Las 15 mejores herramientas de ciberseguridad en 2025

por | Mar 7, 2025 | Seguridad Informática | 0 Comentarios

Bienvenidos, en este artículo veremos Las 15 mejores herramientas de ciberseguridad en 2025. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

Índice

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

El arsenal adecuado de herramientas de seguridad cibernética puede hacer que su trabajo sea más eficiente, que los sistemas sean más seguros y que la vida en general sea más sencilla. Como no faltan herramientas en el mercado, decidimos enumerar algunas de nuestras favoritas para que las pruebe.

Hemos dividido estas herramientas por categoría, incluidas herramientas de redes, ofensivas, OSINT, defensivas y de ingeniería inversa/forense. Vea de qué se tratan, por qué nos gustan, dónde conseguirlas y algunos cursos complementarios para aprender a empezar.

Esperamos que los disfrutéis tanto como nosotros.

Herramientas de red

1 – Nmap

Nmap es una herramienta que se considera altamente efectiva. Esto se debe a una combinación de funcionalidad y características avanzadas, que hace de esta solución una de las mejores que podemos encontrarnos. Esta cuenta con la capacidad de realizar escaneos de vulnerabilidades, para identificar posibles debilidades en las configuraciones de los sistemas de seguridad. Por lo cual, de no ser efectiva, no sería una herramienta tan conocida. Podríamos decir, que la propia fama de Nmap es un buen identificativo para la calidad que puede proporcionarnos en una gran variedad de situaciones diferentes.

Por otro lado, más allá de su eficacia en identificación de dispositivos, servicios y vulnerabilidades, está su capacidad para trabajar con diferentes protocolos de red. Entre otros, TCP, UDP, ICMP e IP. Todo lo cual, se puede integrar con otras herramientas de seguridad y análisis. Pueden ser herramientas como Metasploit o incluso Wireshark. Lo cual hace de Nmap una herramienta muy versátil para todo tipo de sistemas.

En cambio, no estamos ante una solución que sea perfecta, ni que represente una medida de seguridad ante problemas. A pesar de que es muy efectiva y poderosa, requiere de cierto conocimiento por parte de los usuarios que la utilicen. Así como la disposición de las habilidades necesarias para darle uso con todas las garantías, y aprovechando su rendimiento y funciones al máximo. También debemos pensar que muchos dispositivos pueden contar con algún tipo de protección contra los escaneos de las aplicaciones como Nmap, o pueden incluso ser complicados de detectar. Pero en estos casos, ya no sería un problema de la eficiencia de Nmap ni de sus funciones, sino de las medidas de protección establecidas en esos dispositivos. En todo caso, si buscamos una solución efectiva, fiable y con buena trayectoria, Nmap es una de las mejores soluciones actualmente.

Personalización de NMAP

Como puedes ver, con NMAP estamos ante una herramienta de código abierto, por lo cual tiene una alta capacidad de personalización. Lo cual la lleva a ser una solución altamente adaptable a las necesidades de cada usuario, en todo tipo de escenarios. Pero esto es algo que no se realiza a la ligera, sino que hay algunos factores que destacan por encima de otros. Empezando por las opciones de escaneo, donde la gama de opciones es muy amplia. Esta permite gestionar muchos parámetros y opciones avanzadas, que modifican por completo el funcionamiento de NMAP. El escaneo personalizado, permite disponer de información muy valiosa, y de todo tipo al realizar análisis de puertos, por ejemplo.

Por otro lado, están los scripts NSE (Nmap Scripting Engine). Esta es una de las características más potentes de NMAP, la cual permite ejecutar scripts muy personalizados durante el tiempo de escaneo. Al poder crear los scripts por nuestra parte, pueden ser todo lo complejos que sea necesario. Y como tal nos da ese añadido en personalización, el cual no tendríamos sin esta sección de NMAP. Todo se hace buscando la salida personalizada de datos, donde se pueden establecer muchos parámetros. Desde el formato de salida, generar informes HTML, y los resultados que vamos a necesitar que incluya el análisis que se realiza en la red.

Por último, NMAP cuenta con una gran capacidad de integración con otras herramientas. Una de las características más llamativas, es el poder establecer NMAP como entrada para otras herramientas de seguridad que utilicemos, o incluso para detección de intrusos. Lo cual, de nuevo, se puede combinar con los scripts que mencionamos previamente. Una vez que hemos visto las principales características de Nmap, y el estado de los puertos que tenemos disponibles, vamos a instalarlo y utilizarlo.

Descarga e instalación de Nmap en cualquier sistema

Lo primero que tenemos que hacer para utilizar este programa tan potente, es descargarlo y posteriormente instalarlo. En la sección de descargas de Nmap podés encontrar todos los enlaces, binarios y código fuente para su instalación en sistemas operativos Windows, Linux y MacOS. Este programa, actualmente lo tenemos disponible en todos los repositorios de los sistemas operativos basados en Linux, por lo que su instalación es realmente sencilla. En Kali Linux ya viene instalado, pero si en tu Linux no esta instalado simplemente ejecutando la orden de instalación seguido de «nmap», instalaras el programa sin dificultades.

sudo apt install nmap

Ejemplos de uso de Nmap

Nmap es un programa muy avanzado y complejo, con decenas de comandos y ataques que vamos a poder realizar, con el objetivo de descubrir todos los hosts que tengamos en una red local doméstica o profesional, además, también es capaz de detectar hosts en Internet, es decir, vamos a poder escanear uno a uno cualquier dirección IP de Internet e incluso subredes que sean públicas.

Una vez que hemos descubierto que el host está online, se le puede realizar un escaneo rápido de puertos y comprobar si tiene un firewall filtrando todos los paquetes, o bien tenemos un puerto abierto para poder explotar alguna vulnerabilidad. Nmap permite utilizar tanto direcciones IPv4 privadas y públicas, como también direcciones IPv6, con el objetivo de poder escanear los puertos de cualquier host.

A continuación, veremos algunos ejemplos de cómo se utiliza Nmap a nivel usuario, y también con comandos algo más avanzados, y es que este programa nos permitirá descubrir con cierta exactitud qué sistema operativo está utilizando el host remoto, ideal para obtener la máxima información posible.

Escaneo rápido de puertos

Si quieres realizar un escaneo rápido de puertos a un determinado host, debemos teclear el siguiente comando. Este comando básico se encargará de escanear los principales puertos a la dirección IP privada o pública definida, un detalle muy importante es que no escaneará todos los puertos, sino los más utilizados habitualmente.

nmap [ip]

Por ejemplo, si queremos realizar un escaneo rápido de los principales puertos a un host con dirección IP 192.168.1.1, la orden sería la siguiente:

nmap 192.168.1.1

El programa nos devolverá los puertos que se encuentran abiertos en el equipo objetivo.

En el caso de querer escanear todos y cada uno de los puertos tendremos que recurrir al siguiente comando y poner un rango desde el puerto 1 hasta el 65535, de esta forma estaremos comprobando si todos y cada uno de los puertos están abiertos, cerrados o filtrados.

Realizar escaneo de un rango de puertos

En lugar de realizar un escaneo de todos los puertos, podemos establecer un rango de puertos a comprobar. Para ello ejecutaremos:

nmap -p [rango] [ip]

Si queremos realizar un escaneo de puertos desde el 20 TCP hasta el 200 TCP en la dirección IP 192.168.1.1, basta con ejecutar la siguiente orden:

nmap -p 20-200 192.168.1.1

El programa nos indicará dentro de ese rango qué puertos están abiertos.

