Metasploit Framework

Metasploit Framework – El estándar de facto para pruebas de penetración y desarrollo de exploits

Descripción del programa Metasploit Framework

Metasploit Framework es una plataforma de pruebas de penetración de código abierto que proporciona la infraestructura, el contenido y las herramientas necesarias para realizar auditorías de seguridad exhaustivas y desarrollar código de explotación. El proyecto fue creado por H. D. Moore en 2003 como una herramienta de red portable escrita en Perl, aunque en 2007 fue completamente reescrito en Ruby, el lenguaje en el que se basa actualmente.

En octubre de 2009, el proyecto fue adquirido por Rapid7, una empresa de seguridad con sede en Boston que continúa manteniendo y desarrollando tanto la versión de código abierto como sus homólogos comerciales.

La característica más destacada de Metasploit Framework es su arquitectura modular, que permite combinar cualquier exploit con cualquier payload de forma independiente. Esta separación entre el código que aprovecha una vulnerabilidad (exploit) y el código que se ejecuta tras una intrusión exitosa (payload) proporciona una flexibilidad extraordinaria a los profesionales de la seguridad.

El framework incluye más de 1.500 exploits integrados para diferentes sistemas operativos y aplicaciones, así como cientos de payloads, módulos auxiliares para escaneo y enumeración, y herramientas de post-explotación. A diferencia de las herramientas comerciales equivalentes como Core Impact o Immunity Canvas, Metasploit Framework es completamente gratuito y de código abierto, lo que ha democratizado el acceso a capacidades avanzadas de prueba de penetración.

El proyecto Metasploit ha evolucionado significativamente desde su creación. La versión 3.0 introdujo herramientas de fuzzing para descubrir nuevas vulnerabilidades, mientras que la versión 5.0, lanzada en 2019, representó la primera actualización mayor desde 2011 y añadió capacidades revolucionarias como la ejecución de módulos en múltiples hosts simultáneamente, una API RESTful para automatización, y soporte para módulos escritos en Python y Go además de Ruby.

La versión estable más reciente es la 6.4.59, publicada en abril de 2025, lo que demuestra un ritmo de desarrollo activo y continuado. El framework viene preinstalado en distribuciones de seguridad como Kali Linux y ParrotSec, y puede instalarse en Windows, macOS y otras distribuciones de Linux.

¿Necesitas una plataforma profesional para evaluar la seguridad de tus sistemas y comprender cómo los atacantes podrían explotar sus vulnerabilidades?

Características clave de Metasploit Framework

1. Arquitectura modular que separa exploits de payloads

La filosofía de diseño de Metasploit Framework se basa en la independencia total entre el método de intrusión y la acción posterior. El usuario puede seleccionar un exploit para una vulnerabilidad específica y combinarlo con el payload que mejor se adapte a sus objetivos, ya sea obtener una shell remota, ejecutar un comando, añadir un usuario o establecer una conexión VNC.

Esta modularidad también facilita el desarrollo de nuevos módulos, ya que los programadores pueden centrarse en el código del exploit sin preocuparse por la lógica de conexión o manipulación de sesiones, que es gestionada por el framework.

2. Base de datos integrada para gestión de activos y resultados

Metasploit Framework incorpora una base de datos PostgreSQL que permite almacenar y organizar la información recopilada durante las fases de reconocimiento y escaneo. El comando db_nmap integra el popular escáner Nmap directamente en la consola de Metasploit, almacenando automáticamente los hosts, puertos y servicios descubiertos. Esta información puede ser consultada y filtrada posteriormente para identificar objetivos vulnerables, correlacionar servicios con módulos de exploit disponibles y mantener un registro estructurado de todas las actividades realizadas durante la auditoría.

3. Soporte multi-idioma para el desarrollo de módulos

A partir de la versión 5.0, Metasploit Framework permite escribir módulos no solo en Ruby, sino también en Python y Go. Esta capacidad amplía enormemente el ecosistema de contribuciones, ya que los investigadores de seguridad pueden aprovechar bibliotecas existentes en estos lenguajes sin necesidad de portarlas a Ruby.

Los módulos externos se ejecutan como procesos independientes que se comunican con el núcleo del framework a través de JSON sobre entrada/salida estándar, lo que garantiza la estabilidad del sistema principal incluso si un módulo falla.

