Sammi De Blas | Knowledge Base

Aprendizaje Blue Team_ Fingerprinting TLS

Se lee en 15 min

Aprendizaje Blue Team: Fingerprinting TLS

Fase 1: Los Cimientos (El “Por qué” y el “De dónde”)

Antes de mirar los hashes, hay que entender la “matriz”.

  • El TLS Handshake a fondo: No basta con saber que existe. Debes dominar qué ocurre en el ClientHello. Es el momento en que el cliente le dice al servidor: “Estas son mis capacidades”.

  • Identificación de campos clave: Aprender a localizar en Wireshark los campos que generan el fingerprint: Cipher Suites, Extensions, Elliptic Curves y ALPN.

  • Concepto de Fingerprinting Pasivo: Entender por qué identificamos la aplicación sin interceptar el tráfico (sin hacer inspección SSL/Man-in-the-Middle).

Fase 2: JA3 - El Estándar Clásico

JA3 es el abuelo de esta técnica y sigue siendo muy usado.

  • La receta del JA3: Aprender cómo se concatenan los campos (Versión, Ciphers, Extensiones, Grupos, Formatos) separados por comas.

  • El Hash MD5: Por qué convertimos esa cadena larga en un hash de 32 caracteres para que los SIEM (como Splunk o ELK) puedan procesarlo rápido.

  • Limitaciones: Entender por qué el JA3 está “muriendo” o siendo menos efectivo (por culpa del GREASE y la aleatorización de TLS 1.3).

Fase 3: JA4+ - La Evolución Moderna

Aquí es donde entra lo que me has mostrado en tu consulta. JA4 es mucho más inteligente y legible.

  • Anatomía del JA4: Entender sus tres partes principales (por ejemplo, t13d1516h2):

    • t: Protocolo (TCP).

    • 13: Versión de TLS (1.3).

    • d: Modo (Dirección/Destino).

    • 15: Número de Cipher Suites.

    • h2: ALPN (HTTP/2).

  • JA4 vs JA3: Por qué JA4 es “resistente” al ruido y las variaciones aleatorias que meten los navegadores modernos (Chrome/Firefox).

Fase 4: Análisis Forense y “Raw Data”

Aquí conectamos con los datos que me pasaste.

  • Interpretación del JA4_r (Raw): Aprender a leer esa lista de números hexadecimales. Si ves 1301, 1302, 1303, saber que son Ciphers de TLS 1.3.

  • Detección de Anomalías: Si un proceso dice ser “Google Chrome” pero su JA4 corresponde a una librería de Python o Go, tienes un positivo.

  • Conceptos Avanzados en el ClientHello: Qué es el ECH (Encrypted Client Hello) y el PQ (Post-Quantum Cryptography) como el X25519MLKEM768 que mencionaste.

Fase 5: Aplicación en el SOC (Threat Hunting)

El objetivo final de un experto.

  • Búsqueda de Malware: Usar bases de datos (como ja3er.com o repositorios de JA4) para identificar troyanos o herramientas de hacking (Sliver, Cobalt Strike).

  • Detección de Impersonation: Crear alertas cuando un Fingerprint conocido cambia de comportamiento.

  • Filtros en Wireshark/Zeek: Dominar los filtros de visualización para extraer estos fingerprints masivamente.

Abre un Wireshark en tu equipo, filtra por tls.handshake.type == 1 (Client Hello), busca el paquete de una conexión a Google o Facebook y localiza estos 3 campos:

  1. Cipher Suites

{width=“6.267716535433071in” height=“1.6805555555555556in”}

  1. Extensions

{width=“6.267716535433071in” height=“2.0555555555555554in”}

  1. Supported Groups

{width=“6.267716535433071in” height=“1.8472222222222223in”}

{width=“6.267716535433071in” height=“0.4861111111111111in”}

Vamos a diseccionar el JA3 Fullstring 771,4865-4866-4867,51-10-43-16-13-57-45-17613-27-65037-42-0-41,4588-29-23-24,

En Blue Team, esto se lee así:

  1. Versión (771): Aunque es TLS 1.3, se usa 771 (que es el valor hexadecimal 0x0303 de TLS 1.2) por temas de compatibilidad hacia atrás en el campo Legacy Version.