Dependiendo de la latencia de la conexión entre nuestro equipo y el host remoto, y también el número de puertos a analizar, este proceso podría durar desde varios segundos hasta unos 10 minutos aproximadamente.

Detectar el sistema operativo y más datos del host

Podemos indicar a Nmap que detecte el sistema operativo. Esto lo realiza enviando paquetes y analizando la forma en que los devuelve, siendo en cada sistema totalmente diferente. Junto a esto, realizará una exploración de puertos y de los servicios en busca de vulnerabilidades. Asimismo, el escaneo devolverá información útil. Para ello debemos ejecutar:

nmap -A -v [ip]

Si queremos realizar este escaneo a la dirección IP 192.168.1.1 podemos ejecutar la siguiente orden:

nmap -A -v 192.168.1.1

Esta prueba de detección del sistema operativo no es del todo fiable porque depende de muchos parámetros, en algunos casos la exactitud es muy buena, sobre todo en diferenciar si es Windows o Linux, pero dentro del mundo Linux es realmente complicado conocer qué sistema operativo es en concreto.

Listado de todos los comandos

Este programa es realmente completo, hasta el momento hemos utilizado los comandos básicos para descubrir hosts y también para ver si tiene los puertos abiertos, sin embargo, esto no se queda así, y tenemos un gran listado de comandos para exprimir al máximo esta herramienta.

Seleccionar objetivos

Direcciones o rangos IP, nombres de sistemas, redes, etc.

  • Ejemplo: scanme.nmap.org, microsoft.com/24, 192.168.0.1, 10.0.0-255.1-254
  • -iL fichero lista en fichero -iR n elegir objetivos aleatoriamente, 0 nunca acaba
  • –exclude –excludefile fichero excluir sistemas desde fichero

Descubrir sistemas

  • -PS n tcp syn ping
  • -PA n ping TCP ACK
  • -PU n ping UDP
  • -PM Netmask Req
  • -PP Timestamp Req
  • -PE Echo Req
  • -sL análisis de listado
  • -PO ping por protocolo
  • -PN No hacer ping
  • -n no hacer DNS
  • -R Resolver DNS en todos los sistemas objetivo
  • –traceroute: trazar ruta al sistema (para topologías de red)
  • -sP realizar ping, igual que con –PP –PM –PS443 –PA80

Técnicas de análisis de puertos

En la mayoría de ocasiones, cuando los usuarios están empezando a utilizar esta herramienta, lo más probable es que intenten la resolución de la mayoría de problemas con el tipo de escaneo SYN porque es uno de los más versátiles. Pero, a medida que avanzan y conocen la herramienta en profundidad, se darán cuenta de que ampliarán su abanico de soluciones y aquí abajo explicamos un poco algunos de los comandos que resultan más útiles al momento de analizar puertos.

-sS análisis utilizando TCP SYN:

Este tipo de escaneo, está basado en la velocidad de escaneo, de ahí la versatilidad que mencionamos anteriormente, ya que permite escanear miles de puertos por segundo en una red que se encuentre desprotegida o carezca de un firewall. Además, en lo que a términos de privacidad se refiere, es una excelente técnica, ya que no llega a completar las conexiones TCP y por lo tanto no llama la atención.

-sT análisis utilizando TCP CONNECT:

Este tipo de exploración, podríamos decir que es la que se utiliza principalmente, sobre todo cuando no podemos ejecutar un escaneo tipo SYN, este tipo de análisis de conexión, lo que hace es realizar o emitir una llamada  al sistema de conexión para que se establezca una conexión con la red que estamos analizando. Luego, Nmap lo que hace es utilizar esta llamada para analizar la información sobre cada intento de conexión, la principal desventaja de este tipo de análisis es que nos toma un poco más de tiempo identificar los puertos que están abiertos que nos llevaría por ejemplo con el SYN.

-sU análisis utilizando UDP:

Este tipo de escaneo es bastante simple, suele utilizarse sobre todo cuando queremos realizar un seguimiento de puertos como los DNS, SNMP y DHCP en nuestra red. Por supuesto, que sea sencillo no quita que son puertos bastante importantes, ya que suelen ser las áreas por donde suelen haber atacantes buscando vulnerabilidades para explotar.

  • -sY análisis utilizando SCTP INIT
  • -sZ utilizando COOKIE ECHO de SCTP
  • -sO protocolo IP
  • -sW ventana TCP -sN
  • –sF -sX NULL, FIN, XMAS
  • –sA TCP ACK

Puertos a analizar y orden de análisis

  • -p n-m rango
  • -p– todos los puertos
  • -p n,m,z especificados
  • -p U:n-m,z T:n,m U para UDP, T para TCP
  • -F rápido, los 100 comunes
  • –top-ports n analizar los puertos más utilizados
  • -r no aleatorio

Duración y ejecución:

  • -T0 paranoico
  • -T1 sigiloso
  • -T2 sofisticado
  • -T3 normal
  • -T4 agresivo
  • -T5 locura
  • –min-hostgroup
  • –max-hostgroup
  • –min-rate
  • –max-rate
  • –min-parallelism
  • –max-parallelism
  • –min-rtt-timeout
  • –max-rtt-timeout
  • –initial-rtt-timeout
  • –max-retries
  • –host-timeout –scan-delay

Detección de servicios y versiones

  • -sV: detección de la versión de servicios
  • –all-ports no excluir puertos
  • –version-all probar cada exploración
  • –version-trace rastrear la actividad del análisis de versión
  • -O activar detección del S. Operativo
  • –fuzzy adivinar detección del SO
  • –max-os-tries establecer número máximo de intentos contra el sistema objetivo

Evasión de Firewalls/IDS

  • -f fragmentar paquetes
  • -D d1,d2 encubrir análisis con señuelos
  • -S ip falsear dirección origen
  • –g source falsear puerto origen
  • –randomize-hosts orden
  • –spoof-mac mac cambiar MAC de origen

Parámetros de nivel de detalle y depuración

  • -v Incrementar el nivel de detalle
  • –reason motivos por sistema y puerto
  • -d (1-9) establecer nivel de depuración
  • –packet-trace ruta de paquetes

Otras opciones

  • –resume file continuar análisis abortado (tomando formatos de salida con -oN o -oG)
  • -6 activar análisis IPV6
  • -A agresivo, igual que con -O -sV -sC –traceroute

Opciones interactivas

  • v/V aumentar/disminuir nivel de detalle del análisis
  • d/D aumentar/disminuir nivel de depuración
  • p/P activar/desactivar traza de paquetes

Scripts

  • -sC realizar análisis con los scripts por defecto
  • –script file ejecutar script (o todos)
  • –script-args n=v proporcionar argumentos
  • –script-trace mostrar comunicación entrante y saliente

Formatos de salida

  • -oN guardar en formato normal
  • -oX guardar en formato XML
  • -oG guardar en formato para posteriormente usar Grep
  • -oA guardar en todos los formatos anteriores

Principalmente estos son los comandos de que dispone Nmap. Antes de terminar, debemos decir que Nmap dispone de multitud de opciones con las que poder realizar completos análisis de redes. Podemos consultar todas las opciones disponibles tecleando:

nmap --help

Guía Rápida de NMAP – La lista definitiva para hackers de NMAP

Desbloquea todo el potencial de NMAP con nuestra guía definitiva para hackers. Descubre tácticas avanzadas y estrategias esenciales para fortalecer tu destreza en ciberseguridad.

