Blog

ACTUALIDAD
Auditorías de seguridad
21 Feb 2018

Cómo usar las fugas de información sensible en auditorías de seguridad

Como bien sabemos, las fugas de información sensible suponen un problema que hoy en día es más importante de lo que pueda parecer a simple vista. Muchas personas, empresas y organizaciones dejan disponibles en las redes sociales información muy sensible, la cual, si vamos tirando del hilo nos puede aportar información que podemos aplicar incluso en nuestras propias auditorías de seguridad.

Para ello, se pueden utilizar herramientas que están disponibles tanto en Kali como en Internet.

 

Auditorías de seguridad

 

 

Auditorías de seguridad

 

Primero, en los pasos de recopilación de información, se deben usar herramientas como The Harvester, la cual nos permite recopilar todo tipo de información sobre un dominio en concreto. También disponemos de Cewl, que permite crear un diccionario utilizando una página web, con las palabras que entren en el criterio que le indiquemos. No subestimemos estas herramientas,  pues hoy en día la información es poder.

 

 

Al parecer, en nuestra comprobación tuvimos suerte con Cewl, constatando que hemos podido obtener una cuenta de correo con la que comenzar a indagar 😉.

 

auditorías de seguridad

 

Afortunadamente para nuestras labores (y desafortunadamente para aquellos que lo ignoran), en internet disponemos de muchos servicios online con los que poder comprobar si esa cuenta de correo ha sido publicada en filtraciones de bases de datos de sitios web que fueron atacados por APT’s. Simplemente, usamos esa dirección de correo en dichos servicios para comprobar hasta dónde llegan las fugas de información.

 

Auditorías de seguridad

 

¡¡Tenemos un resultado!! Ahora necesitamos obtener esa base de datos para poder conseguir la contraseña que se ha utilizado. De hecho, sitios web como Nuclearleaks hacen que con algunas bases de datos la tarea sea tan sencilla como en las películas de Hollywood.

 

Auditorías de seguridad

 

La imaginación es el único límite a la hora de seguir indagando, pudiendo hacer uso de estos websites para indagar en el nombre de usuario, número de teléfono, dirección IP…

 

auditorías de seguridad

 

De hecho, algunos sitios online, como Haveibeenpwned, suelen dar más detalles del tipo de filtración y la fecha en la que se efectuó, dando en ocasiones hasta un enlace del propio dominio cuando comunicó la filtración en el dominio afectado.

 

auditorías de seguridad

 

¿Has comprobado ya si tus datos han sido publicados?

 

Auditorías de seguridad