Explotación
Este es el módulo que todos imaginan cuando piensan en "hackear": el momento de usar una vulnerabilidad de verdad para entrar. Pero llegando con todo lo anterior ya hecho, no es magia — es la consecuencia lógica de un buen reconocimiento, escaneo y análisis de vulnerabilidades.
Qué significa "explotar"
Explotar una vulnerabilidad es usar una técnica o código específico (el exploit que mencionamos en el módulo anterior) para aprovechar esa debilidad y lograr algo concreto: obtener acceso al sistema, ejecutar comandos propios, robar información, o tumbar un servicio.
Si la vulnerabilidad es la cerradura vieja y vulnerable de la puerta 445, el exploit es la ganzúa específica, ya fabricada, que abre exactamente ese modelo de cerradura. Conocer que la cerradura es vieja no te abre la puerta — necesitás la herramienta correcta y saber usarla.
Metasploit: el kit de herramientas del explotador
Metasploit Framework es, junto a Nmap, la herramienta más icónica de la ofensiva. Es una colección enorme de exploits ya escritos, probados y organizados, con una interfaz (msfconsole) que te permite buscar el exploit exacto para una vulnerabilidad conocida, configurarlo, y lanzarlo.
msfconsole
search vsftpd
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.56.101
run
Este flujo es casi universal en Metasploit: buscás el exploit relacionado a la vulnerabilidad que encontraste (recordá el vsftpd 2.3.4 del módulo anterior), lo seleccionás con use, configurás el objetivo con set RHOSTS, y ejecutás con run. Si todo sale bien, obtenés una sesión activa dentro del sistema objetivo.
Payload: qué hacer una vez que la puerta se abre
El exploit abre la puerta, pero el payload es lo que efectivamente hacés una vez adentro. El payload más usado en pentesting es Meterpreter: una especie de terminal remota avanzada que se ejecuta en la memoria del sistema comprometido, y que te da control interactivo — listar archivos, subir/bajar información, ejecutar comandos — todo desde tu propia Kali.
Volviendo a ARP: explotación en la propia red local
No toda explotación apunta a un servicio remoto con un CVE específico. En el módulo de Fundamentos viste que ARP confía ciegamente en cualquier respuesta. El ARP spoofing es en sí mismo una técnica de explotación: convence a la víctima de que tu máquina es el router, y de ahí en adelante todo su tráfico pasa primero por vos (ataque de Man-in-the-Middle), permitiéndote espiar o alterar esa comunicación antes de que siga su camino real.
El atacante identifica la IP de la víctima y la IP del router real en la misma red local (recordás arp -a de Fundamentos).
Con una herramienta como arpspoof o ettercap, el atacante envía respuestas ARP falsas a la víctima, diciendo "yo soy el router" — y falsas al router, diciendo "yo soy la víctima".
Ambos actualizan su tabla ARP con la MAC del atacante en vez de la real, sin verificar nada (el punto débil que ya conocés).
Todo el tráfico entre víctima e internet pasa ahora primero por la máquina del atacante, que puede leerlo, guardarlo o incluso modificarlo antes de reenviarlo a su destino real.
Todo lo de este módulo se practica exclusivamente dentro de tu laboratorio virtual aislado, contra máquinas armadas para esto (Metasploitable) o plataformas legales (TryHackMe, HackTheBox). Ejecutar un exploit o un ARP spoofing contra una red que no es tuya y sin autorización explícita por escrito es un delito, sin importar la intención.
Una explotación exitosa deja huellas: procesos inusuales corriendo, conexiones salientes a IPs desconocidas, cambios repentinos en tablas ARP. Herramientas como arpwatch detectan específicamente cambios sospechosos de IP↔MAC, y un buen SIEM correlaciona un escaneo previo con una explotación posterior desde la misma IP — la misma cadena de eventos que vos estás aprendiendo a ejecutar, alguien más la está aprendiendo a detectar.
Ponete a prueba
1. ¿Qué es un payload en el contexto de Metasploit?
2. En un ataque ARP spoofing, ¿qué es lo que el atacante hace creer a la víctima?
3. ¿Cuál es el orden correcto del flujo típico en Metasploit?