Tema 3

Hacking Ético

Escaneo y enumeración
 Índice
Esquema 3

Ideas clave 4
3.1. Introducción y objetivos 4
3.2. Recopilación de información activa 4
3.3. Escaneo TCP SYN (-sS) 7
3.4. Escaneo UDP (-sU) 8
3.5. Escaneo TCP Connect (-sT) 9
3.6. Escaneo TCP ACK (-sA) 10
3.7. Escaneo TCP FIN, NULL y Xmas (-sF, -sN, -sX) 11
3.8. Escaneo TCP IDLE (-sI) 13
3.9. Scripts 16
© Universidad Internacional de La Rioja (UNIR)

3.10. Sniffing 18
3.11. ARP Spoofing 20
3.12. Lecciones magistrales 33
3.13. Referencias bibliográficas 34

A fondo 35

Test 37
 © Universidad Internacional de La Rioja (UNIR)

Tema 3. Esquema
Esquema

Hacking Ético
3
 Ideas clave

3.1. Introducción y objetivos

La importancia de recopilar información a la hora de generar un vector de ataque se

convierte en algo crucial si queremos desarrollar un ataque certero.

En este tema vamos a estudiar en qué consiste la fase de fingerprinting y los tipos de
escaneo más comunes a la hora de realizar este tipo de recopilación de información.
Gracias a esta información, el estudiante tendrá los conocimientos mínimos para
poder realizar posteriormente un análisis de potenciales vulnerabilidades y
desarrollar un ataque con su posterior explotación y posexplotación.

3.2. Recopilación de información activa

Fingerprinting

Es el proceso de recolección de información en el que se interactúa

directamente con los sistemas para aprender más sobre su configuración y
comportamiento.

Lo más típico para realizar esta tarea es el escaneo de puertos. Buscaremos los
puertos abiertos en los servidores de la entidad e intentaremos identificar qué hay
© Universidad Internacional de La Rioja (UNIR)

detrás de esos puertos.

Hacking Ético
4
Tema 3. Ideas clave
 Hay dos principales problemas con la técnica del escaneo de puertos:

 Hace mucho ruido, ya que esta técnica consiste en ir enviando paquetes a todos
los puertos de los servidores. Si se hace todo de golpe puede levantar sospechas
por parte del administrador de seguridad (si hay). Lo mejor es siempre hacer los
escaneos poco a poco.

 Hay mecanismos para bloquear estos escaneos y sistemas para alertar de ellos.
Los firewall o cortafuegos pueden ser dispositivos hardware o programas software
que mitigan estos escaneos de puertos, filtrando los paquetes de IP externas o
filtrando el tipo de paquetes (sobre todo los de tipo ICMP o ping). Los IDS
(Intrusion Detection System) son sistemas de alarma que se colocan dentro de una
red (normalmente suelen ser ordenadores analizando el tráfico) y que alertan de
comportamientos anómalos en el sistema.

La herramienta más popular y potente para realizar el escaneo de puertos es Nmap.

Esta herramienta viene por defecto en la distribución Kali Linux y también está
disponible para Windows, Mac OS X y cualquier otro Linux. Es una herramienta de
línea de comandos, aunque Zenmap es otra que tiene las mismas funcionalidades y
tiene interfaz gráfica.
© Universidad Internacional de La Rioja (UNIR)

Figura 1. Escaneo de puertos con NMAP a un router. Fuente: Elaboración propia.

Hacking Ético
5
Tema 3. Ideas clave
 Nmap se basa en el envío de paquetes de diferentes tipos a los puertos de un
servidor esperando una respuesta de este. Dependiendo del tipo de paquete que se
envíe será un tipo de escaneo diferente, algunos son más sigilosos, otros son más
efectivos, otros no son solo para analizar puertos, sino también para saber si hay
algún tipo de firewall o incluso para analizar la seguridad de los certificados que
proporciona un servidor web.

Los diferentes tipos de escaneo son:

Tabla 1. Tipos de escaneo. Fuente: elaboración propia.

© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
6
Tema 3. Ideas clave
 3.3. Escaneo TCP SYN (-sS)

Este escaneo es el más utilizado por ser muy efectivo y silencioso. Puede llegar a
realizar de una manera muy rápida escaneos a miles de puertos por segundo.
Además es relativamente discreto, ya que nunca se completarán las conexiones TCP.

Se basa en el protocolo TCP, que envía un paquete SYN al receptor y si responde

SYN+ACK es que está abierto el puerto. El emisor responderá con RST+ACK para
finalizar la conexión sin que se establezca.

Figura 2. Escaneo TCP SYN. Fuente: Elaboración propia.

© Universidad Internacional de La Rioja (UNIR)

Para cada uno de los puertos que se desean analizar o escanear, se utilizará esta
técnica donde únicamente se envían paquetes del tipo SYN a dicho puerto.

Hacking Ético
7
Tema 3. Ideas clave
 Si recibimos como respuesta un paquete RST/ACK, será que no existe ningún servicio
que esté escuchando por este puerto y por tanto no estará abierto. Por contra, si nos
envían un paquete SYN/ACK, tendremos la certeza de la existencia de este servicio y
puerto TCP y sabremos que está abierto. En este último caso, se enviará un paquete
RST/ACK para no establecer la conexión.

Este tipo de exploración de puertos no es tan ruidosa, ya que no termina el proceso

de intercambio en tres vías, y algunos Firewalls o IDS no las registran. Para saber si el
puerto está cerrado o no, el proceso de TCP SYN Scan debe hacer lo siguiente:

 Supongamos la comunicación entre un host A y B.

Figura 3. Esquema de comunicación TCP SYN. Fuente: Messer Studios, s. f.

 A envía a B una petición de conexión SYN.

 B responde con una petición RST/ACK, lo que indica que el puerto está cerrado.
 B responde con una petición SYN/ACK, lo que indica que el puerto está abierto.
 A responde con una petición RST para romper la conexión y no terminar el
intercambio de tres vías.

3.4. Escaneo UDP (-sU)

© Universidad Internacional de La Rioja (UNIR)

Este escaneo sirve para buscar puertos UDP. Manda paquetes UDP a todos los
puertos y si contesta un ICMP es que el puerto está cerrado, si no, el puerto estará
abierto o filtrado.

Hacking Ético
8
Tema 3. Ideas clave
 Los métodos de escaneo UDP implican enviar un datagrama UDP al puerto de
destino y buscar evidencia de que el puerto está cerrado. Los puertos UDP abiertos
generalmente no responden a los datagramas UDP, ya que no existe un mecanismo
con estado dentro del protocolo que requiera construir o establecer una sesión. Por
lo tanto, las respuestas a los datagramas UDP son específicas de la aplicación y no se
puede confiar en ellas como método para detectar un puerto abierto.

El escaneo UDP se basa en gran medida en los mensajes de diagnóstico ICMP para
determinar el estado de un puerto remoto. Durante un escaneo UDP, se envía un
datagrama a un puerto de destino. Si se devuelve un mensaje de error «Puerto ICMP
tipo 3 inaccesible», el puerto se considera cerrado.

Los diferentes tipos de mensajes ICMP pueden indicar un puerto filtrado. El escaneo
UDP es más lento que el escaneo TCP: las características del protocolo de UDP hacen
que el escaneo de puertos sea intrínsecamente más difícil que con TCP, además de
depender de ICMP para un escaneo preciso. Debido a las ambigüedades que pueden
surgir entre los puertos abiertos y los puertos filtrados, los resultados del escaneo
UDP a menudo requieren un alto grado de interpretación y más pruebas para
refinarlos. En general, los resultados del escaneo UDP son menos confiables o
precisos que el escaneo basado en TCP.

3.5. Escaneo TCP Connect (-sT)

Este proceso de intercambio de exploración de puertos se lleva a cabo mediante tres

vías para poder realizar de forma completa la exploración de puertos.
© Universidad Internacional de La Rioja (UNIR)

Se le conoce como TCP Connect, puesto que realiza una llamada al sistema de tipo
Connect, para así saber de forma rápida el estado del puerto. Es un tipo de
exploración de puertos bastante ruidosa, ya que es fácilmente identificada por los
sistemas de filtrados de paquetes Firewall o por los sistemas detectores de intrusos

Hacking Ético
9
Tema 3. Ideas clave
 (IDS). Es una exploración de puertos segura y confiable en lo referente a las
respuestas de los estados de los puertos, es recomendable para hacer auditorías
internas a los sistemas, sin embargo, no es recomendable hacerlo con host o
máquinas ajenas (sin previa autorización), ya que puede considerarse como un delito
en muchos países.

Figura 4 - Esquema de escaneo TCP Connect. Fuente: Messer Studios, s. f.

3.6. Escaneo TCP ACK (-sA)

Este escaneo no determina si un puerto está abierto, solo indica si un puerto tiene
un firewall delante. Enviará un paquete solo con el flag ACK activado, tanto los
puertos abiertos como los cerrados contestarán con el flag RST y solo los puertos
filtrados no contestarán o contestarán algún mensaje especial de error.

Este escaneo es diferente a los otros mencionados, pues nunca determina los puertos
«abiertos o (abiertos|filtrados)». Es utilizado para mapear conjuntos de reglas del
firewall, determinando si estos son de estado o no, y cuáles puertos son filtrados.

El escaneo ACK prueba paquetes con solo la bandera ACK activa (a menos que se
© Universidad Internacional de La Rioja (UNIR)

utilice --scanflags). Cuando se escanean sistemas sin filtrar, los puertos «abiertos»
y «cerrados» devuelven un paquete RST. Nmap, entonces, los etiqueta como
«unfiltered» (sin filtrar), lo cual significa: estos son alcanzables por un paquete ACK,
pero no se puede determinar si están «abiertos» o «cerrados». Los puertos no

Hacking Ético
10
Tema 3. Ideas clave
 respondiendo, o que envíen ciertos mensajes de error ICMP (como tipo 3, código 0,
1, 3, 9, 10 o 13), son etiquetados como «filtrados».

Figura 5. Resultado de escaneo TCP ACK. Fuente: Elaboración propia.

3.7. Escaneo TCP FIN, NULL y Xmas (-sF, -sN, -sX)

Estos tres tipos de escaneo (incluso existen más con la opción --scanflags)
aprovechan una laguna sutil en el RFC de TCP para diferenciar entre puertos
abiertos y cerrados. Si el estado del puerto (de destino) está cerrado, un segmento
entrante que no contiene un RST hace que se envíe un RST en respuesta. Entonces,
la página siguiente analiza los paquetes enviados a puertos abiertos sin los bits SYN,
RST o ACK configurados, indicando que es poco probable que llegue, pero si lo hace,
elimine el segmento y regrese (Information Sciences Institute University of Southern
© Universidad Internacional de La Rioja (UNIR)

California, 1981)

Cuando se escanean sistemas que cumplen con este texto de RFC, cualquier paquete
que no contenga bits SYN, RST o ACK dará como resultado un RST devuelto si el
puerto está cerrado y ninguna respuesta si el puerto está abierto. Siempre que no se

Hacking Ético
11
Tema 3. Ideas clave
 incluya ninguno de esos tres bits, cualquier combinación de los otros tres (FIN, PSH y
URG) está bien. Nmap aprovecha esto con tres tipos de escaneo:

 Escaneo nulo (-sN). No establece ningún bit (el encabezado de la bandera TCP es
0)
 Escaneo FIN (-sF). Establece solo el bit TCP FIN.
 Escaneo de Navidad (-sX). Establece las banderas FIN, PSH y URG, iluminando el
paquete «como un árbol de Navidad».

Estos tres tipos de exploración tienen exactamente el mismo comportamiento,

excepto por los indicadores TCP establecidos en los paquetes de sondeo. Las
respuestas se tratan como se muestra en la Tabla 2:

Tabla 2. Respuestas de escaneos. Fuente: elaboración propia.

La ventaja clave de estos tipos de análisis es que pueden colarse a través de ciertos
cortafuegos sin estado y enrutadores de filtrado de paquetes. Dichos cortafuegos
intentan evitar las conexiones TCP entrantes (mientras que permiten las salientes)
bloqueando cualquier paquete TCP con el bit SYN establecido y ACK desactivado. Esta
configuración es lo suficientemente común como para que el comando de firewall
© Universidad Internacional de La Rioja (UNIR)

iptables de Linux ofrezca una opción especial --syn para implementarla. Los
escaneos NULL, FIN y Xmas borran el bit SYN y, por lo tanto, pasan directamente por
esas reglas.

Hacking Ético
12
Tema 3. Ideas clave
 Otra ventaja es que estos tipos de análisis son un poco más sigilosos, incluso que un
análisis SYN. Sin embargo, la mayoría de los productos IDS modernos se pueden
configurar para detectarlos.

Tabla 3. Escaneo TCP FIN, NULL y Xmas. Fuente: elaboración propia.

3.8. Escaneo TCP IDLE (-sI)

Este escaneo es uno de los más complejos, ya que requiere de una máquina extra,
la máquina «zombi» o intermediaria. Para encontrar una máquina «zombi», el
© Universidad Internacional de La Rioja (UNIR)

atacante deberá enviar paquetes de SYN+ACK para iniciar una conexión con el posible
«zombi», chequeando que los ID de respuesta que devuelva sean sucesivos o
predecibles y, además, la máquina «zombi» no debe tener tráfico. Estas condiciones
se deben cumplir para que este ataque funcione.

Hacking Ético
13
Tema 3. Ideas clave
 Una vez tengamos la máquina «zombi», el atacante enviará paquetes SYN a la
máquina víctima haciendo IP Spoofing (suplantación de IP) haciéndose pasar por la
máquina «zombi», por lo que las respuestas irán para esta máquina y no para el
atacante.

Los paquetes enviados tienen el funcionamiento de los vistos en el TCP SYN scan, por
lo que la víctima, si tiene el puerto cerrado, responderá con un paquete RST+ACK a la
máquina «zombi», que lo descartará; si el puerto está abierto, responderá con un
SYN+ACK a la máquina «zombi» y esta devolverá un RST, pero aumentará el ID de
respuesta. Por ello, si el atacante pregunta por este ID y ve que ha aumentado,
puede saber que el puerto de la víctima estaba abierto. Como se puede ver, este
escaneo es muy complejo, pero proporciona al atacante la capacidad de seguir
oculto.
© Universidad Internacional de La Rioja (UNIR)

Figura 6. Idle Scan. Fuente: Nmap, s. f.

Hacking Ético
14
Tema 3. Ideas clave
 Figura 7. IDLE Scan en un puerto abierto. Fuente: Nmap, s. f.

Figura 8. IDLE Scan en un puerto cerrado. Fuente: Nmap, s. f.

Figura 9. IDLE Scan en un puerto filtrado. Fuente: Nmap, s. f.

© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
15
Tema 3. Ideas clave
 3.9. Scripts

Hay muchos más tipos de escaneo, pero los más usados son los que se han
mencionado. Además, Nmap posee muchas otras funciones como medidas para
poder saltarnos los filtrados firewall, como puede ser la fragmentación de paquetes
(opción –f), el reconocimiento del sistema operativo que hay detrás de un dispositivo
(opción –O) o la generación de scripts, lo que le da mucho potencial a Nmap.

Con los scripts podemos hacer un fingerprinting más avanzado. Estos son de
diferentes tipos:

 Autenticación.
 Fuerza bruta.
 Configuraciones por defecto.
 Descubrimiento.
 Denegación de servicio.
 Exploiting.
 Ataques externos e intrusión.
 Malware.
 Detección de versiones y vulnerabilidades.

Un script muy útil puede ser el de identificación de banner: Nmap se conecta a un

puerto TCP abierto e imprime todo lo que recibe del servidor durante 5 segundos.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
16
Tema 3. Ideas clave
 Figura 10. Script en Nmap. Fuente: Elaboración propia.

Con estos scripts podemos analizar la seguridad que ofrecen los certificados
digitales de un sitio web: qué tipo de protocolo SSL soportan, si los algoritmos de
firma y/o cifrado son débiles, etc. También podremos realizar pruebas de inyección
SQL, fuerza bruta y detección de vulnerabilidades.

Todos los scripts e información sobre ellos (función, parámetros, requisitos…) se

pueden encontrar en la página [Link]

Como se ha comentado, hay una herramienta en modo gráfico que implementa

todas las funciones de Nmap: Zenmap (de los creadores de Nmap). Esta herramienta
permite realizar todas las tareas de Nmap, incluida la ejecución de los scripts.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
17
Tema 3. Ideas clave
 Figura 11. Interfaz de Zenmap. Fuente: Elaboración propia.

3.10. Sniffing

Otra técnica muy importante de fingerprinting es el sniffing o captura de paquetes

de una red para obtener mucha información de la víctima.

El sniffing de paquetes es una técnica basada en capturar los paquetes

enviados y recibidos en redes locales, ya sea inalámbricas o por cable. Al
capturar estos paquetes, podemos intentar acceder a toda la información que
viaja en ellos, como contraseñas, usuarios, etc.

Para realizar esta captura usaremos la herramienta Wireshark, que es

multiplataforma (Windows, Linux y Mac OS X) y viene preinstalada en la distribución
Kali Linux.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
18
Tema 3. Ideas clave
 Figura 12. Captura con Wireshark. Fuente: Elaboración propia.

Para capturar el tráfico de red, necesitaremos estar conectados a la red en cuestión:

si es por cable, tendremos todos los paquetes sin cifrar, excepto aquellos que vengan
de conexiones seguras (SSL, TLS) y si es por red inalámbrica solo tendremos los
paquetes descifrados de las redes abiertas.

Igualmente, hay formas de conseguir descifrar los paquetes, pero necesitaremos

otros métodos como el Man-in-the-middle (MITM).

Si utilizamos wireshark o cualquier herramienta de captura de paquetes en una

máquina virtual probablemente sea necesario el uso de una tarjeta de red USB,
ya que las máquinas virtuales no son capaces de usar la tarjeta de red que utiliza
© Universidad Internacional de La Rioja (UNIR)

el sistema operativo host, sino que hacen conexiones mediante NAT o puentes.

La técnica Man-in-the-middle o Mitm consiste básicamente en situarnos entre el

cliente y el servidor e interceptar todos los mensajes que intercambien,
haciéndonos pasar por un router o un servidor proxy. Para realizar esta técnica

Hacking Ético
19
Tema 3. Ideas clave
 tenemos múltiples maneras de hacerlo, como establecer manualmente que nuestra
máquina haga de servidor proxy para todas las conexiones de la víctima, pero la más
típica es hacer una falsificación de ARP o ARP Spoofing.

3.11. ARP Spoofing

Para explicar el ARP Spoofing es necesario hablar un momento de las tablas ARP de
un dispositivo. Estas tablas guardan la dirección MAC del resto de dispositivos que
conoce de la red y sirven para traducir direcciones IP (de la capa de red) a
direcciones MAC (de la capa de enlace), para poder enviar paquetes a dicho
dispositivo. Estas tablas pueden ser estáticas, nunca varían sus entradas sin la
intervención humana, o dinámicas, se van actualizando automáticamente solas sin
intervención humana.

El ARP Spoofing se basa en la mayoría de las tablas ARP dinámicas, sobre todo en
ordenadores de sobremesa o portátiles. Consiste en enviar constantemente
paquetes ARP a dichos dispositivos para llenar las tablas dinámicas y hacer que otra
máquina se haga pasar por el router, para que todo el tráfico de la máquina víctima
pase por ella.

