Potencia tu pentesting con una fase de reconocimiento efectiva

Qué es la fase de reconocimiento en el pentesting

La fase de reconocimiento es la etapa inicial en la evaluación de ciberseguridad de sistemas y/o aplicaciones. Consiste en recolectar toda la información valiosa acerca del objetivo, que pueda ser crucial para realizar el pentesting de forma efectiva. Por lo tanto, esta fase debe realizarse de la forma más completa posible para no omitir información clave.

Esta información puede ser obtenida mediante reconocimiento pasivo a través de internet, principalmente mediante inteligencia de fuentes abiertas (OSINT); o mediante reconocimiento activo, interactuando directamente con los sistemas que se encuentran dentro del alcance del pentesting.

Los datos de los que dispongamos al inicio del pentesting variarán en función de si se trata de un pentesting caja blanca, caja gris o caja negra. Como consecuencia, determinará los esfuerzos necesarios para realizar la fase de reconocimiento.

Objetivos y acciones clave de esta fase

Durante la etapa de reconocimiento los expertos en ciberseguridad recopilan toda información disponible con el objetivo de conocer al detalle los sistemas sobre los que se va a realizar el pentesting. Esto se puede conseguir mediante distintas acciones clave:

• Recopilación exhaustiva de la información: La obtención de todos los datos del objetivo es esencial, y puede marcar la diferencia entre identificar correctamente todos los activos o dejar expuesto parte del sistema a posibles amenazas.
• Mapear la red objetivo: Esta acción implica descubrir los servicios y versiones de software en funcionamiento. Es fundamental para planificar las futuras fases de escaneo de vulnerabilidades y explotación.
• Establecer los puntos débiles del sistema: Es necesario identificar los servicios que pueden ser aprovechados como vector de ataque. Esta evaluación inicial de las debilidades es fundamental para la fase de explotación y su planificación.
• Recolectar información del personal: Se busca recopilar todos los datos sobre empleados y usuarios del sistema, incluyendo credenciales comprometidas. Las credenciales comprometidas son guardadas para comprobar su validez e intentar obtener acceso a servicios o parte del sistema que se encuentra protegido mediante control de acceso.

Importancia de una fase de reconocimiento efectiva

Durante el reconocimiento se recopila una gran cantidad de información que ayuda al pentester a reconocer los sistemas del objetivo y las medidas de seguridad implementadas, los posibles puntos débiles y el nivel de exposición de la organización.

Los principales beneficios de realizar una fase de reconocimiento efectiva son los siguientes:

• Disminuir la exposición en línea: La exposición en línea puede resultar un desafío. Durante esta fase del pentesting puede encontrarse información relevante que la organización desconozca que se encuentra expuesta en la web. Puede ser aprovechada por los atacantes para identificar a personas, activos en la red o debilidades en la empresa. Este descubrimiento permite tomar medidas para proteger esa información y evitar que sea aprovechada por los cibercriminales.
• Maximizar la eficiencia del pentesting: Ayuda a centrar los esfuerzos en las áreas de mayor relevancia y riesgo. Un reconocimiento eficaz ayuda a comprender la infraestructura, aumentando la base de conocimiento en las siguientes etapas del pentesting como el análisis de vulnerabilidades y la explotación, asegurando que los recursos se utilicen de forma proporcional y coherente.
• Descubrir al personal relevante y credenciales comprometidas: Durante esta fase, la información disponible sobre usuarios y direcciones de correo puede reflejar el estado de concienciación del personal y las prácticas de seguridad del objetivo. Esta información puede ser aprovechada en posteriores fases del pentesting, como la explotación, para llevar a cabo intentos de autenticación.

Etapas y técnicas de la fase de reconocimiento

En esta fase, los expertos en ciberseguridad realizan la búsqueda más minuciosa de toda la información expuesta, de una gran variedad de tipos. El conjunto de toda esta información ayuda a conocer la superficie de ataque completa de los activos y software sobre los que se realiza la prueba de intrusión, identificar posibles vulnerabilidades y realizar una toma de decisiones en la fase de explotación.

Dentro del reconocimiento podemos diferenciar entre el reconocimiento pasivo, donde la recopilación de información se realiza sin interacción con los sistemas, webs ni personal; y el reconocimiento activo, donde sí que se interactúa con los activos en red.

A continuación, detallaremos las principales técnicas de recopilación de información para la etapa de reconocimiento.

