Reconocimiento (Recon)

El reconocimiento es donde empieza casi todo ataque exitoso y toda prueba exitosa. Antes de poder encontrar una vulnerabilidad, tienes que saber qué existe. El recon es el proceso disciplinado de descubrir y mapear todo lo que un objetivo expone, desde dominios y APIs hasta tecnologías y personas. Es la primera fase de casi todas las metodologías ofensivas, y la que con más frecuencia separa a los analistas productivos de los frustrados.

Por qué importa

La calidad de tu reconocimiento marca el techo de todo lo que viene después. No puedes explotar un endpoint que nunca encontraste, probar una API que nunca descubriste ni encadenar una vulnerabilidad en un subdominio que nunca enumeraste. Por eso los pentesters y los cazadores de bug bounty con experiencia suelen dedicar la mayor parte de su tiempo al recon: un mapa más amplio y preciso de la superficie de ataque casi siempre se convierte en más y mejores hallazgos.

Los bugs que los demás pasan por alto suelen vivir en las partes de la superficie de ataque que nadie se molestó en mapear: una versión antigua de una API, un subdominio olvidado, un servidor de staging con seguridad más débil o un endpoint sin documentar escondido en un archivo JavaScript. El recon es cómo los encuentras primero.

Reconocimiento pasivo vs. activo

En un programa de bug bounty debes mantener el recon activo estrictamente dentro del scope publicado y los límites de tasa, porque un escaneo agresivo puede tratarse como un ataque.

El flujo de trabajo del reconocimiento

OSINT pasivo

→

Enumeración de subdominios

→

Escaneo de puertos y servicios

→

Descubrimiento de contenido

Un flujo típico va de lo menos intrusivo a lo más intrusivo:

1. OSINT pasivo para conocer la organización, sus marcas y su huella pública.
2. Enumeración de subdominios para expandirte de un solo dominio a todo el patrimonio.
3. Escaneo de puertos y servicios con Nmap para ver qué se está ejecutando.
4. Descubrimiento de contenido y endpoints para mapear la propia aplicación.

Técnicas y herramientas de recon esenciales

• Enumeración de subdominios con Amass y Subfinder para encontrar activos más allá del sitio principal.
• Descubrimiento de contenido y endpoints con ffuf y Gobuster.
• Revisión de JavaScript para extraer rutas de API ocultas y claves filtradas.
• Google dorking para sacar a la luz archivos expuestos y políticas de divulgación.
• Transparencia de certificados (crt.sh) para descubrir nombres de host a partir de los certificados TLS emitidos.
• Fingerprinting de tecnologías para conocer los frameworks en uso y atacar debilidades conocidas.

El recon en la práctica

Para una sola aplicación, el recon significa registrar cuentas, listar cada funcionalidad y rol de usuario, y encontrar documentación como archivos Swagger, exactamente el proceso de mapeo estructurado que se describe en nuestra guía para elegir tu primer objetivo de bug bounty. Para el trabajo a nivel de red, combina el recon con una metodología formal y frameworks como MITRE ATT&CK, que cataloga el reconocimiento como la primera etapa de las intrusiones reales.

El recon no es una casilla que marcas una vez y dejas atrás. Los mejores analistas vuelven a él a lo largo de todo el trabajo, porque cada nuevo hallazgo revela nuevas partes de la superficie de ataque que merece la pena mapear.