Arpspoof

Dentro de las herramientas que podemos utilizar para realizar este tipo de ataques
vamos a ver arpspoof, disponible en [Link]
© Universidad Internacional de La Rioja (UNIR)

Arpspoof elabora un ataque de suplantación de ARP contra un host en la red local

de manera muy intuitiva y sencilla. Esto hace que el tráfico desde el host atacado a
la puerta de enlace por defecto pueda ser capturado con herramientas como
Wireshark. Arpspoof también reenviará este tráfico, por lo que Windows no tiene por
qué ser configurado como un router.

Hacking Ético
20
Tema 3. Ideas clave
 Anteriormente se utilizaba la herramienta Caín & Abel pero en la actualidad ha caído
en desuso e incluso se utiliza para otras labores diferentes a las vistas en este tema.

Dentro de arpspoof temenos las siguientes opciones:

[Link] --list | [-i iface] [--oneway] victim-ip [target-ip]

 list enumera las interfaces de red disponibles.

 victim-ip es la IP del host contra el que se monta el ataque de spoofing, es decir,
el host que nos enviará su tráfico pensando que somos el host de destino (la
puerta de enlace por defecto).
 target-ip es el host que estamos fingiendo ser (en lo que respecta a victim-ip). Si
no se especifica, la puerta de enlace por defecto se utiliza como objetivo y, por lo
tanto, se puede capturar el tráfico de la víctima en Internet.
 --oneway hace que solo se redirija la dirección víctima -> objetivo. Por defecto, el
tráfico en las direcciones víctima -> objetivo y objetivo -> víctima se redirige al
ordenador local.
 -i iface. Se detectará automáticamente una interfaz en la que falsificar los ARP,
basándose en las direcciones IP y en las máscaras asignadas a las interfaces locales
y a la víctima-ip. Podemos utilizar --list para ver las opciones disponibles. Se
admiten los formatos -i 1 y -i \Device\NPF_{A91C1830-2930-4B12-8017-
6664270142F4}.

Como primer paso, podremos enumerar las interfaces disponibles para la captura /
suplantación de identidad:
© Universidad Internacional de La Rioja (UNIR)

Figura 13. Listado de interfaces disponibles. Fuente: Elaboración propia.

Hacking Ético
21
Tema 3. Ideas clave
 Haremos que el host [Link] crea que nuestro ordenador es la puerta de enlace
por defecto [Link], y así que nos envíe su tráfico hacia Internet. A su vez,
haremos que la puerta de enlace [Link] crea que nuestro ordenador es
[Link], y así nos enviará las respuestas:

C:\>[Link] [Link]

Lo mismo, pero sólo en una dirección [Link] -> [Link]. La otra dirección
no pasará por nuestro ordenador:

C:\>[Link] --oneway [Link]

El ejemplo más simple sería combinarlo con otra herramienta de captura de tráfico.
Para ello, llevaríamos a cabo la redirección tal y como hemos visto en el anterior
ejemplo.

Figura 14. Redirección de tráfico. Fuente: Elaboración propia.

Una vez tenemos esta redirección, ya podremos abrir el programa Wireshark (o

tcpdump) en nuestra máquina y filtrar por la MAC de la víctima.

tcpdump ether host [Link]

Cuando hayamos realizado esto, podremos parar la herramienta de arpspoof.

© Universidad Internacional de La Rioja (UNIR)

Figura 15. Terminar proceso de arpspoof. Fuente: Elaboración propia.

Hacking Ético
22
Tema 3. Ideas clave
 Ya tendríamos todo el tráfico en Wireshark para su análisis.

Bettercap

Para hacerlo, usaremos otra herramienta disponible en Kali Linux, llamada Ettercap
o una versión altamente mejorada, llamada Bettercap. En nuestro caso, haremos uso
de esta última.

Bettercap es una evolución de Ettercap, famosa «navaja suiza» que ayuda a llevar a
cabo ataques en redes de datos IPv4 e IPv6. Bettercap está codificado en Go, lo que
permite que sea prácticamente multiplataforma y pueda usarse en cualquier sistema
operativo.

La instalación de Bettercap es realmente sencilla. Tiene dependencias, pero,

ejecutando apt-get install bettercap, el proceso se realiza automáticamente.

Las características principales de Bettercap son:

 Escaneo de redes WiFi, ataques de desautentificación, ataque de asociación

PMKID sin cliente y captura automática de handshakes de clientes WPA/WPA2.

 Escaneo de dispositivos Bluetooth Low Energy, enumeración de características,

lectura y escritura.

 Escaneo de dispositivos inalámbricos de 2.4 Ghz y ataques de MouseJacking con

inyección de frames HID over-the-air (con soporte de DuckyScript).
© Universidad Internacional de La Rioja (UNIR)

 Sondeo y reconocimiento de hosts de red IP pasivos y activos.

 ARP, DNS, DHCPv6 y NDP spoofers para ataques MITM en redes basadas en IPv4
e IPv6.

Hacking Ético
23
Tema 3. Ideas clave
  Proxies a nivel de paquete, a nivel de TCP y a nivel de aplicación HTTP/HTTPS
totalmente programables con plugins javascript fáciles de implementar.

