{"id":86003,"date":"2026-05-05T01:15:55","date_gmt":"2026-05-05T06:15:55","guid":{"rendered":"https:\/\/niixer.com\/?p=86003"},"modified":"2026-05-05T01:15:56","modified_gmt":"2026-05-05T06:15:56","slug":"auditoria-seguridad-sitio-web-hacking-etico","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/auditoria-seguridad-sitio-web-hacking-etico\/","title":{"rendered":"\u00bfQu\u00e9 tan Seguro es tu Sitio Web? Una Auditor\u00eda Real con Herramientas de Hacking \u00c9tico"},"content":{"rendered":"\n

En un entorno digital cada vez m\u00e1s expuesto, la seguridad inform\u00e1tica<\/a> deja de ser una opci\u00f3n para convertirse en una necesidad cr\u00edtica. A trav\u00e9s de un ejercicio pr\u00e1ctico de auditor\u00eda hacking \u00e9tico, se llev\u00f3 a cabo un an\u00e1lisis integral que permiti\u00f3 evidenciar c\u00f3mo un sistema puede ser evaluado desde su infraestructura hasta sus posibles vulnerabilidades.

Con herramientas como ping<\/em>, traceroute<\/em> y Nmap<\/em>, fue posible reconocer la disponibilidad del servidor, la ruta de conexi\u00f3n y los servicios expuestos. Despu\u00e9s, mediante consultas DNS, WHOIS y certificados SSL\/TLS, se obtuvo informaci\u00f3n p\u00fablica clave sobre la infraestructura del sitio.<\/p>\n\n\n\n

Finalmente, con la metodolog\u00eda OWASP Top 10<\/a>, se detectaron vulnerabilidades importantes como inyecci\u00f3n SQL, XSS y fallos en el control de acceso. En conjunto, la pr\u00e1ctica evidenci\u00f3 que la ciberseguridad requiere tanto conocimiento t\u00e9cnico como an\u00e1lisis \u00e9tico y documentaci\u00f3n precisa para proteger mejor los sistemas y la informaci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00bfQu\u00e9 es el Hacking \u00c9tico y el Pentesting?<\/strong><\/h2>\n\n\n\n

El hacking \u00e9tico, tambi\u00e9n conocido como pentesting o pruebas de penetraci\u00f3n, es la pr\u00e1ctica de evaluar la seguridad de sistemas inform\u00e1ticos, redes y aplicaciones web utilizando las mismas t\u00e9cnicas que un atacante malicioso, pero con autorizaci\u00f3n expl\u00edcita del propietario del sistema (Stallings, 2017). A diferencia del hacking ilegal, el hacking \u00e9tico tiene como objetivo identificar vulnerabilidades antes de que sean explotadas por personas con intenciones maliciosas.<\/p>\n\n\n\n

Un profesional de hacking \u00e9tico, conocido como pentester, sigue una metodolog\u00eda estructurada que incluye fases de reconocimiento, an\u00e1lisis de vulnerabilidades, explotaci\u00f3n controlada y generaci\u00f3n de informes. Esta disciplina es fundamental en el mundo actual, donde los ciberataques representan una amenaza constante para empresas, gobiernos e individuos (OWASP Foundation, 2021).<\/p>\n\n\n\n

En Colombia, el marco legal que regula estas actividades es la Ley 1273 de 2009, que establece los delitos inform\u00e1ticos y protege la informaci\u00f3n digital (Congreso de la Rep\u00fablica de Colombia, 2009). Por esta raz\u00f3n, toda auditor\u00eda de hacking \u00e9tico debe realizarse \u00fanicamente sobre sistemas con autorizaci\u00f3n previa y documentada, garantizando que las pruebas se ejecuten dentro de los l\u00edmites legales y \u00e9ticos establecidos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\n

Las actividades descritas fueron realizadas en entornos controlados y con fines acad\u00e9micos, respetando los principios \u00e9ticos y legales de la ciberseguridad.<\/p>\n<\/blockquote>\n\n\n\n

Sitio Web Objetivo del Laboratorio<\/strong><\/h2>\n\n\n\n

Para el desarrollo de esta auditor\u00eda de seguridad, se utiliz\u00f3 como entorno de prueba el sitio web alojado en InfinityFree, una plataforma de hosting gratuito disponible en https:\/\/infinityfree.com<\/a>. El dominio empleado fue sebastiaaan4354.infinityfreeapp.com<\/a><\/em>, el cual fue configurado y administrado por el autor exclusivamente con fines acad\u00e9micos y experimentales.<\/p>\n\n\n\n

