¿Qué es whoami?
Whoami es un programa de utilidad de línea de comandos para ordenadores. Responde a la pregunta “¿Con quién he iniciado sesión?” y es una de las herramientas básicas incluidas en los actuales sistemas operativos (SO) Windows, Linux, macOS y Unix.
Aunque al comienzo su uso era solo conocido por los usuarios más tecnológicos, hoy en día, los usuarios menos experimentados también comienzan a mostrar interés.
Para qué sirve el comando whoami en Windows
El comando whoami se convirtió en una parte estándar del sistema operativo Windows con el lanzamiento de Windows XP Professional y Windows Server 2003. Para ejecutar este comando en las versiones actuales del sistema operativo Windows, siga estos pasos:
- Mantenga pulsada la tecla de Windows y pulse R para abrir la ventana Ejecutar.
- Escribe CMD y pulsa Intro para abrir el símbolo del sistema.
- En el símbolo del sistema, escriba whoami y pulse Intro para ver el nombre de usuario.
Comando whoami Linux, macOS y Unix
El comando whoami se introdujo por primera vez en la versión 6 de Unix, que se publicó en 1975. (Linux y macOS siempre han incluido este comando en sus distribuciones, dada su herencia basada en Unix). Para ejecutar el comando whoami en las versiones actuales de macOS y en las versiones estándar de los sistemas operativos Linux y Unix, siga estos pasos:
Pasos para Whoami Linux:
- Abre la terminal desde el menú de aplicaciones o presionando Ctrl + Alt + T.
- Escribe whoami y pulsa Intro.
Pasos para Whoami macOS:
- Abre la terminal:
- Desde Spotlight: Presiona Cmd + espacio, luego escribe “Terminal” y presiona Enter.
- Desde Finder: Abre el Finder, ve a la carpeta Aplicaciones > Utilidades, y haz doble clic en Terminal.
- Escribe whoami y pulsa Intro.
Pasos para Whoami Unix:
- Abre la terminal desde el menú de aplicaciones o presionando Ctrl + Alt + T.
- Escribe whoami y pulsa Intro.
Usos del comando whoami
La utilidad whoami se introdujo por primera vez en la versión 6 de Unix, que se publicó en 1975. Era una época en la que los ordenadores eran grandes y muy caros, y los terminales se compartían a menudo entre varios usuarios. Cuando se invocaba, el comando whoami mostraba el nombre de usuario de quien estaba conectado a la sesión actual.
Esta función era especialmente valiosa para los operadores de sistemas (SysOps) que dirigían laboratorios informáticos y empleados que compartían un terminal designado con otros empleados. Proporcionaba a los usuarios una forma sencilla de confirmar su identidad de inicio de sesión y verificar que estaban completando tareas con la cuenta correcta. En los casos en que un terminal compartido se dejaba encendido y desatendido, por ejemplo, el siguiente usuario podía utilizar el comando para identificar quién había iniciado sesión. Esta información permitía acercarse a la persona, si se conocía, y pedirle que cerrara la sesión.
whoami era fácil de usar y tenía un nombre fácil de recordar. Incluso hoy, cuando las aulas de informática son cosa del pasado y es más que probable que cada empleado tenga su propio ordenador, whoami sigue siendo una herramienta útil para solucionar problemas.
Los administradores de red y el personal del servicio de asistencia técnica utilizan esta utilidad para confirmar que han iniciado sesión con la cuenta de usuario esperada. Si hay problemas inesperados de permisos u otros problemas relacionados con el usuario, esta es una forma rápida de descartar que la acción no está fallando simplemente porque el usuario equivocado lo está intentando.
Desafortunadamente, la simplicidad de la utilidad y la capacidad de revelar detalles del usuario también la han convertido en una herramienta popular para los actores de amenazas.
Cómo utilizan el comando whoami los actores de amenazas
A primera vista, la utilidad whoami parece una herramienta básica e inocua, pero en manos de un actor de amenazas, whoami puede ser una peligrosa herramienta de enumeración.
