Nikto es una herramienta de seguridad diseñada para analizar aplicaciones web en busca de vulnerabilidades y configuraciones inseguras que puedan ser explotadas por atacantes.
Su capacidad para detectar fallos comunes, como archivos expuestos, configuraciones erróneas y versiones obsoletas de software, la convierte en un aliado esencial para la protección de entornos digitales.
El consultor de ciberseguridad Antoine Brossault señaló en su blog: “Nikto desempeña un papel crucial en la evaluación de la postura de seguridad de las aplicaciones web al detectar versiones de software obsoletas, configuraciones erróneas y archivos peligrosos.”
Hoy cada clic y cada toque nos conecta con el mundo online. Y en ese contexto, las aplicaciones web se conviertieron en nuestros fieles aliados. Sin embargo, en este viaje hacia la digitalización, un problema fundamental acecha en las sombras: la seguridad.
La proliferación de apps también trajo consigo un aumento alarmante de los ciberataques, y en muchos casos, la seguridad pasa desapercibida durante la gestación de estas poderosas herramientas digitales.
Ahí aparece Nikto, que actúa bajo principios de seguridad como los que figuran en el OWASP Top 10. En esta travesía por el terreno de la seguridad informática, se impone como un resguardo frente a amenazas en sitios web, por su capacidad para detectar y resolver peligros escondidos en los rincones más ocultos de la red.

De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) reconoce a Nikto como una herramienta avanzada de escaneo de vulnerabilidades en servidores web. Destaca su utilidad para instituciones educativas, ejecutivos, comunidades religiosas, gobiernos e incluso pequeñas y medianas empresas.
Lo mismo el NIST o el Equipo de Respuesta a Emergencias Informáticas de Corea (KOS-CERT), que también reconoce a Nikto como una de las mejores herramientas de ciberseguridad para detectar vulnerabilidades web
Índice de temas
¿Cuál es el origen de Nikto y cómo evolucionó con el tiempo?
El nacimiento de Nikto se remonta a sus primeros días cuando fue concebido y desarrollado por Sullo. Esta brillante mente cibernética se dio cuenta de la necesidad crítica de evaluar la seguridad de las aplicaciones web en un mundo cada vez más conectado digitalmente.
Con el paso del tiempo, Nikto evolucionó de forma sostenida. Nació como una herramienta simple y terminó por consolidarse como un recurso potente para evaluar servidores web. Siguió el ritmo de las amenazas informáticas y ajustó su funcionamiento para enfrentar los nuevos desafíos que plantea la seguridad online.
Nikto se mantuvo actualizado a pesar del avance en el terreno informático. Hoy lo dirige David Lodge, quien potenció esta herramienta y la llevó a un nivel destacado dentro del ámbito de la seguridad digital. A lo largo del tiempo, varios colaboradores sumaron aportes para mejorarla y hacerla más eficaz.
En la actualidad, forma parte del kit básico de cualquier profesional de seguridad informática por su capacidad para proteger sitios web en un contexto digital que cambia todo el tiempo. Su inclusión en la distribución Kali Linux Penetration Testing y su funcionamiento en cualquier plataforma refuerzan su peso dentro de la comunidad de seguridad online.
La versión más reciente data de diciembre del 2023 y es la 2.5.0. De acuerdo a GitHub, esta actualización incluye soporte para IPv6, mejoras en la detección de cookies de Netscaler, nuevas opciones como -usecookies
y -followredirects
, y una reducción importante en los falsos positivos mediante el uso de varios métodos de verificación. También se eliminaron las pruebas obsoletas que eran propensas a errores y se optimizó el rendimiento general del escáner.
Actualizaciones | Descripción |
---|---|
Soporte para IPv6 | Escaneo en redes IPv6 |
Mejora en detección de cookies | Compatibilidad con Netscaler |
Nueva opción -usecookies | Habilita uso de cookies |
Nueva opción -followredirects | Sigue redirecciones automáticamente |
Reducción de falsos positivos | Verificación múltiple aplicada |
Eliminación de pruebas obsoletas | Pruebas antiguas removidas |
Optimización de rendimiento | Escaneo más eficiente |
¿Qué es Nikto, para qué sirve y por qué es importante en ciberseguridad?
- Nikto es el ojo vigilante que todo servidor web necesita. Esta herramienta de ciberseguridad es la defensa contra las vulnerabilidades en las aplicaciones web.
- Tiene la capacidad de detectar más de 6.700 puntos de vulnerabilidad como versiones desactualizadas y configuraciones erróneas.
- Además, cuenta con la habilidad de generar informes en HTML, XML y CSV, escanear múltiples puertos y explorar subdominios. Esto la convierte en un aliado poderoso en la protección de tu servidor web.
