Dada la complejidad que tienen las aplicaciones hoy en día, es prácticamente imposible poder asegurar que una aplicación es totalmente segura y no esconde ninguna vulnerabilidad que pueda poner en peligro nuestra seguridad, ya que el más pequeño despiste a la hora de programar puede tener resultados catastróficos para la seguridad. Por ello, para poder descubrir y controlar distintas vulnerabilidades existen lo que se conoce como escáneres de vulnerabilidades.

Hace ya dos meses os hablamos de una herramienta llamada Pompem, un completo buscador de vulnerabilidades y exploits que contaba con acceso a las principales bases de datos públicas de vulnerabilidades de manera que pudiera analizar nuestro sistema, o una plataforma web, e indicarnos si realmente es segura o esconde alguna vulnerabilidad que se nos haya podido pasar por alto.

Aunque completa y muy sencilla de usar, Pompem no es el único buscador de vulnerabilidades que podemos encontrar en la red. A continuación vamos a ver los más conocidos y mejores, además de este escáner ya mencionado, que podemos usar este 2019.

Escáneres de vulnerabilidades para auditar la seguridad en 2019

Uniscan

Una de las aplicaciones más conocidas dentro de este tipo de aplicaciones es Uniscan. Esta es una de las herramientas más sencillas para la búsqueda de vulnerabilidades pero también una de las más potentes, siendo capaz de buscar fallos de seguridad de los tipos más peligrosos, desde el acceso a los archivos locales hasta la ejecución de código remoto o la carga de archivos de forma remota a los sistemas vulnerables. También permite realizar un seguimiento de huella digital y listar los servicios, archivos y directorios de cualquier servidor.

Esta es una de las aplicaciones base de muchas distros de hacking ético, como Kali Linux, por lo que si usamos esta distro de hacking ético no tendremos que descargar ni instalar nada para poder usarla.

WMAP

WMAP es un escáner de vulnerabilidades que ha sido diseñado como un módulo para Metasploit. A grandes rasgos, este escáner de vulnerabilidades es prácticamente igual a Uniscan, ofreciendo a los usuarios los mismos tests y una información más o menos similar, con la diferencia de que su uso es algo más complicado al tener que lanzarlo directamente desde Metasploit. Si solemos usar esta herramienta, entonces esta extensión nos vendrá genial para complementar su funcionamiento.

Burp Suite

Otra alternativa más para auditar la seguridad de sistemas, webs y redes en busca de vulnerabilidades es Burp Suite. Esta es una de las herramientas más completas que podemos encontrar dentro de este tipo de software, aunque está diseñada con el fin de convertirse en una herramienta comercial. Aunque existe una “Community Edition”, la verdad es que esta versión gratuita carece de funciones y características interesantes, como la posibilidad de lanzar escáneres manuales.

Vega

Vega es la alternativa a Burp Suite pero desarrollado de forma totalmente gratuita y de código abierto. Esta herramienta puede utilizarse como un proxy gratis y, además, cuenta con un motor para buscar vulnerabilidades en cualquier sistema o red, además de otras brechas de seguridad. El principal punto fuerte de Vega es que se trata de una herramienta muy flexible, pudiendo encontrar una versión para Linux, macOS y Windows, aunque para este último sistema solo lo encontraremos con interfaz gráfica, GUI.

Nikto

Los usuarios que quieren una herramienta potente y, además, que devuelva unos resultados muy exhaustivos, recurren a Nikto. Esta herramienta es totalmente gratuita y está escrita en Perl. Su funcionamiento es bastante similar al de otras herramientas ya vistas como Uniscan, con la diferencia de que Nikto devuelve unos resultados mucho más detallados, lo que es de agradecer tanto para los usuarios profesionales, que pueden saber más sobre las vulnerabilidades, como para los usuarios que se están iniciando dentro de la seguridad informática, ya que pueden aprender más sobre la naturaleza de las vulnerabilidades.