En el contexto de la ciberseguridad, la enumeración es el segundo paso de un ataque. Durante el primer paso, el reconocimiento, el actor de la amenaza recopila toda la información posible sobre el sistema objetivo sin interactuar directamente con él. Durante el segundo paso, la enumeración, el atacante comienza a interactuar directamente con el sistema objetivo para recopilar información.
La enumeración es una fase crítica en la cadena de ataque. Permite al atacante orientarse en un nuevo entorno y tomar decisiones estratégicas sobre su próximo movimiento. whoami puede ser una herramienta útil para este paso.
Así es como un atacante que ha sido capaz de comprometer con éxito una máquina Windows en una red corporativa podría utilizar whoami para sondear vectores de ataque adicionales:
- Usar whoami para ver qué cuenta han comprometido.
- Usar whoami /priv para ver qué privilegios tiene la cuenta.
- Usar whoami /groups para determinar a qué grupos de seguridad pertenece la cuenta.
Si a un atacante no le preocupa la detección, podría incluso utilizar whoami /all para obtener una visión más completa de la cuenta que ha comprometido. Esto les diría:
- El SID (Identificador de Seguridad) del usuario actual.
- El nombre del usuario y el dominio al que pertenece.
- Los grupos de seguridad a los que pertenece el usuario actual.
- Los SID de cada grupo.
- Los atributos asociados a las pertenencias a grupos.
- Los privilegios activados o desactivados durante la sesión de usuario actual.
- El identificador único para la sesión de inicio de sesión actual del usuario.
Una vez que el actor malicioso sabe a quién ha comprometido, puede seguir adelante con su ataque. Si han comprometido a un usuario con pocos privilegios, podrían empezar a buscar vulnerabilidades de escalada de privilegios . Por otro lado, si han comprometido a un usuario con privilegios elevados, podrían empezar a buscar datos valiosos que robar o sondear formas de moverse lateralmente en la red.
Muchos departamentos de Tecnologías de la Información y la Comunicación (TIC) crean nombres de usuario que siguen el mismo patrón en aras de la simplicidad y la estandarización. Una vez que el atacante conoce un nombre de usuario a través de whoami, puede utilizar la convención de nomenclatura para predecir otros nombres de usuario. Esto, junto con un poco de investigación en Internet, puede facilitar la realización de ataques de phishing.
Desafortunadamente, si un intruso es capaz de ejecutar whoami, indica que ya tiene algún nivel de acceso no autorizado. Para evitar que whoami se utilice con fines maliciosos, los administradores de TIC deben considerar la adopción de las siguientes medidas:
- Utilizar mecanismos de seguridad para restringir la ejecución de whoami en función del rol del usuario.
- Supervisar los registros del sistema para detectar el uso frecuente de whoami o el uso inesperado del comando desde nuevas ubicaciones y/o zonas horarias.
- Aislar las redes LAN virtuales (VLAN) en función de las necesidades de los usuarios para limitar las superficies de ataque.
Por último, vale la pena mencionar que este comando está siendo cada vez más utilizado, sobre todo por aquellos que se interesan en aprender sobre Whoami Linux.
Alternativas de whoami
A pesar del cmd whoami, existen otros comandos alternativos para Linux, macOs y Unix que te permitirán obtener información sobre el usuario actual.
- Comando id: muestra información detallada sobre el usuario actual, incluyendo el ID de usuario, el ID del grupo principal y los grupos a los que pertenece el usuario.
- Comando who: muestra una lista de todos los usuarios actualmente conectados al sistema, junto con la terminal que están usando. Aunque no muestra solo el nombre del usuario actual, se puede filtrar para encontrar la información específica.
- Comando w: es similar al comando who, pero con más detalles. Muestra información sobre los usuarios conectados, su actividad y las terminales en las que están trabajando. También incluye información sobre el tiempo de actividad y la carga del sistema.
- Comando logname: está disponible para Linux y macOs, pero no para Unix. Muestra el nombre del usuario que ha iniciado sesión en el sistema más recientemente.