Escaneo de redes y detección de vulnerabilidades: Nmap y otras herramientas

Escaneo de redes y detección de vulnerabilidades: Nmap y otras herramientas

El escaneo de redes y la búsqueda de vulnerabilidades son una parte integral de cualquier proceso de pruebas de penetración (pentest). Si lo simplificamos un poco, se trata de métodos para averiguar qué servicios y puertos están abiertos en la máquina objetivo, qué servicios potencialmente vulnerables se ejecutan y cómo toda esa información puede ayudar al especialista en seguridad a vulnerar y luego reforzar la protección de la red. Sin embargo, el escaneo no es solo cosa de pentesters profesionales. También puede ser útil para administradores de sistemas que desean verificar su infraestructura en busca de puntos débiles.

En este artículo analizaremos cómo se organiza el proceso de reconocimiento de red, qué papel desempeña Nmap (y sus versiones gráficas), y mencionaremos otros escáneres como OpenVAS y Nessus. Aprenderá a interpretar los resultados y entenderá qué herramientas convienen en escenarios concretos. Además, realizaremos un pequeño caso práctico para encontrar un servicio vulnerable dentro de una red local y cerraremos el artículo con recomendaciones sobre cómo protegerse frente a las amenazas detectadas. Comencemos.

Introducción: el papel de la inteligencia de red en las pruebas de penetración

Cuando se habla de una prueba de penetración (pentest), mucha gente imagina a especialistas encapuchados intentando romper servidores corporativos de noche. En realidad, un pentest es una verificación planificada y regulada del sistema con el objetivo de identificar puntos débiles y prevenir posibles ataques. Una de las etapas clave del pentest es la inteligencia de red.

La inteligencia de red consiste en recopilar información sobre la infraestructura, sus servicios y protocolos. Para los atacantes "de sombrero blanco" (y a veces "grises") este enfoque es una mina de oro. La información sobre puertos, sistemas operativos, versiones de software y configuraciones suele permitir identificar dónde pueden encontrarse las vulnerabilidades. En resumen, un reconocimiento bien organizado ayuda a:

  • Reducir el tiempo dedicado a buscar puntos de entrada potenciales.
  • Disminuir el riesgo de falsas alarmas durante el análisis.
  • Acumular una base de datos sobre el software y los servicios utilizados.
  • Preparar de forma estructurada un ataque o una prueba de seguridad.

Los métodos de reconocimiento de red incluyen no solo escaneos activos, sino también la recopilación pasiva de datos desde fuentes abiertas, conocida como OSINT. Sin embargo, son los escáneres activos, como Nmap, los que se consideran la "herramienta de trabajo" básica para descubrir puertos, servicios y realizar una evaluación preliminar de vulnerabilidades.

Fundamentos de Nmap: escaneo de puertos y banderas clave

Nmap, abreviatura de Network Mapper, es una de las herramientas más conocidas y populares para el escaneo de redes. Permite identificar puertos abiertos en hosts remotos, determinar sistemas operativos, versiones de servicios y mucho más. Para la mayoría de los profesionales de pruebas, Nmap es el primer paso al analizar una infraestructura. Su versatilidad y el amplio soporte de scripts (NSE — Nmap Scripting Engine) permiten ampliar sus funciones hasta convertir a Nmap en una plataforma completa para auditorías iniciales.

Se puede usar Nmap desde la línea de comandos y, si se desea, a través de la interfaz gráfica Zenmap. Pero es la línea de comandos la que normalmente revela todo el potencial de la herramienta. A continuación examinamos comandos clave y las banderas principales:

  • nmap -sS <IP-адрес или диапазон>: escaneo semiconectado (SYN). Uno de los más populares, ya que permite identificar más rápido y de forma más sigilosa qué puertos están abiertos.
  • nmap -sT <цель>: escaneo de conexión completa (TCP Connect). Simple, pero puede ser más detectable, pues establece una conexión completa.
  • nmap -sV <цель>: detección de versiones de servicios. Permite conocer la versión concreta del software que "escucha" en los puertos abiertos.
  • nmap -O <цель>: identificación del sistema operativo. Útil para entender con qué SO se está tratando.
  • nmap -A <цель>: combina -sV, -O y varias otras opciones (scripts, etc.). Escaneo "completo" y más intrusivo.
  • nmap -p 1-65535 <цель>: escaneo de todos los puertos. Por defecto Nmap no revisa todos los puertos posibles, por lo que para un análisis más profundo conviene especificar un rango concreto (o todos los puertos).

Como dato interesante, Nmap puede trabajar no solo con IPv4, sino también con IPv6, y es capaz de enviar distintos tipos de paquetes especiales, incluidos ICMP Echo, TCP ACK y TCP SYN, lo que permite sortear algunas reglas y filtros básicos en routers y cortafuegos. Muchas personas comienzan con comandos sencillos y van complicándolos gradualmente con opciones adicionales.

