Introducción al Pentesting - 1. Recolección de Información Pasiva

La recolección de información pasiva constituye el fundamento de cualquier auditoría de seguridad informática exitosa, representando el primer paso crítico en las metodologías de pentesting reconocidas internacionalmente. Este proceso, que implica la obtención de inteligencia sobre el objetivo sin establecer contacto directo con sus sistemas, permite a los profesionales de seguridad desarrollar un entendimiento profundo de la infraestructura, procesos y posibles vectores de ataque antes de proceder a fases más intrusivas. La eficacia de esta etapa determina en gran medida el éxito de todo el proceso de evaluación de seguridad, proporcionando el contexto necesario para tomar decisiones informadas y minimizar los riesgos durante las pruebas posteriores.

Fundamentos de la Recolección de Información Pasiva

La recolección de información pasiva, también conocida como reconocimiento pasivo, se define como el proceso de recopilación de datos sobre un objetivo sin establecer una conexión directa entre el auditor y los sistemas del cliente¹². Esta metodología se distingue fundamentalmente de las técnicas activas porque no genera tráfico hacia la infraestructura del objetivo, evitando así la activación de sistemas de detección como firewalls, IDS (Sistemas de Detección de Intrusos) o SIEM (Security Information and Event Management)³.

El concepto de inteligencia de fuentes abiertas (OSINT, por sus siglas en inglés) constituye el núcleo de esta disciplina. OSINT se define como la extracción de inteligencia de alto valor mediante la recopilación de registros de fuentes abiertas para crear un perfil integral de objetivos específicos²⁴. Esta información puede incluir desde direcciones de correo electrónico y subdominios hasta detalles técnicos sobre la infraestructura y datos personales de empleados que pueden ser utilizados posteriormente en ataques de ingeniería social⁵.

La Importancia Estratégica en el Pentesting

La fase de recolección de información pasiva adquiere una importancia fundamental que va más allá de la simple obtención de datos técnicos. Como enfatiza el Penetration Testing Execution Standard (PTES), esta etapa permite a los auditores comprender no solo la infraestructura tecnológica, sino también el contexto empresarial y operacional del objetivo⁶⁷. Esta comprensión integral es esencial porque diferentes sectores industriales tienen distintos niveles de tolerancia al riesgo y impactos operacionales³.

Por ejemplo, una empresa que se dedica a la fabricación de productos básicos puede tolerar una desconexión temporal de internet sin mayores consecuencias financieras. Sin embargo, una firma que opera en mercados financieros podría experimentar pérdidas millonarias por una interrupción de apenas diez minutos en sus sistemas de trading³. Esta diferenciación sectorial influye directamente en la planificación y ejecución de las pruebas de penetración, determinando qué vulnerabilidades representan riesgos críticos y cuáles pueden considerarse de menor prioridad.

La metodología PTES establece que aproximadamente el 30% del tiempo total del proyecto debería dedicarse a la recolección de información³. Esta inversión temporal se justifica porque una recolección exhaustiva proporciona múltiples vectores de ataque alternativos, evitando el temido escenario de “callejón sin salida” donde el auditor no encuentra vulnerabilidades explotables³. La documentación adecuada de todos los hallazgos, incluso los negativos, resulta crucial para demostrar el valor del trabajo realizado y proporcionar una evaluación completa de la postura de seguridad del cliente³.

Técnicas Fundamentales de OSINT

Google Hacking y Búsquedas Avanzadas

El Google Hacking, también conocido como Google Dorking, representa una de las técnicas más poderosas para la recolección de información pasiva⁸⁹. Esta metodología utiliza operadores de búsqueda especializados para localizar información sensible que las organizaciones han expuesto inadvertidamente en internet. Los operadores fundamentales incluyen site:, intitle:, inurl:, filetype: y cache:⁹.

