certmundo.
es‑mx
Ethical Hacking Básico3/9

7 min de lectura

¿Cómo hacer reconocimiento de un objetivo sin tocar sus sistemas?

¿Cuánta información confidencial puede encontrar un atacante sin hackear absolutamente nada? La respuesta te va a sorprender: suficiente para planear un ataque completo.

Lo que el internet sabe de tu objetivo (sin que él lo sepa)

Imagina que te contratan para hacer una prueba de penetración a una empresa mediana de retail en Guadalajara. Antes de escribir una sola línea de código, ¿cuánto podrías saber de esa empresa usando solo tu navegador?

La respuesta real: podrías conocer sus subdominios, sus empleados clave, las versiones de software expuestas, los rangos de IP que usa, los correos corporativos y hasta documentos internos indexados por Google. Todo esto sin enviar un solo paquete al servidor del objetivo.

Eso es el reconocimiento pasivo: reunir inteligencia usando solo fuentes abiertas, sin interactuar directamente con los sistemas del objetivo. En inglés se llama OSINT, que significa Open Source Intelligence.

Un estudio de IBM Security de 2023 encontró que el tiempo promedio para identificar una brecha de seguridad en América Latina es de 233 días. Ese tiempo existe porque los atacantes investigan pacientemente. Tú, como hacker ético, debes hacer lo mismo, pero más rápido y con autorización.

El Marco de los Tres Lentes

Para estructurar el reconocimiento pasivo, usa lo que llamaremos el Marco de los Tres Lentes. Cada lente te da un tipo diferente de visibilidad sobre el objetivo:

  • Lente 1 – Google Dorks: qué información ha indexado el motor de búsqueda más grande del mundo.
  • Lente 2 – Shodan: qué dispositivos y servicios del objetivo están expuestos al internet.
  • Lente 3 – WHOIS y registros DNS: quién registró los dominios y qué infraestructura usan.

Estos tres lentes juntos te dan un mapa de la superficie de ataque sin tocar nada.

Lente 1: Google Dorks

Google no es solo un buscador. Es una base de datos masiva de todo lo que el internet ha dejado expuesto. Los Google Dorks son búsquedas avanzadas que usan operadores especiales para encontrar información sensible.

Veamos ejemplos concretos. Supón que tu objetivo es ejemplo-retail.com.mx:

site:ejemplo-retail.com.mx filetype:pdf

Esta búsqueda encuentra todos los archivos PDF indexados en ese dominio. Con frecuencia aparecen manuales internos, políticas de recursos humanos o listas de precios con información competitiva.

site:ejemplo-retail.com.mx inurl:admin

Esta busca páginas con la palabra "admin" en la URL. Muchos paneles de administración olvidados aparecen así.

site:ejemplo-retail.com.mx ext:sql OR ext:log OR ext:bak

Esta encuentra archivos de base de datos, logs o respaldos accidentalmente expuestos. En 2022, una empresa de logística en Monterrey dejó expuesto un archivo .sql con 40,000 registros de clientes por este motivo exacto.

Otros operadores útiles son intitle:, intext: y cache:. La combinación estratégica de estos operadores puede revelar información que el equipo de seguridad del objetivo desconoce completamente.

Una estadística impactante: el proyecto GHDB (Google Hacking Database) mantiene más de 7,000 Dorks catalogados. Muchos son específicos para encontrar cámaras expuestas, routers sin contraseña y paneles de control de servidores.

Lente 2: Shodan, el buscador de dispositivos conectados

Mientras Google indexa páginas web, Shodan indexa dispositivos conectados a internet: routers, cámaras IP, servidores industriales, aires acondicionados inteligentes y mucho más.

Shodan escanea el internet continuamente y guarda los banners de servicio que responden. Esos banners muchas veces revelan la versión exacta del software, el sistema operativo y hasta la ubicación geográfica del dispositivo.

Supón que buscas en Shodan:

org:"FEMSA" country:MX

Esto mostraría los dispositivos de FEMSA visibles desde internet en México. En una auditoría real (con autorización), esto te diría si tienen puertos abiertos innecesarios o versiones de software desactualizadas.

Otro ejemplo práctico:

hostname:liverpool.com.mx

Esta búsqueda muestra los servidores de Liverpool que Shodan ha detectado. Si un servidor usa Apache 2.2 (versión de 2012, sin soporte), eso es una bandera roja inmediata.

Shodan tiene un plan gratuito con funcionalidad limitada y planes de pago desde $69 USD al mes. Para una carrera en hacking ético, la inversión vale la pena. También existe la herramienta Censys, una alternativa gratuita con datos similares.

Según datos de Shodan, México tiene consistentemente entre 1.5 y 2 millones de dispositivos expuestos. De esos, una proporción significativa tiene credenciales por defecto o versiones vulnerables de software. Eso representa una superficie de ataque enorme para cualquier empresa que no haga reconocimiento de su propia infraestructura.

Lente 3: WHOIS y registros DNS

Cada dominio de internet tiene un registro público llamado WHOIS. Contiene información sobre quién lo registró, cuándo expira, y a veces datos de contacto del administrador técnico.

