{"id":86019,"date":"2026-05-05T16:35:35","date_gmt":"2026-05-05T21:35:35","guid":{"rendered":"https:\/\/niixer.com\/?p=86019"},"modified":"2026-05-05T17:39:20","modified_gmt":"2026-05-05T22:39:20","slug":"hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso","status":"publish","type":"post","link":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/","title":{"rendered":"Hacking \u00e9tico en acci\u00f3n: reconocimiento de red, DNS, WHOIS y an\u00e1lisis OWASP paso a paso"},"content":{"rendered":"\n<p><strong>Tema:<\/strong> Ciberseguridad | <strong>Tiempo de lectura estimado:<\/strong> 20 minutos<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 es el hacking \u00e9tico y por qu\u00e9 importa el reconocimiento de red?<\/strong><\/h2>\n\n\n\n<p>El hacking \u00e9tico es una disciplina que consiste en evaluar la seguridad de sistemas inform\u00e1ticos con autorizaci\u00f3n expl\u00edcita del propietario, con el objetivo de identificar vulnerabilidades antes de que lo haga un atacante malicioso. A diferencia de lo que muchas personas creen, el hacking \u00e9tico no comienza con exploits ni con herramientas complejas: comienza con informaci\u00f3n.<\/p>\n\n\n\n<p>La fase de reconocimiento es, sin duda, el primer gran pilar de cualquier <a href=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2026\/04\/30\/auditoria-de-seguridad-web-con-hacking-etico-asi-se-protege-una-tienda-online-real\/\">auditor\u00eda de seguridad<\/a>. En esta etapa, el analista recopila datos p\u00fablicamente disponibles sobre un sistema: su direcci\u00f3n IP, los puertos que tiene abiertos, los registros DNS, los certificados de seguridad y la informaci\u00f3n de registro del dominio. Todo esto sin lanzar un solo ataque. Como veremos en este art\u00edculo (basado en un taller pr\u00e1ctico de hacking \u00e9tico desarrollado en la Universidad Central de Bogot\u00e1), con herramientas b\u00e1sicas de l\u00ednea de comandos es posible construir un mapa detallado de la infraestructura de un sitio web.<\/p>\n\n\n\n<p>A lo largo de estas p\u00e1ginas explicaremos c\u00f3mo se realizaron pruebas reales sobre el dominio <strong>honda-motorshop.free.nf<\/strong>, siempre bajo autorizaci\u00f3n escrita del propietario, respetando los principios del hacking \u00e9tico y la legalidad. Los hallazgos se analizan tambi\u00e9n bajo el marco del <strong>OWASP Top 10 (2021)<\/strong>, el est\u00e1ndar de referencia mundial para la seguridad de aplicaciones web. Para m\u00e1s informaci\u00f3n sobre una gu\u00eda de hacking \u00e9tico podemos ir al siguiente enlace: <em><a href=\"https:\/\/achirou.com\/guia-de-hacking-y-pentesting-capitulo-2-herramientas-para-pentesters\/\" type=\"link\" id=\"https:\/\/achirou.com\/guia-de-hacking-y-pentesting-capitulo-2-herramientas-para-pentesters\/\">ver m\u00e1s aqu\u00ed<\/a><\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>La autorizaci\u00f3n previa: el principio fundamental del hacking \u00e9tico<\/strong><\/h2>\n\n\n\n<p>Antes de ejecutar cualquier herramienta o comando, el equipo obtuvo una carta de autorizaci\u00f3n escrita del propietario del sitio web. Este paso, muchas veces pasado por alto en tutoriales informales, es absolutamente indispensable. Sin autorizaci\u00f3n, cualquier prueba de reconocimiento (incluso las m\u00e1s inofensivas) puede constituir un delito inform\u00e1tico seg\u00fan la legislaci\u00f3n vigente en Colombia y en la mayor\u00eda de pa\u00edses del mundo.<\/p>\n\n\n\n<p>Esta pr\u00e1ctica refleja uno de los valores m\u00e1s importantes del <a href=\"https:\/\/niixer.com\/index.php\/2023\/03\/20\/ciber-seguridad\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2023\/03\/20\/ciber-seguridad\/\">hacking \u00e9tico<\/a>: la transparencia y el respeto por los l\u00edmites legales. Un analista de seguridad responsable siempre documenta el alcance de sus pruebas, obtiene autorizaci\u00f3n formal y delimita claramente qu\u00e9 sistemas puede evaluar y cu\u00e1les no.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pruebas de conectividad con PING: cuando el silencio tambi\u00e9n habla<\/strong><\/h2>\n\n\n\n<p>La primera herramienta utilizada fue el comando <strong>ping<\/strong>, uno de los m\u00e1s conocidos en el mundo de las redes. Su funci\u00f3n es simple: env\u00eda paquetes ICMP a un servidor y espera respuesta, midiendo tiempos de latencia y detectando p\u00e9rdida de paquetes.<\/p>\n\n\n\n<p>Al ejecutar <code>ping honda-motorshop.free.nf<\/code>, el resultado fue inesperado para quien no conoce los entornos de hosting moderno: <strong>100% de p\u00e9rdida de paquetes<\/strong>. Los cuatro paquetes enviados no obtuvieron respuesta. Sin embargo, esto no significa que el servidor est\u00e9 ca\u00eddo.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"649\" height=\"185\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/ping-1.webp\" alt=\"Captura del comando ping ejecutado en CMD mostrando 100% de p\u00e9rdida de paquetes\" class=\"wp-image-86094\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/ping-1.webp 649w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/ping-1-300x86.webp 300w\" sizes=\"auto, (max-width: 649px) 100vw, 649px\" \/><\/figure>\n\n\n\n<p>El dominio resolvi\u00f3 correctamente a la direcci\u00f3n IP <strong>185.27.134.138<\/strong>, lo que confirma que el servidor existe y est\u00e1 activo. La p\u00e9rdida de paquetes se debe a que el proveedor de hosting bloquea las solicitudes ICMP por razones de seguridad, una pr\u00e1ctica completamente habitual en servicios de alojamiento compartido. De hecho, al acceder al sitio desde un navegador web, la p\u00e1gina carg\u00f3 sin problemas, confirmando que los servicios HTTP y HTTPS estaban operativos.<\/p>\n\n\n\n<p>Esta es una lecci\u00f3n valiosa: en hacking \u00e9tico, la ausencia de respuesta no equivale a ausencia de objetivo. Saber interpretar correctamente los resultados (incluidos los negativos), es parte esencial del an\u00e1lisis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Traceroute: trazando el camino de los paquetes hasta el servidor<\/strong><\/h2>\n\n\n\n<p>El siguiente paso fue ejecutar el comando <code>tracert honda-motorshop.free.nf<\/code> (en Windows) o su equivalente <code>traceroute<\/code> en sistemas Linux y macOS. Esta herramienta traza la ruta que siguen los paquetes de datos desde el equipo local hasta el servidor de destino, mostrando cada salto intermedio.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"733\" height=\"603\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tracert.webp\" alt=\"Resultado del comando tracert mostrando los saltos de red desde la red local hasta nodos internacionales\" class=\"wp-image-86105\" style=\"width:511px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tracert.webp 733w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tracert-300x247.webp 300w\" sizes=\"auto, (max-width: 733px) 100vw, 733px\" \/><\/figure>\n\n\n\n<p>Los resultados fueron reveladores. Los primeros saltos correspond\u00edan a la red local y al proveedor de internet del equipo desde donde se realizaron las pruebas. A partir del cuarto salto, el tr\u00e1fico se enrut\u00f3 hacia infraestructura internacional. Los tiempos de respuesta (cercanos a los <strong>160 milisegundos<\/strong>) junto con los nombres de los nodos identificados (como <code>WILDCARD-UK.edge3.Manchesteruk2.Level3.net<\/code>) apuntan claramente a que el servidor f\u00edsico se encuentra en el <strong>Reino Unido<\/strong>.<\/p>\n\n\n\n<p>A partir de cierto punto, varios nodos dejaron de responder, mostrando asteriscos en lugar de tiempos. Esto es completamente normal: muchos routers y dispositivos intermedios est\u00e1n configurados para no responder a solicitudes ICMP por pol\u00edticas de seguridad. Sin embargo, el hecho de que la traza llegue hasta los nodos finales demuestra que existe conectividad v\u00e1lida hacia el servidor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Escaneo de puertos con Nmap: descubriendo los servicios activos<\/strong><\/h2>\n\n\n\n<p>Una de las herramientas m\u00e1s potentes utilizadas en el taller fue <strong>Nmap<\/strong> (Network Mapper), un esc\u00e1ner de puertos de c\u00f3digo abierto ampliamente usado en auditor\u00edas de seguridad. Se ejecut\u00f3 un escaneo b\u00e1sico con el comando <code>nmap -F honda-motorshop.free.nf<\/code>, que analiza los 100 puertos m\u00e1s comunes.