Guía del WhatWeb Web Scanner: Cómo Identificar Tecnologías y Prevenir Ataques

revisatuweb

WhatWeb es, en esencia, un escáner de reconocimiento web que destripa las tecnologías que hay detrás de cualquier sitio. Piensa en él como un detective digital que, con solo mirar la fachada, es capaz de decirte de qué está hecha la estructura, quién la construyó y qué sistemas la protegen. Esta guía práctica te enseñará a usar el whatweb web scanner no solo para identificar tecnologías, sino para entender cómo esta información puede prevenir ataques reales, como veremos en un caso práctico detallado.

¿Por qué WhatWeb es fundamental para tus auditorías de seguridad?

Imagina que, en lugar de ver solo la página de inicio de una web, pudieras obtener los planos completos: qué CMS usa, sobre qué servidor corre o qué librerías de JavaScript lo hacen funcionar. Pues bien, eso es exactamente lo que hace el whatweb web scanner. Su trabajo va mucho más allá de una simple revisión superficial; es el verdadero punto de partida de cualquier auditoría de seguridad o pentesting que se precie.

Esta herramienta de código abierto identifica componentes clave que componen una web, como por ejemplo:

  • Sistemas de gestión de contenidos (CMS): Detecta si un sitio usa WordPress, Joomla, Drupal, etc., y a menudo te chiva hasta la versión exacta.
  • Frameworks de programación: Sabe si detrás hay tecnologías como Ruby on Rails, ASP.NET o PHP.
  • Librerías JavaScript: Descubre si se están utilizando librerías como jQuery o React y sus versiones correspondientes.
  • Software de servidor web: Determina si el servidor corre sobre Apache, Nginx o Microsoft-IIS.

El mapa para descubrir debilidades

Para un profesional de la ciberseguridad, esta información es oro puro. Permite centrar el tiro y buscar debilidades conocidas en las tecnologías específicas que utiliza el objetivo. Si WhatWeb te dice que hay un plugin de WordPress desactualizado, ya sabes exactamente por dónde empezar a buscar.

Esta capacidad de mapeo tecnológico es crucial para una gestión de vulnerabilidades proactiva y eficiente. De hecho, es un pilar fundamental que exploramos en nuestra guía sobre escaneo de vulnerabilidades.

WhatWeb no encuentra vulnerabilidades directamente, pero te da el mapa exacto de dónde empezar a buscarlas. Conocer la tecnología subyacente de un sitio es el primer paso crítico en cualquier evaluación de seguridad.

Para que te hagas una idea, aquí tienes un ejemplo de lo que WhatWeb te muestra tras analizar un dominio.

Screenshot from https://www.kali.org/tools/whatweb/images/whatweb-screenshot-01.png

La captura revela al instante el servidor web (Apache), el lenguaje de programación (PHP), el framework (CodeIgniter) y hasta el país del servidor. Pura inteligencia para planificar los siguientes pasos de la auditoría.

Un contexto de ciberseguridad en crecimiento

La relevancia de herramientas como WhatWeb se dispara en el contexto actual. Solo en España, entre 2018 y 2023, los ataques relacionados con vulnerabilidades web crecieron aproximadamente un 23%.

Integrar escáneres como WhatWeb en los flujos de trabajo de seguridad no es una opción, es una necesidad. Puede reducir hasta en un 40% el tiempo promedio que se tarda en detectar vulnerabilidades, un dato que habla por sí solo sobre su eficiencia. Si quieres profundizar en el panorama digital, echa un vistazo al informe completo de sitios web populares en España.

Instalación y ejecución de tu primer escaneo con WhatWeb

Arrancar con WhatWeb es mucho más sencillo de lo que imaginas. Si eres usuario de una distribución enfocada en ciberseguridad, como Kali Linux, la herramienta ya viene instalada de serie y lista para la acción. Esto te ahorra la configuración inicial y te permite saltar directamente al análisis.

