Ciberseguridad

Estratégica
 Técnicas de pentesting
Técnicas de Se pueden ejecutar
pentesting: Este pruebas de penetra-
tipo de pruebas ción a equipos inde-
nos permiten pendientes e incluso
evaluar el nivel a un equipo personal;
de seguridad de es evidente que la pro-
las infraestructu- fundidad con la que
ras tecnológicas, se realizan este tipo
gracias a ellas se de pruebas no será la
pueden descubrir misma que la aplicada
una gran cantidad por un pentester pro-
de huecos en los fesional, pero llevar a
activos críticos de cabo pruebas de pene-
las organizacio- tración de este tipo permitirá encontrar los puntos vulnerables
nes. más visibles, facilitando la implantación de controles de seguri-
dad y medidas preventivas para evitar intrusiones y comporta-
mientos no esperados en el equipo evaluado.

¿Qué es una prueba de penetración?

Acerca de Consiste en evaluar cuál es el nivel de seguridad de una orga-

nización con relación a los controles de seguridad implementa-
dos. Típicamente se conoce como “Penetration Test”, “Test de
Penetration” o simplemente Pentesting.
La acción “Cibertalento
Edoméx 2022”, tiene
como finalidad principal
¿Qué son las pruebas de penetración?
apoyar e incentivar el
desarrollo profesional
de personas interesa- Simular ataques reales para evaluar el riesgo asociado con
das en temas de ciber- posibles brechas de seguridad. El pentester no solo descubre
vulnerabilidades que pueden ser utilizadas por ciberdelincuen-
tes, sino también explota las vulnerabilidades donde sea posi-
ble, para evaluar lo que un atacante podría obtener después
de una explotación exitosa.
De igual manera por otro lado implica:
- Realizar pruebas ofensivas contra los mecanismos de defen-
sa tanto físicos como digitales.
- Llevar a cabo un análisis bajo situaciones extremas el com-
portamiento de los sistemas de defensa.
- Detectar vulnerabilidades, así como faltas de controles y las
brechas que pueden existir en la información.

1
 ¿Cuáles son algunas técnicas de revisión?
- Revisión de documentación para el tratamiento de incidentes
de seguridad por parte de la organización.
- Revisión de logs de sus sistemas.
- Revisión de conjunto de reglas (ruleset) de sus controles de
seguridad perimetrales como Firewalls.
- Revisión de configuraciones de los sistemas operativos.
- Revisión del tráfico que circula dentro de la red con herra-
mientas de snnifing, como pudiera ser la herramienta Wires-
hark.
- Revisión de integridad de archivos.

¿Qué políticas podemos examinar?

Por su parte dentro de la revisión de la documentación es posible llevar a cabo
la revisión de los siguientes documentos:
• Política de Contraseñas seguras.
• Política de Logs.
• Política de Cifrado.
• Política de actualizaciones.
• Política de respaldos.

¿Qué actividades comprende un Penetration

Test?
Existe una primera etapa que es de gran importancia y no
debe omitirse por ninguna razón, en esta etapa se establece
la autorización por parte del solicitante de las pruebas de pe-
netración esta acción es una de las que marcan la diferencia
entre un pentester y un hacker. En algunas metodologías, así
como en cursos de capacitación para pentesters se menciona
que no se puede lanzar ni un simple ping si no se cuenta con
la autorización firmada por el solicitante, esta autorización es
muy importante, ya que será el respaldo legal ante cualquier
problema existente en el proceso de evaluación. Este docu-
mento de autorización debe contener al menos los siguientes
datos:

2
• Fecha y hora de inicio de las pruebas.
• Fecha y hora de término de las pruebas.
• Equipos para evaluar, especificando dirección IP.
• Nombre del equipo o persona que realizará las pruebas.
• Datos de contacto del equipo o persona que realizará las
pruebas.
• Nombre del solicitante de las pruebas.
• Firma de conformidad del solicitante.

La segunda etapa de las pruebas de penetración es el re-

conocimiento y la identificación de vulnerabilidades, esta
etapa permite identificar la información públicamente ac-
cesible. Muchas veces en bases de datos publicadas en
internet, en sitios web en caso de contar con ellos, en ser-
vidores ftp, hasta los perfiles de solicitud de personal pue-
den brindar mucha información valiosa para el pentester.
Si no se tiene información del equipo a evaluar, se irá
recabando poco a poco con búsquedas públicas. De esta
forma se puede detectar si se está divulgando más in-
formación de la que se debe, si se está publicando infor-
mación confidencial o simplemente si se están brindando
pistas a un hacker o individuo mal intencionado.
Una herramienta muy útil para esta tarea es whois, la cual brinda información deta-
llada sobre un sitio, los datos que se pueden recabar con whois son los siguientes:

• Fechas de registro del dominio.

• Personas asociadas con el dominio.
• Nombre del servidor.
• Fecha de actualización del dominio.
• Fecha de expiración del dominio.
• Quién registró el dominio.

El escaneo de vulnerabilidades permite identificar debilidades en el sistema eva-

luado, toma como base los detalles obtenidos durante las fases previas, el objeti-
vo es identificar el método de ataque más efectivo y prever el tipo de información
que se obtendrá cuando se explote la vulnerabilidad encontrada. Se debe tomar
el mismo enfoque que tomaría un atacante real, ver a la organización como un
adversario potencial e intentar causarle el mayor daño posible. Existen distintos
métodos para descubrir vulnerabilidades, así como también existen distintas
herramientas automatizadas que pueden ayudar en esta fase. Se mencionan a
continuación algunas técnicas que pueden ser utilizadas para descubrir vulnera-
bilidades:

3
 1. Verificar la versión de software: Es una de las
técnicas más comunes, basta con identificar el
número de versión y compararlo con las listas de
versiones vulnerables públicas gratuitamente en
distintos sitios de seguridad. En este punto, se
deben verificar también los parches y upgrades
aplicados que podrían eliminar la vulnerabilidad.
Aquí podrían ser utilizadas las herramientas libres
nmap y amap.
2. Verificar la versión del protocolo de comunicación:
Probablemente la versión de software no contenga
vulnerabilidades, pero podría usar algún protocolo
de red con problemas de seguridad.
3. Verificar la configuración: Es necesario analizar los
diferentes accesos que se podrían dar, remotos,
locales y con distinto tipo de privilegios, no bas-
ta solo con analizar si se tiene configuración por
default, es necesario revisar si las configuraciones
aplicadas por el administrador bastan para evitar
problemas de seguridad.

En la tercera etapa y una vez identificado el método de ataque de mayor viabili-

dad, es necesario considerar cómo se tendrá acceso al objetivo, es decir, llega
la fase de ataque y explotación. Es la parte más interesante de la ejecución de
pruebas de penetración y la que lo hace diferente a un escaneo de vulnerabilida-
des, muchas veces llamado incorrectamente “análisis de vulnerabilidades”, donde
solo se llega hasta la etapa anterior, solo se localizan las vulnerabilidades sin
comprobar si pueden ser explotadas.

