La Aventura de Aprender > Ciberseguridad > Análisis Forense > OSINT

Print Friendly, PDF & Email

Categoría: OSINT

  • Reconocimiento de dominios por terminal y scripting

    Reconocimiento de dominios por terminal y scripting

    ¿Qué es OSINT y por qué usar terminal?

    OSINT (Open Source Intelligence) es el arte —y la ciencia— de obtener información a partir de fuentes públicas, sin interactuar activamente con el objetivo ni alterar sistemas.

    Trabajar desde la terminal tiene varias ventajas clave:

    • Reproducibilidad: lo que haces hoy lo puedes repetir mañana.
    • Automatización: un comando hoy, un script mañana.
    • Mentalidad analítica: piensas en datos, no en interfaces.
    • Escalabilidad: una IP, cien dominios o mil subdominios.

    1. AMASS – Descubrimiento de subdominios (OSINT real)

    ¿Qué es Amass?

    Amass es una herramienta de OWASP diseñada para mapear la superficie externa de una organización, utilizando únicamente fuentes públicas cuando se trabaja en modo pasivo.

    No escanea puertos, no lanza exploits. Pregunta a Internet lo que Internet ya sabe.

    Instalación en Ubuntu

    




    sudo apt update
sudo apt install amass 

#Tambien puedes usar snap 
snap install amass 


    




    Comprobación:
    




    




    amass version

    




    



    Uso básico (modo pasivo)
    



    




    amass enum -passive -d ejemplo.com

    




    Qué está ocurriendo aquí:
    




      

    • enum: modo enumeración
      • 




    • -passive: solo fuentes OSINT
      • 




    • -d: dominio objetivo
      • 

    




    Resultado típico:
    








      

    • mail.ejemplo.com
      • 




    • api.ejemplo.com
      • 




    • dev.ejemplo.com
      • 

    




    Cada subdominio es una posible pieza de infraestructura real.
    




    




    



    Uso con salida a archivo
    



    




    amass enum -passive -d ejemplo.com -o subdominios.txt

    




    Esto es clave para:
    




      

    • Documentar
      • 




    • Analizar después
      • 




    • Usar como entrada para otras herramientas
      • 

    




    



    Enumeración con múltiples dominios
    



    




    amass enum -passive -df dominios.txt -o resultados.txt

    




    Donde dominios.txt contiene:
    




    




    ejemplo.com
ejemplo.org
ejemplo.net

    




    Aquí ya empiezan a pensar como analistas, no como usuarios.
    




    



    Advertencia ética
    



    Amass no rompe nada, pero:
    




      

    • Solo se usa sobre dominios autorizados o de práctica
      • 




    • Nunca sobre empresas reales sin permiso
      • 




    • El objetivo es aprender metodología, no recolectar víctimas
      • 

    




    



    2. Subfinder – Enumeración rápida y minimalista
    


    ¿Qué es Subfinder?
    



    Subfinder hace una cosa y la hace muy bien:
    descubrir subdominios usando fuentes OSINT, de forma rápida y limpia.
    




    Es ideal para:
    




      

    • Resultados rápidos
      • 




    • Scripts
      • 




    • Integrarlo con otras herramientas
      • 

    




    



    Instalación en Ubuntu
    



    Opción repositorios:
    




    




    sudo apt install subfinder

    




    Opción manual (recomendado para versiones recientes):
    




    




    sudo apt install snapd
sudo snap install subfinder

    




    



    Uso básico
    



    




    subfinder -d ejemplo.com

    




    Salida:
    




      

    • Lista de subdominios uno por línea
      • 




    • Sin ruido
      • 




    • Perfecto para canalizar a otros comandos
      • 

    




    



    Guardar resultados
    



    




    subfinder -d ejemplo.com -o subfinder.txt

    




    



    Comparación mental con Amass
    



    Aquí conviene explicárselo así al alumno:
    




      

    • Amass: más pesado, más contexto, más fuentes
      • 




    • Subfinder: rápido, limpio, directo
      • 




    • Ambos son OSINT pasivo
      • 




    • En un proyecto real, se usan juntos
      • 

    




    



    3. Geolocalización – Poniendo los pies en la Tierra
    



    La geolocalización no es solo “ver el país”.
    Es contexto físico, legal y técnico.
    