4. Meterpreter: el payload avanzado para post-explotación

Meterpreter es el payload insignia de Metasploit, diseñado específicamente para operaciones de post-explotación. A diferencia de una shell tradicional, Meterpreter se ejecuta completamente en memoria sin dejar archivos en disco, se comunica a través de canales cifrados y ofrece una amplia gama de extensiones para tareas como migración de procesos, captura de teclas, toma de capturas de pantalla, escalada de privilegios o pivoting hacia otras redes. Su arquitectura basada en plugins permite cargar funcionalidades adicionales bajo demanda, manteniendo una huella mínima en el sistema objetivo.

Explicación detallada de las funcionalidades

El flujo de trabajo típico en Metasploit Framework comienza con la consola interactiva msfconsole, la interfaz principal desde la que se controlan todas las operaciones. Tras inicializar la base de datos, el usuario puede importar resultados de escaneos externos o ejecutar db_nmap para descubrir hosts y servicios en la red objetivo.

Una vez identificado un servicio vulnerable, el comando search permite localizar módulos de exploit relevantes filtrando por plataforma, tipo o referencia CVE. La selección de un módulo se realiza con use, y el comando show options muestra los parámetros configurables, como la dirección del objetivo (RHOSTS), el puerto (RPORT) o la dirección del atacante para payloads de conexión inversa (LHOST).

Una de las capacidades más potentes introducidas en la versión 5.0 es la posibilidad de ejecutar exploits contra múltiples objetivos simultáneamente. Anteriormente, cada módulo de exploit solo podía dirigirse a un único host, lo que obligaba a escribir scripts personalizados para campañas de explotación a gran escala.

Ahora, el parámetro RHOSTS acepta rangos de direcciones IP (en notación CIDR) o referencias a archivos mediante la sintaxis file://, permitiendo que un solo comando exploit lance el ataque contra decenas o cientos de sistemas de forma secuencial. Esta funcionalidad resulta especialmente valiosa en pruebas de penetración internas donde se han identificado múltiples equipos con la misma vulnerabilidad.

Metasploit Framework también destaca por sus capacidades de evasión y ofuscación. El framework incluye una categoría específica de módulos de evasión que permiten modificar los payloads sobre la marcha para eludir la detección de antivirus y sistemas de prevención de intrusiones. Estos módulos pueden aplicar técnicas como la ofuscación del código, la inserción de instrucciones basura o la fragmentación de paquetes.

Adicionalmente, los encoders integrados permiten transformar el payload para eliminar caracteres problemáticos (como bytes nulos o caracteres que rompen la explotación en protocolos específicos), garantizando que el código malicioso se entregue correctamente a pesar de las restricciones del canal de comunicación.

Descarga e instalación de Metasploit Framework

• Página oficial: Metasploit
• Versión actual: 6.4.59 (Abril 2025)
• Últimas versiones: 6.4.59, 6.4.58, 6.4.57 (actualizaciones semanales)
• Tamaño: Variable según la plataforma (aproximadamente 500-800 MB con todas las dependencias)
• Sistemas operativos compatibles: Linux (Kali, Ubuntu, Debian, CentOS), Windows 10/11, macOS
• Requisitos mínimos: Procesador de 64 bits, 4 GB de RAM (8 GB recomendados), 2 GB de espacio en disco, PostgreSQL para la base de datos
• Licencia: BSD (Framework de código abierto); las versiones Pro y Community son propietarias
• Idiomas: Inglés (interfaz de línea de comandos)
• Soporte técnico: Documentación oficial, wiki mantenida por Rapid7, foros comunitarios y repositorio de incidencias en GitHub.

Cómo usar Metasploit Framework

Para comenzar a utilizar Metasploit Framework, el primer paso es inicializar la base de datos. Si estás en Kali Linux, el framework ya está preinstalado y solo necesitas ejecutar sudo msfdb init para configurar PostgreSQL. Una vez inicializada, lanza la consola con el comando msfconsole. Te encontrarás con un prompt interactivo (msf6 >) desde el que puedes ejecutar todos los comandos del framework. Un primer comando útil es help, que muestra todas las categorías de comandos disponibles: comandos de núcleo, de base de datos, de módulos, de trabajos y de scripts de recursos.

