Metasploit es una herramienta muy potente que puede ser utilizada tanto por ciberdelincuentes como por hackers éticos para descubrir vulnerabilidades sistemáticas en redes y servidores. Como otra forma de cazar amenazas, una vez identificados y documentados los fallos, la información puede utilizarse para abordar debilidades sistémicas y priorizar las soluciones.
En general, Metasploit es una herramienta valiosa para los profesionales que necesitan probar la seguridad de los sistemas informáticos. Sin embargo, es importante destacar que el uso de Metasploit para fines malintencionados es ilegal y puede tener consecuencias graves.
¿Qué es Metasploit?
«Metasploit es un proyecto open source de seguridad informática que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y en el desarrollo de firmas para sistemas de detección de intrusos», según la definición ofrecida en el portal de la Universidad Complutense de Madrid.
Su subproyecto más conocido es el Metasploit Framework, una herramienta GNU escrita en perl y con utilización de diversos lenguajes de programación como C, Python o ASM para el desarrollo, testeo, mejora y penetración a diversos sistemas, entre ellos Windows», como aclara la UCM.
Metasploit fue creado por HD Moore en 2003 como un proyecto de código abierto y ahora es propiedad de la empresa Rapid7. El manual oficial de Metasploit (en inglés) proporciona las pautas básicas de uso, aunque existen diferentes documentos de instrucción realizados por usuarios, como la de NS2 o de Dragonjar (en español).
Se utiliza principalmente para probar vulnerabilidades en sistemas informáticos y para desarrollar exploits o mejor dicho – citando la definición de Josep Albors, Head of Awareness and Research de Ontinet – «programas o códigos que se aprovechan de una vulnerabilidad o fallo de seguridad en una aplicación o sistema».
Con Metasploit el equipo de pen testing puede utilizar código ya preparado o personalizado e introducirlo en una red para sondear puntos débiles. Al tratarse de un framework de código abierto, puede personalizarse fácilmente y utilizarse con la mayoría de los sistemas operativos.
La herramienta viene con una gran cantidad de módulos y exploits preconstruidos que se pueden utilizar para atacar sistemas específicos. También cuenta con una amplia comunidad de desarrolladores que contribuyen al proyecto y desarrollan nuevos recursos.
El uso malintencionado de Metasploit
«El uso indebido de herramientas de seguridad ofensiva, es decir, software destinado a ser usado por los equipos de seguridad de la información para simular ataques activos, es algo normal en muchas campañas de ransomware«, según aclara el Informe de Sophos sobre amenazas 2023 (p. 21). En efecto, las copias piratas de herramientas de seguridad ofensiva comerciales se han convertido en un «componente estándar de ataques más complejos y profesionales».
Un ejemplo de uso delictivo ha sido proporcionado en 2022 por el grupo de ciberdelincuentes OPERA1ER, que utilizaba malware básico y herramientas de código abierto, junto con marcos como Cobalt Strike y Metasploit. En al menos dos incidentes en bancos diferentes, los atacantes desplegaron Metasploit dentro de infraestructuras comprometidas y utilizaron un servidor de actualización de antivirus como punto de pivote.
Los hallazgos forenses digitales indican que OPERA1ER recopiló credenciales de tres cuentas con diferentes niveles de acceso para realizar operaciones fraudulentas. El grupo comenzó sus ataques con correos electrónicos de phishing dirigidos a un equipo específico dentro de una organización, con envío de falsas notificaciones de las oficinas fiscales del gobierno o ofertas de contratación. Bajo la apariencia de archivos adjuntos legítimos, OPERA1ER distribuía así troyanos de acceso remoto, así como sniffers y dumpers de contraseñas.