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"621\" height=\"184\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nmap.webp\" alt=\"Resultado del escaneo Nmap mostrando los puertos 80, 443 y 2049 abiertos\" class=\"wp-image-86117\" style=\"width:560px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nmap.webp 621w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nmap-300x89.webp 300w\" sizes=\"auto, (max-width: 621px) 100vw, 621px\" \/><\/figure>\n\n\n\n<p>El escaneo identific\u00f3 <strong>tres puertos abiertos<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Puerto 80 (HTTP):<\/strong> Utilizado para comunicaci\u00f3n web est\u00e1ndar, sin cifrado.<\/li>\n\n\n\n<li><strong>Puerto 443 (HTTPS):<\/strong> El protocolo seguro para comunicaci\u00f3n cifrada mediante SSL\/TLS.<\/li>\n\n\n\n<li><strong>Puerto 2049 (NFS):<\/strong> Un servicio de archivos en red, com\u00fanmente activo en servidores de hosting compartido.<\/li>\n<\/ul>\n\n\n\n<p>La presencia de los puertos 80 y 443 confirma que el sitio est\u00e1 disponible tanto con HTTP como con <a href=\"https:\/\/niixer.com\/index.php\/2024\/06\/27\/explorando-las-profundidades-del-universo-https\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2024\/06\/27\/explorando-las-profundidades-del-universo-https\/\">HTTPS<\/a>, cumpliendo con los est\u00e1ndares b\u00e1sicos de seguridad web. El puerto 2049, por otro lado, llama la atenci\u00f3n: aunque su presencia puede ser leg\u00edtima en entornos de hosting, tambi\u00e9n representa un servicio adicional expuesto que, si no est\u00e1 correctamente asegurado, podr\u00eda convertirse en un vector de ataque.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>nslookup y resoluci\u00f3n DNS: confirmando la identidad del servidor<\/strong><\/h2>\n\n\n\n<p>Para obtener la direcci\u00f3n IP asociada al dominio de forma precisa, se utiliz\u00f3 el comando <code>nslookup honda-motorshop.free.nf<\/code>. Esta herramienta consulta el sistema de nombres de dominio (DNS) y devuelve la IP correspondiente al nombre solicitado.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"510\" height=\"182\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nslookup.webp\" alt=\"Captura del comando nslookup mostrando la resoluci\u00f3n exitosa del dominio a la IP 185.27.134.138\" class=\"wp-image-86113\" style=\"width:404px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nslookup.webp 510w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/nslookup-300x107.webp 300w\" sizes=\"auto, (max-width: 510px) 100vw, 510px\" \/><\/figure>\n\n\n\n<p>El dominio resolvi\u00f3 correctamente a <strong>185.27.134.138<\/strong>, lo que indica que el sistema DNS est\u00e1 bien configurado y que el sitio web est\u00e1 correctamente apuntado a su servidor. Este resultado es consistente con los obtenidos en las pruebas de ping y traceroute.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>An\u00e1lisis DNS profundo: registros A, MX, NS y TXT<\/strong><\/h2>\n\n\n\n<p>M\u00e1s all\u00e1 de la consulta b\u00e1sica, el an\u00e1lisis DNS incluy\u00f3 la inspecci\u00f3n de distintos tipos de registros para obtener una visi\u00f3n m\u00e1s completa de la infraestructura del dominio.<\/p>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>Registro tipo A<\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"576\" height=\"140\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/typea.webp\" alt=\"Registro tipo A mostrando la IP del servidor\" class=\"wp-image-86124\" style=\"width:436px;height:auto\" title=\"\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/typea.webp 576w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/typea-300x73.webp 300w\" sizes=\"auto, (max-width: 576px) 100vw, 576px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>Registro tipo MX<\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"584\" height=\"229\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipomx.webp\" alt=\"Consulta tipo MX mostrando informaci\u00f3n del servidor de correo de free.nf\" class=\"wp-image-86143\" style=\"width:434px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipomx.webp 584w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipomx-300x118.webp 300w\" sizes=\"auto, (max-width: 584px) 100vw, 584px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>Registro tipo NS<\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"591\" height=\"226\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipons.webp\" alt=\"Consulta tipo NS mostrando el servidor de nombres ns2.free.nf\" class=\"wp-image-86147\" style=\"width:434px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipons.webp 591w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipons-300x115.webp 300w\" sizes=\"auto, (max-width: 591px) 100vw, 591px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>Registro tipo TXT<\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"593\" height=\"228\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipotxt.webp\" alt=\"Consulta tipo TXT con resultados similares a la consulta NS\" class=\"wp-image-86151\" style=\"aspect-ratio:2.600985221674877;width:432px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipotxt.webp 593w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/tipotxt-300x115.webp 300w\" sizes=\"auto, (max-width: 593px) 100vw, 593px\" \/><\/figure>\n\n\n\n<p>Los resultados mostraron un patr\u00f3n coherente con la arquitectura del sitio:<\/p>\n\n\n\n<p>El <strong>registro tipo A<\/strong> confirm\u00f3 nuevamente la IP del servidor. Los <strong>registros MX, NS y TXT<\/strong> no mostraron configuraciones personalizadas, ya que el sitio est\u00e1 alojado bajo un subdominio de un servicio de hosting gratuito. La ausencia de registros MX es especialmente significativa: el dominio no est\u00e1 configurado para recibir correos electr\u00f3nicos directamente. El sitio utiliza WordPress para sus notificaciones, enviando mensajes a trav\u00e9s de servicios externos como Gmail mediante el <a href=\"https:\/\/niixer.com\/index.php\/2021\/09\/30\/que-es-smtp-en-wordpress\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2021\/09\/30\/que-es-smtp-en-wordpress\/\">protocolo SMTP<\/a>, lo que hace innecesaria la configuraci\u00f3n de registros MX propios.<\/p>\n\n\n\n<p>Este tipo de an\u00e1lisis demuestra que la ausencia de ciertos registros no siempre es una se\u00f1al de alarma: hay que entender el contexto del servicio para interpretar correctamente los resultados.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Consulta WHOIS: qui\u00e9n est\u00e1 detr\u00e1s del dominio<\/strong><\/h2>\n\n\n\n<p>La consulta WHOIS permite obtener informaci\u00f3n p\u00fablica sobre el registrante de un dominio. Para este caso, se utiliz\u00f3 la herramienta en l\u00ednea <strong>who.is<\/strong>, ya que el sistema operativo Windows no incluye el comando <code>whois<\/code> de forma nativa: <em><a href=\"https:\/\/who.is\/whois\/free.nf\" type=\"link\" id=\"https:\/\/who.is\/whois\/free.nf\">ver m\u00e1s aqu\u00ed<\/a><\/em><\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized has-custom-border\"><img loading=\"lazy\" decoding=\"async\" width=\"893\" height=\"800\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/whois.webp\" alt=\"Captura de la p\u00e1gina who.is mostrando la informaci\u00f3n WHOIS del dominio free.nf\" class=\"wp-image-86154\" style=\"border-width:3px;aspect-ratio:1.1162619910956075;width:528px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/whois.webp 893w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/whois-300x269.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/whois-768x688.webp 768w\" sizes=\"auto, (max-width: 893px) 100vw, 893px\" \/><\/figure>\n\n\n\n<p>La consulta arroj\u00f3 informaci\u00f3n correspondiente al dominio principal <strong>free.nf<\/strong>, dado que el sitio analizado es un subdominio y no un dominio propio. Los datos relevantes obtenidos fueron:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Registrador:<\/strong> Key-Systems GmbH<\/li>\n\n\n\n<li><strong>Fecha de creaci\u00f3n:<\/strong> 14 de junio de 2023<\/li>\n\n\n\n<li><strong>Fecha de expiraci\u00f3n:<\/strong> 14 de junio de 2026<\/li>\n\n\n\n<li><strong>\u00daltima actualizaci\u00f3n:<\/strong> 25 de noviembre de 2025<\/li>\n<\/ul>\n\n\n\n<p>No se encontr\u00f3 informaci\u00f3n directa sobre el propietario del subdominio, lo cual es habitual en servicios de <a href=\"https:\/\/niixer.com\/index.php\/2023\/05\/08\/conoce-todo-sobre-los-tipos-de-hosting\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2023\/05\/08\/conoce-todo-sobre-los-tipos-de-hosting\/\">hosting gratuito<\/a>, donde los datos del registrante suelen estar protegidos o no disponibles p\u00fablicamente. Esta es tambi\u00e9n una consideraci\u00f3n de privacidad relevante: el uso de subdominios gratuitos dificulta la atribuci\u00f3n directa a un propietario espec\u00edfico.