Kali Linux onesixtyone SNMP Reconocimiento
Kali Linux onesixtyone SNMP Reconocimiento
onesixtyone es una herramienta de reconocimiento (footprinting) extremadamente rápida diseñada para enumerar dispositivos que utilizan el protocolo SNMP (Simple Network Management Protocol).
A diferencia de otros escáneres que prueban una comunidad a la vez y esperan la respuesta, onesixtyone utiliza un enfoque de envío masivo de paquetes, lo que le permite escanear cientos de direcciones IP casi simultáneamente.
¿Cómo funciona?
El protocolo SNMP utiliza "cadenas de comunidad" (community strings) que actúan como contraseñas. Si un atacante o auditor conoce esta cadena (muchas veces es la de fábrica, como public o private), puede extraer información sensible del dispositivo, como nombres de usuario, interfaces de red o tiempo de actividad.
Sintaxis Básica en Kali Linux
La estructura del comando es sencilla:
onesixtyone [opciones] <IP del objetivo>
Ejemplo común:
onesixtyone -c /usr/share/doc/onesixtyone/dict.txt 192.168.1.100
Opciones Principales
-c <archivo>: Especifica un archivo de diccionario que contiene nombres de comunidades (fuerza bruta).-i <archivo>: Permite cargar un archivo con una lista de direcciones IP para escanear en masa.-o <archivo>: Guarda los resultados en un archivo de registro.-p <puerto>: Cambia el puerto UDP (por defecto es el 161).-w <n>: Define el tiempo de espera (en milisegundos) entre paquetes (útil para evitar saturar la red).
¿Por qué es útil en una auditoría?
Velocidad: Es probablemente la herramienta más rápida para identificar dispositivos SNMP mal configurados.
Bajo Ruido: Al ser tan rápida, a menudo pasa desapercibida por sistemas de detección que no estén bien calibrados.
Información Crítica: Una vez que encuentras una comunidad válida, puedes usar herramientas como
snmpwalkpara extraer toda la configuración del equipo.
Nota de seguridad: Recuerda que solo debes utilizar estas herramientas en entornos controlados o bajo autorización previa. Escanear redes ajenas sin permiso es ilegal.
Interpretar los resultados de onesixtyone es bastante directo porque la herramienta es minimalista. A diferencia de otros escáneres complejos, esta herramienta se centra en una sola pregunta: ¿Responde este dispositivo a esta "comunidad" de SNMP?
Cuando ejecutas el escaneo, verás una salida similar a esta:
192.168.1.50 [public] Hardware: x86 Family 6 Model 142 Stepping 10 AT/AT COMPATIBLE - Software: Windows Version 10.0
192.168.1.105 [private] Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE4
Desglose de la información
Cada línea exitosa se divide generalmente en tres partes:
Dirección IP: El host que respondió a la solicitud.
Community String (entre corchetes): Es el nombre de la comunidad que permitió el acceso (ej.
[public]). Si ves esto, significa que esa "contraseña" es válida.Descripción del Sistema (SysDescr): Es la información que el dispositivo devuelve automáticamente. Aquí puedes identificar:
Tipo de hardware: (Router Cisco, Servidor Windows, Impresora HP).
Versión del Sistema Operativo: Crucial para buscar vulnerabilidades específicas (exploits).
Uptime: Tiempo que lleva encendido el equipo.
¿Qué buscar en los resultados? (Banderas Rojas)
| Hallazgo | Significado | Riesgo |
| Comunidad "public" | Configuración por defecto. | Alto: Permite leer información del sistema sin esfuerzo. |
| Comunidad "private" | Configuración por defecto. | Crítico: A menudo permite escribir/modificar la configuración del equipo. |
| Versión de OS antigua | Software desactualizado en la descripción. | Alto: El equipo es vulnerable a exploits conocidos (ej. EternalBlue en Windows viejos). |
El siguiente paso: La Explotación
Una vez que onesixtyone te confirma que la comunidad es, por ejemplo, public, la herramienta ha terminado su trabajo. Ahora es el momento de usar snmpwalk para extraer la base de datos completa (MIB) del objetivo.
Ejemplo de comando para extraer todo:
snmpwalk -v c2 -c public 192.168.1.50
Dato curioso:
onesixtyoneno te dirá si la comunidad es de "solo lectura" o de "lectura/escritura". Eso tendrás que probarlo intentando modificar un valor consnmpset.