La técnica aprovecha el hecho de que muchas aplicaciones web incluyen información sobre sus versiones en cada página que sirven, como “Powered by XOOPS 2.2.3 Final”, que puede utilizarse para buscar sitios web que ejecutan versiones vulnerables⁸. Por ejemplo, una consulta como intitle:admbook intitle:Fversion filetype:php localizaría páginas PHP con las cadenas “admbook” y “Fversion” en sus títulos, indicando el uso de Admbook, una aplicación con vulnerabilidades conocidas de inyección de código⁸.

flowchart LR
    A[Google Hacking] --> B[site: dominio.com]
    A --> C[filetype: pdf]
    A --> D[intitle: admin]
    A --> E[inurl: login]
    A --> F[cache: url]
    
    B --> G[Páginas específicas del dominio]
    C --> H[Documentos PDF expuestos]
    D --> I[Páginas de administración]
    E --> J[Formularios de acceso]
    F --> K[Versiones en caché]
    
    G --> L[Información corporativa]
    H --> M[Metadatos internos]
    I --> N[Paneles de control]
    J --> O[Endpoints de autenticación]
    K --> P[Contenido histórico]

Herramientas Especializadas de Recolección

theHarvester se posiciona como una de las herramientas más utilizadas para la recolección automatizada de información⁵¹⁰. Esta herramienta OSINT permite recopilar direcciones de correo electrónico, subdominios, hosts virtuales, puertos abiertos, banners y nombres de empleados de una organización desde diferentes fuentes públicas como motores de búsqueda, servidores de claves PGP, direcciones IP y URLs⁵¹⁰.

La sintaxis básica de theHarvester es theHarvester -d dominio.com -b fuente, donde las fuentes pueden incluir Google, Bing, Yahoo, Shodan, y muchas otras⁵. La herramienta también permite configurar claves API para servicios como Hunter.io, lo que mejora significativamente la calidad y cantidad de resultados obtenidos⁵.

Shodan, conocido como “el Google para hackers”, permite encontrar dispositivos conectados a internet como servidores, routers y cámaras web⁴¹¹. Esta plataforma escanea internet en busca de dispositivos expuestos, proporcionando información valiosa sobre la red de una organización y ayudando a identificar sistemas sin parches o puntos débiles⁴.

Maltego sobresale como una de las herramientas OSINT más poderosas, permitiendo a los usuarios mapear visualmente las conexiones entre varios puntos de datos⁴¹¹. Facilita la identificación de relaciones entre entidades como personas, organizaciones y sitios web, siendo especialmente útil para el análisis de redes, rastreo de entidades en línea y descubrimiento de enlaces ocultos dentro de grandes conjuntos de datos⁴.

Extracción y Análisis de Metadatos

La extracción de metadatos constituye una técnica fundamental que revela información que las organizaciones frecuentemente exponen sin darse cuenta¹²¹³. Los metadatos pueden incluir nombres de autores, fechas de creación/modificación, rutas de archivos que revelan la arquitectura del sistema, direcciones IP incrustadas en documentos, coordenadas GPS de archivos geoetiquetados, y versiones de software utilizadas para crear los documentos¹².

FOCA (Fingerprinting Organizations with Collected Archives) representa una herramienta especializada en el análisis de metadatos tanto de documentos individuales como de organizaciones completas¹³. Esta herramienta gratuita, desarrollada por ElevenPaths, puede analizar documentos PDF, archivos de Microsoft Office (DOCX, XLSX, PPTX), imágenes (JPG, JPEG, PNG, GIF) y archivos CSV¹³. FOCA también realiza análisis de dominios, incluyendo recopilación de información WHOIS, análisis de registros DNS y análisis de certificados SSL¹².

El proceso de extracción de metadatos con FOCA implica dos modalidades principales: análisis de archivos locales individuales y análisis organizacional completo. Para el análisis organizacional, la herramienta busca automáticamente documentos en el dominio objetivo utilizando múltiples motores de búsqueda y extrae metadatos de todos los archivos encontrados¹³.

graph TB
    A[Documentos Objetivo] --> B[Tipos de Archivo]
    B --> C[PDF]
    B --> D[Office]
    B --> E[Imágenes]
    B --> F[CSV]
    
    C --> G[Metadatos PDF]
    D --> H[Metadatos Office]
    E --> I[Metadatos Imagen]
    F --> J[Metadatos CSV]
    