  2. Ciphers (4865-4866-4867): Son los IDs en decimal de las suites que viste (0x1301, 0x1302, 0x1303).

  3. Extensiones (51-10…): Aquí está la “huella”. Fíjate en la 65037. Esa extensión es el Encrypted Client Hello (ECH). Pocas aplicaciones la usan aún. Si ves esto, sabes que es un navegador muy moderno (Chrome/Firefox) o una herramienta de privacidad avanzada.

  4. Grupos (4588-29-23-24): El 4588 es el grupo post-cuántico.

{width=“6.267716535433071in” height=“0.5555555555555556in”}

Imagina que estás monitorizando la red de tu empresa. Tienes 500 puestos con Windows 11 y todos usan Chrome.

  • Comportamiento normal: El 99% de tus logs de TLS muestran el JA3 a6b80110… (el de tu captura). Es el “Fingerprint” oficial de Chrome en tu organización.

  • La Anomalía: De repente, recibes una alerta. La IP de la secretaria de dirección está conectándose a una IP externa extraña, pero el tráfico va cifrado por el puerto 443. No puedes ver el contenido, pero ves su JA3: c79d132…

  • El Diagnóstico: Buscas ese JA3 en una base de datos y descubres que pertenece a la librería Go-TLS o a Metasploit.

Conclusión rápida: Ningún usuario debería usar herramientas en Go o Metasploit. Tienes un proceso malicioso (posiblemente un Infostealer o un Beacon de Cobalt Strike) intentando salir de tu red. Has detectado una amenaza sin necesidad de descifrar el tráfico.

{width=“6.267716535433071in” height=“1.7916666666666667in”}

TSO (TCP Segmentation Offload): La tarjeta de red (NIC) se encarga de trocear los paquetes, por eso Wireshark (que captura antes de que la NIC haga su magia) ve longitudes “0” o checksums erróneos.

No es un ataque: Es optimización de hardware. No pierdas tiempo investigando esto como un posible ataque de manipulación de paquetes.

{width=“6.267716535433071in” height=“1.5277777777777777in”}

No es que el paquete esté corrupto. Lo que ocurre es que tu tarjeta de red tiene activada una función llamada Checksum Offload. La CPU le delega a la tarjeta de red la tarea de calcular el checksum justo antes de enviarlo al cable. Como Wireshark captura el paquete “saliendo” de la CPU, el valor aún no se ha calculado (está a 0 o es erróneo) y Wireshark marca “Unverified”.

{width=“6.267716535433071in” height=“0.7777777777777778in”}

El valor “0” en total length eso suele ocurrir en capturas de IPv6 (donde se llama Payload Length) o cuando se usa TSO (TCP Segmentation Offload). En ese caso, verías un paquete gigante o un valor 0 porque la tarjeta de red aún no ha “segmentado” el tráfico en paquetes individuales.

{width=“6.267716535433071in” height=“0.6666666666666666in”}

Seguimos con el JA4

Ahora que ya sabes que esas “rarezas” son normales por el hardware, volvamos a la joya de la corona [JA4: q13d0313h3_55b375c5d22e_226f3f127bbe]

Fíjate en la primera parte: q13d0313h3.

  • q: QUIC (UDP).

  • 13: TLS 1.3.

  • d: Dirección “Down” (o saliente).

  • 03: Número de Cipher Suites (vimos que eran 3, ¿recuerdas?).

{width=“6.267716535433071in” height=“1.6805555555555556in”}

Buscar vecinos con la misma JA4

1. Establecer la “Línea Base” (Profiling)

Para saber qué es lo anómalo, primero tienes que saber qué es lo normal.

  • Escenario: Si en tu empresa el 95% de los equipos tienen el JA4 de Chrome v120, ese es tu “ruido de fondo”.