Análisis de resultados de Nmap: puertos abiertos y banners de servicios

Al ejecutar Nmap, este ofrece una lista de puertos y sus estados: abierto, cerrado o filtrado. Entender lo que significan estos estados es fundamental:

  • Abierto — el puerto responde a las solicitudes, lo que indica que hay un programa ejecutándose en él (por ejemplo, un servidor web en el puerto 80).
  • Cerrado — el puerto responde, pero no hay ningún servicio activo en ese momento.
  • Filtrado — no está claro si el puerto está abierto o cerrado: mecanismos de protección (filtrado en cortafuegos o IDS/IPS) impiden que Nmap determine con precisión el estado.

Pero lo importante no es solo que "un puerto esté abierto", sino qué aplicación o servicio exactamente está "escuchando" en él. Aquí interviene la función de detección de versiones (-sV), que intenta comunicarse con el servicio y obtener el denominado "banner" —una cadena corta de información que el servicio envía al conectarse. A partir del banner, Nmap trata de adivinar con qué se está interactuando: puede ser Apache HTTP Server 2.4.46 o SSH OpenSSH 7.9. Si el servicio está configurado para no revelar información, solo obtendrá una suposición básica sobre su naturaleza, pero con frecuencia Nmap determina el software con bastante precisión.

La información sobre las versiones de los servicios se convierte en una señal de alerta importante para el evaluador. Si ve, por ejemplo, que en el puerto 443 se usa OpenSSL con una versión vulnerable a Heartbleed, se encienden las alarmas: ese sistema podría ser comprometido. Para un análisis más profundo de vulnerabilidades se utilizan herramientas específicas, pero Nmap ofrece el punto de partida para saber "por dónde tirar".

Revisión de utilidades GUI: Zenmap y escáneres de vulnerabilidades (OpenVAS, Nessus)

Aunque muchos profesionales prefieren usar Nmap desde la línea de comandos, existen quienes trabajan mejor con interfaces visuales. Para ellos está Zenmap. En esencia es la interfaz gráfica oficial de Nmap, que facilita la entrada de comandos y ofrece informes cómodos. En Zenmap puede elegir uno de los perfiles de escaneo predefinidos (Quick Scan, Intense Scan, Ping Scan, entre otros) y obtener una visualización de la topología de la red. Esto ayuda a los principiantes a aprender Nmap más rápido y permite a usuarios avanzados ahorrar tiempo en tareas cotidianas.

Pero Nmap es, ante todo, un escáner de puertos con funciones adicionales. Cuando se trata de buscar vulnerabilidades concretas en el software, entran en juego los escáneres de vulnerabilidades. Estos cuentan con bases de datos de CVE, plantillas para comprobar errores de configuración y paquetes obsoletos. Veamos algunos de estos instrumentos:

  • OpenVAS: plataforma abierta en continuo desarrollo que incluye un escáner y un sistema de gestión de vulnerabilidades (Greenbone Security Manager). Su ventaja es el amplio conjunto de pruebas y la integración con la base de datos de vulnerabilidades. Es adecuado tanto para equipos pequeños como para empresas que desean realizar comprobaciones sistemáticas.
  • Nessus: uno de los pioneros en el ámbito del vulnerability scanning. Ofrece versiones de pago y una versión gratuita limitada. Es conocido por su extenso repositorio de plugins que verifican diversas aplicaciones y sistemas en busca de vulnerabilidades. Es flexible en la configuración, aunque algunas funciones solo están disponibles en la versión comercial.

Los escáneres de vulnerabilidades suelen ir más allá de decir "tienes el puerto 80 abierto": envían solicitudes especiales, verifican versiones de programas, configuraciones y la presencia de parches. El resultado es un informe detallado que indica las vulnerabilidades detectadas, su nivel de criticidad e incluso recomendaciones para corregirlas. En grandes organizaciones, estos informes suelen servir de base para planificar trabajos de mejora de la seguridad informática.

Caso práctico: búsqueda de un servicio vulnerable en la red local

Imaginemos una situación sencilla: disponemos de la red local de una empresa con varios servidores Linux y Windows, y los empleados a veces levantan servicios adicionales para pruebas. El administrador o pentester quiere comprobar si hay "sorpresas" en esa red: por ejemplo, un servidor FTP obsoleto o una interfaz web sin protección por contraseña. Para ello se sigue el siguiente algoritmo aproximado:

  1. Recopilación de direcciones IP. Supongamos que tenemos el rango 192.168.0.1–192.168.0.254. Queremos escanear todos los dispositivos de ese rango:

    nmap -sS 192.168.0.1-254 -p 1-65535

    Aquí indicamos el conjunto completo de puertos. Sí, puede llevar tiempo, pero ofrece la máxima cobertura. Si la red es grande, conviene realizar el escaneo de forma más fina: dividir rangos, excluir dispositivos conocidos, etc.

  2. Identificación de servicios y SO. Tras el hallazgo de puertos abiertos con Nmap, podemos lanzar un escaneo más preciso para máquinas concretas:

    nmap -sV -O 192.168.0.10

    Ahora obtendremos las versiones de los servicios. Por ejemplo, vemos que en el puerto 21 (FTP) hay un servidor ProFTPD de versión antigua. Recordamos que existen vulnerabilidades asociadas a ese software.

