Unetbootin es una herramienta gratuita que permite descargar e instalar directamente en una memoria USB diversas distribuciones de GNU/Linux.

A un clic de distancia hay varios sistemas disponibles como Ubuntu, Debian, Arch Linux, entre otros. Además de herramientas de recuperación como CloneZilla para clonar el disco duro, Super Grub Disk para recuperar el Grub, Parted Magic para trabajar con particiones, e incluso antivirus como el de F-Secure, Kaspersky y Dr.Web.

Hoy me fue extremadamente útil para darle vida a una netbook que por alguna razón no quería cargar Windows correctamente, para salir del paso lo que hice fue crear un pendrive booteable con Damn Small Linux, distro que tiene un tamaño de 50 MB, y unos minutos después ya podía acceder a todos los archivos sin problema (videos, imágenes, PDFs, etc).

Para crear un USB booteable de Linux, es decir un pendrive que inicie el sistema, simplemente hay que seleccionar la distribución que se desea instalar y la unidad de destino, el programa se encargará de descargarla de forma automática. Si ya disponemos de la imagen .iso de Linux sólo hay que seleccionarla desde su ubicación.

Descarga e instalación en el pendrive

Unetbootin también puede resultar útil para todos aquellos que quieran probar Linux sin dejar de usar Windows. Sólo tienen que grabar en el pendrive alguna distro, les recomiendo Ubuntu por ser de las más amigables y completas (son unos 600 MB los que se descargan), y luego iniciar la máquina desde el USB.

De esta forma Linux se cargará desde el pendrive y la memoria RAM (modo Live-CD), sin necesidad de utilizar el disco duro donde se encuentran Windows y el resto de los archivos. Es algo totalmente seguro, finalmente luego de experimentar un poco con Linux se reinicia la computadora sin el pendrive y todo vuelve a la “normalidad”.

Otra distro parecida a Damn Small Linux por su tamaño es xPUD, son 64 MB los que se descargan y el resultado es una interfaz muy limpia e intuitiva que permite conectarse a internet y acceder al disco duro (ideal para recuperar archivos):

Booteo de la máquina - Seleccionando pendrive

En la imagen anterior se pueden ver los directorios que corresponden a las unidades de la máquina. En este caso sda1 y sda2 son particiones del disco duro, sdb1 es el propio pendrive donde se encuentra Linux.

Descarga: Unetbootin (compatible con Windows, Linux y Mac)

Actualización: alternativa para usuarios de Windows…

LinuxLive USB Creator es un programa similar que permite crear un USB booteable. Es compatible con Windows y soporta una gran cantidad de distribuciones (ver lista).

En SpamLoco: UNetbootin, la forma más sencilla de instalar Linux en tu pendrive

Artículos relacionados

• DNSChanger, el 8 de marzo no se apaga internet
• Windows Defender Offline Tool, antimalware gratuito de Microsoft
• Bitdefender USB Immunizer, evita que el malware se propague por tus dispositivos USB
• Avast! Free Antivirus disponible para Mac
• WinLockLess, protege el inicio de Windows de los programas indeseados

A la hora de infectar los ciberdelincuentes básicamente tienen dos opciones, enviarle el malware directamente a las víctimas (mensajes spam por correo, chat, redes sociales, etc) o esperar que las víctimas sean las que vayan hacia el malware.

En el segundo caso una de las técnicas más utilizadas hoy en día es la del BlackHat SEO, los atacantes posicionan páginas maliciosas en los primeros resultados de los buscadores o aprovechan sitios vulnerables para redireccionar el tráfico hacia ellas, puedes ver ejemplos de estos ataques en los siguientes artículos: ¿Dónde queda Uruguay? (BlackHat SEO), Buscar modelos en internet puede ser peligroso y BlackHat SEO + Java vulnerable = descarga oculta de troyano.

En este segundo grupo también se podría incluir el uso malintencionado de marcas conocidas para engañar a los usuarios. El pasado año por ejemplo, uno de los desarrolladores del programa VLC cansado de ver sitios falsos que aprovechaban la buena reputación del reproductor, publicó en su blog personal a modo de denuncia una lista de sitios que ofrecían versiones de pago e instaladores infectados.

