Si sigues las noticias del mundo de la tecnología, habrás visto una gran cantidad de piezas sobre una violación de datos o un sitio web hackeado. Y es que, por mucho que haya avanzado la tecnología, la piratería informática no se queda atrás. Las herramientas y técnicas de pirateo son cada vez más sofisticadas y amenazadoras, y si quieres que tu software sea seguro, tienes que ir un paso por delante.
Y para eso están las herramientas de pruebas de seguridad y pruebas de penetración. Su función principal es comprobar el software en busca de vulnerabilidades que puedan dar lugar a pirateos y fugas de datos, sin acceder al código fuente.
Esas vulnerabilidades deben identificarse y abordarse inmediatamente, lo que se hace mediante procedimientos de escaneado continuos y automatizados cuyo objetivo es encontrar posibles lagunas en el software.
Existen numerosas herramientas de pruebas de seguridad en el mercado, por lo que hemos reducido esta lista a las 10 mejores herramientas de pruebas web de código abierto, ya que son gratuitas y se pueden personalizar según sus requisitos específicos.
¡Aquí tienes!
Revisión de Netsparker
Netsparker es una gran herramienta con la principal ventaja de ser fácil de usar. Esta facilidad de uso la distingue del resto. Además, es una herramienta potente que ofrece resultados muy precisos. Puede identificar vulnerabilidades como SQL injection y cross-site scripting entre más de 1000 otras. Puede escanear cualquier aplicación relacionada con la web, comprobando los errores relacionados con la codificación.
Esta herramienta verifica de forma única las vulnerabilidades identificadas demostrando que no son falsos positivos sino reales. Esta posibilidad le ahorra tiempo a la hora de verificar manualmente las vulnerabilidades identificadas tras un escaneado.
- Interfaz de usuario limpia y fácil de usar
- Suficiente selección de flujos de trabajo
- Numerosos puntos vulnerables para comprobar
- Detección de falsos positivos
- Prueba de explotación de vulnerabilidades
- Servicio de atención al cliente decente
- Integraciones sólo con sistemas populares
- Número limitado de URL que se pueden escanear
- Precios no competitivos
- Más adecuado sólo para las empresas que utilizan una gran cantidad de llamadas API
- Se tarda mucho en completar un escaneado
“Me gusta trabajar con NetSparker porque es superpersonalizable en cuanto a las tecnologías a escanear. Básicamente trabajas duro una vez, y después de que hayas descubierto la configuración perfecta para el escaneo de vulnerabilidades, puedes aplicarlas a aplicaciones similares, lo que ahorra un montón de tiempo. Por otro lado, es posible que quieras eliminar algunas tecnologías que el escáner comprobará si esperas que sea un proceso rápido. Además, la herramienta es más cara, lo que puede ser una gran desventaja para las marcas más pequeñas,”
Revisión de OpenVAS
OpenVAS es una herramienta de análisis de vulnerabilidades que se utiliza para escanear servidores y dispositivos de red. Este escáner buscará una dirección IP y comprobará si hay algún servicio abierto escaneando a través de puertos abiertos, configuración incorrecta y vulnerabilidades en los objetos existentes. Una vez finalizado el escaneado, se genera un informe automático que se envía por correo electrónico para su posterior estudio y corrección.
Si ya dispone de su propio sistema de respuesta a incidentes o de detección de incidentes, OpenVAS le ayudará a mejorar la supervisión de su red con herramientas de comprobación de redes y alertas en general.
- Gratuito
- Cuenta con una amplia comunidad
- Fácil de usar
- Perfecto para una exploración preliminar rápida
- Puede validar rápidamente la exactitud de los resultados de pruebas externas
- No es adecuado para escaneos de seguridad a nivel empresarial
- Los informes no son fáciles de digerir
- La interfaz de usuario no es tan refinada como la de la competencia
- Los plugins no se actualizan con regularidad
- Sólo escaneos no acreditados
Revisión de Nessus
Nessus Professional está destinado a los profesionales de la seguridad que se ocupan de parches, problemas de software, herramientas de eliminación de malware y adware, así como de la configuración incorrecta en una amplia gama de sistemas operativos y aplicaciones.
Nessus introduce un proceso de seguridad proactivo, identificando vulnerabilidades antes de que los hackers las utilicen para penetrar en la red, y también elimina los inconvenientes de la ejecución remota de código. Se ocupa de la mayoría de los dispositivos de red, incluidas las infraestructuras virtuales, físicas y en la nube.
