada no-público — todo lo que ve un atacante externo). 2. Clasificamos por criticidad: qué revela ubicación, qué revela rutina, qué revela patrimonio. 3. Priorizamos fixes por impacto vs esfuerzo. 4. Implementamos juntos: configuración de privacy, alias, cleanup de posts viejos, opt-out de data brokers, rotación de infraestructura. 5. Rechequeamos trimestralmente. Cosas nuevas aparecen: posts de otros que te mencionan, artículos de prensa, leaks nuevos.

No todos los clientes necesitan esto. La mayoría necesita el 20% más simple: Calendly con TZ neutra, LinkedIn cerrado, fotos sin geolocalización. Eso solo baja el ruido enorme.

Si sos founder y tenés treasury visible, si hablaste de cripto con tu nombre real, si te invitan a conferencias — vale la pena sentarse una hora a mirar qué está diciendo tu huella. No lo que creés que dice. Lo que dice.