EL FANTASMA EN LA RED: EVASIÓN Y SIGILO TÁCTICO
En seguridad, la velocidad es el enemigo del sigilo. Un escaneo ruidoso es una firma digital que grita "intruso" en los paneles de cualquier SOC. Para un informático de élite, el objetivo no es solo obtener la información, sino hacerlo sin dejar rastro en los logs de tráfico.
Métodos: Timing Control · Decoys · Fragmentación
Escenario: Entornos con IDS/WAF activos
Objetivo: Mimetizar el tráfico de escaneo con el ruido de fondo de la red.
01. EL FACTOR TIEMPO
La forma más común de ser detectado es enviar demasiados paquetes en poco tiempo. El flag -T define nuestro pulso. Mientras que -T4 es para laboratorios, en producción usamos -T2 (Polite) o -T1 (Sneaky) para evadir los umbrales de detección basados en frecuencia.
// Explicación no técnica
Imagina que quieres entrar a una fiesta sin que el guardia te recuerde. En lugar de entrar corriendo, caminas muy despacio rodeado de un grupo de personas que distraen la atención. El guardia ve movimiento, pero no puede identificar una amenaza clara.
02. DECOYS Y OFUSCACIÓN
nmap -sS -Pn -T2 -D 192.168.1.5,10.0.0.42,RND:5 -f 10.0.0.100
stealth_params:
decoys: active (7 sources)
fragmentation: 8-byte MTU
timing: T2 (Polite)
firewall_log_impact:
status: high_noise / low_certainty
| Técnica | Impacto en el IDS |
|---|---|
| Decoys (-D) | Inunda los logs con IPs falsas. Imposible rastrear el origen real. |
| Fragmentación (-f) | Rompe paquetes para evadir la inspección profunda (DPI). |
-- CONCLUSION
El sigilo no es un truco, es una disciplina. Dominar la invisibilidad permite auditar sistemas sin alterar su estado o alertar a posibles adversarios.
> SYSTEM_READY > NODE_ONLINE