Una vez que onesixtyone te ha confirmado que una IP tiene una comunidad válida (como public), el siguiente paso lógico es usar snmpwalk.
snmpwalk es como un "explorador de archivos" para SNMP. Utiliza solicitudes GETNEXT para recorrer todo el árbol de información del dispositivo (llamado MIB).
1. La sintaxis básica
Para extraer toda la información disponible:
snmpwalk -v 2c -c public <IP_del_objetivo>
-v 2c: Especifica la versión de SNMP (la 2c es la más común en redes locales).-c public: La comunidad que descubriste cononesixtyone.
2. Extrayendo datos específicos (Lo más útil)
Volcar toda la información puede generar miles de líneas de texto. Para ser más eficiente, puedes pedirle a snmpwalk que solo te muestre secciones específicas usando OIDs (Object Identifiers) o nombres estándar:
A. Enumerar Usuarios del Sistema
Si el objetivo es un servidor (Windows/Linux), esto es oro puro para ataques de fuerza bruta posteriores:
snmpwalk -v 2c -c public <IP> 1.3.6.1.4.1.77.1.2.25
B. Ver Procesos en Ejecución
Útil para saber si hay antivirus, firewalls o software vulnerable corriendo:
snmpwalk -v 2c -c public <IP> hrSWRunName
C. Interfaces de Red y Direcciones IP
Para descubrir si el equipo tiene otras tarjetas de red y saltar a otras subredes (pivoting):
snmpwalk -v 2c -c public <IP> ipAdEntAddr
D. Software Instalado
snmpwalk -v 2c -c public <IP> hrSWInstalledName
3. Tabla de referencia rápida
| Objetivo | OID Común | Descripción |
| Hostname | sysName | El nombre del equipo en la red. |
| Uptime | sysUpTime | Cuánto tiempo lleva encendido (útil para calcular parches). |
| Puertos TCP | tcpConnState | Puertos que están escuchando actualmente. |
| Almacenamiento | hrStorageDescr | Nombres de los discos y particiones. |
Un consejo de "pro"
Si los resultados te salen como números largos (ej. .1.3.6.1.2.1.1.1.0) en lugar de texto, es porque te faltan las librerías MIB en Kali. Puedes instalarlas así:
sudo apt update && sudo apt install snmp-mibs-downloader
¿Qué sigue? Si encuentras que la comunidad es
private, podrías incluso intentar cambiar la configuración del dispositivo (como apagar una interfaz de red) usandosnmpset.
Si descubres que la comunidad es de lectura/escritura (usualmente llamada private, aunque podría ser cualquier nombre), puedes usar el comando snmpset. Esto permite modificar la configuración del dispositivo de forma remota, lo cual es el "santo grial" en una auditoría de red.
1. La herramienta: snmpset
A diferencia de snmpwalk (que lee), snmpset escribe. La sintaxis básica es:
snmpset -v [versión] -c [comunidad] [IP] [OID] [tipo_de_dato] [valor]
2. Tipos de datos comunes
Para cambiar un valor, debes decirle a SNMP qué tipo de dato le estás enviando:
s: String (texto)i: Integer (número entero)n: Null (nulo)x: Hexadecimal
3. Ejemplos prácticos (¡Cuidado con estos!)
A. Cambiar el nombre del dispositivo (Hostname)
Si quieres dejar una "huella" de que el equipo es vulnerable:
snmpset -v 2c -c private 192.168.1.100 sysName.0 s "Equipo_Vulnerable_Pwned"
B. Apagar una interfaz de red (Denegación de Servicio)
En muchos routers y switches, puedes deshabilitar un puerto específico (por ejemplo, el puerto 1):
snmpset -v 2c -c private 192.168.1.100 ifAdminStatus.1 i 2
i 1: Levanta la interfaz (Up)
i 2: Tumba la interfaz (Down)
C. Cambiar el contacto del administrador
snmpset -v 2c -c private 192.168.1.100 sysContact.0 s "Aviso: Cambie su comunidad SNMP"
4. ¿Cómo saber si funcionó?
Después de ejecutar un snmpset, simplemente usa snmpget o snmpwalk para verificar que el valor haya cambiado:
snmpget -v 2c -c public 192.168.1.100 sysName.0
Consideraciones Críticas de Seguridad
Persistencia: Algunos cambios son temporales y se pierden si el dispositivo se reinicia, a menos que guardes la configuración (lo cual requiere otro comando SNMP específico).