    G --> K[Autor, Creador, Fechas]
    H --> L[Usuario, Computadora, Versiones]
    I --> M[GPS, Cámara, Fechas]
    J --> N[Editor, Aplicación]
    
    K --> O[Información Sensible]
    L --> O
    M --> O
    N --> O
    
    O --> P[Nombres de Usuario]
    O --> Q[Rutas de Sistema]
    O --> R[Versiones de Software]
    O --> S[Ubicaciones Geográficas]

Búsqueda Inversa de Imágenes y Reconocimiento Visual

La búsqueda inversa de imágenes emerge como una técnica especializada que permite identificar servidores y servicios adicionales de una organización que podrían no haberse encontrado inicialmente mediante búsquedas DNS tradicionales o motores de búsqueda³. Esta técnica implica tomar el logotipo de la organización y realizar búsquedas inversas para encontrar todos los sitios de internet donde aparece esa imagen específica.

Google Images ofrece funcionalidad de búsqueda inversa accesible haciendo clic en el ícono de cámara y seleccionando “buscar por imagen”³. Esta metodología puede revelar servidores alternativos de una empresa que no han sido actualizados en años y que podrían servir como puntos de entrada a toda la red corporativa³. En casos documentados, la búsqueda inversa de logos corporativos ha llevado al descubrimiento de servidores de respaldo desactualizados que proporcionaron acceso completo a la infraestructura organizacional³.

Las herramientas especializadas para búsqueda inversa incluyen TinEye, que se especializa en rastreo de imágenes y análisis forense visual, y diversas extensiones de navegador que automatizan el proceso de búsqueda en múltiples motores³. Esta técnica se vuelve particularmente valiosa cuando se combina con análisis de metadatos de imágenes, ya que puede revelar no solo dónde aparecen las imágenes sino también información técnica sobre cómo y cuándo fueron creadas.

Metodología Estructurada de Recolección

Fase de Planificación y Definición de Alcance

La metodología PTES establece que toda actividad de recolección de información debe comenzar con una fase de planificación rigurosa que defina claramente el alcance, objetivos y limitaciones del proceso⁶⁷. Esta fase incluye la firma de contratos de confidencialidad y acuerdos que establezcan específicamente qué puede y qué no puede hacerse durante el análisis³. Es fundamental entender que salirse del alcance definido podría constituir una violación contractual y potencialmente incurrir en acciones legales por parte del cliente³.

La definición del alcance se vuelve particularmente compleja cuando las organizaciones tienen infraestructura en la nube. En estos casos, es crucial establecer claramente qué direcciones IP, dominios y servicios están dentro del alcance de la evaluación³. Por ejemplo, si una empresa tiene todos sus servicios (web, correo, etc.) alojados externamente en la nube, el alcance debe definir precisamente qué sistemas pueden ser evaluados sin afectar a otros clientes del proveedor de servicios³.

Proceso Sistemático de Recolección

El proceso de recolección debe seguir una metodología sistemática que asegure la cobertura completa sin generar actividad detectable. Comenzando con fuentes completamente pasivas como sitios web corporativos, redes sociales y bases de datos públicas, el proceso progresa gradualmente hacia técnicas que implican consultas DNS pasivas y búsquedas especializadas²¹¹.

La recolección debe documentar meticulosamente todos los hallazgos, incluyendo la fuente de cada pieza de información y el momento de su obtención. Esta documentación no solo sirve para propósitos de reporte, sino que también permite la reproducibilidad de los resultados y proporciona un registro auditable del proceso³.

sequenceDiagram
    participant A as Auditor
    participant G as Google
    participant S as Shodan
    participant M as Maltego
    participant T as theHarvester
    participant F as FOCA
    
    A->>G: Búsqueda inicial del dominio
    G-->>A: Resultados básicos y cache
    
    A->>T: Enumeración de emails y subdominios
    T-->>A: Lista de direcciones y hosts
    
    A->>S: Búsqueda de dispositivos expuestos
    S-->>A: IPs y servicios públicos
    
    A->>G: Google Dorking con operadores
    G-->>A: Archivos y directorios sensibles
    
    A->>F: Descarga y análisis de documentos
    F-->>A: Metadatos extraídos
    
    A->>M: Mapeo de relaciones
    M-->>A: Grafo de conexiones
    
    Note over A: Análisis y correlación de datos

Consideraciones Éticas y Legales

La recolección de información pasiva, aunque utiliza únicamente fuentes públicas, requiere adherencia estricta a consideraciones éticas y legales²¹¹. El marco legal varía significativamente entre jurisdicciones, y los profesionales deben asegurar el cumplimiento con regulaciones como GDPR en Europa y leyes nacionales de protección de datos⁴.