Recopilación de información de personas, metadatos y recursos sensibles expuestos

Se lleva a cabo la búsqueda de información relacionada con personas relevantes dentro de la organización objetivo. Esto incluye la identificación de personas, direcciones de correo electrónico y perfiles en redes sociales, así como su estructura organizacional.

Además, se recopilan los archivos expuestos para extraer los metadatos, lo que puede revelar información sensible oculta en los metadatos o el contenido de los archivos, como direcciones internas, números de teléfono o nombres de usuario.

Recopilación de información de dominios, subdominios y direcciones IP

Esta tapa resulta esencial para obtener un listado completo de los dominios, subdominios y direcciones IP asociadas, consiguiendo un mapa completo de los sistemas de la organización. Esto implica el uso de scripts y servicios web para enumerar todos los activos expuestos. La información obtenida aquí es esencial para poder identificar posibles vectores de ataque y servicios vulnerables.

Recopilación de información de certificados y registros DNS

La obtención de información sobre certificados utilizados por el objetivo ayuda a descubrir la infraestructura de seguridad, donde se comprueba que estén emitidos por autoridades de certificación. Los registros DNS se consultan para descubrir configuraciones en búsqueda de fallos, y conocer la asignación de nombres de dominio a direcciones IP de la organización.

Recopilación de información de activos en línea

La identificación de activos los hosts y sus servicios en ejecución, puede hacerse de forma pasiva o activa. La recopilación de la información en portales de ciberinteligencia y motores de búsqueda se realiza de forma pasiva a través de éstos, y crea la base para un posterior reconocimiento activo.

El reconocimiento pasivo que es crucial para la identificación de posibles puntos de entrada y vulnerabilidades de forma sigilosa sin hacer saltar alertas de seguridad. Así, puede prepararse el posterior escaneo activo con un mayor conocimiento de los activos existentes.

Detección de sistemas de gestión de contenido y tecnologías web

Los CMS como WordPress y Drupal se han convertido en las opciones preferidas por su facilidad de uso y flexibilidad para crear contenido en la web, pero esta gran adopción también implica que las vulnerabilidades descubiertas en estos sistemas sean aplicables en una gran cantidad de activos.

Respecto a la detección de las tecnologías en uso por las aplicaciones web, proporciona una información muy valiosa que puede ayudar a identificar posibles vulnerabilidades en las soluciones utilizadas y preparar ataques en función de las tecnologías utilizadas en la fase de explotación.

Escaneo de puertos y servicios en línea

Esta etapa permite la identificación y verificación de los sistemas del objetivo. Se interactúa con los servicios disponibles para conocer todo acerca del software y versiones utilizadas. Esta información es esencial para la fase de escaneo de vulnerabilidades en el pentesting, es utilizada para verificar la información recopilada sobre los activos de forma pasiva y determinar posibles vías de entrada.

Herramientas y recursos para el reconocimiento

Para realizar un reconocimiento efectivo, los expertos en ciberseguridad utilizan un amplio abanico de herramientas y servicios, cada uno diseñado para recopilar información específica, por lo general. Es esencial dominar estas herramientas y técnicas de reconocimiento para maximizar los resultados y aprovecharlas al máximo.

Es importante diferenciar entre las herramientas que realizan el reconocimiento de forma pasiva, activa o de ambas formas; para actuar siempre dentro de las reglas establecidas en el pentesting.

Ahora, exploraremos algunas de las herramientas más utilizadas durante la fase de reconocimiento en un pentesting.

Herramientas para la información de personas, metadatos y recursos sensibles expuestos

Herramientas como FOCA, GooFuzz o metagoofil son utilizadas para recopilar datos sobre empleados, ficheros expuestos y otros recursos; para analizar sus metadatos en busca de información personal identificativa (PII), correos electrónicos, direcciones IP, subdominios y direcciones internas, entre otros.

Con herramientas como Sherlock, holehe o h8mail podemos verificar la validez de los usuarios y correos electrónicos recopilados y comprobar si se han registrado en algún sitio web para continuar la investigación.

Herramientas para la recopilación de dominios, subdominios y direcciones IP

Para la identificación de dominios y subdominios asociados al objetivo, se utilizan herramientas como fierce, dnsenum y dnsrecon. También se pueden utilizar servicios como VirusTotal, Security Trails y la herramienta de descubrimiento de superficie de ataque que proporciona Netlas.

Por otra parte, herramientas como dirb, dnsenum, gobuster o ffuf se utilizan en la búsqueda de subdominios y recursos en los servidores web de forma activa mediante listas de palabras determinadas, también conocidas como wordlists, interactuando directamente con los sistemas.