Guía Rápida de NMAP – La lista definitiva para hackers de NMAP

Nmap es sin duda una herramienta muy sencilla y completa para realizar auditorías de redes, pero esto no acaba aquí, también tenemos disponible Nmap NSE para realizar pentesting avanzados.

Zenmap vs Nmap: ¿Cuál usar y cuándo?

Descubre la batalla entre Zenmap y Nmap: ¿Cuál elegir para tus necesidades de ciberseguridad? Analizamos las claves de estas herramientas para una elección informada.

Zenmap vs Nmap: ¿Cuál usar y cuándo?

Descubre la batalla entre Zenmap y Nmap: ¿Cuál elegir para tus necesidades de ciberseguridad? Analizamos las claves de estas herramientas para una elección informada.

2 – Wireshark 

Función: Herramienta de análisis de paquetes de red.

Uso: Inspección y captura de tráfico de red para identificar posibles vulnerabilidades.

Wireshark es una herramienta de análisis de tráfico similar. La principal ventaja es que Wireshark es completamente gratuita y dispone de una enorme comunidad de usuarios en la que puedes encontrar toda la documentación necesaria para empezar a «trastear» con fragmentos del tráfico de una red. La desventaja es que no es tan completa y no incluye un apartado de análisis de vulnerabilidades y tampoco es tan flexible a la hora de hacer pruebas o modificar los paquetes de red.

Wireshark es el analizador de paquetes y protocolos por excelencia. Esta aplicación es capaz de registrar absolutamente todos los paquetes que pasan por una red, recogerlos y poder filtrarlos y ordenarlos de multitud de formas para poder analizar cómodamente todo el tráfico. Esta herramienta además es capaz de descifrar los paquetes enviados a través de los principales protocolos de conexión segura para poder analizar sin problema su contenido.

Sin duda, la mejor aplicación que podemos encontrar para analizar cualquier red y poder detectar cualquier posible fuga de tráfico o conexiones que intenten explotar un fallo de seguridad. Es compatible con sistemas operativos Windows y Linux, además, soporta una gran cantidad de extensiones que utilizan otros programas a la hora de capturar el tráfico, de esta forma, podremos analizar todo el tráfico más tarde.

Guía Rápida de Wireshark: todos los comandos, filtros y sintaxis.

Descubre la Guía Rápida de Wireshark: todos los comandos, filtros y sintaxis para una ciberseguridad eficiente. Impulsa tus habilidades en análisis de tráfico de red.

Guía Rápida de Wireshark: todos los comandos, filtros y sintaxis.

Herramientas ofensivas

A continuación, hablaremos de herramientas ofensivas creadas para encontrar y explotar vulnerabilidades en diversos sistemas y dispositivos.

3 – Metasploit

¿Has oído hablar de Metasploit? Si te apasiona el mundo de la seguridad informática y el hacking ético, esta herramienta te sorprenderá. En este artículo, descubrirás todo lo que necesitas saber sobre Metasploit y cómo se ha convertido en la elección preferida de los expertos, hackers y profesionales de la seguridad para realizar pruebas de seguridad. ¡Prepárate para sumergirte en el fascinante mundo de Metasploit!

¿Qué es Metasploit y cómo funciona?

Metasploit es una poderosa plataforma de pruebas de seguridad desarrollada por Rapid7. Su objetivo principal es identificar y aprovechar vulnerabilidades en sistemas informáticos con el fin de evaluar la seguridad de una red o aplicación. Esta herramienta se ha ganado una reputación sólida en la comunidad de hackers y profesionales de la seguridad debido a su funcionalidad avanzada y su enfoque ético.

Metasploit se basa en una gran base de datos de exploits, payloads y módulos que permiten llevar a cabo una amplia gama de pruebas de seguridad. Su arquitectura modular y su interfaz intuitiva facilitan la identificación y explotación de vulnerabilidades en sistemas informáticos. Además, Metasploit proporciona un entorno de desarrollo para crear exploits personalizados y adaptados a necesidades específicas.

Funciones clave de Metasploit

Metasploit ofrece una variedad de funciones y características que lo convierten en una herramienta imprescindible para los expertos en seguridad:

  • Escaneo de vulnerabilidades: Permite identificar de manera eficiente las vulnerabilidades presentes en una red o aplicación.
  • Explotación de vulnerabilidades: Ofrece una amplia gama de exploits y técnicas para aprovechar las vulnerabilidades identificadas.
  • Post-explotación y persistencia: Permite mantener el acceso a sistemas comprometidos y realizar acciones posteriores a la explotación.
  • Creación de payloads: Facilita la creación de payloads personalizados para evadir las defensas de seguridad y lograr el control de un sistema objetivo.
  • Reportes detallados: Genera informes completos y detallados sobre los resultados de las pruebas de seguridad realizadas.

Metasploit y el hacking ético

Es importante destacar que Metasploit se utiliza principalmente en el ámbito del hacking ético y las pruebas de seguridad autorizadas. Los profesionales de la seguridad y hackers éticos utilizan Metasploit para identificar y remediar vulnerabilidades antes de que sean aprovechadas por actores maliciosos. Es fundamental obtener siempre el consentimiento por escrito antes de realizar pruebas de seguridad utilizando Metasploit. Metasploit posé un amplio catálogo de exploits. puedes ver la lista escribiendo: show exploits

El papel de Metasploit en las pruebas de penetración

Metasploit desempeña un papel clave en las pruebas de penetración (pentesting) al proporcionar una plataforma integral para simular ataques y evaluar la resistencia de los sistemas a amenazas reales.

Obtención de acceso privilegiado en el sistema objetivo.

La escalada de privilegios es el acto de explotar un error, una falla de diseño o la supervisión de la configuración en un sistema operativo o aplicación de software para obtener un acceso elevado a los recursos que normalmente están protegidos de una aplicación o usuario. Vamos a utilizar una distro de Linux vulnerable para poner un ejemplo de elevación de privilegios, se trata de Metasploitable II. Nuestra máquina atacante será un Kali Linux. El proceso que se va a llevar a cabo de manera resumida es el siguiente:

  1. Buscamos los servicios que están corriendo en la máquina Metasploitable.
  2. Comprobamos si tiene vulnerabilidades.
  3. Explotamos la vulnerabilidad que escogemos.
  4. Estamos dentro con privilegios limitados, así que buscamos procesos corriendo como root y que no pertenezcan al kernel.
  5. Buscamos un exploit que nos permita elevarnos y lo ejecutamos.

Las máquinas y sus IPs son las siguientes:

  • Kali Linux > 192.168.1.50
  • Metasploitable II > 192.168.1.49

Buscando servicios en la máquina víctima. Para esta tarea usaremos nmap, el comando a ejecutar: 

nmap -p 1-65535 -T4 -sV 192.168.1.49

Como se va a usar Metasploit, podemos hacer uso de nmap en la propia herramienta (db_nmap), el resultado va a ser el mismo, pero se guardarán los resultados en la base de datos, para no perdernos antes borramos la base de datos con “clear  database”. La salida (no completa) se muestra en la siguiente captura:

Ahora podemos consultar los servicios todas las veces que queramos con el comando services de Metasploit.