Es fundamental obtener autorización explícita por escrito antes de iniciar cualquier actividad de recolección, incluso cuando se utilicen únicamente fuentes públicas¹¹. Esta autorización debe especificar claramente el alcance de las actividades permitidas, los tipos de información que pueden recolectarse, y las restricciones sobre el uso y almacenamiento de los datos obtenidos¹¹.

Los auditores deben también considerar el impacto potencial de sus actividades en terceros. Por ejemplo, aunque la información esté disponible públicamente, su agregación y análisis sistemático podría plantear preocupaciones de privacidad para empleados individuales de la organización objetivo⁴. Las mejores prácticas incluyen minimizar la recolección de información personal identificable, implementar controles de acceso estrictos sobre los datos recolectados, y establecer políticas claras para la retención y eliminación de información sensible⁴.

Integración con Metodologías Estándar

PTES (Penetration Testing Execution Standard)

El estándar PTES posiciona la recolección de información como la segunda de siete fases fundamentales en el proceso de pentesting⁷¹⁴. Esta metodología reconoce dos niveles principales de recolección: Level 1 (orientado al cumplimiento) que puede obtenerse principalmente mediante herramientas automatizadas, y Level 2 (mejores prácticas) que requiere análisis manual y un entendimiento profundo del negocio, incluyendo ubicación física, relaciones comerciales y organigrama⁶.

PTES enfatiza que la recolección de información debe proporcionar inteligencia suficiente para informar las fases subsecuentes de modelado de amenazas, análisis de vulnerabilidades y explotación⁷. La metodología recomienda categorizar la información recolectada según fuente, relevancia, tipo y contexto para facilitar su análisis posterior¹⁴.

NIST SP 800-115

El marco NIST para testing de seguridad incluye la recolección de información como parte fundamental de su proceso de cuatro etapas: planificación, descubrimiento, ataque y reporte¹⁵. La fase de descubrimiento de NIST abarca tanto técnicas pasivas como activas, pero enfatiza que las técnicas pasivas deben preceder a cualquier actividad que pueda generar tráfico hacia los sistemas objetivo¹⁵.

NIST destaca la importancia de correlacionar información de múltiples fuentes para desarrollar una imagen completa del panorama de amenazas¹⁵. Esta correlación permite identificar patrones que podrían no ser evidentes al examinar fuentes individuales, proporcionando insights más profundos sobre posibles vectores de ataque¹⁵.

Herramientas Automatizadas y Scripts Personalizados

Automatización de Procesos

La automatización juega un papel crucial en la recolección eficiente de información a gran escala. Herramientas como PTHelper proporcionan enfoques modulares para automatizar el proceso de pentesting, incluyendo la fase de recolección de información¹⁶. Estos frameworks permiten a los auditores ejecutar múltiples técnicas de recolección de manera coordinada, reduciendo el tiempo necesario y minimizando errores humanos¹⁶.

RapidPen representa un ejemplo de automatización avanzada que utiliza agentes basados en Large Language Models (LLM) para automatizar completamente el proceso de pentesting desde la recolección inicial hasta la obtención de acceso¹⁷. Aunque estas herramientas están en desarrollo, demuestran la evolución hacia metodologías más automatizadas que pueden complementar el trabajo manual especializado¹⁷.

Scripts Personalizados y APIs

Los profesionales experimentados frecuentemente desarrollan scripts personalizados que integran múltiples fuentes de datos y automatizan tareas repetitivas. Estos scripts pueden utilizar APIs públicas de servicios como Shodan, VirusTotal, y diversos motores de búsqueda para recopilar información de manera sistemática⁴. La ventaja de los scripts personalizados radica en su capacidad para adaptarse a requisitos específicos del proyecto y integrar fuentes de datos únicas o especializadas⁴.