  • Finalidad: Identificar rápidamente al 5% restante. Si un equipo tiene un JA4 distinto, ¿es porque usa Firefox (permitido) o porque tiene instalado un troyano que usa su propia librería de red (no permitido)?

2. Detección de Campañas de Malware (Outbreak)

El malware a menudo es “vago”. Un atacante usa el mismo binario o la misma configuración de C2 (Command & Control) para infectar a varios equipos.

  • Escenario: Encuentras un equipo con un JA4 sospechoso que se comunica con una IP en Kazajistán.

  • Finalidad: Buscas ese JA4 en el resto de la red. Si aparece en otros 10 equipos, no tienes un “incidente aislado”, tienes una infección masiva o un movimiento lateral.

  • El JA4 te permite rastrear la extensión del compromiso sin necesidad de entrar equipo por equipo.

3. Identificación de “Shadow IT” y Aplicaciones No Autorizadas

Como administrador, tú defines qué software se usa.

  • Escenario: Detectas un JA4 que corresponde a la librería python-requests o Go-http-client.

  • Finalidad: Detectar scripts automatizados, herramientas de hacking o proxies (como Tor o túneles SSH) que los usuarios o desarrolladores han instalado sin permiso. Un navegador real jamás tendrá el fingerprint de una librería de Python.

4. Detección de Impersonation (Suplantación)

Esta es la más avanzada. Muchos ataques intentan engañar al Blue Team cambiando el User-Agent en la capa HTTP para que parezca que son “Mozilla/5.0 (Windows NT 10.0…)”.

  • Escenario: Un atacante usa un script para exfiltrar datos. El script envía un User-Agent de Chrome.

  • Finalidad: El JA4 no miente. El servidor de análisis verá: “Dice ser Chrome (User-Agent), pero su apretón de manos TLS (JA4) es de una librería cURL”.

Ejemplo práctico

Si buscamos vecinos para tu JA4 q13d0313h3… (que hemos identificado como QUIC/HTTP3, probablemente Chrome/Edge moderno):

Host JA4 ¿Sospechoso? Acción

PC-ADMIN q13d0313h3… No Es el estándar de la empresa. PC-CONTABILIDAD q13d0313h3… No Normal. SRV-SQL-01 q13d0313h3… SÍ ¿Por qué un servidor de Base de Datos está navegando a Google con un navegador interactivo? PC-USER-04 t12d1008… SÍ Usa TLS 1.2 antiguo y pocas extensiones. Posible script o malware viejo.

¿Cómo lo harías en la vida real?

Para buscar “vecinos” no vas equipo por equipo con Wireshark (te volverías loco). Usarías herramientas que centralizan esto, como:

  1. Zeek (Bro): Que extrae los JA3/JA4 de forma automática de toda la red.

  2. SIEM (Splunk/ELK): Donde harías una query tipo: index=network_logs | stats count by ja4_fingerprint, src_ip.

¿A qué aplicación pertenece un JA4 desconocido?

El Oráculo: JA4DB.com

Es el repositorio oficial creado por Fox-IT y John Althouse (el creador de JA4).

Es el equivalente a VirusTotal, pero para fingerprints de red.

  • Cómo usarlo: Copias el JA4 completo (ej: q13d0313h3_55b375c5d22e_226f3f127bbe) y lo pegas en su buscador.

  • Qué obtendrás: Te dirá qué aplicaciones han reportado ese mismo hash. Si es Chrome, aparecerá como “Google Chrome [Version]”. Si es un malware conocido, suele aparecer marcado.

2. “Despiezar” el JA4 (Análisis Sintáctico)

Lo maravilloso del JA4, a diferencia del JA3, es que no es solo un hash aleatorio. La primera parte es legible. Si no lo encuentras en ninguna web, analízalo tú mismo:

Tomemos JA4: q13d0313h3_…

  1. Transporte (q): Ya sabemos que es QUIC. Esto descarta el 90% de las aplicaciones antiguas y scripts básicos de Python que no soportan HTTP/3.

  2. Versión (13): TLS 1.3.

  3. SNI (d): Significa que el campo “Server Name Indication” está presente (es lo normal hoy en día).

  4. Ciphers (03): Solo ofrece 3 suites de cifrado. Esto es típico de navegadores modernos o librerías de red ultraseguras. Un malware mal programado suele arrastrar suites viejas (lista más larga).

  5. Extensiones (13): Tiene 13 extensiones.

  6. ALPN (h3): Negocia HTTP/3.

Veredicto del analista: “Es un cliente web extremadamente moderno, probablemente un navegador basado en Chromium o una aplicación que usa el motor de renderizado del sistema (como una App de escritorio de Teams o Discord)“.

3. El Método del Laboratorio (Reproducción)

Si sospechas que el tráfico lo genera una aplicación concreta (por ejemplo, un software de contabilidad sospechoso), puedes confirmarlo sin herramientas caras:

  1. Instala esa aplicación en una Máquina Virtual limpia.

  2. Abre Wireshark en el host.

  3. Ejecuta la aplicación y captura su Client Hello.

  4. Compara el JA4 generado con el que tenías originalmente. Si coinciden, has identificado la aplicación.

4. Búsqueda por “JA3” (El plan B)

Como JA4 es más reciente (2023), a veces hay menos registros que de JA3 (2017). Tu captura también nos dio el JA3: a6b80110ed348d86394555c990e226a6.

  • Puedes buscar este hash en ja3er.com. Es una base de datos inmensa donde la comunidad sube qué aplicaciones generan qué JA3.

¿Por qué esto es clave para Admin de Sistemas?

Imagina que instalas un nuevo EDR (Endpoint Detection and Response) en los servidores. De repente, ves un JA4 nuevo. Haces este análisis y descubres que es el propio agente del EDR comunicándose con su nube.

  • Resultado: Lo marcas como “Conocido y Seguro” (Whitelist).

  • Si no lo hicieras: Podrías bloquear por error el tráfico de tu propia herramienta de seguridad, pensando que es una exfiltración de datos.

Si en un servidor que solo debería hacer consultas SQL (puerto 1433), ves un JA4 que empieza por t13d… (TCP, TLS 1.3) y tiene el ALPN h2 (HTTP/2), ¿qué es lo primero que sospecharías como experto en seguridad?

Busqueda en CMD con Tshark

“C:\Program Files\Wireshark\tshark.exe” -r “wifi captura 2.pcapng” -T fields -e ip.src -e tls.handshake.extensions_server_name -e tls.handshake.ja3 -e tls.handshake.ja4 >> ja4.txt

“C:\Program Files\Wireshark\tshark.exe” -r “wifi captura 2.pcapng” -Y “tls.handshake.type == 1” -T fields -e ip.src -e tls.handshake.extensions_server_name -e tls.handshake.ja3 -e tls.handshake.ja4 -E header=y -E separator=, > ja4_limpio.csv

Filtrar y exportar a CSV

Para que los datos sean útiles en un SOC o para abrirlos en Excel, necesitas filtrar para ver solo los ClientHello y añadir cabeceras.

“C:\Program Files\Wireshark\tshark.exe” -r “wifi captura 2.pcapng” -Y “tls.handshake.type == 1” -T fields -e ip.src -e tls.handshake.extensions_server_name -e tls.handshake.ja3 -e tls.handshake.ja4 -E header=y -E separator=, > ja4_limpio.csv

Lo que cambia con este comando:

  1. -Y “tls.handshake.type == 1”: Filtra para que solo se procesen los paquetes ClientHello. Desaparecerán todas las líneas vacías.

  2. -E header=y: Añade una fila arriba con los nombres de las columnas.

  3. -E separator=,: Cambia las pestañas por comas. Esto crea un archivo CSV real.

Análisis de lo que ya has capturado

Aunque el archivo ja4.txt se ve mal, he extraído algunas líneas valiosas que ya nos dicen mucho de tu equipo:

IP Origen Servidor (SNI) Fingerprint JA4 Interpretación

192.168.1.130 gemini.google.com q13d0313h3… Es tu navegador interactuando con esta IA (QUIC/H3). 192.168.1.130 github.com t13d1516h2… Conexión TLS 1.3 estándar sobre TCP (GitHub no usa QUIC por defecto). 192.168.1.130 js.stripe.com q13d0311h3… Una librería de pagos cargándose en segundo plano.

