Port-forwarding y Pivoting en auditorías de ciberseguridad

Existen técnicas esenciales que permiten a un auditor o pentester acceder a servicios internos, moverse entre redes y explotar sistemas que, en circunstancias normales, deberían ser inaccesibles. Entre estas técnicas destacan el port-forwarding, el pivoting, los túneles y otras estrategias de explotación a través de equipos intermedios. Su importancia radica en que son parte fundamental del movimiento lateral, el acceso indirecto y la post-explotación dentro de entornos corporativos complejos.

Comprender cómo funcionan, cuándo utilizarlas y qué herramientas las facilitan es indispensable para cualquier profesional que busque evaluar la seguridad de infraestructuras modernas. A continuación se exploran estos conceptos en profundidad.

Port-forwarding: una técnica esencial en auditorías internas y externas

El port-forwarding es una de las estrategias más utilizadas para redirigir tráfico entre máquinas que, en teoría, no pueden comunicarse directamente. Esto ocurre comúnmente cuando un servicio está limitado por reglas de firewall, configuraciones de red segmentada, o cuando se encuentran máquinas accesibles únicamente desde dentro de una organización.

La esencia del port-forwarding es permitir que un cliente acceda a un servicio remoto como si estuviera ejecutándose localmente, o viceversa, permitiendo exponer un servicio interno hacia el exterior. Esto es particularmente útil cuando un auditor logra comprometer un servidor que tiene mayor conectividad interna que la que él posee desde su propia ubicación.

Existen tres modalidades fundamentales:

1. Local port-forwarding

Este método permite que un servicio remoto se mapee hacia un puerto local. Por ejemplo, si un servidor interno aloja un servicio HTTP en el puerto 80 pero no es accesible desde fuera, se puede crear un túnel con un puerto como el 8080 en la máquina del auditor. Esto convierte al servicio remoto en algo accesible mediante localhost, lo que facilita inspecciones, explotación o análisis automatizado.

El túnel se crea frecuentemente con SSH, usando un comando como:

De esta forma, todo el tráfico pasa a través del equipo intermedio comprometido.

2. Remote port-forwarding

La redirección remota expone un servicio local desde la máquina del auditor hacia un servidor remoto. Esta técnica es muy útil cuando se trabaja dentro de redes privadas donde un atacante busca compartir con su propio servidor información obtenida o puertos abiertos. En escenarios donde NAT o firewalls restringen la salida, el remote forwarding permite “sacar” servicios hacia el exterior sin necesidad de modificaciones en la infraestructura.

3. Dynamic port-forwarding

Es la modalidad más versátil, ya que crea un proxy dinámico —generalmente SOCKS— que permite enrutar tráfico hacia cualquier parte de la red interna. Esto posibilita al auditor navegar por la red comprometida como si estuviera conectado físicamente en ella. Herramientas como proxychains pueden encadenar múltiples saltos para recorrer redes muy segmentadas.

Herramientas clave para implementar port-forwarding

Varias herramientas son ampliamente utilizadas por profesionales de seguridad debido a su fiabilidad, flexibilidad y facilidad de uso:

SSH

Es, sin duda, la opción más utilizada. Además de su función de acceso remoto seguro, permite crear túneles cifrados en cualquiera de las modalidades mencionadas. Con parámetros como -L, -R y -D, SSH se transforma en un mecanismo extremadamente poderoso para saltar restricciones de red.

Ngrok

Es popular por su facilidad para exponer servicios locales a Internet mediante túneles seguros y sin necesidad de modificar firewalls o routers. Esto lo hace atractivo tanto para desarrolladores como para auditores. Sin embargo, su simplicidad también lo convierte en una herramienta frecuentemente abusada por atacantes que buscan evadir controles tradicionales.

Plink

Una alternativa ligera a SSH, ideal para scripting y automatización, especialmente útil en entornos Windows donde se requiere operar sin interfaces gráficas.

Explotación a través de equipos intermedios: pivoting

Una vez comprometido un sistema inicial dentro de una red, se habilita la posibilidad de realizar pivoting, una de las fases más importantes del movimiento lateral. El pivoting consiste en usar ese equipo como puente para llegar a máquinas adicionales en la red interna, subredes ocultas o servidores protegidos.

El equipo comprometido se convierte en un “pivot”, permitiendo al auditor acceder a recursos que antes estaban fuera de su alcance. Esto es posible porque dicho sistema ya posee permisos y rutas válidas dentro de la red corporativa.

El pivoting puede clasificarse en dos tipos:

Pivoting de capa 2

Permite interactuar directamente con dispositivos dentro de la misma subred. Funciona en el nivel de enlace de datos y facilita técnicas como sniffing, ARP spoofing o análisis de tráfico local.

Pivoting de capa 3

Opera a nivel de red, utilizando túneles, proxys o configuraciones de enrutamiento para enviar tráfico hacia otras subredes. Es la modalidad más frecuente en auditorías profesionales, especialmente cuando se trabaja con redes muy segmentadas.

Proceso típico de pivoting y herramientas relacionadas

El proceso general implica:

1. Identificación de redes accesibles desde el sistema comprometido mediante comandos como ifconfig, ipconfig o route print.

2. Escaneo de esas nuevas redes mediante Nmap o módulos de Metasploit.

3. Establecimiento de rutas persistentes para que otras herramientas puedan interactuar con ellas.

Herramientas como Metasploit permiten automatizar gran parte del proceso mediante módulos como autoroute, que añade rutas automáticamente, o socks4a, que convierte la sesión en un proxy útil para otras aplicaciones.

Post-explotación y movimiento lateral

Una vez que el auditor obtiene acceso a redes internas mediante pivoting, la siguiente fase consiste en el movimiento lateral. Aquí el objetivo es comprometer más sistemas, escalar privilegios y localizar activos importantes. También se busca mantener persistencia en el entorno, pues perder el acceso al equipo pivot implica perder el acceso a toda la red alcanzada a través de él.

La exfiltración de datos, especialmente mediante protocolos permitidos como DNS o HTTPS, juega un papel relevante. Herramientas como DNSCat2 permiten encapsular información dentro de consultas DNS, evitando así mecanismos de detección. La persistencia, por su parte, puede lograrse mediante backdoors, cuentas ocultas o modificaciones de tareas programadas.

Finalmente, para evadir detección, se emplean técnicas de ofuscación como living off the land, en la cual se utilizan herramientas legítimas del sistema, y limpieza de registros o historiales.

El port-forwarding y el pivoting constituyen pilares fundamentales para comprender cómo un auditor puede atravesar barreras de red, acceder a servicios internos y explotar sistemas que no están expuestos directamente. Son técnicas imprescindibles para evaluar la robustez de las defensas corporativas y entender cómo un atacante real podría moverse dentro de una red comprometida. Su dominio no solo permite realizar auditorías más completas, sino también diseñar arquitecturas más seguras y resilientes.