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Certificados SSL\/TLS: garantizando la seguridad de las comunicaciones<\/strong><\/h2>\n\n\n\n<p>El an\u00e1lisis de certificados SSL\/TLS es fundamental para verificar que las comunicaciones entre el usuario y el servidor est\u00e1n cifradas y protegidas. Se utilizaron dos m\u00e9todos complementarios: la inspecci\u00f3n directa desde el navegador y la herramienta en l\u00ednea <strong>SSL Checker<\/strong>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>Certificado en navegador (ZeroSSL)<\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"558\" height=\"686\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslpag.webp\" alt=\"Visor de certificados del navegador mostrando los detalles del certificado emitido por ZeroSSL\" class=\"wp-image-86155\" style=\"width:371px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslpag.webp 558w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslpag-244x300.webp 244w\" sizes=\"auto, (max-width: 558px) 100vw, 558px\" \/><\/figure>\n\n\n\n<h4 class=\"wp-block-heading has-text-align-center\"><em>SSL Checker<\/em>: <em><a href=\"https:\/\/www.sslshopper.com\/ssl-checker.html#hostname=https:\/\/honda-motorshop.free.nf\/\" type=\"link\" id=\"https:\/\/www.sslshopper.com\/ssl-checker.html#hostname=https:\/\/honda-motorshop.free.nf\/\">ver m\u00e1s aqu\u00ed<\/a><\/em><\/h4>\n\n\n\n<figure class=\"wp-block-image size-full is-resized has-custom-border\"><img loading=\"lazy\" decoding=\"async\" width=\"756\" height=\"870\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslchecker.webp\" alt=\"Captura de SSL Checker mostrando el certificado v\u00e1lido, la cadena de certificaci\u00f3n y la fecha de expiraci\u00f3n\" class=\"wp-image-86156\" style=\"border-width:3px;aspect-ratio:0.8689825427614177;width:429px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslchecker.webp 756w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/sslchecker-261x300.webp 261w\" sizes=\"auto, (max-width: 756px) 100vw, 756px\" \/><\/figure>\n\n\n\n<p>Los hallazgos fueron positivos. El sitio cuenta con un <strong>certificado SSL v\u00e1lido emitido por ZeroSSL<\/strong>, lo que garantiza que las comunicaciones est\u00e1n cifradas mediante HTTPS (puerto 443). La cadena de certificaci\u00f3n est\u00e1 correctamente configurada e incluye las autoridades intermedias necesarias para ser reconocida como confiable por todos los navegadores principales.<\/p>\n\n\n\n<p>Un detalle t\u00e9cnico interesante: el certificado no est\u00e1 emitido exclusivamente para el subdominio <code>honda-motorshop.free.nf<\/code>, sino para el dominio principal <code>free.nf<\/code> incluyendo todos sus subdominios mediante la extensi\u00f3n <strong>SANs (Subject Alternative Names)<\/strong>. Esto es una pr\u00e1ctica com\u00fan en servicios de hosting gratuito, donde un \u00fanico certificado wildcard cubre m\u00faltiples sitios alojados bajo el mismo dominio. La fecha de expiraci\u00f3n identificada fue el 25 de junio de 2026, lo que indica que el certificado tiene vigencia activa al momento del an\u00e1lisis.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>OWASP Top 10: evaluando las vulnerabilidades m\u00e1s cr\u00edticas de la aplicaci\u00f3n web<\/strong><\/h2>\n\n\n\n<p>Con la informaci\u00f3n recopilada durante la fase de reconocimiento, el equipo procedi\u00f3 a analizar el sitio bajo el marco del <strong>OWASP Top 10 (2021)<\/strong>, el est\u00e1ndar de referencia mundial publicado por la Open Web Application Security Project que clasifica las diez categor\u00edas de vulnerabilidades m\u00e1s cr\u00edticas en aplicaciones web. A continuaci\u00f3n se presenta el an\u00e1lisis aplicado al sitio honda-motorshop.free.nf.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A01 \u2014 Control de Acceso Roto (Broken Access Control)<\/strong><\/h3>\n\n\n\n<p>Esta vulnerabilidad ocurre cuando los usuarios pueden acceder a recursos o funciones sin la debida autorizaci\u00f3n. Para evaluarla, se utiliz\u00f3 la herramienta de l\u00ednea de comandos (CMD) para ejecutar pruebas sobre rutas administrativas como <code>\/admin<\/code> y <code>\/wp-admin<\/code>.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"211\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a01-2-1024x211.webp\" alt=\"Comando ping ejecutado sobre honda-motorshop.free.nf mostrando 100% de p\u00e9rdida de paquetes con la IP resuelta 185.27.134.138\" class=\"wp-image-86522\" style=\"aspect-ratio:4.85332269008182;width:535px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a01-2-1024x211.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a01-2-300x62.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a01-2-768x158.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a01-2.webp 1362w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"550\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1-1024x550.webp\" alt=\"Resultado de la prueba de acceso a rutas administrativas del sitio\" class=\"wp-image-86523\" style=\"aspect-ratio:1.8618431646181095;width:538px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1-1024x550.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1-300x161.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1-768x413.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1-1536x825.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a012-1.webp 1601w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>El riesgo principal identificado en esta categor\u00eda es el posible acceso a informaci\u00f3n sensible o funciones restringidas. El an\u00e1lisis de resultados confirm\u00f3 que la ruta administrativa s\u00ed existe en el servidor, pero est\u00e1 protegida mediante autenticaci\u00f3n. No hay acceso directo sin credenciales. Se observaron adem\u00e1s los siguientes encabezados en la respuesta del servidor: <code>WWW-Authenticate<\/code>, <code>Cache-Control<\/code> y <code>Content-Length<\/code>, lo que confirma que el servidor solicita credenciales activamente antes de permitir cualquier tipo de acceso.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"942\" height=\"925\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a013.webp\" alt=\"Captura del terminal PowerShell mostrando el resultado de Invoke-WebRequest con c\u00f3digo HTTP 200 OK y encabezados de respuesta del servidor\" class=\"wp-image-86524\" style=\"aspect-ratio:1.0183828147900005;width:487px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a013.webp 942w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a013-300x295.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a013-768x754.webp 768w\" sizes=\"auto, (max-width: 942px) 100vw, 942px\" \/><\/figure>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada: <\/em>implementar control de roles granular, validaci\u00f3n estricta en el lado del servidor y mecanismos de autenticaci\u00f3n segura.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A02 \u2014 Fallas Criptogr\u00e1ficas (Cryptographic Failures)<\/strong><\/h3>\n\n\n\n<p>Las fallas criptogr\u00e1ficas ocurren cuando la informaci\u00f3n sensible no est\u00e1 correctamente protegida mediante cifrado, lo que permite su exposici\u00f3n o interceptaci\u00f3n por parte de atacantes. Para evaluar esta categor\u00eda, se verific\u00f3 el uso del protocolo HTTPS desde el navegador, se inspeccion\u00f3 el certificado <a href=\"https:\/\/niixer.com\/index.php\/2026\/02\/19\/certificado-ssl-la-base-de-la-confianza-y-la-seguridad\/\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/2026\/02\/19\/certificado-ssl-la-base-de-la-confianza-y-la-seguridad\/\">SSL\/TLS<\/a> y se confirm\u00f3 el estado del puerto 443 previamente identificado con la herramienta Nmap.