1. Libros y videos
  2. Seguridad informática
  3. Búsqueda de información
Extrait - Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición)
Extractos del libro
Seguridad informática Ethical Hacking : Conocer el ataque para una mejor defensa (6ª edición) Volver a la página de compra del libro

Búsqueda de información

Preámbulo

En una era de rápidos avances tecnológicos y creciente dependencia de la tecnología digital, los ciberataques están en aumento. Estos explotan no solo vulnerabilidades técnicas, sino también humanas, especialmente en el contexto del teletrabajo y la aceleración de la transformación digital. Los ciberdelincuentes atacan redes corporativas para robar, cifrar o manipular datos sensibles con el fin de monetizarlos o interrumpir actividades críticas.

En respuesta, las empresas han incrementado sus inversiones en ciberseguridad, adoptando soluciones avanzadas como la IA, el machine learning y la gestión de identidad digital. Además, las auditorías de seguridad se han convertido en una práctica estándar, integradas en el pliego de especificaciones, incluso para pequeñas empresas.

La evolución de marcos regulatorios, como el RGPD o las directrices NIS2 en Europa, ha amplificado esta conciencia sobre los problemas de seguridad, lo que ha llevado a una creciente demanda de certificaciones profesionales como CISSP, CCSP u OSCP.

Tipos y metodologías de ataques

Antes de detallar la realización de una prueba de intrusión (pentest), es esencial comprender las metodologías actuales empleadas por los atacantes. Estas metodologías incluyen etapas de reconocimiento avanzado, intrusión dirigida y exfiltración de datos. Una prueba de intrusión pretende reproducir estas fases respetando las restricciones éticas y legales, para identificar vulnerabilidades explotables.

1. La evolución del cibercrimen

Desde los años 1970, el perfil de los ciberdelincuentes ha cambiado considerablemente. Motivados por desafíos técnicos o ideales, era habitual que los primeros hackers buscaran mejorar la seguridad de los sistemas (hackers blancos). En el siglo XXI, las motivaciones se han diversificado, incluyendo consideraciones financieras, políticas y estratégicas.

Hoy en día, los ciberataques son orquestados por grupos bien organizados, a menudo apoyados por estados (ciberespionaje) u organizaciones criminales. La aparición de mercados clandestinos en la dark web permite la venta de servicios maliciosos "llave en mano" como RaaS (Ransomware as a Service), que se han utilizado ampliamente en 2025 (especialmente por los grupos Qilin, RansomHub, Cl0p, Akira y DragonForce), haciendo que los ataques sean accesibles a un mayor número de actores maliciosos.

2. Motivaciones

En la actualidad...

Análisis de riesgos

El análisis de riesgos es esencial para priorizar los esfuerzos de ciberseguridad. ISO 27001:2022 e ISO 27005 definen las mejores prácticas para la gestión de riesgos. Puede consultar más información en la página web oficial de la ISO (ISO Official Website), relacionada con los sistemas de información.

En España, el INCIBE (Instituto Nacional de Ciberseguridad) sigue recomendando el uso del método EBIOS recientemente actualizado (EBIOS Risk Manager 1.5 - 2024) para integrar escenarios de riesgo relacionados con nuevas tecnologías, como la IA y el IoT.

En este libro se ofrece un capítulo completo sobre análisis de riesgos escrito por Jérôme Hennecart.

images/cap4_pag6.png

Pruebas de intrusión

Las pruebas de intrusión siguen siendo un pilar de las auditorías de seguridad. Las nuevas metodologías incluyen el uso de herramientas automatizadas de análisis y simulación de ataques, como Cobalt Strike y Bloodhound, que pueden modelar el movimiento lateral y la elevación de privilegios.

Por ejemplo, Cobalt Strike se ha utilizado en campañas de ransomware importantes como las realizadas por el grupo REvil en 2022, mientras que BloodHound se despliega regularmente para mapear rutas de escalada de privilegios en entornos Active Directory durante pruebas avanzadas de intrusión.