SNMP v3: Si el administrador es precavido, usará SNMP v3, que utiliza usuario y contraseña reales con cifrado.
onesixtyoneysnmpsetbásico no funcionarán ahí; necesitarías herramientas comosnmp-checko ataques de diccionario específicos para v3.Impacto: Cambiar valores en un switch de producción puede desconectar a toda una oficina. Usa esto con extrema precaución.
Dato curioso: En dispositivos antiguos o mal configurados, a veces es posible reiniciar el router completo simplemente enviando un comando de "Reload" vía SNMP.
Aquí tienes un pequeño script en Bash que puedes guardar en tu Kali Linux. Este script automatiza el proceso: primero usa onesixtyone para encontrar comunidades válidas y, si encuentra una, usa snmpwalk para extraer el nombre del sistema y las interfaces de red automáticamente.
El Script: auto_snmp.sh
Copia este código en un archivo (por ejemplo, nano auto_snmp.sh):
#!/bin/bash
# Comprobar si se pasó una IP como argumento
if [ -z "$1" ]; then
echo "Uso: $0 <IP_objetivo>"
exit 1
fi
TARGET=$1
DICT="/usr/share/doc/onesixtyone/dict.txt"
echo -e "\n[*] Iniciando escaneo rápido con onesixtyone en $TARGET..."
# Ejecutar onesixtyone y filtrar la comunidad encontrada
# Guardamos el resultado en una variable
RESULT=$(onesixtyone -c $DICT $TARGET | grep "$TARGET")
if [ -z "$RESULT" ]; then
echo "[-] No se encontraron comunidades SNMP abiertas."
else
# Extraer la comunidad (lo que está entre corchetes)
COMMUNITY=$(echo $RESULT | cut -d "[" -f2 | cut -d "]" -f1)
echo -e "[+] ¡Comunidad encontrada!: \e[1;32m$COMMUNITY\e[0m"
echo -e "\n[*] Extrayendo información básica del sistema...\n"
# Extraer Nombre del Sistema
echo -n "Nombre del Host: "
snmpget -v 2c -c $COMMUNITY $TARGET sysName.0 -ov | cut -d " " -f2
# Extraer Descripción
echo -n "Descripción: "
snmpget -v 2c -c $COMMUNITY $TARGET sysDescr.0 -ov
echo -e "\n[*] Interfaces de Red detectadas:"
snmpwalk -v 2c -c $COMMUNITY $TARGET ipAdEntAddr -ov
fi
Cómo usarlo
Dale permisos de ejecución:
Bashchmod +x auto_snmp.shEjecútalo contra un objetivo:
Bash./auto_snmp.sh 192.168.1.100
¿Qué hace este script exactamente?
Automatiza la tubería (pipeline): En lugar de copiar y pegar la comunidad que te da
onesixtyone, el script la "atrapa" usando comandos de limpieza de texto (cut).Limpieza de salida: Uso el parámetro
-ovensnmpget/walk. Esto hace que solo te muestre el Valor, omitiendo el OID largo y aburrido, para que la respuesta sea legible.Colores: He añadido un pequeño código de color para que la comunidad resalte en verde si la encuentra.
Una última recomendación: snmp-check
Si alguna vez quieres algo aún más visual y automático que un script propio, Kali tiene una herramienta llamada snmp-check.
Si ya conoces la comunidad, simplemente escribe:
snmp-check -t 192.168.1.100 -c public
Esta herramienta te genera un reporte completo y ordenado de usuarios, puertos, servicios y software sin que tengas que recordar ningún OID.
Para que onesixtyone sea realmente efectivo, no basta con el diccionario por defecto. Muchos administradores o fabricantes cambian la comunidad a algo relacionado con la marca del equipo o el nombre de la empresa.
Aquí tienes cómo crear un diccionario de alto impacto y cómo configurarlo para que tus escaneos sean quirúrgicos.
1. Crear el diccionario personalizado
Copia este bloque de texto y guárdalo en un archivo llamado mis_comunidades.txt. He incluido las comunidades "clásicas", las de fabricantes comunes (Cisco, HP, APC) y algunas que suelen dejar los administradores por pereza:
public
private
admin
root
manager
cisco
cisco123
system
read
write
monitor
snmp
agent
hp_admin
password
guest
secret
public@123
1234
solaris
internal
network
2. Generar un diccionario "Contextual" (Pro Tip)
Si estás auditando una empresa llamada "AcmeCorp", es muy probable que usen comunidades personalizadas. Puedes generar una lista rápida en la terminal combinando el nombre de la empresa con palabras clave:
# Esto genera combinaciones como acme_snmp, acme2026, etc.
echo -e "acme\nacme_snmp\nacme2026\nacmesnmp\nadmin_acme" > acme_dict.txt
3. Ejecutar el escaneo optimizado
Ahora que tienes tu archivo mis_comunidades.txt, lánzalo con onesixtyone. Vamos a añadir el parámetro -w para que sea más estable:
onesixtyone -c mis_comunidades.txt -w 50 192.168.1.0/24
-w 50: Espera 50ms entre paquetes. Esto evita que el switch o el IDS (Sistema de Detección de Intrusos) bloquee tu IP por saturación.
Resumen de Estrategia SNMP
Para que tu flujo de trabajo en Kali sea profesional, sigue este orden:
| Paso | Herramienta | Objetivo |
| 1. Descubrimiento | onesixtyone | Hallar la IP y la Comunidad (Community String). |
| 2. Enumeración | snmp-check | Obtener un reporte legible de usuarios, procesos y discos. |
| 3. Extracción | snmpwalk | Sacar datos específicos (como tablas de ruteo) usando OIDs. |
| 4. Modificación | snmpset | (Opcional) Cambiar configuraciones si la comunidad es private. |
¿Cómo protegerse?
Como auditor, también debes saber recomendar la solución. Si encuentras estas vulnerabilidades, la recomendación es:
Deshabilitar SNMP si no es estrictamente necesario.
Filtrar por IP: Que el dispositivo solo responda a la IP del servidor de monitoreo.
Usar SNMPv3: Es la única versión que requiere usuario/contraseña real y cifra el tráfico.
Para saber qué versión de SNMP está corriendo un dispositivo, no solemos usar onesixtyone (que es un mazo para romper puertas), sino nmap o snmp-check. Identificar la versión es vital: si es v3, tu diccionario de comunidades no servirá de nada porque requiere usuario y contraseña reales.
Aquí tienes cómo identificar la versión paso a paso:
1. Usando Nmap (El método más fiable)
Nmap tiene un script específico (snmp-info) que interroga al puerto 161 UDP y te dice exactamente qué versiones soporta el dispositivo.
nmap -sU -p 161 --script snmp-info 192.168.1.100
¿Cómo leer el resultado?
v1: Muy antiguo, vulnerable a interceptación (texto plano).
v2c: El más común. Usa "community strings" (lo que hemos estado atacando).
v3: El muro. Si ves esto, el dispositivo pide autenticación (Auth) y cifrado (Priv).
2. Diferencias en el ataque según la versión
Dependiendo de lo que detecte Nmap, tu estrategia cambia radicalmente:
Si es SNMP v1 o v2c:
Sigue usando el script que hicimos y onesixtyone. La única diferencia es que v2c es un poco más rápido y maneja mejor los errores, pero ambos son igual de inseguros ante un ataque de diccionario.
Si es SNMP v3:
Aquí la cosa se pone seria. onesixtyone no funcionará. Necesitarás herramientas como snmp-check o nmap con fuerza bruta de usuarios:
# Ejemplo de fuerza bruta para SNMP v3 con nmap
nmap -sU -p 161 --script snmp-brute --script-args snmp-brute.communitiesdb=mis_comunidades.txt 192.168.1.100
3. Tabla de diagnóstico rápido
Si lanzas un comando y no recibes respuesta, puede ser por la versión:
| Síntoma | Causa probable | Solución |
Timeout constante | Puerto cerrado o Firewall | Prueba con -sU en Nmap para confirmar puerto abierto. |
No Response en v2c | Comunidad incorrecta | Sigue probando con el diccionario personalizado. |
Unknown Engine ID | Es SNMP v3 | Necesitas usar herramientas compatibles con v3 (como snmpwalk -v 3). |
Resumen del flujo de trabajo profesional:
Escanear con Nmap:
nmap -sU -p 161 --script snmp-info <IP>Si es v2c: Lanzar el script
auto_snmp.shque creamos.Si es v3: Intentar enumerar usuarios conocidos (como
admin,manager) con herramientas de fuerza bruta específicas.
Configurar tu propio servidor SNMPv3 en una máquina Linux (como Ubuntu o Debian) es la mejor forma de entender por qué es tan superior a la versión 2c que estuvimos atacando. En v3, pasamos de una simple "palabra compartida" a un sistema de Usuarios, Autenticación (Hash) y Privacidad (Cifrado).
Aquí tienes los pasos para montar un "laboratorio" seguro y ver la diferencia:
1. Instalación del agente SNMP
Primero, instalamos el demonio SNMP (snmpd):
sudo apt update && sudo apt install snmpd snmp
2. Creación de un usuario SNMPv3
A diferencia de v2c, donde solo editabas un archivo de texto, en v3 usamos un comando que genera las claves de seguridad. Vamos a crear un usuario llamado admin_seguro.
Para esto, primero debemos detener el servicio:
sudo systemctl stop snmpd
Ahora creamos el usuario con el siguiente comando (puedes cambiar las contraseñas):
# Sintaxis: net-snmp-config --create-snmpv3-user -a [pass_auth] -x [pass_priv] [usuario]
sudo net-snmp-config --create-snmpv3-user -a SHA "PasswordAuth123" -x AES "PasswordPriv456" admin_seguro
SHA: Algoritmo para verificar que tú eres quien dices ser (Autenticación).
AES: Algoritmo para cifrar los datos que viajan por la red (Privacidad).
3. Configuración del servicio
Edita el archivo de configuración /etc/snmp/snmpd.conf:
sudo nano /etc/snmp/snmpd.conf
Asegúrate de que el agente escuche en todas las interfaces (cambia 127.0.0.1 por 0.0.0.0) y añade esta línea al final para dar permisos al usuario:
rouser admin_seguro priv
Guarda y reinicia el servicio:
sudo systemctl start snmpd
4. La prueba de fuego: ¿Es vulnerable a onesixtyone?
Si intentas usar la herramienta que vimos al principio contra este servidor:
onesixtyone -c mis_comunidades.txt 127.0.0.1
Resultado: Nada. onesixtyone no encontrará nada porque el servidor ya no responde a "comunidades", sino que espera un intercambio de llaves cifradas.
5. Cómo conectar correctamente (con snmpget)
Ahora, para obtener información, el "atacante" (o administrador) debe conocer 5 datos distintos:
snmpget -v 3 -u admin_seguro -l authPriv -a SHA -A "PasswordAuth123" -x AES -X "PasswordPriv456" localhost sysName.0
-v 3: Versión 3.
-u: Usuario.
-l authPriv: Indica que usaremos tanto autenticación como cifrado.
-a / -A: Protocolo y contraseña de autenticación.
-x / -X: Protocolo y contraseña de cifrado (privacidad).
Conclusión del Laboratorio
Como has visto, SNMPv3 es una "fortaleza" comparado con el "castillo de naipes" que es SNMPv2c. En una auditoría real, si detectas v3, tu trabajo se vuelve mucho más difícil y suele requerir ataques de fuerza bruta dirigidos al usuario, que son mucho más lentos.
Atacar SNMPv3 es un juego completamente distinto. Como ya no hay "comunidades" simples, el atacante debe adivinar dos cosas: el nombre de usuario y la contraseña (que además puede estar protegida por diferentes algoritmos de hash como MD5 o SHA).
Aquí te muestro cómo se realiza este ataque de fuerza bruta utilizando las dos herramientas más potentes para ello en Kali Linux: Nmap y Hydra.
1. Fuerza Bruta con Nmap (El más preciso)
Nmap tiene un script llamado snmp-brute que es excelente porque maneja muy bien los tiempos de respuesta del protocolo UDP.
El comando:
nmap -sU -p 161 --script snmp-brute \
--script-args snmp-brute.v3userdb=/ruta/usuarios.txt,snmp-brute.v3passdb=/ruta/passwords.txt \
<IP_objetivo>
snmp-brute.v3userdb: Tu lista de posibles usuarios (ej. admin, snmpadmin, root).snmp-brute.v3passdb: Tu diccionario de contraseñas (como el famosorockyou.txt).