Herramientas para la obtención información de certificados y registros DNS

Respecto a los certificados, con servicios y herramientas como mxtoolbox, crt.sh, viewdns.info o SSLscan se recolectan los certificados, registros DNS y se analizan los protocolos SSL/TLS utilizados por la organización. El equipo de pentesters analiza la información en búsqueda de posibles debilidades en la configuración o vulnerabilidades.

Herramientas para la de información de activos en línea

De forma pasiva, podemos aprovechar la información disponible sobre los activos que se encuentran expuestos a través de motores de búsqueda como Shodan, Netlas o Censys, servicios que escanean el rango de direcciones IP identificando los servicios expuestos. Gracias a estas herramientas, podemos obtener datos sobre los sistemas, puertos y software en uso por una organización sin interactuar con ella directamente.

Herramientas de detección de sistemas de gestión de contenido y tecnologías web

Para determinar las versiones de los CMS y los plugins utilizados, los pentesters emplean herramientas como WPScan, CMSScan, Drupwn o Moodlescan.

Para detectar los frameworks y versiones de webs, servicios como BuiltWith, rescan.io o similartech, así como extensiones para navegador como Wappalyzer, permiten conocer a fondo las tecnologías en uso.

Herramientas para el escaneo de puertos y servicios en línea

En cuanto al escaneo de los activos expuestos por la organización, los escáneres de puertos como NMAP, MASSCAN y RustScan permiten detectar qué se ejecuta en los puertos y realizar el reconocimiento con una gran variedad de scripts de enumeración y detección de versiones. Permiten a los pentesters verificar la información recopilada vía OSINT, y profundizar su conocimiento sobre la superficie de ataque objetivo.

Herramientas polivalentes

Herramientas como SpiderFoot o Maltego recopilan información de gran parte de los anteriores tipos mencionados. Además, a través de APIs de terceros y add-ons se pueden obtener resultados más completos y aumentar su funcionalidad. Estas herramientas permiten integrar una gran variedad de fuentes, centralizando los resultados en una aplicación y ayudando a la visualización de la información con sus interfaces gráficas.

No deben olvidarse los motores de búsqueda tradicionales. Google y Bing permiten búsquedas avanzadas con los conocidos “dorks”, que permiten filtrar los resultados por una gran variedad de parámetros. Estas técnicas son conocidas como “Google Hacking” y “Bing Hacking”. A través de estos buscadores y sus filtros avanzados, es posible realizar una gran recopilación de información sobre un objetivo.

Mejores prácticas y consideraciones

Estas son algunas de las mejores prácticas y consideraciones para realizar un reconocimiento efectivo en la fase de reconocimiento en un pentesting:

• Documentación de las acciones realizadas: Es esencial mantener una documentación rigurosa de las acciones realizadas, de forma que sean reproducibles. Esto conlleva registrar cada paso significativo y sus resultados, las búsquedas y herramientas utilizadas durante el reconocimiento y sus frutos.
• Recolección de evidencias: Cada dato recopilado debe estar respaldado por evidencias sólidas. Esto implica tomar capturas de pantalla, guardar registros de actividad, y cualquier otro tipo de información que demuestre la veracidad de la información obtenida. Es esencial para respaldar los hallazgos y los resultados del pentesting.
• Mantenimiento de la confidencialidad: Para evitar la exposición de datos sensibles durante esta fase, es fundamental mantener un riguroso control de las acciones realizadas y mantener un nivel alto de confidencialidad. Esto implica no divulgar, de forma accidental o deliberada, información sensible sobre la organización objetivo del pentesting.
• Verificación de la información recolectada: No se debe confiar ciegamente en los datos. Una de las tareas del pentester es confirmar la validez de los datos obtenidos. Esta verificación puede incluir la comparación de diversas fuentes o la búsqueda de la información a través de diferentes métodos.
• Automatización de las herramientas: Para aumentar la productividad y eficiencia en la fase de reconocimiento, es muy recomendable utilizar scripting para automatizar tareas y procesos que puedan realizarse sobre el objetivo, sin olvidar supervisar y validar los resultados generados.

