1

PARROT SISTEMA OPERATIVO
Carlos Alberto Borda Donaire
Universidad Privada Domingo Savio
Tarija-Bolivia
scarlatayami@gmail.com

Resumen
Este Artículo inserta datos informativos y
conocimiento sobre este sistema operativo
sobre el conocimiento de sus herramientas
integradas sobre el sistema y el manejo
adecuado del sistema para contrarrestar
ataques, amenazas físicas y lógicas dentro de
una entidad y el manejo de información sobre
cada herramienta, la cual es vital para llegar
a conseguir los objetivos propuestos por la
misma.
Partiendo de un problema que muchas veces
es tomado de menor importancia en empresas
gubernamentales o no gubernamentales, sea
desconocimiento o la idea de ser muy
costoso económicamente o como también la
muy poca importancia o ninguna de la misma.
Un aspecto fundamental es saber reconocer e
identificar qué información, proceso y
operación catalogada como crítica para la
entidad, mismos que según la frecuencia de
cambios que recibe, esta planeación posibilita
tener seguridad y resguardo de datos sin
perdida
y evitar posibles ataques
informáticos.
También ante el comprendimiento del uso
adecuado de las herramientas que pueden
llegar a ofrecer como demostración básica
algunas herramientas la gestión de datos de
suma importancia, estas pueden ser utilizadas
para la gestión correcta de pruebas de
seguridad dentro de una empresa, siendo en
su mayoría de uso libre y completo en cuanto
a funcionalidad y características.
Finalmente se presenta como resultado, un
ejemplo de proceso para la gestión correcta

de test de penetración o intrusión, un análisis
de vulnerabilidades, no olvidando que es
fundamental ante una contingencia muy alta
en cuanto a riesgo para el tapado de
vulnerabilidades y vigilancia o seguimiento
de actos fuera de normativas.
Abstract
This article inserts informative data and
knowledge about this operating system on the
knowledge of its integrated tools on the
system and the proper management of the
system to counter attacks, physical and
logical threats within an entity and the
handling of information on each tool, which
is vital to achieve the goals proposed by it.
Starting from a problem that is often taken on
lesser importance in governmental or nongovernmental enterprises, it is either
ignorance or the idea of being very
economically costly or the very little
importance or none of it.
A fundamental aspect is knowing how to
recognize and identify what information,
process and operation is classified as critical
for the entity, which according to the
frequency of changes that it receives, this
planning allows to have security and data
protection without loss and to avoid possible
computer attacks.
Also to the understanding of the proper use of
the tools that can come to offer as a basic
demonstration some very important data
management tools, these can be used for the
correct management of security tests within a
company, being mostly Free and complete
use in terms of functionality and features.

2

Finally, an example of a process for the
correct management of penetration or
intrusion tests, a vulnerability analysis is
presented, not forgetting that it is
fundamental to a very high contingency in
terms of vulnerability capping and
surveillance or monitoring of Non-normative
acts.
Palabras Claves
Hacking, seguridad, informática, parrot,
sistema operativo, herramientas hacking,
pentesting.
1. INTRODUCCIÓN
La Tecnología continuamente sigue en
constante desarrollo pero para este caso este
tipo de sistema operativo es producto de un
proyecto de diferentes distribuciones de
Linux centradas en la seguridad y creadas
especialmente para auditar sistemas
informáticos y redes en busca de posibles
fallos que puedan comprometer su seguridad.
Una de las más conocidas es Kali Linux,
aunque hay muchas más similares como
WifiSlax o Parrot Security OS.
Parrot Security OS es una distribución de
Linux basada en Debian con el kernel de
Linux 4.6 y que incluye por defecto el
escritorio MATE 1.8.1. Esta distribución
viene con una serie de configuraciones y
aplicaciones preinstaladas que la permiten ser
utilizada tanto para auditar sistemas y redes
como para realizar análisis forenses de datos
e incluso para conectarse a Internet de forma
anónima y privada.
La navegación anónima se realiza a través de
una herramienta propia llamada AnonSurf
que permite redirigir todo el tráfico a través
de la red Tor o de l2P. Igualmente esta
herramienta se encarga de cerrar la conexión
de los componentes que puedan considerarse
como “inseguros”, de crear reglas en Iptables
y de borrar la caché siempre que pueda
contener datos personales.