- Multitud de tipos de análisis diferentes
- Práctica categorización de vulnerabilidades
- Informes claros y recomendaciones de corrección
- Plugins para casi todos los sistemas operativos y dispositivos
- Gran apoyo de la comunidad
- Mal funcionamiento del estado de finalización del escaneado
- Número limitado de funciones en la versión gratuita
- No es apropiado para pruebas de penetración
- Escaneos y actualizaciones de la herramienta que consumen mucho tiempo
- Plugins redundantes en grupos de plugins sin opción de desactivación
“Confío en Nessus siempre que realizo una auditoría de infraestructura para un cliente o me encargan identificar fallos de software y parches que faltan en aplicaciones web. Lo que me gusta de Nessus es su diseño de interfaz de usuario fácil de usar y una abundante lista de plugins para evaluar diferentes vulnerabilidades. Al mismo tiempo, definitivamente apreciaría una mejora en términos de velocidad para no tener que dividir cada escaneo en partes más pequeñas. Su herramienta de informes es bastante básica, y algunos pueden verlo como un inconveniente, pero a mí me funciona muy bien: muestra todo lo esencial que necesitas para tomar la decisión correcta,”
Revisión de Acunetix
Acunetix es una herramienta de pruebas de penetración totalmente automatizada que detecta e informa de más de 4500 vulnerabilidades de aplicaciones web. Pero lo que la diferencia de otras herramientas es su capacidad para rastrear miles de páginas sin interrupciones.
Este escáner de vulnerabilidades web automatiza las tareas que pueden llevar horas si se prueban manualmente, proporcionando resultados rápidos y precisos sin falsos positivos. Es totalmente compatible con JavaScript, HTML5, sistemas CMS y aplicaciones de una sola página, y puede generar fácilmente muchos tipos de informes técnicos y de conformidad.
- Advertencias clasificadas por nivel de peligro
- Informes fáciles de digerir
- Escaneado relativamente rápido
- Opción de escaneado continuo
- Funciones integradas que van más allá del análisis de vulnerabilidades
- Sólida comunidad de usuarios
- En algunos casos, los análisis se bloquean sin opción de reanudarlos
- Problemas de autenticación con aplicaciones empresariales que implican múltiples puntos finales
- Revisión manual de falsos positivos
- Planes de precios que cambian con frecuencia
- Sistema de alertas molesto
Revisión de Retina
Retina vulnerability scanner es una herramienta de pruebas de seguridad de aplicaciones web de código abierto que se encarga de gestionar las vulnerabilidades desde una ubicación central. Entre sus funciones se incluyen la aplicación de parches, el cumplimiento de normativas, la configuración y la generación de informes.
Se ocupa de bases de datos, estaciones de trabajo, servidores, análisis y aplicaciones web con soporte completo para la integración de VCenter y entornos de escaneo de aplicaciones virtuales. Se ocupa de varias plataformas, ofreciendo una completa evaluación de vulnerabilidades y seguridad multiplataforma.
- Análisis relativamente rápidos
- Base de datos de amenazas actualizada con frecuencia
- Adecuado tanto para la exploración de vulnerabilidades como para las pruebas de penetración básicas
- Servicio de gestión de parches + análisis de comportamiento
- Fácil despliegue
- Interfaz de usuario amigable
- Necesita un servidor potente para funcionar sin problemas
- Informes muy básicos
- Alto coste de soporte
- Las soluciones sugeridas son en su mayoría preliminares
- Frecuentes problemas de conexión con el servidor, que obligan a instalar manualmente las actualizaciones
“En términos de características y funcionalidad general, Retina está muy cerca de Nessus, y se ha actualizado muy bien en los últimos años. Me gusta mucho que no consuma demasiado ancho de banda ni recursos de red. Otra ventaja significativa de esta herramienta de seguridad es que el proceso de escaneo es bastante rápido. Como contra obvia, se necesita un servidor decente para ejecutarla porque la herramienta es bastante voluminosa. Retina también requiere cierto tiempo de aprendizaje para entenderla, pero para un experto en seguridad con experiencia es una obviedad,”
Revisión Probely
Esta herramienta no sólo escanea las aplicaciones web en busca de problemas de seguridad, sino que ofrece orientación sobre cómo solucionarlos. Su interfaz intuitiva sigue un enfoque de desarrollo API-first, por lo que todas las funciones se proporcionan a través de una API. Gracias a ello, Probely puede integrarse en pipelines de Integración Continua para la automatización de pruebas de seguridad. La herramienta cubre miles de vulnerabilidades y puede comprobar requisitos específicos, como GDPR, ISO27001, PCI-DSS e HIPAA.
- Uso sencillo
- Exploraciones basadas en pruebas
- Informes fáciles de usar para los desarrolladores
- Alto potencial de automatización en CI/CD
- Interfaz gráfica flexible
- No hay una indicación adecuada del progreso del escaneado
- Soporte y documentación incompletos de la API
Revisión de Zed Attack Proxy
ZAP es un potente escáner y buscador de vulnerabilidades de seguridad para aplicaciones web, fácil de usar incluso si eres un principiante en pruebas de penetración. Para usuarios avanzados, esta herramienta soporta acceso a línea de comandos. Permite encontrar una gran variedad de vulnerabilidades de seguridad en aplicaciones web durante las fases de desarrollo y pruebas. Entre sus características se encuentran las arañas AJAX, la navegación forzada, la compatibilidad con sockets web y la API basada en REST.
