Guías y análisis de ciberseguridad — desde principiantes hasta expertos.
Alertas y nuevo contenido — directo en tu inbox.
En este primer capítulo documentamos el proceso completo para resolver la máquina Meow del Starting Point de HackTheBox.
sudo openvpn archivo.openvpn
nmap -sV <ip> # detectar servicios nmap -A <ip> # escaneo completo nmap -Pn <ip> # sin ICMP
El puerto 23 corre Telnet. El usuario root no tiene contraseña.
telnet -l root <ip> ls cat flag.txt
¡Máquina comprometida! 🎉
ping <ip> # verificar nmap -sV <ip> # escanear telnet -l root <ip> # acceso cat flag.txt # leer el flag
Capítulo 2: Fawn — FTP y credenciales por defecto.
Cuando guardás una contraseña en Chrome, esta no queda en la nube directamente. Se almacena localmente en tu computadora, dentro de archivos del sistema.
En sistemas Windows, Chrome guarda las credenciales en:
C:\Users\[usuario]\AppData\Local\Google\Chrome\User Data\Default\Login Data
Este archivo contiene TODAS las contraseñas almacenadas. Si bien están cifradas, el cifrado depende del sistema operativo (Windows DPAPI), lo que significa que cualquier proceso que se ejecute bajo la misma sesión puede intentar descifrarlas.
No necesitás ser un experto para entender el riesgo: si algo se ejecuta en tu computadora con tus permisos de sesión, puede leer tus contraseñas de Chrome sin que lo notes.
No hace falta un hacker súper avanzado. En la práctica, esto suele pasar mediante técnicas bastante comunes:
Una vez dentro del sistema, este tipo de amenazas puede:
RIESGO CRÍTICO: Si un atacante logra ejecutar código en tu computadora, ya tiene medio camino hecho. En minutos puede tener acceso a todas tus cuentas: banco, email, redes sociales.
Los gestores de contraseñas dedicados existen para resolver exactamente este problema. A diferencia de Chrome, están diseñados desde cero con la seguridad como objetivo principal, no como función secundaria.
Su diferencia clave es la CLAVE MAESTRA: una contraseña que solo vos conocés, que nunca se guarda en ningún servidor y que es el único acceso a tus datos. Sin ella, la información es ilegible incluso para el proveedor del servicio.
| Característica | Google Chrome | Gestor dedicado |
|---|---|---|
| Cifrado | Depende del SO | Clave maestra propia |
| Resistencia malware | Vulnerable | Alta |
| Acceso sin pass | Posible desde la sesión | Imposible sin clave |
| Diseñado p/ seguridad | No (es un navegador) | Sí, es su único propósito |
| Multiplataforma | Muy fácil | Excelente |
| Costo | Gratuito | Gratis o pago s/ opción |
Hacer el cambio es más sencillo de lo que parece. Chrome permite exportar todas tus contraseñas en un archivo CSV desde su configuración, y todos los gestores mencionados aceptan ese formato de importación directamente.
Chrome → Configuración → Contraseñas → Exportar contraseñas → archivo .csv → Importar en Bitwarden / 1Password / KeePass
CONSEJO CRÍTICO: Una vez que importes tus contraseñas al gestor dedicado, eliminá el archivo CSV de tu computadora y desactivá el guardado de contraseñas en Chrome. Ese archivo en texto plano es una vulnerabilidad si queda en tu sistema.
Guardar contraseñas en Chrome es cómodo, pero no es la opción más segura. El navegador no fue diseñado para proteger credenciales: fue diseñado para navegar. Si tu información digital tiene valor para vos, el cambio a un gestor dedicado vale el pequeño esfuerzo que requiere.
Usá cada herramienta para lo que fue creada.
Llaman diciéndose de tu operadora y piden el código SMS. En 60 segundos toman tu cuenta.
Combina SIM Swapping con ingeniería social pura.
Buscan tu nombre y número en redes sociales.
"Detectamos actividad sospechosa. Confirme el código." Vos lo das. Él toma el control.
Ajustes → Cuenta → Verificación en dos pasos → PIN de 6 dígitos
Todo lo que Google indexa.
Emails, homebanking, Netflix. La usás a diario sin saberlo.
Requiere Tor Browser. No es sinónimo de crimen.
Es una herramienta. Lo que hagás define si es legal.