El proyecto está certificado para el uso en
máquinas que debe tener 256MB of RAM
como para sistemas de 32bit (i386) y 64bit
(amd64. El proyecto está habilitado para
arquitecturas ARMv7 (armhf). Desarrollado
para servidores y personal dedicados para test
de penetración.
2. FUNDAMENTACION TEORICA
Y METODOLIGICA
Muchas veces hemos pensado qué sistema
operativo usar para actuar online en
actividades hacktivistas y las opciones se
centraban en las conocidas Backtrack y Kali
GNU/Linux o bien la gran iniciadora
WifiSlax.
Los usuarios interesados en probar Parrot esta
distribución pueden descargar una imagen
ISO tanto para 32 bits como para 64 desde su
página web principal. Este sistema operativo
funciona sin problemas tanto en modo “live”
como instalado en el sistema base, aunque
según el fin con el que vayamos a utilizar
Parrot Security OS es posible que sea más
seguro ejecutarlo en modo Live, desde la
RAM, para no dejar rastro en el sistema y no
correr riesgos.
Las herramientas que trae la distro, muchas
de las cuales al igual que en Kali se pueden
instalar en forma de meta paquetes
(herramientas para hackear en la nube, para
VOIP, WiFi, descifrar contraseñas, etc…),
simplemente reseñar las herraminetas o script
que en Parrot vienen destacadas como
principales o más usados:

Aircrack-ng: La suite por excelencia
para testear la seguridad inalámbrica.

AirMode: Una interfaz gráfica para
Aircrack

Burpsuite: una aplicación construida
en lenguaje Java para la penetración web

3


Hydra: un programa que sirve para
realizar ataques de fuerza bruta y reventar
contraseñas

John: el viejo The Ripper no necesita
presentación a la hora de crackear
contraseñas

Metasploit: la suite de explotación de
vulnerabilidades más famosa de los últimos
años

nmap: un clásico a la hora de
escanear puertos y analizar la seguridad de
redes.

owas-zap: útil para encontrar
vulnerabilidades en aplicaciones web.

Penmode2: una herramienta diseñada
para Kali Linux, que no tenía el placer de
conocer y que parece muy completa a la hora
de recopilar información de servidores,
escanear web o realizar pruebas de
penetración con los CMS más populares
(wordpress, joomla)

SpiderFoot:
footprinting

sqlmap:
inyección SQL

un

utilidad

programa
para

para

realizar

Ambiente de escritorio tradicional, pero muy
bien diseñado
El entorno grafico del escritorio de Parrot
“MATE” se encarga de la sesión gráfica
dentro del sistema operativo de seguridad de
Parrot. Proporciona a los usuarios un entorno
de escritorio tradicional compuesto de dos
menús que son lo mismo en cuanto cambia
alguna de las opciones, uno superior para
acceder al menú principal y las aplicaciones
de lanzamiento, así como uno inferior para
interactuar con programas en ejecución y
cambiar entre espacios de trabajo.
La mayoría de las herramientas de prueba de
penetración se pueden encontrar bajo la
entrada Parrot del menú principal, donde
están organizadas en subsecciones. Además,
un modo anónimo de navegación está
disponible para aquellos que no quieren ser
rastreados.
El equipo de desarrollo no ha especificado
ninguna frecuencia de lanzamiento oficial,
pero basándose en las versiones de
lanzamiento y en las notas proporcionadas
por la revisión oficial de la distro, la
frecuencia de lanzamiento del proyecto va a
ser mensual.


Wireshark: el popular analizador de
paquetes y protocolo en redes conocido
anteriormente como Ethereal

Fecha

2013-06-10

El proyecto nació


Zenmap: Una interfaz gráfica para
Nmap.

2013-06-17

Parrot 0.1

Pre alpha

2013-06-22

Parrot 0.2

Pre alpha

2013-06-30

Parrot 0.3

Pre alpha

2013-07-10

Parrot 0.4

Pre alpha

2013-08-22

Parrot 0.5

Alfa

2013-10-21

Parrot 0.6

Alfa

2013-11-12

Parrot 0.6.5

Alfa

2013-12-06

Parrot 0.7

Pre beta

Parrot Security OS se puede instalar (nos
encontramos el habitual instalador de
Debían) o ejecutar en modo live, estando
disponible en idioma español, italiano, inglés,
alemán y francés.
Está interesante distro está disponible para su
descarga en versiones de 32 y 64 bits. El
usuario para el login en modo live es “root” y
la contraseña “toor”.

Versión
Nombre

4

2014-01-12

Parrot 0.8

Beta

2014-01-24

Parrot 0.8.1

Beta

2014-03-05

Parrot 0.8.2

Beta

2014-04-17

Parrot 0.8.4

Beta

2014-06-25

Parrot 0.9

Beta final

2014-07-21

Parrot 1.0

Hidrógeno

2014-09-02
asfalto

Parrot 1.1

Dragón

de

2014-09-11
asfalto

Parrot 1.2

Dragón

de

2014-10-22

Parrot 1.4

Presidiario

2014-11-06

Parrot 1.4.2

Presidiario

2014-12-12

Parrot 1.6

Presidiario

2015-02-05

Parrot 1.7

CyberLizard

2015-02-21

Parrot 1.8

CyberLizard

2015-04-04

Parrot 1.9

CyberLizard

2015-09-12

Parrot 2.0

Helio

2015-09-15

Parrot 2.0.1

Helio

2015-10-06

Parrot 2.0.4

Helio

2015-10-17

Parrot 2.0.5

Helio

2016-01-16

Parrot 2.1

Murdock

2016-02-25

Parrot 2.2

Falla

2016-06-18

Parrot 3.0

Litio

2016-07-26

Parrot 3.1

Defcon

2016-10-15

Parrot 3.2

CyberSloop

5

ser básicas del sistema para ello relevamos
los más usados en lo común:

El sistema operativo basado en Debían
“Parrot” tiene un entorno muy amigable
dedicado al Pentesting para seguridad
informática o de la información para ello nos
muestra un menú de varias herramientas y
programas de todo tipo de área y aplicaciones
adaptado tanto para pentesters ,forenses y
programadores.
Para ello dentro de aplicaciones tenemos
“Accessories”, “Anon Surf”, “Education”,
“Crytography”, “Games”, “Graphics”,
“Internet”, “Office”, “Other”, ”Parrot”,
“Programming”, “Sound & Video”, “System
Tools”. Estas ya mencionadas son
herramientas como componentes principales
del Sistema de Parrot para su uso. Para ello
se explicara 5 Áreas relevantes e
importantes dentro del Sistema Operativo.
1.- Accessories.- Dentro de esta área nos
encontramos con varias herramientas pueden

 DFF.- Es una plataforma forense de
informática de código abierto
construida sobre una interfaz de
programación de aplicaciones (API)
dedicada. DFF propone una
alternativa a las viejas soluciones
forenses digitales usadas hoy en día.
Diseñado para un uso sencillo y la
automatización, puede ser utilizado
tanto por profesionales y no expertos
para realizar rápida y fácilmente a las
investigaciones digitales y realizar
respuesta a incidentes.
 GVIM.- Es una de las
implementaciones gráficas de Vim.
Es una versión mejorada del editor
de texto vi, presente en todos los
sistemas UNIX. Es uno de los
editores de texto más destacado
dentro de distribuciones de Linux.
 IPython.- Es un shell interactivo que
añade funcionalidades extra al modo
interactivo incluido con Python,
como resaltado de líneas y errores
mediante colores, una sintaxis
adicional para el shell,
autocompletado mediante tabulador
de variables, módulos y atributos;
entre otras funcionalidades.
 Leafpad.- Es un simple editor de
texto, ejemplo del minimalismo en
informática, para sistemas Unix. Es
el editor estándar de LXDE.
 Vim.- Es una versión mejorada del
editor de texto vi, presente en todos
los sistemas UNIX. Es el editor
modo consola su versión grafica es
“GVIM”.
2.- Anon Surf.- Es una herramienta que
permite la navegación anónima que se

6

realiza a través de esta herramienta que
permite redirigir todo el tráfico a través de la
red Tor o de l2P. Igualmente esta
herramienta se encarga de cerrar la conexión
de los componentes que puedan considerarse
como “inseguros”, de crear reglas en
Iptables y de borrar la caché siempre que
pueda contener datos personales.
3.- Internet.- Aquí podemos observar varias
herramientas como navegadores que
explicaremos las más sobresalientes:
 Creepy.- Es una herramienta de
geolocalización. Recopila la
información relacionada con la
geolocalización de fuentes en línea y
permite la presentación en el mapa,
el filtrado de búsqueda basado en la
ubicación y / o fecha exacta, la
exportación en formato csv o kml
para un análisis posterior en Google
Maps.
 Ettercap.- Es un
interceptor/sniffer/registrador para
LANs con switch. Soporta
direcciones activas y pasivas de
varios protocolos (incluso aquellos
cifrados, como SSH y HTTPS).
 Firefox.- Mozilla Firefox es un
navegador web libre y de código
abierto desarrollado para todos los
sistemas operativos como para PCs o
Móviles. Usa el motor Gecko para
renderizar páginas web, el cual
implementa actuales y futuros
estándares web. Es una herramienta
tanto para uso doméstico como para
desarrolladores web. Por este motivo
Firefox se encuentra dentro de esta
distribución de Parrot OS.
 TorChat.- Es un cliente de
mensajería instantánea en software
libre, con el que podremos mantener

