Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumen— La finalidad del presente documento es la de realizar Pero muchas veces no hay una concientización sobre la
un trabajo en forma individual en la etapa inicial, fase 1, del curso seguridad en las redes y en los sistemas de información, como
de “Seguridad en Sistemas Operativos”, que bajo la estrategia de en el caso de la mayoría de las personas que somos usuarios
indagación, análisis y determinación, planteada por la finales de tecnologías básicas como el computador y el celular,
Universidad Nacional Abierta y a Distancia – UNAD, se debe
por ejemplo el computador que tenemos en nuestro hogar en la
desarrollar una actividad con el fin de analizar la situación
gran mayoría de casos no cuenta con un sistema operativo y
presentada en las compañías que generan perdida de información
y afectan su productividad, determinando posibles soluciones de paquete de ofimática licenciado, y tenemos un antivirus de
acuerdo con las metodologías de Ethical Hacking, que para este prueba o gratuito, que no ofrece las mejores garantías de
caso particular se tomó como referencia unos inconvenientes seguridad y hemos instalado un sin número de programas o
presentados en el último año con los sistemas de información y aplicaciones que no sabemos qué tan seguros sean, en muchas
redes de comunicaciones en diversas sedes a nivel nacional de la ocasiones abrimos los hipervínculos de correos electrónicos,
empresa SAS Security. compartimos cadenas de información, imágenes, accedemos a
sitios web que no tienen la seguridad adecuada, descargamos
Palabras clave— Ethical Hacking, hardware, red, sistema información, uso de las redes sociales, entre otras, aquí hay
operativo, software, vulnerabilidades, muchos riesgos y vulnerabilidades y estamos facilitando las
cosas para que organizaciones o personas dedicadas a hackear
Abstract— The purpose of this document is to carry out a work
los sistemas informáticos accedan a nuestra información.
individually in the initial stage, phase 1, of the course
"Security in Operating Systems", that under the strategy of
inquiry, analysis and determination, proposed by the National A nivel empresarial o gubernamental es más delicada la
Open and Distance University - UNAD, an activity must be situación sobre la perdida de la información, puesto que está en
developed in order to analyze the situation presented in the riesgo muchos recursos físicos, financieros y hasta la seguridad
companies that generate loss of information and affect their de una nación, donde hay muchos factores que pueden
productivity, determining possible solutions according to Ethical aumentar las vulnerabilidades, la globalización permite el
Hacking methodologies, that for this particular case some acceso a la información, la adquisición excesiva de tecnología,
drawbacks presented in the last year with the information systems la fabricación de tecnología para muchos entornos, el
and communications networks were taken as reference at the desarrollo de software y de infinidad de aplicaciones, páginas
national headquarters of the company SAS Security.
web, tiendas virtuales, implementación de redes alámbricas,
Keywords— Ethical Hacking, hardware, network, operating
inalámbricas, aumento de usuarios, entre otras, a pesar que en
system, software, vulnerabilities. muchas organizaciones adquieren tecnología, software, no es
suficiente para contrarrestar los incidentes, por lo que hay que
I. INTRODUCCIÓN emplear metodologías adecuadas para el análisis y valoración
de vulnerabilidades.
