Ciberseguridad

A la hora de hacer pruebas de seguridad o hacking ético, existen muchas herramientas que podemos utilizar. En este artículo vamos a destacar las mejores, desde sistemas operativos completos hasta otras herramientas que tienen usos más específicos.

Herramientas para el hacking ético

Existen muchas herramientas que se pueden utilizar para realizar pruebas de seguridad o hacking ético, por lo que vamos a destacar algunas de ellas.

En primer lugar, tenemos sistemas operativos completos, que son distribuciones de Linux completas que contienen infinidad de herramientas para realizar este tipo de pruebas.

De estos sistemas operativos destacamos dos:

• Kali Linux: es una distribución Linux basada en Debian, que contiene más de 600 herramientas para realizar hacking ético y pruebas de seguridad. Está fundada y mantenida por la empresa Offensive Security LTD.
• Parrot Security OS: es otra distribución de Linux también basada en Debian, que además de contener muchas herramientas tiene la particularidad de incluir entornos de desarrollo, que nos guían para desarrollar aplicaciones seguras.

Además de estos sistemas operativos, tenemos muchas herramientas disponibles, de las que destacamos una fundamental:

• Metasploit Framework es una herramienta para el desarrollo y ejecución de exploits. Los exploits son ataques o formas de explotar vulnerabilidades de seguridad, son trozos de código que tratan de explotar una vulnerabilidad de seguridad determina. La herramienta contiene más de 1500 exploits incluidos de forma predefinida, y se suele basar mucho en vulnerabilidades conocidas sobre versiones antiguas de un software determinado. Por ejemplo, tenemos la versión 7.0 de Apache Tomcat, de la que se detectó una vulnerabilidad de seguridad que fue corregida en la siguiente versión. Si ese software no ha sido actualizado y tenemos esa versión que contenía la vulnerabilidad de seguridad, podemos ejecutar ese exploit para explotar la vulnerabilidad. Metasploit Framework también contiene un escáner para ver si en la aplicación o software determinado es vulnerable o no a estos exploits.

También existen herramientas para realizar ataques de fuerza bruta, de las que destacamos las siguientes:

• Aircrack-ng, que se utiliza para redes realizar ataques de fuerza bruta sobre redes WIFI para obtener contraseñas de las mismas. Está contenida en Kali Linux.
• John the Ripper, que se emplea en otros sistemas y servidores. También está contenida en Kali Linux.
• Para probar logins y realizar ataques de fuerza bruta sobre aplicaciones web podemos utilizar herramientas como LoadRunner y Jmeter, que realmente están concebidas para pruebas de rendimiento, pero tienen la particularidad de que pueden realizar peticiones masivas y podemos utilizarlas con este fin.

Por último, para la captura y edición de peticiones, podemos destacar otras herramientas:

• Fiddler
• Zed Attack Proxy (ZAP), una herramienta de OWASP, la empresa referente en hacking ético para aplicaciones web.
• Wireshark, que es un sniffer que permite analizar el tráfico de la red.