El mundo digital se ha convertido en un campo de batalla y quienes conocen las mejoras técnicas de information gathering son quienes se diferencian de la competencia. Según el informe Latam CISO 2023, el daño económico de los ciberataques podría superar el 1% del Producto Interno Bruto (PIB) de algunos países; peor aún, las cifras aumentan al 6% si atacan su infraestructura crítica.
Las estadísticas subrayan la importancia de implementar buenas prácticas de ciberseguridad. Para aquellos que recién se inician en este campo, una de las primeras y más relevantes prácticas es el information gathering. Pero ¿qué significa realmente este término y cómo puede potenciar la labor de un Pentester?
¿Qué es information gathering en ciberseguridad?
Si te encuentras en el ámbito de la ciberseguridad, el information gathering o recopilación de información, se convierte en el puntapié inicial de cualquier tarea de hacking, sea este ético o no.
Este proceso engloba la adquisición de todos los datos posibles acerca de un objetivo particular. Si no te dedicas a la ciberseguridad, imagina que eres un detective en la era digital: necesitas recolectar pistas, obtener toda la información que puedas para resolver el caso.
En este caso, «resolver» puede implicar detectar vulnerabilidades, prevenir ataques o incluso realizar uno de forma ética y controlada.
El information gathering tiene varios usos dentro del campo de la ciberseguridad. Este proceso nos permite descubrir información que podría haber permanecido oculta para nosotros. Por ejemplo, al reunir datos, puedes adquirir un conocimiento más profundo sobre cómo proteger las redes empresariales y minimizar el potencial de acceso no autorizado a tu red.
Una vez que los datos son recolectados, el siguiente paso es analizarlos en búsqueda de posibles fallos o brechas en tu proceso de ciberseguridad o en el del objetivo. Este proceso es similar a reunir las piezas de un rompecabezas para tener una imagen más completa del panorama de seguridad.
Tipos de Information Gathering o Data Collection
En tu labor como investigador o profesional de la ciberseguridad, es esencial que conozcas los diferentes tipos de recopilación de datos o Data Collection. Estos tipos difieren según los métodos utilizados para recabar la información. En este artículo, cubriremos ambos tipos.
Cuando hablamos de recopilación de información, tenemos dos categorías generales que componen el proceso de information gathering. Estas son:
Recopilación de datos primarios (Primary Collection)
Este tipo de recopilación implica obtener información directamente del origen o sujeto en cuestión. En términos de ciberseguridad, esto podría implicar la realización de pruebas de penetración directas o la realización de encuestas de seguridad.
Como también el contacto directo con los empleados para obtener información sobre las políticas y procedimientos de seguridad interna.
La recopilación de datos primaria es muy útil cuando necesitas información específica y de alta calidad que no está disponible a través de otros medios.
Recopilación de datos secundarios (Secondary Collection)
La recopilación de datos secundarios, por otro lado, implica el uso de información que ya ha sido recopilada por otras fuentes.
Esto puede implicar la revisión de informes de seguridad anteriores, la revisión de políticas de seguridad públicas o el análisis de datos de tendencias de seguridad. Este tipo de recopilación de datos es útil cuando necesitas un gran volumen de información y estás menos preocupado por la especificidad de los datos.
Ambos métodos son útiles y, en la mayoría de los casos, se complementan entre sí. La elección de uno u otro dependerá de tus necesidades específicas en un momento dado.
Técnicas para practicar Information Gathering
Una vez que comprendes qué es el information gathering y los tipos de recopilación de datos, es importante que conozcas algunas de las técnicas que puedes adoptar en tu rutina de trabajo. Estas técnicas varían en su enfoque y se pueden utilizar en diferentes contextos.
A continuación, enumeramos y explicamos algunas de las más populares.
Una de las técnicas más efectivas y peligrosas en el arsenal de un pentester es la ingeniería social. Este método involucra el uso de la interacción humana para obtener o comprometer información.
Los ataques pueden ir desde conversaciones cara a cara, llamadas telefónicas y, por supuesto, correos electrónicos de phishing. Las personas son a menudo el eslabón más débil en cualquier sistema de seguridad, y un atacante experimentado puede aprovecharse de esto.
Motores de búsqueda
Los motores de búsqueda son una herramienta poderosa en la recopilación de información. A través de técnicas avanzadas de búsqueda, como Google Hacking, puedes obtener una enorme cantidad de datos sobre una empresa, una persona o un servicio específico.
Los rastreadores web son increíblemente eficientes para indexar y localizar información que puede ser valiosa en la fase de recopilación de información.