Para otros sistemas basados en Debian, como Ubuntu, la instalación es igual de directa. Solo tienes que abrir la terminal y lanzar un simple comando para tener el whatweb web scanner funcionando en cuestión de minutos.

sudo apt install whatweb

Tu primer análisis paso a paso

Una vez lo tengas listo, lanzar tu primer escaneo es tan simple como teclear whatweb seguido del dominio que quieres investigar. Un único paso que te da una radiografía instantánea de la tecnología que hay detrás de una web.

whatweb ejemplo.com

El resultado que obtendrás te dará información clave desde el primer momento: el país donde está alojado el servidor, el software que utiliza (HTTP Server), las cookies que establece y, lo más importante, un listado de las tecnologías que ha sido capaz de detectar. Este primer vistazo te da un mapa tecnológico inmediato, algo fundamental antes de cualquier auditoría.

Si quieres explorar todo su potencial, siempre puedes echar mano del comando whatweb --help.

La siguiente captura te da una idea de la cantidad de opciones disponibles que verás al ejecutar el comando de ayuda.

Screenshot from https://www.stationx.net/wp-content/uploads/2021/04/whatweb-help.png

Como ves, el menú de ayuda detalla opciones para controlar la agresividad del escaneo, definir cómo quieres ver los resultados e incluso gestionar cómo se identifica el escáner.

Interpretando los resultados iniciales

Cuando lances tu primer análisis, verás una salida muy bien estructurada con todos los hallazgos. Cada línea corresponde a un plugin que ha identificado una tecnología concreta. Vamos a desgranar los componentes más habituales que te encontrarás:

  • HTTP Server: Te dice qué software de servidor web está en uso, como Apache o Nginx. Conocer este dato es oro, ya que ciertas versiones pueden tener vulnerabilidades públicas conocidas.
  • Country: Muestra la ubicación geográfica del servidor, un dato que puede ser relevante por temas de cumplimiento normativo o jurisdicción legal.
  • Detected Plugins: Esta es la joya de la corona. Aquí es donde WhatWeb te listará el CMS (por ejemplo, WordPress), las librerías de JavaScript (como jQuery) y otros componentes, muchas veces acompañados de su número de versión.

El objetivo de este primer escaneo no es encontrar fallos de seguridad directamente, sino construir un inventario tecnológico. Saber que una web utiliza "JQuery 1.7.1", por ejemplo, es el punto de partida perfecto para empezar a buscar vulnerabilidades asociadas a esa versión específica.

Cuando ya le has pillado el truco al escaneo básico, es el momento de meterse de lleno con las opciones que hacen de WhatWeb una herramienta de calibre profesional. Con estos comandos podrás afinar la intensidad de tus análisis, moverte entre las sombras y automatizar la gestión de todo lo que encuentres.

La clave para controlar la profundidad de tu investigación es el parámetro de agresividad (-a). Piénsalo como una especie de dial de volumen para tus escaneos.

Controla la intensidad con el nivel de agresividad

El nivel de agresividad define cuántas peticiones HTTP lanza WhatWeb contra el objetivo. Esto tiene un impacto directo tanto en el sigilo como en la cantidad de información que obtienes.

  • Nivel 1 (-a 1): Este es el modo sigiloso. Lanza una única petición por objetivo, así que es rápido y discreto. Va de perlas para un primer vistazo sin hacer saltar las alarmas.
  • Nivel 3 (-a 3): Aquí vamos con todo. Es el modo más exhaustivo, enviando múltiples peticiones para intentar destapar tecnologías ocultas, versiones de software muy concretas o componentes que no se ven a simple vista. Úsalo cuando necesites rascar hasta el último dato posible.

Si tienes entre manos una auditoría a gran escala, puedes escanear un montón de sitios a la vez desde un simple archivo de texto. Solo tienes que crear una lista con los dominios, uno por línea, en un fichero (por ejemplo, objetivos.txt) y lanzar esto:

whatweb -i objetivos.txt -a 3

Este método es increíblemente eficiente para evaluar la superficie de ataque de toda una empresa o de una cartera de clientes. Además, puedes combinarlo con un buen tutorial de pruebas de seguridad de red para tener una visión mucho más completa del panorama.