El flujo de trabajo fundamental consiste en buscar un exploit, configurarlo y ejecutarlo. Supongamos que has identificado un servidor Windows con el puerto 445 abierto y sospechas que es vulnerable a EternalBlue. Utiliza el comando search eternalblue para localizar módulos relacionados. El resultado mostrará varios módulos; selecciona el exploit principal con use exploit/windows/smb/ms17_010_eternalblue.

A continuación, visualiza los parámetros requeridos con show options. Como mínimo, deberás establecer la dirección IP del objetivo con set RHOSTS 192.168.1.10. Si estás realizando la prueba desde la misma red, el payload por defecto (windows/x64/meterpreter/reverse_tcp) puede ser adecuado; solo necesitas configurar tu dirección IP local con set LHOST 192.168.1.5. Verifica que todos los parámetros están correctos con show options y ejecuta el exploit con el comando exploit o su alias run.

Una vez obtenida una sesión de Meterpreter, dispones de un amplio abanico de herramientas de post-explotación. El comando help dentro de la sesión de Meterpreter muestra todas las extensiones disponibles. Puedes navegar por el sistema de archivos con cd, ls y pwd, transferir archivos con upload y download, y obtener información del sistema con sysinfo.

Para tareas más avanzadas, puedes migrar el payload a un proceso más estable con migrate, capturar las pulsaciones del teclado con keyscan_start, o realizar un volcado de hashes de contraseñas con hashdump. Una función especialmente útil para pivotar hacia otras redes es el enrutamiento a través de la sesión comprometida: el comando route add permite añadir subredes accesibles desde el equipo víctima, haciendo que Metasploit enrute automáticamente los módulos posteriores a través del túnel establecido.

Observaciones sobre el programa Metasploit Framework

Metasploit Framework se distingue técnicamente de otras herramientas de seguridad por su doble naturaleza como plataforma de explotación y entorno de desarrollo. Mientras que escáneres de vulnerabilidades como Nessus u OpenVAS se limitan a identificar problemas, Metasploit va un paso más allá al proporcionar los medios para explotarlos y validar su impacto real. Esta capacidad lo convierte en una herramienta indispensable para pruebas de penetración realistas, donde el objetivo no es simplemente generar un informe de vulnerabilidades, sino demostrar de forma tangible el riesgo que representan para la organización.

Los beneficios prácticos para el profesional de la seguridad son la estandarización y la reutilización de código. La comunidad de Metasploit mantiene un repositorio centralizado de más de 1.500 exploits que se actualiza semanalmente, eliminando la necesidad de buscar, descargar y compilar exploits de fuentes dispersas por Internet.

La arquitectura modular permite que un investigador que descubre una nueva vulnerabilidad pueda escribir únicamente el módulo de exploit, reutilizando toda la infraestructura existente de payloads, encoders y gestión de sesiones. Esta eficiencia acelera drásticamente el ciclo de vida de las pruebas de penetración y permite a los equipos de seguridad centrarse en el análisis contextual en lugar de en los detalles técnicos de cada exploit individual.

El desarrollador y mantenedor principal de Metasploit Framework es Rapid7, una empresa de seguridad cotizada en el NASDAQ con más de 2.500 empleados y una facturación anual superior a los 700 millones de dólares. Esta solidez corporativa garantiza la continuidad del proyecto a largo plazo y un equipo dedicado de desarrolladores a tiempo completo.

La frecuencia de actualización es excepcional: el framework recibe nuevas incorporaciones de módulos cada semana y correcciones de errores cada dos semanas, un ritmo que solo es sostenible gracias al respaldo empresarial y a la activa comunidad de contribuidores externos.

No existe una versión portable de Metasploit Framework en el sentido tradicional, aunque en Windows el instalador permite una instalación local sin dependencias externas. En cuanto a ediciones especiales, Rapid7 comercializa Metasploit Pro, que añade una interfaz gráfica web, automatización de tareas, informes ejecutivos y soporte técnico profesional. La funcionalidad más destacable en desarrollo es la expansión continua del soporte para módulos en Python y Go, lo que está atrayendo a una nueva generación de contribuidores que prefieren estos lenguajes a Ruby.