Esta etapa dependerá totalmente de los resultados obtenidos en las etapas

anteriores, por lo que cada prueba será diferente de acuerdo con los servicios
existentes y las vulnerabilidades presentes. En esta etapa se pueden realizar
distintas acciones como resultado de la explotación, por mencionar algunas:

• Copiar archivos hacia el objetivo.

• Copiar archivos desde el objetivo.
• Visualizar tráfico confidencial.
• Reconfigurar el objetivo.
• Instalar software.
• Tomar control total.
• Causar negación de servicio.
• Usar un objetivo para llegar a otro.
• Obtener contraseñas.

4
Existe una vasta cantidad de herramientas para explotar vulnerabilidades, hay si-
tios donde pueden ser encontrados exploits independientes y existen frameworks
completos de ataque, uno de los más útiles e importantes es Metasploit, el cual
contiene cientos de exploits aplicables a distintos sistemas operativos, a distintos
servicios y a distintas versiones, contiene tres tipos de interfaces que facilitan la
ejecución.

La etapa final y la más importante, es la creación del reporte de hallazgos, ya

que es en esta fase donde se comunica qué se hizo, cómo se hizo y cómo la
organización puede eliminar las vulnerabilidades detectadas durante el análisis,
por lo que es de gran importancia generar reportes con la mayor calidad posible.

El formato de un reporte puede ser muy variable, pero a continuación se mues-

tran algunos puntos que deben ser presentados:

• Tabla de contenido.
• Resumen ejecutivo.
• Metodología utilizada.
• Hallazgos ordenados de acuerdo con el impacto.
• Evidencia detallada incluyendo screenshots del hallazgo.

Es recomendable presentar la evidencia de manera

jerárquica, ya que tomando como hecho que todas las
vulnerabilidades deben ser eliminadas, existen algunas
que pueden representar mayor impacto a la organiza-
ción, por lo que es prioritaria la solución inmediata.

Es posible creer que el reporte no es importante cuando

se realiza un pentest interno, pero es necesario tener
una bitácora que almacene el historial de los problemas
de seguridad que se han tenido, esto podría ayudar a
resolver problemas en el futuro.

Antes de iniciar el pentesting, el pentester debe llevar a

cabo una interacción de pre-engagement con el cliente
para asegurarse que todos los involucrados están en la
misma sintonía acerca del alcance del pentesting.
Errores de comunicación entre el pentester y el cliente quien espera por ejemplo
un simple escaneo de vulnerabilidad puede llevar a una situación difícil porque el
pentesting es mucho más intrusivo.

5
 Si este es su primer pentest algunas preguntas que podemos hacer a las partes
interesadas son:

• ¿Qué los impulsó a encontrar o contratar un pentester?

• ¿Qué exposiciones o brechas son por los que están más preocupados?
• ¿Cuentan con algún dispositivo sensible con el que se tenga que tener cuida-
do al realizar el pentes?
• Se recomienda realizar preguntas sobre el negocio de su cliente. ¿Qué es lo
que más les importa?

Por ejemplo, para un proveedor líder en línea, las horas de inactividad podrían
significar miles de pesos en ingresos perdidos.

Los documentos finales del acuerdo de pentesting deben de incluir:

• Quien lo elaboró.
• Para quién se elabora.
• Fecha del acuerdo.
• Partes interesadas.
• Cláusulas del acuerdo.
• Sección de Anexos.

6
¿Qué son las pruebas de penetración?
La recopilación de información es la forma de recopi-
lar toda la información relevante de forma pública de
fuentes disponibles, y a menudo se conoce como Open
Source Intelligence (OSINT).
El reconocimiento pasivo y/o activo a través de OSINT
ocurre durante el primer paso de la metodología de un
hacker cuando desea realizar una prueba de penetra-
ción o un ataque contra un objetivo de red o servidor.
Un atacante normalmente dedicará hasta el 75% del
esfuerzo de trabajo general para una prueba de penetra-
ción a la fase del reconocimiento, ya que es esta fase la
que permite definir, mapear y definir el objetivo explora-
do las vulnerabilidades que eventualmente conducirán a la explotación.

Intentando comprometer un sistema

El rápido diseño del software, junto con el testing insuficiente al que se le some-
te, provocan que estas aplicaciones contengan errores (Bugs) importantes, los
cuales, un usuario malintencionado (hacker malicioso) puede aprovechar para la
ejecución de código malicioso en la máquina donde esté instalado el programa.

Estos errores provocan que nuestro sistema sea vulnerable a un ataque desde
el exterior comprometiendo así toda la información valiosa que se guarde en la
máquina atacada.

Análisis de vulnerabilidades
El objetivo del análisis de vulnerabilidad es encontrar las fallas de seguridad que
tienen más probabilidades de ser atacados en el objetivo final del pentester para
una denegación de servicio, robo o modificación de datos.

El análisis de vulnerabilidad durante la fase de explotación del kill chain o cadena

de eliminación se centra en obtener acceso para lograr el mapeo de las vulne-
rabilidades para alinear los exploits que se utilizarán para mantener el acceso
persistente al objetivo.

7
 ¿Qué son las pruebas de penetración?

Generalmente las infraestructuras de TI están bajo ataque y los atacantes quie-

ren acceder a nuestros activos. Los activos son cualquier cosa de valor para una
organización, como datos y otra propiedad intelectual,
servidores, computadoras, teléfonos inteligentes, tabletas
Una amenaza se puede definir como un peligro potencial
para un activo como pueden ser los datos o la red misma.

En el contexto de la seguridad de la información, una vul-

nerabilidad se define como una debilidad que se encuen-
tra en un activo o en un control y que puede ser explotada
por una o más amenazas, lo que deriva en un riesgo de
seguridad.

Por su parte el riesgo debe entenderse como la probabi-

lidad de que una amenaza explote una vulnerabilidad y
genere un impacto adverso en su confidencialidad, integridad o disponibilidad.

Vector de ataque
No se puede iniciar un ataque desde Internet contra una máquina en particular o
contra la infraestructura de una organización sin, antes habernos preparado en
profundidad y haber aprendido todo lo que podamos sobre la organización.

Los vectores de ataque en el campo de la ciberseguridad se refieren a los me-

dios que permiten a los actores maliciosos transmitir malware, con el propósito
de obtener beneficios económicos.

Algunos ejemplos de vectores de ataques son:

• Cloud computing
• Advanced Persistens Threats (APTs)
• Virus & Worms
• Ransomware
• Insider Attacks
• Web Applicactions
• IoT

8
¿Qué es un exploit?
Un exploit es un programa diseñado y enfocado a explotar (aprovechar) un fallo,
error o vulnerabilidad de un software informático, con el fin de ejecutar código en
la máquina atacada y conseguir acceso a la misma.