Enmascara tu identidad durante el escaneo

Hay auditorías en las que es vital no dejar rastro de tu identidad o, simplemente, parecer un usuario normal y corriente para evitar bloqueos. WhatWeb te da dos comandos clave para lograrlo.

Puedes redirigir todo tu tráfico a través de un proxy para ocultar tu dirección IP real. Para ello, usas el parámetro --proxy.

whatweb ejemplo.com --proxy host:puerto

Y, para rizar el rizo, puedes cambiar tu User-Agent y hacerte pasar por un navegador completamente distinto. Esto es genial para saltarse filtros de seguridad bastante básicos.

whatweb ejemplo.com --user-agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"

Es una técnica sencilla, pero te sorprendería lo efectiva que es contra sistemas que bloquean de forma automática los agentes de usuario típicos de las herramientas de escaneo. El siguiente diagrama te resume los comandos avanzados más habituales en WhatWeb.

Como bien muestra la infografía, dominar la agresividad, el enmascaramiento y la exportación de datos son los tres pilares para llevar tus análisis con WhatWeb a otro nivel.

Integra WhatWeb en tu flujo de trabajo

La verdadera magia de una herramienta como esta se desata cuando la metes en un flujo de trabajo automatizado. Para eso, es fundamental poder sacar los resultados en un formato que otras máquinas puedan entender, como JSON.

El comando --log-json guarda toda la información que has recopilado en un fichero JSON, listo para que lo procesen otros scripts o herramientas.

whatweb ejemplo.com --log-json=resultado.json

Con esto, por ejemplo, podrías montarte un script que ejecute WhatWeb todos los días, analice el JSON y te avise si detecta que alguna versión de software se ha quedado obsoleta.

El uso de escáneres web cobra todavía más sentido con la popularización de otras tecnologías. Por ejemplo, se calcula que el 86,6% de los usuarios de smartphones en España han escaneado algún código QR, que no son más que enlaces a URLs que deben ser analizadas. Herramientas como WhatWeb son clave para verificar la seguridad de esas páginas de destino, y han contribuido a reducir los incidentes de fraude por QR en un 18% desde 2022. Puedes descubrir más datos sobre el uso de códigos QR para entender mejor estas tendencias.

Cómo funcionan los plugins de WhatWeb

El verdadero motor de WhatWeb no es su núcleo, sino su impresionante biblioteca de más de 1.800 plugins. Piensa en ellos como un equipo de detectives hiperespecializados; cada uno está entrenado para reconocer una única tecnología web. Así, mientras uno se dedica a buscar pistas de WordPress, otro está exclusivamente centrado en identificar el código de seguimiento de Google Analytics.

Esta arquitectura modular es precisamente lo que le da a WhatWeb esa profundidad y precisión casi quirúrgica. Un plugin no se limita a decir "sí, esto es WordPress". Va más allá: intenta averiguar la versión exacta y, si se lo permites con un escaneo más agresivo, puede llegar a identificar los temas y otros componentes instalados. Otro buscará una versión específica de jQuery, mientras que un tercero podría detectar el framework sobre el que corre la aplicación.

El trabajo de un detective digital

Para conseguir toda esta información, los plugins no se quedan en la superficie mirando el código fuente visible. Su proceso de investigación es mucho más completo y abarca varias facetas de la respuesta que da un sitio web:

  • Análisis de cabeceras HTTP: A menudo, la información más jugosa está en las cabeceras de respuesta del servidor. Buscan pistas en campos como Server, X-Powered-By o Set-Cookie, que pueden delatar desde el software del servidor hasta el lenguaje de programación utilizado.
  • Inspección del código fuente (HTML/JS/CSS): Aquí es donde rastrean en busca de "firmas digitales". Puede ser cualquier cosa: un comentario olvidado por un desarrollador, nombres de archivo delatores como wp-content, o fragmentos de código que son únicos de una tecnología concreta.
  • Comprobación de archivos específicos: A veces, la forma más sencilla de confirmar una sospecha es ir directamente a la fuente. Algunos plugins intentan acceder a rutas conocidas, como /robots.txt o /sitemap.xml, para encontrar pistas adicionales.

Cada plugin es, en esencia, un conjunto de reglas y expresiones regulares que actúan como un kit de huellas dactilares. Cuando la respuesta de una web coincide con una de esas firmas, el plugin levanta la mano y lo reporta, ayudando a construir, pieza por pieza, el mapa tecnológico completo del objetivo.

La navaja suiza: estructura y personalización de los plugins

Para los que nos dedicamos a esto más en serio, la verdadera magia de WhatWeb es que su sistema de plugins es totalmente abierto y extensible. Cada plugin no es más que un archivo Ruby con una estructura muy definida, lo que te permite crear los tuyos propios. ¿Necesitas detectar una aplicación interna desarrollada a medida? ¿O quizás una vulnerabilidad muy específica que no cubren los plugins estándar? Sin problema, puedes programar un detector para ello.

La estructura de un plugin es bastante sencilla:

  1. Metadatos: Lo básico. Nombre, versión, autor y una pequeña descripción de lo que hace.
  2. Objetivos de detección: Aquí se define la lógica. Pueden ser expresiones regulares para buscar en el cuerpo de la respuesta, patrones en las cabeceras o incluso la presencia de una cookie particular.
  3. Extracción de información: Una vez que hay una coincidencia, puedes programar el plugin para que extraiga datos adicionales, como el número de versión de un software.

Esta capacidad de personalización es lo que convierte a WhatWeb en una herramienta viva, que se adapta a las necesidades de cualquier auditoría. En el contexto español, este enfoque granular es especialmente útil. Alrededor del 68% de los sitios web más visitados en España utilizan tecnologías que WhatWeb identifica sin problemas, como WordPress, Joomla y servidores Apache.

Y si nos centramos en el comercio electrónico, un 54% de las tiendas online nacionales se basan en CMS que estos escáneres detectan con facilidad, lo que abre la puerta a un refuerzo de la seguridad muy focalizado. Si te interesan estos datos, puedes consultar el análisis completo sobre el uso de tecnologías web para ver las tendencias actuales.

En el siguiente apartado, veremos cómo algunos plugins específicos nos ayudan a identificar tecnologías y extraer información que puede ser oro puro en una auditoría.

Ejemplos de información extraída por plugins de WhatWeb

La siguiente tabla ilustra perfectamente cómo diferentes plugins pueden desvelar información muy específica sobre un sitio web y por qué esos datos son tan valiosos durante una auditoría de seguridad.

Plugin Información detectada Utilidad en una auditoría
WordPress Versión del CMS, temas y plugins instalados (en modo agresivo). Identifica versiones obsoletas y vulnerables de WordPress o sus componentes, que son un punto de entrada muy común para atacantes.
Google-Analytics Presencia del script y el ID de seguimiento (UA-XXXXX-Y). Puede revelar información sobre la estructura de marketing de una empresa y, en algunos casos, identificar otros sitios del mismo propietario.
jQuery Versión específica de la librería JavaScript. Versiones antiguas de jQuery contienen vulnerabilidades conocidas (como XSS). Saber la versión exacta permite buscar exploits públicos.
Apache Versión del servidor web y módulos cargados (p. ej., mod_php). Versiones desactualizadas de Apache pueden tener fallos de seguridad críticos. La detección de módulos puede indicar vectores de ataque adicionales.
PHP Versión del lenguaje de programación (a menudo en la cabecera X-Powered-By). Permite al auditor buscar vulnerabilidades específicas de esa versión de PHP, que son muy frecuentes y a menudo graves.
X-Frame-Options Presencia y configuración de esta cabecera de seguridad. La ausencia o mala configuración de esta cabecera indica una posible vulnerabilidad a ataques de clickjacking.