 Un potente sniffer de red para la recolección de credenciales que también puede

ser utilizado como un fuzzer de protocolo de red.

 Un escáner de puertos muy rápido.

 Una potente API REST con soporte para la notificación de eventos asíncronos en
websocket para orquestar sus ataques fácilmente.

 Una interfaz de usuario web fácil de usar.

Bettercap tiene la posibilidad de lanzar una interfaz GUI para facilitar la usabilidad
y gestión de la herramienta. La forma más fácil de empezar a jugar con bettercap es
utilizando su interfaz oficial de usuario web. Para ello, nos deberemos asegurar que
tenemos la última versión de bettercap:

sudo bettercap -eval "[Link]; [Link]; q"

Figura 16. Inicio de la interfaz web Fuente: Elaboración propia.

© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
24
Tema 3. Ideas clave
 Figura 17. Interfaz gráfica. Fuente: Bettercap, s. f.

Ya podremos abrir el navegador web y utilizar la interfaz gráfica. Para ello,

navegaremos a la URL [Link] podremos acceder a la interfaz gráfica de
usuario.
© Universidad Internacional de La Rioja (UNIR)

Figura 18. Login interfaz web. Fuente: Bettercap, s. f.

Hacking Ético
25
Tema 3. Ideas clave
 El nombre de usuario por defecto será «user» y la contraseña, «pass». Una vez
dentro, podremos ver múltiples menús y módulos, aunque nos centraremos en los
comandos, ya que es lo más frecuente.

La principal característica funcional de bettercap no son sólo los ataques man in a

middle. Gracias a los caplets y scripts, es posible implementar una variedad de
ataques de phishing y ataques basados en la manipulación de datos, cuyo punto de
partida es un ataque de man in a middle.

Para aproximarse a las posibilidades del programa, hay que leer la documentación y
también familiarizarse con el repositorio de caplets: muchos de ellos tienen
comentarios en el código fuente que ayudan a entender lo que el programa hará
exactamente.

Una vez seleccionamos cualquier módulo de bettercap, podremos ejecutar el

comando de ayuda para visualizar todo aquello que necesitamos para su
configuración:

help
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
26
Tema 3. Ideas clave
 Figura 19. Opciones en bettercap. Fuente elaboración propia.

En este apartado y, debido a la complejidad y posibilidades de la herramienta, nos

centraremos en los comandos básicos.

Bettercap sobre HTTP

El primer paso para realizar un ataque de ARP Spoofing será conocer la IP de nuestra
víctima. Para ello, podremos utilizar NMAP para escanear toda la subred y averiguar
las IPs disponibles.

nmap -sV [Link]/24

© Universidad Internacional de La Rioja (UNIR)

Con esta información ya podríamos realizar el ataque:

bettercap -G [Link] -I wlan0 -T [Link]

Hacking Ético
27
Tema 3. Ideas clave
 Con esto podremos capturar los paquetes que utilicen el protocolo «HTTP» en texto
plano, aunque la mayoría de la información importante utiliza «HTTPS». Para ello
tenemos la posibilidad de capturar el tráfico y poder visualizar los datos haciendo uso
de sslstrip2 integrado con bettercap. Esto nos permitirá descifrar todo el tráfico
HTTPS.

Para esto último, utilizaremos el siguiente comando:

bettercap -I wlan0 -T [Link] -G [Link] --proxy -P POST

Con esto ya tendríamos configurado el «bypass» del HSTS o HTTPS y podremos

obtener toda la información de los sitios cifrados en los que navega nuestra víctima.

Otra opción sería iniciar bettercap y hacerlo por comandos dentro del intérprete que
incluye. Para ello, ejecutaremos bettercap:

sudo bettercap

Una vez dentro de bettercap, debemos ejecutar varias órdenes para configurarlo.
Como en lo anterior, deberemos definir el objetivo: en nuestro caso, la máquina con
IP [Link]. No es necesario poner también la puerta de enlace
predeterminada.

set [Link] [Link]

© Universidad Internacional de La Rioja (UNIR)

Figura 20. Configuración máquina víctima. Fuente elaboración propia.

Hacking Ético
28
Tema 3. Ideas clave
 Una vez configurado, si ejecutamos «help [Link]», nos mostrará todas las
opciones disponibles en este módulo. Una de las más interesantes es
«[Link]», opción que nos permite hacer un ARP Spoofing, tanto al
objetivo, como a la puerta de enlace predeterminada (gateway). Cabe destacar que,
si el router tiene protección frente a ataques ARP Spoofing, fallará el ataque.

set [Link] [Link]

[Link] true
[Link] on

Figura 21. Configuración ARP Spoofing Fuente elaboración propia.

Una vez realizada esta configuración, podremos ejecutar el programa Wireshark para
capturar todos los paquetes de la interfaz eth0, donde podremos analizar todo el
tráfico entrante y saliente de la víctima. Podemos ver en la Figura 22 el tráfico ICMP
de [Link], es decir, el equipo que estamos atacando.
© Universidad Internacional de La Rioja (UNIR)

Figura 22. Captura de wireshark sobre la víctima. Fuente elaboración propia.

