Fiabilidad

Comando whoami

¿Qué es whoami?

Whoami es un programa de utilidad de línea de comandos para ordenadores. Responde a la pregunta “¿Con quién he iniciado sesión?” y es una de las herramientas básicas incluidas en los actuales sistemas operativos (SO) Windows, Linux, macOS y Unix.

Comando whoami de Windows

El comando whoami se convirtió en una parte estándar del sistema operativo Windows con el lanzamiento de Windows XP Professional y Windows Server 2003. Para ejecutar este comando en las versiones actuales del sistema operativo Windows, siga estos pasos:

  1. Mantenga pulsada la tecla de Windows y pulse R para abrir la ventana Ejecutar.
  2. Escribe CMD y pulsa Intro para abrir el símbolo del sistema.
  3. En el símbolo del sistema, escriba whoami y pulse Intro para ver el nombre de usuario.

Comando whoami de Linux, macOS y Unix

El comando whoami se introdujo por primera vez en la versión 6 de Unix, que se publicó en 1975. (Linux y macOS siempre han incluido este comando en sus distribuciones, dada su herencia basada en Unix). Para ejecutar el comando whoami en las versiones actuales de macOS y en las versiones estándar de los sistemas operativos Linux y Unix, siga estos pasos:

  1. Abre Terminal.
  2. Escribe whoami y pulsa Intro.

Usos del comando whoami

La utilidad whoami se introdujo por primera vez en la versión 6 de Unix, que se publicó en 1975. Era una época en la que los ordenadores eran grandes y muy caros, y los terminales se compartían a menudo entre varios usuarios. Cuando se invocaba, el comando whoami mostraba el nombre de usuario de quien estaba conectado a la sesión actual.

Esta función era especialmente valiosa para los operadores de sistemas (SysOps) que dirigían laboratorios informáticos y empleados que compartían un terminal designado con otros empleados. Proporcionaba a los usuarios una forma sencilla de confirmar su identidad de inicio de sesión y verificar que estaban completando tareas con la cuenta correcta. En los casos en que un terminal compartido se dejaba encendido y desatendido, por ejemplo, el siguiente usuario podía utilizar el comando para identificar quién había iniciado sesión. Esta información permitía acercarse a la persona, si se conocía, y pedirle que cerrara la sesión.

whoami era fácil de usar y tenía un nombre fácil de recordar. Incluso hoy, cuando las aulas de informática son cosa del pasado y es más que probable que cada empleado tenga su propio ordenador, whoami sigue siendo una herramienta útil para solucionar problemas.

Los administradores de red y el personal del servicio de asistencia técnica utilizan esta utilidad para confirmar que han iniciado sesión con la cuenta de usuario esperada. Si hay problemas inesperados de permisos u otros problemas relacionados con el usuario, esta es una forma rápida de descartar que la acción no está fallando simplemente porque el usuario equivocado lo está intentando.

Desafortunadamente, la simplicidad de la utilidad y la capacidad de revelar detalles del usuario también la han convertido en una herramienta popular para los actores de amenazas.

Cómo utilizan el comando whoami los actores de amenazas

A primera vista, la utilidad whoami parece una herramienta básica e inocua, pero en manos de un actor de amenazas, whoami puede ser una peligrosa herramienta de enumeración.

En el contexto de la ciberseguridad, la enumeración es el segundo paso de un ataque. Durante el primer paso, el reconocimiento, el actor de la amenaza recopila toda la información posible sobre el sistema objetivo sin interactuar directamente con él. Durante el segundo paso, la enumeración, el atacante comienza a interactuar directamente con el sistema objetivo para recopilar información.

La enumeración es una fase crítica en la cadena de ataque. Permite al atacante orientarse en un nuevo entorno y tomar decisiones estratégicas sobre su próximo movimiento. whoami puede ser una herramienta útil para este paso.

Así es como un atacante que ha sido capaz de comprometer con éxito una máquina Windows en una red corporativa podría utilizar whoami para sondear vectores de ataque adicionales:

  • Usar whoami para ver qué cuenta han comprometido.
  • Usar whoami /priv para ver qué privilegios tiene la cuenta.
  • Usar whoami /groups para determinar a qué grupos de seguridad pertenece la cuenta.

Si a un atacante no le preocupa la detección, podría incluso utilizar whoami /all para obtener una visión más completa de la cuenta que ha comprometido. Esto les diría:

  • El SID (Identificador de Seguridad) del usuario actual.
  • El nombre del usuario y el dominio al que pertenece.
  • Los grupos de seguridad a los que pertenece el usuario actual.
  • Los SID de cada grupo.
  • Los atributos asociados a las pertenencias a grupos.
  • Los privilegios activados o desactivados durante la sesión de usuario actual.
  • El identificador único para la sesión de inicio de sesión actual del usuario.

Una vez que el actor malicioso sabe a quién ha comprometido, puede seguir adelante con su ataque. Si han comprometido a un usuario con pocos privilegios, podrían empezar a buscar vulnerabilidades de escalada de privilegios ‎. Por otro lado, si han comprometido a un usuario con privilegios elevados, podrían empezar a buscar datos valiosos que robar o sondear formas de moverse lateralmente en la red.

Muchos departamentos de Tecnologías de la Información y la Comunicación (TIC) crean nombres de usuario que siguen el mismo patrón en aras de la simplicidad y la estandarización. Una vez que el atacante conoce un nombre de usuario a través de whoami, puede utilizar la convención de nomenclatura para predecir otros nombres de usuario. Esto, junto con un poco de investigación en Internet, puede facilitar la realización de ataques de phishing.

Desafortunadamente, si un intruso es capaz de ejecutar whoami, indica que ya tiene algún nivel de acceso no autorizado. Para evitar que whoami se utilice con fines maliciosos, los administradores de TIC deben considerar la adopción de las siguientes medidas:

  • Utilizar mecanismos de seguridad para restringir la ejecución de whoami en función del rol del usuario.
  • Supervisar los registros del sistema para detectar el uso frecuente de whoami o el uso inesperado del comando desde nuevas ubicaciones y/o zonas horarias.
  • Aislar las redes LAN virtuales (VLAN) en función de las necesidades de los usuarios para limitar las superficies de ataque.

Temas relacionados

Margaret Rouse
Experta en tecnología

Margaret Rouse es una galardonada escritora técnica y profesora conocida por su habilidad para explicar temas técnicos complejos a una audiencia de negocios no técnica. Durante los últimos veinte años, sus explicaciones han aparecido en sitios web de TechTarget y ha sido citada como autoridad en artículos del New York Times, Time Magazine, USA Today, ZDNet, PC Magazine y Discovery Magazine. La idea de diversión de Margaret es ayudar a profesionales de TI y negocios a aprender a hablar los idiomas altamente especializados de cada uno. Si tienes una sugerencia para una nueva definición o cómo mejorar una explicación técnica,…