Limitaciones importantes

• Doble uso y responsabilidad legal: Metasploit Framework es una herramienta de doble uso que puede emplearse tanto para fines legítimos de auditoría como para actividades maliciosas. Su utilización contra sistemas sin autorización expresa por escrito del propietario constituye un delito en la mayoría de jurisdicciones. Es responsabilidad exclusiva del usuario asegurarse de contar con los permisos adecuados antes de ejecutar cualquier módulo.
• Dependencia de la base de datos para funcionalidades avanzadas: Aunque el framework puede ejecutarse sin base de datos, muchas funciones avanzadas como el almacenamiento de credenciales, el seguimiento de sesiones o los informes detallados requieren PostgreSQL correctamente configurado. La inicialización y mantenimiento de esta base de datos añade complejidad al despliegue, especialmente para usuarios noveles.
• Falsos positivos y riesgos de inestabilidad en sistemas objetivo: La ejecución de exploits, incluso aquellos etiquetados como «seguros» para pruebas, puede provocar la caída de servicios o el bloqueo completo del sistema objetivo. En entornos de producción, es imprescindible realizar las pruebas en réplicas exactas o durante ventanas de mantenimiento planificadas para minimizar el impacto de posibles fallos.

Alternativa recomendada

Para aquellos que buscan una plataforma de explotación con un enfoque más comercial y una interfaz gráfica pulida, Core Impact de Fortra es la alternativa profesional más consolidada a Metasploit Pro. A diferencia del modelo de código abierto de Metasploit, Core Impact es una solución exclusivamente comercial orientada a grandes empresas y consultoras de seguridad.

Core Impact se diferencia de Metasploit Framework por su enfoque integral y llave en mano. Incluye un repositorio de exploits comerciales que, en algunos casos, está disponible antes que sus equivalentes de código abierto, así como capacidades avanzadas de pivoting y reporting ejecutivo que superan a las de Metasploit Pro.

Sin embargo, su coste es significativamente más elevado (las licencias pueden superar los 30.000 dólares anuales), lo que lo sitúa fuera del alcance de profesionales independientes o pequeñas empresas. Si tu organización dispone de presupuesto para una solución comercial con soporte de primer nivel y la máxima discreción en la investigación de vulnerabilidades, Core Impact es la opción de referencia en el sector.

Sección FAQ

¿Metasploit Framework es gratis o de pago?

Metasploit Framework es completamente gratuito y de código abierto, distribuido bajo licencia BSD. Rapid7 también comercializa versiones de pago como Metasploit Pro que añaden interfaz gráfica, automatización avanzada y soporte técnico profesional, pero el framework base puede descargarse y utilizarse sin coste alguno para fines legítimos de auditoría de seguridad.

¿Funciona en Linux, macOS, Windows 10 y Windows 11?

Sí, Metasploit Framework es multiplataforma y funciona nativamente en Linux (incluyendo Kali Linux donde viene preinstalado), macOS y Windows 10/11. El repositorio oficial de GitHub proporciona instaladores para cada plataforma, y las instrucciones de instalación están disponibles en la documentación del proyecto.

¿Qué diferencia a Metasploit Framework de otras alternativas como Core Impact?

La diferencia fundamental es el modelo de licenciamiento y el público objetivo. Metasploit Framework es gratuito y de código abierto, orientado a profesionales de seguridad, investigadores y estudiantes. Core Impact es un producto comercial con licencias de alto coste, dirigido a grandes empresas y consultoras que requieren soporte profesional, informes ejecutivos y acceso temprano a exploits de día cero.

¿Necesito saber programar para usar Metasploit Framework?

No es imprescindible para el uso básico del framework. La interfaz de línea de comandos y los módulos preexistentes permiten ejecutar pruebas de penetración completas sin escribir una sola línea de código. Sin embargo, el conocimiento de Ruby, Python o Go resulta necesario para desarrollar módulos personalizados, modificar exploits existentes o contribuir al proyecto. Para el uso profesional avanzado, se recomienda cierta familiaridad con la programación.

¿Es legal usar Metasploit Framework?

Sí, Metasploit Framework es una herramienta legal, ampliamente utilizada por profesionales de la seguridad, equipos de red team y auditores certificados. La legalidad depende exclusivamente del uso que se le dé: utilizarlo contra sistemas propios o sobre los que se tiene autorización expresa por escrito es perfectamente legítimo. Utilizarlo contra sistemas de terceros sin permiso constituye un delito de acceso informático no autorizado en prácticamente todas las legislaciones.