Retos y desafíos en la fase de reconocimiento

Existen retos y desafíos que los expertos en ciberseguridad enfrentan para realizar de forma efectiva la fase de reconocimiento. A continuación, presentamos algunos de los retos y desafíos más destacables:

• Adaptación ante defensas avanzadas: La implementación de medidas de seguridad como firewalls, honeypots y sistemas de prevención de intrusiones (IPS) presentan un desafío para los pentesters. Las herramientas de reconocimiento pueden generar alertas en estos sistemas de seguridad, revelando la presencia del pentester y como resultado, bloqueando su acceso. Superar este desafío requiere la adaptación de las técnicas de reconocimiento al escenario y actuar de forma sigilosa para sortear los sistemas de vigilancia.
• Identificación de recursos ocultos: Es uno de los desafíos esenciales. Estos pueden ser subdominios y páginas web no indexadas, puertos y servicios no anunciados, o recursos y direcciones internas que no se encuentran expuestas en el exterior.
• Gestión de la sobrecarga de datos recopilados: Con la gran cantidad de información disponible en internet, la fase de reconocimiento puede resultar en una sobrecarga de datos. Identificar la información útil y veraz puede resultar un desafío en sí dependiendo de la envergadura de pentesting, por lo que los expertos en ciberseguridad deben de dominar técnicas para gestionar todo el contenido disponible.
• Eliminación de duplicados y verificación de la información: Si se recopila información a través de distintas fuentes y herramientas, aparecen duplicados que deben ser eliminados para que, como resultado de la fase de reconocimiento, la información resultante sea relevante, veraz y útil en la toma de decisiones.

Casos de éxito

Ahora, se exponen dos escenarios en los que una fase de reconocimiento efectivo en el pentesting consiguió evidenciar fallos que ponían en riesgo la seguridad de la información.

Estos casos reflejan que no es necesario atacar a los sistemas directamente para obtener acceso a información reservada, o incluso a los sistemas de la organización.

Caso 1: Reconocimiento efectivo de subdominios y credenciales filtradas

Una fase de reconocimiento efectiva de enumeración de subdominios llevó a la identificación un servicio de correo electrónico no indexado ni mencionado en las páginas corporativas expuestas. Investigando el hallazgo del portal de Exchange, se consiguió acceso mediante una cuenta que aparecía en una filtración. Las credenciales se encontraban comprometidas y al intentar iniciar sesión, fueron válidas, pudiendo acceder a la cuenta de correo electrónico ya que no estaba activada la autenticación multi factor.

En el reconocimiento de la aplicación, se descubrieron mensajes con credenciales de acceso a más servicios de la organización, además de conseguir los correos electrónicos de todo el personal de la empresa. Esta intrusión proporcionó acceso a otros portales, además de una visión detallada de la infraestructura interna, lo que permitió obtener más información de los trabajadores y acceder a otras zonas desconocidas a las que no se disponía de acceso.

Como resultado, la organización tomó medidas para fortalecer su red y proteger sus usuarios, forzando un cambio de contraseñas de todos los trabajadores y la autenticación multi factor en los usuarios.

Caso 2: Exposición de datos personales

Durante la fase de reconocimiento, se descubrió que la organización tenía expuestos una serie de documentos donde se incluía, entre otros, documentos nacionales de identidad, direcciones postales y números de teléfono que eran fácilmente accesibles mediante Google Hacking.

Este hallazgo planteó graves preocupaciones de privacidad y cumplimiento normativo. El equipo de pentesting compartió estos resultados con la organización, lo que llevó a la implementación de medidas inmediatas para eliminar la exposición de datos sensibles.

Conclusiones

La fase de reconocimiento es esencial para el éxito del pentesting, resultando un pilar fundamental dentro de la evaluación de la ciberseguridad en una empresa. Parte de la información recopilada puede ser útil en las siguientes fases del pentesting, como en el escaneo de vulnerabilidades, explotación y post explotación.

Realizar un reconocimiento exhaustivo puede proporcionar al pentester información valiosa que marque la diferencia durante el pentesting, ayudando a la toma de decisiones e incluso dando acceso a sistemas ocultos.

Las herramientas de ciberseguridad ayudan a los pentesters a recolectar datos de forma efectiva, y deben ser utilizadas con conocimiento sólido de su funcionamiento, además de verificar rigurosamente que la información obtenida es válida.

Respecto a las organizaciones, cada vez son más conscientes de la importancia de la ciberseguridad y el cumplimiento normativo, por lo que se incorporan más los pentesting en las estrategias de ciberseguridad. Así, consiguen evaluar y fortalecer la seguridad de los sistemas y sus datos.

¿Quieres forjar tu camino en la ciberseguridad y convertirte en un hacker ético? En OpenWebinars tienes disponible el Curso de introducción al Ethical Hacking, donde aprenderás de la mano de profesionales las bases de la ciberseguridad y redes. Si ya posees conocimientos en el entorno TIC, también está disponible la Carrera de Especialista en Hacking Ético.