- Esta herramienta de codigo abierto es tu radar de seguridad, ya que esta diseñado para revelar posibles problemas y vulnerabilidades en tus aplicaciones web. Su popularidad y facilidad de uso lo convirtieron en un recurso invaluable.
- Este escáner, distribuido bajo licencia GPL, rastrea la presencia de versiones obsoletas en más de 1.250 servidores y problemas específicos de versión en otros 270 servidores.
- Pero eso no es todo. Nikto también inspecciona la configuración, busca archivos de índice, analiza las opciones del servidor HTTP y trata de identificar los servidores web y software instalado.
- Desarrollado en Perl, Nikto es versátil y funciona sin problemas en diversas plataformas. Su importancia es tal que se incorporaron a la distribución Kali Linux Penetration Testing.
- Además, esta herramienta es compatible con SSL, proxy, autenticación de host y ofrece capacidades de evasión IDS, lo que lo convierte en una herramienta completa y poderosa para garantizar la seguridad de tus aplicaciones web.
Principales características de Nikto
Cuando se escanean aplicaciones web, pueden darse varios escenarios. Nikto soporta una amplia variedad de opciones que pueden ser implementadas en tales situaciones. Una visión general de las opciones incluidas en el escáner de vulnerabilidades:

Configurar a gusto
La configuración en Nikto es una característica que permite una personalización extensa. ¿Tienes un archivo de configuración alternativo en mente? Con esta herramienta podés especificarlo, en lugar de depender del predeterminado config.txt en el directorio de instalación.
Controlar la pantalla
Nikto te brinda el control total sobre la información que deseas ver. Utilizando números de referencia, puedes especificar tus preferencias. ¿Quieres visualizar redirecciones, cookies recibidas, o respuestas 200/OK? Hace que sea simple. Incluso puedes habilitar la salida de depuración o una salida detallada, según tus necesidades específicas.
Guardar los resultados
A menudo, necesitamos conservar los resultados de nuestras exploraciones. Nikto hace que este proceso sea sencillo. Puedes guardar la salida/resultados en un archivo utilizando la opción -o (-output).
Si no especificas un nombre de archivo, la herramienta tomará el valor por defecto de la extensión de archivo especificada en la opción -output. Los formatos válidos incluyen CSV, HTML, TXT y XML.
Especificar los destinos
¿Necesitas apuntar tus exploraciones hacia hosts específicos? La opción Host te permite hacerlo. Puede ser una dirección IP, un nombre de host o incluso un archivo de texto con varios hosts.
Gestionar los plug-ins
La capacidad de seleccionar y ajustar plug-ins es fundamental para una exploración efectiva. La opción te permite elegir los plug-ins que se ejecutarán en los destinos especificados. Proporciona una lista separada por comas con los nombres de las piezas que deseas usar. Esta flexibilidad es esencial para adaptar esta herramienta a tus necesidades.
Escanear puertos específicos
Si deseas concentrarte en puertos TCP particulares, la opción Ports es tu aliado. Puedes especificar los puertos que deseas escanear, ya sea como un rango (por ejemplo, 80-90) o como una lista delimitada por comas (por ejemplo, 80, 88, 90). Si no especificas, Nikto utilizará el puerto 80 de forma predeterminada.
Evitar bloqueos con pausas
Este programa es consciente de la importancia de no llamar la atención. La opción Pausa te permite definir los segundos de retraso entre pruebas, lo que puede ser útil para evitar bloqueos por parte de un WAF (Web Application Firewall) debido a pruebas sospechosas.
Tiempo de espera inteligente
A veces, es útil esperar antes de que expire una solicitud. La opción Timeout te permite especificar el número de segundos de espera. El tiempo de espera por defecto es de 10 segundos, pero podés ajustarlo según tus necesidades.
Navegar de forma anónima con Useproxy
Para situaciones en las que necesitas navegar de manera anónima o en redes que requieren un proxy, la opción Useproxy es tu solución. Nikto utilizará el HTTP definido en el archivo de configuración para garantizar una exploración sin problemas.
Mantente actualizado
La opción -update es tu enlace directo para mantener la herramienta actualizada. Puedes actualizar los plugins y las bases de datos directamente desde cirt.net, asegurando que siempre estás un paso adelante en términos de seguridad.
Características técnicas de Nikto
Estas son algunas de las principales funciones técnicas que presenta Nikto:
Característica | Descripción |
---|---|
Actualización continua | Plugins siempre actualizados |
Automatización sin fisuras | Instalación automática de updates |
Detección según NIST | Parte del marco NIST |
Actualización Continua (actualizaciones de elementos de exploración y complementos)
Imagina un escáner de vulnerabilidades que no se queda estático, sino que evoluciona de manera constante para mantenerte un paso adelante de los ciberdelincuentes. Acá es donde sobresale. Sus elementos de exploración y complementos se mantienen siempre actualizados para enfrentar las amenazas más recientes. ¿Por qué importa esto? Porque las vulnerabilidades emergen a diario y, gracias a Nikto, estás armado con las últimas defensas en todo momento.
