Google Hacking

¿Te imaginas que los hackers, en lugar de atacarte directamente y extraer tu información, aprovecharan la información que hay circulando sobre ti en la red para hackearte? En eso consiste Google Hacking, y, hoy, te contamos todo lo que debes saber al respecto.

¿Qué es exactamente el Google Hacking?

Google Hacking

Como decíamos en la introducción, Google Hacking no es más que una técnica para encontrar información que está disponible a través de Google, pero que, en general, cuesta encontrar, porque, por sus características, no aparece en los primeros resultados.

La información que se puede encontrar a través del Google Hacking va desde listas de emails, hasta contraseñas de servidores, archivos de lo más variados, información personal y muchísimo más. Y todo eso disponible en Google… Si sabes cómo buscarlo.

Y es que en eso consiste Google Hacking, en utilizar los comandos de Google para encontrar esa información que estamos comentando.

Espera, espera… ¿Cómo funciona eso de los comandos?

La mayoría de la gente utiliza Google de una forma muy simple. Acceden al buscador, escriben lo que desean, y leen el primer resultado que les aparece. Y, en general, eso es suficiente. Para eso debería utilizarse Google.

Sin embargo, Google también ofrece la posibilidad de llevar a cabo búsquedas avanzadas para que, quien lo desee, pueda escudriñar más a fondo todo el listado de webs que tiene indexadas.

Al fin y al cabo, puede que, si quieres saber qué personajes salen en Juego de Tronos, te resulte suficiente con una búsqueda simple. Sin embargo, si estás haciendo un trabajo de Doctorado, necesitas rebuscar mucho más en la web. Y por eso tiene sentido que existan los comandos de búsqueda avanzada.

Estos comandos permiten filtrar las páginas que Google tiene indexadas, permitiéndote obtener resultados mucho más acordes a tu búsqueda.

Pongamos un ejemplo sencillo para entender de lo que estamos hablando: Imagina que quieres buscar información sobre el jaguar (el animal). Haces la búsqueda, y lo que obtienes son resultados del coche, no del animal.

Lo que puedes hacer es escribir en el buscador «jaguar -coche». El comando «-» elimina de los resultados aquellas páginas que incluyen la palabra que va después del comando. De esta forma, los resultados que obtendremos serán únicamente los que tienen que ver con el animal, y no con los coches.

Pues como este comando hay una buena cantidad de ellos (los veremos en un apartado posterior).

Como puedes imaginar, Google no creó estos comandos para que los hackers pudieran encontrar información sensible de sus víctimas. Simplemente, son una forma de facilitar el trabajo de búsqueda de información a las personas que usan su buscador.

Sin embargo, hecha la ley, hecha la trampa. Con la existencia de estos comandos, los hackers tienen mucha más facilidad para encontrar información que después utilizar para extorsionar a sus víctimas (o, simplemente, para aprovechar vulnerabilidades mediante datos no debidamente protegidos).

¿Qué comandos existen?

Hackear contraseñas usando sólo Google

Aclarado qué es Google Hacking y por qué existe, podemos pasar a hablar de cuáles son esos comandos que nos pueden hacer la vida imposible (o facilitárnosla enormemente, dependiendo de la situación).

Los comandos que podemos utilizar en Google son los siguientes:

  • «» (comillas): Las comillas sirven para buscar la frase exacta que haya entre ellas. Es una muy buena opción para los profesores que quieran comprobar si sus alumnos han copiado su trabajo de alguna web.
  • and o no: Son los operadores lógicos «y» y «no».
  • + y -: Permite incluir o excluir palabras, y se colocan delante de la palabra (tal y como vimos en el ejemplo de jaguar).
  • * (asterisco): El asterisco funciona como comodín para una única palabra. Por ejemplo, si buscamos «cómo * gazpacho», nos mostrará resultados de «cómo hacer gazpacho», «cómo servir gazpacho», «cómo preparar gazpacho» y cualquier otro término que se utilice entre esas otras dos palabras.
  • . (punto): Lo mismo que en el caso anterior, pero funciona tanto con palabras solas como con conjuntos de palabras (el asterisco solo funciona con una única palabra).
  • Intitle o allintitle: Si añadimos una palabra detrás de este comando, solo nos mostrará resultados que incluyan dicha palabra en el título.
  • Inurl o allinurl: Si añadimos una palabra detrás de este comando, solo nos mostrará resultados que incluyan dicha palabra en la URL.
  • Site: Muestra los resultados de un único sitio. Por ejemplo, si ponemos site:Wikipedia.org, no arrojará las páginas de la Wikipedia. Si, además, después de ese comando incluimos una palabra, nos mostrará las páginas de Wikipedia que incluyen esa palabra (por orden de relevancia según considere Google.
  • Filetype: Permite encontrar archivos por extensión (.doc, .xls, .txt…).
  • Link: Nos muestra los enlaces a una determinada página web.
  • Inanchor: Al utilizar este comando, se nos mostrarán webs que tengan enlaces con el texto ancla que hayamos introducido en la búsqueda.
  • Cache: Muestra el resultado en la cache de Google de una determinada página web. Es decir, la versión anterior de la web (con lo cual, podemos ver si se han borrado cosas o no, por ejemplo).
  • Related: Busca webs relacionadas con la que hayas introducido tras el comando.

En este vídeo podrás aprender las distintas formas de búsqueda para poder encontrar vulnerabilidades  a SQL injection a través de los comandos de Google Hacking.

¿Qué se puede encontrar mediante Google Hacking?