conversaciones y transferencias de
archivos de manera segura y sin la
opción a ser rastreados. Con este
cliente obtendremos una
comunicación segura de extremo a
extremo, puesto que la comunicación
estará cifrada y además, le sumamos
la característica de la red Tor, es
decir, el anonimato.
 Wireshark.- También llamado
“Ethereal” anteriormente, es un
analizador de protocolos capturador
de paquetes de datos utilizado para
realizar análisis y solucionar
problemas en redes de
comunicaciones, para desarrollo de
software y protocolos, y como una
herramienta didáctica dentro del
pentesting y operadores en redes y
sistemas. Cuenta con todas las
características estándar de un
analizador de protocolos.
 Zenmap.- Es la interfaz gráfica
oficial de Nmap, el conocido
programa de código abierto para
hacer escaneo de puertos a fondo de
cualquier equipo conectado.
4.- Parrot.- Este exclusivamente es el sector
en el que se encuentra dedicado nuestro
sistema operativo Parrot en aquí podemos
encontrar todas las herramientas adjuntas
dentro del sistema operativo donde se divide
en varias ares de la misma forma de acuerdo
a la situación de un pentester. A
continuación se explicara cada área con las
herramientas más sobresalientes de cada una
de las mismas.
 Most Used Tools.- Aquí Parrot solo
nos da la recomendación de las
herramientas más usadas dentro de
su distribución tenemos varias de

7

ellas que las veremos en más detalles
en otras áreas.
 Criptography.- Dentro de esta área
no nos encontramos con una
variedad de herramientas pero si muy
importantes dentro lo que es el
cifrado para ello mencionaremos los
siguientes:
o Criptator.- Es una software
que nos permite descifrar o
cifrar un texto o documento
que se encuentre cifrado en
las opciones que nos da esta
herramienta.
o Zulucrypt.- Es un software
“front end” de cifrado para
cyptsetup y tcplay y permite
crear, abrir y montar
volúmenes LUKS, loop-AES,
Plain y Truecrypt. Tanto en
forma de archivoscontenedores encriptados
como dispositivos completos
(un disco duro, una partición,
una llave USB, etc).
 Information Gathering.- Se podría
decir que esta área es una importante
dentro del hacking ya que estas
herramientas ayudan al escaneo y
recolección de información ya sea de
una persona o empresa. Dentro de
Parrot hay unas sub-áreas pero solo
daremos a conocer las herramientas
más sobresalientes dentro de esta
área.
o Dmitry.- Es una herramienta
de Recopilación de
Información de Deepmagic
que tiene la capacidad de
reunir tanta información
como sea posible sobre un
host. La funcionalidad de
base es capaz de reunir

subdominios posibles,
direcciones de correo
electrónico, información de
tiempo de actividad,
exploración de puertos tcp,
consultas de whois y más.
o Netdiscover.- Es una
herramienta de
reconocimiento la cual hace
es detectar host vivos,
realizando una búsqueda por
medio de peticiones ARP,
nos puede servir para ver si
no hay algún intruso metido
en nuestra red puesto que
nuestra contraseña es
1234556.
o Nmap.- Es un software de
código abierto que sirve para
efectuar rastreo de puertos y
cuyo desarrollo se encuentra
hoy a cargo de una
comunidad. Fue creado
originalmente para Linux
aunque actualmente es
multiplataforma. Se usa para
evaluar la seguridad de
sistemas informáticos, así
como para descubrir servicios
o servidores en una red
informática, para ello Nmap
envía unos paquetes definidos
a otros equipos y analiza sus
respuestas.
o Pof.- Es una herramienta de
identificación pasiva de
sistema operativo, permite
detectar el sistema y la
versión de las maquinas
conectadas a nuestro sistema,
a las que nosotros nos
conectamos, a las que
podemos ver su tráfico e