Todos los días vemos, escuchamos y leemos en los diversos
medios de comunicación, noticieros, programas de televisión, La empresa tecnológica eslovaca ESET, informó que los cinco
de radio, periódicos, revistas, sobre ataques de hackers tipos de ataques informáticos que más han afectado a los
planeados a través de organizaciones delictivas, hasta por latinoamericanos en el 2018 han sido los mensajes fraudulentos
países, empresas o en forma individual, donde emplean diversas (“phishing”) aumento en el mundo un 46% en el primer
metodologías y herramientas informáticas, para ingresar a trimestre de 2018 respecto al anterior trimestre, las
empresas, entidades gubernamentales, a personas, a nivel (“ciberextorsiones”), también conocido como “ramsomware”,
nacional e internacional, donde estos delincuentes cibernéticos el código malicioso, malware diariamente en ESET llegan
están constantemente realizando penetraciones a las redes y 300.000 variantes únicas de ‘malware’ y unas 300 nuevas
sistemas informáticos, con el fin de apoderasen de información muestras son para el sistema operativo móvil Android” de
valiosa, estratégica para la toma de decisiones, de defensa, de Google, la (“explotación de vulnerabilidades”), llamada
sistemas de armas, financiera, personal. EthernalBlue es una modalidad que se hizo famosa en el 2017
con el virus “WannaCry”, que aprovechó una brecha en el
sistema operativo Windows de Microsoft para afectar a más de
200.000 computadoras en 150 países y su uso “ha crecido un conexiones alámbricas e inalámbricas, enlaces remotos,
600%” en algunos periodos de 2018 y la minería de controles de accesos, cámaras, etc. todos estos equipos y
criptomonedas (”cryptojacking”), el denominado aplicaciones de software son susceptibles de ser atacados por
“JS/CoinMiner”, uno de estos mineros de criptomonedas, ha delincuentes informáticos si no se toman las medidas de
sido la amenaza más detectada en el mundo por la telemetría de seguridad adecuadas.
ESET de diciembre de 2017 a junio de 2018 con un 32 % del
total de las detección de la empresa, concluyendo que el virus Posibles acciones que se están presentando en SAS
WannaCry afectó a más de 200.000 computadoras en 150 Security
países [1].
Los siguientes son hechos que posiblemente están sucediendo
En el ámbito empresarial nacional, Según el Centro Cibernético o pueden suceder en la empresa objeto de estudio, teniendo en
Policial entre los riesgos que afectan a las compañías del país cuenta que en el último año se han venido presentando
está la suplantación de correo corporativo (tipo BEC), que inconvenientes con sus sistemas de información y redes de
puede dejar una pérdida de 380 millones de pesos en cada comunicaciones en sus diferentes sedes a nivel nacional, así:
ataque, además para el 2017 se recibieron 11.618 denuncias
por delitos de carácter digital, siendo los más recurrentes el Posiblemente no hay políticas adecuadas de seguridad de la
hurto por medios informáticos y semejantes (60%), seguido de información y de la informática, no hay un área fortalecida en
la violación de datos personales (16%) y acceso abusivo a un cuanto a personal y recursos para la seguridad de la
sistema informático (15%) [2]. organización.
La Gran Encuesta TIC del Ministerio de Tecnologías de la Probablemente puede existir pérdida de personal clave dentro
Información y las Comunicaciones da cuenta que en plena de la organización, que suministre información de valor a la
transformación digital el 72% de las empresas aún no invierten competencia, lo que conlleva a la pérdida de clientes.
en capacitar a su personal, sin embargo el 63% considera que
es muy importante que su equipo de trabajo domine las TIC, Puede ser que haya divulgación o modificación de información
Además, preocupa más que el 83% de las empresas carecen de en forma accidental o sin autorización, mal manejo de backups,
protocolos de respuesta a la violación de políticas de seguridad etc.
informática y carecen de área o personal encargado de la
seguridad informática [3]. Probable instalación de software desde internet de libre
distribución o gratuito, de juegos y uso de diversas
Por lo tanto, existen grupos de expertos de empresas, de aplicaciones y redes sociales no autorizadas por la entidad.
sectores académicos, con años de experiencia en los Sistemas
de Gestión de Seguridad de la Información, que trabajan en Posible uso de equipos personales y dispositivos móviles
equipo y están encargados de la búsqueda y desarrollo de conectados a las redes de wifi, sin los protocolos de seguridad
nuevas metodologías y herramientas que permitan minimizar, adecuados.
contrarrestar las vulnerabilidades que se puedan presentar en
los sistemas informáticos, redes de comunicación, que a través Puede suceder que haya suplantación de correo corporativo,
de buenas prácticas, modelos de gobierno, normas y estándares spam, phishing, spyware, que pueden llevar a la perdida de
internacionales, se dedican a gestionar y controlar los riesgos información valiosa de la organización, transacciones
de la seguridad de la información dentro de cualquier financieras y demás.
organización.