Otro ejemplo es el del dominio ares.com que se utiliza para propagar una versión modificada del programa que requiere el pago de una licencia. La página oficial de Ares en realidad es aresgalaxy.sourceforge.net y el programa es completamente gratuito:

I’ve paid for Ares, can I have a refund?
Ares is a 100% free program and we don’t sell it nor we have authorized third parties to do that.
>> aresgalaxy.sourceforge.net/readmore.htm

Experimento Ares.com.uy:

En las últimas semanas estuve realizando un experimento para ver cuántas personas podrían acceder a la descarga de Ares a pesar de ser una versión no oficial. Para ello utilicé el dominio ares.com.uy.

Allí monté una página que ofrece supuestamente una versión de Ares mejorada, pero en realidad nunca se llega a realizar la descarga del programa. Los usuarios simplemente pasan de una página a otra quedando la actividad registrada en Google Analytics.

Todos los usuarios “medidos” accedieron directamente al sitio, es decir escribiendo la dirección en sus navegadores, tráfico que se denomina Type-in.

Al acceder lo que se encontraban era lo siguiente:

Como se puede ver, se describen las características del supuesto programa como la grabación directa en CD/DVD/BluRay, modo oculto para oficinas, acceso a la base de datos de Sony y Warner para descargar películas, etc. La idea era describir funciones ridículas que llamaran la atención de algunos y generaran desconfianza en otros.

En esa página se incluye un botón de Download que al presionarlo carga otra página dentro del sitio:

Acá se aclara que no se trata de una versión oficial de Ares y se simula iniciar la descarga con el siguiente mensaje:

Iniciando descarga del archivo Ares2012Pro.exe… la descarga se iniciará automáticamente en 5 segundos. Si la descarga no se inicia clic aquí para iniciarla de forma manual.

La descarga automática en realidad nunca se inicia, de esta forma puedo medir directamente cuántas personas hacen clic para iniciar la descarga manual, es decir, descargan el programa a pesar de no ser una versión oficial y tener funciones un poco sospechosas

Finalmente en la última página se aclara que se trata de un experimento y que las descargas de versiones modificadas no son seguras:

Los resultados:

Midiendo el tráfico con un flujo de conversiones se puede ver que todos los usuarios que accedieron a ares.com.uy hicieron clic en el botón Download, pasando a la segunda página (estos datos corresponden a los últimos 60 días):

En la segunda página hay un abandono del 31,9%. El resto, 68,1% continuó hacia la última página, es decir, inició la descarga manual.

En la última página de advertencia hay un abandono del 77%, mientras que un 23% vuelve a la anterior (¿intentarán descargarlo nuevamente?).

Por supuesto, el experimento carece de rigor científico y para obtener mejores resultados tal vez se debería dejar en funcionamiento por más tiempo. Pero los datos no dejan de ser interesantes, al tratarse de tráfico Type-in los usuarios entran convencidos de que se trata del sitio de Ares y la mayoría realiza la descarga a pesar de no ser la versión oficial.

En SpamLoco: Experimento: tráfico Type-in + programa falso = infección asegurada

Artículos relacionados

• Variante de Zeus roba tarjetas en Facebook y otros servicios como Gmail
• Están circulando hoaxes por WhatsApp… ahora “pasará a tarifa de pago”
• Esos correos extraños que nos envían los amigos…
• Mariana de Buenos Aires… el engaño de las encuestas cambia de nombre
• Aplicación spam ofrece saldo gratis en Facebook para cualquier operador móvil

La empresa de seguridad Trusteer se ha encontrado con una variante de Zeus que busca engañar a los usuarios de Facebook, Yahoo, Gmail y Hotmail para robarles sus tarjetas de débito. Este troyano está diseñado para robar todo tipo de información, principalmente bancaria, empleando diversas técnicas.

Una de ellas consiste en inyectar elementos falsos en las páginas para solicitar información confidencial, esto sucede solamente en las computadoras de los usuarios infectados y suele ser difícil de detectar a simple vista (ver ejemplo de una página bancaria modificada).

Veamos el ejemplo con Facebook. Cuando la víctima accede a su perfil se le muestra un formulario falso donde se le solicita la información de la tarjeta bajo la excusa de obtener un 20% de descuento en la compra de créditos:

Si bien puede resultar sospechoso, al aparecer dentro de la propia página de Facebook como un elemento más, el engaño es muchísimo más creíble.

Con los webmails de Gmail, Yahoo y Hotmail sucede algo similar, todas las capturas se pueden ver en el blog de Trusteer. En este caso la excusa para solicitar la información es un supuesto nuevo servicio que permitiría asociar las tarjetas a las cuentas de e-mail y de esta forma poder realizar pagos online de forma más rápida y segura:

Zeus ha dado mucho que hablar en los últimos años, los ciberdelincuentes llegan a pagar miles de dólares por versiones personalizadas del kit lo cual sugiere que las ganancias que obtienen son bastante grandes. El año pasado su código fuente fue robado, comenzó a circular por diversos foros y hoy en día cualquiera lo puede descargar. Esto les permitió a los investigadores analizarlo en profundidad y por supuesto a muchos atacantes crear sus propias versiones modificadas.

En marzo de este año en una operación liderada por Microsoft, se incautaron varios servidores que se encontraban en Estados Unidos y eran utilizados como C&C (centros de comando y control). Por supuesto esto no le puso fin al reinado de Zeus, hay servidores activos repartidos por todo el globo (ver zeustracker.abuse.ch) pero se lograron desmantelar varias botnets.

Ver también:
Variante de Zeus que no infecta equipos lentos.
ZitMo, la versión de Zeus para móviles ataca de nuevo.

En SpamLoco: Variante de Zeus roba tarjetas en Facebook y otros servicios como Gmail

Artículos relacionados

• Te ganaste un LCD, correo falso de CinePlanet descarga troyano
• Esos correos extraños que nos envían los amigos…
• Aplicación spam ofrece saldo gratis en Facebook para cualquier operador móvil
• Páginas falsas de Instagram y Angry Birds Space propagan troyano para Android
• Noticia falsa sobre guerra entre Chile y Perú propaga troyano

Ayer me llegó una especie de spam por WhatsApp que en realidad era una simple cadena falsa similar a las que circulan por correo o Facebook. Esta clase de mensajes de denominan hoaxes, lo recibí de un amigo que se lo creyó y por las dudas lo reenvió a todos sus contactos:

El mensaje completo dice:

Este mensaje es para informarles a todos nuestros usuarios, que nuestros servidores han estado recientemente muy congestionados, por lo que estamos pidiendo su ayuda para solucionar este problema. Requerimos que nuestros usuarios activos reenvien este mensaje a cada una de las personas de su lista de contactos a fin de confirmar nuestros usuarios activos que utilizan WhatsApp, si usted no envía este mensaje a todos sus contactos de WhatsApp, entonces su cuenta permanecerá inactiva con la consecuencia de perder todos sus contactos. El símbolo de actualización automática en su SmartPhone, aparecera con la transmisión de este mensaje. Su SmartPhone se actualizará dentro de las 24 horas siguientes, contará con un nuevo diseño y un nuevo color para el chat. Estimados usuarios de WhatsApp, vamos a hacer una actualización para WhatsApp de 23:00 p.m. hasta las 05:00 a.m. de este día. Si usted no envía esto a todos sus contactos la actualización se cancelará no tendrá la posibilidad de chatear con sus contactos.
Whatsapp pasará a tarifa de pago a menos que seas un usuario frecuente. Si tienes al menos 10 contactos envía este sms y el logotipo se convertirá en rojo para indicar que eres un usuario free

Para los que no conozcan WhatsApp, se trata de una aplicación para smartphones que permite enviar mensajes de texto y multimedia por internet de forma gratuita, el único requisito es que la otra persona también lo tenga instalado.