Hacking Ético
29
Tema 3. Ideas clave
 También podremos capturar todo el demás tráfico de red (DNS, TCP, UDP y todos
los protocolos). Pero en el caso del tráfico cifrado con esta configuración, como ya
vimos anteriormente, no será posible su interpretación.

Figura 23. Tráfico de la máquina víctima. Fuente elaboración propia.

Esto es posible llevarlo a cabo a través de la interfaz web. Para ello nos deberemos
ir al módulo «LAN» y allí seleccionaremos el objetivo o los objetivos que se deseen
para el ataque. Después los añadiremos a «[Link]» y haremos click en
«Full-Duplex spoofing». Aquí nos aparecerá el listado de máquinas disponibles en la
red.
© Universidad Internacional de La Rioja (UNIR)

Figura 24. Configuración web y selección de targets. Fuente elaboración propia.

Hacking Ético
30
Tema 3. Ideas clave
 Bettercap sobre HTTPS

Para poder leer el tráfico que va cifrado con Bettercap, deberemos habilitar el proxy
HTTP con ssltrip activado, lo que nos permitirá «esnifar» todas las comunicaciones
HTTPS.

set [Link] true

set [Link] false
set [Link] [Link]
[Link] true
[Link] on
[Link] on
[Link] on

Una vez configurado, si la víctima visita una web con HTTPS, automáticamente se
forzará la comunicación al protocolo HTTP, por lo que tendremos la posibilidad de
capturar todo el tráfico de manera legible y podremos, entre muchas otras cosas,
obtener credenciales de usuario.

En la Figura 25 se muestra cómo la víctima accede a la página web de

«pccomponentes» con su usuario y contraseña y gracias al ataque de ARP Spoofing
se captura tanto el usuario (email) como la contraseña.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
31
Tema 3. Ideas clave
 Figura 25. Ataque ARP Spoofing con HTTPS. Fuente elaboración propia.

Si navegase por otras webs, también podríamos ver el tráfico sin mayor dificultad.

Figura 26. Tráfico HTTPS en otras webs. Fuente elaboración propia.

HSTS (HTTP Strict Transport Security)

© Universidad Internacional de La Rioja (UNIR)

La manera de protegernos ante este ataque será configurar en la página web HSTS
(HTTP Strict Transport Security) que fuerce que todo el tráfico esté cifrado siempre.

HSTS es una política de seguridad web que evita este tipo de ataques ARP Spoofing
gracias al uso de cookies. El servidor web le forzará al navegador web para que

Hacking Ético
32
Tema 3. Ideas clave
 siempre que se vuelva a acceder a su página web, se haga uso del protocolo HTTPS,
por lo que la comunicación estará cifrada punto a punto y, aunque interceptemos la
comunicación «sniffeando» el tráfico, no podremos ver el tráfico intercambiado
porque no podemos usar bettercap para «levantar» el cifrado TLS. Estas cookies
tienen una caducidad, pero una buena política de configuración (de cara al servidor
web) es poner un valor muy alto, por ejemplo, un año (max-age = 31 536 000).

El único momento en que el ataque sería efectivo, teniendo una web con HSTS, sería
antes de la primera conexión histórica del usuario (al ser un navegador nuevo,
ordenador recién formateado, nunca se ha metido en esa web etc.) ya que no tendrá
activo el HSTS.

Bettercap incorpora un caplet que nos permite hacer un ataque HSTS Hijack para
eludir esta protección: se basa en hacer un DNS Spoofing y reenviar a la víctima a
otro dominio bajo nuestro control para, posteriormente, capturarle toda la
información. Los caplets son scripts en Bettercap que vienen preconfigurados, pero
que nosotros podemos modificar fácilmente.

3.12. Lecciones magistrales

En el vídeo Uso de NMAP y sus escaneos se explicarán los diferentes mecanismos que
utiliza la aplicación NMAP para obtener información acerca de los sistemas. Se
profundizará acerca de los protocolos de comunicación IP para entender el
funcionamiento e intercambio de datagramas entre máquinas.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
33
Tema 3. Ideas clave
 3.13. Referencias bibliográficas

Bettercap. (s. f.). WEB UI. [Link]

Information Sciences Institute University of Southern California. (1981, septiembre).

Protocolo de control de transmission. (RFC 793). [Link]
[Link]

Messer Studios. (s. f.). Deciphering Nmap’s Port Descriptions.

[Link]

Nmap. (s. f.). TCP Idle Scan (-sl) | Nmap Network Scanning.
[Link]

Nmap. (s. f.). Idle Scanning and related IPID games.

[Link]
[Link]
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
34
Tema 3. Ideas clave
 A fondo
Fase de escaneo

Follow The White Rabbit. (2016, noviembre 9). Curso Hacking Ético y Pentesting: Fase de
escaneo [Vídeo]. Youtube. [Link]

Vídeo explicativo de los pasos a seguir en la fase de escaneo contra un entorno

controlado.

Nmap para principiantes

HackerSploit. (2017, marzo 16). Nmap Tutorial For Beginners – 1 – What is Nmap?
[Vídeo]. Youtube. [Link]

Vídeo explicativo de cómo instalar y utilizar nmap con las diferentes opciones que
nos brinda.

Nmap en películas

Nmap (s. f.) Nmap in the movies. [Link]

Nmap es la herramienta más mostrada en las escenas de hackeo. Así que han
catalogado los casos conocidos aquí.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
35
Tema 3. A fondo
 Bettercap y HSTSHijack

Hox Framework. (2020, octubre 29). Capturing HTTPS traffic with BETTERCAP using
SSLSTRIP and HSTSHijack – Explained – testing MiTM [Vídeo]. Youtube.
[Link]

Realización de un ataque de ARP Spoofing sobre HTTPS utilizando la técnica de HSTS

Hijack.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
36
Tema 3. A fondo
 Test
1. ¿A qué no consideramos información útil a la hora de realizar un proceso de
footprinting y fingerprinting?
A. Puertos UDP abiertos en una máquina.
B. Hora de la última modificación de un documento.
C. Versión del antivirus.
D. Apodo del usuario que creó un documento.

2. Respecto a los diferentes tipos de escaneos de puertos con Nmap, indica cuál no
es correcto:
A. El escaneo TCP XMAS manda un paquete con tres flag a 1.
B. El escaneo TCP IDLE requiere de una máquina «zombi».
C. El ataque TCP ACK es el más utilizado.
D. El ataque TCP NULL se utiliza exclusivamente para detectar puertos cerrados.

3. ¿Cuál de los siguientes casos debe cumplirse con el escaneo TCP IDLE?
A. No se debe realizar conexiones TCP/IP mientras se realiza el escaneo.
B. La máquina «zombi» tiene que tener un IPID diferente al IPID de la máquina
objetivo.
C. El IPID no será relevante siempre y cuando en envío de un SYN ACK sea
incorrecto.
D. Todas son correctas.

4. Los escaneos TCP FIN, NULL y Xmas...

A. Sirven para obtener información acerca de puertos abiertos o cerrados.
© Universidad Internacional de La Rioja (UNIR)

B. Los indicadores TCP establecidos en los paquetes de sondeo son diferentes.

C. Son capaces de «bypassear» algunos firewalls.
D. Todas son correctas.

Hacking Ético
37
Tema 3. Test
 5. Los escaneos TCP Connect y TCP ACK…
A. Inician la comunicación con el three way handshake y, una vez obtenida la
información del estado del puerto, cierran con RST la comunicación.
B. Inician la comunicación con el three way handshake pero en el caso del TCP
ACK envía un RST antes de terminarlo.
C. Ambos envían como primer datagrama un SYN/ACK para conocer el estado
del puerto.
D. Todas son correctas.

6. ¿Cómo interpreta nmap que un puerto está cerrado en un escaneo TCP SYN?
A. Después de enviar la máquina atacante un SYN/ACK en respuesta a la
máquina destino, si pasado un tiempo no hay respuesta.
B. Después de enviar la máquina atacante un ACK en respuesta a la máquina
destino, si el destino vuelve a responder con SYN/ACK.
C. Después de enviar la máquina atacante un SYN/ACK en respuesta a la
máquina destino, si el destino vuelve a responder con RST/ACK.
D. Todas son incorrectas.

7. Los IPS o firewalls pueden:

A. Filtrar la información y no dejarnos obtener información acerca de si la
máquina tiene un puerto abierto o no.
B. Arrojarnos información acerca de las consultas y peticiones que se realizan a
través de ARP spoofing gracias al content type.
C. Crear concurrencias inmersivas que permitan al escaneo TCP IDLE ser
fructífero en cualquier entorno.
D. Todas son incorrectas.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
38
Tema 3. Test
 8. NMAP es una…
A. Herramienta de código cerrado que sirve para efectuar escaneo de puertos.
B. Herramienta de código libre creado únicamente para escanear puertos.
C. Herramienta de código libre que permite mapear sistemas operativos en
búsqueda de información pública.
D. Herramienta de código libre que permite escanear puertos y lanzar escaneos
de vulnerabilidades.

9. El sniffing permite…
A. Obtener información de las DNS y las cachés de los equipos de una misma
red.
B. Suplantar la identidad de otro equipo mediante ingeniería social.
C. Monitorizar y capturar los paquetes de una red con el objetivo de analizarlos.
D. Analizar los logs de las máquinas de una red para encontrar errores o
vulnerabilidades.

10. Con el ARP Spoofing podemos:

A. Enviar paquetes ARP con el objetivo de asociar la dirección MAC del atacante
con la dirección IP de otro nodo.
B. Capturar el tráfico ARP de una red para poder suplantar la identidad de la
máquina objetivo.
C. Utilizar la pila ARP para poder obtener la dirección MAC de todas las
máquinas colindantes.
D. Todas son incorrectas.
© Universidad Internacional de La Rioja (UNIR)

Hacking Ético
39
Tema 3. Test