Los exploits suelen estar escritos en lenguaje C o en Perl, también se puede

encontrar en formato HTML o escritos en lenguaje de scripting, por ejemplo, un
archivo “.bat” para plataformas Windows o un archivo “.sh” para el sistema ope-
rativo GNU/Linux.

Entre los tipos de exploits que podemos encontrar tenemos:

Exploits Locales: son aquellos exploits que se ejecutan

en el sistema de la máquina objetivo del ataque, su
finalidad suele ser conseguir que un usuario con permi-
sos restringidos sea capaz de escalar privilegios, hasta
obtener permisos de administrador.

Exploits Remotos: estos exploits se ejecutan en una

máquina que no es objetivo del ataque, esta máquina
por lo general se encuentra en Internet o en la red local
donde está conectado el objetivo.

Los pentesters o hackers éticos deben encontrar los exploits particulares que
comprometerán las vulnerabilidades conocidas y sospechadas. El primer lugar
para comenzar la búsqueda es en sitios de los fabricantes; la mayoría de los
fabricantes de hardware y aplicaciones divulgan información sobre vulnerabilida-
des cuando lanzan parches y actualizaciones.

CVSS
En un ambiente donde los riesgos se encuentran en constante cambio, las ame-
nazas son dinámicas y los recursos son limitados, resulta fundamental priorizar
la aplicación de medidas de seguridad, luego de identificar las vulnerabilidades.
Sin embargo, la complejidad radica en definir una escala y los criterios que per-
mitan transformar los datos obtenidos en información.

9
 Un elemento que aborda esta problemática y que ha sido adoptado por una
cantidad importante de organizaciones y compañías enfocadas en seguridad, es
Common Vulnerability Score System (CVSS).

Se trata de un sistema de puntaje diseñado para proveer un método abierto y es-

tándar que permite estimar el impacto derivado de vulnerabilidades identificadas
en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que
pueden representar dichas vulnerabilidades. Actualmente se utiliza la versión 3.

CVSS se encuentra bajo la custodia de Forum of Incident Response and Security

Teams (FIRST), pero se trata de un estándar completamente abierto, por lo que
puede ser utilizado libremente.

Resulta común identificar el uso de CVSS en bases de datos de vulnerabilidades

públicamente conocidas como National Vulnerability Database (NVDB), Com-
mon Vulnerabilities and Exposures (CVE) u Open Source Vulnerability Database
(OSVDB).

Buscando vulnerabilidades
En la actualidad y debido a la gran cantidad de bugs que se han encontrado en
los sistemas operativos y aplicaciones informáticas, existen bases de datos que
contienen información acerca de la vulnerabilidad, quién la descubrió, qué clase
de vulnerabilidad es, cómo se explota, qué resultados provoca, cuáles son los
sistemas y versiones afectados y si la hay, cuál es la solución.

Existen varias clasificaciones que describen y ordenan las diferentes vulnerabili-

dades que se han descubierto; una de las más importantes es la base de datos
bugtraq, la cual se actualiza muy frecuente y es vital para encontrar mucha infor-
mación acerca de los errores detectados de un software.

10
Clasificaciones de las vulnerabilidades más comunes
Entre las clasificaciones de las vulnerabilidades informáticas podemos encontrar:

• Errores de configuración.
• Instalaciones por defecto.
• Buffer Overflows.
• Servidores sin parchar.
• Fallas de diseño.
• Fallas del sistema operativo.
• Fallas en la aplicación.
• Puertos abiertos.
• Contraseñas por defecto.

Clasificaciones de las vulnerabilidades más comunes

El análisis de vulnerabilidades se considera como un ejercicio para descubrir de-
bilidades de cualquier tipo de activo de TI que afecte o comprometa la seguridad
de la organización y la podemos agrupar en función de los pasos involucrados
en la evaluación de vulnerabilidades:

• Examinar y evaluar la seguridad física.

• Revisar por ausencias de configuraciones y errores humanos.
• Ejecutar herramientas de escaneo de vulnerabilidades.
• Identificar y priorizar las vulnerabilidades.
• Aplicar contexto del negocio y tecnológico para los resultados del escaneo.
• Realizar obtención de información OSINT para validar las vulnerabilidades.
• Crear reporte con los resultados del análisis de vulnerabilidades.

11
 Vector de ataque
Cuando se quiere comprometer una máquina la primera medi-
da es prepararse. Aquí hacemos la puntualización de máquina
y no de alguien que esté detrás de la misma, porque indepen-
dientemente de lo que nos parezca, vamos a luchar primero
con el equipo (computadora con sus medidas de seguridad) y
después con la inteligencia detrás del mismo.
No se puede iniciar un ataque desde Internet contra una máqui-
na en particular o contra la infraestructura de una organización
sin, antes habernos preparado en profundidad y haber aprendi-
do todo lo que podamos sobre la organización.

Técnicas de reconocimiento
¿Qué es lo que realizaría un ciberdelincuente inicialmente para conformar su
vector de ataque?

Un hacker inicialmente aplicaría una metodología de footprinting, la cual es una

manera procedimental de recolectar información acerca de una organización
objetivo desde todos los recursos disponibles.

Footprinting, es el primer paso en el Ethical Hacking, se refiere al proceso de

recolectar información acerca de la red objetivo y todo su ambiente. Con el uso
de Footprinting el Hacker puede encontrar varias maneras de introducirse dentro
de los sistemas que se encuentran en red de la organización.

Inicia con el seguimiento de un objetivo basado en:

• Nombre del dominio.

• Direcciones IP.
• Servicios disponibles TCP/UDP.

Footprinting a través de Google

Footprinting a través del motor de búsqueda es inequívoco en sí mismo. La
gente suele preguntarse ¿qué se puede encontrar a través del motor de búsque-
da suponiendo que sólo es una exploración básica? Pero los resultados dados
por el motor de búsqueda se pueden utilizar a la ventaja del hacker porque son
vastos en naturaleza.

12
Los atacantes utilizan la búsqueda para recopilar información sobre su objetivo,
como plataformas tecnológicas, detalles de empleados, páginas de inicio de
sesión, portales de intranet, etc., lo que ayuda a realizar ingeniería social u otros
tipos de ataques avanzados.

• Los operadores avanzados de Google ayudan a refinar las búsquedas.

• Estos operadores están incluidos como parte de las consultas estándar de
Google.
• La sintaxis que se utiliza con los operadores avanzados es la siguiente:
operador:termino_de_busqueda

El valor predeterminado booleano de Google es AND; eso significa que, si ingre-

sas palabras de consulta sin modificadores, Google buscará todos ellos.

Si buscas, por ejemplo: motocicleta Honda “Valle Azul”, Google buscará todas
las palabras. Ahora bien, si quieres especificar que cualquiera de las palabras
es aceptable, debemos cambiar el valor predeterminado booleano a OR en-
tre cada elemento: motocicleta OR motocross OR “Valle Azul”. Pero si deseas
obtener dos términos de búsqueda, los agrupamos con paréntesis, así: motoci-
cleta (motocross OR “Valle Azul”). Un suplente para OR tomado de lenguajes de
programación es el | (pipe), de manera que al usarlo la expresión quedaría así:
motocicleta (motocross | “Valle Azul”).

La enumeración de hosts y dominios no es algo nuevo, pero recordemos que

estamos llevando a cabo esta acción sin enviar ningún paquete de nuestro dis-
positivo al objetivo que pretendemos analizar.

Lo anterior mencionado trae algunos beneficios:

• Bajo perfil. El objetivo no puede ser nuestra actividad.

• Los resultados son “rankeados” por Google. Significa que la información más
pública flota en el top. Mientras que algunas cosas más interesantes están
cerca del fondo de las búsquedas.
• Google también permite búsquedas de palabras clave en partes específicas
de páginas web utilizando palabras de sintaxis especiales. Estos comandos
adicionales -llamados sintaxis especiales-, permiten a los usuarios de Goo-
gle buscar partes específicas. Esto es útil cuando debes hacer frente a miles
de millones de páginas web y necesita todas las oportunidades posibles para
reducir los resultados de búsqueda.

13
 • Veamos etiquetas. Empecemos con “intitle:” Esta etiqueta restringe la bús-
queda a los títulos de sitios web. Adicionalmente se puede adicionar la va-
riación, “allintitle:” para que se encuentren páginas donde todas las palabras
especificadas conforman el título de esta. Pero es probable que sea mejor
evitar la variante “allintitle:”, para no mezclar otras sintaxis. Algunos casos de
uso podrían ser: intitle: “Marvin Soto”, allintitle: economía del “suministro de
hidrocarburos”.

• La variante “inurl:”, restringe su búsqueda a las URL de páginas web. Esta

sintaxis tiende a funcionar bien para encontrar páginas directamente, porque
tienden a ser de una composición bastante regular. La variación “allinurl:” en
cambio va a encontrar todas las palabras enumeradas en una URL, pero no
combina bien con algunas sintaxis especiales. Ejemplo para esta etiqueta
serian: inurl: ayuda, allinurl: ayuda de búsqueda.

• Tenemos ahora la etiqueta “intext:” la cual busca solo el texto del cuerpo (es
decir, ignora el texto del enlace, las URL y los títulos). La variante “allintext:”,
tiene usos limitados, pero es perfecto para encontrar palabras de consulta
que podrían ser demasiado comunes en las URL o en los enlaces títulos. Por
ejemplo: intext: “yahoo.com”, intext: html.

• La etiqueta “inanchor:” busca texto en los enlaces de enlace de una página.

Por ejemplo, el enlace del enlace en el código HTML <a href = “http://www.
oreilly.com> O’Reilly and Associates </a>, es “O’Reilly and Associates”. Otro
ejemplo sería: inanchor: “cybercom costa rica”.

• La etiqueta “site:”, permite restringir la búsqueda a un sitio o un dominio de ni-

vel superior. AltaVista, por ejemplo, tiene dos sintaxis para esta función (host:
y dominio :), pero Google tiene solo el uno. Analicemos otros ejemplos: site:
cybercom.xyz, site: soto.com, site: edu, site: nc.us

• La etiqueta “link:”, regresa una lista de páginas que enlazan una URL especi-
fica. Si usted por ejemplo escribe: “link:www.google.com”, retornara una lista
de páginas que enlazan el sitio de Google. Podemos incluir el prefijo “http://”;
aunque no es necesario, además Google parece ignorarlo. La etiqueta “link:”
trabaja con mayor profundidad con URLs como http://www.raelity.org/apps/
blosxom/ que sobre entradas comunes como “raelity.org”.

• La etiqueta “cache:” encuentra una copia de la página que Google ha indexa-

do siempre que esta página no este accesible desde hace mucho o que la
URL original haya cambiado o su contenido haya cambiado completamente.

14
• Esta etiqueta es particularmente útil para páginas que cambian con frecuen-
cia. Si Google posee un resultado que pareciera tener algo que ver con su
consulta, podría estar casi seguro de encontrar lo que busca en los últimos
caches de sus páginas. Su sintaxis seria, por ejemplo: cache:www.yahoo.
com.
• La etiqueta “daterange:” limita nuestras búsquedas a una fecha o rango de
fechas en particular en que las páginas fueron indexadas. Es importante
tener en cuenta que la búsqueda no se limita a cuando se creó una página,
sino cuando fue indexada por Google. Entonces, una página creada el 2 de
febrero y no indexada por Google hasta el 11 de abril se puede encontrar
con “daterange: search on April 11”. Recuerde también que Google reindexa
las páginas. Si el rango de fechas cambia depende de si el contenido de la
página ha cambiado. Por ejemplo, Google indexa una página el 1 de junio,
luego la reindexa el 13 de agosto, pero el contenido de la página no ha cam-
biado. La fecha con el propósito de buscar con “daterange:” sigue siendo el 1
de junio.
• “daterange:” funciona en calendario juliano, no con fechas gregorianas (el
calendario que utilizamos todos los días). Hay conversores de gregoriano/
juliano en línea, pero si quieres para buscar en Google sin todas esas tonte-
rías, use la interfaz de FaganFinder para Google, que ofrece búsquedas en
rangos de fechas a través de un menú desplegable con calendario gregoria-
no. Pero bien, veamos algunos de los ejemplos: “Marvin Soto “ daterange:
2452389–2452389; neurocirugía datarange: 2452389–2452389.
• La etiqueta filetype: hace búsquedas de los sufijos o extensiones de archi-
vos. Estos son generalmente, pero no necesariamente, tipos de archivos
diferentes. Me gusta hacer esta distinción, porque la búsqueda de “file-
type:htm” y “filetype:html” darán resultados diferentes, a pesar de que son en
fondo el mismo tipo de archivo. Incluso puede buscar diferentes generadores
de páginas, como ASP, PHP, CGI, etc., suponiendo que el sitio no los es-
conde detrás de la redirección o de un proxy. Google indexa varios formatos
diferentes de tipos de archivos de Microsoft, incluidos: PowerPoint (PPT),
Excel (XLS) y Word (DOC). Algunos ejemplos de búsquedas con esta etique-
ta son: investigación filetype:pdf, “leading economic indicators” filetype:pptx.
• La etiqueta “related:”, encuentra páginas relacionadas con la página espe-
cificada. No todas las páginas están relacionadas con otras páginas. Esta
es una buena forma de encontrar categorías de páginas; una búsqueda por
ejemplo de related: google.com devolvería una variedad de motores de bús-
queda, incluidos HotBot, Yahoo!, y Northern Light.