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"790\" height=\"100\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a023.webp\" alt=\"Terminal mostrando que el sitio carga sin redirecci\u00f3n autom\u00e1tica a HTTPS al acceder por HTTP\" class=\"wp-image-86525\" style=\"aspect-ratio:7.901234567901234;width:403px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a023.webp 790w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a023-300x38.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a023-768x97.webp 768w\" sizes=\"auto, (max-width: 790px) 100vw, 790px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"299\" height=\"57\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a02-2.webp\" alt=\"Barra de direcci\u00f3n del navegador confirmando la carga del sitio en HTTPS con el icono de WordPress\" class=\"wp-image-86425\" style=\"width:350px;height:auto\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"547\" height=\"677\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a021-2.webp\" alt=\"Visor de certificados del navegador mostrando el certificado SSL emitido por ZeroSSL para free.nf con vigencia hasta junio de 2026\" class=\"wp-image-86426\" style=\"aspect-ratio:0.8079946702198534;width:380px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a021-2.webp 547w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a021-2-242x300.webp 242w\" sizes=\"auto, (max-width: 547px) 100vw, 547px\" \/><\/figure>\n\n\n\n<p>Para verificar el uso de cifrado en el sitio web, se realiz\u00f3 el acceso desde el navegador comprobando el protocolo HTTPS, la inspecci\u00f3n del certificado SSL\/TLS desde el candado del navegador y la validaci\u00f3n del puerto seguro 443 previamente identificado con Nmap.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"211\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a022-1-1024x211.webp\" alt=\"Resultado del escaneo Nmap con puertos 80, 443 y 2049 abiertos, ejecutado el 5 de mayo de 2026\" class=\"wp-image-86427\" style=\"aspect-ratio:4.85332269008182;width:563px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a022-1-1024x211.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a022-1-300x62.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a022-1-768x158.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a022-1.webp 1064w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>El an\u00e1lisis confirm\u00f3 que el sitio utiliza <strong>HTTPS (puerto 443)<\/strong> y que el certificado SSL es <strong>v\u00e1lido<\/strong>, emitido por <strong>ZeroSSL<\/strong>, con comunicaci\u00f3n cifrada entre el usuario y el servidor. Sin embargo, se identific\u00f3 que al acceder directamente por HTTP, el sitio carga sin redirigir autom\u00e1ticamente a HTTPS, lo que podr\u00eda permitir comunicaciones no cifradas si el usuario no escribe el protocolo seguro expl\u00edcitamente.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada: <\/em>configurar una redirecci\u00f3n forzosa de HTTP a HTTPS mediante el archivo <code>.htaccess<\/code> o la configuraci\u00f3n del servidor.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A03 \u2014 Inyecci\u00f3n (Injection)<\/strong><\/h3>\n\n\n\n<p>Las vulnerabilidades de inyecci\u00f3n ocurren cuando datos no confiables son enviados a un int\u00e9rprete como parte de comandos o consultas, lo que puede permitir la ejecuci\u00f3n de instrucciones no autorizadas. Para evaluar este riesgo, se identific\u00f3 un formulario de contacto en el sitio web y se realizaron pruebas de entrada utilizando caracteres especiales, como <code>' OR 1=1 --<\/code>, en los campos disponibles.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"885\" height=\"91\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a03-1.webp\" alt=\"Terminal mostrando la prueba de inyecci\u00f3n con caracteres especiales (' OR 1=1 --) en el campo Nombre\/Comentario, con resultado: campo acepta entrada sin validaci\u00f3n visible\" class=\"wp-image-86428\" style=\"aspect-ratio:9.726054789042191;width:478px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a03-1.webp 885w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a03-1-300x31.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a03-1-768x79.webp 768w\" sizes=\"auto, (max-width: 885px) 100vw, 885px\" \/><\/figure>\n\n\n\n<p>El an\u00e1lisis evidenci\u00f3 que el campo acepta la entrada sin aplicar validaciones visibles en el lado del cliente, lo que indica la ausencia de controles de sanitizaci\u00f3n en el frontend. Aunque no es posible confirmar el comportamiento del backend sin acceso directo al servidor, esta situaci\u00f3n representa un riesgo potencial de vulnerabilidades de inyecci\u00f3n, dependiendo de c\u00f3mo el servidor procese los datos recibidos.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> implementar validaci\u00f3n y sanitizaci\u00f3n de entradas tanto en el cliente como en el servidor, utilizar consultas parametrizadas para evitar inyecciones SQL y aplicar mecanismos de escape de caracteres en caso de renderizaci\u00f3n en interfaces web.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A04 \u2014 Dise\u00f1o Inseguro (Insecure Design)<\/strong><\/h3>\n\n\n\n<p>Esta categor\u00eda abarca los problemas de seguridad que tienen su origen en la propia arquitectura del sistema, antes incluso de que se escriba c\u00f3digo.<\/p>\n\n\n\n<p>El an\u00e1lisis de la arquitectura del sitio revel\u00f3 que est\u00e1 alojado en un <strong>hosting gratuito compartido bajo el subdominio free.nf<\/strong>, lo que indica una arquitectura b\u00e1sica con limitaciones de seguridad estructurales. Esta configuraci\u00f3n implica que muchas decisiones clave de seguridad dependen enteramente del proveedor de hosting y no est\u00e1n bajo el control directo del administrador del sitio. Adem\u00e1s, tal como evidenci\u00f3 la consulta WHOIS, la informaci\u00f3n del registrante no es p\u00fablica, lo que dificulta la trazabilidad y la gesti\u00f3n de incidentes.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized has-custom-border\" style=\"margin-top:0;margin-bottom:0\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a04-1-1024x683.webp\" alt=\"Diagrama de arquitectura del sitio Honda Motorshop\" class=\"wp-image-86432\" style=\"border-width:1px;aspect-ratio:1.499291042475803;width:538px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a04-1-1024x683.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a04-1-300x200.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a04-1-768x512.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a04-1.webp 1536w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>El diagrama de arquitectura del sitio revel\u00f3 un conjunto de caracter\u00edsticas preocupantes desde el punto de vista de la seguridad: el sitio est\u00e1 alojado en un <strong>hosting gratuito compartido (free.nf)<\/strong>, sin WAF (Web Application Firewall) visible, sin protecci\u00f3n DDoS activa, sin CDN y sin pol\u00edticas de seguridad avanzadas. Los recursos asignados son limitados en CPU, RAM y almacenamiento. Esta arquitectura implica que muchas decisiones de seguridad est\u00e1n fuera del control directo del administrador del sitio y dependen enteramente del proveedor de hosting.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> aplicar principios de dise\u00f1o seguro desde las etapas tempranas, realizar an\u00e1lisis de amenazas peri\u00f3dicos y considerar migrar a una infraestructura con mayor control sobre los par\u00e1metros de seguridad.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A05 \u2014 Mala Configuraci\u00f3n de Seguridad (Security Misconfiguration)<\/strong><\/h3>\n\n\n\n<p>Las configuraciones incorrectas en servidores o aplicaciones son una de las causas m\u00e1s comunes de brechas de seguridad. El escaneo con Nmap detect\u00f3 tres puertos abiertos y el an\u00e1lisis de encabezados HTTP revel\u00f3 ausencias cr\u00edticas.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"796\" height=\"118\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a05-1.webp\" alt=\"Tabla de puertos detectados por Nmap mostrando 80\/tcp (http), 443\/tcp (https) y 2049\/tcp (nfs) en estado abierto\" class=\"wp-image-86433\" style=\"aspect-ratio:6.746185852981969;width:398px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a05-1.webp 796w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a05-1-300x44.