Existe una fase previa a todo ciberataque llamada information gathering o, en español, recolección de información. Además, también existen dos tipos de information gathering, conocidos como footprinting y fingerprinting.
En este post, nos concentraremos en el primer tipo y te explicaremos en detalle qué es footprinting y cómo se aplica en ciberseguridad.
¿Qué es footprinting?
Podemos definir qué es footprinting como un tipo de recolección de información que consiste en la búsqueda de información pública sobre el objetivo, sin tener interacciones directas con él y, por lo tanto, sin dejar rastro de la investigación.
Esta información es pública y puede encontrarse por medio de motores de búsqueda, redes sociales y páginas web especiales para esta práctica. De este modo, el investigador o el atacante ni siquiera debe abrir el dominio web de la compañía que investiga para adquirir datos sobre ella y expandir su superficie de ataque.
La superficie de ataque se expande a medida que sea más fácil recolectar datos sobre un objetivo; más aún si es por medio del footprinting, ya que así no se deja evidencia de que alguien está vigilando el sistema.
Los perfiles en redes sociales, por ejemplo, son puertas de acceso para ataques, debido a que los usuarios cada vez revelan más información personal a través de ellas. Un ciberatacante podría pasar sin ser detectado investigando un perfil de una red social y, de este modo, adquirir información valiosa sobre sus víctimas. Por ello, es recomendable limitar los datos que se comparten por estos medios.
Tipos de footprinting
Para completar la explicación de qué es footprinting, es importante mencionar sus tipos. Existen principalmente dos tipos de footprinting:
Footprinting pasivo
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl footprinting pasivo es aquel en el que no se utilizan herramientas complejas, sino redes sociales y motores de búsqueda, con el fin de recopilar información sobre un objetivo. Herramientas como Google, LinkedIn y otras redes sociales son comunes en este tipo de recolección de datos.
Herramientas para footprinting pasivo
- Google Dorking: Técnicas avanzadas de búsqueda en Google para encontrar información sensible.
- LinkedIn: Para recolectar información sobre empleados y estructura organizacional.
- Social Media: Facebook, Twitter y otras plataformas para obtener datos personales y profesionales.
Footprinting activo
El footprinting activo es aquel en el que sí se aplican herramientas complejas para analizar en profundidad los datos de un dominio web con fines malignos o de ciberdefensa. Un ejemplo de estas herramientas es el protocolo WHOIS.
Herramientas para footprinting activo
Además de los buscadores que más usan los hackers, existen algunas herramientas para footprinting activo que pueden serte de gran utilidad.
- WHOIS: Protocolo para obtener información sobre la propiedad y registro de dominios.
- Shodan: Motor de búsqueda para dispositivos conectados a Internet.
- Maltego: Herramienta de análisis forense y de inteligencia.
El protocolo WHOIS
El WHOIS es un protocolo para efectuar consultas en bases de datos y obtener información acerca de un dominio web. Puedes acceder a esta herramienta, por ejemplo, por medio de whois.domaintools.com.
El WHOIS proporciona datos como el nombre del dueño del dominio, la fecha en la que se creó y también la fecha en la que expira. Sin embargo, también protege alguna información, como la geolocalización, por cuestiones de privacidad.
No obstante, estos datos pueden estudiarse y utilizarse tanto para el ataque como para la ciberdefensa de tu sistema.
Por ejemplo, un hacker ético puede ver la fecha de creación de un dominio web y, en caso de ser demasiado reciente, sospechar de ella. Del mismo modo, un hacker de sombrero negro puede estar pendiente de qué dominios han expirado y comprarlos para ejercer algún ataque. Este fue el caso de la empresa Heinz, que tenía un código QR cuyo dominio expiró y alguien lo compró para redirigir a todos los usuarios a una página pornográfica.
Técnicas de mitigación y defensa contra footprinting
Limitar la información pública
- Redes sociales: Ajustar la configuración de privacidad para limitar la visibilidad de la información.
- Sitios web corporativos: Evitar la publicación de información detallada sobre empleados y estructuras internas.
Uso de herramientas de anonimización
- VPN y proxies: Para ocultar la ubicación y el tráfico de red.
- Servicios de privacidad WHOIS: Para proteger la información de registro de dominios.
Monitoreo continuo
- Alertas de Google: Configurar alertas para detectar menciones inesperadas de la empresa.
- Servicios de inteligencia de amenazas: Utilizar servicios que monitorean la Dark Web y otras fuentes para detectar posibles amenazas.
El footprinting es solo la primera fase en el ciclo de un ataque. A continuación, se relaciona con otras fases como el escaneo, la enumeración y la explotación. Entender estas interrelaciones es crucial para una defensa integral.
Ahora sabes qué es footprinting y cómo se usa en la defensa de un sistema informático, pero hay muchos más aspectos relacionados con la ciberseguridad por aprender. Si quieres seguir formándote y convertirte en un experto en este ámbito, consulta nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses. ¿A qué estás esperando? ¡Pide más información e inscríbete ya!