15
 Footprinting a través de alertas
La búsqueda de información a través de sitios públicos que generan alertas so-
bre cambios en los sitios web, es otra técnica utilizada por los pentesters.

En algunos sitios web existe una característica de agregar alertas. Esta función
le da una alerta si algo cambia en un sitio web en particular; dado que ha aña-
dido una alerta a dicho sitio web. Para ello, vaya google.com/alerts y escriba el
nombre del sitio web al que desea alertar. Y luego haga clic en Crear alerta.

Footprinting a través de alertas

Los atacantes utilizan sitios de redes sociales
como Facebook, Twitter y Pinterest, etc., para
obtener datos importantes y sensibles sobre
su objetivo. A menudo crean perfiles falsos a
través de estos medios sociales para atraer a
su objetivo y extraer información vulnerable.

Los empleados pueden publicar información

personal como el año de nacimiento, antece-
dentes educativos y laborales, nombres de los
cónyuges, etc. e información sobre su empre-
sa, como clientes potenciales y socios comerciales, secretos comerciales de los
negocios, sitios web, noticias futuras de la compañía, fusiones, adquisiciones,
etc.

Open-Source Intelligence
Hay varios puntos de partida cuando se trata de adquirir inteligencia de código
abierto sobre tu objetivo. La primera es mirar a la empresa en general. Como
hacker querrás recopilar información sobre las ubicaciones que tiene la empre-
sa. Hay casos en los que esto puede resultar sencillo. Sin embargo, cada vez
más, puede resultar más difícil. La razón por la que puede ser más difícil es que
las empresas reconocen que cuanta más información proporcionen, más infor-
mación se podrá utilizar en su contra.

La inteligencia de amenazas:

• Se refiere a la colección y análisis de información sobre amenazas.

• Su identificación y mitigación de varios riesgos de negocio, convirtiendo las
amenazas desconocidas en amenazas conocidas.
• Así como centralizar los esfuerzos en implementar varias estrategias de de-
fensa proactivas y avanzadas.

16
Por su parte, la correlación de amenazas:

Es usado por las organizaciones para monitorear, detectar y escalar varias ame-
nazas que se encuentran dentro de las redes de las organizaciones.

Algunas técnicas de correlación comúnmente utilizadas:

• Relacionar múltiples tipos y orígenes de incidentes a través de múltiples

nodos.
• Secuencia del incidente.
• Persistencia del incidente.
• Recopilación de datos orientada a incidentes.

Herramientas para la recopilación de información

Existen varias herramientas en internet para llevar a cabo la recopilación de
información de las infraestructuras de TI de las organizaciones, una de estas
herramientas son los sniffers como Wireshark. Un sniffer es un programa infor-
mático que registra la información que envían los periféricos, así como la activi-
dad realizada en un determinado ordenador.

Otras herramientas de utilidad son:

• DNSCAP: Utilidad de captura de red diseñada específicamente para el tráfi-

co de DNS.

17
 • OpenFPC: es un conjunto de scripts que se combinan para proporcionar una
grabadora de tráfico de red ligera y paquetes completos y una herramienta
de almacenamiento en búfer. Su objetivo de diseño es permitir que los usua-
rios no expertos implementen una grabadora de tráfico de red distribuida en
el hardware COTS mientras se integran en las herramientas existentes de
alerta y registro.
• JUSTNIFFER: No es solo un Sniffer de paquetes TCP de red. Justniffer es
un analizador de protocolo de red que captura el tráfico de red y produce
registros de forma personalizada, puede emular los archivos de registro del
servidor web Apache, rastrear los tiempos de respuesta y extraer todos los
archivos “interceptados” del tráfico HTTP.

NMAP
Nmap fue lanzado originalmente por Gordon Fyodor Lyon en el infame “Phrack
Magazine” Volumen 7 Issue 51. Hoy es aclamado como una de las mejores
herramientas para el reconocimiento de redes y la auditoría de seguridad en la
información industria de seguridad.

La primera versión pública se

introdujo como un escáner de
puertos avanzado junto con
un documento que describe
la investigación sobre técni-
cas para el descubrimiento de
puertos, pero se ha convertido
mucho más. Se ha convertido
en una herramienta esencial
con todas las funciones que
incluye varios otros grandes
subproyectos, como Ncrack,
Ncat, Nping, Zenmap y Nmap
Scripting Motor, todos están disponibles en la página web oficial nmap.org.

¿Cómo iniciar con NMAP?

Para iniciar con la herramienta NMAP, primero debemos ir al sitio web nmap.org
y dirigirnos dentro de la sección de descargas. Dentro de la sección de descar-
gas debemos elegir la última versión estable (al momento de la generación de
este módulo la última versión estable es la 7.80.

18
Con la herramienta NMAP instalada en nuestro sistema operativo podremos
realizar:

• Barridos ping.
• Escaneo de puertos.
• Identificación de servicios.
• Detecciones de direcciones IP.
• Detección de sistemas operativos.

Escaneo de puertos
Antes de iniciar con la herramienta NMAP es importante recordar algunos con-
ceptos básicos de redes y comunicaciones.

Primero recordemos que cuando una máquina quiere ofrecer un servicio (por
el servicio de correo electrónico o página web) se abre un puerto y se espera a
que se realicen peticiones sobre el mismo. Las máquinas que quieren disfrutar
de ese servicio realizan peticiones sobre ese puerto. Recordemos que varias
máquinas se pueden conectar al tiempo a un único puerto, pero las acciones de
lectura/escritura sólo se pueden realizar de una en una.

19
 Inicio y fin de sesión TCP
Seguidamente recordemos que cuando dos dispositivos se comunican utilizan-
do el protocolo TCP, se establece una conexión (conocida como inicio de sesión
TCP) antes de que puedan intercambiarse los datos.

Después de completar la comunicación, se

cierran las sesiones y la conexión finaliza (co-
nocida como fin de sesión TCP). Los mecanis-
mos de conexión y sesión habilitan la función
de confiabilidad de TCP. En la imagen se
presentan los pasos para establecer y terminar
una conexión del TCP.

De manera general debemos recordar que

todos los dispositivos que establecen una
comunicación hacen un seguimiento de cada
segmento de datos dentro de una sesión e
intercambian información sobre qué datos se
reciben mediante la información del encabeza-
do TCP.

TCP es un protocolo full-duplex, en el que cada conexión representa dos

streams de comunicación unidireccionales, o sesiones. Para establecer la cone-
xión los hosts realizan un protocolo de enlace de tres vías. Los bits de control en
el encabezado TCP indican el progreso y estado de la conexión.

El inicio de sesión también conocido como enlace de tres vías considera los
siguientes aspectos técnicos:

Primero: establece que el dispositivo de destino se presente en la red

Segundo: verifica que el dispositivo de destino tenga un servicio activo y que
acepte solicitudes en el número de puerto de destino que el cliente de origen
intenta utilizar para la sesión

Tercero: informa al dispositivo de destino que el cliente de origen intenta esta-

blecer una sesión de comunicación en dicho número de puerto

20
En las conexiones TCP, el cliente del host establece la conexión con el servidor.
Los tres pasos en el establecimiento de una conexión TCP son:

Paso 1. El cliente de origen solicita una sesión de comunicación de cliente a

servidor con el servidor.

Paso 2. El servidor acusa recibo de la sesión de comunicación de cliente a ser-

vidor y solicita una sesión de comunicación de servidor a cliente.

Paso 3. El cliente de origen acusa recibo de la sesión de comunicación de servi-

dor a cliente.

Dentro del encabezado del segmento TCP, existen seis campos de 1 bit que
contienen información de control utilizada para gestionar los procesos de TCP.
Estos campos son los siguientes:

• URG: campo indicador urgente importante.

• ACK: campo de acuse de recibo importante.
• PSH: función de empuje.
• RST: restablecer la conexión.
• SYN: sincronizar números de secuencia.
• FIN: no hay más datos del emisor.

Los campos ACK y SYN son importantes para el análisis del protocolo de enlace
de tres vías.

Puertos TCP/UDP
Recordemos también que dentro del modelo OSI la capa de transporte es quien
se preocupa de la administración de los puertos y los establece en el encabeza-
do de los segmentos, administrando así el envío y reensamblaje de cada seg-
mento enviado a la red haciendo uso del puerto especificado. Un puerto suele
estar numerado para de esta forma poder identificar la aplicación que lo usa.
Decidir a qué programa entregará los datos recibidos. Esta asignación de puer-
tos permite a una máquina establecer simultáneamente diversas conexiones
con máquinas distintas, ya que todos los segmentos que se reciben tienen la
misma dirección, pero van dirigidos a puertos diferentes.

21
 Los números de puerto se indican mediante una palabra de un procesador de
16 bits, por lo que existen 65536 puertos, numerados del 0 al 65535. Aunque
podemos usar cualquiera de ellos para cualquier protocolo, existe una entidad
internacional, la IANA, encargada de su asignación, la cual clasificó en tres ca-
tegorías los puertos TCP y UDP de la capa de transporte, las cuales son:

• Puertos bien conocidos: Los puertos inferiores al 1024 son puertos reser-
vados para el sistema operativo y usados por “protocolos bien conocidos”
como por ejemplo HTTP (servidor Web), POP3/SMTP (servidor correo) y
Telnet. Si queremos usar uno de estos puertos tendremos que arrancar el
servicio que los use teniendo permisos de administrador.

• Puertos registrados: Los comprendidos entre 1024 y 49151 son denomina-

dos “registrados” y pueden ser usados por cualquier aplicación. Existe una
lista pública en la web del IANA donde se puede ver qué protocolo que usa
cada uno de ellos.

• Puertos dinámicos o privados: Los comprendidos entre los números 49152 y

65535 son denominados dinámicos o privados, normalmente se asignan por
los sistemas operativos en forma dinámica a las aplicaciones de clientes al
iniciarse la conexión.

Trazado de rutas
Cuando enviamos un paquete de datos por internet este pasa por una serie de
equipos (routers principalmente) hasta llegar a su destino (la máquina objetivo).
Realizar un trazado de ruta nos indica el camino exacto que sigue el paquete y
nos puede suministrar información muy útil.

El equipo cliente lanza un datagrama IP con tiempo de vida (Time To Live) al

host destino; el primer router con el que se encuentra el datagrama disminuirá el
tiempo a 0 y devolverá un mensaje ICMP “Tiempo excedido” (Timed exceeded),
procediendo a eliminar el datagrama; así tenemos el primer salto de la ruta.

Este proceso se va repitiendo con TTL cada vez mayores de forma que vamos
pudiendo identificar cada uno de los routers entre el cliente y el objetivo destino.

22
Como su propio nombre lo indica, el protocolo ICMP se utiliza para la comproba-
ción de errores o para determinadas situaciones que requieran atención espe-
cial.

Los paquetes ICMP viajan dentro de los paquetes IP y a veces este protocolo se
considera de nivel superior.

Consideración importante
Antes de iniciar con la inducción de la herramien-
ta NMAP es importante que conozcas que este
tipo de herramientas son consideradas como
aplicaciones no autorizadas dentro de las infraes-
tructuras de las organizaciones por el tipo de
información que recolectan.

Por lo tanto, es importante recomendarte no lan-

zar escaneos con esta herramienta -ni con ningu-
na otra similar- sin contar con previa autorización.

Especialmente se recomienda, no ejecutarlo des-

de la red del trabajo.

Si quieres practicar comandos de NMAP puedes usar tu propio equipo, utilizan-

do la dirección IP de localhost 127.0.0.1 como valor para los comandos más
básicos.

Adicionalmente los desarrolladores de la herramienta NMAP ponen a nuestra

disposición los siguientes servidores que se encuentran públicos y están permi-
tidos para ser escaneados de manera moderada por cualquier usuario de Inter-
net, los sitios son:

scanme.nmap.org
analizame2.nmap.org

23
 Tipos de escaneos que podemos realizar con NMAP
Una vez que ya tenemos instalada la herramienta
NMAP dentro de nuestro sistema operativo, al ejecu-
tar por primera vez la herramienta veremos el listado
de parámetros que se pueden pasar como variables
y darle un comportamiento especial a la ejecución del
programa. Dentro del listado veremos una sección
donde se presentan las técnicas de escaneo soporta-
das por NMAP. A continuación, se describen las opcio-
nes más comunes y utilizadas:

TCP Connect (-sT). Esta opción utiliza la llamada

función connect(). Si el puerto está a la escucha, con-
nect() tendrá éxito, de lo contrario, el puerto resulta
inalcanzable.

TCP SYN (-sS). A menudo se denomina a esta técnica escaneo half open (me-
dia apertura), porque no se abre una conexión TCP completa. La máquina del
atacante envía un paquete SYN, como si se fuese a abrir una conexión real y
se espera que llegue una respuesta. Un SYN/ACK indica que el puerto está a la
escucha y abierto. un RST es indicativo de que el puerto está cerrado.

Stealth FIN, Xmas Tree o Null scan (-sF -sX -sN). Opciones para cuando ni si-
quiera el escaneo SYN resulta lo suficientemente disimulado. Algunos firewalls y
filtros de paquetes vigilan el envío de paquetes SYN a puertos restringidos.