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a05-1-768x114.webp 768w\" sizes=\"auto, (max-width: 796px) 100vw, 796px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"632\" height=\"127\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a051.webp\" alt=\"Terminal mostrando los encabezados HTTP ausentes: X-Frame-Options, X-Content-Type-Options y Strict-Transport-Security\" class=\"wp-image-86434\" style=\"aspect-ratio:4.976402321083172;width:399px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a051.webp 632w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a051-300x60.webp 300w\" sizes=\"auto, (max-width: 632px) 100vw, 632px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a052-1024x683.webp\" alt=\"Interfaz gr\u00e1fica de Nmap mostrando el escaneo completo con puertos 21 (FTP filtrado), 22 (SSH filtrado), 80, 443 y 2049 abiertos, con el an\u00e1lisis de riesgos identificados y mitigaciones recomendadas\" class=\"wp-image-86435\" style=\"aspect-ratio:1.499291042475803;width:508px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a052-1024x683.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a052-300x200.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a052-768x512.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a052.webp 1536w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Adem\u00e1s de los puertos 80, 443 y 2049 ya identificados, el escaneo ampliado detect\u00f3 tambi\u00e9n el <strong>puerto 21 (FTP) filtrado<\/strong> y el <strong>puerto 22 (SSH) filtrado<\/strong>, lo que indica que estos servicios est\u00e1n presentes aunque no totalmente accesibles. El puerto 2049 (NFS) contin\u00faa siendo el m\u00e1s preocupante por su potencial para exponer el sistema de archivos a la red. Adicionalmente, se detect\u00f3 la ausencia de encabezados de seguridad HTTP esenciales: <code>X-Frame-Options<\/code>, <code>X-Content-Type-Options<\/code> y <code>Strict-Transport-Security<\/code>, lo que incrementa la exposici\u00f3n ante ataques de clickjacking e inyecci\u00f3n de contenido.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> cerrar o restringir los puertos no indispensables, implementar los encabezados de seguridad HTTP faltantes y configurar un firewall de aplicaciones web.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A06 \u2014 Componentes Vulnerables y Desactualizados (Vulnerable and Outdated Components)<\/strong><\/h3>\n\n\n\n<p>El uso de componentes desactualizados o con vulnerabilidades conocidas representa una de las principales v\u00edas de ataque en aplicaciones web, especialmente en sistemas basados en WordPress. Durante el an\u00e1lisis del c\u00f3digo fuente del sitio, se identificaron rutas visibles hacia archivos internos de plugins, como se observa en la carga de recursos desde:<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"512\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a061-1-1024x512.webp\" alt=\"Navegador mostrando el sitio Honda MotorShop con el panel de DevTools abierto, evidenciando la versi\u00f3n de WordPress en el c\u00f3digo fuente y los estilos de WooCommerce cargados\" class=\"wp-image-86470\" style=\"width:670px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a061-1-1024x512.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a061-1-300x150.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a061-1-768x384.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a061-1.webp 1365w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>En particular, se evidenci\u00f3 la referencia a archivos ubicados en el directorio <code>\/wp-content\/plugins\/woocommerce\/<\/code>, lo cual confirma el uso de este plugin dentro de la aplicaci\u00f3n. La exposici\u00f3n de estas rutas permite a un atacante identificar tecnolog\u00edas espec\u00edficas utilizadas en el sistema, facilitando la b\u00fasqueda de vulnerabilidades conocidas asociadas a dichos componentes.<\/p>\n\n\n\n<p>Aunque en esta fase no se confirm\u00f3 la versi\u00f3n exacta de los plugins instalados, la visibilidad de estos recursos indica una posible superficie de ataque si alguno de ellos se encuentra desactualizado o presenta fallas de seguridad documentadas.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada: <\/em>mantener actualizados todos los componentes del sistema, incluyendo WordPress, plugins y temas; eliminar aquellos que no se encuentren en uso; y minimizar la exposici\u00f3n de informaci\u00f3n sensible en el c\u00f3digo fuente mediante t\u00e9cnicas de hardening.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A07 \u2014 Fallos de Identificaci\u00f3n y Autenticaci\u00f3n (Identification and Authentication Failures)<\/strong><\/h3>\n\n\n\n<p>Esta categor\u00eda eval\u00faa las fallas en los mecanismos de identificaci\u00f3n y autenticaci\u00f3n de usuarios. En el sitio analizado se identific\u00f3 que el sistema permite intentos ilimitados de inicio de sesi\u00f3n sin CAPTCHA ni ning\u00fan tipo de verificaci\u00f3n adicional, lo que incrementa significativamente el riesgo de ataques de fuerza bruta.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"507\" height=\"661\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a07-1.webp\" alt=\"P\u00e1gina de login de WordPress del sitio Honda Motorshop mostrando los campos de usuario y contrase\u00f1a sin mecanismos de protecci\u00f3n visibles\" class=\"wp-image-86526\" style=\"width:324px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a07-1.webp 507w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a07-1-230x300.webp 230w\" sizes=\"auto, (max-width: 507px) 100vw, 507px\" \/><\/figure>\n\n\n\n<p>El an\u00e1lisis del panel de administraci\u00f3n revel\u00f3 las siguientes condiciones de riesgo concretas:<\/p>\n\n\n\n<p>El login <strong>no implementa ning\u00fan mecanismo de protecci\u00f3n<\/strong> ante intentos repetidos de acceso. Adicionalmente, se identificaron <strong>cuatro cuentas con rol de administrador<\/strong> registradas en el sistema, cuyos nombres de usuario son predecibles y gen\u00e9ricos: <code>ana_admin<\/code>, <code>gina_admin<\/code>, <code>nelson_admin<\/code> y <code>cpinzon19<\/code>. Si bien WordPress obliga al uso de contrase\u00f1as fuertes al momento de crear usuarios (lo que mitiga parcialmente el riesgo), no existe autenticaci\u00f3n multifactor ni plugins de seguridad activos que refuercen el proceso de acceso.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"437\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071-1024x437.webp\" alt=\"Panel de usuarios de WordPress mostrando las cuatro cuentas con perfil de Administrador: ana_admin, cpinzon19, gina_admin y nelson_admin\" class=\"wp-image-86527\" style=\"aspect-ratio:2.3433058727176372;width:746px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071-1024x437.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071-300x128.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071-768x328.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071-1536x656.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a071.webp 1737w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"894\" height=\"725\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a072.webp\" alt=\"Formulario de creaci\u00f3n de nuevo usuario en WordPress mostrando la generaci\u00f3n autom\u00e1tica de contrase\u00f1a fuerte\" class=\"wp-image-86528\" style=\"aspect-ratio:1.233109392825453;width:434px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a072.webp 894w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a072-300x243.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a072-768x623.webp 768w\" sizes=\"auto, (max-width: 894px) 100vw, 894px\" \/><\/figure>\n\n\n\n<p><em>Riesgos identificados: <\/em>acceso no autorizado mediante ataques de fuerza bruta, escalamiento de privilegios derivado de la existencia de m\u00faltiples cuentas con rol de administrador y compromiso de cuentas cr\u00edticas ante la ausencia de mecanismos de protecci\u00f3n adicionales.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> mantener la obligatoriedad de contrase\u00f1as fuertes (ya implementada), implementar autenticaci\u00f3n multifactor (MFA), configurar el bloqueo autom\u00e1tico de cuentas tras varios intentos fallidos, reducir el n\u00famero de cuentas con rol de administrador y asignar nombres de usuario menos predecibles. Cuando el contexto acad\u00e9mico o de producci\u00f3n lo permita, instalar plugins de seguridad que refuercen el proceso de login.