¿Cuál es la diferencia entre un Proceso y un Hilo?

Hoy os traigo una pregunta muy popular en una entrevista: ¿Cuál es la diferencia entre un Proceso y un Hilo?

Para entender bien la distinción, lo primero que tenemos que definir es lo que es un Programa. Un programa es un archivo ejecutable que contiene un conjunto de instrucciones que se almacenan en el disco. Un solo programa puede tener múltiples procesos asociados a él. Por ejemplo, Chrome crea procesos separados para cada pestaña abierta del navegador, pero todos y cada uno de los procesos pertenecen a Chrome.

Cuando un programa se carga en la memoria de un ordenador y comienza a ejecutarse, se convierte en un Proceso. El proceso recién activado requiere acceso a recursos esenciales como registros, un contador de programa y una pila de llamadas para operar.

En el contexto de un proceso en ejecución, un hilo representa la secuencia más pequeña de instrucciones que puede ser gestionada independientemente por el planificador del sistema operativo.

La relación entre un programa, un proceso y un hilo puede resumirse en tres pasos:

  1. Un programa comienza como un conjunto estático de instrucciones contenidas en un archivo ejecutable.
  2. Cuando se carga en memoria, el programa previamente inerte, se activa en uno o más procesos en ejecución.
  3. Después de que un proceso se inicializa, adquiere memoria y recursos del sistema operativo. Un único proceso puede subdividirse en uno o varios subprocesos si es necesario. Por ejemplo, Microsoft Word suele dedicar un hilo a tareas de corrección ortográfica y otro a insertar texto en un documento.

Existen varias diferencias clave entre los procesos y los hilos:

  • Los procesos tienden a ejecutarse independientemente unos de otros, mientras que los hilos existen dentro del contexto de un proceso padre.
  • Los procesos individuales no comparten el mismo espacio de memoria, mientras que los hilos que pertenecen al mismo proceso padre pueden acceder a la memoria compartida.
  • Los procesos requieren más sobrecarga para inicializarse y terminarse que los hilos. Son operaciones de peso pesado.
  • La transición entre procesos requiere un cambio de contexto más caro en comparación con la transición entre hilos.
  • La comunicación y el intercambio de datos puede ocurrir más rápido entre los hilos, ya que habitan en el mismo contexto de proceso.
Fuente: ByteByteGoFuente: ByteByteGo

Compilador en línea, depurador visual y tutor de inteligencia artificial

¿Te has preguntado alguna vez cómo se ejecuta realmente tu código? ¿Te gustaría ver visualmente cómo cambian las variables y estructuras de datos a medida que avanzas línea por línea? Python Tutor es la herramienta perfecta para ti.

Python Tutor es una plataforma educativa gratuita que te permite visualizar la ejecución de tu código Python (y otros lenguajes) de manera interactiva, facilitando la comprensión de conceptos complejos y el seguimiento del flujo de tu programa.

Entrando en su web, puedes encontrar un ejemplo de como funciona para que veas lo útil que puede llegar a ser. Este es el ejemplo:

Enlace: https://pythontutor.com/

Minientrada

Si tienes un Samsung te taigo un truco muy útil

Hoy a todos los que tenéis un Samsung os traigo una guía de como lograr transformar las imágenes de la galería en un sólo archivo PDF.

Para hacerlo el primer paso es ingresar a las opciones de galería y seleccionar la opción «acerca de la galería«. En el punto donde aparece la versión, pulsar varias veces seguidas hasta que aparezca el mensaje de que se ha activado (11 veces).

Volviendo a la configuración, aparecerá la opción Gallery Labs que es la nueva función que se ha activado. En ese menú debemos activar la opción «Save as PDF«.

Finalmente, ya solo te queda seleccionar las imágenes deseadas y en la opción «crear» aparecerá la opción «guardar como PDF«.

Ingeniería Social (Parte 3)

Tercera entrega de este grupo de artículos en el que os hablo de la ingeniería social, que es una de las amenazas más insidiosas en el ámbito de la ciberseguridad, explotando la confianza y la manipulación psicológica para acceder a información confidencial. Es crucial estar siempre alerta y educarnos sobre estas tácticas para no caer en sus trampas. Podéis leer antes la parte 1 (Enlace) y la parte 2 (Enlace).

Hoy os traigo una herramienta muy interesante para poder realizar este tipo de ataques.