Puedes consultar WHOIS en el sitio who.is o desde la terminal:

whois bimbo.com.mx

Esto te mostrará la registradora, las fechas de registro y expiración, y los servidores de nombre (nameservers) que usa el dominio. Los nameservers te dicen si la empresa usa Cloudflare, AWS, o infraestructura propia.

Después de WHOIS, consulta los registros DNS. El DNS es como la agenda telefónica del internet: convierte nombres de dominio en direcciones IP. Cada tipo de registro DNS revela algo diferente:

Registro Qué revela
A La IP del servidor web principal
MX Los servidores de correo
NS Los servidores de nombre
TXT Configuraciones de seguridad (SPF, DKIM)
CNAME Subdominios y servicios externos usados

Para consultar registros DNS desde terminal:

nslookup -type=MX mercadolibre.com.mx

Esto revela qué proveedor de correo usa Mercado Libre. Si usa Google Workspace o Microsoft 365, eso puede indicar vectores de ataque de phishing más específicos. Los registros TXT, por su parte, revelan si tienen configurado SPF y DMARC, que son protocolos anti-phishing. Si no los tienen, eso es una vulnerabilidad documentable en el reporte.

Herramientas complementarias

Más allá de los tres lentes principales, existen herramientas que automatizan y complementan el reconocimiento pasivo:

theHarvester es una herramienta de línea de comandos incluida en Kali Linux. Busca correos electrónicos, subdominios y nombres de empleados usando múltiples fuentes públicas:

theHarvester -d liverpool.com.mx -b google,bing,linkedin

Esto puede devolver correos como jlopez@liverpool.com.mx, que son útiles para construir listas de posibles credenciales o para ataques de ingeniería social (siempre dentro del scope autorizado).

Maltego es una herramienta de análisis de relaciones que visualiza conexiones entre dominios, IPs, personas y organizaciones. Tiene versión gratuita llamada Maltego CE.

LinkedIn y redes sociales también son fuentes OSINT válidas. Buscar empleados de una empresa en LinkedIn revela títulos de puesto, tecnologías que usan y hasta certificaciones que tienen. Si el administrador de sistemas de una empresa publica en LinkedIn que "acaba de migrar a SAP S/4HANA", eso es inteligencia valiosa.

Errores comunes que debes evitar

El reconocimiento pasivo parece sencillo, pero hay errores que pueden arruinar tu metodología o incluso meterte en problemas legales.

Error 1 – Cruzar la línea al reconocimiento activo sin darte cuenta. Si usas nmap para escanear puertos, ya estás enviando paquetes al objetivo. Eso es reconocimiento activo, no pasivo. En la fase de reconocimiento pasivo, solo usas fuentes que ya tienen la información almacenada.

Error 2 – No documentar todo desde el inicio. Cada dato que encuentras debe quedar registrado con su fuente y la fecha. Si después necesitas justificar tu metodología ante un cliente o en un reporte, necesitas esa trazabilidad.

Error 3 – Ignorar los subdominios. Muchas empresas protegen bien su dominio principal pero descuidan subdominios como staging.empresa.com.mx o dev.empresa.com.mx. Herramientas como Sublist3r o DNSdumpster los enumeran de forma pasiva.

Error 4 – Confundir información pública con información autorizada para usar. Que algo esté en internet no significa que puedas explotarlo. Necesitas autorización escrita en el contrato para actuar sobre cualquier hallazgo.

Del reconocimiento al mapa de ataque

Al terminar la fase de reconocimiento pasivo, deberías tener un documento estructurado con:

  • Lista de dominios y subdominios del objetivo.
  • Rangos de IP asociados.
  • Versiones de software detectadas por Shodan.
  • Correos corporativos encontrados.
  • Proveedores de servicios usados (hosting, correo, CDN).
  • Archivos sensibles indexados en Google.

Este documento se convierte en la base para la siguiente fase: el escaneo activo. Pero eso lo veremos en la lección 4.

Recuerda: los mejores hackers éticos no son los que tienen mejores exploits. Son los que entienden mejor a su objetivo antes de tocar un solo sistema.

Puntos clave

  • El reconocimiento pasivo (OSINT) reúne inteligencia usando solo fuentes públicas, sin enviar paquetes al objetivo. No interactúas con los sistemas del objetivo en ningún momento.
  • El Marco de los Tres Lentes estructura el reconocimiento: Google Dorks para información indexada, Shodan para dispositivos expuestos, y WHOIS/DNS para infraestructura y propiedad de dominios.
  • Los Google Dorks con operadores como `site:`, `filetype:`, `inurl:` y `ext:` pueden revelar archivos sensibles, paneles de administración y documentos internos que el propio equipo de seguridad desconoce.
  • Shodan indexa millones de dispositivos mexicanos expuestos a internet. Consultar el perfil de tu objetivo en Shodan revela versiones de software, puertos abiertos y servicios que pueden ser vulnerables.
  • Todo dato encontrado debe documentarse con su fuente y fecha desde el primer momento. Sin trazabilidad, no puedes incluir el hallazgo en un reporte profesional ni justificar tu metodología ante el cliente.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior