#3 Google Dorks: las búsquedas que encuentran lo que no debería estar online
Hace unos días estaba haciendo el reconocimiento inicial de una web para un cliente. Sin instalar nada. Sin herramientas especiales. Solo con el buscador de Google y tres minutos.
Encontré un documento interno indexado con nombres de empleados y sus extensiones telefónicas. Un panel de administración accesible desde fuera. Y una versión de WordPress visible en el código fuente.
Todo público. Todo encontrable por cualquiera.
Hoy te explico cómo funciona eso. No para que lo uses con malas intenciones, sino para que entiendas qué está viendo quien busca activamente información sobre tu empresa o tu web.
Google Dorks: las búsquedas que encuentran lo que no debería estar online
Un Google Dork es una búsqueda avanzada que usa operadores específicos para filtrar resultados con mucha precisión. Google indexa todo lo que encuentra en internet — incluido lo que tú no tenías intención de exponer.
Los operadores más usados son simples:
site: — restringe la búsqueda a un dominio concreto.
site:tuempresa.com muestra todo lo que Google tiene indexado de tu web.
filetype: — busca archivos de un tipo específico.
site:tuempresa.com filetype:pdf devuelve todos los PDFs de tu dominio que Google ha indexado. Contratos, presupuestos, documentos internos — si están en el servidor y son accesibles, aparecen.
inurl: — busca texto dentro de la URL.
site:tuempresa.com inurl:admin localiza URLs que contengan la palabra “admin”. Paneles de administración, áreas de gestión, accesos internos.
intext: — busca texto dentro del contenido de la página.
intext:"Index of /" encuentra directorios abiertos donde se pueden ver y descargar todos los archivos de una carpeta.
intitle: — busca en el título de la página.
intitle:"Dashboard" inurl:wp-admin encuentra paneles de WordPress expuestos.
Combinando varios operadores se afina muchísimo.
Por ejemplo:site:tuempresa.com filetype:xls OR filetype:xlsx — hojas de cálculo públicas en tu dominio.
Esto no es hacking. No requiere acceso no autorizado a nada. Google ya lo ha indexado. Solo hay que saber cómo preguntarlo.
¿Qué busca un atacante con esto?
Versiones de software expuestas en el código fuente, archivos de configuración accidentalmente públicos, formularios de login sin protección, documentos con información sensible indexada y subdominios olvidados con software desactualizado.
¿Qué puedes hacer tú?
Busca tu propio dominio. Usa los operadores de arriba con tu web real y mira qué devuelve Google. Es gratis, tarda cinco minutos y puede darte una imagen muy clara de qué está expuesto.
Si encuentras algo que no debería estar ahí, el siguiente paso es revisar los permisos de esos archivos o añadir tu sitio a Google Search Console para solicitar la eliminación del índice.
Para llevar
Tres búsquedas que puedes hacer ahora mismo con tu dominio:
1. site:tudominio.com filetype:pdf OR filetype:doc OR filetype:xls
¿Aparece algún documento que no debería ser público? Facturas, presupuestos, documentos internos. Si aparece, revisa los permisos del archivo en el servidor.
2. site:tudominio.com inurl:admin OR inurl:login OR inurl:wp-admin
¿Hay algún panel de acceso indexado y visible? No pasa nada por que exista, pero sí conviene tener limitación de intentos activa y usuario administrador con nombre no obvio.
3. site:tudominio.com intext:"Index of /"
¿Alguna carpeta de tu servidor tiene el listado de directorios abierto? Eso significa que cualquiera puede ver y descargar los archivos de esa carpeta. Si aparece algo, desactiva el directory listing en tu hosting.
En el radar — próxima edición
#4 · Los primeros 10 minutos de un ataque de ransomware
No te voy a explicar qué es el ransomware. Eso ya lo sabes. Lo que quiero que veas es el proceso paso a paso: cómo entra, qué hace antes de cifrar nada, por qué espera, y por qué cuando aparece el mensaje ya es demasiado tarde para reaccionar.
La semana que viene, con el proceso real y sin dramatismo.
Hasta la próxima
Si has hecho las búsquedas de arriba y has encontrado algo que no esperabas ver, no entres en pánico. La mayoría de cosas tienen solución fácil una vez que sabes que existen.
Si no sabes por dónde empezar o lo que ves no terminas de entenderlo, escríbeme. Me lo cuentas y te digo qué tiene importancia real y qué no.
Cada viernes a las 9 de la mañana, sí he cambiado la hora, tienes una nueva edición de Hurón del Hack esperándote. Si esta edición te ha parecido útil, deja un comentario o pásala a alguien que gestione una web o trabaje con información sensible — le puede ahorrar un disgusto.
Nos vemos el viernes que viene.
Chabi Angulo
Consultor de Ciberseguridad
chabiangulo.com · LinkedIn
Hurón del Hack sale cada viernes. Si te han reenviado esto, puedes suscribirte en huronhack.substack.com
