Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Exploración de puertos

Los escaneos de puertos son una parte esencial del mantenimiento de la red, pero pueden ser utilizados por los atacantes para encontrar puertas abiertas. Esto es lo que necesitas saber para detectar y detener los escaneos de puertos.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es un escaneado de puertos?

Un escáner de puertos es una técnica que utilizan los atacantes para identificar vulnerabilidades en su red. Aunque los escáneres de puertos tienen aplicaciones valiosas para la seguridad de la red -para revelar puertos abiertos, vulnerabilidades o dispositivos innecesarios conectados a la red-, los actores maliciosos pueden utilizarlos para encontrar puntos débiles por los que entrar. Los atacantes también pueden utilizarlos para ver si está ejecutando cortafuegos, VPN, servidores proxy y otros dispositivos de seguridad.

Cómo funciona

Cómo funciona la técnica de escaneo de puertos

Los escáneres de puertos funcionan enviando paquetes a una serie de puertos de red y analizando las respuestas para determinar qué puertos están abiertos, cerrados o filtrados. Estos puertos corresponden a diferentes servicios (como HTTP, FTP o SSH) que los atacantes podrían explotar si no están protegidos adecuadamente.

Proceso de escaneado de puertos
Por qué lo utilizan los atacantes

Por qué los atacantes utilizan técnicas de escaneado de puertos

Los atacantes suelen utilizar escaneos de puertos en la fase de reconocimiento para identificar servicios vulnerables o sistemas mal configurados. Por ejemplo, buscar puertos abiertos como el 22 (SSH) o el 3389 (RDP) puede revelar servicios de gestión a los que se puede acceder de forma remota y que podrían convertirse en objetivos de explotación.

Una vez que un atacante sabe qué puertos están abiertos, puede centrarse en encontrar vulnerabilidades en los servicios que se ejecutan en esos puertos. Por ejemplo, si las herramientas de exploración revelan que un servidor web se ejecuta en el puerto 80, los atacantes podrían sondearlo en busca de errores de configuración, software sin parches o credenciales débiles.

Tipos de ataques de escaneo de puertos

Los atacantes utilizan varios tipos de técnicas de escaneo de puertos, dependiendo del nivel de sigilo requerido:

  • Escaneo de conexión TCP: Este escaneo intenta completar un handshake completo de tres vías para determinar si un puerto está abierto. Es el ataque de escaneo de puertos más fácil de detectar, ya que deja registros en los registros de conexión del sistema. Esta técnica se utiliza cuando el escaneo SYNC no es una opción.
  • Escaneos SYN: El escaneo SYN, o escaneo semiabierto, es más sigiloso que un escaneo de conexión TCP. La herramienta de escaneo de puertos envía un paquete para iniciar la conexión pero no completa el apretón de manos, reduciendo así las posibilidades de detección. Este método revela los puertos abiertos sin establecer una conexión TCP completa ni señalar alarmas.
  • FIN, Xmas y NULL Scans: Son técnicas utilizadas para evadir cortafuegos o sistemas de detección de intrusos (IDS). Consisten en enviar paquetes con combinaciones inusuales de banderas para sondear un puerto específico. Dependiendo del sistema operativo, un puerto abierto o cerrado puede reaccionar de forma diferente, permitiendo a los atacantes mapear sutilmente la red.
  • Escaneo UDP: Dado que el protocolo UDP (User Datagram Protocol) no tiene conexión, el escaneo consiste en enviar un paquete UDP a un puerto y analizar la respuesta o la falta de ella. Este tipo de escaneo es más lento y difícil de realizar que los escaneos TCP porque las respuestas UDP son menos predecibles, y muchos servicios no responden a menos que una solicitud esté correctamente formada.
  • Escaneos de rebote FTP: Esta táctica utiliza un servidor FTP para rebotar un paquete y ocultar la ubicación del remitente, lo que permite al atacante pasar desapercibido.
  • Escaneos ping: En este tipo, los atacantes utilizan un ping para probar la facilidad con la que un paquete de datos de red puede llegar a una dirección IP.

He aquí una tabla que resume las distintas técnicas de escaneo de puertos y su nivel de ocultación:

Técnica de escaneado Propósito Nivel de sigilo
Exploración de conexión TCP Intenta establecer una conexión TCP completa con el puerto de destino para comprobar si está abierto. Bajo (fácilmente detectable)
Escaneo TCP SYN (escaneo semiabierto) Envía paquetes SYN para determinar los puertos abiertos sin completar el handshake TCP. Media (menos detectable)
Escaneado UDP Envía paquetes UDP para encontrar puertos UDP abiertos en el sistema de destino. Bajo (puede ser poco fiable y detectable)
FIN, Navidad y escaneos nulos Envía paquetes con combinaciones inusuales de banderas para eludir cortafuegos y detectar puertos abiertos. Alto (sigiloso)
Ping Sweep Envía peticiones ICMP Echo para descubrir hosts activos en una red. Bajo (fácilmente detectable)
Escaneado de versiones Sondea servicios para determinar versiones de software e identificar vulnerabilidades. Bajo a medio
Escaneo en reposo Utiliza un host "zombi" para realizar escaneos, ocultando la dirección IP del atacante. Muy alto (extremadamente sigiloso)

Por qué la exploración de puertos atrae a los atacantes

  • No invasivo y sigiloso: Algunas técnicas de escaneo están diseñadas para evitar ser detectadas por cortafuegos e IDS.
  • Baja barrera de entrada: Existen numerosas herramientas y scripts gratuitos, por lo que el escaneo de puertos está al alcance de atacantes con distintos niveles de habilidad.
  • Esencial para planificar ataques: Proporciona información crítica necesaria para elaborar estrategias de ataque eficaces.
  • Anonimato: Técnicas como la exploración inactiva ayudan a los atacantes a permanecer en el anonimato.
Detección de plataformas

Cómo detectar escaneos de puertos

Una forma de que los equipos de ciberseguridad prevengan los ataques de escaneado de puertos es realizar ellos mismos escaneados de puertos con regularidad. Esto ayuda a identificar posibles sistemas objetivo que estén actualmente expuestos, lo que permite cerrar puertos innecesarios y parchear vulnerabilidades. Un cortafuegos potente también es esencial para impedir el acceso no autorizado.

Sin embargo, es importante no detenerse ahí. Aunque reducir su exposición es fundamental, necesita una forma de detectar cuándo están siendo atacados los servicios internos. Por ejemplo, la detección de escaneo de puertos sospechosos de Vectra AIestá diseñada específicamente para alertar a los defensores cuando un atacante está intentando activamente conexiones de puerto en una o más direcciones IP.

Detección
Escaneo de puertos sospechosos
Más información
Detección
Barrido de puertos de salida
Más información
Detección
Barrido de puertos sospechosos
Más información
Detección
Exploración de cuentas SMB
Más información
Detección
Exploración interna de la Darknet
Más información
Detección
Escaneo de cuentas Kerberos
Más información
Explorar todas las detecciones

Proteja su red con detecciones avanzadas

Vectra AI utiliza potentes detecciones basadas en IA, incluidas las de exploración de puertos, para supervisar continuamente el tráfico de red e identificar los ataques en una fase temprana de su progresión. En conjunto, estas detecciones cubren el 90% de las técnicas relevantes de MITRE ATT&CK .

Explorar la plataforma
Más información

Preguntas frecuentes