Pues bien, como vemos el hoax es totalmente inofensivo pero es un claro ejemplo de lo sencillo que puede ser engañar a los usuarios con ingeniería social ¿qué sucedería si el mensaje incluyera un enlace malicioso o solicitara la descarga de alguna “actualización”?

Estos mensajes se comenzaron a propagar en inglés hace algunos meses, también hay otras variantes en español. Si recibes cadenas por el estilo procura tener sentido común antes de reenviarlas y en lo posible enseñarle al contacto que esta clase de mensajes son falsos. Si no cree lo que dices puedes mostrarle el siguiente artículo “It is a hoax. Really, it is” del blog oficial de WhatsApp donde lo advierten

Ver también:
En la edad media también se enviaban cadenas!

En SpamLoco: Están circulando hoaxes por WhatsApp… ahora “pasará a tarifa de pago”

Artículos relacionados

• Esos correos extraños que nos envían los amigos…
• Aplicación spam ofrece saldo gratis en Facebook para cualquier operador móvil
• Noticia falsa sobre guerra entre Chile y Perú propaga troyano
• Las suscripciones SMS engañosas llegan a la publicidad Móvil
• Promo falsa de SMS gratis por Facebook instala extensión maliciosa en el navegador

Seguramente alguna vez recibiste correos de tus contactos que no tienen Asunto y no incluyen ningún mensaje, sólo un enlace sin sentido como en el siguiente ejemplo:

Se trata de un correo que en realidad no fue enviado intencionalmente por el usuario, de hecho ni siquiera debe saber que ese correo se envió desde su cuenta. Pero aún así el enlace llama poderosamente la atención y hasta dan ganas de hacerle clic, algo que generalmente pasa cuando nos llegan mensajes de contactos especiales.

En este caso estamos ante un típico spam que se aprovecha de un WordPress vulnerado por falta de mantenimiento (el dueño o webmaster seguramente no sabe que fue infectado), es fácil darse cuenta que se trata de WordPress por los directorios del enlace “wp-content/theme” los cuales se repiten en todos los sitios que utilizan este CMS (gestor de contenidos).

Los spammers los utilizan como “redireccionadores camuflados” que llevan a las víctimas hacia otros sitios con publicidad, productos fraudulentos o exploits que intentan infectar las computadoras. Troyanos como Flashback se propagaron de esta forma, cuando uno hace clic primero accede al sitio vulnerado y de inmediato es redireccionado hacia el sitio controlado por los atacantes.

El correo falso llega realmente desde la cuenta de nuestro contacto y esto puede deberse a dos razones, su equipo se encuentra infectado o su cuenta de correo está comprometida. En cualquiera de los casos los atacantes pueden enviar de forma automática mensajes spam a toda su lista de contactos.

Ambos elementos les permiten burlar los filtros antispam, el motor no detecta nada extraño en los correos y los deja pasar, pues provienen de un contacto amigo e incluyen un enlace aparentemente inofensivo.

Al final de cuentas, un simple correo que parece no tener sentido en realidad tiene todo un trabajo malintencionado muy bien diseñado para enviar correo basura.

¿Qué hacer en estos casos?

Por supuesto, no hay que hacer clic en esos enlaces! Lo ideal sería explicarle a nuestro contacto lo que está sucediendo y recomendarle que, además de cambiar la contraseña de su correo, realice un análisis completo de su computadora en busca de virus.

Por otro lado, si eres usuario de Hotmail hay otra alternativa, hace un año aproximadamente este servicio incluyó una opción llamada “Piratearon la cuenta de mi amigo” la cual permite advertirle a Hotmail que una cuenta se encuentra comprometida, es decir, está siendo utilizada para enviar spam:

Una vez que se hace clic en la opción aparece un mensaje como el siguiente:

Gracias por informarnos que la cuenta de tu amigo ha sufrido un ataque de un pirata informático. Tu información nos ayuda a identificar aquellas cuentas que perdieron su carácter confidencial.

