Saltar al contenido

Próxima edición 6 de julio de 2026

Seguridad ofensiva

Web Shell

Una web shell es un script malicioso que un atacante coloca en un servidor web para conseguir acceso remoto persistente, ejecutar comandos y usar el servidor como punto de apoyo para adentrarse más en una red. Convierte una aplicación web pública en una puerta trasera encubierta que sobrevive a los reinicios y se camufla entre el tráfico web normal.

Autor
Unihackers Team
Tiempo de lectura
4 min de lectura
Última actualización

Una web shell es una de las herramientas más simples y, a la vez, más peligrosas del arsenal de un atacante. Después de irrumpir en una aplicación web, el atacante deja caer un pequeño script en un directorio que el servidor web ejecutará, y desde ese momento el sitio público funciona también como una consola de comandos privada. Cada instrucción viaja como una petición web corriente, así que el servidor sigue sirviendo páginas a los usuarios reales mientras ejecuta en silencio los comandos del atacante. Esa mezcla de persistencia y sigilo es la razón por la que las web shells aparecen en tantos informes de brechas.

Cómo funciona una web shell

Una web shell no es más que código que el servidor está dispuesto a ejecutar. Lo primero que necesita el atacante es una forma de dejar ese código en disco, que casi siempre llega de un exploit contra la aplicación o su stack: una subida de archivos sin restricciones, una inyección SQL que escribe un archivo, un plugin vulnerable o software de servidor sin parchear. En cuanto el script queda en una carpeta accesible desde la web, el atacante visita su URL y le pasa comandos a través de parámetros, cabeceras o el cuerpo de la petición.

A partir de ahí, el servidor se convierte en un punto de apoyo. El atacante puede leer archivos, recolectar credenciales y saltar hacia sistemas internos, todo mientras el tráfico parece actividad web normal. Como el script vive en el servidor y no en una sola sesión, el acceso sobrevive a los reinicios e incluso a algunos intentos de limpieza, que es justo lo que lo hace valioso.

Por qué es la técnica MITRE ATT&CK T1505.003

Mapear una intrusión real a T1505.003 da a los defensores un lenguaje compartido. Permite que un SOC compare sus detecciones con la inteligencia de amenazas publicada, alinee indicadores con otras organizaciones y razone sobre lo que es probable que haga el atacante a continuación.

Esta técnica también es cada vez más fácil de desplegar a escala. En los datos de Anthropic, el despliegue de web shells (T1505.003) fue entre 3 y 5 veces más frecuente entre los actores de mayor riesgo asistidos por IA que en las intrusiones corrientes, un patrón que analizamos en nuestro repaso sobre cómo usan la IA los hackers. Cuando las herramientas reducen el esfuerzo de armar un punto de apoyo, ese punto de apoyo aparece mucho más a menudo.

Detectar y eliminar web shells

La detección se apoya en varias señales que se refuerzan entre sí:

  • Monitorización de integridad de archivos que marque scripts nuevos o modificados en los directorios de subida y de la raíz web.
  • Análisis de logs del servidor web en busca de URL desconocidas, user-agents raros o peticiones con parámetros que parecen comandos.
  • Caza de amenazas de los rastros de comportamiento que deja una web shell en cuanto empieza a ejecutar comandos.

La web shell perdura porque es barata de desplegar y silenciosa de operar. Los defensores no ganan persiguiendo scripts sueltos, sino reduciendo la exposición que les permite aterrizar y vigilando el comportamiento que no pueden ocultar una vez que se ejecutan.

En el Bootcamp

Cómo enseñamos Web Shell

En nuestro Cybersecurity Bootcamp, no solo aprenderás sobre Web Shell en teoría. Practicarás con herramientas reales en laboratorios prácticos, guiado por profesionales de la industria que usan estos conceptos a diario.

Cubierto en:

Módulo 10: Pentesting y Hacking Ético

Temas relacionados que dominarás:MetasploitNmapBurp SuiteEscalada de Privilegios
Ver Cómo enseñamos esto

360+ horas de formación experta • CompTIA Security+ incluido