    



    3.1 Geolocalización de IP con whois
    



    




    whois 8.8.8.8

    




    Información relevante:
    




      

    • País
      • 




    • Organización
      • 




    • ASN
      • 




    • Rango de IPs
      • 

    




    Esto permite responder preguntas como:
    




      

    • ¿Está en Europa o fuera?
      • 




    • ¿Es cloud o infraestructura propia?
      • 




    • ¿Qué proveedor hay detrás?
      • 

    




    



    3.2 Uso de geoiplookup
    



    Instalación:
    




    




    sudo apt install geoip-bin

    




    Uso:
    




    




    geoiplookup 8.8.8.8

    




    Salida:
    




      

    • País
      • 




    • Región aproximada
      • 

    




    Ideal para scripting rápido.
    




    



    3.3 Geolocalización con APIs desde terminal
    



    Ejemplo con curl:
    




    




    curl ipinfo.io/8.8.8.8

    




    Devuelve JSON:
    




      

    • Ciudad
      • 




    • País
      • 




    • Coordenadas
      • 




    • ASN
      • 




    • Organización
      • 

    




    Aquí puedes introducir:
    




      

    • Parseo con jq
      • 




    • Automatización
      • 




    • Correlación con subdominios
      • 

    




    



    4. Uniendo piezas: OSINT como proceso
    



    Aquí es donde el taller se vuelve interesante.
    




    Ejemplo de flujo real:
    




      

    1. Amass descubre subdominios
      2. 




    2. Subfinder confirma y amplía
      3. 




    3. Se resuelven IPs
      4. 




    4. Se geolocalizan
      5. 




    5. Se detecta:

        

      • Infraestructura cloud
        • 




      • Distribución geográfica
        • 




      • Entornos de desarrollo expuestos
        • 

      

      6. 

    




    No es magia. Es método.
    




    



    5. Ejemplo
    



    




    amass enum -passive -d ejemplo.com -o amass.txt
subfinder -d ejemplo.com -o subfinder.txt
sort amass.txt subfinder.txt | uniq > subdominios_finales.txt

    




    Luego:
    




    




    while read sub; do
  echo "Resolviendo $sub"
  host $sub
done < subdominios_finales.txt

    




    Esto ya es pensar en scripts, no en comandos sueltos.
    




    




    

    OSINT no es “buscar cosas”, es formular hipótesis
    




    La terminal no es incómoda, es poderosa
    




    Cada dato aislado no dice nada
    




    La inteligencia aparece al correlacionar
    

    

    


    


  • 


    Practica [OSINT]- SEÑALES DE VIDA (O ALGO PEOR) EN LA RED
    


    Practica [OSINT]- SEÑALES DE VIDA (O ALGO PEOR) EN LA RED
    


    

    Operación Nostromo: búsqueda de dispositivos comprometidos antes de que “algo” despierte…
    




    





    La nave USCSS Nostromo ha recibido una transmisión automática desde un sistema remoto. No se sabe si es una llamada de socorro… o una advertencia.
    La compañía ha encomendado al Equipo de Investigación (tus alumnos) usar Shodan para rastrear:
    




      

    1. Señales de dispositivos expuestos
      2. 




    2. Orígenes de la transmisión
      3. 




    3. Infraestructura del sistema remoto
      4. 




    4. Posibles vectores de intrusión
      5. 

    




    La misión: analizar patrones, encontrar conexiones y trazar el mapa de un “nido” digital escondido.
    




    La actividad se divide en 3 fases, cada una con un objetivo claro y un filtro de Shodan.
    




    




    

    Web de Shodan.io
    

    




    



    FASE 1 — Localizar señales: “Ping de movimiento”
    



    Objetivo: practicar filtros por tipo de dispositivo + país/ciudad.
    




    El sensor de movimiento de la Nostromo detecta actividad anómala en una zona del sistema. Necesitamos saber qué dispositivos expuestos hay allí.
    




    Tareas:
    




      

    1. Buscar un tipo concreto de dispositivo (puerta automatizada, cámara IP, sistema industrial, etc.) Ejemplos:

        

      • Cámaras IP:
        product:GoAhead
        product:"Hikvision"
        port:554 has_screenshot:true
        • 




      • Paneles web expuestos:
        http.title:"login"
        • 

      

      2. 




    2. Añadir filtro de ubicación (país o ciudad).
      Por ejemplo, España: country:ES product:GoAhead O por ciudad: city:Madrid http.title:login
      3. 




    3. Apuntar IP, puerto, captura y versión como si fueran “señales biológicas”.
      4. 

    




    




    



    FASE 2 — Identificar el origen de la transmisión
    



    Objetivo: buscar por organización o dominio.
    




    La señal parece provenir de una colonia (una empresa, universidad o dominio). Deben “explorar todas las instalaciones” de ese lugar.
    




    Ejercicios:
    




      

    1. Elegir una organización pública o conocida:
      Ejemplos: org:"Universidad Complutense" org:"Telefonica"
      2. 




    2. Buscar todos los dispositivos de la misma entidad: hostname:"uic.es" hostname:"unizar.es"
      3. 




    3. Revisar patrones:

        

      • ¿Qué puertos están abiertos?
        • 




      • ¿Qué servicios viejos aparecen?
        • 




      • ¿Hay dispositivos iguales repartidos por varias sedes?
        • 

      

      4. 

    




    




    “Se detectan varias salas técnicas, ventilación, terminales…”
    Vamos, un nido perfecto para un xenomorfo.
    




    



    FASE 3 — Conexión entre señales: seguir el rastro del xenomorfo
    



    Objetivo: enlazar un dispositivo concreto → el resto del ecosistema.
    





    Han encontrado una máquina sospechosa que transmite paquetes extraños. La misión es identificar todo el entorno que la rodea.
    




    Cómo hacerlo:
    




      

    1. Selecciona un dispositivo que hayas encontrado en Fase 1.
      2. 




    2. Observan:

        

      • dominio
        • 




      • ASN
        • 




      • organización
        • 




      • versión del servicio
        • 

      

      3. 




    3. Construyen una nueva búsqueda: 

      IP: 82.X.X.X 
      org: "Ayuntamiento de ___" 
      port 443 running nginx 1.18.0 


      Entonces buscar: 

      org:"Ayuntamiento de ___" 
      product:"nginx" 


      O incluso por ASN: 

      asn:3352 (o el ASN que toque)

      4. 




    4. Buscan patrones:

        

      • ¿Hay varios dispositivos vulnerables?
        • 




      • ¿Alguno tiene panel expuesto?
        • 




      • ¿Coinciden versiones?
        • 

      

      5. 

    




    



    Misión Ash (ciencia sintética)
    



    Encontrar un dispositivo antiguo que no debería seguir activo:
    




    os:"Windows XP"

    




    o
    




    "Server: Apache/2.2"

    



    Misión Ripley: “Purgar la amenaza”
    



    Buscar servicios críticos abiertos sin autenticación:
    




    port:22 "OpenSSH_7"
port:21 Anonymous

    



    Misión Bishop (android leal)
    



    Buscar paneles que tengan captura para analizar visualmente:
    




    has_screenshot:true city:Barcelona
    




    




    




    Registros:

    Informe breve estilo Weyland-Yutani 
    (Ejemplo de redacción)
    




      

    • Recomendación para “contención”
      • 




    • Descripción de la amenaza detectada
      • 




    • Pruebas (capturas de Shodan)
      • 




    • Hipótesis del “nido” o red asociada
      • 

    




    (Ejemplo de redacción  estilo Weyland-Yutani de la ficción de Alien)
    




    Informe_WeylandYutaniDescarga
    




    




    Alternativas interesantes a Shodan
    



    Herramienta / buscadorQué la hace útil / especialidad
    




    CensysEscanea infraestructura global, con foco extra en certificados SSL/TLS, puertos, hosts — útil para mapear superficie de ataque de forma sistemática. 5 Minute Breach+2We Live Security+2
    