Las redes sociales representan una gran cantidad de información personal y de empresas. Los perfiles en Facebook, Twitter, LinkedIn, y otras redes pueden proporcionar detalles valiosos para construir un perfil objetivo.
La información encontrada puede ser tan variada como los lugares de trabajo pasados y presentes, compañeros de trabajo, afiliaciones de grupo, gustos y aversiones, hasta patrones de comportamiento y rutinas diarias.
Nombres de dominio
Los nombres de dominio, registrados por individuos, organizaciones, e instituciones gubernamentales, representan una rica fuente de datos para el information gathering. De hecho, es una técnica muy utilizada a la hora de hacer pentesting en Kali Linux.
A través de búsquedas WHOIS y DNS, puedes descubrir información personal, dominios asociados, tecnologías en uso, y mucho más.
Servidores de Internet
Los servidores DNS en information gathering de carácter autoritarios son una gran fuente de información, ya que usualmente contienen todos los puntos de la superficie expuesta a Internet.
Eso proporciona un enlace directo a servicios relacionados, como HTTP, correo electrónico, y otros.
¿Qué herramientas pueden utilizarse para hacer Information Gathering?
Ahora, llegamos al punto en el que debes conocer algunas de las herramientas que puedes utilizar para realizar el information gathering. En el pasado, las pruebas de penetración y la piratería ética solo las realizaban unos pocos expertos en seguridad.
Ahora, gracias a las herramientas de hacking éticas, casi cualquiera puede reportar incidentes de seguridad y, lo más importante, prevenirlos.
Pruebas de Penetración: Metasploit
Metasploit es una de las herramientas más poderosas en el arsenal de un pentester. Este proyecto de código abierto ofrece un conjunto completo de utilidades para descubrir y explotar vulnerabilidades de software.
El famoso Metasploit Framework, escrito en Ruby, es especialmente útil para desarrollar, probar y ejecutar exploits, convirtiéndose en un verdadero laboratorio de pruebas de seguridad en la punta de tus dedos.
Escáner de Redes: Nmap
Nmap, abreviatura de Network Mapper, es otra herramienta de seguridad gratuita y de código abierto. Utilizada ampliamente, permite administrar y auditar la seguridad de la red y del sistema operativo de hosts locales y remotos.
Nmap es uno de los pilares en el kit de herramientas de cualquier pentester, proporcionando una amplia gama de características que ayudan a mapear la red y a encontrar puntos débiles.
Tareas de Reconocimiento: DMitry
DMitry, cuyo nombre es un acrónimo de Deepmagic Information Gathering Tool, es una excelente herramienta basada en terminal para las tareas de reconocimiento.
Te permitirá obtener todo tipo de datos de cualquier host, como subdominios, direcciones de correo electrónico, puertos abiertos, búsquedas WHOIS, y datos del servidor. Es una herramienta versátil y eficaz en la etapa de information gathering.
Procesar de Grandes Cantidades de Datos: Axiom
Cuando necesitas procesar enormes cantidades de datos en poco tiempo, Axiom es tu mejor opción.
Esta herramienta, relativamente nueva, es un marco de infraestructura dinámica que ayuda a los administradores de sistemas e investigadores a construir y desplegar infraestructuras de seguridad ofensiva y defensiva en múltiples nubes en cuestión de segundos.
Axiom viene con una variedad de herramientas preinstaladas basadas en imágenes del sistema operativo, convirtiéndose en una de las mejores para recopilar y analizar grandes cantidades de datos.
Conclusión
La recopilación de información, o information gathering, es la primera y una de las más cruciales etapas en cualquier prueba de penetración o evaluación de la seguridad. Saber qué buscar, dónde buscarlo, y cómo interpretar los datos que encuentras es una habilidad invaluable en la ciberseguridad.
Existe una amplia variedad de técnicas y herramientas disponibles para ayudarte en este proceso, desde la ingeniería social hasta los potentes motores de búsqueda y los potentes marcos de pruebas de penetración.
Pero, como siempre, la ética debe ser tu guía. Recuerda que la recopilación y el uso de información deben realizarse siempre dentro del marco de la ley y con el permiso adecuado. Después de todo, nuestro objetivo como profesionales de la ciberseguridad es fortalecer y proteger, no explotar y dañar.
Recuerda también que los ciberdelincuentes están siempre en la búsqueda de oportunidades. Por eso, entender cómo funciona la recopilación de información puede ayudarte no solo a llevar a cabo tus propias evaluaciones de seguridad, sino también a entender cómo los atacantes podrían estar buscando comprometer tus propios sistemas.
