Entendiendo Footprinting

Footprinting es un técnica utilizada para descubrir información sobre la organización a la que se va a auditar en los proyectos de Hacking Ético.

¿En qué consiste?

La técnica de footprinting consiste en recopilar información publicada por la organización a la que se va a auditar en el proceso de hacking ético.

La información será, generalmente, de tipo técnico.

Puede ser información publicada de forma consciente por la organización (lo menos habitual) o de forma no consciente (lo más habitual).

Se debe recopilar el mayor volumen de información posible sobre el cual posterior se infieren opciones para obtener conocimiento.

¿Qué tipo de información se recopila?

La información a recopilar es de tipo técnico.

Algunos de los parámetros que se buscan son:

  • direcciones IP
  • direcciones de email
  • dominios y subdominios
  • nombres de servidores
  • tipos de endpoints
  • metadatos
  • ficheros
  • y más…

Por tanto, no se trata de hacer un análisis de negocio de la organización sino de encontrar información que nos permitar armar e inferir las pruebas de penetración.

¿Cómo hacer footprinting?

No existe un procedimiento único ni estandarizado. Debido a la diversidad y complejidad no es posible

Pero sí hay unos mínimos que pueden/deben hacerse. Serían los siguientes:

  1. Visitar el website de la organización
  2. Buscar contenidos en los motores de búsqueda
  3. Buscar información en motores de búsqueda de dispositivos para buscar IPs, servidores, cámaras, impresoras,..
  4. Analizar el histórico de cambios del website
  5. Listar dominios y subdominios
  6. Estudiar los metadatos asociados a documentos que haya publicado
  7. Estudio de DNS
  8. Evaluación de transferencia de DNS
  9. Obtención de cuentas de correo publicadas en Internet
  10. Analizar si los websites están ubicados en hosting compartidos

El cómo hacer todo esto da para mucho más.

Pero espero que te sea útil para conocer, a alto nivel, que es un footprinting en ethical hacking.

Si quieres conocer más sobre este tema, te recomiendo la lectura del libro Ethical Hacking de Pablo González Pérez de 0xWord.

Deja un comentario

Ir al contenido