8

incluso a las que no podemos
conectarnos.
o Recon-ng.- Es un framework
web con todas las funciones
de Reconocimiento escrito en
Python. Completo con
módulos independientes, la
interacción de bases de datos,
construido en funciones de
confort y la terminación de
comandos, Recon-ng
proporciona un potente
entorno en el que puede ser
de código abierto basado en
la Web de reconocimiento
llevado a cabo de forma
rápida y completamente.
 Vulnerability Analysis.- En esta
área se encuentran las herramientas
para hacer análisis de las
vulnerabilidades puede ser servidores
o equipos de escritorio. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Golismero.- Es una
herramienta de seguridad que
han presentado en la
convención OWASP
orientada a realizar auditorías
de páginas web para buscar
posibles agujeros de
seguridad existentes en estas,
aunque también podría ser
utilizado para buscar fallos en
cualquier otro tipo de
servicios (redes, servidores,
etc)
o Lynis.- Analiza el software
instalado en el sistema para
detectar problemas de
seguridad. Junto a la
información relacionada con
la seguridad también buscará

información general del
sistema, los paquetes
instalados y los errores de
configuración.
o Nikto.- Nikto es una
herramienta de escaneo de
servidores web que se
encarga de efectuar diferentes
tipos de actividades tales
como, detección de malas
configuraciones y
vulnerabilidades en el
servidor objetivo, detección
de ficheros en instalaciones
por defecto, listado de la
estructura del servidor,
versiones y fechas de
actualizaciones de servidores,
tests de vulnerabilidades
XSS, ataques de fuerza bruta
por diccionario, reportes en
formatos txt, csv, html, etc.
o Openvas.- Es una suite de
software, que ofrece un
marco de trabajo para
integrar servicios y
herramientas especializadas
en el escaneo y gestión de
vulnerabilidades de seguridad
de sistemas informáticos.
 Web Application Analysis.- En esta
área se encuentran las herramientas
para hacer análisis de las
vulnerabilidades, dominios y otros
de aplicaciones web. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Burpsuite.- Es un conjunto
de herramientas basada en
java que nos permite
comprobar la seguridad de
aplicaciones web. Esta suite
consiste en un servidor proxy

9

para analizar las peticiones,
un rastreador web y también
un test de intrusión.
o Httrack.- Es una aplicación
informática, multilenguaje y
multiplataforma que sirve
para la captura de sitios web,
es decir la descarga a un
sistema de almacenamiento
en un ordenador por ejemplo
el disco duro de un PC o una
llave electrónica o pen drive,
de todo, o parte de un sitio
web, para poder navegar en
cualquier momento sin
necesidad de estar conectado
a internet.
o Owasp-zap.- Open Web
Application Security Project
(OWASP) es un proyecto
abierto sin ánimo de lucro
destinado a mejorar la
seguridad de las diferentes
aplicaciones y servicios web
con el fin de conseguir un
Internet más seguro. Para ello
pretende hacer públicos los
resultados de diferentes
análisis de seguridad para que
las organizaciones tengan
constancia de ellos y los
solucionen lo antes posible
para mantener al máximo la
seguridad de sus usuarios.
o Sqlmap.- Sqlmap es una
herramienta desarrollada en
el lenguaje python y es muy
util para hacer inyeccciones
sql automatizados. Su
objetivo es detectar y
aprovechar las
vulnerabilidades de inyección
SQL en aplicaciones web.

Una vez que se ha detectado
una variable del host de
destino en la que se puede
hacer inyecciones SQL, el
usuario puede dar uso del
Sqlmap que te va a permitir
al usuario poder elegir entre
una variedad de opciones.
o Vega.- VEGA es una
plataforma de código abierto
para probar la seguridad de
las aplicaciones web. Esta
herramienta le puede ayudar
a encontrar y validar
inyecciones SQL, Cross-Site
Scripting (XSS), información
sensible y otras
vulnerabilidades. Para hacer
nuestros escaneos anonimos,
cuenta con una opción
especial, donde nosotros
podemos configurar nuestro
servidor proxy para no ser
detectados y dejar logs en los
servidores que vallamos a
escanear.
o WPScan.- Es conocido que
WordPress es uno de los
sistemas de gestión de
contenidos más utilizados a
lo largo de la red. Sin
embargo, es muy
recomendable auditar la
seguridad del blog que utilice
WordPress y de esa forma
poder determinar si es
vulnerable o no. Para ello,
existe una herramienta
sumamente recomendable
llamada WPScan.
 Database Assessment.- En esta área
se encuentran las herramientas para
hacer análisis y explotación de las

