Metasploit es la navaja suiza del pentesting automatizado: un exploit framework open source que convierte tareas manuales tediosas en comandos de dos líneas. Quien trabaje en hacking ético como herramienta diaria acaba tarde o temprano abriendo la consola msfconsole, porque concentra más de 2.300 exploits, 1.200 auxiliares y 400 payloads en un mismo entorno. Este metasploit tutorial introductorio explica qué hace el framework pentesting creado por H.D. Moore en 2003, cómo se instala, cómo se lanza un módulo y, sobre todo, dónde están los límites legales que separan la auditoría profesional del delito tipificado en el artículo 197 bis del Código Penal español. Sin rodeos: si no tienes autorización escrita, no toques nada.
Qué es Metasploit y por qué sigue siendo el estándar
Rapid7 mantiene el proyecto desde 2009, cuando compró la versión original escrita en Perl (hoy en Ruby). Existen tres ediciones: Framework (gratuita, CLI), Community (discontinuada en 2019) y Pro (comercial, con interfaz web y reporting).
La gracia del framework no es solo la cantidad de módulos. Es la arquitectura modular: cada exploit habla el mismo lenguaje que cualquier payload, cualquier encoder y cualquier listener. Eso permite encadenar ataques reproducibles, automatizar campañas de Red Team y documentar hallazgos con trazabilidad. OSCP, CEH y eJPT incluyen Metasploit en su temario precisamente por esta estandarización.
La base de datos de módulos crece con cada CVE relevante. Tras la publicación de CVE-2021-44228 (Log4Shell), el módulo exploit/multi/http/log4j_header_rce estaba disponible en menos de 72 horas. Lo mismo pasó con EternalBlue (CVE-2017-0144) tras la filtración de Shadow Brokers.
Instalación: Kali, Parrot o contenedor
Hay tres caminos razonables para empezar sin romper nada:
- Kali Linux: viene preinstalado.
msfconsoley a trabajar. Es la opción por defecto en cursos de OffSec. - Parrot Security OS: alternativa ligera basada en Debian, con el framework listo.
- Docker:
docker run --rm -it metasploitframework/metasploit-framework. Ideal para aislar el entorno y evitar conflictos con el sistema anfitrión.
En instalaciones nativas, la primera ejecución inicializa PostgreSQL (la base de datos donde Metasploit guarda hosts, servicios, credenciales y loot). Sin esa BBDD los escaneos masivos se vuelven inmanejables. Comprueba el estado con db_status dentro de msfconsole.
Un consejo práctico: monta el laboratorio en una red aislada. VulnHub, HackTheBox y TryHackMe ofrecen máquinas vulnerables pensadas para practicar sin tocar infraestructura ajena. Si vas a montar tu propio lab en casa, empieza por blindar tu router siguiendo una guía de seguridad WiFi antes de abrir puertos a VMs deliberadamente inseguras.
Anatomía de un módulo: el flujo de cinco comandos
El patrón se repite siempre. Una vez lo interiorizas, el framework entero se vuelve predecible:
search— localizar el módulo (search type:exploit platform:windows smb).use— cargarlo (use exploit/windows/smb/ms17_010_eternalblue).show options— ver parámetros (RHOSTS, LHOST, PAYLOAD).set— configurarlos (set RHOSTS 10.10.10.40).runoexploit— ejecutar.
Los payloads son la carga útil que se ejecuta si el exploit funciona. windows/x64/meterpreter/reverse_tcp es el clásico: abre una sesión Meterpreter bidireccional que permite pivotar, volcar hashes con hashdump, migrar procesos o subir archivos. Existen variantes staged (payload dividido) y stageless (payload completo), cada una con sus compromisos de tamaño y detección.
Comparativa con otras herramientas del ecosistema
| Herramienta | Función principal | Licencia | Curva |
|---|---|---|---|
| Metasploit Framework | Explotación modular | BSD | Media |
| Nmap | Escaneo de red | GPL | Baja |
| Burp Suite | Auditoría web | Freemium | Media-alta |
| Cobalt Strike | Red Team comercial | Comercial | Alta |
| Empire / Sliver | C2 post-explotación | BSD/GPL | Media |
Metasploit no sustituye a Nmap (de hecho integra db_nmap para importar resultados), ni a Burp para auditoría web. Cada pieza cubre una fase del PTES (Penetration Testing Execution Standard): reconocimiento, explotación, post-explotación, reporting.