    ZoomEyeSimilar a Shodan; ampliamente usada fuera del “mainstream” occidental. Puede servir para comparar visiones distintas del Internet expuesto. MarPoint+2SecurityVision.ru+2
    




    BinaryEdgePermite monitorear servicios, puertos abiertos, SSL, accesos remotos — y recibir alertas. Buena opción para vigilancia continua o auditorías periódicas. We Live Security+2LearnHub+2
    




    FofaOfrece sintaxis de búsqueda avanzada, lo que facilita búsquedas muy específicas (por puerto, servicio, sello de software, etc.). Puede servir bien para ejercicios dirigidos. We Live Security+1
    




    GreyNoiseNo es exactamente un “scanner” de dispositivos, sino más bien un filtro de ruido: ayuda a clasificar qué direcciones/IPs simplemente están haciendo escaneos automáticos masivos (ruido) frente a actividad potencialmente relevante. Útil para refinar resultados (filtrar falsos positivos). We Live Security+2LearnHub+2
    




    NetlasPlataforma más reciente, pensada para descubrimiento y monitorización global de “activos conectados”. Puede ser útil si buscas comparar con herramientas más consolidadas. SecurityVision.ru+2Netlas+2
    




    



    ⚠️ Cosas a tener en cuenta
    



      

    • Ninguna herramienta cubre todos los dispositivos — pueden faltar muchos servicios expuestos, por bloqueo, firewalls, NAT, técnicas de evasión.
      • 




    • Los datos recogidos (puertos, software, banners) pueden estar desactualizados o ser engañosos: muchas veces los sistemas cambian o los banners son falsos.
      • 




    • Uso de herramientas externas implica responsabilidad ética — incluso si lo haces con fines académicos, siempre debe mantenerse respeto por la privacidad y normas legales.
      • 

    

    


    


  • 


    Google Hacking
    


    Google Hacking
    


    

    Google Hacking es una técnica de búsqueda utilizada para encontrar información específica en los motores de búsqueda, como Google.
    




    

    [!NOTA]
    Este tipo de búsquedas no son invasivas, ya que no hacen peticiones al servidor del objetivo, por lo que podemos utilizar estas técnicas libremente.
    

    



    Google Hacking Database
    



    
https://www.exploit-db.com/google-hacking-database

    




    La Google Hacking Database (GHDB) es una colección de comandos de búsqueda de Google y técnicas de búsqueda avanzadas que se utilizan para encontrar información que puede ser útil en la realización de pruebas de penetración y en la investigación de seguridad.
    




    La GHDB fue creada por Johnny Long, un experto en seguridad informática, y es mantenida por una comunidad de profesionales de la seguridad informática. La GHDB contiene miles de comandos de búsqueda de Google y técnicas de búsqueda avanzadas que se utilizan para encontrar información confidencial, como contraseñas, información de inicio de sesión, archivos de configuración, archivos de registro y más.
    




    Los comandos de búsqueda de Google en la GHDB se organizan en categorías, como «Vulnerabilities», «Files containing passwords» y «Sensitive Directories». Cada comando de búsqueda viene con una descripción detallada de lo que busca y cómo se puede utilizar.
    




    La GHDB se utiliza comúnmente en pruebas de penetración y en la investigación de seguridad para buscar información confidencial que puede ser utilizada en un ataque. Es importante tener en cuenta que la GHDB debe utilizarse con precaución y solo con el permiso del propietario del sitio web o de la red que se está probando. También es importante asegurarse de que cualquier información confidencial descubierta se informe al propietario del sitio web o a las autoridades apropiadas.
    



    Google Dorks
    



    Los Google Dorks son combinaciones específicas de palabras o frases que se usan para realizar búsquedas avanzadas en Google y obtener resultados que no se pueden obtener mediante una búsqueda normal.
    




    Es importante tener en cuenta que los Google Dorks no son herramientas de hacking en sí mismas, sino una técnica para realizar búsquedas avanzadas en Google. Sin embargo, los Google Dorks pueden ser utilizados por los hackers para encontrar información sensible que puede ser utilizada en ataques posteriores. Por lo tanto, se recomienda utilizar los Google Dorks de manera responsable y con fines éticos, especialmente si se utilizan en el campo de la seguridad informática.
    




    OperadorDescripciónEjemploExplicación del ejemplo
    site:Limita resultados a un dominio específico.site:example.comEncuentra todas las páginas accesibles en example.com.
    inurl:Busca un término dentro de la URL.inurl:loginLocaliza páginas de inicio de sesión.
    filetype:Filtra por tipo de archivo.filetype:pdfEncuentra documentos PDF descargables.
    intitle:Busca un término en el título de la página.intitle:"confidential report"Busca documentos titulados “informe confidencial” o similares.
    intext: / inbody:Busca dentro del cuerpo del texto.intext:"password reset"Encuentra páginas con “restablecimiento de contraseña”.
    cache:Muestra la versión en caché de Google.cache:example.comVe contenido antiguo o previo de example.com.
    link:Encuentra páginas que enlazan a otra.link:example.comMuestra webs que tienen enlaces hacia example.com.
    related:Encuentra páginas parecidas a otra.related:example.comDescubre sitios similares a example.com.
    info:Muestra información básica sobre un sitio.info:example.comTítulo, descripción y datos del sitio.
    define:Busca definiciones de una palabra.define:phishingObtiene la definición de phishing.
    numrange:Busca números dentro de un rango.site:example.com numrange:1000-2000Busca páginas de ese dominio con números entre 1000 y 2000.
    allintext:Todas las palabras deben aparecer en el texto.allintext:admin password resetLocaliza páginas que contienen ambas palabras.
    allinurl:Todas las palabras deben aparecer en la URL.allinurl:admin panelBusca URLs con “admin” y “panel”.
    allintitle:Todas las palabras deben estar en el título.allintitle:confidential report 2023Busca títulos con esas tres palabras.
    ANDExige que todos los términos aparezcan.site:example.com AND (inurl:admin OR inurl:login)Busca paneles admin o login en example.com.
    ORAcepta cualquiera de los términos."linux" OR "ubuntu" OR "debian"Busca páginas que mencionen cualquiera de esos sistemas.
    NOTExcluye resultados con un término.site:bank.com NOT inurl:loginExcluye las páginas de login.
    * (comodín)Sustituye cualquier palabra/caracter.site:socialnetwork.com filetype:pdf user* manualEncuentra “user guide”, “user manual”, etc.
    .. (rango)Busca valores dentro de un intervalo numérico.site:ecommerce.com "price" 100..500Busca productos entre 100 y 500.
    "" (comillas)Busca coincidencia exacta."information security policy"Busca esa frase exacta.
    - (menos)Excluye un término concreto.site:news.com -inurl:sportsNoticias sin resultados deportivos.
    



    Ejemplos de uso:
    