10

base de datos de un sistema o
servidor. Para ello mencionaremos
las herramientas más sobresalientes
dentro de esta área:
o SQLite Database Browser.De SQLite Database Browser
es un freeware, public
domain, herramienta visual
de la fuente abierta usada
para crear, para diseñar y
para corregir los archivos de
base de datos compatibles
con SQLite. Está destinado a
ser utilizado por los usuarios
y desarrolladores que deseen
crear bases de datos, edición
y búsqueda de datos
utilizando una hoja de
cálculo-como interfaz
familiar, sin la necesidad de
aprender complicados
comandos SQL.
o SQLninja.- Es una
herramienta dirigida a
aprovechar las
vulnerabilidades de inyección
SQL en una aplicación web
que utiliza Microsoft SQL
Server. Su objetivo principal
es proporcionar un acceso
remoto en el servidor de base
de datos vulnerable, incluso
en un ambiente muy hostil.
o Jsql.- JSQL Injection es una
aplicación ligera utilizada
para encontrar información
de base de datos de un
servidor distante. JSQL es
libre, de código abierto y
multiplataforma (Windows,
Linux, Mac OS X, Solaris).
 Explotation Tools.- En esta área se
encuentran las herramientas para

hacer la respectiva explotación a un
sistema o vulnerabilidad que
encontremos dentro de un ordenador
o servidor. Para ello mencionaremos
las herramientas más sobresalientes
dentro de esta área:
o Metasploit Framework.- Es
un suite o conjunto de
programas en realidad. Está
diseñada para explotar las
vulnerabilidades de los
equipos y es sin duda el
programa más usado. Dentro
de MetaSploit, disponemos
de multitud de herramientas y
programas para ejecutar en
las diferentes
vulnerabilidades de cada
equipo, a cada una de estas
aplicaciones se le llama
sploit.
o Artimage.- avanzadas del
framework desde el mismo
Armitage podemos iniciar un
análisis con Nmap, e incluso
se puede usar el módulo de
Brute Force para sacar
username/password. El
objetivo de Armitage es hacer
Metasploit útil para los
profesionales de seguridad
que saben hacking, pero no el
uso de Metasploit a fondo. Si
desean aprender las
características avanzadas de
Metasploit, Armitage será de
gran ayuda.
o Beef Xss Framework.- Beef
es una herramienta bastante
útil y completa para
automatizar ataques XSS
contra clientes de
aplicaciones web vulnerables,

11

consiste en el uso de vectores
de ataque XSS clásicos de
forma automatizada, donde
Beef, controla a todas las
víctimas de este tipo de
ataques y permite ejecutar
diferentes tipos de payloads
contra el objetivo, ademas de
capturar información sobre la
víctima, tales como sistema
operativo utilizado,
navegador, dirección IP,
cookies, entre otra
información valiosa.
o Websploit.- Es un proyecto
open source el cual es
utilizado para escanear y
analizar sistemas remotos
para encontrar varios tipos de
vulnerabilidades. Es una
herramienta muy poderosa,
aparte de soportar diversos
tipos de vulnerabilidades.
 Post Explotation.- En esta área se
encuentran las herramientas para
hacer la respectiva post-explotación
a un sistema ya vulnerado que ya
encontramos dentro de un ordenador
o servidor para mantener acceso
dentro del sistema y asi poder elevar
los privilegios de la misma. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Maligno.- Maligno es una
herramienta de prueba de
penetración utiliza el
framework Metasploit, en
particular msfvenom, para
generar el codigo codificado
AES cifrado y codificado
antes de la transmisión.
Maligno es una herramienta
muy útil. Está diseñado para

pruebas de penetración, pero
también puede utilizarse en
una serie de escenarios
diferentes. La comunicación
con Maligno es muy flexible,
permitiéndole simular
comportamientos de malware
o patrones de tráfico. La
arquitectura de Maligno se
compone de cliente y
servidor. Maligno se
comunica con sus
componentes utilizando el
protocolo HTTP y HTTPS.
o Powersploit.- PowerSploit es
la suite que te permitirá
conseguir una Shell de la
manera más fácil posible, sin
compilar ni programar nada
avanzado y con la habilidad
de evadir antivirus.
o Proxychains.- Proxychains
es un programa disponible
solamente para GNU/Linux y
Unix que nos permite crear
cadenas de proxies,
“ocultando” así nuestra IP
pública real en todo tipo de
conexiones (HTTP, FTP,
SSH, etc…). Esto se traduce
en que podemos navegar por
Internet o realizar cualquier
operación en la red de redes
sin descubrir nuestra
identidad real.
 Password Attacks.- En esta área se
encuentran las herramientas para
hacer ataque a inicio de sesión dentro
de un sistema o aplicación web sea
por fuerza bruta u otros medios. Para
ello mencionaremos las herramientas
más sobresalientes dentro de esta
área:

12

o Crunch.- Crunch es un
generador de listas de
palabras donde puede
especificar un conjunto de
caracteres estándar o un
conjunto de caracteres que
especifique. Crunch puede
generar todas las
combinaciones y
permutaciones posibles.
o Hashcat.- Es una aplicación
que permite la recuperación
de las contraseñas, a partir
del valor del hash para cada
una de ellas. Si se tiene en
cuenta el hecho de que éstas
no suelen almacenarse como
texto plano en la base de
datos, sino como su hash,
esta herramienta provee
diversos métodos para la
recuperación.
o Medusa.- Es un software
para atacar a nivel de fuerza
bruta basándonos en
diccionarios de palabras, es
muy estable, sencillo, rápido
y nos permitirá realizar el
ataque a muchos servicios.
o Ophcrack.- Es una
herramienta para crackear las
contraseñas de Windows
basada en las tablas Rainbow.
Es una implementación muy
eficiente de las tablas
Rainbow hecha por los
inventores de este método.
Viene con una Interfaz
Gráfica de Usuario GTK+ y
corre bajo Windows, Mac OS
X (CPU Intel) y también en
Linux.

 Wireless Testing.- En esta área se
encuentran las herramientas para
hacer un testeo sobre la seguridad
redes WIFI. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Aircrack-ng.- Es una suite
de software de seguridad
inalámbrica. Consiste en un
analizador de paquetes de
redes, un crackeador de redes
WEP y WPA/WPA2-PSK y
otro conjunto de herramientas
de auditoría inalámbrica.
o Mdk3.- Es una herramienta
usada para la seguridad
wireless, es posible descargar
el tarball desde aqui, este
programa tiene una gran
cantidad de opciones que
permiten su uso de una forma
flexible, esta aplicación saca
ventaja de vulnerabilidades
en el estándar 802.11 y debe
ser usada solamente para
pruebas de seguridad.
o Pixiewps.- Pixiewps es una
herramienta para obtener el
Pin del WPS mediante fuerza
bruta, pero de manera offline,
en un ataque conocido como
pixie dust attack, descubierto
por Dominique Bongard.
Pixiewps reduce de forma
dramática la velocidad en el
crackeo del pin WPS, un
proceso que antes duraba 12
horas, ahora se logra en
pocos minutos.
o Reaver.- Es una herramienta
que permite realizar ataques
de fuerza bruta contra puntos
de acceso que tienen activado

13

el WPS (Wifi Protected
Setup), se trata de un
mecanismo que es, al día de
escribir este artículo, uno de
los más efectivos que hay
contra WPA-PSK.
o Wifite.- Es una herramienta
bastante interesante la cual
fue diseñada para realizar
ataques a múltiples puntos de
acceso. Además de esto, este
script desarrollado en Python,
tiene casi todo el proceso
automatizado, es decir, al
lanzar el script, el reconoce la
interfaz inalámbrica, y
automática la pone en modo
monitor para realizar el
ataque.
 Sniffing and Spoofing.- En esta área
se encuentran las herramientas para
hacer un Sniffing que refiere a la
captura de datos para su análisis y
obtener información relevante sobre
lo que está pasando en la red y
Spoofing para la suplantación de
identidad de un medio para obtener
de la misma forma información. Para
ello mencionaremos las herramientas
más sobresalientes dentro de esta
área:
o Ettercap-graphical.- es un
interceptor/sniffer/registrador
para LANs con switch.
Soporta direcciones activas y
pasivas de varios protocolos
(incluso aquellos cifrados,
como SSH y HTTPS).
o Netsniff-ng.- Netsniff-ng es
una de esas herramientas que
aunque tiene unas
características muy
interesantes y es muy potente,

es más bien poco conocida.
Se trata de un sniffer
diseñado especialmente para
sistemas Linux, muy similar
a herramientas como
TCPDump o TShark, pero
con algunas ventajas
adicionales. Una de ellas es
su rendimiento, el cual es
mucho más óptimo que otros
sniffers existentes, ya que los
paquetes manejados por
Netsniff-ng no son copiados
entre el espacio del kernel y
el espacio del usuario, algo
que es tan común en librerías
como libpcap (De hecho,
netsniff-ng no requiere de
libpcap para su correcto
funcionamiento).
o Wireshark.- También
llamado “Ethereal”
anteriormente, es un
analizador de protocolos
capturador de paquetes de
datos utilizado para realizar
análisis y solucionar
problemas en redes de
comunicaciones, para
desarrollo de software y
protocolos, y como una
herramienta didáctica dentro
del pentesting y operadores
en redes y sistemas. Cuenta
con todas las características
estándar de un analizador de
protocolos.
 Digital Forenscis.- En esta área se
encuentran las herramientas para el
análisis, recuperación, descifrado y
otros de un sistema archivo o disco
duro para obtener información que
ayude al desarrollo de una