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A08 \u2014 Fallos en la Integridad de Software y Datos (Software and Data Integrity Failures)<\/strong><\/h3>\n\n\n\n<p>Esta vulnerabilidad se presenta cuando el sistema depende de componentes externos (plugins, temas o servicios del hosting) cuya integridad no est\u00e1 verificada mediante firmas digitales ni controles de actualizaci\u00f3n seguros. En entornos gratuitos como free.nf, las actualizaciones y archivos pueden ser modificados sin mecanismos de validaci\u00f3n que lo detecten.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"497\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1-1024x497.webp\" alt=\"Panel de administraci\u00f3n de WordPress mostrando el estado de salud del sitio con 7 mejoras recomendadas, incluyendo plugins inactivos, temas inactivos, evento programado fallido y resultado inesperado en la API REST\" class=\"wp-image-86529\" style=\"aspect-ratio:2.0604058118354724;width:605px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1-1024x497.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1-300x146.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1-768x373.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1-1536x745.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a08-1.webp 1894w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>El an\u00e1lisis del panel de administraci\u00f3n evidenci\u00f3 que el sitio depende enteramente del proveedor de hosting gratuito para la gesti\u00f3n de actualizaciones y seguridad. Se observaron <strong>m\u00faltiples plugins activos con versiones desactualizadas<\/strong>, lo que representa un riesgo directo de p\u00e9rdida de integridad del software. El informe de &#8220;Salud del sitio&#8221; mostr\u00f3 adem\u00e1s un <strong>evento programado fallido<\/strong> y un <strong>resultado inesperado en la API REST<\/strong>, condiciones que pueden afectar la estabilidad del sistema y abrir vectores de ataque no previstos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"489\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081-1024x489.webp\" alt=\"Panel de salud del sitio WordPress mostrando las 7 mejoras recomendadas con sus categor\u00edas de seguridad y rendimiento\" class=\"wp-image-86530\" style=\"aspect-ratio:2.094114607999311;width:605px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081-1024x489.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081-300x143.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081-768x367.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081-1536x734.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a081.webp 1908w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"257\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082-1024x257.webp\" alt=\"Lista de plugins instalados mostrando WooCommerce (versi\u00f3n 10.6.2 con actualizaci\u00f3n disponible a 10.7.0) y WP Mail SMTP (versi\u00f3n 4.7.1 con actualizaci\u00f3n disponible a 4.8.0), ambos con actualizaciones pendientes\" class=\"wp-image-86531\" style=\"aspect-ratio:3.9845990005734415;width:606px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082-1024x257.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082-300x75.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082-768x193.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082-1536x386.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a082.webp 1724w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><em>Riesgos identificados: <\/em>manipulaci\u00f3n de software o datos por vulnerabilidades en plugins desactualizados, posible inserci\u00f3n de c\u00f3digo malicioso o corrupci\u00f3n de archivos del sistema ante la ausencia de mecanismos de firma digital y validaci\u00f3n de origen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"494\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083-1024x494.webp\" alt=\"Panel de actualizaciones de WordPress mostrando la versi\u00f3n actual 6.9.4 como la m\u00e1s reciente, con 6 plugins pendientes de actualizaci\u00f3n: Akismet Anti-spam, Everest Forms, Loco Translate, Page Builder by SiteOrigin, WooCommerce y WP Mail SMTP\" class=\"wp-image-86532\" style=\"width:607px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083-1024x494.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083-300x145.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083-768x370.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083-1536x740.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a083.webp 1911w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"484\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084-1024x484.webp\" alt=\"Detalle del panel de actualizaciones mostrando los 6 plugins con sus versiones actuales y las nuevas versiones disponibles compatibles con WordPress 6.8.4\" class=\"wp-image-86533\" style=\"width:609px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084-1024x484.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084-300x142.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084-768x363.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084-1536x726.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a084.webp 1916w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada: <\/em>validar la integridad de los archivos cr\u00edticos del sitio, usar \u00fanicamente plugins y temas del repositorio oficial de WordPress, activar las actualizaciones autom\u00e1ticas para todos los componentes, implementar copias de seguridad peri\u00f3dicas con verificaci\u00f3n de hashes, migrar a un hosting con soporte de WAF (Web Application Firewall) y validaci\u00f3n de integridad, y revisar peri\u00f3dicamente el panel de &#8220;Salud del sitio&#8221; para detectar anomal\u00edas de forma proactiva.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A09 \u2014 Fallos en el Registro y Monitoreo de Seguridad (Security Logging and Monitoring Failures)<\/strong><\/h3>\n\n\n\n<p>Las fallas en el registro y monitoreo de eventos cr\u00edticos impiden detectar ataques a tiempo y eliminan la trazabilidad necesaria para responder adecuadamente a incidentes. En el sitio analizado, el sistema no mantiene trazabilidad completa de las acciones programadas ni cuenta con alertas robustas configuradas.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"492\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1-1024x492.webp\" alt=\"Panel de estado de WooCommerce mostrando 137 acciones pendientes sin ejecutar y la migraci\u00f3n del programador de acciones en curso\" class=\"wp-image-86534\" style=\"aspect-ratio:2.079876849397075;width:598px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1-1024x492.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1-300x144.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1-768x369.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1-1536x739.webp 1536w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a09-1.webp 1901w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"539\" height=\"167\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a091.webp\" alt=\"Extracto del informe de estado del sistema mostrando el registro de logging habilitado con handler de WooCommerce, per\u00edodo de retenci\u00f3n de 30 d\u00edas y tama\u00f1o del directorio de logs de 41 KB\" class=\"wp-image-86535\" style=\"width:458px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a091.webp 539w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a091-300x93.webp 300w\" sizes=\"auto, (max-width: 539px) 100vw, 539px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"305\" height=\"98\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a092.webp\" alt=\"Extracto del estado del sistema mostrando Daily Cron sin programaci\u00f3n activa, Options habilitadas, 53 notas y onboarding completado\" class=\"wp-image-86536\" style=\"width:273px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a092.webp 305w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a092-300x96.webp 300w\" sizes=\"auto, (max-width: 305px) 100vw, 305px\" \/><\/figure>\n\n\n\n<p><em>Riesgos identificados: <\/em>incapacidad de detectar ataques o fallos en tiempo real, p\u00e9rdida de trazabilidad de eventos cr\u00edticos del sistema y mayor exposici\u00f3n a incidentes que pasan completamente desapercibidos.