Buscamos posibles exploits 

Vamos a centrarnos en el puerto 21, el servicio FTP, y buscamos un posible exploit:

Encontramos un exploit disponible para la versión que está corriendo en la máquina víctima. Configuramos el exploit y lo lanzamos:

Ya estamos dentro de la máquina víctima, y encima con el usuario root.

4 Aircrack-ng

Función: Suite para pruebas de seguridad en redes inalámbricas.

Uso: Auditoría de seguridad de redes Wi-Fi, incluyendo el cracking de claves WEP y WPA.

Aircrack-ng es una suite de software de seguridad inalámbrica. Consiste en un analizador de paquetes de redes, recupera contraseñas WEP y WPA/WPA2-PSK y otro conjunto de herramientas de auditoría inalámbrica. Entre las herramientas que se incluyen en esta suite se encuentran las siguientes: airbase-ng aircrack-ng.

Las redes Wi-Fi son uno de los puntos más débiles de las empresas, y por ello es uno de los aspectos que más debemos cuidar. En este punto, Aircrack-ng es sin duda la mejor herramienta para poner a prueba la seguridad de cualquier red Wi-Fi en busca de cualquier posible vulnerabilidad que pueda permitir a cualquier usuario no autorizado hacerse con la contraseña de nuestra red. Este programa es uno de los más utilizados en todo el mundo para crackear redes WiFi, ya sea con cifrado WEP, WPA e incluso WPA2, no obstante, normalmente se utiliza junto con otros programas para acelerar la tarea de crackeo de las diferentes contraseñas.

Aircrack-ng realmente no es una única herramienta, sino que está formado por varias herramientas que se dedican específicamente a diferentes tareas, cuando instalamos Aircrack-ng se instalarán todas las herramientas adicionales que están específicamente diseñadas a ciertas tareas. A continuación, podéis ver en detalle todas las herramientas:

  • Airmon-ng: se encarga de poner las tarjetas de red Wi-Fi en modo monitor, para permitir la captura de toda la información por parte de Airodump-ng.
  • Airodump-ng: es capaz de realizar captura de datos y exportar toda la información, para posteriormente tratara con herramientas de terceros e incluso con otras herramientas de la suite Aircrack-ng.
  • Aireplay-ng: esta herramienta se utiliza para realizar ataques replay, desautenticación de clientes, crear APs falsos y otro tipo de inyección de paquetes. Un detalle importante es que la tarjeta Wi-Fi que utilicemos, debe ser compatible con inyección de paquetes, ya que muchas no lo son.
  • Aircrack-ng: este programa es el que se encarga de crackear las claves WEP, WPA y WPA2 de las redes Wi-Fi, obteniendo toda la información conseguida por el resto de programas de la suite.

5 – Burp Suite

Función: Suite de herramientas para pruebas de seguridad de aplicaciones web.

Uso: Detección y explotación de vulnerabilidades en aplicaciones web.

Burp Suite es una de las herramientas más completas que podemos encontrar dentro de este tipo de software. Burp Suite es una herramienta que te permite analizar el tráfico de una red. Es uno de los analizadores de tráfico que más opciones te ofrece para realizar este tipo de análisis. Para el análisis de los paquetes de red Burp suite te ofrece un proxy por el que hacer pasar todo el tráfico. La herramienta incluye un apartado de análisis de vulnerabilidades para el tráfico web con el que podrás encontrar vulnerabilidades XSS o Inyecciones de SQL. También tiene otras opciones como: repetir, analizar y modificar peticiones y respuestas HTTP y automatizar pruebas. Burp Suite tiene una modalidad de pago y otra gratuita llamada Community Edition.

6 – ZAP OWASP

Función: Herramienta de prueba de seguridad de aplicaciones web.

Uso: Identificación de vulnerabilidades en aplicaciones web según las mejores prácticas de OWASP.

El proyecto OWASP (Open Web Application Security Project) es un proyecto abierto y sin ánimo de lucro pensado para mejorar la seguridad de las redes, los servidores, equipos y las aplicaciones y servicios con el fin de convertir Internet en un lugar más seguro. Zed Attack Proxy, ZAP, es una de las herramientas libres de este proyecto cuya principal finalidad es monitorizar la seguridad de redes y aplicaciones web en busca de cualquier posible fallo de seguridad, mala configuración e incluso vulnerabilidad aún desconocida que pueda suponer un problema para la red.

Esta herramienta por la prestigiosa Fundación OWASP, simplifica muchísimo el trabajo a los auditores que quieran analizar la seguridad de un sitio web. Zed Attack Proxy es una herramienta gratuita y muy sencilla de usar. Dentro de la aplicación puedes encontrar multitud de extensiones con las que puedes realizar ataques bastante complejos. Entre los plugin disponibles existe varios para atacar portales web de login, permitiendo hacer de manera automatizada ataques de inyección SQL. Pero no solo se encuentran ataques clásicos, también puedes encontrar plugin para vulnerabilidades recientes como Log4j.

Es una de mis favoritas para empezar a aprender en la seguridad web. Con solo un botón puedes descubrir vulnerabilidades básicas en cualquier web publicada. Además, es muy educativa puesto que te explica con detalle el efecto de cada vulnerabilidad encontrada.

Esta herramienta es bastante potente y te permite, con un poco de dedicación detectar vulnerabilidades escondidas en muchas web conocidas.

ZAP es una herramienta realmente completa, y si eres nuevo en las auditorías, te será bastante compleja de hacer funcionar, pero una vez que sabes cómo funciona, es una de las mejores que puedes tener en tu arsenal de herramientas. En la web oficial de ZAP nos invitan a ver todos los vídeos de su herramienta donde nos enseñarán cómo funciona y de todo lo que es capaz de hacer.

Por último, ZAP tiene una tienda de addons para aumentar las funcionalidades por defecto de la herramienta, estos add-ons han sido desarrollados por la comunidad que hay detrás de este proyecto. Aunque uno de los grandes beneficios de contar con un proyecto como este, es la estandarización de los principales riesgos. Esto ayuda a facilitar su identificación y posterior resolución una vez encontrada la medida de mitigación adecuada.

7 – Bettercap

Bettercap es una herramienta de seguridad cibernética versátil, de código abierto y fácil de usar. Está creada específicamente para la exploración de redes, evaluaciones de seguridad y pruebas de penetración. Los piratas informáticos éticos y los pentesters pueden utilizarla para diversos fines, como el mapeo de redes, el secuestro de sesiones y los ataques de intermediarios .

Por qué nos gusta Bettercap:

  • Mapeo de red integral: Bettercap brinda información detallada sobre las estructuras de red, lo que ayuda a sus usuarios a identificar vulnerabilidades.
  • Capacidades de secuestro de sesiones: su capacidad para interceptar y manipular sesiones de red es una característica poderosa para las pruebas de seguridad.
  • Desarrollo activo: Actualizaciones periódicas y una comunidad fuerte contribuyen a su mejora continua.
  • Ataques MITM: las sólidas capacidades MITM de Bettercap son invaluables para probar la seguridad de la red.

Bettercap está disponible para descargar de forma gratuita en bettercap.org

Herramientas OSINT

La siguiente es una herramienta esencial de inteligencia de fuentes abiertas que todo investigador debe conocer.

8 – Maltego

Maltego es una herramienta de análisis de inteligencia que permite visualizar relaciones entre personas, dominios, direcciones IP, correos electrónicos, redes sociales y mucho más. Utiliza «transformaciones» para recopilar datos automáticamente desde múltiples fuentes.

🔹 Casos de Uso:

  • Identificar conexiones entre personas y empresas.
  • Análisis de datos extraídos de la Deep Web.
  • Seguimiento de cibercriminales y amenazas persistentes avanzadas (APTs).

Disponibilidad

Versión comunitaria gratuita; versiones de pago.

Por qué nos gusta

Nos gusta Maltego por sus potentes capacidades de recopilación y vinculación de datos. Su función de gráficos proporciona una representación visual y fácil de entender de las conexiones y relaciones en los datos, lo que puede ser fundamental en la búsqueda de amenazas.

Características unicas:

  • Capacidades sólidas de recopilación y vinculación de datos
  • Proporciona representaciones visuales de conexiones y relaciones.
  • Puede integrarse con otras herramientas y fuentes de datos.

Maltego viene preinstalado en Kali Linux y Kali Purple.

💻 Descargar: https://www.maltego.com/

Maltego es una herramienta para OSINT y análisis de vínculos visuales. Puede extraer datos de múltiples fuentes para explorar las propiedades de las entidades y las relaciones entre ellas. Es útil para analistas de inteligencia sobre amenazas cibernéticas, analistas de OSINT y otros profesionales de la seguridad de la información.

La lista de entidades con las que Maltego puede trabajar incluye empresa, CVE, dispositivo, registro DNS, dominio, dirección de correo electrónico, archivo, hash, imagen, dirección IP, ubicación, organización, número de teléfono, frase, puerto, URL, sitio web y más.

Puede utilizar Maltego para recopilar, analizar y visualizar información disponible públicamente, descubriendo relaciones y patrones entre entidades como dominios, direcciones IP, perfiles de redes sociales y más.

Uso de Maltego

Ahora le mostraremos cómo poner en funcionamiento Maltego. Para nuestra demostración futura, utilizaremos tanto la versión ya instalada en Kali como en Windows.

Una vez que se abra Maltego, aparecerá una ventana que le solicitará que seleccione un producto. Estamos utilizando la versión “Maltego CE (Free)” para nuestra demostración. Seleccione “Ejecutar” para continuar.

A continuación, deberá configurar Maltego. El primer paso es aceptar el acuerdo de licencia y hacer clic en «Siguiente».

El siguiente paso es iniciar sesión para poder utilizar Maltego. Si aún no tiene una cuenta, regístrate aquí .

Después de iniciar sesión, podrá ver sus datos, como su nombre y dirección de correo electrónico, así como la duración de su clave API. Haga clic en «Siguiente» para continuar con la descarga de Transforms.

Se descargarán las Transforms y deberá hacer clic en “Siguiente” para instalarlas en Maltego. La siguiente pantalla le preguntará si desea enviar informes de errores a Paterva y luego haga clic en “Siguiente” para continuar.

La ventana final te preguntará en qué navegador externo quieres abrir los enlaces. Elige tu opción y haz clic en “Finalizar” para completar la configuración. Maltego ya estará listo para usarse.

Sin registración puede usar la versión CaseFile:

La instalación en Windows no requiere mas que descargarlo desde su sitio web, instalar y, al igual que en Linux, iniciar sección o registrarse.

Luego configure Maltego usando las credenciales de inicio de sesión que usamos durante el registro en el sitio web y estará listo para comenzar.

Recuerde elegir “Chrome” como navegador web en las opciones del navegador durante la configuración.

De todas formas, esta opción puede ser modificada mas adelantes desde el menú opciones/general

En cuanto inicie por primera vez lo guiara por un tour por la interfaz

Interfaz

Esta sección le mostrará la interfaz gráfica de usuario principal de Maltego y destacaremos tres áreas dentro de la interfaz.

Menú de aplicaciones

En el menú de aplicaciones, encontrará el botón de aplicaciones, que le permitirá acceder a las siguientes funciones:

  • Nuevo gráfico
  • Gráfico abierto
  • Ahorrar
  • Guardar todo
  • Guardar como

Maltego puede abrir y guardar gráficos mediante la extensión. mtgl. Si bien estas son algunas de las funciones principales, también existen otras funciones avanzadas.

Página de inicio

La página de inicio muestra las últimas actualizaciones de productos, Transform y Transform Hub. Aquí también se pueden encontrar todas las alertas que afecten la funcionalidad y la seguridad de Maltego.

Centro de transformación

El Transform Hub cataloga todas las transformaciones que ofrecen Maltego, proveedores externos o que están disponibles a través de una API o un conjunto de datos. Puede comprar estos elementos o instalarlos de forma gratuita.

Las transformaciones en Maltego son fragmentos de código especializados que procesan información de una manera muy particular. Toman una entidad (un fragmento de datos definido, como una dirección de correo electrónico, una dirección IP o un nombre) como entrada y luego buscan información relacionada, devolviendo más entidades como salida.

Veamos cómo instalar Transforms en la Community Edition de Maltego. Primero, dirígete al Transform Hub dentro del software.

Tipos de transformaciones

Las transformaciones gratuitas (fuentes de datos) incluyen STIX 2 Utilities, Abuse.ch URLhaus, AlienVault OTX, ATT&CK — MISP, GreyNoise Community, Have I Been Pwned?, OpenCTI, VirusTotal (API pública) y más.

Las transformaciones pagas incluyen Cisco Threat Grid, Cofense Intelligence, CrowdStrike Intel y ThreatGraph, Digital Shadows, DomainTools Enterprise e Iris, Mandiant, Flashpoint, Intel 471 Enterprise y Pro, Recorded Future, Shodan, ThreatConnect, ZeroFOX Transforms y más.

También querrás mostrar las transformaciones que están «SIN INSTALAR».

Ahora que tenemos las transformaciones que nos funcionarán, elijamos una para instalar. En el momento de escribir este artículo, hay 58 transformaciones disponibles en la Community Edition: desde información de infraestructura y red hasta búsquedas en sitios de redes sociales.

Instalemos Censys Transform, diseñado para asignar direcciones IP al dominio de destino y viceversa, identificar rápidamente configuraciones incorrectas del servidor y escanear de manera eficiente las superficies de ataque en busca de vulnerabilidades.

Esta Transformación está limitada a veinticinco ejecuciones de Transformación por mes en la Edición Comunitaria de Maltego.

Varias transformaciones requerirán que usted tenga una clave API del proveedor, y Censys es una de ellas.

Para trabajar con Censys Transform, necesitará una cuenta y una clave API. Puede registrarse para obtener una cuenta en la página de registro de Censys .

Para instalarlo, pase el cursor sobre Censys Transform y haga clic en “INSTALAR”. Le preguntará si está seguro de que desea instalarlo. Haga clic en “Sí” para continuar.

Complete los tres pasos que siguen para finalizar la instalación de Censys dentro de Maltego.

Seleccione “INSTALADO” en el Transform Hub para ver el Censys Transform en la lista.

Iniciar una investigación

La forma más sencilla de iniciar una nueva investigación es mediante el uso de máquinas en Maltego. Estas máquinas son secuencias automatizadas de transformaciones en Maltego que permiten a los usuarios ejecutar múltiples consultas u operaciones con un solo clic.

Demostraremos cómo utilizar una máquina en Maltego, centrándonos específicamente en la máquina “Company Stalker”. Esta máquina tiene como objetivo localizar direcciones de correo electrónico asociadas a un dominio, asignarlas a los perfiles de redes sociales correspondientes y, por último, intentar recuperar o analizar los metadatos relacionados.