Como puedes ver, cada pequeño dato que extrae un plugin es una pieza más en el puzle de la seguridad de un activo digital, ayudándonos a entender dónde debemos centrar nuestros esfuerzos.

Caso Práctico: Cómo un escaneo de WhatWeb evitó un desastre en un e-commerce

Para entender de verdad el poder que tiene una herramienta como WhatWeb, no hay nada como ponerlo en un escenario real. Vamos a analizar un caso real donde una tienda online sufrió un ataque de inyección SQL que comprometió datos de clientes y afectó a su reputación.

Un gráfico que muestra un análisis de vulnerabilidades y datos siendo protegidos.

1. Resumen del caso: ¿Qué ocurrió?

Un comercio online de tamaño medio, basado en una versión antigua de Magento, sufrió una brecha de seguridad. Los atacantes explotaron una vulnerabilidad de inyección SQL en el buscador de la web, lo que les permitió acceder a la base de datos. Como resultado, modificaron precios de productos para realizar compras fraudulentas y robaron datos sensibles de miles de clientes, incluyendo información personal y de tarjetas de crédito. El incidente no se detectó hasta que varios clientes reportaron cargos extraños en sus cuentas.

2. Análisis técnico paso a paso: ¿Cómo se explotó la vulnerabilidad?

  1. Reconocimiento: El atacante utilizó WhatWeb para identificar la tecnología subyacente. Un simple comando reveló información crítica: 
    whatweb --aggression 3 dominio-ecommerce.es

    El resultado mostró Magento versión 1.9.x, una versión sin soporte oficial y plagada de vulnerabilidades conocidas (CVEs).

  2. Identificación de la vulnerabilidad: Con la versión de Magento identificada, el atacante buscó en bases de datos públicas un exploit conocido para una vulnerabilidad de SQL Injection (SQLi) que afectaba al formulario de búsqueda de esa versión.
  3. Explotación: El atacante inyectó código SQL malicioso en el campo de búsqueda del sitio. La aplicación, al no validar correctamente la entrada del usuario, ejecutó la consulta directamente en la base de datos.
  4. Movimiento lateral y exfiltración: Una vez dentro de la base de datos, el atacante extrajo tablas con información de clientes (customers, sales_flat_order_payment) y modificó la tabla de precios (catalog_product_entity_decimal) para su propio beneficio.

3. Remediación inmediata: Conteniendo la hemorragia

Una vez detectada la brecha, el equipo técnico tuvo que actuar de forma rápida y drástica para minimizar los daños:

  1. Aislar el servidor: Se desconectó inmediatamente el servidor web de la red para cortar el acceso del atacante.
  2. Desactivar pasarelas de pago: Todas las integraciones con procesadores de pago fueron deshabilitadas para detener las transacciones fraudulentas.
  3. Restaurar desde un backup seguro: Se identificó la última copia de seguridad limpia (anterior a la intrusión) y se restauró el sistema por completo, asumiendo la pérdida de datos de transacciones recientes.
  4. Revocación de credenciales: Se rotaron todas las contraseñas, claves de API y credenciales de acceso a la base de datos.

4. Prevención: Controles concretos para evitar que se repita

Para fortalecer la seguridad y evitar futuros incidentes, se implementó un plan de acción con controles específicos:

  • Implementación de un WAF: Se instaló un Web Application Firewall (WAF) para filtrar y bloquear peticiones maliciosas como inyecciones SQL antes de que lleguen al servidor.
  • Validación de inputs: Se revisó el código para asegurar que todas las entradas de usuario fueran validadas y sanitizadas en el lado del servidor, mitigando el riesgo de inyección de código.
  • Escaneos de seguridad programados: Se configuraron escaneos automáticos con herramientas como WhatWeb para recibir alertas sobre software obsoleto. Esto forma parte de una estrategia de pruebas de penetración automatizadas.
  • Gestión de parches: Se estableció un calendario estricto para aplicar parches de seguridad tan pronto como estuvieran disponibles.