    Google DorkDescripción
    intitle:"Index of" password.txtMuestra directorios que contienen archivos llamados “password.txt”.
    intitle:"Index of" /adminMuestra directorios de administración.
    filetype:xls inurl:"email.xls"Muestra listados de emails expuestos.
    inurl:"login" site:example.comEncuentra páginas de inicio de sesión en un sitio concreto.
    filetype:log inurl:"password.log"Encuentra logs cuyo nombre contiene “password”.
    intitle:index.of id_rsa -id_rsa.pubEncuentra claves privadas SSH expuestas.
    site:.gov intitle:"secret" filetype:pdfEncuentra archivos PDF gubernamentales expuestos.
    intext:"Welcome to phpMyAdmin"Encuentra instalaciones de phpMyAdmin accesibles.
    inurl:/wp-content/uploads/ filetype:pdfBusca PDFs dentro de uploads de WordPress.
    intitle:"Index of" /backupEncuentra directorios de backups accesibles.
    site:example.com ext:sqlBusca bases de datos SQL en ese dominio.
    intitle:"index of" "database.sql"Busca archivos SQL expuestos.
    intitle:"SQL Injection" site:example.comEncuentra páginas del sitio que mencionan SQL Injection.
    site:example.com ext:docBusca documentos Word en ese sitio.
    site:example.com ext:xmlBusca archivos XML.
    site:example.com ext:confBusca archivos de configuración accesibles.
    inurl:"/cgi-bin/pass.txt"Busca archivos “pass.txt” en cgi-bin.
    intitle:"WebcamXP 5"Encuentra cámaras accesibles por WebcamXP 5.
    site:example.com inurl:configBusca archivos/configs dentro del sitio.
    intitle:"index of" intext:config.phpEncuentra directorios con config.php.
    intitle:"index of" intext:.htpasswdMuestra directorios con .htpasswd.
    intitle:"index of" intext:.envBusca directorios con archivos .env.
    intitle:"index of" "wp-content/uploads" site:example.comBusca uploads de WordPress indexados.
    filetype:xls inurl:"email.xls"Encuentra Excel que contienen “email.xls”.
    intext:"Powered by phpBB"Encuentra webs que usan phpBB.
    intext:"Powered by WordPress"Encuentra webs que usan WordPress.
    intext:"@outlook.com" site:example.comBusca correos @outlook.com dentro del sitio.
    inurl:/dana-na/ filetype:cgiBusca CGIs dentro de /dana-na/.
    inurl:server-info "Apache Server Information"Muestra información del servidor Apache.
    intext:"sql syntax near"Muestra webs con errores SQL visibles.
    intext:"confidential" site:example.comPáginas del sitio que contienen “confidencial”.
    inurl:/proc/self/cwdMuestra el directorio actual del servidor (grave exposición).
    intitle:"index of" intext:web.configDirectorios indexados con web.config.
    filetype:reg reg HKEY_CURRENT_USER usernameBusca archivos de registro que contengan “username”.
    inurl:"ViewerFrame?Mode="Encuentra cámaras accesibles por ese visor.
    intext:"powered by vBulletin"Encuentra webs que usan vBulletin.
    intitle:"index of" inurl:ftpFTPs accesibles de forma pública.
    intitle:"index of" "WhatsAppDB.csv"Directorios con bases de datos de WhatsApp expuestas.
    filetype:env intext:APP_ENVBusca archivos .env con info sensible.
    inurl:"/phpinfo.php"Encuentra páginas phpinfo expuestas.
    intitle:"index of" intext:sftp-config.jsonDirectorios con configuraciones SFTP.
    A continuación se muestran algunos ejemplos comunes de Google Dorks; para obtener más ejemplos, consulte la Google Hacking Database:
    




    Encontrar páginas de inicio de sesión:
    




      

    • site:example.com inurl:login
      • 




    • site:example.com (inurl:login OR inurl:admin)
      • 

    




    Identificar de archivos expuestos:
    




      

    • site:example.com filetype:pdf
      • 




    • site:example.com (filetype:xls OR filetype:docx)
      • 

    




    Descubrir archivos de configuración:
    




      

    • site:example.com inurl:config.php
      • 




    • site:example.com (ext:conf OR ext:cnf)(busca extensiones comúnmente utilizadas para archivos de configuración)
      • 

    




    Localizar copias de seguridad de bases de datos:
    




      

    • site:example.com inurl:backup
      • 




    • site:example.com filetype:sql
      • 

    



    Automatización: Google Dorking Helper
    



    Podemos automatizar la generación de Google Dorks con herramientas cómo Google Dorking Helper, que nos permite arrastrar operadores para ir construyendo nuestro dork. Una vez que lo hemos generado podemos darle directamente a «Buscar en Google» para abrirlo en el navegador.
    




    




    



    CASO DE USO: Detectando archivos expuestos en un dominio con Google Dorks
    



    Imagina que quieres comprobar example.com (o cualquier dominio propio de prácticas) expone algún archivo de configuración, backups o bases de datos de forma accidental.
    



    1. Entramos en GoogleDorks (la web recopilatoria)
    



    Hay varias webs que recopilan dorks ya probados, como:
    




      

    • Exploit-DB Google Hacking Database (GHDB)
      • 




    • googledorks.com
      • 




    • publicdorks repos en GitHub
      • 

    




    Las usan solo como referencia, nunca para atacar sistemas reales.
    