Los puertos cerrados responderán a nuestro paquete de prueba con un RST,

mientras que los puertos abiertos deben ignorar los paquetes en cuestión.

El escaneo FIN utiliza un paquete FIN vacío como prueba, mientras que el esca-
neo Xmas tree activa las banderas FIN, URG y PUSH. El escaneo NULL desac-
tiva todas las banderas TCP.

Escaneo Ping (-sP). A veces se necesita saber únicamente qué servidores se

encuentran activos en una red.

List Scan (-sL). Con esta opción nos aparecerá únicamente la dirección IP, nom-
bre del host, sin realizar ningún tipo de ping o escaneo sobre la máquina; lo que
se produce en realidad es una resolución de nombre de DNS.

24
Escaneo UDP (-sU). Este método se usa para saber qué puertos UDP están
abiertos en un servidor. La técnica consiste en enviar paquetes UDP de 0 bytes
a cada puerto de la máquina objetivo, si se recibe un mensaje ICMP de puerto
no alcanzable, entonces el puerto está cerrado. De lo contrario, asumimos que
está abierto.

Consideración importante
A continuación, se presentan algunos ejemplos de uso de la herramienta NMAP
que tienen la finalidad de explicarte algunas opciones con las que puedes traba-
jar con la herramienta:

Ejemplo 1: # nmap 192.168.1.254

Ejemplo 2: # nmap 192.168.1.252 192.168.1.253 192.168.1.254
Ejemplo 3: # nmap -PN 192.168.1.254
Ejemplo 4: # nmap -sN 192.168.1.254
Ejemplo 5: # nmap -p23 192.168.1.254
Ejemplo 6: # nmap -p 23,25,53,80,-500 192.168.1.254
Ejemplo 7: # nmap -p smtp, htttp 192.168.1.254
Ejemplo 8: # nmap -p 1-65565 192.168.1.254
Ejemplo 9: # nmap -sV 192.168.1.254
Ejemplo 10: # nmap -0 192.168.1.254

En el ejemplo uno se presenta como realizar un escaneo simple de un disposi-

tivo que tiene la dirección IP 192.168.1.254. La salida de NMAP indicará si está
activo o no el dispositivo en la red, así como una lista de sus puertos abiertos.

En el segundo ejemplo se presenta otro escaneo simple y simultaneo de varios

dispositivos de una red, la salida de NMAP también indicará para cada una de
las direcciones IP listadas en el comando si está activo o no dispositivo dentro
de la red, así como una lista de los puertos abiertos de cada dirección IP.

En el tercer ejemplo le pasamos a NMAP el parámetro -PN esta opción evita

completamente que la herramienta NMAP realice la fase de descubrimiento
de equipos con el protocolo ICMP. Esta opción es útil si se desea que todos
los objetivos especificados sean considerados como activos, y de este modo
se realice un escaneo de puertos en todos ellos, sin excepción. El uso de esta
opción puede tener una notable incidencia negativa en el rendimiento de un
escaneo a gran escala, puesto que un escaneo de puertos contra una máquina
inalcanzable consumirá mucho más tiempo, debido que vencerán todos los tem-
porizadores de las respuestas esperadas a cada sonda enviada. Por otra parte,
esta opción puede ser de utilidad si en la red analizada se bloquea, al menos en
parte, el tráfico ICMP, que es el utilizado por defecto en la fase de descubrimien-
to de equipos.

25
 En el cuarto ejemplo presentamos como se realiza una exploración simple con
PING hacia un host específico sin explorar sus puertos TCP. Esta técnica tam-
bién es conocida como Ping Scan o Ping Sweep. Esta opción, cuando se indica
de forma explícita, instruye a Nmap para que no realice un análisis de los puer-
tos tras completar una fase estándar de descubrimiento de los equipos activos
dentro del listado de equipos a analizar, a excepción de los análisis de scripts
(--script) o de rutas (--traceroute), si se indican de forma explícita. Si no se indi-
ca ninguna opción de descubrimiento de equipos, Nmap realiza por defecto las
comprobaciones que se indican a continuación para tratar de descubrir los equi-
pos que están activos y los que no, antes de iniciar la siguiente fase de análisis
de puertos, para que esta sea más rápida.

En los ejemplos cinco y seis que se presentan a continuación se muestra cómo

realizar desde NMAP un escaneo a un puerto específico hacia un dispositivo,
así como la opción de escanear una lista de puertos específicos hacia un dispo-
sitivo. Esta opción generalmente es útil como deseamos conocer si un puerto en
específico se encuentra corriendo en el dispositivo final, lo cual aligera el tiempo
de ejecución de la herramienta, haciendo más rápidas las auditorias de seguri-
dad y los análisis de vulnerabilidades.

En nuestro ejemplo siete podemos observar que dentro de la herramienta

NMAP es posible pasar los nombres de los puertos TCP bien conocidos, en
nuestro ejemplo vemos como con el parámetro menos P pasamos los nombres
de los protocolos SMTP y HTTP para que se realice un escaneo hacia los puer-
tos TCP 25 y TCP 80 hacia la dirección IP 192.168.1.254.

En el ejemplo ocho, podemos apreciar cómo podemos pasar un rango de puer-

tos a ser escaneados con la herramienta NMAP. Por defecto, NMAP escanea
solo los primeros 1024 puertos del dispositivo destino. Con la opción menos P 1
a 65535 le indicamos a NMAP realice un escaneo de todos los puertos TCP.

En el ejemplo nueve se nos presenta la opción de cómo es posible detectar la

versión de los servicios corriendo en los puertos TCP o UDP detectados por
NMAP en el dispositivo destino, por ejemplo, si NMAP descubre que el puerto
TCP 80 asociado a la aplicación HTTP se encuentra abierto, al pasarle el pará-
metro menos esa uve podría decirnos si en esa aplicación se encuentra corrien-
do alguna versión de apache o tomcat por ejemplo.

26
Finalmente, en el ejemplo diez vemos como a través de la herramienta NMAP
también podemos intentar averiguar el sistema operativo de un dispositivo.
Recordemos que la herramienta no siempre conseguirá darnos una precisión
exacta del sistema operativo, pero siempre será un buen punto de partida du-
rante cualquier prueba de penetración.

Los análisis de sistema operativo utilizan la huella de la pila TCP/IP, mientras la

detección de servicios funciona comparando las pruebas enviadas por el intér-
prete contra una base de datos.

Herramienta NMAP para la recopilación de información

Para concluir este módulo recordemos que el rápido diseño del software, junto
con el insuficiente testing al que se le somete, provocan que estas aplicaciones
contengan errores (Bugs) importantes, los cuales, un usuario malintencionado
(hacker malicioso) puede aprovechar para la ejecución de código malicioso en
la máquina donde esté instalado el programa.