- Gratuito
- Escáner de vulnerabilidades y proxy
- Actualizaciones automáticas y análisis de pull requests
- Interfaz de usuario intuitiva
- Rendimiento estable
- Documentación insuficiente
- Despliegue y mantenimiento complicados
- Muchos falsos positivos
Crítica de Wfuzz
Es una herramienta de pruebas de seguridad de aplicaciones web que está diseñada para aplicaciones web de fuerza bruta. La herramienta no tiene interfaz gráfica de usuario y sólo se puede utilizar a través de la línea de comandos. Proporciona soporte de autenticación, multi-threading, fuzzing de cookies, soporte de proxy y SOCK, y múltiples puntos de inyección.
- Ataques complejos en diferentes componentes de aplicaciones web (autenticación, directorios, cabeceras, etc.)
- Framework Python modular cómodo incluso para colaboradores amateurs
- Fuerza bruta de todos los parámetros (POST y GET)
- Múltiples codificadores por payload
- Soporte de proxy múltiple (cada petición a través de un proxy diferente)
- Filtrado de resultados
- Apoyo insuficiente de la comunidad
- Falta de GUI
- Funcionalidad limitada a ataques de fuerza bruta
Revisión de SQLMap
Es una popular herramienta de pen testing que se utiliza para detectar y utilizar problemas de inyección SQL en una base de datos.
La herramienta tiene una interfaz de línea de comandos y ofrece una variedad de características. También admite seis tipos de métodos de inyección SQL y servicios de bases de datos como
Oracle, MySQL, PostgreSQL y Microsoft SQL Server.
- Compatibilidad total con los sistemas de gestión de bases de datos más populares
- Métodos de bypass
- Carga Shell mediante SQL map
- Reconocimiento automático de formatos hash de contraseñas
- Capacidad para volcar tablas de bases de datos por completo o caracteres específicos de la entrada de cada columna
- Requiere sólidos conocimientos de programación para interpretar los resultados
- Se bloquea en caso de errores de red
- Proceso de escaneo de vulnerabilidades lento
- Falta de interfaz gráfica de usuario adecuada
Revisión de Metasploit
Metasploit es una robusta herramienta de pen testing para sondear vulnerabilidades en redes y servidores. Esta herramienta permite realizar pruebas tanto a través de la línea de comandos como de la GUI, y contiene una gran variedad de módulos, como exploits, payloads, encoders, listeners, nops y muchos más. Dado que Metasploit es bastante popular en la comunidad de hackers, cada vez más expertos en seguridad se hacen con esta herramienta para estar al tanto de lo que un atacante malintencionado puede hacer con ella.
- Amplio conjunto de herramientas de pentesting
- Múltiples sesiones al mismo tiempo
- Multiplataforma
- Una de las mayores bases de datos de exploits
- Espacios de trabajo para pentesting colaborativo
- Gran apoyo de la comunidad
- Actualizaciones poco frecuentes
- Breve documentación sobre el uso de los exploits
- Riesgo de dañar los sistemas objetivo
- Escasas opciones para cifrar las cargas útiles
Para ayudarte a elegir la herramienta más adecuada de forma rápida y sencilla, hemos elaborado una tabla comparativa con las características más importantes que puedes necesitar en ellas. Eche un vistazo.
| Características/ Vulnerabilidades probadas | Plataformas compatibles | Problemas de configuración del servidor | Vulnerabilidades específicas de la versión | Vulnerabilidad DoS | Gestión de parches | Inyección SQL | Secuencias de comandos en sitios cruzados |
| Netsparker | Windows |  |  |  |  |  |  |
| OpenVAS | Windows, Linux, MacOS |  |  |  |  |  |  |
| Nessus | Windows, Linux, MacOS |  |  |  |  |  |  |
| Acunetix | Windows, Linux |  |  |  |  |  |  |
| Retina | Windows, Linux, MacOS |  |  |  |  |  |  |
| Probely | Windows, Linux, MacOS |  |  |  |  |  |  |
| ZAP | Windows, Linux, MacOS |  |  |  |  |  |  |
| Wfuzz | Windows, Linux, MacOS |  |  |  |  |  |  |
| SQLmap | Windows, Linux, MacOS |  |  |  |  |  |  |
| Metasploit | Windows, Linux, MacOS |  |  |  |  |  |  |
Espero que te haya sido útil y que hayas encontrado la herramienta adecuada para escanear tu software. Pero si ya utilizas una que no está en la lista, ¡déjala en los comentarios!