Para comenzar, haga clic en la pestaña “Máquinas” en la parte superior de la ventana de Maltego.

A continuación, seleccione “Ejecutar máquina” para seleccionar la máquina que desea ejecutar.

Seleccione “Company Stalker” y haga clic en “Siguiente”.

Ahora, ingrese el dominio que desea utilizar como destino. En nuestra demostración, usamos example.net y hacemos clic en “Finalizar”.

Para realizar una investigación más detallada, también puede ejecutarla manualmente. Si desea iniciar un nuevo proyecto en Maltego, el primer paso es seleccionar “Nuevo” en el menú de la aplicación.  

Luego se le presentarán diferentes pantallas, como “Paleta de entidades”, “Gráfico”, “Salida” y “Vista de ejecución”.

Para comenzar su investigación, ahora deberá agregar una “Entidad” al nuevo gráfico. La forma más fácil de hacerlo es mediante la “Paleta de entidades” en el lado izquierdo de la interfaz principal. Puede desplazarse por la lista de entidades o utilizar la función de búsqueda.

En Maltego, una entidad representa un único dato que desea investigar o analizar. Puede ser algo tan simple como una dirección de correo electrónico, un número de teléfono, un nombre de dominio o una dirección IP.

Trabajar con transformaciones

Ahora le mostraremos cómo trabajar con diferentes transformaciones. Para esta demostración, utilizaremos un nombre de dominio para realizar varios análisis.

Busque “Dominio” en la paleta de entidades y arrástrelo hasta el gráfico. Usaremos maltego.com para la demostración.

Ejecutemos nuestra primera transformación. Ejecutemos “Instantáneas entre fechas [Wayback Machine]”. Esto puede resultar extremadamente útil al realizar una prueba de penetración, ya que podría revelar información importante, como vulnerabilidades pasadas, cambios en las configuraciones de seguridad, páginas ocultas o en desuso y subdominios.

Haga clic derecho en el dominio y, en la barra de búsqueda, busque “wayback”, luego seleccione “A instantáneas entre fechas [Wayback Machine]” y, finalmente, haga clic en ejecutar.

En la siguiente pantalla, elija las fechas de inicio y finalización de la búsqueda y haga clic en ¡Ejecutar!

Una vez que se complete la transformación, se le mostrarán los datos de Wayback Machine encontrados. Con esta información, podrá hacer clic en una fecha específica y abrir la URL para obtener más información e investigaciones.

Si lo ejecutamos sobre ejemplo anterior puede ver esto:

Puedes ejecutar todos los datos en la entidad.

Voy a elegir ejecutar todo para que podamos ver los resultados.

Deberemos desplazarnos para ver todo. Maltego ha encontrado más de lo que podemos visualizar en la pantalla.

Maltego es una herramienta extremadamente poderosa y puede hacer mucho más de lo que le mostramos aquí. Con Maltego, puede trazar la huella digital de una organización objetivo, incluida la identificación de empleados clave, correos electrónicos, perfiles de redes sociales o dispositivos.

Esta información se puede utilizar con herramientas como el kit de herramientas de ingeniería social para recopilar información. Se puede utilizar para crear:

Campañas de phishing:  la información recopilada sobre direcciones de correo electrónico y conexiones sociales podría ayudar a crear correos electrónicos de phishing dirigidos.

Ataques de spear phishing e ingeniería social: los conocimientos sobre las relaciones entre entidades podrían brindar información para ataques de spear phishing o ingeniería social  más avanzados.

Mejores prácticas

Hablemos de algunas prácticas recomendadas para el uso de Maltego. Maltego es una herramienta muy versátil que puede hacer muchas cosas, y hay algunas cosas que puede hacer para trabajar de manera más eficaz e inteligente antes y durante su uso. A continuación, se incluye nuestra lista de recomendaciones para trabajar con Maltego.

  • Cree un flujo de trabajo sólido:  comprenda su objetivo antes de comenzar. Planifique lo que desea descubrir y adapte su búsqueda en consecuencia.
  • Utilice las transformaciones con prudencia:  las transformaciones son consultas que le ofrecen distintos tipos de datos. Aprenda a utilizarlas bien y utilice solo las que sean necesarias. Demasiadas transformaciones innecesarias pueden saturar los resultados.
  • Proteja sus datos: Maltego puede extraer información confidencial. Asegúrese de manejarla con cuidado.
  • Manténgase actualizado:  el mundo digital y las herramientas como Maltego cambian rápidamente. Actualice periódicamente a la última versión para mantenerse al día con las nuevas funciones y las mejoras de seguridad.
  • Utilice las entidades de forma adecuada:  las entidades son los componentes básicos de Maltego. Úselas correctamente para representar los datos con los que trabaja.
  • Utilizar notas y marcadores:  puedes adjuntar notas a entidades y conexiones, y marcar elementos esenciales como favoritos. Esto ayuda a hacer un seguimiento de por qué algo es importante o cómo lo descubriste.
  • Exportar y compartir con cuidado:  puedes exportar tus hallazgos para compartirlos con otros. Pero recuerda que esto puede incluir datos confidenciales, así que compártelos solo con quienes los necesiten.

Herramientas defensivas

Las herramientas defensivas son imprescindibles en tu laboratorio, así que échale un vistazo a estas.

9 – Snort (Sistema de detección y prevención de intrusiones en la red)

Snort

Bufido

Es un popular sistema de detección de intrusiones en la red (NIDS) de código abierto, creado por Martin Roesch y mantenido por Cisco Systems. Snort lleva casi una década más en el mercado y goza de una amplia compatibilidad con varios dispositivos, sistemas operativos y herramientas de terceros. Su enfoque principal es la detección basada en reglas y el análisis de protocolos.

Snort funciona monitoreando el tráfico de la red y aplicando reglas predefinidas para detectar actividad maliciosa, generando alertas para que los administradores tomen las medidas adecuadas. La fortaleza de Snort radica en su extenso conjunto de reglas, que se pueden personalizar para satisfacer las necesidades de seguridad específicas de una organización. Esta adaptabilidad permite a Snort sobresalir en diversos entornos, brindando protección personalizada contra una amplia gama de amenazas.

Descargar Snort https://www.snort.org/downloads#snort-downloads 

SNORT (sniffer + IDS + Registro)

funciona como un escuchador de paquetes (sniffer) y un detector de intrusiones basado en red. monitorea el segmento de red al que está conectado, proporcionando seguridad y prevención de intrusiones.

Este programa tiene tres modos de funcionamiento:

  • Sniffer.
  • Registro de paquetes.
  • IDS (Intrusion Detection System).

Información capturada por SNORT

La primera línea en un registro de alertas contiene tres números: el número del componente que acabará la alerta, el Signature ID (identificación de firma de ataque) y la versión de la firma. La siguiente línea puede incluir información sobre el tipo de ataque y su nivel de prioridad. Snort clasifica las alertas en 5 niveles, siendo el nivel 1 el más serio y el nivel 5 el menos significativo.