  3. Ejecutar un escáner de vulnerabilidades. Para confirmar la presencia de una vulnerabilidad concreta, usamos OpenVAS o Nessus. Indicamos que queremos analizar el host 192.168.0.10. Recibimos un informe que confirma que la versión del servidor FTP es vulnerable y permite eludir la autenticación.

    Por ejemplo, en OpenVAS la configuración de la comprobación puede ser "Full and Fast" o "Full and Very Deep", tras lo cual la herramienta ejecuta una batería de pruebas.

  4. Análisis de resultados. En el informe vemos que la vulnerabilidad es crítica (High Severity). Se recomienda actualizar ProFTPD a la versión actual y aplicar el parche, o reemplazar el servicio por completo.

Este sencillo escenario ilustra cómo se usan conjuntamente escáneres de puertos y escáneres de vulnerabilidades. Nmap ofrece el "mapa de carreteras": qué servicios están activos y dónde. Las herramientas especializadas, basadas en CVE, señalan dónde están las fallas concretas. En el mundo real pueden existir muchos servicios vulnerables, especialmente en redes amplias donde decenas de aplicaciones obsoletas pueden funcionar años sin actualizaciones.

Recomendaciones de seguridad: filtrado de puertos, IDS/IPS

Supongamos que ha detectado vulnerabilidades. ¿Y ahora qué? Desde la perspectiva del pentester, la tarea está cumplida: se ha encontrado el eslabón débil y se puede pasar a la siguiente fase. Pero si usted es administrador o propietario del sistema, es necesario cerrar esa brecha. Algunos principios básicos:

  • Filtrado de puertos. Cierre todos los puertos no utilizados en los cortafuegos. Deben estar abiertos solo los que sean realmente necesarios para el funcionamiento. Una configuración adecuada de iptables (en Linux) o del cortafuegos integrado (en Windows) puede complicar mucho la tarea a un posible atacante.
  • Actualizaciones regulares de software. Mantenga la instalación de parches y versiones nuevas de los servicios al día. Muchos exploits funcionan únicamente contra versiones antiguas del software donde las vulnerabilidades ya fueron corregidas.
  • Uso de sistemas de detección y prevención de intrusiones. Los sistemas de detección (Intrusion Detection Systems) y prevención (Intrusion Prevention Systems), conocidos como IDS/IPS, ayudan a rastrear actividades sospechosas en la red. Por ejemplo, Suricata o Snort pueden detectar el "ruido" de escaneos masivos con Nmap o intentos sospechosos de explotar vulnerabilidades conocidas.
  • Segmentación de la red. No conviene alojar servicios críticos y recursos públicos en la misma subred. Dividir en VLAN, usar una DMZ (zona desmilitarizada) y aplicar políticas claras en los firewalls reduce el riesgo de que una aplicación comprometida arrastre a toda la infraestructura.

Tomando el ejemplo del servidor FTP mencionado, un paso lógico es cerrar el acceso al puerto 21 desde el exterior, configurar SFTP o FTPS para que el protocolo vulnerable no esté accesible en la red global. Y, por supuesto, aplicar actualizaciones.

Además, es importante entender que la protección es un proceso cíclico. Cerrar un puerto vulnerable una vez no garantiza "salvación eterna". Aparecen regularmente nuevos exploits y vulnerabilidades, por lo que el escaneo y el análisis deben realizarse de forma periódica, no solo de vez en cuando.

Conclusión

El escaneo de redes es un paso fundamental en las pruebas de penetración y en la verificación periódica de la propia infraestructura. Nmap es una herramienta base excelente: realiza un análisis inicial, detecta puertos abiertos y determina versiones de servicios y sistemas operativos. A partir de sus resultados se puede avanzar utilizando Zenmap (si se necesita interfaz gráfica) o sistemas especializados como OpenVAS y Nessus para encontrar vulnerabilidades concretas.

La conclusión clave: la seguridad moderna exige un enfoque integral. Saber qué servicio está en qué puerto es la mitad del éxito. La otra mitad es aplicar las actualizaciones a tiempo, instalar parches y configurar mecanismos de protección (cortafuegos, IDS/IPS, segmentación de red). Vivimos en una época en la que un error de configuración o una vulnerabilidad en un protocolo olvidado puede tener consecuencias masivas. Los escaneos regulares y las pruebas de penetración son un ritual importante no solo para grandes empresas, sino también para pequeñas organizaciones que valoran su reputación y la seguridad de sus datos.

No hay nada peor que confiar en la suerte y pensar "ojalá no me ataquen" cuando existen herramientas accesibles y probadas: Nmap, Zenmap, OpenVAS, Nessus, y la lista no se limita a estos. Su uso correcto es el mejor camino hacia la tranquilidad y la certeza de que su red está bajo su control, no en manos de curiosos atacantes.

Así, conociendo cómo usar correctamente Nmap y otros escáneres de vulnerabilidades, podrá detectar y corregir la mayor parte de las "brechas" antes de que se conviertan en un problema real. No ignore esta posibilidad: la seguridad de la información hoy en día vale mucho más que el tiempo invertido en unos escaneos profundos.

Alt text
article-title

Niko Nepo