Amass: enumeración de subdominios para OSINT y pentesting

Amass: enumeración de subdominios para OSINT y pentesting

Amass es la herramienta de referencia de OWASP para mapear la superficie de un dominio: subdominios, IPs, ASNs y relaciones entre activos. Si haces recon en un pentest o en bug bounty, es de las primeras que abres.

Qué es Amass

Amass automatiza el descubrimiento de subdominios combinando decenas de fuentes: motores de búsqueda, registros de Certificate Transparency, DNS pasivo, APIs de terceros y fuerza bruta opcional. El resultado es un inventario completo de la infraestructura expuesta de un dominio.

  • Enumeración pasiva (sin tocar el objetivo) y activa.
  • Resolución DNS, barridos de rango y consultas a ASN.
  • Salida estructurada para encadenar con otras herramientas.

Instalar Amass

La forma más rápida es con Go o con el binario oficial. En sistemas Debian/Ubuntu:

# Con snap
sudo snap install amass

# Con Go (recomendado para la última versión)
go install -v github.com/owasp-amass/amass/v4/...@master

# Con Docker
docker pull caffix/amass
docker run -v $HOME/amass:/output caffix/amass enum -d ejemplo.com

Comprueba la instalación con amass -version.

Ejemplo real: enumerar un dominio

El comando base es sencillo. Para una recogida pasiva (recómendada para no generar ruido):

amass enum -passive -d ejemplo.com -o subdominios.txt

Salida típica:

www.ejemplo.com
mail.ejemplo.com
vpn.ejemplo.com
dev.ejemplo.com
staging-api.ejemplo.com
correo.interno.ejemplo.com

Ese staging-api y ese dev son justo lo que buscas: entornos que a menudo no están tan protegidos como producción.

Modos passive vs active

  • Passive (-passive): solo consulta fuentes de terceros. No envía tráfico al objetivo. Ideal para fases iniciales y sigilo.
  • Active (por defecto): añade resolución DNS, intentos de zone transfer y toma de certificados TLS. Más completo, pero deja huella.

Para forzar resolución y validar que los subdominios responden:

amass enum -active -d ejemplo.com -brute -o activos.txt

Interpretar y ampliar resultados

Con la base de datos de Amass puedes ver relaciones y visualizar el grafo:

# Resumen de fuentes y ASNs descubiertos
amass intel -d ejemplo.com -whois

# Ver el grafo almacenado
amass db -show -d ejemplo.com

Presta atención a:

  • Certificate Transparency: revela subdominios internos que aparecieron en un certificado emitido por error.
  • Rangos IP y ASN: indican qué hospeda la organización directamente frente a lo que está en la nube.

Trucos útiles

  • Añade tus API keys (Shodan, SecurityTrails, Censys) en ~/.config/amass/config.ini para multiplicar resultados.
  • Combina la salida con theHarvester para cruzar subdominios con correos y empleados.
  • Usa -timeout 30 para acotar campañas largas y -df para limitar la enumeración a dominios concretos.
  • Encadena con httpx o nuclei: cat subdominios.txt | httpx -silent.

Uso legal y ético

Aunque el modo pasivo no toca el objetivo, ejecuta Amass solo contra dominios que te pertenezcan o para los que tengas autorización por escrito (pentest, programa de bug bounty). Escanear infraestructura ajena sin permiso puede ser delito.

Si quieres más utilidades de reconocimiento, revisa mi listado de herramientas OSINT.

Preguntas frecuentes

¿Amass necesita API keys para funcionar?

No, funciona sin ellas usando fuentes públicas y Certificate Transparency. Pero añadir claves de Shodan, Censys o SecurityTrails aumenta mucho la cobertura de subdominios.

¿El modo passive es realmente indetectable?

El modo -passive no envía tráfico directo al objetivo, así que no aparece en sus logs. Sin embargo, algunas fuentes de terceros sí registran tus consultas, por lo que no es anónimo al 100%.

¿En qué se diferencia Amass de theHarvester?

Amass está especializado en mapear la infraestructura (subdominios, IPs, ASNs) con gran profundidad, mientras que theHarvester se centra en correos, nombres y datos públicos. Se complementan muy bien en la fase de recon.

📥 Kit de Herramientas OSINT 2026 (gratis)

Las 23 herramientas OSINT que usamos, con sus comandos clave, en una cheat sheet descargable. Te la enviamos al instante.

Publicaciones Similares