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> configurar cron jobs diarios para todas las tareas cr\u00edticas del sistema, ampliar la capacidad y el per\u00edodo de retenci\u00f3n del sistema de logging, revisar peri\u00f3dicamente los registros de WooCommerce y WordPress, y migrar a un hosting con capacidades de monitoreo en tiempo real y alertas autom\u00e1ticas ante actividades sospechosas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>A10 \u2014 Falsificaci\u00f3n de Solicitudes del Lado del Servidor (Server-Side Request Forgery &#8211; SSRF)<\/strong><\/h3>\n\n\n\n<p>El SSRF permite que un atacante manipule al servidor para que realice solicitudes HTTP hacia recursos internos o externos en su nombre, evadiendo los controles de acceso establecidos.<\/p>\n\n\n\n<p>Para evaluar esta vulnerabilidad se realiz\u00f3 una <strong>inspecci\u00f3n manual del sitio web<\/strong> utilizando el navegador, con el objetivo de identificar posibles puntos de entrada como formularios, campos de texto o funcionalidades que permitieran el env\u00edo de URLs desde el lado del usuario hacia el servidor.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"509\" src=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a10-1-1024x509.webp\" alt=\"M\u00f3dulo de PQR del sitio Honda MotorShop mostrando el formulario de contacto con campos de Nombre, Correo Electr\u00f3nico, Asunto, Mensaje y Autorizaci\u00f3n de Tratamiento de Datos, sin campo de URL visible\" class=\"wp-image-86537\" style=\"aspect-ratio:2.0118294246598007;width:605px;height:auto\" srcset=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a10-1-1024x509.webp 1024w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a10-1-300x149.webp 300w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a10-1-768x382.webp 768w, https:\/\/niixer.com\/wp-content\/uploads\/2026\/05\/a10-1.webp 1364w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Durante el an\u00e1lisis, <strong>no se evidenci\u00f3 la presencia de formularios o campos que permitan ingresar direcciones URL<\/strong>, ni funcionalidades que generen solicitudes externas desde el servidor de forma expl\u00edcita. El formulario de contacto disponible en el sitio \u00fanicamente solicita datos b\u00e1sicos como nombre, correo electr\u00f3nico, asunto y mensaje, sin ning\u00fan campo que acepte URLs ni redirecciones externas.<\/p>\n\n\n\n<p><em>Nivel de riesgo:<\/em> bajo en el contexto del an\u00e1lisis realizado, dado que no se identificaron vectores directos de SSRF en la interfaz p\u00fablica del sitio.<\/p>\n\n\n\n<p><em>Mitigaci\u00f3n recomendada:<\/em> aunque el riesgo actual es bajo, se recomienda como medida preventiva validar y sanitizar todas las entradas del usuario, restringir las solicitudes del servidor hacia direcciones internas como <code>localhost<\/code> y <code>127.0.0.1<\/code>, implementar listas blancas de URLs permitidas y configurar reglas de firewall que limiten las solicitudes salientes del servidor.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusiones: lo que el hacking \u00e9tico revela sobre la seguridad real<\/strong><\/h2>\n\n\n\n<p>El taller demostr\u00f3 con claridad que la fase de reconocimiento es enormemente informativa (y potencialmente peligrosa en manos equivocadas) sin necesidad de explotar ninguna vulnerabilidad de forma activa. Con herramientas b\u00e1sicas como ping, tracert, nslookup, Nmap y consultas DNS\/WHOIS, fue posible construir un mapa detallado de la infraestructura del sitio: su ubicaci\u00f3n geogr\u00e1fica en el Reino Unido, los servicios activos, el estado del certificado SSL y las posibles superficies de ataque.<\/p>\n\n\n\n<p>El an\u00e1lisis OWASP complement\u00f3 esta visi\u00f3n con hallazgos concretos. El sitio muestra una configuraci\u00f3n b\u00e1sica pero con varias \u00e1reas de mejora prioritaria: la ausencia de limitaci\u00f3n de intentos de login lo expone a ataques de fuerza bruta, los encabezados de seguridad HTTP faltantes incrementan la superficie de ataque, los plugins desactualizados representan vectores de explotaci\u00f3n conocidos y la falta de monitoreo activo impedir\u00eda detectar una intrusi\u00f3n a tiempo. Por otro lado, aspectos como el certificado SSL v\u00e1lido y la autenticaci\u00f3n requerida en el panel administrativo demuestran que existen controles b\u00e1sicos implementados.<\/p>\n\n\n\n<p>La conclusi\u00f3n m\u00e1s importante es la que trasciende este caso espec\u00edfico: <strong>ning\u00fan sistema es completamente seguro<\/strong>, pero la diferencia entre un sistema vulnerable y uno resistente est\u00e1 en la capacidad de identificar sus debilidades antes de que lo haga un atacante malintencionado. El hacking \u00e9tico, realizado siempre con autorizaci\u00f3n y dentro del marco legal, es la herramienta m\u00e1s poderosa disponible para lograrlo.<\/p>\n\n\n\n<figure class=\"wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio\"><div class=\"wp-block-embed__wrapper\">\n<iframe loading=\"lazy\" title=\"Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP\" width=\"800\" height=\"450\" src=\"https:\/\/www.youtube.com\/embed\/iX3TR69GYq8?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe>\n<\/div><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Cr\u00e9ditos:<\/h3>\n\n\n\n<p><strong>Autores:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Ana+Catalina+Parra+Arias\" type=\"link\" id=\"https:\/\/niixer.com\/?s=Ana+Catalina+Parra+Arias\">Ana Catalina Parra Arias<\/a> &#8211; <a href=\"https:\/\/niixer.com\/?s=Gina+Marcela+Acosta+Ruiz\" type=\"link\" id=\"https:\/\/niixer.com\/?s=Gina+Marcela+Acosta+Ruiz\">Gina Marcela Acosta Ruiz<\/a> &#8211; <a href=\"https:\/\/niixer.com\/?s=Nelson+Stiven+Otavo+Paredes\" type=\"link\" id=\"https:\/\/niixer.com\/index.php\/author\/nelson42\/\">Nelson Stiven Otavo Paredes<\/a><br><strong>Editor:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Carlos+Iv%C3%A1n+Pinz%C3%B3n+Romero\" type=\"link\" id=\"https:\/\/niixer.com\/?s=Carlos+Iv%C3%A1n+Pinz%C3%B3n+Romero\">Magister Ingeniero Carlos Iv\u00e1n Pinz\u00f3n Romero<\/a><br><strong>C\u00f3digo:<\/strong> <a href=\"https:\/\/niixer.com\/?s=UCHEG1-9\" type=\"link\" id=\"https:\/\/niixer.com\/?s=UCHEG1-9\">UCHEG1-9<\/a><br><strong>Universidad:<\/strong> <a href=\"https:\/\/niixer.com\/?s=Universidad+Central\" type=\"link\" id=\"https:\/\/niixer.com\/?s=Universidad+Central\">Universidad Central<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Fuentes:<\/h3>\n\n\n\n<pre class=\"wp-block-preformatted\">Chirou, A. (2023, 29 de diciembre). Gu\u00eda de hacking y pentesting - Cap\u00edtulo 2: Herramientas para pentesters. https:\/\/achirou.com\/guia-de-hacking-y-pentesting-capitulo-2-herramientas-para-pentesters\/<br>Chirou, A. (2024, 1 de enero). Gu\u00eda de hacking y pentesting - Cap\u00edtulo 3: Nmap reconocimiento y enumeraci\u00f3n. https:\/\/achirou.com\/guia-de-hacking-y-pentesting-capitulo-3-nmap-reconocimiento-y-enumeracion\/<br>Chirou, A. (2024, 22 de noviembre). Linux para hackers #18: Comandos de red. https:\/\/achirou.com\/linux-para-hackers-18-comandos-de-red\/<br>DC Seguridad. (s.f.). Pentesting paso a paso: m\u00e1quinas TryHackMe. DCSeguridad. https:\/\/dcseguridad.es\/tag\/pentesting\/<br>Instituto Nacional de Ciberseguridad (INCIBE-CERT). (2023). Estudio de herramientas para la actividad de reconocimiento. https:\/\/www.incibe.es\/sites\/default\/files\/2023-08\/INCIBE-CERT_ESTUDIO_DE_HERRAMIENTAS_DE_RECONOCIMIENTO_2023_v1.0.pdf<br>Paramissuperiores. (2025, 26 de noviembre). Nmap: Gu\u00eda completa 2025 \u2013 Tutorial de comandos, escaneo de puertos y hacking \u00e9tico. https:\/\/paramissuperiores.es\/2025\/11\/26\/nmap-tutorial-comandos-escaneo-puertos\/<br>Revista de Seguridad UNAM. (s.f.). Pruebas de penetraci\u00f3n para principiantes: 5 herramientas para empezar. Universidad Nacional Aut\u00f3noma de M\u00e9xico. https:\/\/revista.seguridad.unam.mx\/print\/2233<br>Viafirma. (2025, 10 de noviembre). Hacking \u00e9tico: identificaci\u00f3n de servicios con nmap. https:\/\/www.viafirma.com\/es\/identificacion-de-servicios-con-nmap\/<br>WeLiveSecurity. (s.f.). Herramientas