Automatización sin fisuras
La automatización es clave para ganar en eficiencia, y Nikto lo tiene claro. No solo actualiza sus componentes, también permite configurar la instalación automática de esas mejoras. ¿Qué implica esto? No hace falta revisar ni aplicar manualmente las últimas versiones, porque la herramienta se encarga de todo y te deja libre para atender otros puntos importantes de la seguridad en sitios web.
El uso de herramientas como Nikto forma parte de la fase de detección dentro del marco de ciberseguridad, que incluye funciones clave como identificar, proteger, detectar, responder y recuperar.
¿Cómo hacer un escaneo básico con Nikto? El paso a paso
El escaneo más sencillo que se puede realizar con Nikto requiere un nombre de host o IP como parámetro:
Nikto -h <nombre_de_host/objetivo_IP>.
Una vez completado el escaneado, los resultados se mostrarán en un formato muy similar al de la captura de pantalla siguiente:

Nikto es muy utilizada durante la fase de análisis de vulnerabilidades, ya que detectar configuraciones incorrectas, servicios obsoletos y fallos conocidos. Así lo destaca la International Research Journal of Modernization in Engineering, Technology and Science, donde se promueve el uso de esta herramienta para evaluar la seguridad antes de lanzar nuevas aplicaciones.
Las opciones comentadas anteriormente pueden utilizarse para refinar el escaneado según los deseos del pentester, hacker o desarrollador. Cabe señalar que se permite la generación de informes en el formato deseado, tal y como se comentó anteriormente. A partir de los resultados del escaneo, podemos ver claramente los problemas identificados junto con su clasificación OSVDB.
¿Qué funciones avanzadas ofrece Nikto para los profesionales de ciberseguridad?
Además de las funciones basicas, esta herramienta ofrece varias funciones avanzadas para los profesionales de la ciberseguridad. Entre ellas se encuentran:
Característica | Descripción breve |
---|---|
Actualizaciones automáticas | Mejora y plugins actualizados |
Soporte de formatos de informe | HTML, XML, CSV, etc. |
Exploración en múltiples puertos | Escaneo TCP no estándar |
Detección de aplicaciones web | Identifica software específico |
Comprobación de vulnerabilidades | Busca exploits conocidos |
Escaneo de subdominios | Analiza subdominios y hosts |
Actualizaciones y complementos automáticos
Nikto se mantiene actualizado para mantenerse al día con las últimas amenazas y vulnerabilidades. Además, cuenta con la capacidad de actualizar automáticamente sus elementos de exploración y complementos. Esto garantiza que siempre estés utilizando la versión más actualizada y eficiente de la herramienta.
Amplio soporte de formatos de informe
Nikto ofrece una variedad de formatos para adaptarse a tus necesidades. Puedes generar informes en formatos como HTML, XML, CSV y más. Esto facilita la comunicación de los resultados de tus análisis a tu equipo o clientes.
Exploración en múltiples puertos
Puedes escanear varios puertos TCP en el mismo host con facilidad. Esto es especialmente útil cuando necesitas identificar vulnerabilidades en servidores que operan en puertos no estándar.
Identificación de aplicaciones web específicas
Nikto es capaz de detectar aplicaciones web específicas que se ejecutan en el servidor web objetivo. Esta característica es esencial para comprender la naturaleza exacta de las aplicaciones y sus posibles vulnerabilidades.
Comprobación de vulnerabilidades xonocidas
Esta herramienta realiza comprobaciones exhaustivas en busca de vulnerabilidades conocidas y puntos de acceso. Esto te permite abordar proactivamente las amenazas bien documentadas y proteger tus aplicaciones web contra exploits comunes.
Escaneo de subdominios y autenticación de host
Además de la exploración de host principal, Nikto es capaz de analizar subdominios. También te permite configurar la autenticación de host cuando sea necesario para evaluar sitios web protegidos por credenciales.
Nikto: tu compañero confiable en la seguridad Web
Nikto, ese explorador constante de vulnerabilidades, se volvió una herramienta indispensable dentro del universo de la seguridad informática. ¿Por qué? Acá van algunas razones de peso.

Ligero y ágil
Nikto es reconocido por su ligereza y flexibilidad. Puede operar en cualquier sistema sin esfuerzo, lo que lo convierte en una solución universal. Su eficiencia y facilidad de uso hacen que se destaque en un campo lleno de competidores.
