¿Qué es whoami y por qué importa en seguridad?
whoami devuelve el nombre del dominio y usuario con el que se está ejecutando el proceso actual. Parece simple, pero en entornos de administración y pentesting es imprescindible para confirmar el contexto de ejecución antes de lanzar comandos privilegiados.
CMD — Usuario actual
whoamiUsuario con dominio completo
whoami /fqdnAuditar privilegios del token con whoami /priv
El parámetro /priv muestra todos los privilegios del token de seguridad del proceso: cuáles están habilitados, cuáles deshabilitados y cuáles eliminados. Fundamental para detectar si un proceso tiene privilegios excesivos.
Ver todos los privilegios del token
whoami /privVer grupos de seguridad del usuario
whoami /groupsInformación completa: usuario + grupos + privilegios
whoami /allPrivilegios clave a vigilar
| Privilegio | Riesgo | Descripción |
|---|---|---|
SeDebugPrivilege | Alto | Permite depurar cualquier proceso, incluido LSASS |
SeImpersonatePrivilege | Alto | Puede usarse para escalada de privilegios |
SeBackupPrivilege | Medio | Permite leer cualquier archivo ignorando ACLs |
SeShutdownPrivilege | Bajo | Puede apagar el sistema |
Tip Cerewro: Escribe "¿Con qué usuario y privilegios se ejecuta Cerewro?" y la IA ejecuta
whoami /all, analiza los privilegios y te advierte si detecta alguno de alto riesgo habilitado.- Escribe en el chat: "Muéstrame mi usuario y mis privilegios actuales"
- Cerewro ejecuta
whoami /ally recoge la salida. - La IA identifica privilegios peligrosos habilitados y los explica.
- Sugiere acciones correctivas si detecta configuraciones de riesgo.