Análisis técnico: Los 3 pasos básicos de un ataque cibernético en el marco de la ciberseguridad ofensiva

En el ámbito de la ciberseguridad, entender cómo se estructura un ataque cibernético es esencial, tanto para quienes desean proteger sus infraestructuras como para aquellos que buscan especializarse en el ámbito del hacking ético y las pruebas de penetración . Aunque existen muchas clasificaciones sobre los tipos de ataques y metodologías, es ampliamente aceptado que un ataque bien planeado se compone de tres fases fundamentales: Reconocimiento, Explotación y Persistencia.

Hoy con la ayuda de la IA tratare de poder dar explicación al contexto en sus tres fases...

Fase de Reconocimiento: El Arte de la Información

La fase de reconocimiento representa el inicio de cualquier operación ofensiva. El atacante busca recolectar la mayor cantidad de información posible sobre su objetivo. Esta fase es estratégica, metódica y define el éxito de las siguientes etapas. Posiblemente es la que mas toma tiempo y es la que define garantizar un buen resultado.

Existen dos tipos de reconocimiento:

Reconocimiento Pasivo: La huella invisible del atacante

¿Cómo funciona en la práctica?

El atacante puede iniciar su búsqueda recolectando datos de la infraestructura mediante técnicas sencillas pero efectivas:

• Revisar el registro WHOIS de dominios para identificar propietarios, proveedores de hosting y posibles direcciones de contacto.

• Buscar subdominios a través de plataformas como crt.sh que almacenan certificados SSL públicos.

• Explorar archivos PDF, Excel u otros documentos públicos que hayan sido subidos sin control, los cuales muchas veces contienen metadatos reveladores como nombres de usuarios, correos, ubicaciones físicas e incluso la versión del software utilizado.

• Buscar en repositorios públicos como GitHub donde, por error, pueden quedar claves API, contraseñas o configuraciones sensibles expuestas.

Ejemplo real:

Un atacante desea comprometer una pequeña empresa tecnológica. No interactúa con su infraestructura, sino que revisa su página de LinkedIn. Identifica que varios empleados trabajan como administradores de sistemas. En sus perfiles públicos mencionan las tecnologías que usan: "Especialista en VMware ESXi, Fortigate, Microsoft Exchange Server 2016". Esa información es suficiente para suponer configuraciones internas y preparar posibles vectores de ataque más adelante. Ningún sistema defensivo de la empresa pudo detectar esta investigación.

Reconocimiento Activo: El primer roce con la víctima

¿Cómo funciona en la práctica?

El atacante, una vez recopilada la información básica de forma pasiva, avanza a escanear activamente los puertos abiertos, servicios, versiones de software, y potencialmente descubrir vulnerabilidades específicas.
Esto se hace mediante:

• Escaneos de puertos (por ejemplo, con Nmap) para identificar servicios expuestos.

• Análisis de banners de servicios que revelan versiones y configuraciones.

• Enumeración de directorios web para encontrar paneles de administración u otros recursos olvidados.

• Uso de herramientas como WhatWeb o Wappalyzer para identificar frameworks y tecnologías específicas.

Ejemplo real:

Un pentester realiza un escaneo Nmap a una IP pública de su cliente y descubre que el puerto 445 está abierto, revelando un servicio de SMB (Server Message Block) sin cifrado. El banner indica que la versión es vulnerable a EternalBlue (MS17-010). A partir de esta información, el atacante ya sabe qué exploit usar en la siguiente fase. Aunque es un escaneo básico, probablemente quede registrado en los logs del sistema objetivo.

Otro ejemplo es el uso de dirb o gobuster para buscar rutas ocultas en una aplicación web. El escaneo descubre /admin/backup.zip, lo que podría exponer información sensible si no fue adecuadamente protegido.

Fase de Explotación: Romper la Puerta

La explotación es el momento crítico donde el atacante intenta vulnerar las defensas del sistema aprovechando vulnerabilidades descubiertas en la fase anterior. El objetivo es obtener acceso, ejecutar código arbitrario o escalar privilegios.

Esta fase requiere habilidades técnicas, conocimiento de vulnerabilidades y, a menudo, herramientas automatizadas para facilitar el proceso.

Técnicas comunes:

• Explotación de vulnerabilidades conocidas (CVEs).

• Phishing dirigido (Spear Phishing).

• Ataques de contraseñas (Brute Force, Dictionary).

• Inyección de código (SQLi, XSS, LFI, RCE).

• Payloads personalizados para bypass de EDR.

Fase de Persistencia: Mantener el Control

Una vez que el atacante ha logrado acceso, necesita garantizar que podrá volver a ingresar incluso si las credenciales cambian o los sistemas se reinician. Esto se logra estableciendo mecanismos de persistencia que muchas veces pasan desapercibidos por controles básicos.

Técnicas comunes:

• Backdoors persistentes (scheduled tasks, servicios, scripts de inicio).

• Cuentas ocultas con privilegios.

• Túneles reversos (Ngrok, FRP, SSH inverso).

• Manipulación de Active Directory.

Recomendaciones para laboratorios de práctica:

Si quieres practicar y reforzar tus conocimientos, te sugiero montar un pequeño laboratorio controlado:

• VirtualBox para virtualización.

• Kali Linux como máquina atacante.

• Windows 10 / Windows Server como víctima.

• pfsense para controlar la red.

• Simulación de ataques con Metasploit, Empire y Burp Suite.