Detectado JavaScript desactivado

Actualmente tienes JavaScript deshabilitado. Varias funciones pueden no funcionaran. Por favor, vuelva a habilitar Javascript para acceder a la funcionalidad completa.

Técnicas Footprinting y Fingerprinting para recoger información

En este tutorial se habla de las técnicas de recogida información por la red, footprinting y fingerprinting.

#hacker

jun 28 2016 12:09

Josué

Intermedio

jul 28 2016 18:05

Hoy voy a mostrarte las técnicas que se utilizan para recoger información de un objetivo en la red, podrás comprobar que la información está al alcance de todos, y que muchas empresas y personas facilitan más las cosas al no tener cuidado. Así que en este tutorial se hablara de footprinting y fingerprinting, estas técnicas son utilizadas antes de llevar a cabo un ataque.

Nota

El único objetivo del tutorial es que tengas conocimiento de lo que se puede conseguir desde internet, y que compruebes tus datos y los puedas ocultar.

1. Footprinting

Es una técnica legal, con la que se trata de obtener toda la información posible, del sistema, de la red o usuario objetivo. Para ello nos podemos ayudar de toda la información pública que existe, acudiendo a documentos que tienen metadatos, a las redes sociales, medios de comunicación, etc. Esta recogida de información últimamente se conoce como OSINT.

Para buscar información podemos

Usar los buscadores, haciendo búsquedas avanzada en Google (Google hacking) o utilizando shodanque es un buscador más específico.

Utilizar herramientas para buscar metadatos, puedes mirar Foca.

Obtener la información a partir de un dominio, una página que ayuda es dnsstuff.

APIs de redes sociales, que permiten automatizar la recogida.

Vamos a poner algún ejemplo con los buscadores:

Sirviéndonos de google podemos buscar que la página tenga ficheros password.txt, para ello buscamos:

intitle:”index of” “Index of /” password.txt

Qué contenga fotos, podemos ver cómo hay fotos personales, de empresas, etc., para ello buscamos:

index.of.dcim

Hay muchas posibilidades más, esos son solo 2 ejemplos, y si buscamos en shodan la palabra webcam podemos encontrar cámaras disponibles y que cualquiera puede observar, también las hay bien aseguradas, claro.

AMPLIAR

En cuanto a los metadatos, también es información pública que se encuentra en documentos, fotos,… por lo tanto estas cosas que se publican sin protección puede servir de ayuda para saber dónde vives, dónde trabajas, tu nombre, etc. Puedes mirar este tutorial, donde hablo sobre la obtención de información en fotos.

Algunas herramientas que te pueden interesar

Maltego

GooScan

Metagoofil

Aquí concluimos la búsqueda de información publica y legal.

2. Fingerprinting

Esta técnica se utiliza para recoger información más específica, y que no es publica, por lo que ya puede considerarse como delito. Dicha información puede ser estado de los puertos, vulnerabilidades que existen, versiones de software, sistema operativo, etc.

Podemos utilizar las siguientes técnicas

Phishing

Técnica que juega con la probabilidad, se envía información confiable masivamente solicitando la información deseada (normalmente se hace a través del email). Puedes mirar el siguiente artículo para más información.

Ingeniería social

Se utilizan habilidades sociales y técnicas psicológicas para obtener información, normalmente se suele llevar a cabo sobre personal sin formación o gente descontenta. Existen técnicas pasivas, como puede ser solo observar, y técnicas activas (que pueden ser presenciales, como puede ser buscar en la basura (no todo tiene que ser por la red), y no presenciales, a través de teléfono o email). Uno de los hackers más famosos era un auténtico especialista en esta rama: Kevin Mitnick.

Sniffing

Esta técnica nos permite capturar el tráfico que circula por la red, no siempre tiene fines maliciosos. Existen herramientas para llevar a cabo esta tarea: wireshark, ettercap…

Scanning

Aquí lo que se trata es de conseguir información sobre puertos abiertos (se puede utilizar Nmap), o vulnerabilidades (una buena herramienta es Nessus).

Podemos ver que existen muchas técnicas de recogida de información no pública, debemos dificultar esta tarea, ya que cuando tengan toda la información y sepan las vulnerabilidades que tenemos el próximo paso será el ataque.

Espero que con este tutorial entiendas que la información sensible no tiene que quedar publica ni de fácil acceso para quien quiera consultarla, si es información de una empresa puede favorecer a la competencia, si es información personal puede afectar negativamente a tu persona. Hoy en día la información da mucho poder, así que a partir de ahora (si no eráis conscientes) a proteger vuestra información y no regalarla.

¿Te ayudó este Tutorial?

1 Comentarios

Mario Silva
jul 29 2016 13:59

Kevin Mitnick engañaba a cualquiera, existe una película sobre él, pongo el enlace al trailer por si le interesa a alguien: Track Down

Denunciar

No esperes más y entra en Solvetic

Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!

Crear Cuenta

Regístrate GRATIS para tener tu cuenta Solvetic
Registrar una Cuenta
Identificarse

¿Tienes ya cuenta? Identifícate aquí
Identificarme en mi Cuenta

Últimos Tutoriales Seguridad

🏴‍☠️ Aquí más técnicas Hacker & Seguridad IT ¡Hazte experto!

Ver más de Seguridad

Hola! Si no encuentras algún tutorial en el buscador de Solvetic, Solicítalo Aquí