01.-Tipos de reconocimiento
En la fase de reconocimiento se establecen dos grandes categorías dependiendo de si las técnicas utilizadas interactúan directamente con el objetivo de las pruebas o no:
Reconocimiento pasivo¶
Es el proceso de recolección de información del objetivo que se está auditando a través de fuentes de información de dominio público. En ningún momento se establece comunicación directa con el objetivo. En su lugar, esta información se obtiene mediante herramientas y recursos como:
- Motores de búsqueda (Google, Bing, etc.).
- Consultas
whoispara obtener información de dominio. - Redes sociales y plataformas públicas.
Este enfoque asegura que las pruebas sean discretas y no sean detectadas por el objetivo.
Reconocimiento activo¶
Es el proceso de recolección de información del objetivo que implica el uso de técnicas o herramientas que realizan una conexión directa con el sistema o red a auditar. Debido a esta interacción, es más probable que el objetivo detecte estas pruebas.
Ejemplos comunes de reconocimiento activo incluyen:
- Escaneo de puertos con herramientas como Nmap.
- Crawling o mapeo de sitios web.
- Detección de servicios y versiones activas en el objetivo.
Es importante diferenciar entre ambas categorías para seleccionar las técnicas más adecuadas según el alcance y los permisos establecidos en las pruebas.
Autoevaluación¶
Pregunta¶
Indica si la siguiente afirmación es Verdadera o Falsa:
Con un reconocimiento de tipo activo no existe posibilidad de que la víctima pueda detectar este tipo de pruebas.
Respuesta¶
☑️ Falso
Explicación¶
Falso. En un reconocimiento activo se realizan conexiones sobre el objetivo, con lo que si la víctima dispone de algún sistema de tipo "Detección de intrusiones" podrá detectar la actividad.
Fundamento técnico¶
- El reconocimiento activo implica interacción directa con los sistemas
- Genera tráfico de red detectable
- Puede ser identificado por:
- Sistemas de detección de intrusiones (IDS)
- Firewalls
- Sistemas de monitoreo de red
- Logs de seguridad