Tal vez parezca una opción egoísta, pero en realidad a la cuenta de nuestro contacto no le pasará nada malo, simplemente pasará a estar monitoreada de forma especial y en caso de comprobarse alguna actividad extraña se iniciará un proceso de recuperación para que verifique sus datos y cambie la contraseña.

Al final esto lo beneficiará y también a todos sus contactos

En SpamLoco: Esos correos extraños que nos envían los amigos…

Artículos relacionados

• Noticia falsa sobre guerra entre Chile y Perú propaga troyano
• TarjetasBubba.exe, troyano que simula ser una postal de amor
• Actualizar HTK4S, phishing simple de universidades
• Te ganaste un LCD, correo falso de CinePlanet descarga troyano
• Variante de Zeus roba tarjetas en Facebook y otros servicios como Gmail

Hoy me encontré con otro de esos lindos banners que te llevan a un portal falso de noticias donde se promociona un sistema para ganar dinero con encuestas, pero esta vez noté un par de cosas diferentes… cambiaron el nombre de la madre soltera y agregaron un video de YouTube donde supuestamente ella cuenta su experiencia:

Al hacer clic se inicia la reproducción y la mujer habla en un perfecto español, lo cual puede ser muy convincente.. sobre todo para aquellos o aquellas que no tienen trabajo y no tienen mucha experiencia en internet.

El video del portal falso lo pueden ver aquí: http://youtu.be/QRBqeBiV0Mo (en una semana ya tiene +27 mil reproducciones).

Los comentarios que han dejado los usuarios en YouTube lo dicen todo, por otro lado y para aquellos que aún dudan sobre esta tramoya… el mismo portal falso hace algunas semanas atrás hablaba de otra madre soltera, una tal Natalia, pero eso sí… la historia era la misma!

Sin mencionar que los comentarios, enlaces y todo lo demás también es falso… con este diseño simplemente simulan ser un portal de noticias para darle más seriedad al asunto.

No quiero expandirme mucho más en el tema porque ya lo he comentado 2 o 3 veces en el blog, pero quería compartir con ustedes un comentario que dejaron hoy en el blog y espero sirva como ejemplo para aquellos que cayeron en la trampa:

Dolores dice:

Verónica, al igual que vos, caí en la trampa, desde el primer día no me senti cómoda con los links, con la información que solicitaban, con el tiempo que demanda registrarte en cada una de las páginas. Me inscribí porque pense que podía ser un ingreso extra. Cada vez que me llegaba una encuesta (muy pocas veces) al empezar a contestarla me decían que mi perfil no se ajustaba a la misma. Comencé a enviar mails a soporte técnico y todas las direcciones posibles RECLAMANDO EL REEMBOLSO DE MI DINERO. Fui insistente (8 o 10 mails por día), finalmente al cabo de 10 días de reclamar recibi un correo de clickbank avisandome que mi reembolso había sido realizado. Te aconsejo que si realmente queres que te devuelvan el dinero seas insistente. Seguramente obtengas la misma respuesta!, saludos!

El comentario lo pueden ver aquí y como también comentó Jorge Jacobo en ese mismo artículo, estos estafadores están utilizando la plataforma de Clickbank para vender el producto. Comprar por Clickbank es seguro, el problema es que se pueden comprar cosas buenas y malas, como en todos lados y uno no sabe qué tan bueno es el producto hasta que lo tiene en su poder.

Por ello Clickbank cuenta con un sistema de devoluciones (leerlo con atención) que puede ser utilizado dentro de los primeros 60 días, es de lo que habla Dolores en su comentario. Si caíste en la trampa de estos portales falsos, solicita la devolución de forma correcta e insiste hasta que tengas tu dinero de vuelta!