Meterpreter y la fase de post-explotación
Meterpreter vive en memoria, no toca disco por defecto y cifra el canal con AES. Los módulos de post-explotación automatizan tareas que antes requerían decenas de comandos manuales: post/windows/gather/credentials/credential_collector, post/multi/recon/local_exploit_suggester, post/windows/manage/migrate.
Aquí es donde conviene recordar el vínculo entre pentesting ofensivo y amenazas reales. Las técnicas que aprendes con Metasploit son exactamente las que usan grupos como LockBit o BlackCat tras vulnerar un perímetro. Entender cómo se encadena un ataque de ransomware con doble extorsión o cómo opera un keylogger que captura credenciales ayuda a diseñar defensas más realistas. La simetría es el principio básico del Red Team.
Marco legal: el artículo 197 bis y la autorización escrita
En España, el acceso no autorizado a sistemas informáticos está tipificado en el artículo 197 bis del Código Penal, con penas de seis meses a dos años de prisión. La Directiva (UE) 2013/40 armoniza este tipo penal en toda la Unión Europea. Sin contrato firmado y alcance (scope) definido, lanzar cualquier módulo contra infraestructura ajena es delito, aunque no causes daño.
Los bug bounty legitiman la investigación dentro del scope publicado (HackerOne, Intigriti, BugBounty.es del INCIBE). Fuera de ese perímetro, no hay zona gris.
Detección: por qué los antivirus ya reconocen los payloads por defecto
Los payloads estándar de Metasploit llevan años en las firmas de Defender, CrowdStrike, SentinelOne y cualquier EDR serio. En entornos reales de Red Team se usan encoders (msfvenom -e), ofuscación manual, loaders personalizados o directamente frameworks comerciales. El framework sigue siendo insustituible para aprender, auditar entornos sin EDR maduro y prototipar, pero no esperes evadir un SOC moderno con shikata_ga_nai.
Si montas infraestructura de auditoría o necesitas servicios profesionales de integración de IA y automatización en empresa, conviene separar claramente el entorno de laboratorio del de producción.
Preguntas frecuentes
Es legal instalar Metasploit en mi ordenador personal?
Sí. Poseer el framework y usarlo contra sistemas propios o con autorización escrita es perfectamente legal. El delito nace al lanzarlo contra infraestructura ajena sin permiso.
Cuánto tarda alguien en aprender a usar Metasploit?
Lo básico (buscar módulo, configurar opciones, lanzar) se domina en un fin de semana. Usarlo con criterio profesional dentro de un pentest completo requiere meses de práctica en entornos controlados tipo HackTheBox u OSCP.
Qué diferencia hay entre Metasploit Framework y Metasploit Pro?
Framework es gratuito, línea de comandos, con todos los módulos públicos. Pro añade interfaz web, reporting automatizado, fuerza bruta paralela y soporte comercial. Para aprender y para la mayoría de auditorías, Framework sobra.
Puedo usar Metasploit en Windows o solo en Linux?
Hay instalador oficial para Windows, pero la experiencia es notablemente peor: conflictos con Defender, rutas problemáticas y menor compatibilidad. Kali, Parrot o WSL2 son opciones mucho más estables.
Meterpreter deja rastro en el sistema atacado?
Por defecto corre en memoria y no escribe en disco, pero genera tráfico de red, entradas en logs de Windows (Event IDs 4688, 4624) y puede ser detectado por EDRs modernos mediante análisis de comportamiento. Sigilo cero frente a un SOC bien configurado.
El siguiente paso
Monta una máquina vulnerable de TryHackMe (la sala "Metasploit: Introduction" es gratuita), abre msfconsole y completa el primer exploit guiado esta misma tarde. Sin lab propio, cualquier metasploit tutorial se queda en teoría.