InfinityFree es un servicio de alojamiento web gratuito que permite a los usuarios crear sitios web con soporte para PHP y MySQL, sin costo alguno (InfinityFree, 2024). Al tratarse de un entorno propio y controlado, su uso como objetivo de auditor\u00eda cumple plenamente con los principios \u00e9ticos y legales del hacking \u00e9tico, garantizando que todas las pruebas se realizaron con autorizaci\u00f3n expl\u00edcita y dentro de los l\u00edmites establecidos por la Ley 1273 de 2009 (Congreso de la Rep\u00fablica de Colombia, 2009).<\/p>\n\n\n\n

La elecci\u00f3n de este entorno permiti\u00f3 simular condiciones reales de un servidor web en producci\u00f3n, evaluando su infraestructura de red, configuraci\u00f3n de servicios y posibles vulnerabilidades, sin comprometer sistemas de terceros ni violar normativas vigentes.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Fase 1: Reconocimiento de Red<\/strong><\/h2>\n\n\n\n

El reconocimiento de red constituye la fase inicial de toda auditor\u00eda de seguridad. A trav\u00e9s de herramientas como ping, traceroute y Nmap, el auditor mapea la topolog\u00eda, identifica servicios activos<\/a> y delimita la superficie de ataque del objetivo<\/p>\n\n\n\n

A) PING<\/strong><\/h3>\n\n\n\n

El comando ping utiliza el protocolo ICMP (RFC 792) para verificar la disponibilidad de un host y medir la latencia. Se ejecut\u00f3 ping -n 10 sebastiaaan4354.infinityfreeapp.com<\/a>, obteniendo 0 % de p\u00e9rdida de paquetes y tiempos de respuesta estables, lo que confirma la disponibilidad del servidor objetivo.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

B) TRACERT \/ TRACEROUTE<\/strong><\/h3>\n\n\n\n

Tracer revela la ruta completa de los paquetes incrementando el TTL sucesivamente. Se identificaron los nodos del ISP colombiano y los puntos de interconexi\u00f3n internacional. Los saltos marcados con * indican nodos configurados para rechazar ICMP, comportamiento normal en redes de producci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

C) IP P\u00fablica y Escaneo de Puertos<\/strong><\/h3>\n\n\n\n

Mediante curl api.ipify.org se obtuvo la IP p\u00fablica asignada por el ISP. El escaneo con Nmap<\/a> revel\u00f3 \u00fanicamente los puertos 80 (HTTP) y 443 (HTTPS) abiertos, indicando una postura de seguridad adecuada por parte del proveedor de hosting compartido.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Fase 2: DNS, WHOIS y Certificados<\/strong><\/h2>\n\n\n\n

Este laboratorio explor\u00f3 la infraestructura p\u00fablica<\/a> de nombres de dominio y la seguridad de las comunicaciones cifradas como fuentes de inteligencia pasiva en auditor\u00edas.<\/p>\n\n\n\n

A) NSLOOKUP<\/strong><\/h3>\n\n\n\n

La consulta tipo A devolvi\u00f3 la IP 185.27.134.202. La consulta MX no retorn\u00f3 registros propios del subdominio, lo esperado en alojamiento gratuito sin correo configurado. La consulta TXT revel\u00f3 pol\u00edticas SPF del dominio padre infinityfreeapp.com<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

B) WHOIS<\/strong><\/strong><\/h3>\n\n\n\n

La consulta WHOIS sobre infinityfreeapp.com mostr\u00f3 que el dominio est\u00e1 registrado ante NameCheap Inc. con fecha de creaci\u00f3n 2017 y expiraci\u00f3n en 2026. En hosting compartido, la informaci\u00f3n del registrante corresponde al proveedor, no al usuario final, lo que act\u00faa como escudo de privacidad involuntario.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

C) CERTIFICADO SSL\/TLS<\/strong><\/h3>\n\n\n\n

Se ejecut\u00f3 openssl s_client -connect sebastiaaan4354.infinityfreeapp.com:443. El certificado corresponde al proveedor InfinityFree (ZeroSSL ECC), compartido entre m\u00faltiples clientes. El protocolo negociado fue TLSv1.3, lo que garantiza cifrado moderno, aunque el certificado compartido puede generar advertencias seg\u00fan la configuraci\u00f3n SNI del cliente. Para verificar la configuraci\u00f3n TLS de cualquier sitio se puede usar SSL Labs<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Fase 3: Metodolog\u00eda OWASP Top 10<\/strong><\/h2>\n\n\n\n

Se despleg\u00f3 la aplicaci\u00f3n vulnerable DVWA mediante Docker<\/a> para identificar y documentar vulnerabilidades cr\u00edticas conforme al OWASP Top 10 \u2013 2021 (OWASP Foundation, 2021).<\/p>\n\n\n\n