En SpamLoco: Mariana de Buenos Aires… el engaño de las encuestas cambia de nombre

Artículos relacionados

• Banner que simula ser un video termina en sitio fraudulento para ganar dinero
• “Facebook hacking process completed” aunque la cuenta no existía la hackearon igual
• ¿Sabías que pueden clonar tu tarjeta por utilizar un cajero automático?
• Experimento: tráfico Type-in + programa falso = infección asegurada
• Variante de Zeus roba tarjetas en Facebook y otros servicios como Gmail

Se ha revelado una cifra interesante relacionada con la publicidad y los mensajes engañosos en Facebook que se propagan viralmente. Posiblemente alguna vez te encontraste con alguna variante de ellos, en SpamLoco he comentado varios casos que utilizan diversas técnicas como el clickjacking, aplicaciones falsas, scripts e incluso ingeniería social de la más simple.

La acusada en esta oportunidad es Adscend Media, una empresa de publicidad que trabaja con el sistema CPA (paga cuando el usuario realiza algún tipo de acción como suscribirse a un servicio, completar una encuesta, etc). Gracias a la actividad spam de sus afiliados facturó unos 20 millones de dólares, aunque se estima que el monto real es mucho mayor.

Esto explica por qué muchas veces las empresas hacen la vista gorda frente a casos en los cuales sus políticas claramente no son respetadas, pues cuando la cosa funciona y el cash entra como por un tubo, todo vale. Hace poco comentaba un caso por el estilo de una empresa en español que alentaba el spam en Facebook justamente por su efectividad.

La información es pública desde hace algunas semanas luego de que Facebook iniciara una demanda contra la empresa. Pero en las últimas horas, luego de ideas y vueltas, han llegado a un acuerdo en el cual Adscend Media se compromete a monitorizar la actividad de sus afiliados y penalizar cualquier uso abusivo de la publicidad. La sacaron barata.

Puedes leer los anuncios oficiales en los siguientes enlaces:

- Washington state AG and Facebook target “clickjackers” (26/01/2012)
- Alleged “Likejackers” agree to root out Facebook spam (07/05/2012)

En SpamLoco: Campañas CPA y spam en Facebook generaron 20 millones de dólares

Artículos relacionados

• Aplicación spam ofrece saldo gratis en Facebook para cualquier operador móvil
• Promo falsa de SMS gratis por Facebook instala extensión maliciosa en el navegador
• Banner que simula ser un video termina en sitio fraudulento para ganar dinero
• Multan a dos empresas por suscripciones SMS engañosas
• Spammer accede a la lista de correo de TicketWeb

Bitdefender USB Immunizer es una herramienta gratuita que permite “inmunizar” las memorias USB para evitar que el malware las utilice como medio de propagación. Es muy fácil de usar, simplemente hay que hacer un clic sobre el dispositivo que se desea proteger:

Cabe mencionar que no se trata de un antivirus para memorias USB, en otras palabras no evita que los virus se copien en ellas desde computadoras infectadas. Simplemente crea y bloquea un archivo autorun.inf, esto evita que el malware se propague automáticamente desde la memoria a otros equipos.

Las técnicas de infección que aprovechan el AutoRun existen desde hace más de 10 años, de hecho grandes piezas de malware como el gusano Stuxnet de 2009 la utilizaron. Hoy en día sigue siendo uno de los métodos más comunes de propagación, a pesar de que Microsoft ha publicado parches de seguridad que desactivan el autorun de Windows.

USB Immunizer también se puede configurar para proteger automáticamente cualquier dispositivo que se conecte. Otra herramienta de similares características es Panda USB Vaccine. Vale la pena tenerlas en cuenta, sobre todo si los dispositivos se utilizan en varias computadoras de la casa o se comparten con la oficina.

Descarga: Bitdefender USB Immunizer | descarga directa

En SpamLoco: Bitdefender USB Immunizer, evita que el malware se propague por tus dispositivos USB

Artículos relacionados

• UNetbootin, la forma más sencilla de instalar Linux en tu pendrive
• WinLockLess, protege el inicio de Windows de los programas indeseados
• Dos programas gratis para buscar y eliminar archivos duplicados
• System Ninja, otra alternativa para eliminar temporales de Windows
• Analiza el MBR de tu equipo en busca de Bootkits

Uno de los negocios más redituables de las botnets es el fraude de clics, los ciberdelincuentes pueden generar clics automáticamente desde los equipos infectados o sustituir los anuncios que los usuarios ven por aquellos que les generan ganancias.

