Reconocimiento
¿Qué es Reconocimiento?
ReconocimientoPrimera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión.
El reconocimiento es la etapa de recopilación de información previa a la intrusión. En MITRE ATT&CK figura como táctica TA0043 e incluye técnicas como escaneo de rangos IP, extracción de nombres de empleados en LinkedIn, OSINT, enumeración de DNS y búsqueda de credenciales filtradas en pastebins. También es la primera fase de la Cyber Kill Chain de Lockheed Martin. Puede ser pasivo —usando datos ya públicos en internet— o activo, cuando el atacante sondea directamente al objetivo y genera telemetría. Los defensores reducen el valor del reconocimiento con gestión de superficie de ataque, decepción, monitorización de marca, servicios de takedown y detección de escaneos o enumeraciones sospechosas en los registros de red.
● Ejemplos
- 01
Recolectar el GitHub de una empresa para encontrar credenciales hardcodeadas y nombres de hosts internos.
- 02
Escanear masivamente Internet en busca de servidores RDP expuestos y banners de pre-autenticación.
● Preguntas frecuentes
¿Qué es Reconocimiento?
Primera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Reconocimiento?
Primera fase de un ataque, en la que los adversarios recopilan información sobre personas, tecnología y exposición del objetivo antes de intentar la intrusión.
¿Cómo funciona Reconocimiento?
El reconocimiento es la etapa de recopilación de información previa a la intrusión. En MITRE ATT&CK figura como táctica TA0043 e incluye técnicas como escaneo de rangos IP, extracción de nombres de empleados en LinkedIn, OSINT, enumeración de DNS y búsqueda de credenciales filtradas en pastebins. También es la primera fase de la Cyber Kill Chain de Lockheed Martin. Puede ser pasivo —usando datos ya públicos en internet— o activo, cuando el atacante sondea directamente al objetivo y genera telemetría. Los defensores reducen el valor del reconocimiento con gestión de superficie de ataque, decepción, monitorización de marca, servicios de takedown y detección de escaneos o enumeraciones sospechosas en los registros de red.
¿Cómo defenderse de Reconocimiento?
Las defensas contra Reconocimiento combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 072
Gestión de la superficie de ataque (ASM)
Descubrimiento, inventario, clasificación y monitorización continuos de todos los activos que exponen a la organización a posibles ciberataques.
- defense-ops№ 1148
Inteligencia de Amenazas
Conocimiento basado en evidencias sobre amenazas y actores —indicadores, TTPs y contexto— utilizado para orientar decisiones de seguridad y detección.
- defense-ops№ 535
Acceso Inicial
Táctica de MITRE ATT&CK (TA0001) que agrupa las técnicas con las que un atacante consigue su primer punto de apoyo dentro del entorno objetivo.
- defense-ops№ 325
Descubrimiento (Táctica MITRE)
Táctica MITRE ATT&CK (TA0007) que reúne las técnicas que utiliza el atacante para conocer el entorno comprometido tras obtener acceso.