Estos errores provocan que nuestro sistema sea vulnerable a un ataque desde
el exterior comprometiendo así toda la información valiosa que se guarde en la
máquina atacada. Herramientas como NMAP ayudan a los analistas de vulnera-
bilidades o pentesters a descubrir a tiempo sistemas que pudieran ser compro-
metidos por actores maliciosos como los hackers.

¿Qué es Shodan?
Shodan es una herramienta en línea que cuenta con un motor de búsqueda
para dispositivos de Internet de las cosas. De manera general la herramienta
Shodan realiza rastreo en todo Internet busca de dispositivos públicos conecta-
dos a Internet y los indexa para facilitar su consulta mediante una simple consul-
ta de búsqueda. Con la información proporcionada por la herramienta Shodan
sobre los dispositivos descubiertos, podemos descubrir muchas cosas sobre los
dispositivos públicos conectados a Internet en nuestros hogares, oficinas y orga-
nizaciones en general.

27
 ¿Cómo iniciar con Shodan?
Para comenzar a utilizar la herramienta Shodan lo primero que debemos reali-
zar es visitar el portal web del proyecto el cual es www.shodan.io sobre los dis-
positivos descubiertos, podemos descubrir muchas cosas sobre los dispositivos
públicos conectados a Internet en nuestros hogares, oficinas y organizaciones
en general.

Una vez dentro del portal debemos crear una cuenta de acceso desde la sec-
ción de registro.

Como nota complementaria, te informamos que el motor de búsqueda Shodan

también se puede utilizar sin registrarse; el registro no es obligatorio, sin embar-
go, para sacar el mejor provecho de la herramienta con todas sus funcionalida-
des se recomienda realizar siempre un registro.

Dentro de la sección de registro se nos pedirá ingresar los datos necesarios

como lo son: nombre de usuario, contraseña y correo electrónico para registrar-
se en el servicio Shodan. Posterior a crear nuestra cuenta se debe iniciar sesión
con el usuario y contraseña que hemos definido con anterioridad.

Nmap y Shodan
Posterior a crear nuestra cuenta en Shodan, al iniciar sesión por primera vez en
nuestra cuenta Shodan nos mostrará la clave de API de nuestra cuenta. Por ra-
zones de seguridad, la clave se ha ocultado en este ejemplo. Esta clave de API
es la requerida por algunas aplicaciones como Nmap para realizar la integración
de escaneo entre las herramientas de escaneo..

28
Ejemplo
Nmap cuenta con un script llamado shodan-api.nse el cual realiza una consulta
con la API de Shodan para determinados objetivos y produce un resultado simi-
lar al de un escaneo -sV de nmap. La clave API de nuestra cuenta de Shodan
se puede configurar con el argumento de secuencia de comandos ‘apikey’ para
invocar desde nmap el motor de análisis de shodan y realizar un escaneo pasi-
vo como se muestra en la imagen sobre los dispositivos descubiertos, podemos
descubrir muchas cosas sobre los dispositivos públicos conectados a Internet
en nuestros hogares, oficinas y organizaciones en general.
En este ejemplo desde nmap realizamos el llamado de la herramienta shodan
para realizar un escaneo de puertos TCP UDP hacia el sitio scanme.nmap.org
así como el análisis de las versiones y servicios corriendo en cada uno de los
puertos de nuestro objetivo.

Usando Shodan
Ya sea que estemos buscando una marca o modelo de
dispositivo de internet de las cosas específico, o dispo-
sitivos en una dirección IP específica, podemos utilizar
la opción Buscar de Shodan ingresando un nombre de
dispositivo, tipo de dispositivo (cámaras web, enrutadores,
etc.), dirección IP o simplemente sobre cualquier cosa
que ayude a identificar el tipo de dispositivo que estamos
buscando. Shodan luego localizará cualquier dispositivo
relevante encontrado con la entrada de datos y mostrará
el resultado como se puede apreciar en la imagen.

Ya sea que estemos buscando una marca o modelo de dispositivo de internet

de las cosas específico, o dispositivos en una dirección IP específica, podemos
utilizar la opción Buscar de Shodan ingresando un nombre de dispositivo, tipo
de dispositivo (cámaras web, enrutadores, etc.), dirección IP o simplemente
sobre cualquier cosa que ayude a identificar el tipo de dispositivo que estamos
buscando. Shodan luego localizará cualquier dispositivo relevante encontrado
con la entrada de datos y mostrará el resultado como se puede apreciar en la
imagen.
Si somos nuevos en Shodan y solo estás buscando algo interesante, usar la
opción Explorar es tu mejor opción.

Esta opción permite buscar dispositivos, categorías de dispositivos y listas de

dispositivos compartidos recientemente que han sido recopilados por otros
usuarios de Shodan. Esto incluye casi todos los dispositivos populares basados
en Internet de las cosas en los que uno puede pensar: cámaras web, routers, te-
levisores inteligentes y mucho más, categorizados y listados previamente, listos
para que los explores.

29
 Filtros de Shodan
Google, Bing y muchos otros motores de búsqueda ofrecen filtros y comandos.
Shodan funciona de la misma manera, utilizando búsquedas de un solo término
como:

geo: se utiliza para especificar las coordenadas de geolocalización.

contry: para encontrar dispositivos en cualquier país.
city: para encontrar dispositivos IoT en cualquier ciudad.
hostname: para encontrar nombres de host que coincidan con este valor.
os: para búsquedas basadas en el sistema operativo.
port: utilizado para revelar puertos abiertos expuestos.

Herramienta Shodan para la recopilación de información

Para concluir este módulo recordemos que el rápido diseño del software, junto
con el insuficiente testing al que se le somete, provocan que estas aplicaciones
contengan errores (Bugs) importantes, los cuales, un usuario malintencionado
(hacker malicioso) puede aprovechar para la ejecución de
código malicioso en la máquina donde esté instalado el
programa.

Shodan es una de las plataformas de hacking más utiliza-

das en todo el mundo la cual nos brinda un completo motor
de búsqueda avanzado desde el que podemos encontrar
cualquier dispositivo conectado a la red junto con sus ser-
vicios activos, puertos abiertos y posibles vulnerabilidades.
Si tenemos un equipo o servidor conectado a Internet, sin
duda estará registrado en Shodan al alcance de cualquier
hacker o pirata informático interesado en él.código malicio-
so en la máquina donde esté instalado el programa.

Con el fin de ayudar a las empresas a mantener sus redes seguras, protegidas
y fuera del alcance de cualquier actor malicioso, Shodan cuenta con varias he-
rramientas como la llamada Shodan Monitor. Esta herramienta ha sido diseñada
para permitir a sus usuarios llevar un seguimiento directo y sencillo de sus dis-
positivos, recibiendo recomendaciones de seguridad y notificaciones en tiempo
real cuando uno de sus dispositivos se exponga en la red.

30