Saltar al contenido
Lección 3 de 8

Reconocimiento

5 min read

Qué es el Reconocimiento

El reconocimiento es la primera fase técnica de un pentest y consiste en recopilar tanta información como sea posible sobre el objetivo antes de interactuar directamente con sus sistemas. Cuanto mejor entendés la superficie de ataque — dominios, subdominios, direcciones IP, tecnologías, empleados, proveedores — más eficaz y dirigida será cada fase posterior.

El reconocimiento bien hecho ahorra tiempo y reduce ruido. En lugar de escanear ciegamente, llegás al escaneo con un mapa claro de qué activos existen y cuáles son más prometedores. Un atacante real invierte gran parte de su esfuerzo aquí, y un pentester profesional debe hacer lo mismo dentro de su scope autorizado.

Es importante recordar que incluso el reconocimiento debe respetar el scope. Aunque mucha información sea pública, recolectarla de forma masiva o intrusiva sobre activos fuera de límites puede ser problemático. Mantenete siempre dentro de lo autorizado.

Reconocimiento Pasivo

El reconocimiento pasivo recopila información sin enviar tráfico directo a los sistemas del objetivo, lo que lo hace prácticamente indetectable. Usás fuentes de terceros: registros públicos, motores de búsqueda, redes sociales, certificados TLS y bases de datos de inteligencia. Como no tocás directamente la infraestructura del objetivo, el riesgo de alertar defensas es mínimo.

Ejemplos clásicos incluyen consultar registros WHOIS para datos de dominio, usar registros DNS históricos, revisar certificados en crt.sh para descubrir subdominios, o buscar en Shodan y Censys servicios expuestos previamente indexados. Estas plataformas mantienen datos que ya recolectaron, así que consultarlas no genera tráfico hacia el objetivo.

El reconocimiento pasivo es el punto de partida ideal porque construye un panorama amplio sin levantar alarmas. Solo cuando agotás las fuentes pasivas conviene pasar a técnicas más activas.

OSINT: Inteligencia de Fuentes Abiertas

El OSINT (Open Source Intelligence) es la disciplina de obtener inteligencia a partir de información públicamente disponible. Incluye perfiles de LinkedIn de empleados, repositorios de GitHub donde a veces se filtran credenciales o configuraciones, documentos públicos con metadatos reveladores, y menciones en foros o redes sociales.

Herramientas como theHarvester recopilan correos, subdominios y nombres asociados a un dominio desde múltiples fuentes públicas. Maltego visualiza relaciones entre entidades — personas, dominios, IPs, correos — ayudando a entender la estructura organizacional. SpiderFoot automatiza la recolección de OSINT a partir de cientos de fuentes y la correlaciona automáticamente.

El valor del OSINT está en lo humano y organizacional: nombres de empleados útiles para ingeniería social (en engagements que lo incluyan), tecnologías reveladas en ofertas de empleo, o convenciones de nombres de correo que facilitan ataques de fuerza bruta autorizados. Toda esta información pública pinta un retrato del objetivo antes de tocar un solo puerto.

Footprinting de Infraestructura

El footprinting es el proceso de mapear la huella técnica del objetivo: qué dominios y subdominios posee, qué rangos de IP usa, qué proveedores de hosting y CDN emplea, y qué tecnologías corre. El objetivo es construir un inventario completo de activos antes del escaneo.

Para enumerar subdominios de forma pasiva podés usar Amass en modo pasivo, subfinder o consultar transparencia de certificados. Para entender la infraestructura DNS, herramientas como dnsrecon y consultas a registros MX, NS, TXT y SPF revelan proveedores de correo, servidores de nombres y políticas. Cada dato amplía tu mapa de la superficie de ataque.

Identificar las tecnologías web — frameworks, servidores, CMS — se puede hacer con Wappalyzer o WhatWeb. Saber que un sitio corre una versión específica de WordPress o un servidor concreto orienta las fases siguientes hacia vulnerabilidades conocidas de esas tecnologías.

Reconocimiento Activo

El reconocimiento activo implica interactuar directamente con los sistemas del objetivo, lo que genera tráfico potencialmente detectable. Incluye resolución de DNS dirigida, pings, traceroutes y consultas directas a servicios. Es más ruidoso que el pasivo, pero también más preciso, ya que confirma en tiempo real qué activos están vivos y accesibles.

Por ejemplo, una transferencia de zona DNS (AXFR) mal configurada puede revelar toda la lista de hosts internos de una organización. El descubrimiento de hosts vivos mediante barridos de ping o sondas ARP confirma qué direcciones responden. Estas técnicas marcan la transición hacia el escaneo de puertos, que veremos en la próxima lección.

Como el reconocimiento activo deja rastro, conviene equilibrar profundidad y sigilo según las reglas de engagement. Si el objetivo del test incluye evaluar la capacidad de detección del cliente, podés ser deliberadamente ruidoso; si no, moderás la intensidad para no saturar sistemas.

De la Información a la Acción

El reconocimiento solo tiene valor si organizás y analizás lo recopilado. Centralizá dominios, IPs, tecnologías y personas en una estructura clara que alimente las fases siguientes. Una buena práctica es mantener una hoja de cálculo o base de datos de activos que crece a lo largo del engagement.

El reconocimiento no es un evento único: es continuo. A medida que escaneás y explotás, descubrirás nuevos activos que merecen volver a las técnicas de recon. Tratá esta fase como un ciclo iterativo y mantené tu mapa de superficie de ataque siempre actualizado y dentro del scope autorizado.