2. Fuerza Bruta con Hydra (El más rápido)
Hydra es conocido por su velocidad. Si sabes el usuario (por ejemplo, admin) y solo quieres atacar la contraseña, es extremadamente eficiente.
El comando:
hydra -u admin -P /usr/share/wordlists/rockyou.txt -s 161 snmp <IP_objetivo>
Dato importante: Hydra por defecto intenta SNMPv1/v2. Para v3, a veces es necesario especificar parámetros adicionales de seguridad, por lo que Nmap suele ser más confiable para esta versión específica.
3. ¿Por qué es tan difícil romper SNMPv3?
A diferencia de lo que hacíamos con onesixtyone, atacar v3 tiene tres grandes barreras:
Bloqueo por intentos: Muchos dispositivos modernos bloquean la IP del atacante tras 5 o 10 intentos fallidos.
Velocidad UDP: SNMP corre sobre UDP, que no garantiza que el paquete llegue. Si vas demasiado rápido, perderás respuestas y el ataque fallará.
Combinaciones: Tienes que acertar el usuario, la contraseña de autenticación (Auth) y, a veces, la de cifrado (Priv). Es una multiplicación de probabilidades.
4. Resumen: ¿Cuándo usar cada herramienta?
| Herramienta | Escenario ideal | Ventaja |
| onesixtyone | Redes grandes con v1/v2c. | Velocidad increíble, ideal para reconocimiento inicial. |
| snmp-check | Ya tienes la comunidad v1/v2c. | Genera un informe completo de un solo vistazo. |
| Nmap (scripts) | Identificar la versión o fuerza bruta v3. | Es el más preciso y profesional para diagnóstico. |
| Hydra | Fuerza bruta masiva de contraseñas. | Muy rápido si el dispositivo no tiene límites de intentos. |
Como este es el paso final de una auditoría, el informe debe ser claro, conciso y estar dividido en Hallazgos, Impacto y Recomendaciones. Un buen reporte no solo dice "entré", sino "por qué es peligroso" y "cómo arreglarlo".
Aquí tienes una plantilla profesional que puedes adaptar:
Informe de Auditoría Técnica: Protocolo SNMP
1. Resumen Ejecutivo
Durante la evaluación de seguridad, se identificaron dispositivos que utilizan el protocolo SNMP (Simple Network Management Protocol) con configuraciones inseguras. El uso de versiones obsoletas y credenciales por defecto permite a un atacante obtener información crítica de la infraestructura y, en algunos casos, tomar control de los dispositivos.
2. Hallazgos Técnicos
| ID | Riesgo | Descripción del Hallazgo | Herramienta Usada |
| H-01 | CRÍTICO | Comunidad de escritura (private) expuesta en Routers/Switches. | onesixtyone, snmpset |
| H-02 | ALTO | Uso de SNMPv2c con comunidad public. Fuga de información. | onesixtyone, snmpwalk |
| H-03 | MEDIO | Exposición de nombres de usuario, procesos y versiones de SO. | snmp-check |
3. Impacto del Negocio
Interrupción del Servicio: Un atacante puede apagar interfaces de red críticas.
Espionaje Industrial: Acceso a tablas de rutas, tráfico de red y topología interna.
Escalada de Privilegios: Los nombres de usuario obtenidos facilitan ataques de fuerza bruta hacia servicios como SSH o RDP.
4. Recomendaciones de Mitigación
A. Corto Plazo (Inmediato)
Cambiar comunidades por defecto: Eliminar
publicyprivate. Usar cadenas complejas (ej.C0muni-d4d_2026!).Filtrado por IP (ACLs): Configurar los dispositivos para que solo respondan a las consultas SNMP provenientes de la dirección IP del servidor de monitoreo (NMS).
Cerrar puertos innecesarios: Bloquear el puerto 161 UDP en el firewall perimetral para evitar escaneos desde internet.
B. Largo Plazo (Estratégico)
Migrar a SNMPv3: Implementar obligatoriamente la versión 3 con el nivel de seguridad
authPriv(Autenticación SHA y Cifrado AES).Monitorización de logs: Configurar alertas para detectar múltiples intentos fallidos de acceso SNMP (posible ataque de fuerza bruta).
5. Evidencia Adjunta (Ejemplo)
Captura de pantalla / Log:
192.168.1.100 [private] Hardware: Cisco IOS Software...El atacante logró modificar el sysName del dispositivo remotamente demostrando control total.
