Muchas brechas de seguridad ocurren a través de activos que las empresas ni siquiera sabían que existían. Subdominios como staging.company.com o test.api.company.com suelen ser olvidados y pueden exponer infraestructura crítica.
OWASP Amass automatiza el descubrimiento de todos tus subdominios, proporcionando una vista completa de la superficie de ataque. Esta guía te enseñará cómo usarlo de manera profesional y segura.
¿Qué es OWASP Amass?
OWASP Amass es una herramienta open-source para Attack Surface Mapping y Asset Discovery. Esencialmente, es un motor potente de enumeración de subdominios que combina datos de más de 80 fuentes diferentes:
- Certificate Transparency Logs: Registros públicos de certificados SSL emitidos.
- Motores de búsqueda: Google, Bing y otros.
- Bases de datos DNS: Archivos históricos de DNS.
- Fuerza bruta: Prueba nombres comunes de subdominios automáticamente.
⚠️ Importante: Solo usa Amass en dominios que poseas o tengas permiso explícito. Escaneos no autorizados pueden violar la ley o términos de servicio.
Paso 1: Instalación de OWASP Amass
En Kali Linux
Amass ya viene preinstalado. Solo abre la terminal y comienza a enumerar.
En Debian / Ubuntu
sudo apt install amass
Verificar instalación
amass -version
Si devuelve un número de versión, estás listo.
Sintaxis básica de Amass
| Flag / Opción | Descripción | Ejemplo |
|---|---|---|
enum | Subcomando para enumeración de subdominios | amass enum |
-d | Dominio objetivo (obligatorio) | -d vulnweb.com |
-passive | Usa solo fuentes pasivas, sin consultas DNS directas | -passive |
-brute | Fuerza bruta con listas de subdominios | -brute |
-o | Guardar resultados en archivo | -o results.txt |
-json | Guardar resultados en JSON | -json output.json |
-list | Muestra las fuentes de datos utilizadas | amass enum -list |
-help | Muestra el menú de ayuda | amass enum -help |
Paso 2: Primer rastreo de subdominios (Reconocimiento Pasivo)
El modo pasivo consulta únicamente fuentes públicas. No toca los servidores del objetivo y es silencioso.
amass enum -passive -d vulnweb.com
Resultados típicos para vulnweb.com:
testphp.vulnweb.comtestasp.vulnweb.comtesthtml5.vulnweb.com
Esto es tu mapa inicial de superficie de ataque.
Paso 3: Reconocimiento Activo y Fuerza Bruta
Reconocimiento Activo
Remueve -passive para que Amass interactúe directamente con DNS:
amass enum -d vulnweb.com
- Activo = más ruidoso, puede descubrir subdominios no listados públicamente.
- Pasivo = sigiloso, consulta registros públicos, logs de certificados y motores de búsqueda.
Fuerza Bruta de Subdominios
Para descubrir subdominios ocultos (ej. dev, staging, ftp, cpanel):
amass enum -passive -brute -d vulnweb.com
Resultados revelan:
- Subdominios no evidentes
- Infraestructura compartida (
testaspnet.vulnweb.comytestasp.vulnweb.com) - Servidores locales o mal configurados (
localhost.vulnweb.com) - Distribución de servicios en AWS y NUCDN
Paso 4: Fuentes de datos y listado
amass enum -list
Muestra todas las fuentes que Amass consulta durante la enumeración, incluyendo certificados, DNS históricos y motores de búsqueda.
Paso 5: Guardar resultados
Guardar resultados es crítico para documentación y reporting de pentesting.
amass enum -passive -d vulnweb.com -o vulnweb_subdomains.txt
cat vulnweb_subdomains.txt
Beneficios clave de OWASP Amass
- Automatiza la enumeración completa de subdominios
- Identifica activos olvidados que pueden ser vulnerables
- Mapea relaciones de infraestructura entre hosts y proveedores
- Genera resultados exportables para auditorías y reportes
Conclusión
OWASP Amass convierte la compleja tarea de descubrimiento de activos en un proceso rápido y confiable. Con él no solo encuentras subdominios, sino también entiendes cómo se interconectan tus servicios y qué puntos de entrada podrían estar expuestos.
🔑 Consejo profesional: Documenta siempre los resultados y analiza patrones de infraestructura para priorizar riesgos y cerrar puntos débiles.