NetworkMiner es una herramienta forense de análisis de redes (NFAT) diseñada para Windows, aunque ejecutable en Linux. A diferencia de los sniffers tradicionales, su propósito principal es recolectar información como evidencia forense sobre los hosts de la red, reconstruyendo archivos y sesiones sin generar tráfico, lo que la hace invisible e ideal para incidentes de seguridad.
Tabla de Contenido
Si te preguntas cómo los expertos forenses logran reconstruir una imagen transmitida por la red o recuperar una contraseña sin alertar al atacante, la respuesta suele ser el análisis pasivo. Mientras que herramientas como Wireshark te muestran los «paquetes», NetworkMiner te muestra las «personas» y los «archivos» detrás de esos paquetes. A continuación, desglosamos por qué esta herramienta es un estándar en la industria.
¿Qué es NetworkMiner y por qué es diferente?
Según expertos en ciberseguridad, la gran diferencia de NetworkMiner radica en su filosofía. No se centra en el flujo de datos crudos, sino en los activos.
Puede ser usado como un sniffer pasivo o herramienta de captura de paquetes con un objetivo claro: detectar detalles específicos del host como el sistema operativo, el nombre del equipo (hostname), las sesiones activas y los puertos abiertos, todo ello sin generar ningún tráfico en la red. Esto es vital en entornos críticos (como SCADA o redes corporativas comprometidas) donde un escaneo activo podría causar caídas o alertar a un intruso.
Tecnología de Identificación Pasiva (OS Fingerprinting)
Una de las «gemas» técnicas de NetworkMiner es su capacidad para decirte qué sistema operativo corre en una máquina remota sin tocarla. ¿Cómo lo logra?
Para la identificación del sistema operativo, la herramienta analiza los encabezados de los paquetes que ya circulan por la red:
- Análisis TCP: Se basa en paquetes TCP SYN y SYN+ACK, haciendo uso de las reconocidas bases de datos de p0f y Ettercap.
- Análisis DHCP: También realiza Fingerprinting del S.O. mediante el análisis de paquetes DHCP (generalmente tráfico broadcast), apoyándose en la base de datos de Satori.
NetworkMiner posee también la capacidad de esnifar tráfico WiFi (IEEE 802.11) haciendo uso del adaptador AirPcap. Aunque es una tecnología específica, demuestra la versatilidad de la herramienta para adaptarse a diferentes medios físicos.
Características Clave para el Analista Forense
Más allá de ver quién está conectado, NetworkMiner brilla cuando se trata de procesar la información capturada. Estas son sus funcionalidades «extra» que ahorran horas de trabajo manual:
| Característica | Descripción y Utilidad |
|---|---|
| Análisis Offline (PCAP) | Permite importar archivos PCAP previamente capturados para analizarlos sin conexión. Es capaz de regenerar, reensamblar y reconstruir archivos transmitidos y estructuras de directorios completas. |
| Extracción de Credenciales | Detecta automáticamente usuarios y contraseñas (de protocolos no cifrados como FTP, HTTP básico, etc.) y los muestra organizados en la pestaña ‘Credentials’. |
| Análisis de Malware | Es extremadamente útil para analizar tráfico de malware, permitiendo ver qué archivos descargó un virus o a qué servidores se conectó. |
| Búsqueda de Palabras Clave | Proporciona la posibilidad de realizar búsquedas de texto (Keyword Search) dentro de los datos esnifados, ideal para encontrar fugas de información sensible. |
Guía: Cómo Instalar NetworkMiner en GNU/Linux
Aunque NetworkMiner está desarrollado en C#.NET y es nativo para Windows, la comunidad de seguridad prefiere entornos Linux. Gracias a Wine, es posible ejecutarlo con casi total funcionalidad.
A continuación, presentamos el tutorial (basado en distribuciones tipo Debian/Ubuntu, pero adaptable a otras) para ponerlo en marcha:
- Instalar Wine y dependencias:
El primer paso es preparar el entorno de emulación.
sudo apt-get install wine wine-dev cabextract - Configuración inicial:
Ejecuta
winecfg. En la ventana de configuración, se recomienda establecer la versión de Windows a una compatible (como Windows 7 o superior en versiones modernas de Wine, aunque originalmente se sugería Windows 2000). - Obtener Winetricks:
Es un script vital para instalar librerías de .NET.
wget https://raw.githubusercontent.com/Winetricks/winetricks/master/src/winetrickschmod +x winetricks - Instalar Framework .NET:
NetworkMiner requiere las fuentes y el framework de Microsoft.
sh winetricks corefonts dotnet40(Nota: Versiones modernas requieren .NET 4.0 o superior). - Descargar y Ejecutar:
Descarga la última versión gratuita desde el sitio oficial de Netresec, descomprímela y lanza la aplicación:
wine NetworkMiner.exe
Recursos Multimedia y Tutoriales
Para ver la herramienta en acción, recomendamos el contenido de Hak5. En el episodio 514, se realizó una demostración práctica sobre esta herramienta, junto con otras utilidades como NetWitness.
Aquí puedes ver cómo se utiliza para analizar tráfico en tiempo real:
Y aquí la continuación del análisis y técnicas avanzadas:
Preguntas Frecuentes
¿NetworkMiner es gratuito?
Sí, existe una versión gratuita (Free Edition) que es totalmente funcional para análisis forense básico y extracción de archivos. También existe una versión «Professional» de pago que incluye características avanzadas como soporte para Pcapng, decodificación de geolocalización IP y soporte técnico.
¿Puede NetworkMiner descifrar tráfico HTTPS?
Por defecto, al ser una herramienta pasiva, no descifra tráfico SSL/TLS cifrado (HTTPS) a menos que se le proporcione el certificado del servidor y la clave privada. Sin embargo, puede analizar los metadatos del «handshake» TLS para obtener información sobre el certificado (nombre del host, entidad emisora) sin necesidad de descifrar el contenido.
Conclusión
NetworkMiner se ha consolidado como una herramienta indispensable en el arsenal de cualquier analista forense digital. Su capacidad para transformar flujos de datos abstractos en archivos y hosts tangibles permite resolver incidentes de manera más rápida y visual.
Recursos oficiales y descargas:
- Sitio Oficial de NetworkMiner (Netresec)
- NetworkMiner en SourceForge – Repositorio histórico