Actualizaciones constantes
Sus actualizaciones regulares aseguran que siempre estés un paso adelante. Esto se traduce en resultados fiables, identificando las últimas vulnerabilidades en circulación.
Más allá de los exploits
Nikto no se queda solo con la detección de exploits conocidos. Va más allá y busca archivos y configuraciones mal hechas que podrían abrirle la puerta a intrusos. Esa amplitud en su trabajo lo convierte en un aliado clave para reforzar la seguridad de un servidor web
Auditoría de seguridad sin intrusión
Una de las ventajas más notables de Nikto es su capacidad para llevar a cabo auditorías de seguridad sin inyectar ninguna carga maliciosa. Realiza pruebas en blanco, garantizando que la integridad del host analizado se mantenga intacta.
Elección predilecta de profesionales
Nikto se ganó un lugar como la herramienta elegida por especialistas de todo el mundo. Su versatilidad y solidez la volvieron indispensable para revisar la seguridad de sitios web y tiendas online.
¿Qué comandos básicos y avanzados puedes usar con Nikto?
- nikto -h example.com: Realiza un escaneo de seguridad en el host
example.com
y muestra los resultados en la pantalla. - nikto -h example.com -o reporte.html: Realiza un escaneo de seguridad en el host
example.com
y genera un informe en formato HTML llamadoreporte.html
. - nikto -h example.com -Tuning 0: Realiza un escaneo sin ajustar el perfil de escaneo, lo que significa que se explorarán todas las pruebas posibles sin excluir ninguna.
- nikto -h example.com -ssl: Realiza un escaneo de seguridad en el host
example.com
a través de una conexión SSL (HTTPS). - nikto -h example.com -p 80,443: Realiza un escaneo en los puertos 80 y 443 del host
example.com
, que son puertos comunes para servicios web HTTP y HTTPS. - nikto -h example.com -list-plugins: Muestra una lista de todos los plugins disponibles que Nikto puede ejecutar y permite seleccionar cuáles ejecutar en un escaneo.
- nikto -h example.com -Plugins outdated: Realiza un escaneo específico para buscar versiones obsoletas de software en el servidor web del host
example.com
. - nikto -h example.com -D 12345: Muestra información de depuración detallada durante el escaneo, lo que puede ser útil para el diagnóstico de problemas.
- nikto -h example.com -F csv: Realiza un escaneo y genera un informe en formato CSV en lugar del formato HTML predeterminado.
- nikto -h example.com -o reporte.xml -Format xml: Realiza un escaneo y genera un informe en formato XML llamado
reporte.xml
. nikto -h <objetivo>
: Realiza un escaneo básico al objetivo especificado.nikto -h <objetivo> -ssl
: Escanea un sitio que utiliza HTTPS.nikto -h <objetivo> -p <puerto>
: Especifica un puerto personalizado para el escaneo.nikto -h <objetivo> -o resultado.html -Format html
: Guarda el informe en formato HTML.nikto -h <objetivo> -Tuning 5
: Realiza un escaneo enfocado en vulnerabilidades de inyección.nikto -h <objetivo> -evasion 1
: Aplica técnicas de evasión para evitar sistemas de detección de intrusos.
Preguntas frecuentes sobre Nikto
¿Nikto es una herramienta gratuita?
Sí, Nikto es de código abierto y está disponible gratuitamente bajo licencia GPL. Puedes descargarlo, modificarlo y usarlo sin costo.
¿En qué sistemas operativos funciona Nikto?
Nikto está desarrollado en Perl, por lo que puede ejecutarse en cualquier sistema que tenga Perl instalado: Linux, macOS y Windows (con Cygwin o WSL).
¿Qué tipo de vulnerabilidades detecta Nikto?
Nikto detecta configuraciones inseguras, archivos y scripts expuestos, versiones obsoletas de software, cabeceras HTTP mal configuradas y otros problemas de seguridad en servidores web.
¿Nikto reemplaza a otras herramientas como Burp Suite o Nmap?
No. Nikto complementa otras herramientas. Mientras Nikto se enfoca en escaneo web no intrusivo, Burp Suite y Nmap ofrecen capacidades más avanzadas y distintas áreas de análisis (intercepción de tráfico, escaneo de red, etc.).
¿Es legal usar Nikto para escanear sitios web?
Solo es legal usar Nikto en entornos propios o con autorización explícita del propietario del sitio web. Su uso no autorizado puede considerarse ilegal.
¿Nikto puede integrarse con otras herramientas de ciberseguridad?
Sí. Puede integrarse en scripts automatizados o pipelines de seguridad junto a herramientas como Metasploit, Nmap o sistemas SIEM para escaneos programados.