Lo que un atacante averigua de vuestra empresa antes de lanzar un solo ataque

Antes de lanzar un ataque, un atacante dedica tiempo a mirar. Esa fase se llama reconocimiento. Para la mayoría de las empresas no hace falta nada sofisticado, porque casi todo lo que necesita ya es público, legal y gratuito.

Cuando empezamos una auditoría, lo primero que hacemos es justo eso, reunir todo lo que se puede saber de vosotros sin tocar un solo sistema. Lo que aparece suele sorprender. Esto es una parte de lo que un atacante averigua antes de mover ficha.

Vuestros correos en filtraciones de terceros

Vuestros empleados usan el correo corporativo para registrarse en servicios de todo tipo. Cuando uno de esos servicios sufre una brecha, esas direcciones acaban en colecciones que circulan libremente, a veces con la contraseña al lado.

Un atacante cruza vuestro dominio con esas filtraciones y obtiene una lista de correos reales de vuestra empresa, varios de ellos con una contraseña ya filtrada. Si alguien la reutiliza, o sigue un patrón fácil de adivinar, ya tiene por dónde empezar.

Subdominios y servicios que creíais olvidados

Cada servicio que habéis publicado alguna vez deja rastro. Hay registros públicos de certificados y de DNS que permiten reconstruir vuestros subdominios, incluidos los que montasteis para una campaña de hace años y nadie apagó.

Ahí es donde aparecen el panel de administración expuesto, el entorno de pruebas con datos reales o el servicio sin actualizar que ya nadie vigila. Cuanto más vieja y olvidada está una de esas puertas, más cómodo es para quien busca entrar.

Los metadatos de vuestros propios documentos

Los PDF, las hojas de cálculo y las presentaciones que publicáis en vuestra web llevan información oculta dentro. En esos metadatos suele quedar el nombre de usuario de quien creó el archivo, el software con el que se hizo e incluso rutas internas de vuestra red.

Con un puñado de documentos de vuestra propia web, un atacante deduce cómo construís los nombres de usuario, qué versiones de software usáis y algún detalle de vuestra estructura interna. Todo, descargado de vuestra página, sin entrar en ningún sitio.

La tecnología que usáis, vista desde fuera

Sin tocar nada, solo observando cómo responde vuestra web y vuestro correo, se puede saber qué servidor usáis, qué gestor de contenidos, qué proveedor de correo y qué medidas de protección tenéis delante. Es como leer la marca y el modelo de cada cerradura desde la acera.

Con ese mapa, el atacante no pierde el tiempo. Va directo a las debilidades conocidas de justo lo que vosotros tenéis, en lugar de probar a ciegas.

Vuestra gente

Las personas son la parte más expuesta y la más útil para quien prepara un ataque dirigido. En las redes profesionales está quién trabaja en qué, quién manda sobre quién y quién acaba de entrar sin conocer todavía los procesos internos.

Con eso se monta un correo de phishing creíble, dirigido a la persona adecuada, en el momento adecuado. No hace falta romper nada, basta con que alguien haga clic. La información para construir ese correo la habéis publicado vosotros mismos sin daros cuenta.

Todo esto es público

Nada de lo anterior implica entrar en vuestros sistemas. Es información que está ahí fuera, accesible para cualquiera que sepa dónde mirar. Reunirla cuesta unas horas. El problema no es que exista, es que la mayoría de las empresas no saben cuánto enseñan sin querer.

La buena noticia es que se puede reducir. Se puede saber qué expone vuestra organización, cerrar lo que sobra y enseñar a vuestra gente a no regalar el resto. Pero para arreglarlo primero hay que verlo, que es justo lo que hace un atacante mientras vosotros no miráis. También es la primera fase de un pentest, antes de intentar entrar.

---

Si queréis saber qué expone vuestra empresa en fuentes abiertas antes de que lo use otro, escribidnos a [email protected].