14

investigación. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Autopsy.o Foremost.o Hashdeep. Reverse Engineering.- En esta área
se encuentran las herramientas para
obtener información o un diseño a
partir de un producto, con el fin de
determinar de qué está hecho, qué lo
hace funcionar y cómo fue fabricado.
Para ello mencionaremos las
herramientas más sobresalientes
dentro de esta área:
o Apktool.- Apktool es una
herramienta muy difundida
en los desarrolladores de
android para la modificación
de las apks ya creadas,
muchas veces se usa para
modificar las SystemUI de
nuestros celulares y darles un
aspecto más personalizado.
tambien para modificar
algunas modificar lineas de
código dentro de las apks que
ya están compiladas.
o Clang.- es un front end de
compilador para los lenguajes
de programación C, C++,
Objective-C y ObjectiveC++. Usa LLVM como su
back-end y ha sido parte del
ciclo de lanzamiento de
LLVM desde la versión 2.6.
Está diseñado para ofrecer un
reemplazo de GNU Compiler
Collection (GCC).
o Flasm.- Flasm es un
ensamblador/desensamblador
de código de bytes de
ActionScript para Flash.

Usando Flasm, autores de
scripts pueden aprender
actionscript compilador y
Flash Player.
 Reporting Tools.- En esta área se
encuentran las herramientas para
hacer un reporte de lo ya trabajado
en el ámbito de seguridad
informática. Para ello
mencionaremos las herramientas más
sobresalientes dentro de esta área:
o Casefile.- CaseFile es el
hermano pequeño de
Maltego. Se dirige a un
mercado único de analistas
'offline' cuyas principales
fuentes de información no se
obtienen del lado de la
inteligencia de código abierto
o pueden ser consultadas
mediante programación.
Vemos a estas personas como
investigadores y analistas que
están trabajando "sobre el
terreno", obteniendo
inteligencia de otras personas
en el equipo y construyendo
un mapa de información de
su investigación.
o Dradis.- Es una herramienta
open source que permite
organizar y compartir la
información que se va
obteniendo en un test de
penetración. Maneja un
repositorio centralizado en
donde son almacenados los
reportes y las cosas
pendientes a realizar.
o Metagoofil.- Es una
herramienta de recolección de
información diseñada para la
extracción de metadatos de

15

documentos públicos (pdf,
doc, xls, ppt, docx, pptx,
xlsx) pertenecientes a una
empresa objetivo.
 System Services.- En esta área se
encuentran las herramientas para
levantar un servicio, ay diferentes
herramientas que necesitan iniciar un
servicio para su mejor desarrollo.
Para ello solo mencionaremos las
herramientas más sobresalientes
dentro de esta área:
o Beef
o Dradis
o Metasploit
o Openvas
5. - Programming.- Esta área está definida
con software exclusivamente para
programadores y desarrolladores así que
indicaremos las más destacadas
herramientas:



Arduino IDE
iPython
KDevelop
PyCrust

3. BIBLIOGRAFIA
Todo el contenido de este archivo se extrajo
de varios foros y páginas web sobre de la cual
se da a informar sobre el sistema operativo y
sus herramientas. A continuación se listaran
los links de donde se extrajo la información
referida anteriormente:
http://lamiradadelreplicante.com/2015/04/12
/parrot-security-os-distro-de-seguridadinformatica-basada-en-debian/
http://www.tribunahacker.com.ar/2015/08/p
arrot-security-os-un-sistema-ideal-parahackear/

http://www.tecmint.com/parrot-security-ospenetration-testing-hacking-and-anonymity/
http://www.hacker10.com/othercomputing/linux-parrot-os-for-hackingsecurity-and-anonymity/
http://tecnicaquilmes.fullblog.com.ar/parrotsecurity-os-una-distro-mezcla-de-frozenboxos-y-kali-linux.html
http://www.redeszone.net/2015/04/18/parrot
-security-os-linux-seguridad/
http://www.kitploit.com/2016/07/parrot-os31-defcon-friendly-os.html
https://en.wikipedia.org/wiki/Parrot_Securit
y_OS