    2. Elegimos un dork útil para auditoría
    



    Por ejemplo, un clásico para detectar bases de datos expuestas:
    




    site:example.com ext:sql
    




    Este dork busca archivos .sql accesibles desde el navegador.
    



    3. Lo probamos en Google
    



    En un entorno de práctica (por ejemplo, un dominio controlado por el aula), lo que vemos es algo así:
    




      

    • /backup/database.sql
      • 




    • /db/export_2023.sql
      • 




    • /old/backup.sql
      • 

    




    Si Google muestra entradas similares, quiere decir que los archivos son accesibles públicamente y están indexados. Eso convierte una simple curiosidad en un aviso rojo.
    



    4. Interpretamos el resultado
    



    Les explicas a los alumnos:
    




      

    • Si Google lo indexa, quiere decir que el servidor lo publica sin restricciones
      • 




    • Esto no es hacking activo; es lectura pública de lo que ya está expuesto.
      • 




    • Archivos .sql suelen contener tablas, usuarios, hashes de contraseña, etc.
      • 

    




    Aquí entra tu guiño filosófico habitual: el buscador es como un telescopio enorme; si apuntas a una ventana con luz encendida, no estás entrando en la casa, solo ves lo que ellos dejaron abierto.
    



    5. Propones medidas de mitigación
    



    Esto les ayuda a cerrar el círculo mental del auditor:
    




      

    • Sacar carpetas de backup fuera del public_html o document root.
      • 




    • Configurar .htaccess o reglas en el servidor que impidan servir .sql, .env, .conf
      • 




    • Quitar directorios listados (“Index of”).
      • 




    • Desactivar el autoindex en Apache/Nginx.
      • 




    • Aplicar permisos adecuados del sistema.
      • 

    



    6. Otro ejemplo más avanzado desde GoogleDorks.com
    



    En GoogleDorks encuentran típicamente entradas como:
    




    intitle:"index of" /backup
    




    Lo combinan con su dominio de pruebas:
    




    site:example.com intitle:"index of" /backup
    




    Resultado (en un entorno controlado):
    Google podría mostrar un listado de backups accesibles.
    




    Aquí se ve el poder del dork: localizar un error de configuración sin escaneo activo ni intrusiones.
    




    



    CASO DE USO: “Ventanas Abiertas en la Red”
    



    La pantalla parpadea. No estás hackeando nada. Solo observas. Lo que Google muestra es lo que ya estaba ahí, flotando en la superficie como un mensaje en una botella. Elliot lo explica con su serenidad afilada:
    




    «El buscador es un espejo gigante. Refleja lo que los servidores enseñan sin darse cuenta. Si sabes dónde mirar, puedes encontrar más de lo que cualquier administrador admitiría».
    




    Elliot abre una pestaña, teclea despacio, casi ritual:
    




    site:example.com ext:sql
    




    Darlene levanta una ceja. «¿Ya? ¿Así de simple?»
    




    Él asiente. «El truco nunca es forzar la cerradura; es descubrir que la puerta estaba abierta desde siempre».
    




    La búsqueda devuelve un par de enlaces inocentes: /backup/database.sql, /old/export_2022.sql. Como si fuera normal. Como si no contuvieran medio corazón de ese servidor, latido a latido.
    




    Darlene sonríe, ese tipo de sonrisa que solo aparece cuando ve un fallo que podría haberse evitado con dos minutos de atención. «Archivos SQL, backups… Esto es como dejar el diario íntimo abierto en medio de la calle», murmura.
    




    Elliot continúa:
    




    «O mira este, es más evidente»:
    




    intitle:"index of" /backup
    




    La pantalla muestra un directorio listado. El índice, los archivos, las fechas. Casi puedes sentir la gravedad del error. Es información pública; Google solo la ha descubierto primero.
    




    Elliot apoya los codos en la mesa.
    