Para utilizar Snort como IDS continuo, es recomendable ejecutarlo como un servicio (daemon) y automatizar su inicio durante el arranque del sistema utilizando el parámetro –D

Snort tiene tres modos básicos de funcionamiento

Se pueden configurar mediante el parámetro –Q:

  • Inline: permite usar reglas tipo drop para rechazar paquetes que generen alertas. funciona como un sistema de detección de intrusiones (IDS) y como sistema de prevención de intrusiones (IPS), al  reaccionar ante ataques detectados.
  • Passive: este es el modo IDS, en el que las reglas de tipo drop no son cargadas
  • Inline-Test:  simula el modo Inline, permite la evaluación de las reglas drop pero sin afectar al tráfico. Cuando el tráfico corresponda con una regla tipo drop esta se registrará en el log como wdrop (would drop).

El archivo snort.conf contiene la configuración para ejecutar Snort como IDS y permite adaptar su funcionamiento. Los parámetros más relevantes son las reglas aplicadas al tráfico capturado, basadas en firmas de ataque. Para evitar un archivo difícil de manejar, snort.conf permite incluir otros archivos mediante el comando “include”. se pueden crear diferentes archivos de reglas y luego incluirlos en snort.conf facilitando la organización y configuración.

​​​​​​​Snort incluye varias reglas agrupadas por tipo de amenazas en diferentes archivos. Para activar estas reglas, basta con incluir la línea “include” correspondiente en el archivo de configuración. Las reglas en Snort definen la acción a realizar y especifican criterios como protocolo, fuente, destino, contenido del paquete y valores en las cabeceras para identificar paquetes como posibles amenazas. Lo primero que indica la regla es la acción a realizar. En la regla del ejemplo se indica la acción alert, pero esta no es la única acción disponible

Posibles acciones que se pueden definir:

  • alert: Genera una alerta que se incluye en el registro de alerta seleccionado y además guarda en el registro los paquetes que han provocado la alerta.
  • log: Guarda registro de los paquetes.
  • pass: ignora el paquete.
  • drop: bloquea el paquete y lo guarda en el registro.
  • reject: además de bloquear el paquete y guardarlo en el registro envía un paquete de respuesta de tipo «reset» para comunicaciones TCP o una respuesta de tipo «port unreachable» para UDP y así cortar la comunicación.
  • sdrop: bloquea el paquete pero no lo guarda en el registro

Snort incluye un conjunto extenso de reglas desarrolladas por el Vulnerability Research Team (VRT) de Sourcefire. este conjunto no es suficiente, ya que continuamente se detectan nuevas amenazas y se generan nuevas reglas. Es necesario actualizar las reglas con las publicaciones de Sourcefire y otros pudiendo ser estas actualizaciones gratuitas o mediante suscripción de pago. Pulled_Pork permiten realizar dicha actualización de forma automática. Snort forma parte de herramientas más complejas y llamativas de detección de intrusiones como Sguil, utilizándose como componente principal del módulo de detección.

10 – SGUIL

Un sistema Sguil consta de un servidor y varios sensores distribuidos en la red. cada sensor monitorea la seguridad en su segmento de red y reporta la información al servidor Sguil de manera regular

El servidor Sguil coordina y almacena la información recibida de todos los sensores en su base de datos. Los usuarios acceden a esta información mediante el cliente Sguil, que es multiplataforma. Para que los sensores Sguil sean capaces de capturar el tráfico de su segmento de red, deberán estar conectados a un Hub o Switch que haya sido configurado para enviar copia de todos los paquetes de datos.

Arquitectura de un sistema de monitorización Sguil

Cada sensor Sguil monitorea el tráfico en el segmento de red al que está conectado, pudiendo instalarse múltiples sensores en una misma máquina para monitorear segmentos diferentes. Estos sensores utilizan diversas herramientas para supervisar el tráfico y obtener información que luego envían al servidor.

  1. Sguil hace uso de Snort para obtener alertas de seguridad y/o intrusión.
  2. Sguil integra también SANCP (Security Analyst Network Connection Profiler, una herramienta que permite obtener información estadística del tráfico analizado) para obtener datos de sesiones TCP.
  3. Una segunda instancia de Snort se encarga de recolectar copia de todos los paquetes que pasan por el sensor (utiliza las funciones de capturador de paquetes o sniffer que proporciona Snort).
  4. Gracias a tcpflow es capaz de reconstruir datos de la capa de aplicación.
  5. Gracias a P0f es capaz de analizar las huellas del tráfico TCP/IP y detectar así el sistema operativo de los integrantes en la comunicación.
  6. Una instancia de MySQL guarda toda la información obtenida por Snort.
  7. La información obtenida se envía al servidor Sguil. La aplicación cliente permite conectarse a cualquier servidor Sguil mediante su dirección IP, puerto del servicio, y un usuario y contraseña autorizados en dicho servidor.

11 – pfSense

Aunque técnicamente no es una solución nativa de Linux, pfSense merece mención debido a su robustez como firewall basado en FreeBSD. Es una de las soluciones de firewall open source más completas, utilizada en redes empresariales y centros de datos.

pfSense ofrece una interfaz web intuitiva para gestionar reglas de firewall, VPNs y filtrado de contenido. Su flexibilidad lo hace ideal para entornos donde se necesita un control granular sobre el tráfico, con soporte para módulos adicionales que amplían sus capacidades de seguridad.

pfSense es una distribución versátil de enrutadores y cortafuegos de código abierto basada en FreeBSD. Ofrece una solución robusta y personalizable para mejorar la seguridad de la red. Sus funciones, como compatibilidad con VPN, modelado de tráfico y detección de intrusiones, son fundamentales para cualquier enrutador o cortafuegos. Su interfaz fácil de usar hace que pfSense sea perfecto para uso doméstico y empresarial.

Por qué nos gusta pfSense:

  • Potente firewall: pfSense tiene un potente firewall que permite a los usuarios habilitar fácilmente configuraciones de seguridad avanzadas, permitiendo que casi cualquier persona pueda administrarlo.
  • Capacidades de VPN: la herramienta admite varios protocolos VPN, lo que mejora el acceso remoto seguro.
  • Sistema de detección de intrusiones (IDS): pfSense utiliza un IDS para la detección activa de amenazas.
  • Interfaz fácil de usar: Su interfaz intuitiva lo hace accesible para usuarios con diferentes niveles de experiencia técnica.

pfSense está disponible para descargar de forma gratuita en pfsense.org

12 – ClamAV

ClamAV es uno de los antivirus más reconocidos en la comunidad de código abierto, y se ha consolidado como una herramienta esencial para usuarios de Linux que buscan una solución gratuita y de calidad. A diferencia de otros antivirus comerciales, ClamAV está diseñado principalmente para ser utilizado desde la terminal, lo que lo convierte en una opción atractiva para administradores de sistemas y usuarios avanzados.

La principal función de ClamAV es detectar y eliminar virus, troyanos y otras formas de malware mediante escaneos manuales o programados. Sin embargo, a diferencia de otros antivirus, no ofrece protección en tiempo real, lo que significa que no supervisa activamente el sistema, sino que realiza análisis periódicos para buscar posibles amenazas. A pesar de esta limitación, ClamAV es altamente efectivo y se actualiza con frecuencia para mantenerse al día con las nuevas amenazas.

Entre sus características más destacadas se encuentran:

  • Escaneo programado de archivos y directorios.
  • Detección de malware multiplataforma (Windows, macOS y Linux).
  • Compatibilidad con archivos comprimidos y formatos como ZIP, RAR o tar.gz.
  • Actualización automática de la base de datos de virus.

ClamAV es utilizado con frecuencia para proteger servidores de correo electrónico, gracias a su capacidad de escanear y filtrar archivos adjuntos en busca de malware. Esta función es especialmente útil en entornos corporativos, donde la seguridad del correo electrónico es fundamental para prevenir ciberataques.