Ahora bien, únicamente lo anterior no nos da suficiente información sobre la magnitud del fenómeno del que estamos hablando. ¿Qué implica exactamente el Google Hacking? ¿Qué tipo de información se puede encontrar mediante esos comandos de Google?

Eso vamos a ver en los siguientes apartados. Porque, como verás, hay mucha información a la que se puede acceder y a partir de la cual conseguir cosas… ¡increíbles!

Dispositivos de hardware online

Hoy en día vivimos en entornos hiperconectados. Es el conocido como IoT o Internet of Things (Internet de las cosas). Este nuevo entorno permite que hasta la lavadora se conecte a internet… Y eso puede ser problemático.

Si eres un techie, puedes tener una buena cantidad de ventajas al tener todos tus electrodomésticos conectados. Sin embargo, los electrodomésticos no son algo que solo tengan los techies… ¡Los tienen sus padres y sus abuelos! Esas personas que no saben nada de tecnología.

Y, por tanto, se convierten en un nido de vulnerabilidades. Dejando a un lado las vulnerabilidades que pueden implicar en sí mismos (es decir, vulnerabilidades derivadas de agujeros de seguridad que tienen los propios electrodomésticos inteligentes), también están las relacionadas con el Google Hacking.

En algunos casos, estos dispositivos tienen webs asociadas… Y esas webs pueden indexarse. Con una adecuada búsqueda en Google, puedes encontrar estos dispositivos y aprovecharte de ellos.

No vamos a indicarte cuáles son los comandos que se pueden utilizar para ello (por motivos obvios), pero sí te diremos que puedes utilizar comandos para controlar desde simples impresoras a cámaras de seguridad o webcams.

Así que conviene tener cuidado con la información que comparten nuestros electrodomésticos inteligentes… ¡Porque puede que no sean tan inteligentes como pensábamos!

Servidores con poca seguridad

Servidores con poca seguridad

Este es uno de los puntos más habituales en el tema del Google Hacking. Los servidores poco seguros, desactualizados o que no han sido puestos a punto por un profesional pueden tener importantes agujeros de seguridad.

Estos agujeros de seguridad no se pueden explotar directamente a través del Google Hacking, pero se pueden explotar de forma muy sencilla mediante otras técnicas.

Y puede que te estés preguntando: ¿Y entonces por qué lo incluyes en este artículo sobre Google Hacking?

Y la respuesta es que… Esos servidores poco seguros y desactualizados se pueden encontrar mediante los operadores avanzados de Google.

Es decir, tú puedes ir probando servidor a servidor todos los existentes y, quizá, dar con uno que tiene la vulnerabilidad que tú eres capaz de explotar. Pero esto sería muy lento y en el 99% de las ocasiones, fallarías.

Sin embargo, mediante unas cuantas búsquedas en Google, puedes encontrar miles de servidores desactualizados y, por tanto, ir directamente a por aquellos que vas a poder explotar sin dificultad.

Nombres de usuario y contraseñas

Pero la verdad es que los servidores poco seguros no solo pueden explotarse vía vulnerabilidades directas. A veces, simplemente, nos ofrecen los datos que nos interesan sin necesidad de hacer absolutamente nada.

Hay algunos servidores tan inseguros y mal configurados (y algunas páginas internas y webs mal construidas) que, sencillamente, indexan información confidencial.

Por ejemplo, puedes encontrar usuarios y contraseñas de administrador de un servidor indexados en Google. Otros comandos pueden permitirte encontrar listas de usuarios (con la contraseña incluida) en formato txt.

Es decir, información muy sensible que, por malas prácticas, acaba indexada en el principal motor de búsqueda del mundo. ¡Imagínate el poder que se le da a los hackers con estos fallos en la seguridad de una web!

Y… ¿Qué hay de la legalidad del Google Hacking?

Y, por último, hablemos de algo un poco más controvertido… ¿Qué tan legal es el Google Hacking? Al fin y al cabo, lo único que estamos haciendo es acceder a información que es pública porque está indexada en Google, ¿no? Pero, al mismo tiempo, estamos haciendo un mal uso de información que debería ser confidencial…

Lo cierto es que es un tema controvertido, porque, sin lugar a dudas, la responsabilidad no puede ser únicamente del hacker que encuentra la información. De alguna forma, la persona que no configuró correctamente el servidor y el propio motor de búsqueda también tienen que tener responsabilidad.

Por otro lado, acceder a esa información no es ilegal. Sin embargo, el uso que hagamos de ella sí puede serlo. Por ejemplo, encontrar una lista de usuarios y contraseñas no es ilegal. Ahora bien, acceder sin permiso al servidor utilizando dicha información, sí puede serlo.

Sin embargo, es un tema lo suficientemente complejo como para que, si te hackean siguiendo estos métodos y acabas en un juicio, no esté tan claro que vayas a ganarlo. Por lo tanto, es importante que te preocupes por ti mismo de mejorar la seguridad de tu sitio.

Al fin y al cabo, eres el principal responsable de que ese tipo de datos no estén disponibles en Google.

Como puedes ver, Google Hacking es una técnica informática que puede dar muchos quebraderos de cabeza. Si eres una persona que está en el foco de alguien con estos conocimientos… ¡Más te vale limpiar la red de tu información personal!

Preguntas frecuentes

¿Para qué sirve Google Hacking?

Es una serie de comandos por los cuales podemos encontrar información más rápida en el buscador, se suele utilizar en el ámbito del SEO y marketing digital.

¿Es seguro?

Puedes encontrar a través de estos comandos servidores poco seguros y desactualizados.

¿Es legal usar Google Hacking?

Sí, ya que acceder a la información no es algo ilegal de por si, pero no puedes por ejemplo usar esa información si puede serlo.