de pentesting para principiantes. ESET. https:\/\/www.welivesecurity.com\/es\/recursos-herramientas\/herramientas-pentesting-para-principiantes\/<br>free.nf WHOIS Domain Name Lookup - Who.is. (2023). Who.Is. https:\/\/who.is\/whois\/free.nf<br>SSL Checker. (2026). Sslshopper.Com. https:\/\/www.sslshopper.com\/ssl-checker.html#hostname=https:\/\/honda-motorshop.free.nf\/<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Tema: Ciberseguridad | Tiempo de lectura estimado: 20 minutos \u00bfQu\u00e9 es el hacking \u00e9tico y por qu\u00e9 importa el reconocimiento de red? El hacking \u00e9tico es una disciplina que consiste en evaluar la seguridad de sistemas inform\u00e1ticos con autorizaci\u00f3n expl\u00edcita del propietario, con el objetivo de identificar vulnerabilidades antes deSeguir Leyendo<\/p>\n","protected":false},"author":2080,"featured_media":86175,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[4557],"tags":[2596,4559,4561,1222,772,1653,1511],"class_list":["post-86019","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hacking-etico","tag-ciberseguridad","tag-hacking-etico","tag-owasp-top-10","tag-pagina-web-2","tag-redes","tag-servidores","tag-ssl"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.5 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP<\/title>\n<meta name=\"description\" content=\"An\u00e1lisis de hacking \u00e9tico de un sitio web real para identificar riesgos de seguridad mediante t\u00e9cnicas de reconocimiento y OWASP Top 10.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP\" \/>\n<meta property=\"og:description\" content=\"An\u00e1lisis de hacking \u00e9tico de un sitio web real para identificar riesgos de seguridad mediante t\u00e9cnicas de reconocimiento y OWASP Top 10.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/\" \/>\n<meta property=\"og:site_name\" content=\"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/niixer\/\" \/>\n<meta property=\"article:published_time\" content=\"2026-05-05T21:35:35+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2026-05-05T22:39:20+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp\" \/>\n\t<meta property=\"og:image:width\" content=\"1280\" \/>\n\t<meta property=\"og:image:height\" content=\"720\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/webp\" \/>\n<meta name=\"author\" content=\"ana_admin\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"ana_admin\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"25 minutos\" \/>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP","description":"An\u00e1lisis de hacking \u00e9tico de un sitio web real para identificar riesgos de seguridad mediante t\u00e9cnicas de reconocimiento y OWASP Top 10.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/","og_locale":"es_ES","og_type":"article","og_title":"Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP","og_description":"An\u00e1lisis de hacking \u00e9tico de un sitio web real para identificar riesgos de seguridad mediante t\u00e9cnicas de reconocimiento y OWASP Top 10.","og_url":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/","og_site_name":"Portal de noticias de tecnolog\u00eda, Realidad Virtual, Aumentada y Mixta, Videojuegos","article_publisher":"https:\/\/www.facebook.com\/niixer\/","article_published_time":"2026-05-05T21:35:35+00:00","article_modified_time":"2026-05-05T22:39:20+00:00","og_image":[{"width":1280,"height":720,"url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","type":"image\/webp"}],"author":"ana_admin","twitter_card":"summary_large_image","twitter_misc":{"Escrito por":"ana_admin","Tiempo de lectura":"25 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#article","isPartOf":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/"},"author":{"name":"ana_admin","@id":"https:\/\/niixer.com\/#\/schema\/person\/a30af0a7a0f423798e822bd7e6e5387c"},"headline":"Hacking \u00e9tico en acci\u00f3n: reconocimiento de red, DNS, WHOIS y an\u00e1lisis OWASP paso a paso","datePublished":"2026-05-05T21:35:35+00:00","dateModified":"2026-05-05T22:39:20+00:00","mainEntityOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/"},"wordCount":4000,"publisher":{"@id":"https:\/\/niixer.com\/#organization"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","keywords":["ciberseguridad","Hacking \u00c9tico","OWASP Top 10","pagina web","redes","servidores","SSL"],"articleSection":["Hacking \u00c9tico"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/","url":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/","name":"Hacking \u00e9tico: DNS, WHOIS y an\u00e1lisis OWASP","isPartOf":{"@id":"https:\/\/niixer.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#primaryimage"},"image":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#primaryimage"},"thumbnailUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","datePublished":"2026-05-05T21:35:35+00:00","dateModified":"2026-05-05T22:39:20+00:00","description":"An\u00e1lisis de hacking \u00e9tico de un sitio web real para identificar riesgos de seguridad mediante t\u00e9cnicas de reconocimiento y OWASP Top 10.","breadcrumb":{"@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#primaryimage","url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","width":1280,"height":720,"caption":"Imagen pentesting creada con chatgpt"},{"@type":"BreadcrumbList","@id":"https:\/\/niixer.com\/index.php\/2026\/05\/05\/hacking-etico-en-accion-reconocimiento-de-red-dns-whois-y-analisis-owasp-paso-a-paso\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"https:\/\/niixer.com\/"},{"@type":"ListItem","position":2,"name":"Hacking \u00e9tico en acci\u00f3n: reconocimiento de red, DNS, WHOIS y an\u00e1lisis OWASP paso a paso"}]},{"@type":"WebSite","@id":"https:\/\/niixer.com\/#website","url":"https:\/\/niixer.com\/","name":"Portal de noticias de tecnolog\u00eda, ciencia, Android, iOS, Realidad Virtual, Aumentada y Mixta, Videojuegos, computadores, todo lo mas reciente en tecnolog\u00eda","description":"Portal de noticias de tecnolog\u00eda","publisher":{"@id":"https:\/\/niixer.com\/#organization"},"alternateName":"Niixer","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/niixer.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Organization","@id":"https:\/\/niixer.com\/#organization","name":"Niixer","alternateName":"Niixer.com","url":"https:\/\/niixer.com\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/","url":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","contentUrl":"https:\/\/niixer.com\/wp-content\/uploads\/2022\/08\/logo-niixer-sin-fondo-1.png","width":140,"height":140,"caption":"Niixer"},"image":{"@id":"https:\/\/niixer.com\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/niixer\/","https:\/\/www.instagram.com\/niixer.tecnologia\/"]},{"@type":"Person","@id":"https:\/\/niixer.com\/#\/schema\/person\/a30af0a7a0f423798e822bd7e6e5387c","name":"ana_admin","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/secure.gravatar.com\/avatar\/b8824a6a8309e305d1e1117d8b26cc6efa37f79cbe29db86676faf7c9b7138ec?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b8824a6a8309e305d1e1117d8b26cc6efa37f79cbe29db86676faf7c9b7138ec?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/b8824a6a8309e305d1e1117d8b26cc6efa37f79cbe29db86676faf7c9b7138ec?s=96&d=mm&r=g","caption":"ana_admin"},"url":"https:\/\/niixer.com\/index.php\/author\/ana_admin\/"}]}},"jetpack_featured_media_url":"https:\/\/niixer.com\/wp-content\/uploads\/2026\/04\/portada_11zon.webp","_links":{"self":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86019","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/users\/2080"}],"replies":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/comments?post=86019"}],"version-history":[{"count":24,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86019\/revisions"}],"predecessor-version":[{"id":86545,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/posts\/86019\/revisions\/86545"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media\/86175"}],"wp:attachment":[{"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/media?parent=86019"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/categories?post=86019"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/niixer.com\/index.php\/wp-json\/wp\/v2\/tags?post=86019"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}