Google Hacking, supone un riesgo en nuestra empresa

17 septiembre, 2021

Sin duda, las practicas de Google Hacking suponen un gran riesgo para nuestras empresas, te imaginas que tu empresa es hackeada a través de un simple buscador. La aparente e inofensiva barra de búsqueda de google, puede ser la puerta a importante información y archivos de exclusivo interno o altamente sensibles.

¿Qué es Google Hacking?

También es conocido como Google Dorking, técnica de hacking o dork, que mediante el uso de la búsqueda avanzada y por comandos de google nos revela agujeros de seguridad en la configuración de un sitio web. Estas técnicas se utilizan con diferentes objetivos:

-Mejora de los resultados de búsqueda respecto a la competencia

-Mostrar imágenes vulnerables no publicadas

-Acceder a cámaras de seguridad sin permisos

-Lectura de documentos compartidos sin las protecciones adecuadas

Todo comenzó con Johnny Long alrededor de 2002, se dedico a recopilar algunas búsquedas avanzadas en google, gracias a las que se ponía de manifiesto información sensible y vulnerabilidades. Cada una de esas agrupaciones de búsquedas, las nombraba como Google Dorks, todas esas búsquedas se convirtieron en una gran base de datos de Google Hacking.

Para protegeros de estás vulnerabilidades os recomendamos nuestras formaciones certificadas en seguridad por EC-Council

Algunos ejemplos de Google Dorks

Con la idea de prevenir y proteger vuestras empresas os ponemos algunos ejemplos básicos de aquellas búsquedas que os podrían resultar una grave amenaza en vuestra organización.

Lo primero para ejecutar estas búsquedas, es saber que se realizan gracias a los comandos básicos y avanzados que el propio motor pone a nuestra disposición.

Comandos avanzados de búsqueda google

” ” (comillas): buscar frase exacta.
and y not: operadores lógicos y o no.
+ y : incluir y excluir. Por ejemplo, yaguareté-coches: busca la palabra yaguareté, pero omite las webs con la palabra coches.
* (asterisco): comodín, cualquier palabra, pero una sola palabra.
. (punto): comodín, cualquier palabra, una o muchas.
intitle o allintitle: la expresión buscada está en el título.
inurl o allinurl: la expresión buscada está en la URL.
site: solo busca resultados dentro de la web que va detrás de site.
filetype: solo busca archivos de un tipo (doc, xls, txt…).
link: solo busca en páginas que tienen un link a una determinada web.
inanchor: solo busca en páginas que tienen en el texto de enlace la expresión buscada.
cache: muestra el resultado en la caché de Google de una página web.
related: busca webs relacionadas con una determinada.

Ampliar listado de comandos de búsqueda de google

Los comandos que os mostramos, parecen a simple vista inofensivos, pero combinándolos de la forma adecuada os podemos asegurar que pueden poner en graves aprietos a pequeñas y grandes organizaciones.

En nuestros cursos enseñamos a nuestros alumnos técnicas de hacking ético, para ayudar a las empresas a protegerse de los Black hat con el objetivo de apropiarse de información sensible.

Aquí podéis ver algunos ejemplos no completos, que podrían daros una ligera pista de lo vulnerables que son nuestras empresas y que debemos seguir formándonos para mejorar nuestra seguridad y aprender técnicas de hacking ético

  • ext:pwd inurl:(service | authors | administra: Este comando nos ayuda a buscar información acerca de las claves d elos usuario y los administradores del sitio. Al ejecutarlo es posible visualizar toda la información.
  • intitle:”index of” “Index of passw: Buscando en servidores un archivo de contraseñas, muchas empresas dejan este tipo de archivos en sus ftp.
  • filetype:inc intext:mysql_connect pas: Este otro comando nos ayuda a recopilar información de usuarios y contraseñas de bases de datos MySQL.
  • filetype:sql “# dumping data for tabl: Descargar bases de datos completas con las tablas de usuarios y contraseñas incluidas.

Los comandos mencionados no están completos como os adelantábamos, porque se les ha realizado alguna modificación a propósito, para que no puedan ejecutarse y utilizar estas técnicas de Google Hacking, sobre entornos no seguros o sin supervisar por instructores certificados para la enseñanza de Ciberseguridad.

¿Quieres saber más? ¿Aprender más acerca de Google hacking y otras técnicas? Te recomendamos que te apuntes en nuestro curso de hacking ético y ciberseguridad certificados por EC-COUNCIL

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *