Tabla de contenidos

Terminología básica en hacking ético (Parte II)

Siguiendo con esta serie de artículos sobre terminología básica en hacking ético, en los que buscamos abarcar la gran mayoría de términos usados en el rubro, en este artículo vamos a explicar más términos que son importante que tengas en cuenta si te vas a dedicar a la ciberseguridad.

Qué es Sniffing

Se le llama sniffing a todos los procesos que se realizan con el objetivo de capturar y monitorizar todo el tráfico que viaja por una red, sea cableada o inalámbrica, para llevar a cabo esta labor se hacen uso de sniffers, que son programas que permiten básicamente eso, capturar todo el tráfico que viaja por una red para posteriormente estructurarlo y ordenarlo, de tal forma que una persona pueda consultar el resultado y entenderlo, he de aclarar que, la captura de tráfico siempre será más sencilla en una red inalámbrica que en una red cableada, esto se debe a que en las redes inalámbricas no existen barreras y en la mayoría de los casos, el tráfico puede ser monitorizado sin necesidad de interactuar directamente con un dispositivo hardware (como un switch), que esto mismo si es el caso de las redes cableadas, en donde, usualmente se usan switches para hacer la interconexión de dispositivos, para estos casos habitualmente se suele configurar un puerto del swicth el cual no puede recibir datos, pero guarda una especie de copia de todo el tráfico generado por los dispositivos conectados a los demás puertos, a este puerto especial se le llama “puerto mirror” y en él, es donde se debe conectar el equipo con el sniffer.

Seguidamente, comentar que, algunos de los sniffer más usados actualmente son WireShark, Microsoft Network Monitor y Tcpdump, donde hay que ser conscientes que, el tráfico capturado en muchas ocasiones puede incluir, entre muchas otras cosas, credenciales u otra información sensible, he ahí la gravedad del asunto, pero, esta actividad no tiene por qué ser algo que se realice con fines maliciosos, de hecho, su principal uso es el que les dan los administradores de una red para, por ejemplo, saber qué viaja por la red y poder detectar posibles errores en las comunicaciones, aunque claro, esta técnica también puede ser usada tanto del lado ético en auditorías de seguridad, de la mano de, por ejemplo, un pentester o, por el lado completamente ilegal de la mano de un ciberdelincuente, entonces siempre es mejor prevenir y securizar al máximo para que, si llega a presentar este último ejemplo, poder evitar cualquier robo de información sensible.

Anidado a esto, los principales problemas de que un tercero sin autorización pueda capturar el tráfico de una red, recae en las conexiones no cifradas, ya que toda la información será capturada en texto plano, eso incluye credenciales si se llega a dar el caso, es por eso que cifrar las comunicaciones es una de las mejores medidas de seguridad ante este tipo de técnica.

Qué es Fuzzing

El fuzzing es un término que ha tomado mucha relevancia últimamente y más con las plataformas para practicar hacking ético que han surgido en los últimos años, ya que, es una técnica muy usada en distintas máquinas y/o retos dentro de estas plataformas, en un principio se puede definir como una técnica para pruebas, que se usa en el testeo de algún software, puede ser de forma semiautomatizada o completamente automatizada y, se basa en que podamos enviar muchos datos aleatorios o no, a una determinada aplicación y así poder evaluar el comportamiento de esta durante este proceso e intentar detectar posibles vulnerabilidades o fallos en el software, como tal, lo que se busca es provocar un comportamiento anómalo en el software para así poder observar y detectar cómo se comportaría si un usuario común hiciera esa serie de pruebas.

Por otro lado, acorde a la definición antes tratada, también suele llamarse “fuzzing” a la acción de hacer repetidas solicitudes a, por ejemplo, una aplicación web, con el objetivo de poder detectar rutas, directorios y/o recursos en dicha aplicación, para ello se emplean herramientas tales como WFuzz, Gobuster, DirB, DirSearch, Burp Suite, nmap con su script http-enum, entre otras herramientas, que por lo general funcionan analizando los códigos de respuesta HTTP, por ejemplo si se nos devuelve un código 404, significa que lo que buscamos en dicha aplicación web no existe, pero si devuelve un 403 significa que no se tienen los permisos para acceder a dicho directorio y/o recurso, por lo que, si existe, pero no podemos acceder.

Para que quede más claro, pongamos un ejemplo, supongamos que nos encontramos (ya sea en un laboratorio controlado o en una auditoria de seguridad) un sitio web hecho con WordPress, que contiene sus directorios por defecto (wp-admin, wp-login, etc.), bien, digamos que el administrador cambió la ruta para acceder al login y ahora se accede entrando a /acceso en lugar de /wp-login, pero en ninguna parte del sitio web se hace referencia a dicha ruta, no hay enlaces, ni nada que pueda darnos una idea de que /acceso existe en dicho sitio web, en este punto lo que se suele hacer es usar alguna de las herramientas antes nombradas, la cual a través de una lista de palabras que contenga nombres comunes de directorios y/o recursos, iniciará un proceso en donde la herramienta, por lo general, comprobara los códigos de respuesta HTTP de cada una de las palabras probadas y, basándose en los códigos de respuesta que devuelvan, tales como los anteriores nombrados o, como el 301 (que es cuando una ruta se ha movido de forma permanente), un 200 (que es una respuesta “ok”), entre otros, es que la herramienta podrá decirnos cuáles directorios/recursos existen en el sitio web en cuestión.

