protocolos
herramientas
whatweb
hacking-web
código-fuente
La mayoría de las cosas que ves en internet no están hechas de magia. Están hechas de código. Código que alguien escribió. Código que, muchas veces, alguien olvidó ocultar.
Cuando visitas una página web, lo que estás viendo no es más que una capa superficial. Un disfraz. Un rostro que el servidor te muestra. Pero detrás de esa estética, detrás de cada botón, imagen o palabra, hay estructuras lógicas, patrones repetidos, líneas escritas por alguien con prisa, con ego… o con descuido.
Esa capa visible está construida principalmente con HTML y CSS. HTML (HyperText Markup Language) define la estructura de una página: títulos, párrafos, formularios, enlaces, imágenes. CSS (Cascading Style Sheets) se encarga del diseño, los colores, los márgenes, las posiciones. Juntos crean lo que ves. Lo que entiendes. Lo que crees que es real.
Pero tú no estás aquí para quedarte con lo que parece. Estás aquí para mirar más profundo. Para hacer justo lo contrario de lo que hace la mayoría: ver el código.
Haz clic derecho sobre cualquier parte de una página y selecciona “Ver código fuente de la página”. Se abrirá una nueva pestaña con las entrañas de ese sitio. Ahí está el HTML. Ahí están los comentarios que dejó el desarrollador. Las rutas a recursos. Los formularios. A veces incluso, pistas que no deberían estar ahí.
Si quieres ir aún más profundo, puedes usar las herramientas de desarrollador de tu navegador (tecla F12 o clic derecho → “Inspeccionar”). Esto te permite ver cómo se comporta la página, qué scripts se ejecutan, qué conexiones se hacen, y en qué lugar del DOM ocurre cada cosa.
Mirar el código fuente no es una técnica avanzada. Es un hábito. Una forma de pensar. Una declaración: "no me conformo con lo que me muestran, necesito saber cómo funciona".
Como hacker, no solo te importa lo que ves. Te importa cómo está construida una web. Saber qué tecnologías hay detrás puede darte pistas sobre posibles debilidades, configuraciones mal hechas o puertas abiertas sin candado.
Aquí entra en juego una herramienta esencial: whatweb.
WhatWeb analiza una página web y detecta automáticamente qué tecnologías se están utilizando. Frameworks, gestores de contenido, plugins, servidores, versiones... Es como usar una linterna técnica para iluminar el cuarto oscuro del backend.
Desde tu terminal en Kali, puedes ejecutarlo así:
1whatweb http://<objetivo>
Y recibirás un análisis rápido: puede decirte si la página usa WordPress, qué versión de PHP corre en el backend, si tiene jQuery desactualizado, y mucho más.
No es invasivo. No rompe nada. Solo observa. Y en este camino, saber observar es tan poderoso como saber actuar.
Cada línea de código que ves fue escrita por una persona. Y las personas cometen errores.
Algunos programadores dejan comentarios en el código fuente, como si nadie más fuera a verlos. Otros incrustan claves, credenciales, rutas internas o mensajes pensados solo para ellos. Pero tú ya no eres “alguien más”. Estás aprendiendo a ver lo que nadie ve.
Cuando encuentres una página, no te apresures. Detente. Observa. ¿Qué te dice la estructura del HTML? ¿Hay scripts? ¿Qué ocultan? ¿Qué conexiones externas se hacen? ¿Dónde apunta el formulario de login? ¿Qué hay en los metadatos? ¿Qué tecnologías revela WhatWeb?
Tu objetivo no es romper, es entender. Tu mejor arma no es una herramienta, es tu curiosidad. Y tu mayor error sería confiar ciegamente en lo que te muestran.
Hoy comenzarás a entrenar tus ojos para mirar con más detalle. Y aunque todavía no lo sepas, ese pequeño gesto —inspeccionar, leer, inferir— es el inicio de una nueva forma de pensar.
Sigue el código. Rastrea la lógica.
El sistema siempre deja huellas.
Tu tarea, como hacker, es aprender a leerlas.
Cada vez que entras a una página web, inicias una conversación. Esa conversación ocurre a través de un protocolo: HTTP.
HTTP significa HyperText Transfer Protocol. Es el lenguaje que usan tu navegador y el servidor para hablar entre ellos. Cada vez que haces clic, que llenas un formulario, que buscas algo... toda esa información se transmite por este canal.
Pero HTTP tiene un problema: habla en voz alta. Todo lo que envías y recibes puede ser interceptado y leído si alguien está escuchando. Nombres, contraseñas, búsquedas… todo queda expuesto.
Para proteger esa comunicación nació HTTPS, donde la "S" significa Secure. Aquí la información viaja cifrada, como si hablaras en clave. Nadie puede leer lo que estás diciendo, aunque te escuchen. La conexión se vuelve privada, segura, difícil de manipular.
Cuando estás frente a una web, mirar si es HTTP o HTTPS no es solo un detalle técnico. Es una señal. Te dice si tus datos están protegidos… o desnudos.
Como hacker, aprenderás a detectar estas diferencias. Porque a veces, incluso lo que parece “seguro” no lo es. Y otras veces, lo que está sin protección, guarda puertas abiertas que muy pocos saben ver.
HTTP o HTTPS. Voz alta o susurro. Todo depende de cómo se haya construido la comunicación.
Y tú, ahora, estás aprendiendo a escuchar lo que nadie más nota.
A veces la información sensible no está escondida, solo mal puesta.