El desarrollo de scripts personalizados también permite la implementación de técnicas de correlación avanzadas que pueden identificar patrones complejos en los datos recolectados. Por ejemplo, un script podría correlacionar metadatos de documentos con información de empleados obtenida de redes sociales para identificar patrones de nomenclatura de usuarios o estructuras organizacionales⁴.

Conclusiones y Mejores Prácticas

La recolección de información pasiva constituye el fundamento sobre el cual se construye todo pentesting exitoso, requiriendo una combinación de rigor metodológico, competencia técnica y consideración ética. La inversión adecuada de tiempo y recursos en esta fase inicial genera dividendos significativos en términos de efectividad y eficiencia durante las fases subsecuentes del proceso de evaluación de seguridad.

Las mejores prácticas establecen que los auditores deben priorizar las técnicas pasivas para establecer una base de conocimiento antes de proceder a métodos más intrusivos, utilizar una combinación de métodos automatizados y manuales para asegurar cobertura completa, mantener documentación meticulosa de todos los hallazgos y fuentes, implementar controles estrictos para proteger la información recolectada, y adherirse rigurosamente a consideraciones éticas y legales durante todo el proceso²¹¹.

La evolución continua del panorama de amenazas y la creciente sofisticación de las defensas organizacionales demandan que los profesionales de seguridad mantengan competencias actualizadas en técnicas de recolección de información. El dominio de estas metodologías no solo mejora la efectividad de las evaluaciones de seguridad individuales, sino que también contribuye al avance general de la disciplina de seguridad informática, proporcionando insights valiosos que benefician a toda la comunidad de ciberseguridad.

Video base

Referencias

1. https://www.dummies.com/article/academics-the-arts/study-skills-test-prep/comptia-pentestplus/passive-information-gathering-for-pentesting-275726/ ↩

2. https://the-pentesting-guide.marmeus.com/1-information_gathering ↩ ↩² ↩³ ↩⁴ ↩⁵

3. https://www.youtube.com/watch?v=Tv3BVqmrFiQ ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷ ↩⁸ ↩⁹ ↩¹⁰ ↩¹¹ ↩¹² ↩¹³ ↩¹⁴ ↩¹⁵ ↩¹⁶

4. https://cyble.com/knowledge-hub/top-15-osint-tools-for-powerful-intelligence-gathering/ ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷ ↩⁸ ↩⁹ ↩¹⁰ ↩¹¹

5. https://www.infosectrain.com/blog/step-by-step-guide-for-theharvester-tool/ ↩ ↩² ↩³ ↩⁴ ↩⁵

6. http://www.pentest-standard.org/index.php/Intelligence_Gathering ↩ ↩² ↩³

7. https://owasp.org/www-project-web-security-testing-guide/v41/3-The_OWASP_Testing_Framework/1-Penetration_Testing_Methodologies ↩ ↩² ↩³ ↩⁴

8. https://en.wikipedia.org/wiki/Google_hacking ↩ ↩² ↩³

9. https://www.recordedfuture.com/threat-intelligence-101/threat-analysis-techniques/google-dorks ↩ ↩²

10. https://www.hackercoolmagazine.com/beginners-guide-to-theharvester-tool/ ↩ ↩²

11. https://www.siberoloji.com/the-importance-of-reconnaissance-in-ethical-hacking/ ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶ ↩⁷

12. https://www.redcellsecurity.org/post/introducing-sidikjari-metadata-extraction-for-cybersecurity-professionals ↩ ↩² ↩³

13. https://telefonicatech.com/en/blog/how-to-analyze-documents-with-foca-in-ten-steps-or-fewer ↩ ↩² ↩³ ↩⁴

14. https://datami.ee/blog/penetration-testing-execution-standard-7-ptes-stages/ ↩ ↩²

15. https://thecyphere.com/blog/nist-penetration-testing/ ↩ ↩² ↩³ ↩⁴

16. http://arxiv.org/pdf/2406.08242.pdf ↩ ↩²

17. https://arxiv.org/pdf/2502.16730.pdf ↩ ↩²