Hay que tener presente que el fuzzing es una técnica que en la gran mayoría de las ocasiones suele ser muy intrusiva por lo que se recomienda siempre practicar en entornos controlados, ya sea en local o en remoto, como en plataformas destinadas para ello.

Qué es Password Cracking

Se llama password cracking a todos los procesos que se emplean para poder descifrar u obtener una contraseña, dicha contraseña puede ser la de una cuenta para acceder por un servicio como SSH, FTP, IMAP, SQL, CVS, NCP, un login de una aplicación web, la contraseña de un fichero que esté, por ejemplo, comprimido en ZIP con contraseña, básicamente una contraseña usada para acceder en cualquier sistema de acceso con autenticación. Este proceso va muy de la mano de los ataques de diccionarios, que son ataques donde básicamente se emplea una lista de palabras enorme que contendrá millones y millones de contraseñas comunes (en este caso la lista de palabras contendrá contraseñas, en el caso anterior, cuando hablamos del fuzzing, ahí las listas de palabras contendrán nombres comunes de directorios y/o recursos) y que, gracias a herramientas como Hydra, Medusa, Ncrack, entre muchas otras, se puede hacer un ataque donde se pruebe, por ejemplo, en un sistema protegido por autenticación, un nombre de usuario con todas las contraseñas contenidas en dicha lista de palabras y, si da la casualidad que la contraseña de la cuenta está dentro de esta lista de palabras usada, podremos saber cuál es.

Por otro lado, también existen herramientas que nos permiten descifrar una contraseña a partir de su hash, por ejemplo, nos encontramos el hash de una contraseña de un usuario de un sistema Linux (ese “hash” en este caso es la contraseña, pero pasada por una función matemática que da como resultado una nueva cadena de caracteres, esto se logra gracias a un algoritmo matemático que codifica la información y la convierte en lo anteriormente nombrado, pero ten en cuenta que como tal “hash” se utiliza para identificar a alguna función criptográfica, por ejemplo, SHA-1, SHA-256, SHA-512, entre otras), al cual, podemos aplicarle un ataque de diccionario o fuerza bruta a través de una herramienta como John The Ripper que, está en concreto lo que hará será, a partir de una lista de palabras, cifrará cada una de esas palabras con el hash en el cual esté la contraseña que queramos descifrar y, si coincide alguno de los hash de alguna palabra dentro de la lista con el hash de la contraseña en cuestión, significa que esa palabra es la contraseña. También hay otras herramientas muy buenas para esta labor además de John, por ejemplo, Hashcat, OPHCrack e incluso servicios online.

Lo mejor para evitar que nuestra contraseña sea adivinada por ciberdelincuentes es usar contraseñas largas, no comunes y robustas, que contengan mayúsculas, minúsculas, números y caracteres especiales, este servicio, Kaspersky Check Password, permite ver cuánto tardaría un ordenador en descifrar tu contraseña dependiendo de lo débil o fuerte que esta sea, recomiendo probarlo para hacerse una idea de cuál contraseña es segura y cuál no.

Qué es WarDriving

El término WarDriving o “Conducción de Guerra” traducido a español, se usa para hacer referencia al acto de ir literalmente, conduciendo un vehículo e ir buscando redes WiFi. Para llevar a cabo esta actividad es necesario un vehículo, un dispositivo capaz de detectar redes WiFi y, en algunos casos, un GPS, esto último, ya que muchos practicantes de esta actividad lo que buscan es hacer una especie de mapa que relacione las redes WiFi disponibles con su ubicación, de hecho, el sitio de wigle es un claro ejemplo de ello, esta actividad como tal no es un acto ilegal, porque solamente vas moviéndote y detectando redes WiFi que estén disponibles, esto no es lo mismo que, si por ejemplo decides intentar atacar alguna de estas redes para lograr acceso, esto último si es completamente ilegal si no tienes autorización.

Qué es un Backdoor

El término Backdoor o “Puerta Trasera” en español, hace referencia a un fragmento de código que permite crear una especie de entrada secreta que da la posibilidad a un tercero de poder controlar de forma remota el dispositivo donde se encuentre dicha puerta trasera. Estas puertas traseras pueden colarse en un dispositivo de diversas formas, por ejemplo, a través de un malware o, que sencillamente sea algo intencional del desarrollador, por ejemplo, un desarrollador de una aplicación que necesite conectarse de forma remota para hacer mantenimiento, así que, como tal, una puerta trasera puede ser algo benigno si se trata de un caso como el del ejemplo anterior, pero, también puede ser algo malicioso si es que es colada en un dispositivo con la intención de controlarlo de forma remota sin el consentimiento del usuario.