1. El pentester

El pentester es un hacker que ha decidido convertir su pasión en una profesión y ganarse la vida con ello. Los pentesters siguen metodologías reconocidas que definen estándares para estructurar las pruebas de intrusión y garantizar su eficacia:

  • OSSTMM (Open Source Security Testing Methodology Manual): metodología de pruebas de seguridad de código abierto que cubre todos los aspectos de la seguridad (física, de red, humana): https://www.isecom.org/OSSTMM.3.pdf

  • OWASP (Open Web Application Security Project) Testing guide: un proyecto comunitario que proporciona recursos y estándares para la seguridad de aplicaciones web (incluyendo las 10 principales vulnerabilidades): https://owasp.org/2020/12/03/wstg-v42-released

  • PTES (Penetration Testing...

Recogida de información o pruebas

Recopilar información es el primer paso en una prueba de intrusión. También sigue un método riguroso que se divide en varios pasos clave:

  • Ingeniería social: manipulación psicológica de individuos para obtener información sensible, tratada en otro capítulo por Damien Bancal.

  • Recogida de información de tipo OSINT (Open Source Intelligence): la búsqueda de información accesible públicamente en Internet.

  • Recogida de información en modo activo: incluye escaneos de red y análisis de servicios abiertos, detección de vulnerabilidades, etc.

  • Análisis de los datos recogidos: agrupación y correlación de la información obtenida para identificar posibles vectores de ataque.

Antes de discutir los detalles de una búsqueda OSINT, es importante recordar que cualquier recopilación de información, ya sea pasiva o activa, se debe hacer con conocimiento de los riesgos implicados en caso de transgredir los límites legales.

Entre estos pasos, la investigación OSINT ocupa un lugar central en la fase de reconocimiento pasivo.

1. Búsqueda OSINT o búsqueda "pasiva"

OSINT (Open Source Intelligence) es información obtenida de fuentes públicas y legalmente accesibles. Consiste en recopilar, analizar y explotar datos de internet, los medios, registros públicos, redes sociales y otras fuentes abiertas para extraer información accionable.

OSINT se utiliza ampliamente en ciberseguridad, inteligencia gubernamental, investigaciones privadas y periodismo de investigación. Su eficacia se basa en la metodología utilizada, la verificación de fuentes y la capacidad de cruzar diferentes datos para obtener una visión precisa y fiable.

a. Antes de empezar su investigación OSINT

Es necesario definir claramente su búsqueda, en particular:

  • el objetivo de la encuesta (empresa, persona, evento, etc.),

  • la información que busca (correos electrónicos, subdominios, direcciones IP, nombres de usuario, etc.),

  • el motivo de la búsqueda (investigación, ciberseguridad, monitorización, etc.).

Tenga en cuenta que en el contexto de un pentest donde solo conocemos la web de la empresa (caja negra), la investigación será sustancial.

Como la investigación...

Conclusión

Al final de este capítulo dedicado a la recopilación de información en ciberseguridad, llegamos al final de un viaje que, espero, habrá hecho posible medir la importancia capital de esta fase en la realización de una prueba de intrusión de calidad.

Para usar la analogía militar mencionada al principio del capítulo: imaginemos un ataque a gran escala sin reconocimiento previo del terreno, sin una evaluación de las fortalezas y debilidades del adversario, sin una estrategia desarrollada según la información recopilada. El resultado sería catastrófico, ¿no? Bueno, lo mismo ocurre con un pentest.

Comenzamos este libro sumergiéndonos en el mundo de las amenazas cibernéticas. La evolución del ciberdelito, las diversas motivaciones de los atacantes, los distintos tipos de ataques, ya sean destructivos, financieros o de tipo APT, todo esto nos ha permitido entender cómo piensan y actúan nuestros adversarios. Porque nunca olvidemos nuestro dicho: "discite impetum melius defende" - "aprende a atacar para defenderte mejor". La cadena de destrucción cibernética que hemos analizado no es un concepto teórico simple, es el hilo conductor que guía a cada pentester profesional en su enfoque. 

Las metodologías de análisis de riesgos y pruebas de intrusión que hemos explorado, han demostrado que una auditoría de seguridad no puede ser improvisada. Tanto si trabaja en una caja negra, gris o blanca, tanto si adopta una estrategia pasiva como agresiva, todo se basa en una base sólida: la recopilación de información....