Interpretación de los “Candidatos” en tu Excel

Busca en tu tabla estos patrones típicos y compáralos con lo que ves:

Prefijo JA4 ¿Qué significa en tu red? Nivel de confianza

q13d… QUIC (HTTP/3) + TLS 1.3. Es casi seguro tu navegador (Chrome/Edge) hablando con servicios de Google o Facebook. Seguro (Navegador) t13d… TCP + TLS 1.3. Es el estándar de la web moderna. Lo verás en GitHub, LinkedIn, etc. Seguro (Web estándar) t12d… TCP + TLS 1.2. Ojo aquí. Si el destino es un servidor viejo, vale. Si es una IP desconocida, podría ser un script antiguo o malware que no soporta TLS 1.3. Investigar t13i… TLS 1.3 pero SIN SNI (la “i” de invisible/no-sni). Si ves esto hacia una IP externa, es sospechoso: ¿Por qué una aplicación no dice a qué dominio va? Sospechoso

tls.handshake.ja4

q13d0313h3_55b375c5d22e_226f3f127bbe

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1515h1_8daaf6152771_0a20fe35d3a5

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1516h2_8daaf6152771_d8a2da3f94cd

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0312h3_55b375c5d22e_5a06198afb93

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

t13d1516h1_8daaf6152771_0d365e64def3

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1516h2_8daaf6152771_d8a2da3f94cd

q13d0311h3_55b375c5d22e_653d80c3fe9d

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1516h2_8daaf6152771_d8a2da3f94cd

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1517h2_8daaf6152771_b6f405a00624

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1517h2_8daaf6152771_b6f405a00624

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1517h2_8daaf6152771_b6f405a00624

q13d0312h3_55b375c5d22e_5a06198afb93

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

q13d0312h3_55b375c5d22e_5a06198afb93

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

q13d0312h3_55b375c5d22e_5a06198afb93

t13d1516h2_8daaf6152771_d8a2da3f94cd

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1516h2_8daaf6152771_d8a2da3f94cd

q13d0311h3_55b375c5d22e_653d80c3fe9d

t13d1516h2_8daaf6152771_d8a2da3f94cd

q13d0313h3_55b375c5d22e_226f3f127bbe

t13d1517h2_8daaf6152771_b6f405a00624

q13d0313h3_55b375c5d22e_226f3f127bbe

q13d0313h3_55b375c5d22e_226f3f127bbe

t13d201300_2b729b4bf6f3_1ea369dc5faa

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

t13d1517h2_8daaf6152771_b6f405a00624

t13d1516h2_8daaf6152771_d8a2da3f94cd

El “Navegador Humano” (Chrome/Edge con QUIC)

Fíjate en el JA4: q13d0313h3_55b375c5d22e_226f3f127bbe

  • Destinos: gemini.google.com, google.es, docs.google.com, blogger.com.

  • Diagnóstico: Este es el tráfico de tu navegación real. La q inicial nos confirma que usas QUIC (HTTP/3), lo cual es el estándar de Google.

2. El Tráfico de Aplicaciones y SDKs (GitHub/Spotify/Stripe)

Fíjate en el JA4: t13d1517h2_8daaf6152771_b6f405a00624

  • Destinos: github.com, spotify.com, braze.com (marketing/telemetría), stripe.com.

  • Diagnóstico: Este es tráfico TCP (letra t). Es un fingerprint muy consistente que usan las aplicaciones modernas que corren sobre motores web (como Electron o apps que usan el motor del sistema).

  • ¿Ves que api.github.com y spotify.com comparten la misma “huella”? Eso significa que ambos están siendo llamados probablemente por el mismo motor de red o aplicación.