Qué es phishing

El término phishing hace referencia a todas las técnicas empleadas con el principal objetivo de engañar a una víctima usando mucho lo que es la ingeniería social, generalmente suele verse mucho en correos electrónicos y, básicamente buscan manipular a la víctima para que esta revele información sensible como, por ejemplo, nombres de usuarios, contraseñas, números de cuenta, números de tarjetas bancarias, para que descargue un archivo (que en la mayoría de casos será malware), adquiera un servicio o producto en oferta, entre muchas otras acciones maliciosas. Usualmente esto lo logran recurriendo al spoofing y así haciéndose pasar por alguna entidad y para ello suelen usar direcciones de correo bastante parecidas o, en algunos casos exactamente iguales a los de la entidad que buscan suplantar, además que se suelen usar logos y frases e ieplicar el sitio web de la entidad en cuestión.

Es importante decir, que el uso de esta técnica ha tenido un crecimiento muy grande desde que, por cuestiones sanitarias, la mayor parte de actividades cotidianas ahora se hacen en línea y, al ser una gran cantidad de usuarios con poco o ningún conocimiento sobre ciberseguridad los que navegan a diario por internet, a los ciberdelincuentes se les facilita recurrir al spoofing para hacerse pasar por alguna entidad para manipular a dichos usuarios y hacer que revelen información que no deberían o hagas acciones que puedan perjudicarlos.

Así mismo, para que quede más claro, pongamos un ejemplo, imaginemos que tienes una cuenta bancaria en un determinado banco y te llega un mensaje a tu correo electrónico cuyo remitente es soporte@tubanco.es, diciéndote que tu cuenta será eliminada y que si no quieres que eso pase, necesitan que entres a un enlace que ellos te proporcionan para que, una vez ahí, verifiques tu cuenta y no la cierren, a la mayoría de personas en este caso las invadiría el miedo, entrarían al enlace, rellenarían la información bancaria, la enviarían y así de sencillo le han dado su información a un ciberdelincuente ¿por qué?, porque confiarían en el mensaje, la página web a donde los redirige es una página casi igual a la del banco en cuestión y lograron ser manipulados por ingeniería social.

Es por eso por lo que quiero date algunas recomendaciones para que, si se llega a presentar una situación parecida, no caigas en este tipo de estafas:

  • La más típica, pero a veces la que más ayuda, no entres en pánico, ese es el objetivo principal de este tipo de técnicas, que te dejes llevar por tus emociones y cometas acciones sin usar el sentido común.

  • Siempre que recibas un mensaje por correo electrónico, pero que sea sospechoso (hablándote de que tu cuenta fue comprometida, ofreciéndote servicios o productos gratis, diciéndote que descargues un archivo, entre otros ejemplos), siempre verifica la fuente, no solo te fíes del remitente, ya que la dirección de correo electrónico del remitente puede ser cambiada, de ser el caso, contacta por otros medios a la entidad o persona en cuestión que supuestamente te está enviando el mensaje y coméntales la situación.

  • No descargues ningún archivo que venga adjunto en el mensaje, si es posible ni siquiera entres a ningún enlace que esté presente en el mensaje.

  • Los ciberdelincuentes suelen ser muy astutos para realizar este tipo de ataques, pero a veces sus faltas ortográficas les juegan en contra, es normal que en este tipo de mensajes por correo se hable de forma coloquial, con errores ortográficos, con falta de coherencia entre las oraciones y que no se te mencione por tu nombre sino que por algo genérico como “usuario”, “contribuyente”, “cliente”, entre otros, esto se debe a que por lo general el mismo mensaje que recibes tú, lo reciben muchas personas más, aunque igualmente no solo te fijes en esto último porque puede ser que el mensaje sea exclusivamente dirigido a ti.

  • No respondas ni intentes comunicarte directamente con ellos.

  • Si ya se confirmó que fue un intento de phishing, denúncialo ante las autoridades como un delito de fraude, si usas Gmail, este cuenta con una opción en el menú desplegable al lado del botón de responder que permite esta acción.

Qué es Spoofing

El término spoofing va muy de la mano con el anterior que tratamos, ya que este término hace alusión a todas las técnicas que se usan para suplantar una identidad, una identidad no solo de una dirección de correo, también de alguna dirección IP, dirección MAC, algún sitio web, DNS, ARP, entre otros. Como tal la principal diferencia entre phishing y spoofing es que el phishing es el engaño producido al usuario y el spoofing es la suplantación de alguna identidad que se usa para engañar al usuario, por lo que es algo lógico decir que se usa el spoofing dentro de técnicas de phishing.

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información