Enumeración en redes NetBIOS – Nota expandida
Relacionado: SNORT. ZEEK. Herramientas. carpetas. NMAP.
La enumeración en redes NetBIOS permite descubrir información detallada de una red Windows (o compatible) a través del protocolo NetBIOS sobre TCP/IP (NBT). Este protocolo, aunque obsoleto en entornos modernos, sigue activo en muchas redes internas, especialmente en dominios Windows mal configurados.
¿Qué es NetBIOS?
NetBIOS (Network Basic Input/Output System) es un servicio que permite la identificación de nombres y recursos compartidos en una red local. Usa puertos 137 (UDP), 138 (UDP) y 139 (TCP).
Se utiliza para:
-
Resolución de nombres NetBIOS.
-
Compartición de archivos e impresoras.
-
Comunicación entre máquinas Windows en la misma red.
¿Qué información permite obtener?
Mediante técnicas de enumeración NetBIOS, un atacante o auditor puede descubrir:
-
Nombres de máquina
-
Usuarios conectados
-
Recursos compartidos (carpetas, impresoras)
-
Grupos de trabajo o dominios
-
Direcciones IP y MAC
-
Usuarios conectados y sesiones activas
-
Versión del sistema operativo
Comandos útiles en Windows para enumerar NetBIOS
1. Ver dominios en la red
net view /domain2. Ver equipos en un dominio
net view /domain:NOMBRE_DEL_DOMINIO3. Ver recursos compartidos de un equipo
net view \\NOMBRE_MAQUINA4. Ver sesiones activas
net session5. Conectarse a una carpeta compartida
net use Z: \\IP\recursoEjemplo práctico de enumeración
C:\> net view \\192.168.1.10
Shared resources at \\192.168.1.10
Share name Type Used as Comment
-------------------------------------------------
IPC$ IPC Remote IPC
Users Disk Carpeta de usuarios️ Herramientas de enumeración avanzadas
| Herramienta | Funcionalidad clave |
|---|---|
| enum4linux | Auditoría Linux de redes Windows (muy completo). |
| nbtscan | Escaneo de nodos NetBIOS en red. |
| Nmap + scripts NSE | Scripts como smb-enum-shares, smb-os-discovery, smb-enum-users. |
| SMBMap | Enumera y accede a recursos compartidos SMB. |
| CrackMapExec | Potente framework para enumeración, ataque y post-explotación SMB. |
Implicaciones de seguridad
¿Por qué es peligrosa la enumeración NetBIOS?
-
Permite descubrir estructura interna de la red sin autenticación.
-
Expone nombres de usuarios y recursos sensibles.
-
Puede ser usada para acceder a carpetas compartidas sin permisos.
-
Es base para ataques de fuerza bruta, relay SMB, pass-the-hash, o movimiento lateral en redes Windows.
️ Medidas de defensa
-
Deshabilitar NetBIOS sobre TCP/IP si no es necesario.
- Opcional en entornos modernos con DNS.
-
Bloquear puertos 137, 138 y 139 desde redes externas o no confiables.
-
Aplicar políticas de compartición restrictiva:
-
Compartir solo carpetas necesarias.
-
Usar ACLs detalladas.
-
-
Habilitar firewalls en cada host para bloquear escaneo lateral.
-
Monitorizar tráfico SMB/NetBIOS con IDS (Snort, Zeek).
-
Actualizar sistemas: vulnerabilidades como EternalBlue (SMBv1) siguen explotándose hoy.
Conclusión
La enumeración en redes NetBIOS es una técnica sencilla pero poderosa para obtener visibilidad interna en entornos Windows, especialmente si no se han aplicado buenas prácticas de seguridad. Aunque NetBIOS está en desuso, su presencia en redes reales sigue siendo común. Por eso, tanto su análisis como su mitigación son críticos en cualquier auditoría o ejercicio de hardening.
¿Quieres que prepare un ejemplo práctico con enum4linux o un escaneo con Nmap y scripts NSE específicos para NetBIOS/SMB?