Google

Google hacking: averigua cuánta información sobre ti o tu empresa aparece en los resultados

Google es conocido por tener el motor de búsqueda más popular y poderoso, que utiliza robots para indexar una enorme cantidad de contenido web, haciendo que miles de millones de páginas sean accesibles a través de los resultados de búsqueda. Sin embargo, ESET advierte que, entre esta gran cantidad de datos, información confidencial o sensible puede ser revelada en los resultados de búsqueda sin que los propietarios de los sitios web se den cuenta.

Al realizar búsquedas en Google, ciertas palabras clave y operadores actúan como filtros de resultados, permitiendo a los usuarios encontrar información relevante de manera rápida y precisa. Sin embargo, ESET señala que personas con intenciones maliciosas pueden usar estas mismas técnicas, conocidas como «Google Dorks» o «Google Hacking», para obtener información sensible.

La siguiente tabla nos muestra una serie de comandos para poder filtrar las búsquedas en Google:

OperadorEjemplo de búsqueda en GooglePropósito¿Se puede combinar con otros?
sitesite:wikipedia.orgBuscar resultados dentro de un sitio específico
relatedrelated:wikipedia.orgBuscar sitios relacionados
cachecache:wikipedia.orgBuscar la versión del sitio en caché
intitleintitle:wikipediaBuscar en el título de la página
inurlinurl:wikipediaBuscar una palabra contenida en una URL
filetype:envfiletype:pdfBuscar por tipos de archivo específicos
intextintext:wikiBuscar en el texto del sitio web solamente
“”“Wikipedia”Buscar palabra por coincidencia exacta
+jaguar + carBuscar más de una palabra clave
jaguar speed -carExcluir palabras de la búsqueda
ORjaguar OR carCombinar dos palabras
*how to * WikipediaOperador de comodín
imagesizeimagesize:320×320Búsqueda de imágenes por tamañoNo
@@wikipediaBuscar en redes sociales
##wikiBuscar hashtags
$camera $400Buscar un precio
..camera $50..$100Buscar dentro un rango de precios

En ESET sostienen que, dependiendo de los parámetros utilizados para la búsqueda, los resultados cambiarían, pero puede ser posible identificar información de todo tipo. Acá nos dejan algunos ejemplos:

  • URLs privadas
  • Credenciales: usuarios y contraseñas de sus cuentas.
  • Credenciales de servidores: usuarios y contraseñas de administradores de servidores FTP.
  • Contenido audiovisual: fotos y videos.
  • Documentación sensible: DNI, números de teléfono, otros carnets.
  • Información bancaria: números de cuenta o tarjetas.
  • Bases de datos y versiones
  • Correos electrónicos.
  • Acceso a cámaras de seguridad en tiempo real.

Hay que tener en cuenta que al tratarse de una búsqueda tan poderosa y retomando una frase de la cultura popular ‘un gran poder, conlleva una gran responsabilidad’, el uso de Google Dorks no es ilegal, pues recae una búsqueda avanzada y quitarla, haría que la funcionalidad sea limitada teniendo en cuenta que esta acción pretende encontrar información en Internet fácilmente, así se encuentre expuesta y publicada de manera intencional o descuidada por parte del titular o incluso por terceros.

David González, Investigador de Seguridad del Laboratorio de ESET Latinoamérica.

Google Hacking Database (GHDB)

Este proyecto open-source tiene la capacidad de recopilar una inmensa colección de los dorks conocidos. Este proyecto se mantiene actualizado y seguro gracias al grupo Offensive Security, los mismos que están detrás de Kali Linux, Backtrack y Exploit-DB.

Estos dorks están clasificados en distintas categorías. Acá unos ejemplos:

ESET Latinoamérica compartió algunos ejemplos de cómo puede llegar a utilizarse este proyecto para poder buscar cámaras de seguridad en tiempo real, servidores FTP, paneles de administración de base de datos, claves en archivos TXT, respaldo de bases de datos, entre otros.

Por ejemplo, acá podemos ver una búsqueda de cámaras web tienen en la URL “view-.shtml” y tienen por título “Network Camera”, transmitiendo en vivo sin ningún tipo de restricción.

Google Hacking

Búsqueda de servidores FTP abiertos:

Google Hacking

Búsqueda de paneles de administración de bases de datos:

Google Hacking

Búsqueda de claves en archivos TXT:

Google Hacking

Búsqueda de respaldos de bases de datos:

Google Hacking

Si compruebas que a través de estos métodos se puede acceder a información sobre ti y que crees que no debería ser visible y accesible para cualquiera, puedes solicitar su eliminación mediante Google Search Console.

“Vale la pena reflexionar sobre esta herramienta y las opciones que ofrece. Es importante configurar la privacidad de cuentas y servicios expuestos en Internet de forma correcta con el fin de evitar la exposición de información indebida que puede ser utilizada en nuestra contra por actores malintencionados”,

Concluye González de ESET Latinoamérica.

Vía Comunicado de Prensa – ESET

Síguenos en Google News