Puerto: 139

¿Qué hace ese puerto?

El puerto 139 se utiliza para el protocolo NetBIOS Session Service. NetBIOS (Network
Basic Input/Output System) es un protocolo de red que proporciona servicios de
comunicación y resolución de nombres en redes locales. El puerto 139 se utiliza para la
comunicación de sesión NetBIOS a través de la red.

El protocolo NetBIOS y el puerto 139 solían ser ampliamente utilizados en entornos de

redes Windows más antiguos para compartir archivos e impresoras y para otras
interacciones en redes locales. Sin embargo, debido a preocupaciones de seguridad y al
surgimiento de protocolos más modernos y seguros, el uso de NetBIOS y el puerto 139 ha
disminuido considerablemente.

Algunas de las funciones tradicionales del puerto 139 y NetBIOS incluyen:

1. Compartir Archivos e Impresoras: NetBIOS permitía a las computadoras compartir

archivos y dispositivos como impresoras en una red local. Los usuarios podían
acceder a estos recursos a través de rutas de acceso NetBIOS, como \
nombre_equipo\compartir.
2. Resolución de Nombres: NetBIOS incluía un servicio de resolución de nombres
que permitía a las computadoras identificarse y comunicarse utilizando nombres
de host más legibles para los usuarios en lugar de direcciones IP.
3. Identificación de Computadoras: NetBIOS también se utilizaba para identificar
computadoras en una red local y para proporcionar servicios de autenticación y
sesión en entornos de red de Windows más antiguos.

¿Qué vulnerabilidades tiene ese puerto?

El puerto 139, que se utiliza para el protocolo NetBIOS Session Service, ha estado
asociado con diversas vulnerabilidades de seguridad debido a la naturaleza del protocolo
y a su uso histórico en entornos de redes locales. Algunas de las vulnerabilidades y
riesgos relacionados con el puerto 139 incluyen:
 1. Exposición de Información Confidencial: En sistemas mal configurados, el
protocolo NetBIOS y el puerto 139 podrían exponer información confidencial, como
nombres de usuario, contraseñas y otros datos, a atacantes que puedan
interceptar el tráfico en la red.
2. Vulnerabilidades en la Autenticación: En algunos sistemas antiguos, el protocolo
NetBIOS tenía vulnerabilidades que permitían ataques de fuerza bruta para
adivinar contraseñas y nombres de usuario, lo que podría dar lugar a accesos no
autorizados.
3. Ataques de Difusión: NetBIOS utilizaba comunicaciones de difusión para anunciar
recursos compartidos en la red. Esto podía exponer información innecesaria a
posibles atacantes.
4. Ataques de Enumeración y Recopilación de Información: Los atacantes podrían
realizar ataques de enumeración para obtener información sobre nombres de
equipos, recursos compartidos y usuarios en una red local.
5. Ataques de Man-in-the-Middle (MitM): Dado que NetBIOS originalmente no cifraba
la comunicación, los ataques de hombre en el medio eran un riesgo, permitiendo la
interceptación y manipulación del tráfico entre dispositivos.
6. Vulnerabilidades en Versiones Antiguas de Windows: En sistemas Windows más
antiguos, las versiones de NetBIOS y el protocolo SMB (Server Message Block)
asociado con él tenían vulnerabilidades que se han explotado en ataques como el
ransomware WannaCry.
7. Ataques de Explotación Directa: Los atacantes podrían intentar explotar
vulnerabilidades conocidas en el protocolo NetBIOS y los sistemas que lo utilizan
para obtener acceso no autorizado.

Dado que el uso de NetBIOS y el puerto 139 ha disminuido con el tiempo y se ha vuelto
menos común en entornos modernos, muchas de estas vulnerabilidades se han abordado
en sistemas operativos y aplicaciones actualizadas. Sin embargo, para mantener la
seguridad, es importante tomar medidas como:

 Deshabilitar NetBIOS si no es necesario.

 Mantener los sistemas operativos y software actualizados con los últimos parches
de seguridad.
  Configurar firewalls y medidas de seguridad para restringir el acceso no autorizado
al puerto 139.
 Utilizar soluciones de compartición de archivos y resolución de nombres más
modernas y seguras, como SMB sobre redes seguras o DNS para resolución de
nombres.
 Implementar conexiones seguras (por ejemplo, VPN) en redes locales para
proteger el tráfico entre dispositivos.

¿Cómo explotar el puerto 139?

El puerto 139 se utiliza comúnmente para el protocolo NetBIOS Session Service, que es
parte de las tecnologías de intercambio de archivos y recursos en redes locales de
Microsoft. Sin embargo, este protocolo ha sido conocido por tener vulnerabilidades de
seguridad y se recomienda su deshabilitación o aseguramiento adecuado para evitar
posibles riesgos. Aquí tienes algunas formas de proteger el puerto 139:

 Deshabilitar NetBIOS: Si no necesitas el protocolo NetBIOS en tu red, puedes

deshabilitarlo por completo. Esto se puede hacer en la configuración de red de tus
sistemas operativos.

 Firewall: Configura un firewall para bloquear el tráfico no deseado en el puerto

139. Esto puede ayudar a prevenir ataques de fuerza bruta y otros intentos de
acceso no autorizado.

 Segmentación de red: Aislar las redes que necesitan NetBIOS del resto de la red
puede limitar la exposición de posibles ataques.

 Actualizaciones y parches: Mantén tus sistemas operativos y software actualizados

con los últimos parches de seguridad para mitigar posibles vulnerabilidades
conocidas.

 Uso de VPN: Si necesitas acceso remoto a recursos de red, considera el uso de

una red privada virtual (VPN) para cifrar y asegurar la comunicación entre
dispositivos.

 Políticas de seguridad: Implementa políticas de seguridad sólidas, como

contraseñas fuertes y reglas de acceso, para limitar la posibilidad de acceso no
autorizado.
  Monitoreo de red: Utiliza herramientas de monitoreo de red para estar atento a
cualquier actividad sospechosa en el puerto 139 y otros puertos críticos.

 Desactivar servicios no utilizados: Si no necesitas compartir archivos o impresoras

en tu red, desactiva los servicios correspondientes en la configuración del sistema
operativo.

 Usar versiones más seguras: Siempre que sea posible, utiliza versiones más
nuevas y seguras de los protocolos y servicios involucrados en tu red.

La razón principal para proteger el puerto 139 y deshabilitar o asegurar adecuadamente el

protocolo NetBIOS es que ha sido históricamente una fuente de vulnerabilidades y
ataques, como el malware WannaCry. Al proteger este puerto y asegurarte de que solo se
permite el tráfico necesario y autorizado, puedes reducir significativamente el riesgo de
ataques y compromisos de seguridad en tu red.

ISO 27000 2018

Qué es una amenaza informática y qué es un ataque informático.

Amenaza
Causa potencial de un incidente no deseado, que puede resultar en daño a un sistema u
organización.

Ataque
intentar destruir, exponer, alterar, deshabilitar, robar u obtener acceso no autorizado o
hacer uso no autorizado de un activo