! xhetic .. /

Apariencia

Introducción

La Recopilación de Información (Information Gathering) es el primer paso esencial en cualquier prueba de penetración (penetration test). Este proceso consiste en recolectar datos sobre un objetivo, que puede ser una persona, una empresa, un sitio web o un sistema. La clave está en que, cuanta más información tengas sobre tu objetivo, más éxito tendrás en las etapas posteriores de la prueba.

En esta entrada, veremos qué es la Recopilación de Información, los dos tipos principales en los que se divide (pasiva y activa), y qué datos específicos buscamos en cada una.

¿Qué es la Recopilación de Información?

La Recopilación de Información es el proceso de reunir datos relevantes sobre un objetivo antes de intentar cualquier evaluación de seguridad. Imagina que eres un detective: cada detalle y pista que encuentras te ayuda a construir una imagen más clara del sistema o la red que vas a analizar.

Este proceso se clasifica en dos tipos:

  • Recopilación Pasiva de Información: Se trata de recolectar datos sin interactuar directamente con el objetivo. Es un enfoque discreto que utiliza fuentes públicas y herramientas que no alertan al sistema objetivo.
  • Recopilación Activa de Información: Implica interactuar directamente con el objetivo para obtener información más detallada. Esto puede incluir escaneos o pruebas específicas, pero siempre requiere autorización explícita del propietario del sistema, ya que estas acciones pueden ser detectadas y potencialmente ilegales.

Importancia

La Recopilación de Información es la base de cualquier prueba de penetración exitosa. Sin ella, sería como intentar resolver un rompecabezas sin tener todas las piezas. La información que recolectas te permite:

  • Identificar posibles vulnerabilidades.
  • Elegir las herramientas y técnicas más adecuadas.
  • Planificar las siguientes fases de manera más efectiva.

La combinación de la recopilación pasiva (para una visión general) y la activa (para detalles específicos) te da una ventaja estratégica, siempre que respetes las normas éticas y legales acordadas con la entidad.