3. Anomalía

Aquí es donde se pone divertido. Busca este JA4 en tu Excel: t13d201300_2b729b4bf6f3_1ea369dc5faa

  • Destino: self.events.data.microsoft.com

  • Por qué es diferente: 1. Tiene 20 cipher suites (d20), mientras que tu navegador solo tiene 3 o 15. 2. El campo ALPN es 00 (No tiene protocolo de aplicación negociado).

  • Diagnóstico: ESTO NO ES UN NAVEGADOR. Es un servicio nativo de Windows (probablemente telemetría del sistema o de Office).

  • El hecho de que su huella sea tan distinta a las demás nos permite asegurar que no es una persona navegando, sino el sistema operativo “hablando solo”.

¿Cómo usarías esto en un caso real de Blue Team?

Imagínate que ese JA4 de Microsoft (t13d201300…) de repente apareciera conectándose a un servidor en Rusia o China con el SNI vacío.

  • Conclusión inmediata: Tendrías un proceso del sistema (o algo suplantando) haciendo una conexión no autorizada.

  • Como Administrador de Sistemas, sabrías que no es un usuario con Chrome, sino un proceso binario el que tienes que ir a buscar en la lista de servicios.

Tu siguiente paso de aprendizaje

Ya sabes identificar “quién es quién” por el hash.

Para cerrar este módulo de Fingerprinting

En tu Excel, busca el servidor alive.github.com. Verás que tiene un JA4 que termina en h1 (HTTP/1.1).

  1. Abre un CMD.

  2. Escribe: netstat -abno | findstr “140.82.” (que es el rango de IP de GitHub que se ve en tus logs).

  3. Intenta encontrar qué PID (Process ID) y qué .exe está manteniendo esa conexión.

¿Te gustaría que te explique cómo mapear ese PID con el Administrador de Tareas para confirmar al 100% qué programa generó esa huella? Así habrás hecho el camino completo: Paquete Fingerprint Proceso Archivo.

Analizando el “Fósil” de Microsoft

En tu Excel filtrado aparece:

  • SNI: self.events.data.microsoft.com

  • JA4: t13d201300_2b729b4bf6f3_1ea369dc5faa

Análisis Senior: Fíjate en ese d20. Significa que esa aplicación ofreció 20 Cipher Suites. Chrome suele ofrecer unas 15 y los scripts de Python unas 3 o 4. ¿Quién ofrece 20? Windows nativo.

Este JA4 pertenece al servicio DiagTrack (Experiencias del usuario y telemetría asociadas). Es el encargado de enviar errores y estadísticas a Microsoft. No es un virus, pero es un proceso que “chupa” ancho de banda y privacidad.

2. ¿Cómo capturarlo “en el acto”?

Si quieres ver qué programa genera un JA4 específico en tiempo real, no uses solo netstat. Usa un bucle de monitorización en PowerShell.

Si vuelves a lanzar una captura de Wireshark, abre otra ventana de comando:: PowerShell y deja esto corriendo:

while($true) {

Get-NetTCPConnection | Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, State, @{Name=“Process”;Expression={(Get-Process -Id $_.OwningProcess).ProcessName}} | Where-Object {$_.RemoteAddress -like “140.82.*” -or $_.RemoteAddress -like “20.189.*”}

Start-Sleep -Seconds 1

}

(Este comando revisa cada segundo si hay conexiones a GitHub o Microsoft y te dice el nombre del .exe que la mantiene abierta).

3. Conclusión de JA4

Has pasado de tener una captura de red cruda a:

  1. Extraer metadatos con Tshark.

  2. Limpiar el ruido con filtros de visualización.

  3. Identificar actores:

    • q13…: Tu navegador (Google/Gemini).

    • t13…: Servicios web (GitHub).

    • t13d20…: Telemetría del Sistema Operativo.

¿Ves la potencia? Si mañana un ransomware entra en tu red y usa una librería propia para cifrar, su JA4 será único.

No se parecerá a ninguno de estos tres. Con un solo vistazo a tu Excel, lo verías brillar como una bombilla roja.

Vista Gráfica

Retroenlaces