Además, ClamAV es compatible con sistemas Windows y macOS, lo que lo convierte en una herramienta multiplataforma que puede integrarse fácilmente en diferentes infraestructuras.

Por qué nos gusta ClamAV:

  • Detección excepcional de malware: ClamAV utiliza un potente motor de escaneo en tiempo real, actualizado continuamente con las últimas firmas de malware, lo que garantiza una detección instantánea de una amplia gama de virus.
  • Interfaz fácil de usar: Su diseño hace que ClamAV sea accesible para principiantes y usuarios experimentados, brindándole una navegación y configuración directa más sencilla.
  • ClamScan: ClamScan (o ClamD) proporciona una opción para bloquear el acceso a los archivos hasta que se hayan analizado en busca de malware, lo que evita la ejecución de cualquier archivo infectado por error.
  • Utilización eficiente de recursos: ClamAV está diseñado para funcionar con recursos mínimos del sistema, lo que garantiza un rendimiento eficiente sin comprometer la velocidad del dispositivo del usuario.

ClamAV está disponible para descargar de forma gratuita en clamav.net

13 – Herramientas de ingeniería inversa y forense

Las herramientas de ingeniería inversa y forense, esenciales para el análisis y la depuración de código, cierran esta lista completa de herramientas de ciberseguridad.

Radare2 es una potente herramienta de seguridad cibernética de código abierto que ofrece una plataforma en la que los ingenieros inversos pueden trabajar. Ofrece un amplio conjunto de funciones para el desmontaje, la depuración y el análisis de datos, lo que la convierte en una opción versátil para los profesionales de la seguridad y, especialmente, para los investigadores.

Por qué nos gusta Radare2:

  • Depuración avanzada: Radare2 se destaca por sus sólidas capacidades de depuración con depuradores nativos locales y remotos, lo que facilita la búsqueda y corrección de errores.
  • Soporte multiplataforma: Su soporte multiplataforma garantiza que Radare2 siga siendo una opción confiable para tareas de seguridad cibernética independientemente de su sistema host.
  • Comunidad activa: La herramienta se beneficia de una increíble comunidad de usuarios y desarrolladores, lo que garantiza un gran desarrollo y soporte para todos.
  • Plugins y extensiones: Radare2 cuenta con un gran conjunto de plugins y extensiones. Esta característica permite a los usuarios personalizar la herramienta según sus necesidades.

Radare2 está disponible para descargar de forma gratuita en rada.re

14 – OllyDbg

OllyDbg es un depurador muy conocido que permite a los usuarios analizar código binario (solo para aplicaciones de Windows). Ofrece funciones esenciales de ingeniería inversa y depuración, que ayudan a comprender el comportamiento del software y el análisis de seguridad.

Por qué nos gusta OllyDbg:

  • Interfaz intuitiva: OllyDbg tiene una interfaz realmente intuitiva, lo que la hace accesible para cualquier persona.
  • Análisis dinámico: Sus capacidades de análisis dinámico permiten realizar revisiones en tiempo real de cualquier programa.
  • Compatibilidad con scripts: OllyDbg admite lenguajes de scripts (como Python y PowerShell), lo que permite a los usuarios automatizar tareas y aumentar su flujo de trabajo fácilmente.
  • Actualizaciones periódicas: Sus desarrolladores mantienen la herramienta, asegurando la compatibilidad con los últimos PC Windows y con todos los estándares de seguridad relacionados.

OllyDbg está disponible para descargar de forma gratuita en ollydbg.de

15 – Ghidra 

Ghidra es una potente herramienta de seguridad cibernética de código abierto desarrollada por la Agencia de Seguridad Nacional (NSA). Ofrece algunas capacidades de ingeniería inversa realmente válidas para los profesionales de la seguridad. Su principal objetivo es analizar y comprender el software malicioso.

Por qué nos gusta Ghidra:

  • Función de trabajo en equipo: Ghidra permite que los equipos trabajen juntos fácilmente para analizar y descubrir códigos complicados gracias a su multiplataforma.
  • Complementos sorprendentes: Ghidra puede hacer muchas cosas adicionales gracias a su soporte para muchos complementos, como el complemento Function Graph en Ghidra, que permite a los usuarios visualizar el gráfico de flujo de control de una función.
  • Úselo en cualquier lugar: Ghidra funciona en diferentes sistemas operativos, por lo que puedes usarlo donde lo necesites.
  • Comunidad útil: Ghidra tiene una comunidad activa donde los profesionales de la seguridad cibernética comparten conocimientos y se ayudan entre sí.

Ghidra está disponible para descargar de forma gratuita en github.com

16 – x64dbg 

x64dbg es un depurador de código abierto con numerosas funciones (solo para Windows) que permite a los usuarios diseccionar, analizar y aplicar ingeniería inversa a software. Con su conjunto de capacidades y funciones, x64dbg se ha convertido en la herramienta ideal para profesionales, entusiastas e investigadores de la seguridad cibernética.

Por qué nos gusta x64dbg:

  • Depuración exhaustiva: puedes recorrer el código paso a paso, marcar lugares donde detenerse y verificar, y mirar la memoria de la computadora.
  • Visualización de programas: x64dbg permite a los usuarios ver cómo se ejecuta un programa en tiempo real.
  • Diseño fácil de usar : el diseño amigable de x64dbg lo hace bueno para todos, desde quienes recién comienzan hasta aquellos que ya saben mucho.
  • Comunidad activa: x64dbg tiene una comunidad muy activa de usuarios. Esto significa que siempre está mejorando con actualizaciones y novedades, y también puedes aprender mucho de lo que otros comparten en el foro de x64dbg.

x64dbg está disponible para descargar de forma gratuita en sourceforge.net

17 – dnSpy

dnSpy es un potente depurador de código abierto y editor de ensamblajes .NET que permite a los usuarios desensamblar, descompilar y depurar código .NET. Su interfaz gráfica de usuario intuitiva y sus herramientas lo convierten en una solución simple pero eficaz para la ingeniería inversa y la comprensión de aplicaciones .NET complejas.

Por qué nos gusta dnSpy:

  • Depuración integral: la herramienta tiene fuertes capacidades de depuración para comprender mejor el código y resolver errores más fácilmente.
  • Análisis dinámico: con funciones de depuración en tiempo real, los usuarios pueden verificar y analizar dinámicamente la ejecución del código.
  • Amplia compatibilidad: dnSpy admite varios ensamblajes .NET, lo que lo hace versátil para diferentes proyectos.
  • Actualizaciones periódicas: La herramienta recibe mantenimiento del equipo de dnSpy, lo que la convierte en un depurador y editor de .NET ideal.

dnSpy está disponible para descargar de forma gratuita en github.com

Conclusión: resumen de nuestra lista de herramientas de ciberseguridad

En conclusión, para navegar por el intrincado mundo de la seguridad cibernética es necesario conocer un arsenal diverso de herramientas de seguridad. Esta lista completa le ha mostrado el papel esencial que desempeñan las herramientas de redes, ofensivas, OSINT, defensivas y de ingeniería inversa/forense.

Desde la información proporcionada por Nmap hasta los ataques y exploits ofensivos que Metasploit es capaz de realizar, cada herramienta cumple una función necesaria para fortalecerse y comprender las amenazas y vulnerabilidades cibernéticas.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *