Tema 8

8. Reconocimiento activo, descubrimiento de hosts y mapeo de superficie expuesta

El reconocimiento activo confirma qué sistemas existen, cómo responden y qué superficie técnica presentan. A diferencia del OSINT, interactúa con objetivos autorizados, por lo que debe ejecutarse con alcance claro, intensidad controlada y documentación precisa.

Objetivo Identificar hosts y exposición real dentro del alcance
Enfoque Activo, medido y autorizado
Resultado Construir un mapa técnico para enumeración posterior

8.1 Introducción

Después del reconocimiento pasivo, llega el momento de interactuar con los activos autorizados. El reconocimiento activo busca confirmar qué hosts están vivos, qué direcciones responden, qué nombres resuelven, qué rutas existen y qué superficie inicial está disponible.

Esta fase genera tráfico hacia el objetivo. Por eso debe ejecutarse con cuidado: respetar ventanas de prueba, limitar intensidad, registrar origen de las pruebas y coordinar con los responsables cuando corresponda.

El objetivo no es explotar vulnerabilidades todavía. El objetivo es construir un mapa confiable de activos y exposición para que la enumeración y el análisis posteriores sean más precisos.

8.2 Qué es el reconocimiento activo

El reconocimiento activo es la recopilación de información mediante interacción directa con sistemas dentro del alcance. Puede incluir consultas DNS, solicitudes HTTP, pings, conexiones TCP, sondas UDP, traceroute y otros métodos de descubrimiento.

Ejemplos de preguntas que intenta responder:

  • ¿Qué hosts están activos?
  • ¿Qué direcciones IP responden?
  • ¿Qué dominios o subdominios resuelven actualmente?
  • ¿Qué sistemas parecen estar detrás de firewalls, WAF, CDN o balanceadores?
  • ¿Qué servicios podrían estar expuestos para enumeración posterior?
  • ¿Qué activos descubiertos en OSINT siguen existiendo?
Reconocimiento activo no significa explotación. Es interacción controlada para confirmar existencia, alcance y superficie técnica.

8.3 Diferencia con OSINT

OSINT usa fuentes públicas. El reconocimiento activo toca directamente activos autorizados. Esta diferencia cambia el riesgo, la visibilidad y la necesidad de coordinación.

Aspecto OSINT Reconocimiento activo
Interacción Indirecta, mediante fuentes públicas Directa, contra activos autorizados
Visibilidad Baja para el objetivo Puede generar logs y alertas
Precisión Variable, puede estar desactualizada Más cercana al estado actual
Riesgo operativo Bajo Depende de intensidad y técnica
Requisito Marco ético y alcance de investigación Autorización explícita para interactuar

8.4 Preparación antes de interactuar

Antes de enviar tráfico al objetivo, hay que confirmar condiciones operativas. Esta preparación evita impactos innecesarios y facilita explicar cualquier alerta generada durante la prueba.

  • Confirmar rangos, dominios y activos autorizados.
  • Revisar exclusiones y técnicas prohibidas.
  • Definir intensidad inicial baja o moderada.
  • Identificar IPs de origen usadas por el equipo evaluador.
  • Registrar horario de inicio y fin de actividades.
  • Coordinar ventanas de prueba si hay sistemas sensibles.
  • Tener contactos de emergencia disponibles.

8.5 Control de intensidad

El reconocimiento activo puede ser liviano o agresivo. La intensidad depende de la cantidad de paquetes, frecuencia, paralelismo, profundidad de probes y cantidad de objetivos.

En una prueba profesional conviene empezar con baja intensidad y aumentar solo si el alcance y el entorno lo permiten.

Nivel Características Uso recomendado
Bajo Pocas solicitudes, tiempos amplios, sin paralelismo alto Primer contacto, sistemas sensibles, producción
Moderado Mayor cobertura con límites de velocidad razonables Ventanas autorizadas y servicios estables
Alto Escaneos rápidos, muchos objetivos o alto paralelismo Laboratorio o autorización explícita
Especial Pruebas que podrían afectar disponibilidad Solo con aprobación específica y plan de pausa

8.6 Descubrimiento de hosts

Descubrir hosts significa identificar qué direcciones o nombres están activos. No todos los sistemas responden igual: algunos bloquean ICMP, otros solo responden en ciertos puertos y otros están detrás de intermediarios.

Métodos habituales:

  • ICMP echo request, cuando está permitido.
  • ARP en redes locales.
  • Conexiones TCP a puertos comunes.
  • Sondas UDP a servicios específicos.
  • Resolución DNS directa e inversa.
  • Consultas HTTP o HTTPS a nombres autorizados.
Un host que no responde a ping no está necesariamente apagado. Puede estar filtrando ICMP y responder por otros protocolos.

8.7 Descubrimiento local con ARP

En una red local o de laboratorio, ARP permite descubrir equipos en el mismo segmento. Como ARP opera a nivel de enlace, suele ser más confiable que ICMP dentro de la misma red.

Este método es útil en laboratorios, redes internas autorizadas y segmentos donde la máquina evaluadora está conectada directamente. No funciona para descubrir hosts a través de routers o internet.

  • Identifica direcciones IP y MAC en el mismo segmento.
  • Permite detectar hosts que bloquean ping.
  • Puede revelar fabricantes por prefijo MAC.
  • Debe usarse solo en redes incluidas en el alcance.

8.8 Descubrimiento con ICMP

ICMP se usa para diagnóstico de red. En reconocimiento activo, puede ayudar a detectar hosts vivos y rutas, pero muchas organizaciones lo filtran parcial o totalmente.

Respuestas ICMP útiles:

  • Echo reply: indica que el host respondió a ping.
  • Destination unreachable: puede indicar filtrado, red inaccesible o puerto no disponible.
  • Time exceeded: útil para análisis de rutas.
  • Fragmentation needed: puede aparecer en problemas de MTU.

La ausencia de respuesta no debe interpretarse como prueba definitiva de que el host no existe.

8.9 Descubrimiento mediante TCP

Cuando ICMP está filtrado, las conexiones TCP a puertos comunes pueden confirmar actividad. Si un host responde en 80, 443, 22, 25, 445 u otro puerto, existe actividad aunque no responda a ping.

Respuesta Interpretación posible Cuidado
Conexión aceptada Puerto abierto y servicio escuchando Debe enumerarse con cuidado
Conexión rechazada Host activo, puerto cerrado El rechazo también confirma existencia
Timeout Filtrado, pérdida o host sin respuesta No concluyente por sí solo
Redirección HTTP Servicio web activo o detrás de proxy Registrar destino y cabeceras

8.10 Descubrimiento mediante UDP

UDP es más difícil de interpretar porque muchos servicios no responden si la solicitud no tiene el formato esperado. Además, firewalls pueden descartar paquetes silenciosamente.

Aun así, UDP es importante porque servicios como DNS, SNMP, NTP, DHCP, VoIP y algunos protocolos industriales pueden usarlo.

  • Una respuesta válida suele confirmar servicio activo.
  • Un mensaje ICMP de puerto inalcanzable puede indicar puerto cerrado.
  • La ausencia de respuesta puede significar filtrado, pérdida o servicio silencioso.
  • Los escaneos UDP deben ejecutarse con paciencia y límites claros.

8.11 DNS activo

El DNS activo confirma resolución actual de nombres, registros y relaciones. A diferencia de revisar fuentes históricas, aquí se consulta el estado presente de registros autorizados.

  • Resolver subdominios descubiertos en OSINT.
  • Consultar registros A, AAAA, CNAME, MX, NS y TXT.
  • Comparar resolución desde distintas ubicaciones si es relevante.
  • Revisar respuestas internas si se tiene acceso autorizado a una red interna.
  • Detectar dominios que apuntan a proveedores externos.

La enumeración DNS más intrusiva, como intentos de transferencia de zona o fuerza bruta de subdominios, debe respetar reglas de compromiso e intensidad acordada.

8.12 Traceroute y rutas de red

Traceroute y técnicas similares ayudan a observar caminos de red, saltos intermedios y posibles puntos de filtrado. No siempre muestran una ruta completa, porque muchos equipos bloquean o limitan respuestas.

Puede ser útil para:

  • Distinguir infraestructura interna de proveedores.
  • Observar saltos hacia una red remota.
  • Identificar firewalls o gateways intermedios.
  • Detectar rutas asimétricas o filtrado.
  • Documentar comportamiento de conectividad.

8.13 IPv4 e IPv6

Muchas pruebas se concentran en IPv4 y olvidan IPv6. Eso puede dejar fuera una superficie expuesta. Si el alcance incluye dominios o redes con IPv6, debe revisarse explícitamente.

  • Verificar registros AAAA en DNS.
  • Confirmar si servicios web responden por IPv6.
  • Revisar reglas de firewall equivalentes en IPv6.
  • Evitar asumir que la protección IPv4 aplica automáticamente a IPv6.
  • Documentar diferencias entre exposición IPv4 e IPv6.
IPv6 mal configurado puede exponer servicios que parecen protegidos cuando solo se mira IPv4.

8.14 Mapeo de superficie expuesta

Mapear superficie expuesta significa organizar qué activos están accesibles, desde dónde, por qué protocolos y con qué posibles roles. El resultado debe ser una vista accionable, no una lista desordenada.

Activo Exposición Observación Prioridad inicial
app.ejemplo.local HTTPS público Aplicación principal con login Alta
api.ejemplo.local HTTPS público API usada por aplicación móvil Alta
vpn.ejemplo.local Acceso remoto Portal de autenticación Alta
old.ejemplo.local HTTP público Posible sistema heredado Media

8.15 Identificación de intermediarios

Muchos activos no responden directamente desde su servidor final. Pueden estar detrás de CDN, WAF, proxies, balanceadores, gateways de API o servicios de protección DDoS.

Señales de intermediarios:

  • Cabeceras HTTP de CDN o proxy.
  • Direcciones IP pertenecientes a proveedores de protección.
  • Certificados compartidos o terminación TLS intermedia.
  • Respuestas uniformes para muchos subdominios.
  • Códigos de bloqueo o desafíos automatizados.
  • Diferencias entre DNS público y registros históricos.

Identificar intermediarios ayuda a interpretar resultados y a no asumir que se está hablando con el servidor de origen.

8.16 Priorización inicial de objetivos

No todos los activos descubiertos merecen la misma atención. La priorización inicial permite enfocar la enumeración posterior en lo que tiene más probabilidad de impacto.

  • Aplicaciones con autenticación o datos sensibles.
  • Servicios administrativos o de acceso remoto.
  • Entornos de desarrollo o staging expuestos.
  • APIs públicas o móviles.
  • Sistemas heredados o con señales de mantenimiento débil.
  • Servicios que exponen banners o tecnologías obsoletas.
  • Activos con relación directa al negocio crítico.

8.17 Registro de evidencias durante reconocimiento

Aunque esta fase no busca explotación, debe documentarse. La evidencia ayuda a justificar por qué se eligieron ciertos objetivos y permite reproducir el mapa de superficie.

  • Fecha y hora de consulta o prueba.
  • Activo consultado.
  • Método usado.
  • Respuesta observada.
  • IP o nombre resuelto.
  • Indicadores de intermediarios.
  • Clasificación: confirmado, filtrado, pendiente o fuera de alcance.

8.18 Manejo de falsos negativos

Un falso negativo ocurre cuando se concluye que un activo no existe o no está expuesto, pero en realidad sí lo está. En reconocimiento activo, esto puede pasar por filtrado, rate limiting, geobloqueo, reglas de firewall, horarios, DNS dividido o servicios que solo responden con ciertas cabeceras.

Para reducir falsos negativos:

  • Usar más de un método de descubrimiento.
  • Comparar resultados desde distintas redes si está autorizado.
  • Reintentar con tiempos razonables ante timeouts.
  • Correlacionar con OSINT y DNS.
  • Distinguir "sin respuesta" de "cerrado" o "filtrado".
  • Documentar limitaciones en el reporte.

8.19 Manejo de falsos positivos

Un falso positivo ocurre cuando se interpreta como activo relevante algo que no lo es. Puede ser una página genérica del proveedor, un dominio aparcado, una IP compartida, una respuesta de CDN o un sistema fuera del alcance.

  • Verificar propiedad o relación con el cliente.
  • Revisar si el nombre apunta a un tercero.
  • Comparar respuesta con otros subdominios.
  • No asumir criticidad por un puerto abierto sin contexto.
  • Registrar activos dudosos como pendientes, no como confirmados.
El mapa de superficie debe distinguir entre activos confirmados, hipótesis y elementos descartados. Mezclarlos genera ruido en las fases siguientes.

8.20 Descubrimiento en redes internas

En redes internas autorizadas, el reconocimiento activo puede revelar estaciones, servidores, impresoras, controladores de dominio, dispositivos de red, cámaras, sistemas industriales o servicios administrativos.

Cuidados especiales:

  • Usar intensidad baja al inicio.
  • Evitar técnicas agresivas sobre dispositivos frágiles.
  • Identificar segmentos sensibles antes de escanear.
  • Coordinar con redes y operaciones si se desconoce criticidad.
  • Separar servidores, estaciones, infraestructura y dispositivos especiales.
  • Documentar cualquier comportamiento inusual.

8.21 Descubrimiento en superficie externa

En superficie externa se revisan activos accesibles desde internet. Suele incluir dominios, subdominios, aplicaciones web, APIs, VPN, correo, DNS, portales de acceso y servicios publicados.

Aspectos prioritarios:

  • Servicios administrativos expuestos.
  • Aplicaciones con autenticación.
  • Subdominios antiguos o de prueba.
  • Servicios que no deberían estar publicados.
  • Diferencias entre dominios principales y secundarios.
  • Activos sin TLS correcto o con configuraciones débiles.

8.22 Matriz de mapeo inicial

Una matriz simple permite pasar de datos técnicos a decisiones de enumeración.

Categoría Ejemplos Siguiente paso
Host activo con web HTTP/HTTPS responde Enumerar tecnologías, rutas, cabeceras y autenticación
Host activo sin puertos comunes ICMP o TCP cerrado confirma vida Revisar filtrado, puertos no estándar o alcance
Subdominio sin resolución Registro histórico o certificado antiguo Marcar como histórico o pendiente
Servicio remoto VPN, RDP, SSH, portal SSO Enumerar versión, política de acceso y MFA sin fuerza bruta
Proveedor externo CDN, SaaS, hosting compartido Confirmar límites antes de cualquier prueba adicional

8.23 Errores frecuentes

  • Escanear activos descubiertos en OSINT sin validar alcance.
  • Usar intensidad alta desde el primer minuto.
  • Concluir que un host no existe solo porque no responde a ping.
  • Ignorar UDP o IPv6.
  • No diferenciar servidores finales de CDN, WAF o proxies.
  • Mezclar activos confirmados con datos históricos.
  • No documentar horarios, origen y métodos usados.
  • Tratar reconocimiento activo como explotación temprana.

8.24 Flujo práctico de reconocimiento activo

Un flujo ordenado para esta fase puede ser:

  1. Confirmar alcance técnico y reglas de compromiso.
  2. Preparar lista inicial de dominios, IPs y subdominios obtenidos por OSINT.
  3. Resolver DNS actual y descartar datos claramente históricos.
  4. Detectar hosts vivos con métodos de baja intensidad.
  5. Combinar ICMP, ARP, TCP, UDP y DNS según el entorno.
  6. Registrar respuestas, timeouts, filtrado e intermediarios.
  7. Clasificar activos por exposición y criticidad aparente.
  8. Construir matriz de superficie expuesta.
  9. Preparar objetivos para escaneo de puertos y enumeración detallada.

8.25 Qué debes recordar de este tema

  • El reconocimiento activo interactúa con sistemas autorizados y puede generar logs.
  • Debe ejecutarse con alcance confirmado, intensidad controlada y documentación.
  • El descubrimiento de hosts requiere varios métodos porque una sola técnica puede engañar.
  • ICMP, ARP, TCP, UDP, DNS e IPv6 aportan señales distintas.
  • El mapa de superficie debe clasificar activos confirmados, probables y descartados.
  • La prioridad inicial se define por exposición, criticidad y relación con el negocio.

8.26 Conclusión

El reconocimiento activo transforma la información pública y el alcance acordado en un mapa técnico verificable. Permite saber qué existe, cómo responde y qué merece enumeración más profunda.

En el próximo tema profundizaremos en escaneo de puertos, detección de servicios y fingerprinting, donde pasaremos de descubrir hosts a entender con mayor precisión qué servicios ofrece cada sistema.

Volver al índice