    «Esto es Google Dorking. Nada ilegal. Buscamos lo que ya está expuesto. Como revisar los candados de tu propia casa. Y si encuentras una ventana rota, la arreglas antes de que otro la vea».
    




    Darlene mira al techo. «La gente piensa que la seguridad es un bunker. Pero casi siempre es una persiana mal echada».
    




    Los dos siguen navegando entre dorks como quien pasea entre sombras familiares. No hay urgencia, solo una especie de calma lúcida: la fase previa a cualquier intrusión ética, el territorio gris donde la información pública se mezcla con la negligencia.
    




    Elliot concluye, casi en un susurro:
    «El buscador es el confidente más indiscreto de internet. Si le preguntas bien, te lo cuenta todo».
    




    




    



    Buscadores alternativos y meta-buscadores
    



    Cuando Google te cierra puertas, otros motores silenciosos dejan ventanas abiertas. No son magia negra; simplemente indexan distinto.
    




    DuckDuckGo
    – Respeta privacidad y deja ver cosas que Google a veces filtra.
    




    Shodan
    – El “Google del IoT”: cámaras, routers, PLCs, servidores expuestos.
    – Ideal para investigación forense o ética.
    




    Censys
    – Similar a Shodan pero con enfoque más académico.
    – Perfecto para investigaciones de superficie de ataque.
    




    Bing + Yandex
    – Indexan directorios de manera más permisiva en algunos casos.
    




    



    Herramientas que automatizan Google Dorks (con cabeza)
    



    No siempre quieres escribir cien consultas a mano. Estas herramientas generan, prueban y organizan dorks.
    




    GHDB – Google Hacking Database (Exploit-DB)
    – La biblia. Miles de dorks clasificados por categorías (login pages, archivos sensibles, cámaras…).
    – La referencia imprescindible.
    




    DorkSearch / DorkTester
    – Pequeñas herramientas web para probar dorks rápidamente.
    – Útiles para investigaciones rápidas sin automatizar demasiado.
    




    Dork-Scanner (Python)
    – Frameworks que lanzan series de dorks y analizan respuestas.
    – Exigen ética e IP propia porque Google puede bloquearte.
    




    Katana + Nuclei (ProjectDiscovery)
    – No son dorks, pero se llevan muy bien con ellos.
    – Puedes sacar URLs con Katana y luego comprobar hallazgos con Nuclei.
    




    



    Extensiones de navegador
    



    No subestimes las pequeñas utilidades de un clic.
    




    Google Search Operators Helper
    – Te rellena operadores avanzados.
    




    Search Diggity (BishopFox)
    – Conjunto de herramientas de OSINT con módulos de dorking seguro.
    – Muy usado en auditorías.
    




    



    Herramientas OSINT que complementan Google Dorks
    



    Porque un dork es solo un portal: después debes investigar.
    




    theHarvester
    – Extrae correos, dominios, hosts desde motores de búsqueda.
    – Combinación perfecta con filetype:xls, pdf, txt…
    




    FOCA
    – Analiza metadatos de documentos encontrados con dorks.
    – Joyas ocultas en PDFs y Word.
    




    SpiderFoot
    – Rastrea información relacionada con dominios, subdominios y filtraciones.
    




    Amass
    – Recon de subdominios.
    – Combinado con site: y inurl: puedes descubrir puertas laterales.
    




    



    Herramientas forenses relacionadas
    



    Cuando los dorks son parte de una investigación forense, estos compañeros hacen el resto:
    




    Wayback Machine (Archive.org)
    – Para ver versiones antiguas de páginas descubiertas con dorks.
    – Oro puro cuando el contenido ha sido borrado.
    




    Exiftool
    – Para explorar metadatos de imágenes encontradas.
    




    Binwalk
    – Si encuentras firmware expuesto con un dork (sí, pasa), esta herramienta lo destripa.
    




    



    Pequeño “arsenal” recomendado según objetivo
    



    Localizar archivos sensibles: Google + GHDB + FOCA
    Enumerar infraestructura: Google + Shodan + Amass
    Investigación forense: Google + Wayback + Exiftool
    Bug bounty: GHDB + Dork-scanner + Nuclei