Continuando la serie que comencé la semana pasada sobre las fases del PTES, hoy os traigo la segunda parte. En este caso, la famosa Intelligence Gathering.
Intelligence Gathering (Recopilación de Inteligencia)
Esta fase es la base de todo pentest. Su objetivo es recopilar la máxima cantidad de información posible sobre el objetivo para identificar todos los vectores de ataque potenciales: físicos, electrónicos y humanos. La profundidad de esta recolección varía en función del tiempo y los objetivos del test, definiéndose comúnmente en tres niveles:
- Nivel 1 (referente al cumplimiento): Se basa principalmente en herramientas automatizadas. Es el mínimo indispensable para afirmar que se ha realizado una recolección de inteligencia.
- Nivel 2 (mejores prácticas): Combina herramientas automatizadas con análisis manual. Incluye una comprensión sólida del negocio, sus ubicaciones físicas, relaciones comerciales y organigrama.
- Nivel 3 (pruebas más avanzadas o Red Team): Incluye los niveles anteriores más un análisis manual intensivo. Puede implicar, por ejemplo, la creación de perfiles falsos en redes sociales para analizar conexiones, un profundo entendimiento de las relaciones comerciales y un gran número de horas de trabajo.
La recolección se divide en dos categorías principales:
OSINT (Open Source Intelligence)
Se trata de obtener información de fuentes públicamente disponibles, sin interactuar directamente con los sistemas del objetivo. Se subdivide en:
- Pasiva: No se envía tráfico alguno al objetivo. Se utiliza información archivada o almacenada por terceros (como resultados de motores de búsqueda en caché), por lo que la información puede estar desactualizada.
- Semi-pasiva: Se interactúa con el objetivo, pero con un comportamiento que se asemeja al de un usuario normal de Internet (consultando servidores DNS públicos, sin escaneos de puertos). El objetivo podría detectar la actividad posteriormente, pero no atribuirla fácilmente a un atacante.
- Activa: Implica un contacto directo y detectable con el objetivo, como escaneos de puertos completos y enumeración de servicios. Esta actividad es claramente identificable como “maliciosa”.
Las áreas de investigación en OSINT son muy amplias:
- Inteligencia corporativa: Ubicaciones físicas, relaciones comerciales (socios, proveedores, competidores…), ofertas de empleo (que revelan tecnologías usadas), informes financieros (como los EDGAR de la SEC), licitaciones públicas (RFP/RFQ), perfiles en redes sociales corporativas y fechas significativas para la empresa.
- Inteligencia electrónica: Metadatos de documentos públicos (que pueden revelar nombres de usuario, rutas internas o versiones de software, entre otras), bloques de red propiedad de la empresa, direcciones de correo electrónico (para listas de usuarios válidos), tecnologías utilizadas, métodos de acceso remoto y huella de infraestructura externa.
- Inteligencia sobre personas: Perfiles de empleados clave en redes sociales (frecuencia de publicación, tono, metadatos en fotos que filtran ubicación), direcciones de correo personal, números de teléfono, nombres de dominio personales y registros públicos, donaciones políticas, licencias profesionales, antecedentes penales.
- Información de pago: Servicios como LEXIS/NEXIS o funciones premium de LinkedIn que ofrecen datos más detallados.
Footprinting
Esta etapa implica una interacción más directa con el objetivo para obtener información técnica.
Footprinting Externo:
- Reconocimiento pasivo: Consultas WHOIS para identificar el propietario de dominios y rangos de IP, y búsquedas BGP para encontrar el Número de Sistema Autónomo (ASN) de la red.
- Reconocimiento activo: Escaneos de puertos (con herramientas como Nmap), captura de banners de servicios, transferencias de zona DNS (AXFR), barridos SNMP y descubrimiento de aplicaciones web y hosts virtuales. El objetivo es establecer una lista priorizada de objetivos externos.
Footprinting interno (si se tiene acceso a la red):
- Aquí las técnicas son similares, pero se amplían para incluir servicios internos como Directorio Activo, sitios de intranet, aplicaciones empresariales (ERP, CRM) y segmentos de red sensibles.
Identificación de mecanismos de protección
Es crucial identificar las defensas del objetivo para planificar evasiones futuras. Esto incluye:
- Protecciones a nivel de red: Firewalls, sistemas de prevención de intrusiones (IPS), sistemas de prevención de pérdida de datos (DLP).
- Protecciones a nivel de host: Antivirus, sistemas de detección de intrusiones basados en host (HIDS), listas blancas de aplicaciones (Whitelisting), protección de ejecución de datos (DEP).
- Protecciones a nivel de aplicación: Web Applications Firewalls (WAF) y opciones de codificación.
El resultado de esta fase debe ser un mapa detallado del objetivo, que incluya activos tecnológicos, relaciones humanas y comerciales, y un inventario de sus defensas, permitiendo así un enfoque de ataque preciso y realista en las fases siguientes.