Justamente esto es lo que hacía Flashback, sustituyendo la publicidad de Google según las búsquedas realizadas por las víctimas. Fue el equipo de Symantec el que lo descubrió en las últimas horas y estiman que la botnet pudo generar unos 10 mil dólares al día.

Flashback llegó a infectar más de 700 mil Macs aprovechando principalmente una vulnerabilidad del complemento Java, solventada por Oracle en el mes febrero y por Apple recién 6 semanas después.

Estas cifras tan altas de infecciones y dinero son las que generalmente se manejan en el mundo de la ciberdelincuencia profesional. Por ejemplo, hace algún tiempo comentaba el caso de un ransomware SMS que generó mil dólares al día con 137 mil usuarios infectados; o el caso del ciberdelincuente que tenía unos 15 millones de dólares en le banco gracias al negocio de los falsos antivirus y programas de limpieza fraudulentos.

Ver también:
Java es más utilizado para atacar que los PDFs.

En SpamLoco: Estiman que la botnet Flashback generó unos 10 mil dólares al día

Artículos relacionados

• UNetbootin, la forma más sencilla de instalar Linux en tu pendrive
• Mariana de Buenos Aires… el engaño de las encuestas cambia de nombre
• Campañas CPA y spam en Facebook generaron 20 millones de dólares
• Avast! Free Antivirus disponible para Mac
• Verifica si tu Mac forma parte de la botnet Flashback – Herramienta online de Dr.Web

w3af (Web Application Attack and Audit Framework) es una herramienta open source de auditoría que permite detectar vulnerabilidades web y explotarlas. Es bastante sencilla de utilizar y muy útil para automatizar diferentes análisis en un sólo proceso.

Básicamente se trabaja con 4 pestañas, en Configuración del análisis se indica el objetivo y se seleccionan los plugins o escáneres que se desean utilizar; en Log se puede ver el estado del proceso; en Resultados las vulnerabilidades detectadas con lujo de detalles (SQL Injection, Cross Site Scripting, Full Path Disclosure, File Inclusion, etc); y finalmente desde la pestaña Exploit se pueden explotar estos fallos.

Si deseas entender un poco más el alcance de este tipo de herramientas te recomiendo leer este artículo de Infosec Resources (en inglés), se muestra a modo de ejemplo como una vulnerabilidad sql injection detectada con w3af, permite obtener las contraseñas de un blog en WordPress.

Por supuesto, w3af no busca ser un programa de haking malintencionado, si bien parece que con unos simples clics se puede hacer de todo, es necesario tener ciertos conocimientos y ganas de entender lo que sucede para poder sacarle provecho.

El proyecto nació en el año 2006 de la mano de Andrés Riancho, fundador de la empresa de seguridad Bonsai, y hoy cuenta con el apoyo de toda la comunidad de especialistas en seguridad web.

Descarga: w3af.sourceforge.net/#download

Se puede instalar en Windows (ver demo de instalación) y Linux (apt-get install w3af), si tienes Backtrack puedes ejecutar la interfaz gráfica desde /pentest/web/w3af ./w3af_gui

Si se van a poner a jugar con ella, les recomiendo hacerlo en un entorno controlado, es la mejor forma de testearla, experimentar y aprender

Ver también:
Scanner de vulnerabilidades en WordPress y ataque por fuerza bruta.
SP Toolkit, un kit de phishing para educar a los usuarios con ataques reales.

En SpamLoco: w3af, herramienta para detectar vulnerabilidades web

Artículos relacionados

• UNetbootin, la forma más sencilla de instalar Linux en tu pendrive
• Bitdefender USB Immunizer, evita que el malware se propague por tus dispositivos USB
• Detectan otra vulnerabilidad en una TV, esta vez provoca reinicios infinitos
• WinLockLess, protege el inicio de Windows de los programas indeseados
• Cambiando el User Agent de Firefox con una extensión