El reconocimiento pasivo, también conocido como OSINT (Open Source Intelligence), es una fase crítica en el pentesting y en cualquier análisis de seguridad. A diferencia de otras fases, el reconocimiento pasivo no implica interactuar directamente con el objetivo, lo que te permite obtener información vital sin alertar al sistema objetivo.
En este artículo, exploraremos cómo puedes realizar un reconocimiento pasivo eficiente, qué herramientas utilizar y cómo aprovechar fuentes de información pública para mapear la infraestructura de tu objetivo. Si eres nuevo en el tema o buscas mejorar tus habilidades, esta guía completa te ayudará a adentrarte en el mundo del OSINT.
¿Qué es el Reconocimiento Pasivo (OSINT)?
El Reconocimiento Pasivo es la técnica de recopilar información de un objetivo sin hacer contacto directo con el sistema o la red. Utiliza únicamente fuentes de información pública, como redes sociales, registros DNS, búsquedas en motores de búsqueda y otros recursos accesibles sin necesidad de enviar solicitudes al objetivo.
El objetivo principal del reconocimiento pasivo es obtener la mayor cantidad de información posible sobre el objetivo, como subdominios, direcciones IP, correos electrónicos y configuraciones expuestas, todo sin que el objetivo se dé cuenta.
🔍Herramientas Clave para el Reconocimiento Pasivo (OSINT)
🔹Google Dorking
Google Dorking es una de las técnicas más efectivas y fáciles de usar para obtener información sensible a partir de motores de búsqueda. Utiliza operadores avanzados de Google para descubrir archivos, directorios y configuraciones del sistema de un objetivo.
Algunos ejemplos de búsquedas avanzadas son:
- site:example.com filetype:pdf (buscar documentos PDF en un dominio).
- intitle:»index of» site:example.com (buscar directorios abiertos).
- inurl:»admin» site:example.com (buscar paneles de administración).
🔹Whois
El comando whois te permite obtener información de registro sobre dominios, incluidos los datos del propietario, servidores de nombres y más. Es útil para mapear la infraestructura de tu objetivo y obtener detalles sobre su hosting. Ejemplo de uso:
whois example.com
🔹Shodan
Shodan es un motor de búsqueda especializado en encontrar dispositivos conectados a Internet, como cámaras, servidores, impresoras, routers, entre otros. Al buscar en Shodan, puedes descubrir servicios expuestos y vulnerabilidades que podrían ser explotadas. Ejemplo de uso:
- Visita Shodan.io y busca por el nombre del objetivo o sus IPs.
🔹Recon-ng
Recon-ng es una plataforma de OSINT que te permite automatizar el reconocimiento pasivo. Incluye módulos para recopilar datos de redes sociales, bases de datos públicas y otras fuentes de información. Puedes empezar con comandos básicos como:
use recon/domains-hosts/hostnames
set SOURCE example.com
run
🔹TheHarvester
TheHarvester es una herramienta que busca direcciones de correo electrónico, subdominios y nombres de usuario a partir de múltiples fuentes públicas, como motores de búsqueda y bases de datos de PGP. Esto te ayuda a obtener un mapeo detallado de las posibles superficies de ataque de tu objetivo.
Ejemplo de uso:
theharvester -d example.com -b google
🔹Censys
Censys es una herramienta que recopila datos sobre dispositivos conectados a Internet, similar a Shodan. Proporciona información detallada sobre certificados SSL, puertos abiertos y vulnerabilidades conocidas. Puedes buscar por dominio, IP o dirección de correo electrónico.
🧑💻Fuentes de Información Pública para OSINT
🔹Redes Sociales
Las redes sociales, como LinkedIn, Twitter, Facebook y incluso GitHub, son una mina de oro para obtener información sobre empleados, sistemas, infraestructura y tecnologías utilizadas por una organización. Buscar por el nombre de la empresa, empleados clave o subdominios de la organización puede revelar mucha información.
🔹Registros DNS
Los registros DNS (Domain Name System) pueden proporcionar información valiosa sobre subdominios, servidores de correo y más.
Utiliza herramientas como dnsdumpster.com o crt.sh para buscar registros públicos de certificados SSL.
🔹Páginas Web y Blogs
Las páginas de contacto, secciones de noticias o blogs de una empresa pueden contener pistas sobre su infraestructura, proveedores y tecnologías utilizadas. Buscar documentación o anuncios en blogs también puede ser útil.
🔹Certificados SSL
Los certificados SSL de una organización pueden revelar subdominios internos, direcciones IP y otros detalles importantes. Herramientas como crt.sh te permiten buscar certificados SSL asociados a un dominio.
🧬Técnicas Avanzadas de Reconocimiento Pasivo (OSINT)
🔹Búsqueda de Archivos Expuestos
Utiliza Google Dorking para encontrar archivos expuestos en el dominio objetivo. Busca documentos como contratos, manuales o incluso credenciales filtradas que puedan contener información crítica.
🔹Recopilación de Información de Subdominios
Una de las primeras tareas en el reconocimiento pasivo es mapear los subdominios del objetivo. Los subdominios pueden ofrecer rutas alternativas para explotar un sistema. Herramientas como Sublist3r, Amass o Censys son muy útiles para esta tarea.
🔹Crawling de Redes Sociales
Las redes sociales pueden ofrecer detalles sobre las tecnologías y personas dentro de la organización. Buscar perfiles de empleados de alto rango en LinkedIn o Twitter puede ser clave para identificar posibles vectores de ataque.
Mira la foto de un orangután de esos