SET

El Social Engineer Toolkit (SET) es una suite diseñada para la ingeniería social que permite automatizar diversas tareas. Con SET, puedes clonar cualquier página web y lanzar un servidor para hacer phishing en segundos, o generar un código QR que dirija a una URL específica o ejecute una applet maliciosa cuando se escanee.

SET integra muchas funciones de Metasploit, por lo que es necesario tener Metasploit instalado para usar SET. Utilizaremos la distribución Kali Linux, que viene con SET y Metasploit preinstalados. Para ejecutarlo, búscalo en el menú de Aplicaciones o escribe setoolkit en la línea de comandos.

Aquí os muestro un ejemplo de la herramienta en un terminal KALI. La pantalla principal nos proporciona diversas opciones para ejecutar: la primera consiste en diferentes ataques de ingeniería social, la segunda ataques de exploit como inyecciones de SQL, entre otros…. y la tercera módulos de ataque de terceras partes. El resto son opciones para actualizar la herramienta, ayuda, créditos…

Os voy a explicar algunos de los ataques de ingeniería social que nos ofrece la herramienta:

  • Spear-Phishing Attack Vectors: se utiliza para llevar a cabo ataques de correo electrónico dirigidos contra la víctima. Permite enviar emails de forma masiva o a un objetivo. También permite falsificar la dirección de email de emisor.
  • Infectious Media Generator: nos permite crear medios infectados, ya sea un USB, un CD o un DVD, con un archivo autorun.inf, con un payload de Metasploit que se ejecutará automáticamente si la opción de autorun está activada.
  • Create a Payload and Listener: crea un payload de Metasploit y un servidor a la escucha del payload.

Ofrece muchas más funciones (QRCode Generator Attack Vector, Website Attack Vectors, Third Party Modules, etc.) pero estas son las que me han parecido más interesantes.

Os dejo un vídeo, que aunque es antiguo y está algo desactualizado, nos sirve para entender SET. Enlace al vídeo

Conclusión

El Social Engineer Toolkit (SET) es una herramienta poderosa y versátil para llevar a cabo ataques de ingeniería social de manera eficiente. Su capacidad para automatizar tareas como la clonación de páginas web y la generación de códigos QR maliciosos lo convierte en un recurso valioso tanto para profesionales de la ciberseguridad como para aquellos que buscan comprender y mitigar este tipo de amenazas. Sin embargo, es crucial utilizarlo de manera ética y responsable, siempre con el objetivo de mejorar la seguridad y proteger la información. Con la distribución Kali Linux, que incluye ambas herramientas, SET se consolida como una herramienta esencial en el arsenal de ciberseguridad.

Ataque DDoS más grande de la Historia

El pasado 2 de octubre de 2024 se produjo el mayor ataque DDoS registrado hasta la fecha. Cloudflare confirmó que este ataue alcanzó un pico de 3.8 terabits por segundo (Tbps), superando a cualquier otro ataque de este tipo en la historia.

El objetivo de un ataque de denegación de servicio distribuido (DDoS) es denegar a los usuarios legítimos el acceso a un servicio. Para ello, los atacantes agotan los recursos que se necesitan para proporcionar el servicio. En el contexto de estos recientes ataques DDoS a las capas 3/4, ese recurso son los ciclos de CPU y el ancho de banda de la red.

Los autores del ataque aún son desconocidos, pero se cree que provienen de una red de dispositivos hackeados de difrentes partes del mundo. Este ataque fue parte de una campaña mayor que incluyó numerooso ataques DDo en un solo mes y con el pico en el indicado ataque de 3.8Tbps.

CloudFlare utilizó sus avanzados sistemas de protección contra DDoS para mitigar el ataque de manera automática. Estos sistemas detectaros y neutralizaron el ataque en 65 segundos, un tiempo record que evitó que causaran un daño significativo.

Como ya sabéis, este tipo de ataques puede dejar páginas webs fuera de servicio, causando péridas económicas importantes. Estas pérdidas son fáciles de entender con este ejemplo: «Imagina que eres el dueño de una tienda online que hace 100 ventas al día. Si recibes una ataque DDoS que impiden el acceso a potenciales compradores a tu web durante todo un día, perderías esas ventas. Si esto se repite varias veces al mes, el daño puede ser muy importante».

En el caso de CloudFlare los principales afectados fueron empresas de servicios financieros, telecomunicaciones e Internet. Este ataque demuestra la imporatacia de contar con sistemas de seguridad robustos y la importancia de tener la capacidad de responder rápidamente a amenazas cibernéticas.

En futuras entregas explicaremos en más profundidad este tipo de ataques.

Rarezas y cosas que no sabías de JavaScript – Parte 2

Hace un tiempo os traje una publicación en la que os mostraba algunas cosas curiosas que tiene el lenguaje JavaScript. Lo puedes ver en este enlace: «Rarezas y cosas que no sabías de JavaScript«.

Expresiones regulares

Vamos a comenzar hablando de algunos secretos en las expresiones regulares. Este en concreto, apareció en la versión 1.3.

El uso que se le suele dar a la función «replace()» suele ser algo de este estilo: alert('10 13 21 48 52'.replace(/d+/g, '*')); //reemplaza todos los números por *. Se trata de una forma simple de usarlo, pero ¿qué pasaría si quisiéramos tener más control? ¿Qué pasaría si, por ejemplo, quisiéramos reemplazar solo los números menores de 20? Necesitamos saltar a una función de devolución de llamada para evaluar cada coincidencia.

alert('10 13 21 48 52'.replace(/d+/g, function(match) { return parseInt(match) 20 ? '*' : match;}));

Para cada coincidencia realizada, JavaScript llama a nuestra función y pasa la coincidencia a nuestro argumento de coincidencia. Luego, devolvemos el asterisco (si el número coincidente es inferior a 20) o la coincidencia misma (es decir, no debería realizarse ninguna coincidencia).

Otra función que es desconocida por mucha gente es la función «test()». Seguro que has usado expresiones regulares para buscar coincidencias en cadenas de texto. Y seguro que las funciones que has utilizado son «match» y «replace«, ya que solo con esas dos ya resuelves una gran parte de tus problemas. La función «test» funciona igual que «match» pero en lugar de devolver la coincidencia, devuelve true o false en caso de que el patrón coincida o no lo haga. Ejemplo: /w{3,}/.test('Hello') –> devuelve ‘true’.

Finalmente destacar la función «RegExp» que permite utilizar expresiones regulares de forma dinámica, es decir, permite pasar una variable que contenga la expresión regular, en lugar de tener que declararla con la forma corta (entre barras diagonales, como en el ejemplo anterior).

function findWord(word, string) { var instancesOfWord = string.match(new RegExp('b'+word+'b', 'ig')); alert(instancesOfWord);}findWord('car', 'Carl went to buy a car but had forgotten his credit card.');

Debido a que se especifican como cadenas, no mediante sintaxis de barra diagonal, podemos usar variables para crear el patrón. Sin embargo, esto también significa que debemos aplicar doble escape a cualquier carácter especial, como hicimos con el carácter de límite de palabra.

Misceláneas

Este problema no es exclusivo de JavaScript; de hecho, es una peculiaridad común en la informática que afecta a muchos lenguajes. La salida que obtienes al hacer esto 0.1 + 0.2 es 0.30000000000000004.

Esto está relacionado con lo que se conoce como la precisión de las máquinas. Cuando JavaScript intenta ejecutar la operación anterior, convierte los valores a sus equivalentes binarios.

Aquí es donde surge el problema: el valor 0.1 no es exactamente 0.1, sino una aproximación binaria cercana. En resumen, tan pronto como ingresas estos valores, ya están destinados a perder algo de precisión. Quizás esperabas dos decimales simples, pero lo que obtienes es el resultado de una aritmética binaria de punto flotante. Es como intentar traducir tu texto al ruso pero recibirlo en bielorruso: parecidos, pero no iguales.

Hay más aspectos técnicos aquí, pero son complejos y exceden el alcance de este artículo.

Las soluciones a este problema son un tema frecuente en los foros de desarrollo. La elección de una solución depende del tipo de cálculos que estés realizando. Aunque no entraremos en detalle sobre los pros y contras de cada método, las opciones comunes incluyen:

  1. Convertir a enteros y hacer los cálculos antes de volver a convertir a decimales.
  2. Modificar la lógica para permitir un rango de valores en lugar de un resultado exacto.

Es decir, en lugar de hacer:

var num1 = 0.1, num2 = 0.2, shouldEqual = 0.3;
alert(num1 + num2 == shouldEqual); // false

Podías hacer:

alert(num1 + num2 > shouldEqual - 0.001 && num1 + num2 < shouldEqual + 0.001); // true

En esencia, estás verificando si la suma de 0.1 + 0.2 es aproximadamente 0.3, dentro de un margen de error de 0.001 a cada lado. El inconveniente es que, para cálculos que requieren alta precisión, esta aproximación podría no ser adecuada.

Algo indefinido se puede definir

Vamos a terminar con un caso curioso y aparentemente inofensivo. Aunque undefined tiene un significado especial en JavaScript y se utiliza para determinar si una variable no está definida, sorprendentemente, no es una palabra reservada. Esto significa que puedes reasignarla, lo cual puede llevar a comportamientos inesperados. Por ejemplo:

var someVar;
alert(someVar == undefined); // evalúa como true

Hasta aquí todo parece normal. Sin embargo, considera lo siguiente:

undefined = "¡Ya no soy undefined!";
var someVar;
alert(someVar == undefined); // evalúa como false

Como ves, al reasignar undefined, cambias su significado, lo que puede causar errores difíciles de detectar. Para evitar problemas como este, es recomendable no modificar undefined y siempre mantener buenas prácticas de codificación. Además, puedes consultar la lista de palabras reservadas de JavaScript en Mozilla para futuras referencias.

Trucos de WhatsApp que casi Nadie Conoce

WhatsApp se ha convertido en una de las aplicaciones de mensajería más populares del mundo, utilizada por millones de personas para comunicarse a diario. Aunque la mayoría de nosotros utilizamos sus funciones básicas, WhatsApp ofrece una variedad de trucos y características ocultas que pueden mejorar tu experiencia de usuario. En este artículo, te presentamos algunos de los trucos más útiles y menos conocidos para convertirte en un experto de WhatsApp.

    • Para escribir en negrita: coloca un asterisco antes y después del mensaje: *texto*.
    • Para escribir en cursiva: coloca un guión bajo antes y después del texto: _texto_.
    • Para escribir texto tachado: coloca una tilde ~ antes y después de tu mensaje: ~texto~.
    • Crea tus propios Stickers
      1. Abre WhatsApp en el PC (o en la App)
      2. Presiona el botón de la cara sonriente de los emojis.
      3. Selecciona “Stickers” y luego pulsa el botón “+”.
      4. Elige la foto que quieres usar.
      5. Adapta el tamaño y confirma en el botón de arriba a la izquierda.
    • Previsualiza los mensajes de voz antes de enviarlos.
      1. Desliza hacia arriba en el icono del micrófono para bloquearlo en modo de grabación.
      2. Reproduce el mensaje para asegurarte de que dijiste lo que querías.
      3. Si es necesario, grábalo de nuevo antes de enviarlo.
    • Envía mensajes de voz para que solo se escuchen una vez.
      1. Desliza hacia arriba en el icono del micrófono para bloquearlo en modo de grabación.
      2. Pulsa el botón con el ‘1’ a la derecha del reproductor.
    • Protege tus chats con una contraseña mediante el bloqueo de chat.
      1. Presiona en el nombre del contacto o grupo.
      2. Desliza hacia abajo hasta encontrar “Restringir Chat” y actívalo.
      3. Dale a Continuar y confirma con tu huella dactilar o sistema de bloqueo configurado.
    • Accede a los chats que has restringido.
      1. En la sección “Chat”, desliza hacia arriba para mostrar más opciones.
      2. Selecciona “Chats restringidos”, solo accesible con tu huella o sistema de bloqueo.
    • Envía un mensaje sin guardar el contacto desde el móvil.
      1. Pulsa el botón de mensaje nuevo en la pantalla de “Chat”.
      2. Dale al botón de la lupa y escribe el número con el prefijo, pero sin el símbolo “+”.
    • Envía un mensaje sin guardar el contacto desde el PC.
      1. Abre cualquier navegador web.
      2. Ingresa la URL: https://api.whatsapp.com/send?phone=xxxxxxxxxx. Reemplaza las ‘x’ con el número de teléfono, sin el símbolo “+” del prefijo, y presiona “Ir al chat”.
    • Atajos de teclado en WhatsApp para PC.
      1. Pulsa “Configuración” abajo a la izquierda.
      2. Selecciona “Atajos” y visualiza la lista de atajos disponibles.
    • Usa emojis automáticamente en WhatsApp para PC.
      1. Pulsa “Configuración” abajo a la izquierda.
      2. Selecciona “General” y activa “Reemplazar texto con emojis”.
    • Añade múltiples cuentas en WhatsApp.
      1. Pulsa el icono de los tres puntos y accede a “Ajustes”.
      2. Ve a “Cuenta” y selecciona “Añadir cuenta”.
      3. Presiona “+ Añadir Cuenta” y sigue las instrucciones.
    • Usa la función «Deshacer eliminar para mí» en WhatsApp.
      1. Deja pulsado el mensaje que vas a eliminar.
      2. Si pulsas “Eliminar para mí” por error, clica en “Deshacer” que aparece abajo a la derecha.
    • Fija hasta 3 mensajes en un chat.
      1. Deja pulsado el mensaje que quieres fijar.
      2. Presiona los tres puntos arriba a la derecha y selecciona “Fijar”.
      3. Elige el tiempo de fijación: 24 horas, 7 días o 30 días.
    • Envía videos de alta calidad en WhatsApp.
      1. Presiona el clip para adjuntar archivos.
      2. Busca o graba el video.
      3. Pulsa en el botón “HD” que aparece arriba y selecciona la máxima calidad.

¡No dudes en compartir estos trucos con tus amigos y familiares para que todos puedan disfrutar de una mejor experiencia en WhatsApp!

Ingeniería Social (Parte 2)

El otro día, en el artítulo «El Eslabón más Débil: Ingeniería Social» os hablaba de la importancia de la Ingeniería Social en los ciberataques actuales y que el motivo de que fuera una técnica tan utilizada era que cada vez los sistemas son más complejos y difíciles de romper y por tanto, hay que buscar el eslabón más débil. Hoy vamos a explicar en más profundidad en qué consiste esta técnica.

Clasificación

Hay muchos métodos de ingeniería social, pero se pueden agrupan en:

  • Técnicas pasivas.
    • Observación.
  • Técnicas no presenciales.
    • Correo electrónico.
    • Teléfono.
    • Correo ordinario.
    • Fax.
  • Técnicas presenciales no agresivas.
    • Hablar con conocidos y otras personas.
    • Vigilancia.
    • Seguimiento.
    • Utilización de acreditaciones falsas para obtener información.
    • Técnicas de desinformación.
  • Técnicas presennciales agresivas.
    • Suplantación de indentidad.
    • Chantaje o extorsión.
    • Despersonalización (Drogas, alcohol…)
    • Presión psicológica.

De todos estos, la técnica más utilizada es la no presencial. Esta suele ser bastante efectivo y es más complicado que la identidad del atacante se vea comprometida. Es por esto que habitualmente nos pueden llegar mails que suelen tener uno de estos «formatos»:

  • Suplantación identidad de alguna gran entidad o empresa (Apple, Google…), servicio del estado (correos, hacienda, la policía…), banco o página web… de la cual se desee obtener información. La página fraudulenta podrá recopilar las credenciales de las víctimas así.
  • Incitar a abrir documentos o archivos infectados, ya sea por engaño haciéndolos pasar por documentos importantes, por información comprometida de la persona, publicidad engañosa…

Se podría decir que «En todas las empresas siempre hay un Jose y una Andrea que hacen clic a todo. Les llega un correo con vacaciones gratis al Caribe, clic; quieren hacerse fotos con alguien famoso, clic; les invitan a una gala para darles un premio, clic…»

Las personas son un mundo y los atacantes también, es por ello que la ingeniería social depende de cada atacante y de cada situación. En ciertas ocasiones con enviar un mensaje al administrador de segurida de la empresa solicitando la IP de un servidor FTP, la obtienes. Otras veces necesitas enviar un spam masivo a todos los empleados de la empresa confiando en que alguno haga click en un enlace. Y otras necesitarás solamente sentarte en el metro al lado de la víctima para ver la contraseña de su móvil cuando la introduzca. Como he dicho… la ingeniería social es un arte.

Al ser tan diversas las situaciones o métodos utilizados, no hay una solución perfecta. Y aunque se puede reducir al máximo el peligro, las personas siempre son susceptibles al engaño.

Es por ello que lo mejor que se puede hacer es tomar medidas para reducir estas técnicas y minimizar su impacto:

  • La mejor prevención contra las técnicas de ingeniería social es la concienciación sobre la seguridad.
  • Nunca compartas tus contraseñas, ya que nadie debería pedírtelas, y evita divulgar información de la empresa a personas externas.
  • Utiliza un servidor de correo interno para filtrar el spam y mantén separados los correos personales de los laborales.
  • Además, asegura que la descentralización en la empresa esté bien organizada, con segmentos claramente definidos para la transmisión de información hasta los ejecutivos.

La educación y la organización son esenciales para protegernos de estas amenazas.

Ejemplos

  • Un ejemplo clásico es dejar un USB «olvidado» en el suelo o en una mesa cercana a la persona que queremos atacar. Una persona sin conocimientos de informática probablemente lo conectará a su ordenador para ver su contenido. A partir de ahí, el USB puede contener software autoejecutable que realiza acciones en segundo plano, como el Rubber Ducky USB, que actúa como un teclado externo y ejecuta scripts como si el atacante estuviera frente al ordenador, o archivos infectados que la víctima podría abrir. La curiosidad humana es una poderosa herramienta para los atacantes.
  • Otro ejemplo es crear una copia de la web de un banco y un mail fraudulento alegando alguna actividad  extraña en la cuenta o algún cargo que se ha realizado. De esta forma el usuario entraría en nuestra web y ya tendríamos las contraseñas. En la primera imagen podéis ver una web falsa y en la segunda la original.

  • Al igual que con el banco se pueden copiar otras webs como la de Apple u otras. Hace unos años se suplantó a Correos para conseguir que los usuarios descargaran un documento que cifraba el disco duro (Ransomware).
  • La ingeniería social persona a persona es igual de peligrosa, ya sea por teléfono, chats o en persona. Hoy en día, internet ofrece una gran cantidad de información sobre cualquier individuo si se sabe dónde buscar. Con estos datos, un atacante puede asumir un rol convincente para engañar a alguien. Redes como LinkedIn pueden revelar información sobre el entorno laboral de una persona, mientras que Facebook puede proporcionar detalles sobre sus costumbres, aficiones y familiares.

Sobre este último caso Kevin Mitnick nos da un ejemplo muy claro de como poder conseguir información de una empresa. Lo hace en su libro El arte de la intrusión.

  1. Llamada 1: El atacante llama a la oficina central de una empresa haciéndose pasar por una agencia de prensa y solicita el nombre del director de marketing, el fax de la recepción y los nombres de algunas personas de otros departamentos.
  2. Llamada 2: El atacante llama de nuevo, fingiendo ser un empleado nuevo en la oficina. Utilizando los nombres obtenidos anteriormente, pide hablar con el director de marketing. Alegando problemas informáticos, solicita que se envíen los planes de marketing al fax de la oficina central, usando un nombre inventado. El director, confiando en la familiaridad del atacante con el personal, envía los documentos.
  3. Llamada 3: El atacante llama nuevamente a la oficina central, usando el nombre inventado, y afirma ser de una consultora externa. Explica que hubo un error y el fax con los planes de marketing fue enviado allí por accidente, pidiendo que se lo reenvíen. La recepcionista, reconociendo el nombre y el asunto del fax, lo envía sin problemas.
  4. Finalmente, el atacante recoge el fax con el plan de marketing de la compañía en una copistería cercana.

Espero que este artículo os haya servido de ayuda y conciencie sobre los peligros de la ingeniería social. En el siguiente hablaremos de algunas herramientas que se utilizan para realizar estos ataques.

Minientrada

Aprende Patrones de Diseño

Hoy os traigo una web, que en mi opinión, es la mejor forma de aprender patrones de diseño en distintos lenguajes como JS, PHP, Python o Java. Además, está en español.

La web es refactoring.guru y «te ayuda a descubrir todo lo que necesitas saber sobre la refactorización, los patrones de diseño, los principios SOLID y otros temas de la programación inteligente».

Antes de un Ataque hay que Buscar Información: Footprinting

Antes de llevar a cabo cualquier ataque cibernético, la primera y crucial etapa es la búsqueda de información del objetivo. Esta fase, implica reunir datos detallados sobre la organización o individuo objetivo para identificar posibles vulnerabilidades. A través de diversas técnicas de ingeniería social (de la que os hablé el otro día y os hablaré en futuros artículos: Enlace), análisis de redes y exploración de recursos públicos, los atacantes pueden descubrir puntos débiles que les permitan acceder a sistemas críticos.

Comprender esta etapa es esencial no solo para los cibercriminales, sino también para los profesionales de ciberseguridad, ya que les permite anticiparse a las amenazas y fortalecer las defensas. En este artículo, exploraremos las metodologías y herramientas empleadas en la recolección de información y cómo pueden ser contrarrestadas para proteger nuestros activos digitales.

El footprinting consiste en la búsqueda de información pública del objetivo, es decir, recoger toda la información útil que esté publicada en Internet, ya sea a propósito o por  desconocimiento.

Esta búsqueda de información no se considera delito, ya que esta información es pública y además la entidad no debería detectarlo. Se buscará cualquier dato que nos sea de utilidad para poder lanzar posteriormente un ataque.

Una vez elegido el objetivo, el primer paso es navegar por el sitio web de la organización y utilizar sus aplicaciones y servicios en busca de errores. Esto incluye buscar enlaces olvidados que no deberían estar allí, especialmente en sitios web muy grandes, y examinar las llamadas a la base de datos. Al realizar consultas con parámetros incorrectos, como referencias a tablas inexistentes o intentos de introducir datos en una tabla vinculada con claves ajenas, la base de datos puede mostrar errores que revelen nombres de campos y tablas. Estos datos sensibles pueden ser explotados para llevar a cabo una inyección SQL, abriendo una puerta a posibles ataques.

Hay un mecanismo que utilizan algunas páginas web para que los buscadores como Bing o Google no indexen ciertas páginas de un sitio web en sus bases de datos. Es el llamado robots.txt, el cual se encuentra en la URL:

www.nombredelapagina.com/robots.txt

Si visitamos esa dirección en algunos sitios web podremos encontrar también una gran fuente de información, ya que se suele utilizar para poner las direcciones de páginas de administración del sitio o zonas restringidas de la entidad.

Después deberemos descargarnos el código fuente del sitio web entero. Para ello usaremos la herramienta httrack en Windows o webhttrack para Linux o Mac OS X. Esta herramienta dispone tanto de modo de uso gráfico como en consola. Con ella podremos descargarnos todo el sitio web de una entidad: el código HTML de las páginas web, las imágenes, documentos y archivos que tenga e incluso todas las páginas a las que enlace.

La herramienta se debe usar con precaución, pues permite la descarga simultánea de muchos objetos (imágenes, documentos, páginas…) y puede llegar a saturar la red si se realizan muchas conexiones al mismo tiempo.

Cuando ya tenemos todo el código se puede buscar en él. Muchas veces los desarrolladores suelen dejar comentarios que nos pueden ser útiles. De hecho hay demasiadas ocasiones en las que hay nombres de usuario y contraseñas por defecto, cuentas de correo, nombres reales…

Como todos sabréis, el formato de un comentarioen HTML es:

<!- – comentario del código – ->

Por lo que se pueden realizar búsquedas de la siguientes formas:

cat *.html | grep contraseña
cat *.html | grep –A 3 “<\!”

La primera busca en todos los archivos si está la palabra contraseña y la segunda busca el inicio de un comentario y muestra las siguientes tres líneas (por si el comentario fuera demasiado largo).

Otro paso interesante es preguntar a los buscadores (Google, Bing…) por el dominio del que nos interesa obtener información. En muchas ocasiones las arañas (crawlers) que utilizan los buscadores para navegar por internet de forma autonoma e indexar páginas, indexan páginas que no deben o que nos muestran cierta información que es difícil de encontrar de forma manual.

Tenéis más información en la siguiente entrada Enlace

Los buscadores tienen una serie de palabras y carácteres reservados para especificar más las búsqueda. Y para encontrar búsquedas más avanzadas (los llamados Dorks de Google) es recomendable visitar el repositorio de la Google Hacking Database (GHDB), que se encuentra en la página: https://blog.miguelandrescaballero.es/dorks

En esa web se pueden encontrar diferentes búsquedas realizadas para encontrar vulnerabilidades, usuarios, archivos… hasta contraseñas. Muchas de las búsquedas están desactualizadas, pero a día de hoy aún siguen apareciendo nuevos resultados útiles.

 

Y para no alargar mucho más este tema, continuaremos hablando sobre esto en futuras entradas y os indicaremos algunas herramientas útiles que se pueden utilizar para agilizar la búsqueda de información.