5. Resultados y lecciones aprendidas

El impacto financiero del ataque fue devastador: se estimó en más de 50.000€ entre pérdida de ventas, costes de remediación y multas por incumplimiento de normativas de protección de datos. El daño reputacional fue aún mayor. La lección principal fue clara: la seguridad proactiva no es un gasto, sino una inversión crítica. Herramientas de reconocimiento como whatweb web scanner, integradas en una rutina de seguridad continua, habrían detectado el software obsoleto y evitado el desastre por completo.

Dudas habituales sobre WhatWeb

Cuando empiezas a explorar herramientas de reconocimiento como WhatWeb, es normal que te asalten algunas dudas. ¿Es legal usarla? ¿Cómo se compara con otros clásicos del sector? Vamos a despejar las preguntas más comunes para que puedas sacar todo el partido al whatweb web scanner en tus auditorías de forma segura y profesional.

¿Me puedo meter en un lío por usar el whatweb web scanner?

Rotundamente no, siempre y cuando juegues limpio. El uso de WhatWeb es totalmente legal si lo lanzas contra sistemas que son tuyos o si tienes un permiso por escrito del propietario para auditar su infraestructura. De hecho, es una pieza clave en el día a día de cualquier profesional de la ciberseguridad para realizar pentesting ético.

Ahora bien, la cosa cambia si decides escanear sistemas de terceros sin su consentimiento. Eso es ilegal en la mayoría de países y puede traer consecuencias serias. La línea que separa lo ético de lo ilegal es muy clara: el permiso.

¿En qué se diferencia WhatWeb de una herramienta como Nmap?

Aunque ambas son imprescindibles en la fase de reconocimiento, no compiten, sino que se complementan. Imagina que Nmap es como un radar que te dice qué puertas y ventanas (puertos) tiene un edificio y si hay luz dentro (servicios activos). Te da el mapa general.

WhatWeb, por otro lado, es el especialista que se acerca a la puerta principal (el puerto 80 o 443 del servidor web) y analiza a fondo de qué materiales está hecha, qué marca es la cerradura y qué sistema de alarma tiene. Identifica el CMS, los frameworks, las librerías… El flujo de trabajo típico es: primero Nmap para encontrar un servidor web, y luego WhatWeb para destriparlo.

¿WhatWeb me dirá si un sitio es vulnerable?

Directamente, no. WhatWeb no es un escáner de vulnerabilidades al estilo de Nessus u OpenVAS. Su misión es la identificación de tecnologías, pero su trabajo es el pistoletazo de salida para encontrar agujeros de seguridad.

WhatWeb te proporciona el "qué" y la "versión" de un software. Con esa información, un analista de seguridad puede ir a bases de datos como CVE para ver si esa versión concreta tiene fallos conocidos que se puedan explotar.

Por ejemplo, si WhatWeb te chiva que un sitio usa "WordPress 5.8", un auditor sabe al instante que tiene que buscar las vulnerabilidades documentadas para esa versión específica. Es el primer hilo del que tirar.

¿Hay alguna forma de hacer los escaneos más discretos?

Sí, claro. Para evitar hacer mucho "ruido" y que los sistemas de seguridad más básicos te detecten, puedes aplicar algunas técnicas para ser más sigiloso.

  • Baja la intensidad: Con el comando -a 1, WhatWeb solo hace una petición HTTP por objetivo. Es la forma más silenciosa de operar.
  • Ponte un disfraz: Usa un User-Agent que imite a un navegador real con el parámetro --user-agent "Mozilla/5.0...". Así, tus peticiones parecerán las de un visitante más.
  • No dejes rastro: Puedes enrutar todo tu tráfico a través de proxies (--proxy host:puerto) para que no se vea tu dirección IP real.

En DragonSec, sabemos que identificar las tecnologías que expones en internet es el primer paso para una defensa sólida. Nuestra plataforma automatiza el reconocimiento y el escaneo de vulnerabilidades para que siempre vayas un paso por delante. Solicita un escaneo gratuito y descubre cómo podemos blindar tu seguridad.

Visita https://dragonsec.io/es para empezar.

Entradas relacionadas