\u00bfQu\u00e9 es el OWASP Top 10?<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

El OWASP Top 10 es un documento de referencia est\u00e1ndar desarrollado por la Open Worldwide Application Security Project<\/em> (OWASP), una fundaci\u00f3n sin fines de lucro dedicada a mejorar la seguridad del software a nivel global. Este listado identifica y clasifica las diez vulnerabilidades de seguridad m\u00e1s cr\u00edticas en aplicaciones web, con el objetivo de concientizar a desarrolladores, equipos de seguridad y organizaciones sobre los riesgos m\u00e1s comunes y sus posibles mitigaciones (OWASP Foundation<\/a>, 2021).<\/p>\n\n\n\n

La edici\u00f3n m\u00e1s reciente, publicada en 2021<\/a>, reorganiz\u00f3 y actualiz\u00f3 las categor\u00edas de riesgo con base en datos recopilados de cientos de organizaciones a nivel mundial. Entre las vulnerabilidades m\u00e1s destacadas se encuentran el control de acceso roto (Broken Access Control<\/em>), las fallas criptogr\u00e1ficas, la inyecci\u00f3n de c\u00f3digo \u2014que incluye SQL injection y Cross-Site Scripting (XSS)\u2014, y el dise\u00f1o inseguro, entre otras (OWASP Foundation, 2021). Cada categor\u00eda incluye una descripci\u00f3n del riesgo, ejemplos de ataque y recomendaciones de prevenci\u00f3n, lo que lo convierte en una gu\u00eda pr\u00e1ctica para auditor\u00edas de seguridad.<\/p>\n\n\n\n

Implementar el OWASP<\/a> Top 10 como parte de una metodolog\u00eda de hacking \u00e9tico permite a los profesionales de ciberseguridad evaluar sistem\u00e1ticamente las aplicaciones web, identificar puntos d\u00e9biles cr\u00edticos y proponer mejoras antes de que actores maliciosos puedan explotarlos (Stuttard & Pinto, 2011). Su uso se ha convertido en un est\u00e1ndar de facto en la industria, adoptado por marcos regulatorios y est\u00e1ndares internacionales como PCI DSS e ISO\/IEC 27001.<\/p>\n\n\n\n

A01 \u2013 Broken Access Control<\/strong><\/h3>\n\n\n\n

Se realizaron m\u00faltiples intentos de autenticaci\u00f3n sin restricciones (fuerza bruta). La aplicaci\u00f3n permiti\u00f3 el acceso con credenciales d\u00e9biles (admin\/password), confirmando la ausencia de mecanismos anti-fuerza bruta. Impacto: acceso no autorizado a recursos protegidos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A03 \u2013 Inyecci\u00f3n SQL<\/strong><\/h3>\n\n\n\n

Se ingres\u00f3 el payload 1′ OR ‘1’=’1 en el campo User ID. La aplicaci\u00f3n retorn\u00f3 todos los registros de usuarios de la base de datos, evidenciando la ausencia de parametrizaci\u00f3n en las consultas SQL. Mitigaci\u00f3n: uso exclusivo de prepared statements.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

A07 \u2013 Cross-Site Scripting (XSS)<\/strong><\/h3>\n\n\n\n

Se inyect\u00f3 <script>alert(‘XSS’)<\/script> en el campo de entrada. El script fue ejecutado en el contexto del navegador, confirmando XSS reflejado. La mitigaci\u00f3n requiere escapado de salida y una Content Security Policy (CSP) estricta.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Concluciones<\/strong>:<\/h2>\n\n\n\n

Los tres laboratorios construyeron una comprensi\u00f3n progresiva del proceso de auditor\u00eda de seguridad inform\u00e1tica. El reconocimiento de red demostr\u00f3 c\u00f3mo herramientas est\u00e1ndar permiten mapear la infraestructura de un objetivo de forma no intrusiva. El an\u00e1lisis de DNS, WHOIS y certificados evidenci\u00f3 que la informaci\u00f3n p\u00fablica revela datos significativos sobre la arquitectura tecnol\u00f3gica, incluso en entornos de hosting gratuito.<\/p>\n\n\n\n

La metodolog\u00eda OWASP integr\u00f3 estos conocimientos en un marco estructurado para la identificaci\u00f3n sistem\u00e1tica de vulnerabilidades web, confirmando que la auditor\u00eda hacking \u00e9tico demuestra que la seguridad inform\u00e1tica efectiva requiere competencia t\u00e9cnica<\/a>, rigor metodol\u00f3gico e integridad \u00e9tica.<\/p>\n\n\n\n

\n