Podría existir un uso indebido de claves de acceso en equipos
II. ANÁLISIS DE LA SITUACIÓN Y POSIBLE SOLUCIÓN A LOS de cómputo, suplantación de identidad, que permitan la
INCONVENIENTES PRESENTADOS EN SAS SECURITY Y divulgación o alteración de la información.
POSIBLES SOLUCIONES
Eventualmente algún equipo de cómputo, servidor, recursos de
La empresa objeto de estudio de esta actividad SAS Security red, de correo, firewall, entre otros, presenta alguna
ha venido presentado en el último año inconvenientes con sus configuración inadecuada., que permita posibles ataques
sistemas de información y redes de comunicaciones en sus informáticos, botnets, denegación de servicio, etc.
diferentes sedes a nivel nacional.
También se podría presentarse que el software que se emplea
Debido a que SAS Security en una empresa que tiene presencia en la organización como los sistemas operativos, paquetes de
a nivel nacional, probablemente usa diversos sistemas ofimática, software contable, etc. no este licenciado, no se
operativos, ofimática, aplicaciones WEB, equipos de cómputo instalen las actualizaciones, parches, lo que permita el ingreso
portátiles y de escritorio, impresoras, servidores, firewall, de troyanos, virus, gusanos informáticos, códigos maliciosos,
enrutadores, módems, controladores, routers, swtiches, puntos ataques informáticos, etc.
de acceso, aplicaciones web, bases de datos, servicios de
correo y chat corporativo, redes LAN, WAN, teléfonos IP,
Posibles soluciones a la problemática presentada en SAS ▪ Identificar posibles situaciones de riesgo, con el fin de
Security tomar medidas de seguridad preventivas y correctivas y
evitar perdida de capital.
Para el caso de estudio podríamos aplicar el Ethical Hacking,
que es un tipo de hackeo llamado de “sombrero blanco”, ▪ Documentar el proceso y resultados del Ethical Hacking,
puesto que se emplean conocimientos y experiencias en con el fin de tener una base de conocimiento y poder ser
valoraciones de seguridad o de vulnerabilidades en los sistemas aplicado y difundido d acuerdo a los niveles de seguridad
informáticos a solicitud y autorización de la organización que y confidencialidad.
requiere conocer las fallas de seguridad, vulnerabilidades
identificadas y/o no identificadas, con el fin de implementar las Tipos de pruebas o evaluación en el Ethical Hacking
medidas de seguridad preventivas y correctivas, mejorar
políticas, procedimientos, etc., donde existen varias Estas pruebas pueden realizarse en cualquiera de las
metodologías para tal fin. metodologías existes para auditoria de seguridad técnica y
análisis de vulnerabilidades en los sistemas de información (SI),
Pero antes de describir las metodologías de Ethical Hacking de acuerdo con las necesidades y requerimientos del análisis.
más reconocidas para la auditoria de seguridad técnica y
análisis de vulnerabilidades en los sistemas de información (SI) ▪ Caja negra, desde internet, sin información de la red o de
es importante conocer las siguientes definiciones relacionadas la infraestructura donde se pretende realizar el análisis.
con el tema en mención.
▪ Caja blanca, desde la parte interna, red local, un sitio de
¿Qué es Ethical Hacking? trabajo específico dentro de la organización a la cual se va
a realizar el análisis.
El Ethical Hacking es una práctica esencial para los sistemas de
seguridad de la información de una organización ya sea desde ▪ Caja gris, desde el código fuente, aplicaciones críticas,
una perspectiva externa o interna, que en forma organizada, etc, dentro de los sistemas de información de la
estructurada por medio de herramientas y/o metodologías, para organización.
la detección de errores, análisis vulnerabilidades identificadas y
no identificadas, en un sistema informático desde la parte Fases genéricas del Ethical Hacking
lógica y/o física, con el fin prevenir, evitar, minimizar, rechazar
y hacer recomendaciones de valor, tomar las medidas de Estas fases pueden estar presentes en cualquiera de las
seguridad preventivas y correctivas necesarias (configuración metodologías existes para auditoria de seguridad técnica y
adecuada de dispositivos, de sistemas operativos, software en análisis de vulnerabilidades en los sistemas de información (SI).
general, aplicaciones, deshabilitar, habilitar, restringir accesos,
actualizar licencias, descargar, instalar y aplicar parches, etc.). ▪ Reconocimiento
▪ Escaneo y enumeración
Para contrarrestar posibles ataques maliciosos, debilidades de ▪ Obtener o ganar acceso
los sistemas informáticos y a las vulnerabilidades que ▪ Mantener el acceso
eventualmente sean causadas por los usuarios ya sean ▪ Cubrir, borrar o eliminar huellas o rastros
intencionadas o por falta de conocimiento, lo cual lo hace muy
importante para que las organizaciones adquieran estos Pasos genéricos para el desarrollo del Ethical Hacking
servicios a empresas o personal experto dedicado en esta área,
con el fin de evitar perdidas de información, daños en los Por lo regular las diversas organizaciones que presentan los
equipos, redes, servidores, etc. para la continuidad de su servicio de Ethical Hacking realizan los siguientes pasos para el
negocio y la mejora continua. desarrollo de esta.
Posibles beneficios del Ethical Hacking ▪ Llegar a un acuerdo con el cliente sobre las necesidades,
expectativas y alcances para realizar la metodología
▪ Orientar a la organización sobre posibles vulnerabilidades seleccionada o más adecuada.
de los SI, para contrarrestar de la mejor manera los
errores. ▪ Realizar un documento con los permisos necesarios para
poder realizar el procedo de Ethical Hacking, firmado por
▪ Corregir la configuración inadecuada de dispositivos y la gerencia o el encargado de la organización.
aplicaciones.
▪ Seleccionar el personal, la metodología a desarrollar, las
▪ Actualizar sistemas operativos, parches, licencias, herramientas y realizar un cronograma de trabajo.
software en general.
▪ Llevar a cabo las diversas técnicas, test, de acuerdo con la Fase II. Evaluación de ISAAF
metodología, herramientas y las fases genéricas o más
detalladas. Esta es la fase en la que realmente se lleva a cabo la prueba de
penetración, se seguirá un enfoque por capas, como se muestra
▪ Analizar cada uno de los resultados obtenidos, elaborar en la fig. 1. Cada paso representa un mayor nivel de acceso a
los soportes y reportes sobre las vulnerabilidades sus activos de información [6], así:
encontradas y las soluciones y posibles controles para
contrarrestarlas. ▪ Búsqueda de información
▪ Mapeo de la red
▪ Presentar el resultado al cliente mediante informes ▪ Identificación de vulnerabilidades
ejecutivos y técnicos de acuerdo con las áreas encargadas ▪ Penetración
del proceso. ▪ Obtención de acceso y escalamiento de privilegios
▪ Enumeración adicional
Metodologías de Ethical Hacking ▪ Comprometer usuarios remotos/sitios
▪ Mantener el acceso
Es un conjunto de procedimiento y reglas diseñadas por grupos ▪ Cubrir los rastros
de expertos desde hace varios años que pretenden realizar ▪ Opcional (auditoria)
hackeo ético de manera lógica y ordenada, entre las más
reconocidas a nivel internacional tenemos las que se describen
Fig. 1. Enfoque y metodología ISSAF
en la tabla 1.
Fuente: El autor
▪ Fase de Documentación y Reporte: Se genera un reporte Este es un documento de metodología de testeo de seguridad.
con los problemas de seguridad encontrados Es un conjunto de reglas y lineamientos para CUANDO, QUE
y CUALES eventos son testeados. Esta metodología cubre
Fig. 2. Fases de prueba de penetración NISTP SP 800-115 únicamente el testeo de seguridad externo, es decir, testear la
seguridad desde un entorno no privilegiado hacia un entorno
privilegiado, para evadir los componentes de seguridad,
procesos y alarmas y ganar acceso privilegiado. Está también
dentro del alcance de este documento proveer un método
estandarizado para realizar una exhaustiva prueba de seguridad
de cada sección con presencia de seguridad (por ejemplo,
seguridad física, seguridad inalámbrica, seguridad de
comunicaciones, seguridad de la información, seguridad de las
Fuente: Manual NISTP SP 800-115 tecnologías de Internet, y seguridad de procesos) de una
organización [12].
Fase de ataque de NISTP SP 800-115
Mapa de seguridad de OSSTMM
Representa cuatro fases de las pruebas de ataque [9], como se
aprecia en la fig.3. Es una imagen de la presencia de seguridad, esta compuesta
por secciones, las cuales se superponen entre si contienen
▪ Ganar acceso elementos de todas las otras secciones. Un análisis apropiado
▪ Escalamiento de privilegios de cualquier sección debe incluir los elementos de todas las
▪ Sistema de navegación otras secciones, directa o indirectamente [13], como se aprecia
▪ Instalar herramientas adicionales en la fig. 4.
Fig. 4. Mapa de seguridad de OSSTM
Fig. 3. Fases de ataque NISTP SP 800-115
▪ Aplicación: La caja negra sobre la que realizar las pruebas Fuente: Guía de pruebas OWASP 2008 V3.0
Las pruebas se dividen en 2 fases [16]: La mayor parte de las personas no comprueba el software hasta
que ya ha sido creado y se encuentra en la fase de desarrollo de
Modo pasivo: en el modo pasivo, la persona a cargo de la su ciclo de vida (ej. El código ya ha sido creado e instanciado
realización de las pruebas intenta comprender la lógica de la en una aplicación web funcionante). Esta es generalmente una
aplicación, juega con la aplicación; puede usarse una utilidad práctica muy inefectiva y costosa. Las compañías deberían
para la recopilación de información, como un proxy HTTP, inspeccionar su SDLC (Ciclo de Vida de Desarrollo del
para observar todas las peticiones y respuestas HTTP. Al final Software). global para asegurarse que la seguridad es una parte
de esta fase esta persona debería comprender cuales son todos integral del proceso de desarrollo. fig.5. Los SDLC deberían
los puntos de acceso (puertas) de la aplicación. incluir pruebas de seguridad para asegurar que la seguridad
está adecuadamente cubierta, y los controles son efectivos a
Modo activo: en esta fase la persona a cargo de la través del proceso de desarrollo [17].
comprobación empieza a realizar las pruebas usando la
metodología descrita en los siguientes apartados. Hemos Fig. 5. Modelo SDLC genérico
dividido el conjunto de pruebas en 9 subcategorías:
▪ Pruebas de Autenticación
▪ Pruebas de Autorización
▪ Recopilación de inteligencia (recolección de información): Todas las metodologías para el Ethical Hacking que se
Se realiza la recolección de información de inteligencia indagaron en las diversas fuentes de información, en teoría
desde fuentes abiertas. ofrecen un conjunto de procedimiento y reglas diseñadas por
grupos de expertos, que desde hace varios años están en
▪ Modelado de amenazas: Se enuncian las posibles constante actualización, las cuales pretenden realizar hackeo
estrategias de penetración. ético de manera lógica y ordenada, para que personal experto
en el área de la seguridad de la información e informática, con
▪ Análisis de vulnerabilidades: Se descubren ciertos conocimientos en diversas herramientas y metodologías
vulnerabilidades que puedan ser explotadas. puedan realizar valoraciones de seguridad o de vulnerabilidades
en los sistemas informáticos a solicitud y autorización de la
▪ Explotación: Se intentan explotar las vulnerabilidades organización que requiere conocer las fallas de seguridad,
descubiertas. vulnerabilidades identificadas y/o no identificadas, con el fin de
implementar las medidas de seguridad preventivas y
▪ Post explotación: Los especialistas de seguridad pueden correctivas, mejorar políticas, procedimientos, etc.
continuar escalando el proceso de explotación.
De acuerdo con lo indagado se pudo observar que en teoría las
▪ Reporte (informes): Se comunica al cliente la información metodologías ISAAF, OWASP y OSTTMM, son las más
que le permita solucionar las vulnerabilidades encontradas completas, pero en la parte practica la metodología OSTTMM
es la que mayor aceptabilidad tiene, teniendo en cuenta que la
Como la norma no proporciona ninguna guía técnica sobre metodología ISAAF hace bastante tiempo no actualiza la
cómo ejecutar una prueba de penetración real, también hay una información y algunos expertos dicen que es una metodología
guía técnica que acompaña a la norma en sí. La guía técnica se muerta, además su página web oficial está fuera de uso.
puede llegar a través del siguiente enlace: http://www.pentest-
standard.org/index.php/PTES_Technical_Guidelines Para el caso particular de las diversas metodologías para
detectar vulnerabilidades frecuentes en las aplicaciones web, se
Fig. 6. Entorno d la guía técnica de PTES pudo verificar a través de un trabajo de investigación cuyo
objetivo fue determinar hasta qué punto son válidos los
procedimientos, herramientas y pruebas de seguridad
propuestas en las metodologías ISSAF, OSSTMM, OWASP,
PTES y NIST SP 800-115 para abordar los retos actuales de
ciberseguridad en el campo del desarrollo y mantenimiento de
las aplicaciones web. Los cuales tomaron como base de
comparación los informes de vulnerabilidades de OWASP,
emitidos entre los años 2003 y 2017 y el análisis de la
documentación de cada metodología de pruebas de
penetración. Elaboraron una escala de evaluación cualitativa y
Fuente: http://www.pentest-standard.org/index.php
su aplicación arrojó como resultado que la Guía de Pruebas de
OWASP resultó la más completa, seguida de la metodología de
ISSAF. No obstante, ninguna metodología demostró ser capaz Teniendo en cuenta que la mayoría de las vulnerabilidades que
de brindar métodos, herramientas o pruebas de seguridad para se presentan en un sistema informático se hace por intermedio
detectar todas las vulnerabilidades actuales. Los resultados de la penetración a las aplicaciones web, escojo la metodología
alcanzados demuestran la necesidad de un proceso de OWASP, como propuesta de solución a la situación
adaptación y completamiento de las metodologías existentes presentadas en SAS Securituy.
[21].
Nota: en el foro destinado para la actividad escogí la
Los autores de mencionada investigación realizaron un análisis metodología ISAAF, pero en el desarrollo de la investigación
cualitativo respecto a los principales requerimientos de me pude dar cuenta que es una metodología que en teoría es
seguridad en las aplicaciones web, donde obtuvieron los excelente, pero en la practica y por no tener el respaldo hoy en
siguientes resultados. día, muchos expertos la dan como una metodología muerta,
por tal motivo escogí la metodología OWASP.
Fig. 8. Pruebas de seguridad asociadas a aplicaciones web
I. CONCLUSIONES
La Guía de pruebas de OWASP es la que presenta un nivel de Además, se pudo evidenciar que a nivel empresarial o
completitud mayor (76%), le siguen ISSAF (41%), PTES gubernamental es más delicada la perdida de información, y
(31%), OSSTMM (26%) y finalmente NIST SP 800-115 existen muchos más riesgos y factores que pueden aumentar las
(10%). Esta comparación puede apreciarse en la Fig. 9, donde vulnerabilidades, como la adquisición excesiva de tecnología, la
se compara con el patrón ideal con un valor de 39 puntos implementación de redes alámbricas, inalámbricas, aumento de
según el instrumento diseñado [22]. usuarios, el uso de tecnología, software e infinidad de
aplicaciones, páginas web, tiendas virtuales, y por lo regular no
Por tanto, puede afirmarse que ninguna de las metodologías de es suficiente todas las medidas de seguridad que se hacen en las
pruebas de penetración analizadas enuncia todas las organizaciones.
evaluaciones de seguridad que se requieren para detectar al
menos las principales vulnerabilidades en aplicaciones web. También se pudo evidenciar que los principales ataques
Necesitan por tanto un proceso de adaptación y completitud informáticos en Latinoamérica han sido los mensajes
que dependerá de las competencias y experiencias de los fraudulentos (“phishing”) las (“ciberextorsiones”), también
equipos de seguridad que tengan la misión de realizarlas [23]. conocido como “ramsomware”, el código malicioso, malware,
la (“explotación de vulnerabilidades”), el virus “WannaCry”, y
Fig. 9. Comparación patrón ideal vs metodologías la minería de criptomonedas (“cryptojacking”).