Google hacking, buscando cosas prohibidas y secretas en la red

Google Hacking Database es una base de datos que recopila búsquedas especiales para Google y que permiten encontrar un sin fin de información filtrada en internet. El proyecto fue creado hace algunos años por un tipo llamado Johnny Long y luego continuado por el equipo de exploit-db.com.

Al acceder nos encontraremos con una gran lista de comandos y búsquedas para realizar ordenadas por categorías. Para cada una de ellas se explica su función y el tipo de información que pueden revelar como passwords, documentos confidenciales, vulnerabilidades en aplicaciones y todo tipo de cosas que no deberían aparecer en Google pero aparecen por malas configuraciones de los servidores y los sitios.

Tal vez una de las búsquedas más divertidas sea la de webcams de seguridad abiertas o mal configuradas, algunas incluso se pueden controlar desde la PC (busca por «webcam» o «camera»):

Hay que tener en cuenta que si bien la información o los accesos se pueden encontrar al alcance de cualquiera (al final de cuentas uno simplemente accede a una página web), lo que se haga después puede generar problemas legales… así que hay que tener cuidado con eso.

La práctica de realizar este tipo de búsquedas se denomina Google hacking y no es algo que sea utilizado únicamente por los malos, los buenos también lo aprovechan para detectar problemas e incluso uno mismo podría hacerlo como se explica en este artículo de Chema Alonso: 6 easy tests para evaluar la seguridad de tu web (o de tu empresa).

Por último mencionar que Google tiene sus limitaciones y no es lo único que se puede utilizar para recopilar información, existen más buscadores y herramientas especializadas. En este sentido les puedo recomendar el blog de Chema donde hay mucha información publicada y ejemplos prácticos, también el libro Hacking con Buscadores escrito por Enrique Rando de Informatica64:

En la pasada ekoparty aproveché para comprárselo a Chema y les puedo asegurar que el libro está alucinantemente genial.