¿Qué es la superficie de ataque?

| Última modificación: 3 de junio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Qué es la superficie de ataque y por qué es indispensable aprender a reconocerla en un ejercicio de pentesting?

En ciberseguridad, existen diferentes campos de conocimiento, ya que todos los sistemas están compuestos por distintos y varios elementos. El pentesting es aquella área que se concentra en entender las técnicas utilizadas por los ciberatacantes para realizar tareas maliciosas como:

  • Robar información.
  • Robar dinero.
  • Suplantación de identidad.
  • Extorsión.
  • Secuestro de datos.
  • Espionaje.

El pentesting de sistemas se enfoca en aprender y descubrir nuevas técnicas de hacking para afectar redes y ordenadores, mientras que el pentesting web se enfoca en los ataques para aplicaciones de internet. Dado que las compañías necesitan cada vez más estas aplicaciones, las auditorías para entornos web son de los servicios de seguridad informática más requeridos.

En este post, hablaremos sobre un concepto fundamental para el hacking web y por qué es relevante aprender a identificarlo en una auditoría. A continuación, te explicaremos qué es la superficie de ataque de una página web y la importancia de delimitarla al ejecutar un pentest.

¿Qué es la superficie de ataque?

La superficie de ataque de ataque de una aplicación web es el conjunto de elementos que están sujetos a tener algún tipo de vulnerabilidad. Es decir, en dichos elementos de una aplicación podrían encontrarse fallos de seguridad, por descuido o desconocimiento de los desarrolladores de esta página.

Ahora bien, la superficie de ataque está compuesta por todos sus subdirectorios y subdominios. Los subdirectorios son aquellas páginas que se encuentran en la parte final de la URL y que se dividen por medio del carácter /. Por ejemplo, en la página web https://ejemplo.com/, un subdirectorio podría ser: https://ejemplo.com/videos o https://ejemplo.com/blog.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Los subdominios, en cambio, son dominios relacionados, pero diferentes al dominio de la aplicación. Son dominios en un segundo nivel, que pueden haber sido desarrollados por otro equipo o haber sido adquiridos por la organización. En la estructura de sus direcciones URL, el dominio aparece en la parte izquierda, antes del dominio original del sitio. Es decir, para https://ejemplo.com/, un subdominio podría ser https://subdominios.ejemplo.com/.

Al hacer un pentest, es importante definir los subdominios que auditarás previamente, ya que cada uno de ellos puede haber sido desarrollado con una tecnología diferente.

Identificar la superficie de ataque

Ya hemos visto qué es la superficie de ataque de una página web. Ahora, te enseñaremos dos métodos para identificar todos los subdominios y subdirectorios relacionados con una aplicación web.

Crawling

Crawling es un término que se utiliza en ciberseguridad para referirse a la búsqueda de subdirectorios en una aplicación. También se conoce como spidering y es lo que hacen, por ejemplo, los robots de Google para indexar información en sus sistemas de búsqueda. El crawling es un proceso automático para visitar e identificar todos los subdirectorios de una página web.

Algunas aplicaciones para hacer crawling son:

Fuzzing

El fuzzing es un método para encontrar subdominios y subdirectorios de una aplicación web por medio de una técnica de fuerza bruta. La fuerza bruta consiste en automatizar pruebas de ensayo y error con diferentes valores, hasta encontrar resultados satisfactorios. El fuzzing funciona con diccionarios, que son listas de palabras para optimizar el rendimiento de las pruebas con fuerza bruta.

Algunas aplicaciones para hacer web fuzzing son:

¿Para qué usar estas técnicas?

Ahora que sabes qué es la superficie de ataque de una aplicación web y dos de los métodos más utilizados para delimitarla, es probable que aún te preguntes cuál es la importancia de usar estas técnicas en hacking web.

Permite identificar todos los subdirectorios y subdominios relacionados con una página web, ya que, por error, es posible que haya información sensible en un sitio indexado. El crawling y el fuzzing son métodos que permiten monitorizar qué subdominios y subdirectorios de una aplicación son públicos y qué vulnerabilidades tienen.

Ya hemos visto qué es la superficie de ataque y por qué es tan importante para el pentesting web. Si quieres seguir aprendiendo sobre técnicas de hacking ético, en KeepCoding te ofrecemos la formación intensiva con la que podrás cambiar tu vida. Entra a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en todo un especialista en tan solo 7 meses. ¡No sigas esperando e impulsa tu vida profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado