universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/24003/1/b... · 1. identificación...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS

DE TEST DE INTRUSIÓN”

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR (ES):

PARRA BARZOLA LILIANA MILAGROS

YÁNEZ CEDEÑO ERICK STEVEN

TUTOR:

ING. MITCHELL VÁSQUEZ BERMUDEZ M.SC.

GUAYAQUIL – ECUADOR

2017

II

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO:

ANÁLISIS DE VULNERABILIDAD EN LA

INFRAESTUCTURA TECNOLÓGICA DE UNA

EMPRESA, UTILIZANDO HERRAMIENTA DE TEST

INTRUSIÓN

AUTOR(ES) (

apellidos/nombres ):

Parra Barzola Liliana Milagros

Yánez Cedeño Erick Steven

REVISOR(ES)/TUTOR(ES)

( apellidos/nombres ):

Ing. Mitchell Vásquez M. Sc.

Ing. Israel Ortega

INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL

UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA

MAESTRÍA/ESPECIALIDAD: INGENIERIA EN NETWORKING Y

TELECOMUNICACIONES

GRADO OBTENIDO:

FECHA DE PUBLICACIÓN:

No. DE

PÁGINAS:

ÁREAS TEMÁTICAS: Networking Telecomunicaciones

PALABRAS CLAVES

/KEYWORDS:

Seguridad, OSSTMM, metodología abierta de testeo.

Nuestro proyecto de tesis a continuación tiene como objetivo realizar un análisis de vulnerabilidades

en la institución educativa “Escuela Culinaria de las Américas”, para identificar las amenazas de

seguridad en la red, las cuales pueden ser la puerta de acceso para usuarios malintencionados, y

que les sirva para robar información confidencial y de mayor importancia para la empresa. Para hacer

posible este análisis nos guiamos con la Metodología Abierta de Testeo de Seguridad (OSSTMM), el

cual nos indicará las fases a revisar para la correcta ejecución de la auditoría de seguridad del sistema

a través de internet. Para realizar este análisis usamos diferentes herramientas de auditoria de redes

que nos permitirá demostrar a la Institución a qué tipo de información puede acceder un atacante.

ADJUNTO PDF:

SI NO

CONTACTO CON

AUTOR/ES: Teléfono: E-mail:

CONTACTO CON LA

INSTITUCIÓN:

Nombre:

Teléfono:

E-mail:

III

CARTA DE APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de titulación, ANÁLISIS DE

VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE

UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE

INTRUSIÓN elaborado por la Srta. PARRA BARZOLA LILIANA MILAGROS

Y el sr. YANEZ CEDEÑO ERICK STEVEN, Alumno no titulado de la

Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad

de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo

a la obtención del Título de Ingeniero en Networking y Telecomunicaciones,

me permito declarar que luego de haber orientado, estudiado y revisado, la

Apruebo en todas sus partes.

Atentamente

ING. MITCHELL VÁSQUEZ BERMUDEZ M.SC.

TUTOR

IV

DEDICATORIA

Dedico este trabajo de tesis

principalmente a Dios, por

haberme dado fortaleza para

seguir adelante permitiéndome

llegar a este momento tan

importante a mi padres: Luis Parra

y Juana Barzola que me han

brindado su apoyo incondicional

en el transcurso de mi vida y que

han luchado para fórmame y

educarme. A mis hermanos

Fabián, Jenniffer, Sandro que

siempre hemos estado unidos en

todo momento y por siempre

darme aliento a seguir luchando a

mi Abuelita Cruz Merchán que con

su experiencia de vida ha sabido

guiarme y brindarme su apoyo a

Edison por sus consejos incluso en

los momentos más turbulentos.

Liliana Milagros Parra Barzola

V

DEDICATORIA

Dedico este proyecto a mi esposa

e hijo, a mis padres y a mi hermana

por ser mi motivación diaria para

seguir adelante y seguir creciendo

como profesional para alcanzar

cada una de las metas que me

proponga.

Erick Steven Yánez Cedeño

VI

AGRADECIMIENTO

Agradezco a Dios por la

fortaleza y fuerza, a mi padres por

el apoyo, por ser incondicionales

en mi vida y por todo su sacrificio,

a mis hermanos por siempre

brindarme sus consejos y la

motivación para seguir adelante y

ver que en la vida se debe de

luchar y no rendirse, a Edison por

ser mi motivación e inspiración

profesional y por sus consejos, a

mi tutor y revisor por la gran ayuda

brindada, también quiero

agradecer a mi compañero y

amigo de tesis Erick Yánez por

tantos momentos difíciles pero no

imposibles que supimos solucionar

durante el desarrollo de este gran

proyecto.


VII

AGRADECIMIENTO

Agradezco infinitamente a

nuestro tutor y revisor por la gran

ayuda que nos supieron brindar en

este complicado pero interesante

proyecto que gracias a ellos, a mi

compañera de tesis y a Dios

principalmente se pudo completar

satisfactoriamente. Agradezco a

mis padres y esposa por

recordarme cuán importante es

alcanzar el título para nuestros

futuros proyectos, a mi esposa por

saberme dar el apoyo que

necesitaba y mantenerme firme en

este objetivo. También agradezco

a mi compañera de tesis por su

ayuda y compromiso con el

proyecto.

Erick Steven Yánez Cedeño

VIII

TRIBUNAL PROYECTO DE TITULACIÓN

_______________________________

Ing. Eduardo Santos Baquerizo, M.Sc.

DECANO DE LA FACULTAD

CIENCIAS MATEMÁTICAS Y FÍSICAS

_________________________________

Ing. Harry Luna Aveiga, M.Sc

DIRECTOR CINT

_____________________________

Ing. Mitchell Vásquez Bermúdez

PROFESOR DIRECTOR DEL

PROYECTO DE TITULACIÓN

______________________________

Ing. Israel Ortega

PROFESOR TUTOR REVISOR

DEL PROYECTO DE TITULACIÓN

______________________________

Ab. Juan Chávez A.

SECRETARIO

IX

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este Proyecto de Titulación, me

corresponden exclusivamente; y el patrimonio intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”

Parra Barzola Liliana Milagros


X


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

“ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS

DE TEST DE INTRUSIÓN”

Proyecto de Titulación que se presenta como requisito para optar por el

título de

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autores: Parra Barzola Liliana Milagros

C.I. 0928372606


C.I. 0923581581

Tutor: Ing. Mitchell Vásquez Bermudez

Guayaquil, Octubre de 2017

XI

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por la

estudiante Parra Barzola Liliana Milagros y Yánez Cedeño Erick Steven, como

requisito previo para optar por el título de Ingeniero en Networking y

Telecomunicaciones cuyo tema es:

ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN”

Considero aprobado el trabajo en su totalidad.

Presentado por:

Parra Barzola Liliana Milagros Cédula de ciudadanía N° 0928372606

Yánez Cedeño Erick Steven Cédula de ciudadanía N° 0923581581

Tutor: Ing. Mitchell Vásquez Bermúdez

Guayaquil, Octubre de 2017

XII


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS


TELECOMUNICACIONES

Autorización para Publicación de Proyecto de Titulación en Formato

Digital

1. Identificación del Proyecto de Titulación

Nombre del Alumno: Parra Barzola Liliana Milagros

Dirección: Daule Carlos Saona y Amazonas Marianita #5

Teléfono: 0979774695 E-mail: [email protected]

Nombre del Alumno: Yánez Cedeño Erick Steven

Dirección: Urdenor 2 Mz. 245 v2

Teléfono: 0981280342 E-mail: [email protected]

2. Autorización de Publicación de Versión Electrónica del Proyecto

de Titulación

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título al que opta: Ingeniero en Networking y Telecomunicaciones

Profesor guía: Ing. Mitchell Vásquez Bermúdez

Título del Proyecto de Titulación: Análisis de Vulnerabilidad en las

infraestructuras tecnológicas de una empresa, utilizando herramientas

de test intrusión.

Tema del Proyecto de Titulación: Análisis de Vulnerabilidad en las

infraestructuras tecnológicas de una empresa, utilizando herramientas de

test intrusión.

XIII

A través de este medio autorizo a la Biblioteca de la Universidad de

Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la

versión electrónica de este Proyecto de titulación.

Publicación electrónica:

Firma Alumno: Parra Barzola Liliana Milagros

Firma Alumno: Yánez Cedeño Erick Steven

3. Forma de envío:

El texto del proyecto de titulación debe ser enviado en formato Word, como archivo

.Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif,

.jpg o .TIFF.

Inmediata Después de 1 año

DVDROM CDROM

XIV

Contenido

CARTA DE APROBACIÓN DEL TUTOR ....................................................... III

DEDICATORIA ............................................................................................. IV

DEDICATORIA .............................................................................................. V

AGRADECIMIENTO ..................................................................................... VI

AGRADECIMIENTO .....................................................................................VII

INDICE DE TABLAS .................................................................................. XVII

INDICE DE GRÁFICOS .............................................................................. XIX

ABREVIATURAS ........................................................................................ XVI

INTRODUCCIÓN ............................................................................................ 1

CAPÍTULO I .................................................................................................... 4

Causas y Consecuencias del Problema .......................................................... 8

Alcances del Problema ................................................................................. 11

OBJETIVOS DE LA INVESTIGACIÓN .......................................................... 12

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ...................... 13

CAPÍTULO II ................................................................................................. 17

MARCO TEÓRICO ....................................................................................... 17

IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA EN LAS

ORGANIZACIONES ..................................................................................... 17

Aseguramiento y configuración de sistemas operativos servicios, herramientas

y dispositivos ................................................................................................ 19

ANTECEDENTES DEL ESTUDIO ................................................................ 20

OBJETIVOS DE UN ETHICAL HACKER ...................................................... 24

TIPOS DE AUDITORÍA ................................................................................. 25

Auditoría de caja negra: ................................................................................ 25

Auditoría de caja blanca:............................................................................... 25

Auditoría de caja gris: ................................................................................... 25

Fuga de información interna ......................................................................... 27

Amenazas avanzadas persistentes ............................................................... 28

METODOLOGIA OSSTMM (OPEN SOURCE SECURITY METHODOLOGY

MANUAL) ...................................................................................................... 28

SECCIONES DE LA METODOLOGIA OSSTMM ......................................... 33

DEFINICION DE LAS SECCIONES A, B, C DE LA METODOLOGIA OSSTMM

...................................................................................................................... 35

Sección A – Seguridad de la información ..................................................... 35

Revisión de la inteligencia competitiva .......................................................... 35

XV

REDES DE AREA AMPLIA (WAN) ............................................................... 46

CARACTERISTICAS: ................................................................................... 47

Norma ISO 27001 Seguridad de la información ............................................ 48

CICLO PHVA ................................................................................................ 51

Las fases del ciclo PHVA .............................................................................. 51

Herramientas aplicadas a la metodología de seguridad informática OSSTMM

...................................................................................................................... 53

FUNDAMENTACION SOCIAL ...................................................................... 57

FUNDAMENTACION LEGAL ........................................................................ 57

CODIGO ORGANICO INTEGRAL PENAL.................................................... 57

SECCIÓN TERCERA ................................................................................... 57

Delitos contra la seguridad de los activos de los sistemas de información y

comunicación ................................................................................................ 57

LEY ORGANICA DE PROTECCION DE DATOS ......................................... 60

HIPOTESIS ................................................................................................... 62

DEFINICIONES CONCEPTUALES .............................................................. 63

CAPITULO III ................................................................................................ 64

METODOLOGÍA DE LA INVESTIGACIÓN ................................................... 64

MODALIDAD DE LA INVESTIGACIÓN ........................................................ 64

INVESTIGACIÓN DE CAMPO .................................................................. 64

INVESTIGACIÓN BIBLIOGRÁFICA .............................................................. 66

Método Analítico. .......................................................................................... 68

POBLACIÓN Y MUESTRA ........................................................................... 68

POBLACIÓN ................................................................................................. 68

MUESTRA ................................................................................................. 70

TECNICAS E INSTRUMENTOS PARA LA RECOLECCION DE DATOS ..... 72

Encuesta ....................................................................................................... 72

Entrevista ...................................................................................................... 73

PROCESAMIENTO Y ANALISIS .................................................................. 75

Análisis de la entrevista al encargado del área de Sistema .......................... 76

PROCESAMIENTO Y ANÁLISIS DE LAS ENCUESTAS .............................. 76

ANÁLISIS E INTERPRETACIÓN DE RESULTADOS DE LAS ENCUESTAS

...................................................................................................................... 77

VALIDACIÓN DE LA IDEA A DEFENDER .................................................... 88

VALIDACIÓN DE LA IDEA A DEFENDER .................................................. 105

XVI

CAPÍTULO IV.............................................................................................. 106

PROPUESTA TECNOLÓGICA ................................................................... 106

Análisis de Factibilidad ............................................................................ 106

Factibilidad Operacional .......................................................................... 107

Factibilidad Técnica ................................................................................. 108

Factibilidad Económica............................................................................ 112

Análisis del costo y beneficio del proyecto de investigación de OSSTMM .. 113

Factibilidad Legal .................................................................................... 115

ETAPAS DE METODOLOGÍA DEL PROYECTO ....................................... 115

RESULTADOS DEL ANÁLISIS DE VULNERABILIDAD ............................. 139

Identificación de los servicios ...................................................................... 140

Búsqueda de Vulnerabilidades y Verificación ............................................. 140

ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS AMÉRICAS 140

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 142

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO ..................................... 144

CONCLUSIONES ....................................................................................... 148

RECOMENDACIONES ............................................................................... 150

BIBLIOGRAFIA ........................................................................................... 151

ANEXOS ..................................................................................................... 153

XVII

INDICE DE TABLAS

Tabla 1 Causas y Consecuencias del Problema ........................................ 8

Tabla 2 Estado de la seguridad ............................................................... 27

Tabla 3 Cuadro comparativo de las metodologías de seguridad informática

................................................................................................................. 48

Tabla 4 Cuadro de las ventajas de las metodologías de seguridad

informática ............................................................................................... 50

Tabla 5 Población del estudio .................................................................. 69

Tabla 6 Población del estudio .................................................................. 69

Tabla 7 Población de la CINT .................................................................. 69

Tabla 8 Muestra sobre el personal administrativo .................................... 70

Tabla 9 Muestra sobre el personal técnico .............................................. 71

Tabla 10 Muestra de la CINT ................................................................... 72

Tabla 11 Análisis de resultados de la pregunta No. 1 .............................. 78




















Tabla 31 Análisis de resultados de la pregunta No. 6 ............................ 100




Tabla 35 Análisis de resultados de la pregunta No. 10 .......................... 104

Tabla 36 Listado de Herramientas de código abierto ............................. 110

Tabla 37 Presupuesto ............................................................................ 112

Tabla 38 Análisis Costo beneficios del proyecto .................................... 113

Tabla 39 Extensiones de códigos maliciosos ......................................... 127

Tabla 40 Tabla de puertos abiertos ....................................................... 139

Tabla 41 Tabla de servicios con su respectiva versión .......................... 140

XVIII

Tabla 42 Tabla de recomendaciones de la ISO ..................................... 141

Tabla 43 Criterios de validación del proyecto ........................................ 142

Tabla 44 Vulnerabilidad de Impacto ....................................................... 143

Tabla 45 Tabla de Aceptación 1 ............................................................ 144

Tabla 46 Tabla de Aceptación 2 ............................................................ 146

XIX

INDICE DE GRÁFICOS

Gráfico 1 Canales de OSSTMM ........................................................................................ 31

Gráfico 2 Planeación de un informe .................................................................................. 32

Gráfico 3 Fases para la elaboración de un reporte de seguridad informática .................. 33

Gráfico 4 Recolección de documentos con foca ............................................................... 39

Gráfico 5 Ataque Phishing ................................................................................................ 41

Gráfico 6 Reconocimiento de direcciones IP de un dominio ............................................ 42

Gráfico 7 Escaneo de puertos con NMAP al dominio ....................................................... 45

Gráfico 8 Acceso a la información de un servidor ............................................................ 46

Gráfico 9 Fases de la Metodología OSSTMM .................................................................. 46

Gráfico 10 Esquema de una red WAN .............................................................................. 47

Gráfico 11 Ciclo PHVA ...................................................................................................... 53

Gráfico 12 Porcentaje a las respuestas a la pregunta No. 1 ............................................ 78









Gráfico 21 Porcentaje a las respuestas a la pregunta No. 10 .......................................... 87

Gráfico 22 Porcentaje de respuesta de la pregunta No. 1 ................................................ 89





Gráfico 27 Análisis de resultados de la pregunta No. 1 .................................................... 95





Gráfico 32 Análisis de resultados de la pregunta No. 6 .................................................. 100




Gráfico 36 Análisis de resultados de la pregunta No. 10 ................................................ 104

Gráfico 37 Metodología OSSTMM .................................................................................. 116

Gráfico 38 Secciones de la Metodología OSSTMM ....................................................... 116

Gráfico 39 Resolviendo el nombre del dominio .............................................................. 118

Gráfico 40 Verificando la puerta de enlace y la IP del servidor ...................................... 118

Gráfico 41 Dominios asociados a la dirección web del instituto ..................................... 119

Gráfico 42 Verificación de la aplicación donde se encuentra desarrollado el sitio web del

instituto académico ......................................................................................................... 120

Gráfico 43 Identificación de correos electrónicos y ubicación de la dirección IP Publica del

dominio ............................................................................................................................ 120

Gráfico 44 Identificación de correos electrónicos ........................................................... 121

Gráfico 45 Identificación de servicios en la nube ............................................................ 122

Gráfico 46 Verificación de la información del domino ..................................................... 123

Gráfico 47 Versión del Apache ....................................................................................... 123

Gráfico 48 Recolección de documentos ......................................................................... 124

XX

Gráfico 49 Documentos en formato PDF ........................................................................ 124

Gráfico 50 Escaneo de Correos Electrónicos ................................................................. 125

Gráfico 51 Escaneo de Direcciones IPs Públicas ........................................................... 126

Gráfico 52 Escaneo de Puertos al dominio ..................................................................... 128

Gráfico 53 Identificación de los puertos abiertos ............................................................ 129

Gráfico 54 Verificación de las versiones de los servicios ............................................... 129

Gráfico 55 Verificación de las versiones de los servicios levantados en el dominio ...... 130

Gráfico 56 Identificación de los sistemas instalados en la institución académica .......... 130

Gráfico 57 Servicio FTP Vulnerable ................................................................................ 131

Gráfico 58 Información de las vulnerabilidades .............................................................. 132

Gráfico 59 Información de las vulnerabilidades por medio de NESSUS ........................ 132

Gráfico 60 Cantidad de Vulnerabilidades del Dominio ................................................... 133

Gráfico 61 Ejecución del Análisis de Vulnerabilidades ................................................... 133

Gráfico 62 Crecimiento del Escaneo............................................................................... 134

Gráfico 63 Escaneo Total de los servicios ...................................................................... 134

Gráfico 64 Tracert al Dominio por medio de Nessus ...................................................... 135

Gráfico 65 Escaneo de puertos por medio de Sparta ..................................................... 136

Gráfico 66 Análisis de la información del Dominio .......................................................... 136

Gráfico 67 Verificación del puerto 22 SSH ..................................................................... 137

Gráfico 68 Identificación del sitio web ............................................................................. 138

Gráfico 69 Identificación del ataque de fuerza bruta ...................................................... 138

Gráfico 70 Ataque de fuerza bruta al DNS ..................................................................... 139

Gráfico 71 Autorización de la realización del proyecto en la Escuela Culinaria de las

Américas. ........................................................................................................................ 153

Gráfico 72 Red de la Escuela Culinaria de las Américas ............................................... 154

XVI

ABREVIATURAS

UG Universidad de Guayaquil

OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad

ISO Organización de estándares internacionales

CC.MM.FF Facultad de Ciencias Matemáticas y Físicas

FOCA Francisco Oca

NMAP Mapeo de redes

ICA Instituto Culinario de las Américas

XVII

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS

MATEMÁTICAS Y FÍSICAS


TELECOMUNICACIONES

ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA

TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE

TEST DE INTRUSIÓN.

Autores: Erick Steven Yánez Cedeño



Resumen

El proyecto de tesis a continuación tiene como objetivo realizar un análisis

de vulnerabilidades en la institución educativa “Escuela Culinaria de las

Américas”, para identificar las amenazas de seguridad en la red, las cuales

pueden ser la puerta de acceso para que usuarios malintencionados

puedan robar información confidencial y vital para el funcionamiento de la

empresa. Para hacer posible este análisis se ha utilizado la Metodología

Abierta de Testeo de Seguridad (OSSTMM), la cual nos indicará las fases

a revisar para la correcta ejecución de la auditoría de seguridad del sistema

a través de internet. Para realizar este análisis se usa diferentes

herramientas de auditoria de redes que permitirá demostrar a la Institución

a qué tipo de información puede acceder un atacante.

XVIII

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS

MATEMÁTICAS Y FÍSICAS


TELECOMUNICACIONES

ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA

TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE

TEST DE INTRUSIÓN.

Autores: Erick Steven Yánez Cedeño



Abstract

The main objective of the following thesis is to carry out a vulnerability

analysis report for an educational institution named "Escuela Culinaria de

las Américas", to identify security threats in the network, which could be the

gateway for malicious users to steal confidential and important information

for company functions. To make this analysis possible we are guided with

the Open Security Testing Methodology (OSSTMM), which will indicate the

phases to be reviewed for the correct execution of the security audit of the

system through the internet. To perform this analysis we used different

network audit tools to demonstrate to the Institution what kind of information

an attacker can access.

1

INTRODUCCIÓN

Actualmente las tecnologías de la información y comunicación han

evolucionado llegando a optimizar tiempo y recursos en las empresas,

donde el acceso a la red ha logrado que los usuarios efectúen tareas

programadas por los altos directivos de la organización de una manera

eficiente sin la necesidad de que el usuario corporativo se encuentre

físicamente en la compañía en la que el labora, hoy en día los servicios que

se ejecutan en la red más utilizado son los siguientes: correo electrónico,

mensajería instantánea, enlaces VPN para el acceso remoto a la

información que es transmitida por redes cableadas e inalámbricas, estar

conectado a los sistemas informáticos es de gran importancia ya que los

usuarios pueden utilizar los recursos del mismo para el cumplimiento de las

actividades propuestas con anticipación. Así como las redes de datos

implementadas en las empresas de alto nivel cumplen con la efectividad y

eficiencia del usuario para la ejecución de tareas también dichas redes

carecen de seguridad en la cual los atacantes informáticos pueden

interceptar la información de carácter confidencial para usarla en beneficio

propio causando a las organizaciones perdidas en sus activos lógicos o

daños económicos, además los piratas cibernéticos poseen la capacidad

de degradar el rendimiento de la red afectado la productividad de la

compañía en la cual acarrea riesgos en los datos sensibles

comprometiendo su confidencialidad e integridad y disponibilidad. Por la

falta de inversión de equipos de seguridad informática las corporaciones

que tienen implementado sistemas informáticos han perdido la confiabilidad

llegando a generar un miedo en los usuarios que acceden a su información

personal, académica y demás por la cual ellos temen que exista una fuga

de datos llegando a que los registros lleguen a manos de terceros. Con la

metodología de seguridad informática OSSTMM se llegara a conocer a las

entidades académicas sobre la cantidad de riesgos y amenazas presentes

en la red corporativa por medio de sus secciones alcanzando a dictaminar

las respectivas soluciones que ayuden a disminuir los niveles de

2

vulnerabilidades evitando que atacantes maliciosos logren accesos ilícitos

a las redes de datos montadas en infraestructuras tecnológicas en donde

el estándar de seguridad ISO 27001:2013 asociado con OSSTMM llegara

a facilitar los controles adecuados para tener protegida la red previniendo

los daños que puede ocasionar un atacante malicioso.

Generalmente las redes de última generación son utilizadas normalmente

por organizaciones de alto prestigio, para la optimización de los tiempos de

respuesta generados por las consultas de los usuarios consumiendo los

recursos tecnológicos de las empresas. Proteger la información es de gran

importancia por la cual las organizaciones de índole académico pueden

tener un mejor rendimiento en los servicios y proporcionar una excelente

calidad de los mismos satisfaciendo los requerimientos de los usuarios

conectados a la red. A continuación se detallan tres de los ataques que son

utilizados por los piratas informáticos y que pueden comprometer a la red

para el acceso ilícito a los datos sensibles:

Ataques de denegación de servicio: Esta intrusión consiste en

degradar los servicios que se ejecutan en la nube colapsando el

servidor por medio de consultas masivas proporcionada por los

usuarios llegando a tener acceso al sistema y a la información de

carácter confidencial.

Ataque man in the middle (hombre el medio): Consiste en que los

atacantes cibernéticos interceptan tráfico de red por medio de

herramientas analizadores de red con el fin de accesar a la

información de carácter confidencial.

Ataques de ingeniería social: Este ataque consiste en que los piratas

informáticas aplican técnicas de engaño envolviendo a la víctima

para que ella facilite información relevante de la empresa siendo el

eslabón más débil de toda la cadena de seguridad el usuario.

El test de penetración realizado por medio de la metodología de seguridad

informática OSSTMM está enfocado en la detección y análisis de

3

vulnerabilidades determinando los peligros que pueden suceder al no

proteger los activos físicos y lógicos. A la hora de realizar una auditoría de

seguridad informática, la primera etapa es recolectar toda la información

referente a la empresa que se está realizando la auditoria. En este proceso

se conoce como la sección seguridad de la información que ayuda a

recopilar los datos sensibles almacenados en documentos de ofimática,

archivos PDF y demás. Los pasos necesarios en la fase de recopilación de

la información son muy similares a los de cualquier otro análisis de

vulnerabilidades, aunque se encuentre enfocado a las infraestructuras

tecnológicas montadas en centro de datos de organizaciones académicas,

se asumirá que los registros de gran relevancia es el diagrama de toda la

red de la institución de educación superior, así como el mapa de puertos y

servicios proporcionados en el flujo de trabajo.

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

Ubicación del Problema en un Contexto

La Escuela Culinaria de las Américas es un instituto de enseñanza

profesional, cuya misión es educar y formar profesionales emprendedores

en el ámbito gastronómico a través de la aplicación práctica de los

conocimientos adquiridos. Nuestra formación integral permite a los

egresados contar con los conocimientos, las habilidades y los valores

necesarios para prestar un servicio de excelencia, ya sea como Chefs

Ejecutivos, o en cualquier otra actividad de la industria gastronómica

nacional e internacional, desempeñándose con visión de negocios,

liderazgo y responsabilidad social. (Américas, 2017)

Con la integración de la tecnología de la información en los institutos, estas

almacenan y gestionan su información de manera digital donde los

estudiantes tienen el acceso a la misma por medio del internet.

Estas instituciones tanto públicas y privadas han logrado que los alumnos

y el personal docente puedan consultar notas académicas, horarios de

clases, etc. Los sistemas académicos se ejecutan en infraestructura de

redes TCP/IP, sin embargo, en dichas redes existen vulnerabilidades que

pueden ser explotadas por un atacante malicioso, debido a estas

infracciones ejecutadas por los piratas malicioso ha ido en aumento la

demanda de personas calificadas y con el cumplimiento del perfil

profesional de ellas que pueden ayudar a las universidades a protegerse y

mitigar estas amenazas cibernéticas, evitando el robo de contraseñas,

suplantación de identidad, mensajes de correo electrónico institucional o

5

información transmitida desde servidores en entornos Linux y

Windows.(Lehrfeld & Guest, 2016)

Uno de los ataques informáticos que realizan los crackers para atentar a la

información de carácter sensible almacenada en los sistemas académicos

es el metasploit, que es utilizado para tener el acceso ilícito a estas redes

TCP/IP.

Cabe indicar que no solo el ataque ejecutado en el framework de metasploit

en redes de datos IPv4 permiten visualizar y tener acceso al tráfico, con su

respectiva interceptación de credenciales, ficheros o imágenes, también

permiten la modificación y la manipulación de paquetes que circulan en la

red.(Gupta & Kumar, 2015)

La seguridad de la información juega un papel importante en las

instituciones de educación superior de hoy en día. Sin embargo, debido al

crecimiento rápido y continuo de las Tecnologías de la información, ha

aumentado el número de crackers que efectúan amenazas internas y

externas en la red, violando la confidencialidad, integridad y disponibilidad

de los activos de carácter físicos y lógicos, para la mitigación de estos

riesgos presentes, lo habitual es utilizar herramientas y técnicas de

seguridad informática como cortafuegos, sistema de prevención y

detección de intrusos y VPNs, para la protección de datos que contiene los

sistemas académicos.(Eh & Lqflghqw, 2015)

Desafortunadamente, en la mayoría de los Instituciones de Educación

Superior (IES), la ethical Hacking no está integrada en la seguridad de

estas, donde el ciclo de vida de desarrollo se va disminuyendo mediante la

penetración de ataques de gran magnitud y los jefes del departamento de

TI de los institutos no se encuentran preparados para enfrentar los

6

incidentes de seguridad que pueden tener en un determinado momento.(Eh

& Lqflghqw, 2015)

Con el análisis de vulnerabilidades en la infraestructura tecnológica de

institutos de enseñanzas se determinaran los niveles de riesgos y

amenazas que pueden ocurrir al no tomar medidas de seguridad o planes

de acción adecuados para establecer un control o una mitigación sobre

estas debilidades identificadas.

Situación Conflicto. Nudos Críticos

Diversos institutos ubicados en la ciudad de Guayaquil tanto públicos como

privados no toman conciencia sobre materias de seguridad y los

departamentos de tecnología no se encuentran preparados ante incidentes

de seguridad de gran magnitud, esto acarrea que existan más

vulnerabilidades y amenazas que pueden ser aprovechadas o explotadas

por actores maliciosos en beneficio propio, ocasionando pérdidas

exorbitantes en la información relevante almacenada en estos sistemas

académicos. Además estas instituciones académicas no invierten en

dispositivos de seguridad y en profesionales especialistas en auditoria de

seguridad informática para ejecutar los posibles mecanismos o planes de

contingencia que proporcionen una mitigación o llevar controles sobre estas

vulnerabilidades detectadas.

El personal que labora en el centro de cómputo del Instituto Escuela

Culinarias de las Américas exponen los servicios académicos en redes

públicas ante advertencias informáticas que pueden ser aprovechadas por

los piratas maliciosos para el acceso no autorizado a la información, donde

no cuentan con las cautelas y medidas de seguridad requeridas para evitar

que los atacantes conserven perpetuamente los datos de la institución de

carácter confidencial comprometida con ellos, cuya finalidad buscan hacer

algún tipo de daño en contra de la organización académica, motivo por el

cual se debe ejecutar una solución a la problemática presente en la

infraestructura tecnológica en mención.

7

Uno de los factores críticos que posee los Institutos en mención es la falta

de presupuesto financiero debido a esto no cuentan con los equipos de

seguridad necesarios y los especialistas de la rama de auditoria informática

para la ejecución de las respectivas evaluaciones de vulnerabilidades,

donde ellos puedan dar a conocer a los directivos de la Escuela Culinaria

sobre las falencias o fallos que poseen y los riesgos que pueden suceder

al no corregir estos agujeros identificados.

Muchas veces las instituciones académicas no están de acuerdo en gastar

en herramientas o dispositivos apropiados para evaluar habitualmente los

sistemas de información académico, sin embargo no es factible atenuar con

la pérdida de información debido a la falta de medidas de control que

ayuden a medir el rendimiento de los riegos técnicos, los tiempos de

inactividad de los servicios que generarían la disminución de alumnos en

los institutos

La concientización en la práctica de las acciones y compromisos del

personal interno de las instituciones académicas para evitar las fugas de

información de carácter confidencial es de gran importancia para neutralizar

la posibilidad que tendría un atacante malicioso externo filtrar los datos

sensibles y relevantes. Es por este motivo que se plantea una solución a

bajo costo de forma periódica a las posibles amenazas internas y externas

y ataques cibernéticos que puedan comprometer de forma esencial la

información de la Escuela Culinaria.

8

Causas y Consecuencias del Problema

Tabla 1 Causas y Consecuencias del Problema

Causas Consecuencias

Falta de conocimiento sobre

materias de seguridad en las

instituciones públicas y privadas,

ubicadas en la ciudad de

Guayaquil.

Esto acarrea que existan

vulnerabilidades y amenazas que

pueden ser aprovechadas por un

atacante malicioso en beneficio

propio, para el robo de información

confidencial.

No existe inversión sobre

dispositivos de seguridad y

especialistas de auditoria de

seguridad informática.

La falta de controles de seguridad

que garanticen la confidencialidad,

integridad y disponibilidad de la

información.

Sistemas académicos públicos e

infraestructura de red vulnerables.

Falta de confiabilidad por parte del

personal docente y estudiantes que

tienen acceso a estos sistemas

académicos y a la red de datos en

general.

La pérdida de información sensible

en los sistemas académicos de los

Institutos.

Se pueden producir daños

irreversibles en toda la red de datos

implementados en los Institutos.

Fuente: Datos de la investigación

Autores: Erick Yánez – Milagros Parra

Delimitación del Problema

CAMPO: Redes

ÁREA: Telecomunicaciones

ASPECTOS: Seguridad de redes Informática.

TEMA: Análisis de vulnerabilidades en la infraestructura tecnológica

de una empresa, utilizando herramientas de test de intrusión.

9

Formulación del Problema

¿Cuál es la importancia del análisis de vulnerabilidades en la

infraestructura de la Escuela Culinaria de las Américas, y de hallar los

fallos de seguridad y amenazas presentes en la infraestructura

tecnológica de la misma?

Es de vital importancia que el personal de tecnología de la Escuela

Culinaria de las Américas, tenga conocimiento de estos fallos de seguridad

debido a que las vulnerabilidades presente en los sistemas académicos son

una de las primordiales amenazas, que pueden ser aprovechadas por los

crackers que pueden ejecutar ataques cibernéticos, para obtener el acceso

ilícito a la información de carácter confidencial almacenada en estos

sistemas en beneficio propio o de terceros, causando daño en los activos

tanto físico como lógicos. Las instituciones académicas deben tomar

conciencia sobre estos riesgos que contiene cada vulnerabilidad detectada,

para establecer las medidas de control adecuadas aplicando estándares de

seguridad de la información para que ellos puedan tener estos riesgos

existentes bajo control.

Evaluación del Problema

A continuación se indicará los aspectos generales seleccionados

adaptados al proyecto de titulación, los mismos que nos ayudaran a

determinar la problemática actual y a definir alternativas de seguridad para

la resolución del problema.

Los aspectos generales de evaluación son:

Delimitado: Los controles que se efectúan para la mitigación de ataques

informáticos que puede ejecutar un cracker o atacante malicioso hacia la

infraestructura tecnológica de la Escuela Culinaria, no es el más apropiado

moción por el cual se presenta esta propuesta tecnológica para que los

directivos tengan conocimiento sobre las vulnerabilidades presentes en la

red del Instituto.

10

Claro: Las herramientas de seguridad informática como Foca, Whois,

TheHarvester, Maltego, Nmap, Nessus, Sparta y Golismero aplicadas en el

proyecto de investigación detallaran rotundamente las posibles

vulnerabilidades exhibidas en la infraestructura tecnológica de la Escuela

Culinaria, y como aplicar planes de contingencia y estándares de seguridad

de la información para poder mitigarlas o tenerlas bajo control.

Evidente: Con el respectivo análisis de vulnerabilidades en la

infraestructura tecnológica del Instituto de la Escuela Culinaria, se

alcanzara detectar el comportamiento de la red y del sistema académico

por medio de los ataques informáticos y a su vez verificar la capacidad que

pueda tener la red al ser atacada basado en este análisis, se aplicara

técnicas de protección para evitar la indisponibilidad de los servicios

académicos cuando son sometidos a un ataque cibernético.

Concreto: El personal que labora en el departamento donde está montada

la infraestructura tecnológica del Instituto, no toma en consideración en la

realización de un análisis de vulnerabilidades periódico para la verificación

de fallos de seguridad y la determinación de los niveles de riesgos que

puede contener cada debilidad identificada, por este motivo el personal no

se encuentra preparado ante incidentes de seguridad de gran magnitud

presentes en ese momento en los sistemas académicos.

Relevante: El proyecto de investigación con su respectiva visión de estudio

definido y concreto, el cual se da un énfasis a un análisis de vital

importancia tanto para el personal que labora en el departamento técnico

informático del Instituto como para los directivos de la carrera Culinarias en

mención para que tengan un conocimiento sobre todas las amenazas

internas y externas que puedan estar presentes.

Factible: Las distintas distribuciones de Linux integrada con sus

respectivas aplicaciones son utilizadas en entornos empresariales y son

herramientas de código abierto, estas lidian con sistemas operativos

11

licenciados, las cuales ellos tienen la capacidad de cumplir las mismas

funciones de los otros por una cantidad de pago de licencia.

Alcances del Problema

Se realizará un análisis de vulnerabilidades de manera profunda en la

infraestructura tecnológica de una institución académica que contiene

información sensible como direccionamiento de red público en el cual se

encuentran los servidores a analizar, dominios, subdominios, servidor de

nombres, bases whois, puertos abiertos, servicios que se ejecutan sobre

ellos, archivos de configuración, registros de bases de datos, con el fin de

establecer desenlaces precisos las cuales permitirán una solución de

seguridad proporcionada que se encuentre acorde a las necesidades y

requerimientos que se presentan en el instituto.

El proyecto de investigación a desarrollar comprende tres componentes de

la Metodología OSSTMM tales como Seguridad de la información,

Seguridad de los Procesos y Seguridad de las Tecnologías del Internet, las

tres secciones restantes referente a los sistemas de telefonía IP, redes

inalámbricas y tecnologías RFID1 – NFC2 y seguridad física no son

aplicables al proyecto.

Se recomendará al personal encargado del departamento de tecnología del

Instituto, cómo llevar los controles de seguridad adecuados para poder

mitigar las posibles vulnerabilidades existentes a través de estándares de

seguridad de la información ISO y el OSSTMM y estos proporcione un

método para tener estos fallos de seguridad bajo control. El informe de

auditoría sobre este análisis de vulnerabilidades con sus respectivos

hallazgos será comunicado a los especialistas que laboran en el

departamento técnico informático de la Escuela Culinaria, para que

1 RFID: Radio Frecuencia a larga distancia.

2 NFC: Radio Frecuencia a corta distancia.

12

ejecuten mecanismos de seguridad basados en la metodología de

seguridad OSSTMM el cual permitirá a través de sus fases un cuadro de

demostración claro y detallado.

Al final del estudio se entregará la documentación del análisis realizado

sobre la infraestructura del Centro de cómputo de la empresa comercial, no

siendo posible su demostración en los mismos debido a que son equipos

que prestan servicios en ambiente de Producción y lo recomendable en

estos casos es no realizar ningún tipo de ataques en ellos debido a la

criticidad que representan. En este entorno se hará una demostración sobre

estudio realizado se utilizara un ambiente virtual de acuerdo a las

características y servicios que preste la infraestructura tecnológica, en este

ambiente de simulación se logrará verificar cómo se ejecutan los ataques

informáticos y de qué manera podrían llegar afectar la infraestructura.

OBJETIVOS DE LA INVESTIGACIÓN

Objetivo general

Analizar las vulnerabilidades presentes en la red de la Escuela Culinaria

utilizando el estándar de seguridad OSSTMM3 para evitar el acceso no

autorizado a los procesos del sistema de información académica.

Objetivos específicos

1. Realizar un levantamiento de información de toda la infraestructura

de red de la Escuela Culinaria de las Américas.

2. Realizar un análisis de vulnerabilidades utilizando el estándar de

metodología OSSTMM y determinar los riesgos que contiene las

mismas a través de herramientas de código abierto.

3 OSSTMM: Manual de la metodología abierta de seguridad

13

3. Determinar los controles a recomendar basados en la ISO

27001:20134 para la gestión de las vulnerabilidades técnicas

detectadas en la infraestructura tecnológica del instituto Escuela

Culinaria de las Américas.

4. Presentar un informe de auditoría de seguridad informática

detallando los hallazgos de la red del Instituto Escuela Culinaria de

las Américas.

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

A diario es muy frecuente que las universidades tengan información de

carácter sensible expuesta en la red de internet, la cual es el blanco preciso

de ataques informáticos por parte de personas no autorizadas a las

instituciones académicas que acceden a dicha información de manera

ilícita mediante una conexión a internet, con la finalidad de atentar a la

confidencialidad e integridad de los datos extrayendo los activos lógicos de

suma importancia para la institución.

Uno de las principales fallos a las que están expuestos los institutos

ubicados en la ciudad de Guayaquil que manejan información sensible y de

gran importancia, es falta de conciencia de temas de seguridad y la poca

inversión en dispositivos de seguridad, por este motivo se dispone analizar

el campo de vulnerabilidades o debilidades, para así poder identificarlas

mediante el uso de herramientas de código abierto que proporcionen

métodos y controles para disminuir el grado de amenaza expuesto en cada

vulnerabilidad y tenerla bajo control la misma.

Debido al problema identificado en la institución académica es de gran

importancia y necesario planificar la ejecución de un análisis de

vulnerabilidades completo, para la detección de los fallos de seguridad de

4 ISO 27001:2013: Estándar de seguridad de la información

14

la información aplicando lineamientos o secciones enmarcadas en la

metodología internacional OSSTMM, en donde esta irá revelando por

medio de métodos a seguir, la mayor cantidad de falencias presentes en la

infraestructura tecnológica de la Escuela Culinaria de las Américas.

La seguridad informática en entornos de redes de datos gravita en asegurar

que los recursos del sistema de información académica del instituto se

manejen de la manera como fueron instaurados y que el acceso a la

información confidencial e integra solo sea posible para el personal que se

encuentre laborando y este dentro de los límites de su autorización.

Las ventajas que ofrece la seguridad informática aplicando su metodología

OSSTMM sin incertidumbre alguna han sido aplicados por las personas que

consideran que sus intereses dentro de una organización o institución

académica podrían verse perjudicados gravemente a consecuencia de un

ataque informático ejecutado por un pirata malicioso debido a que no se

proporcionaron los planes de contingencia adecuados para tratar de evitar

el acceso no autorizado a la red de datos de la facultad en mención a

usuarios maliciosos.

Por lo tanto el presente proyecto de investigación a desarrollar se basa en

descubrir o identificar vulnerabilidades existentes que enfrenta una

institución de carácter académico que dispone de servicios tales como

DNS5, WEB6 y CORREO7 que interactúan directamente con la red pública,

debido a que la información confidencial de una institución de educación

superior se la determina incuantificable cuando se trata de datos de gran

relevancia o críticos.

5 DNS: Servidor de nombre de dominio.

6 WEB: Servidor de aplicaciones de gestión.

7 CORREO: Servidor de mensajería.

15

El objetivo de la seguridad informática es proteger los activos tanto físicos

como lógicos de gran validez del instituto educativo asegurando que los

recursos de la Institución académica se encuentren disponibles ante

cualquier requerimiento solicitado por los usuarios. A través de la adopción

de los planes de contingencia y control, la seguridad informática brinda a la

organización a efectuar sus metas y propósitos, protegiendo sus recursos

académicos, sus servicios ejecutados en la red de datos, su prestigio y su

entorno legal.

En general el primordial objetivo de los institutos, es obtener los máximos

beneficios para la seguridad y el buen estado de la información, procurar

un servicio eficiente y seguro a los usuarios. En los Institutos privados, la

seguridad informática debería apuntalar la obtención de beneficios, para

ello se deben implementar técnicas de protección en los sistemas para

evitar las viables pérdidas que podrían causar la degradación de la

funcionalidad o el acceso a los sistemas por parte de personas no

autorizadas a la institución.

De igual forma, los institutos académicos públicos deben aplicar planes de

prevención para que sus sistemas se encuentren disponibles y con un

mejor rendimiento eficiente. La metodología de seguridad informática

OSSTMM es utilizada de manera frecuente por los auditores para la

ejecución de tareas específicas referente al proceso de auditoría. En el uso

de esta metodología no solamente se utilizan las fases de recolección de

datos, y la verificación de los mismos si no la de evidenciar efectivamente

los agujeros de seguridad detectados y los riesgos que se pueden

presentar al ser explotadas las vulnerabilidades identificadas por los

crackers.

Para ejecutar la metodología OSSTMM, se debe tener un conocimiento

profundo referente al estándar de seguridad informática. Con la ayuda de

esta metodología proporcionara a los auditores de seguridad informática,

ejecutar herramientas de escaneo de vulnerabilidades de acuerdo a la

16

sección que se esté ejecutando en la institución académica auditada.

Además la metodología de seguridad informática se integra con las fases

del hackeo ético y las del test de penetración o intrusión.

17

CAPÍTULO II

MARCO TEÓRICO

IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA EN LAS

ORGANIZACIONES

En la actualidad la información manejada por las organizaciones es

primordial e indispensable, para el control de los proyectos, los negocios,

las tácticas y el mercado de los productos y el aumento de la productividad

empresarial en las compañías, la mala manipulación de los datos de

carácter sensible por usuarios pertenecientes a una entidad de índole

corporativo se vuelve en un entorno preocupante en las compañías hoy en

día.(Garzón, Ratkovich Gomes, Vergara Torres, & Serrano, 2012)

La implementación de los proyectos de seguridad informática para la

protección de los activos físicos y lógicos son integrados en los sistemas

de información y comunicación para la ejecución de técnicas de

salvaguarda evitando así que los usuarios maliciosos apliquen conductas

antisociales y delictivas, otorgando la facilidad de cometer delitos

cibernéticos en formas no tradicionales, atentando contra la

confidencialidad, disponibilidad, seguridad e integridad de la infraestructura

tecnológica de las organizaciones y los datos de gran importancia.

En consecuencia, esto produce un aumento en el grado de vulnerabilidad

e inseguridad sobre la eficacia de los sistemas informáticos que guardan y

preservan la información, lo cual ha convertido a la seguridad informática

en un método principal para cualquier empresa de carácter público y

privado.(Garzón et al., 2012)

La informática aplicada a las organizaciones es un principio fundamental

para el manejo de procesos y automatización de la información de manera

18

digital logrando así evitar el gasto físico de materiales en una oficina, la

sistematización ha sido tradicionalmente una materia compleja en todos los

aspectos y entornos a la que está adaptada, por lo que se hace necesaria

la utilización de metodologías en cada doctrina que la componen, desde su

diseño de ingeniería hasta el desarrollo del software, controlando todas

estas áreas mediante la auditoria de seguridades de redes y

telecomunicaciones.(Garzón et al., 2012)

Una de las metodologías de seguridad informática enfocada

específicamente a los análisis de vulnerabilidades en empresas, institutos

de enseñanza, entidades financieras, hospitales y demás es el estándar

OSSTMM8 cuya finalidad es dar a conocer a las organizaciones las

falencias de seguridad presentes en la red corporativa para así aplicar las

medidas de solución que ayuden a establecer controles en la

infraestructura tecnológica en las compañías auditadas, así como también

asegurar aquellos recursos que estén expuestos a un ataque informático

por parte de personas internas o externas a la entidad.

Además la metodología OSSTMM, es un proceso iterativo, reiterado en el

tiempo y se adapta a los avances de la tecnología para la identificación de

nuevos riesgos para las organizaciones.(Garzón et al., 2012)

La seguridad informática desde sus inicios ha enfrentado el reto de proteger

la información de carácter confidencial con la cual trabajan las

organizaciones, y promover el desarrollo tecnológico de técnicas de

seguridad para enfrentar los ataques cibernéticos ejecutados por los

crackers cuyo objetivo es causar daño a los datos relevantes en beneficio

propio, en la actualidad los atacantes desarrollan técnicas de intrusión cada

vez más sofisticadas que ayudan a romper brechas de seguridad para la

8 OSSTMM: Open Source Security Testing Methodology Manual

19

obtención del acceso ilícito a los sistemas, las organizaciones hacen

necesario contratar especialistas de la rama en mención que proporcione

sus métodos de hacking dando así un breve conocimiento de todas las

vulnerabilidades y riesgos identificado a las empresas de alta

competitividad simulando pruebas de penetración.

Los test de intrusión utilizan una variedad de herramientas especializadas

para hacer pruebas mucho más rápidas y eficaces para el descubrimiento

de falencias de seguridad. Al igual que otros trabajos dominados se podría

usar programas simples, manuales, pero las aplicaciones automáticas

diseñadas logran mucho más y un mejor tiempo.(Ron & Ninahualpa, 2012)

Aseguramiento y configuración de sistemas operativos servicios,

herramientas y dispositivos

Uno de los puntos funcionales que proporciona la metodología OSSTMM

es el aseguramiento y la buena configuración de los servicios

implementados en la infraestructura de red de las organizaciones, la

ejecución adecuada de herramientas o aplicaciones que poseen las

empresas para su protección, así como de los dispositivos que hacen parte

de la arquitectura de red.

Dentro de las herramientas que se utilizan a diario en una empresa se

encuentra el sistema operativo, el cual controla el acceso y uso de los

recursos de una máquina, siendo uno de los elementos más apetecibles

por los atacantes maliciosos para intentar explotar cualquier vulnerabilidad

detectada, por lo tanto, en un sistema operativo se debe contemplar:

Identificación y autentificación de los usuarios.

Control de acceso a los recursos del sistema.

Monitorear las acciones realizadas por los usuarios.

Auditoría de seguridad de los eventos de posible riesgo.

Garantía de integridad de los datos almacenados.

20

Garantía de la disponibilidad de los recursos.

En caso los piratas informáticos son aquellas personas que poseen esas

habilidades de un hacker pero a diferencia de ellos, realizan delitos

informáticos, existe un gran porcentaje de ellos que se benefician del

desconocimiento y vulnerabilidades informáticas, pudiendo llegar a

generar daño social especialmente cuando se le suman aspectos

relacionados con política anti/pro estatal y/o anti-algún modelo

económico-social.(Manchola, Suarez, & Herrera, 2016)

ANTECEDENTES DEL ESTUDIO

En la realidad actual la palabra hacker se deriva del vocablo inglés “hack”,

que significa cortar/golpear, el cual comenzó a adquirir su primera

connotación tecnológica a principios del siglo XXI, cuando pasó a formar

parte de la jerga de los técnicos telefónicos de los EE.UU, quienes en

ocasiones lograban arreglar de inmediato las cajas defectuosas mediante

un golpe seco, un hack.(Manchola et al., 2016)

Los hackers son personas expertas en algún campo de la informática, ellos

poseen conocimiento de redes, sistemas operativos en diversas

plataformas en Linux y Windows, telecomunicaciones y programación de

redes. Estos especialistas informáticos descubren soluciones brillantes

para la resolución de problemas de gran complejidad. “Seymour Cray,

diseñador de la gama de supercomputadoras Cray, fue uno de los mejores

hackers, se dice de él, que en cierta ocasión, introdujo de principio a fin un

sistema operativo de su invención en una de sus computadoras, usando los

conmutadores de su panel de control.”[3].

Con el transcurso del tiempo, los delitos informáticos ejecutados por los

crackers en Colombia, país vecino del Ecuador, han venido en aumento en

las entidades bancarias, quienes debido a la actividad de este grupo

generan pérdidas millonarias gracias principalmente a las vulnerabilidades

21

presentes en los sistemas de información de los bancos, el acceso a sus

bases de datos financieras por usuarios no autorizados y la clonación de

tarjetas de crédito de clientes de banco. Un ejemplo de estas intrusiones

maliciosas realizadas por atacantes en instituciones bancarias se dan en la

ciudad de Cali - Colombia, en donde el delito se presenta por un mismo

empleado de la entidad bancaria, que hurtaba dinero a los usuarios por

medios informáticos utilizando la falsedad de documento privado, “De

acuerdo con la investigación, el hombre, en su calidad de ejecutivo, accedía

a las cuentas de los usuarios suplantando su firma y su huella. Así, retiraba

dinero que éstos poseían en sus cuentas. Desde el año 2012 se sustrajeron

a los clientes del banco $360 millones.”.(Manchola et al., 2016)

Actualmente los jóvenes crackers utilizan su conocimiento para beneficio

propio o hacer daño a su objetivo, una de las noticias que ocasiono impacto

en la comunidad de Colombia fue la de Alejandro Robayo (Estudiante del

último semestre de la Universidad de los Andes), sentenciado a tres años

de prisión por acceder ilícitamente a la plataforma de notas de la

universidad en el que él estudiaba y atento a la integridad de la información

enfocadas en calificaciones académicas. Inicialmente con el objeto de

modificar sus propias notas para mantener una beca y posteriormente

como servicio ofrecido a terceros. Para el caso de Robayo, este fue según

la Unidad de Delitos Informáticos de la DIJÍN, que realizó la investigación,

más de 20 estudiantes pudieron haberle pagado a Robayo por cambiar

notas y planillas de asistencia a clases.”. La Unidad de Delitos Informáticos

de la DIJÍN ubicada en Bogotá – Colombia al verificar lo sucedido con este

estudiante adelantó investigaciones de denuncias realizadas por otras

universidades en Bogotá, Pasto y Barranquilla, en donde no solo se

investiga casos realizados por los estudiantes sino también en otro tipo de

empleados como los de admisiones y registro entre otros.(Manchola et al.,

2016)

22

Un estudio realizado por la Fiscalía General de la Nación mencionó que las

ciudades más afectadas por los delitos informáticos ejecutados por los

atacantes informáticos, donde ellos han generado pérdidas económicas

hoy en día son las siguientes: Bogotá, Costa Caribe, Cali, Medellín, Pasto

y la zona Andina, aunque ninguna parte del país se salva de este tipo de

delincuentes cibernéticos, aunque en estas ciudades, el proceso de

investigación y el de prueba legal e informática es la principal dificultad para

procesar este tipo de delitos. Iván Darío Marrugo, abogado especialista en

Derecho de Telecomunicaciones describe, que desde hace unos años

tenemos una Ley de procedimiento administrativo (Ley 1437 de 2011) y el

Código General del Proceso (Ley 1564) que abrió la posibilidad de admitir

pruebas electrónicas en este tipo de juicios. Cabe destacar que aparte de

la sofisticación alcanzada por las autoridades judiciales para identificar y

detectar este tipo de delitos, la cultura de denuncia de los ciudadanos ha

aumentado desde el año 2016 hasta la actualidad.(Manchola et al., 2016)

Según indica Daniel Santiago Garzón estudiante de la Pontificia

Universidad Javeriana de Bogotá – Colombia que en los últimos 5 años las

organizaciones poseen el área o departamento de Seguridad Informática,

encargada para brindar la máxima protección de los activos ubicados en

los diferentes sectores de la empresa. Ésta se enfoca en los cinco principios

básicos o elementos de la seguridad informática: confidencialidad,

disponibilidad, integridad, auditabilidad y no repudio, pero debe tenerse en

cuenta que no solo con estos principios se garantiza una seguridad

efectiva, ya que la forma en que estos principios tengan efectos en pro de

la organización es mediante la implantación de controles o mecanismos de

seguridad, basados en las políticas generales de la empresa,

particularmente en las políticas y procedimientos de seguridad, con lo que

se busca minimizar las vulnerabilidades expuestas y aumentar la seguridad

de la información.(Garzón et al., 2012)

23

La funcionalidad principal del departamento de seguridad informática es el

incremento y la salvaguarda de los activos de información de carácter

confidencial, para aplicar estos mecánicos o planes de acción es necesario

ejecutar un análisis de vulnerabilidades, para identificar aquellas brechas

de seguridad que se encuentran expuestas hacia el exterior o el interior de

las organizaciones, así como facilitar la toma de decisiones sobre las

formas de proteger sus bienes y los servicios que prestan a la comunidad

empresarial y residencial. De este modo, el estudio de estas falencias

abarca varios frentes de seguridad, reduciendo al mínimo la efectividad de

los ataques que pueden aprovechar las mismas.

Estos frentes son Seguridad Lógica, donde se aplican barreras y se

elaboran procedimientos que ayuden a proteger los datos sensibles,

Seguridad Física, la cual aplica defensas físicas y procedimientos de

control, Políticas y Estándares, que son los documentos que utiliza una

organización para administrar y proteger la información; y finalmente

Auditoría de Seguridades de Redes, que es la revisión y la evaluación de

los controles, sistemas y procedimientos de informática.(Garzón et al.,

2012)

Asimismo, se deben identificar y mitigar los riesgos a los que se encuentra

expuesta la empresa, de tal modo que cada uno de estos frentes

identifique, administre y mitigue cada uno de los mismos, basados en las

necesidades y requerimientos de la empresa.(Garzón et al., 2012)

24

FUNDAMENTACIÓN TEÓRICA

OBJETIVOS DE UN ETHICAL HACKER

El objetivo principal de un proceso de ética al hacking es el de realizar una

serie de pruebas para demostrar el nivel de riesgo que contiene cada

vulnerabilidad identificada durante el proceso de auditoría, estas pruebas

son acordadas entre el cliente y el especialista de seguridad informática en

la organización que se realiza la auditoría, al final de este análisis se

elabora los respectivos informes para que la empresa pueda tomar las

medidas pertinentes evitando así que existan accesos ilícitos en la red a

futuro.(PÉREZ, 2015)

Las líneas generales que se debe llevar acabo en los procesos de la ethical

hacking es la de investigar y detectar las vulnerabilidades existentes en un

sistema de interés. Para realizar esta tarea los profesionales en el área de

seguridad cumplen las 2 primeras fases del hacker ético que es las

siguientes: la fase de reconocimiento y escaneo son aquellas que le

permiten a la persona contratada en la organización verificar los puntos de

acceso y la información relevante que puede ser comprometida.(PÉREZ,

2015)

Una vez descubierto los puntos de entrada y el tipo de información

considerada como confidencial se procede a cumplir las 3 últimas fases de

un ethical hacker, tales como: las fases de obtención del acceso,

mantenimiento del acceso y el borrado de huellas; estas etapas muestran

los niveles de riesgos y amenazas que pueden suceder, donde usuarios no

autorizados afectan a la productividad de la empresa, sino se aplican los

procedimientos necesarios para tener estos riesgos bajo control.(PÉREZ,

2015)

25

TIPOS DE AUDITORÍA

Las auditorias son las bases de un proceso de ethical hacking, donde el

hacker llamado auditor, solamente identifica el problema y él solicita a la

empresa que efectúe un plan de acción para disminuir el

problema.(PÉREZ, 2015)

Los tipos de auditoría son conformados por 3 cajas:

Auditoría de caja negra: Es aquella que permite al auditor tomar el rol de

un hacker, en este tipo de caja el profesional de seguridad lógica no posee

la información necesaria sobre la empresa a auditar, esto quiere decir que

la visión global del sistema se encuentra oculta o no se conoce como se

organiza interiormente los servicios y las redes. El auditor se encargará de

recopilar todo tipo de información sobre el objetivo planteado, los datos que

recolecta el auditor son de carácter público y después se irán tomando los

contactos con los sistemas y servicios públicos de la compañía

objeto.(PÉREZ, 2015)

Auditoría de caja blanca: Este tipo de auditoria se enfoca en el rol de un

usuario interno de la organización, donde este proporciona toda la

información sobre los sistemas internos o la totalidad de los datos críticos

al auditor. En el proceso de caja blanca se revisan las configuraciones de

los sistemas políticas, servicios, redes y código de aplicaciones con el fin

de encontrar puntos críticos que permitan a los usuarios de ciertos grados

de privilegio obtener el acceso. El entorno empresarial es un esquema

complejo y posee la mayor cantidad de vulnerabilidades en sus

infraestructuras de red aunque estas no hayan sido detectadas todavía, es

importante la realización de este tipo de auditoria para comprobar lo que un

usuario con ciertos privilegios puede lograr.(PÉREZ, 2015)

Auditoría de caja gris: Es aquella que permite al atacante tomar el rol de

un cliente, un empleado, con pocos privilegios y de una ubicación concreta

el auditor dispone de una visión referente a los sistemas que se encuentran

26

instalados en la empresa este tipo de auditoria no dispone del mismo nivel

de acceso que en la auditoria de caja blanca, esto quiere decir que es un

empleado descontento atenta a la confidencialidad de la información

simulando un ataque interno (PÉREZ, 2015)

Los tipos de auditorías ante mencionados cumplen diferentes roles los

cuales los permite diferencial. (PÉREZ, 2015)

Para realizar este tipo de análisis se debe mencionar la siguiente,

metodología como una forma más avanzada de rastrear todo tipo de

amenaza tales que suelen tener interacciones humanas siendo

herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015)

En el mundo de la seguridad existen estándares, modelos o normas que

son aplicables al hackeo ético. Si verdaderamente se usa uno de estos

estándares concede a la empresa o auditor cierta categoría. Con la

finalidad de igualar los resultados entre procesos de distintos auditores, las

empresas generan la necesidad de utilizar alguno de estos estándares

existentes para la realización de pruebas de intrusión.(PÉREZ, 2015)

Para realizar este tipo de análisis se debe mencionar la siguiente,

metodología como una forma más avanzada de rastrear todo tipo de

amenaza tales que suelen tener interacciones humanas siendo

herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015)

En el mundo de la seguridad existen estándares, modelos o normas que

son aplicables al hackeo ético. Si verdaderamente se usa uno de estos

estándares concede a la empresa o auditor cierta categoría. Con la

finalidad de igualar los resultados entre procesos de distintos auditores, las

empresas generan la necesidad de utilizar alguno de estos estándares

existentes para la realización de pruebas de intrusión.(PÉREZ, 2015)

27

Tabla 2 Estado de la seguridad

Estado

Realizado

No Aplicable

Documentado

En ejecución

Riesgo

Correcto

Baja

Media

Grave

Fuente: Trabajo de investigación Autores: Milagros Parra – Erick Yánez

Importancia del rol

Los procesos de ethical hacking están guiado por el rol de los auditores que

cumplen cada actividad que se va ejecutando, el auditor asume distintas

funciones que simulan ser usuarios o empleados en un instante y con

circunstancias concretas, es decir que el proceso se integra al rol

adjudicado por el profesional de seguridad informática.(PÉREZ, 2015)

Uno de los roles de los auditores internos es analizar los activos de cada

organización y categorizarlos en distintas secciones y con esto aplicar los

planes de contingencia en cada bien de gran importancia. Por el lado los

auditores externos identifican las vulnerabilidades relevantes explotándolas

para determinar los niveles de riesgos y amenazas.(PÉREZ, 2015)

Fuga de información interna

Son aquellos procedimientos que se definen como pruebas de análisis de

fuga de información para detectar canales o vectores por los que un

28

empleado puede sacar información sensible al exterior de la organización.

El objetivo del auditor es de estudiar distintos tipos de vías de acceso por

donde los atacantes tienen una entrada hacia los sistemas de manera

ilegal, uno de los ejemplos que se detalla es la que el hacker ético asume

el rol de un empleado de finanzas, el cual este quiere vender información

crítica de las empresas, el usuario establece este proceso de fuga de

información extrayendo dicha información del ordenador o de la estación

de trabajo. El hombre de finanzas utiliza medios tecnológicos tales como:

unidades extraíbles, correo electrónico, Discos duros externos y demás

para el hurto de los datos de carácter sensible.(PÉREZ, 2015)

Los empleados que comenten estos fraudes de carácter internos usan los

navegadores donde ellos disponen de los plugins que permiten añadir

archivos a los correos webmail y a los sitios de web de almacenamiento en

la nube.(PÉREZ, 2015)

Amenazas avanzadas persistentes

Una amenaza avanzada persistente consiste en realizar un ataque o un

conjunto de intrusiones sobre una muestra de personas o empleados de

una organización que cumplen con un rol de gran importancia simulando

un ataque dirigido a los usuarios relevantes. El rol de un auditor es la de

actuar como una persona maliciosa de índole externo donde esto ayudara

a realizar una investigación profunda sobre los empleados que laboran en

una empresa con el fin de obtener acceso a los ordenadores para verificar

el tipo de información que maneja la compañía.(PÉREZ, 2015)

METODOLOGIA OSSTMM (OPEN SOURCE SECURITY

METHODOLOGY MANUAL)

OSSTMM es una metodología de seguridad informática estructurada por

15 capítulos donde cada capítulo explica de cómo se debe de llevar a cabo

29

las pruebas de auditoria correspondientes en distintos entornos. Esta

metodología está enfocada en los análisis de vulnerabilidades, las métricas

de seguridad operativas, estructura del flujo de trabajo, las prácticas de

laboratorio referente a los sistemas de información y comunicación,

pruebas de seguridad en telecomunicaciones, pruebas de redes

inalámbricas y pruebas de seguridad en ambientes físicos.(PÉREZ, 2015)

Un aspecto importante que recopila OSSTMM es la elaboración de

informes y la gestión de los mismos. Un auditor de seguridad informática,

como se ha mencionado anteriormente, puede caer en el error al no utilizar

las métricas correspondientes basadas en las distintas valoraciones

dependiendo de los entornos a auditar. OSSTMM propone una vía de

generación de informes de manera estandarizada facilitando el trabajo a

los auditores de seguridad y proporciona una certificación para los

profesionales de la rama como analista tester o experto.(PÉREZ, 2015)

OSSTMM es el estándar de seguridad informática más utilizado por los

especialistas para la ejecución de los laboratorios por medio de esta

metodología de pruebas completa, donde proporciona herramientas de

calidad para el reporte del conjunto de resultados obtenidos mediante el

análisis. Los dos principales objetivos de OSSTMM es el alcance, el

entorno de seguridad operacional posible total en el que cualquier

interacción tiene lugar con algunos activos, que puede incluir los

componentes físicos de las medidas de seguridad. El alcance se compone

de tres canales:(Prandini & Ramilli, 2012)

COMSEC: Canal de seguridad de las comunicaciones.

PHYSSEC: Canal de seguridad física.

SPECSEC: Canal de seguridad del espectro.

30

Los canales son el medio de interactuar con los activos. Un activo es de

gran importancia para las organizaciones que poseen información de

carácter sensible. El alcance de la metodología OSSTMM requiere que

todas las amenazas se consideren posibles para ejecutar los respectivos

controles evitando que los atacantes puedan explotar o aprovecharse de

dichas amenazas.(Prandini & Ramilli, 2012)

Los tres canales principales se dividen en 5 subcanales que son los

siguientes:

Humano: Es aquel que comprende todos los elementos humanos

de todo tipo de comunicación.

Físico: Consiste en que los elementos tangibles de la seguridad

informática requieran de un energía física o una fuente principal de

energía para manipular los activos.

Comunicación inalámbrica: Es aquella que alcanza todas las

comunicaciones electrónicas, señales y emanaciones que tienen

lugar sobre el espectro electromagnético.

Redes de datos: Consiste en la comprensión de todos los sistemas

de información de carácter electrónico y que se ejecutan dentro y

fuera de la red donde las interacciones tienen lugar sobre cables

establecidos y líneas de red cableadas.

Telecomunicaciones: Comprende que todas las redes de

telecomunicaciones, digitales o analógicas tengan interacción sobre

líneas de red establecidas.

31

Gráfico 1 Canales de OSSTMM

Fuente: Trabajo de investigación


32

Preparación y planeación de un reporte de auditoria de seguridad

Gráfico 2 Planeación de un informe

Fuente: http://0-ieeexplore.ieee.org.almirez.ual.es/document/5546813/

Autores: Prandini, Marco Ramilli, Marco

En los informes de auditoría de seguridad informática se detallan los

conjuntos de acciones realizadas por medio del estándar OSSTMM donde

se convirtió en una de las metodologías más completas de la

historia. OSSTMM fue la primera metodología en integrar factores humanos

en las pruebas de laboratorio, teniendo en cuenta las operaciones

determinadas por las personas de carácter maliciosas que usan sus

conocimientos para comprometer el sistema ocasionando los declives

económicos en la organización. Capturar los factores humanos como

ataques iniciados y ataques de ingeniería social es una característica de

gran valor para la toma de controles en los empleados.(Prandini & Ramilli,

2012)

Dentro de una planeación y preparación se describen las siguientes

acciones ejecutadas por los profesionales de seguridad dentro de una

organización a auditar:

33

Bugs Información Descubrimiento: En esta etapa, los

profesionales de seguridad informática, mediante un análisis

automático y manual, realizan una recolección de información sobre

la organización a auditar.

Exploración: En este paso, los asesores de seguridad lógica filtran

la información obtenida en el paso anterior, obteniendo una lista de

vulnerabilidades dentro de los sistemas auditados.

Evaluación de vulnerabilidad: En esta fase se calcula la

rentabilidad de la vulnerabilidad.

Explotación: El auditor utiliza técnicas conocidas e improvisadas,

para iniciar la explotación del sistema.

Gráfico 3 Fases para la elaboración de un reporte de seguridad informática

Fuente: http://0-ieeexplore.ieee.org.almirez.ual.es/document/5546813/

Autores: Prandini, Marco Ramilli, Marco

SECCIONES DE LA METODOLOGIA OSSTMM

El Manual de la Metodología Abierta de Comprobación de la Seguridad

OSSTMM, es uno de los estándares profesionales más completos y

comúnmente utilizados en auditorías de seguridad informática para revisar

los estados de los sistemas de información desde el Internet. OSSTMM

integra un marco de trabajo que detalla las fases que se realizan para la

34

ejecución de la auditoría. Esta metodología está compuesta por las

siguientes secciones:(ISECOM, 2014)

Sección A – Seguridad de la Información

1. Revisión de la inteligencia competitiva

2. Revisión de la privacidad

3. Recolección de documentos

Sección B – Seguridad de los procesos

1. Testeo de solicitud

2. Testeo de sugerencia dirigida

3. Testeo de las personas confiables

Sección C – Seguridad en las tecnologías del internet

1. Logística y controles

2. Exploración de la red

3. Identificación de los servicios del sistema

4. Búsqueda de información competitiva

5. Revisión de la privacidad

6. Obtención de documentos

7. Búsqueda y verificación de vulnerabilidades

8. Testeo de aplicaciones de internet

9. Enrutamiento

10. Testeo de sistemas confiados

11. Testeo de control de acceso

12. Testeo de sistema de detección de intrusos

13. Testeo de medidas de contingencia

14. Descifrado de contraseñas

15. Testeo de denegación de servicios

16. Evaluación de políticas de seguridad

35

Sección D – Seguridad en las Comunicaciones

1. Testeo de PBX

2. Testeo del correo de voz

3. Revisión del FAX

4. Testeo del modem

Sección E – Seguridad Inalámbrica

1. Verificación de las radiación electromagnética (EMR)

2. Verificación de las redes inalámbricas [802.11]

3. Verificación de las redes bluetooth

4. Verificación de los dispositivos de entrada inalámbricos

5. Verificación de dispositivos de mano inalámbricos

6. Verificación de comunicaciones sin cable

7. Verificación de dispositivos de vigilancia Inalámbricos

8. Verificación de dispositivos de transmisión inalámbricos

9. Verificación de RFID

10. Verificación de sistemas infrarrojos Sección F – Seguridad Física

1. Revisión del perímetro

2. Revisión de monitoreo

3. Evaluación de los controles de acceso

4. Revisión de la respuesta de alarmas

5. Revisión de la ubicación

6. Revisión del entorno

DEFINICION DE LAS SECCIONES A, B, C DE LA METODOLOGIA

OSSTMM

Sección A – Seguridad de la información

Revisión de la inteligencia competitiva

La competitividad mundial ha aumentado en la actualidad, produciendo en

cada una de las organizaciones un elevado interés en la creación de

36

elementos y componentes internos que permitan dominar a la competencia,

originando dentro de éstos un enfoque dinámico basado en el estudio de la

innovación, cuyo módulo principal es el conocimiento, fundamentado en la

inteligencia competitiva (IC).(Edith & Trujillo, 2013)

La inteligencia competitiva está definida por la Sociedad de Profesionales

de Inteligencia Competitiva (SCIP) en Estados Unidos como un proceso

ético y sistemático para la recolección de información, análisis y

diseminación pertinente, precisa, específica, oportuna, predecible y activa,

aplicada al ambiente de negocios, innovados por los competidores y de la

propia organización”.(Edith & Trujillo, 2013)

La competitividad de las organizaciones depende de cómo se explotan los

recursos de información, en los distintos entornos de trabajo enfocado a la

inteligencia competitiva como el acceso a tiempo al conocimiento e

información relevantes en las distintas fases de la toma de

decisiones.(Edith & Trujillo, 2013)

La inteligencia competitiva es uno de los módulos menos valorado en

referencia a los demás a la hora de realizar un test de penetración, este no

es intrusivo, y no se requiere el mayor conocimiento técnico en un test de

intrusión para ejecutar este punto de la sección. Básicamente la revisión de

la inteligencia competitiva está enfocada en recabar toda la información

posible de la empresa auditada.(ISECOM, 2016)

Este módulo es aplicado para la recopilación de información de carácter

confidencial para poder crear un mapa con una estructura de las

instalaciones informáticas buscando la presencia en Internet que tiene la

empresa. Es decir, se trata de recolectar todos los datos sensibles

disponibles de la organización.(ISECOM, 2016)

37

Muchas veces, se verifica que la información puede ser recabada de forma

legal, en páginas web, en la prensa, fuentes científicas, etc. Este método

de recolección es de gran importancia porque recopila la mayor cantidad

de información relevante relacionada a los servicios que brinda las

compañías de índole corporativa (tales como números de teléfono, correos

electrónicos junto con usuarios de contacto, páginas web, servidores FTP,

servidores DNS, etc.), entre otros de carácter menos técnico. Algunos

aspectos interesantes podrían ser:(ISECOM, 2016)

Compañía de la cual depende.

Compañías dependientes de la misma.

Compañías hermanas.

Proveedores.

Clientes.

Productos que ofrece.

Algunas de las direcciones IPs relevantes, son útiles al realizar el ataque

informático. Consideramos de gran importancia las IP si éstas:

Pertenecen a la organización.

Usadas por la organización.

Están registradas a nombre de la organización.

Sirve a la organización de alguna forma.

Está asociada a la organización.

Revisión de la privacidad

La revisión de la privacidad, posee la función de encargarse de los

segmentos éticos y legales referentes al almacenamiento, transmisión y

control de datos de empleados de una empresa y clientes corporativos y

residenciales. Este punto de esta sección se encarga del cumplimiento de

los derechos de los usuarios dentro de la organización, para que sus datos

personales no queden al descubierto de los atacantes maliciosos que

38

intentan hacer daño a la información de carácter confidencial. Se refiere

también, a como se distribuyen las contraseñas.(ISECOM, 2016)

La divulgación de la información relevante referente a un usuario es aquella

cuando el atacante tiene acceso a la misma y este posee la capacidad de

comprometer a una persona en especial, destruyendo el prestigio de la

misma afectando a la organización. Es frecuente, hallar diversas

contraseñas escritas en etiquetas pegadas al computador, por ejemplo,

post-its enganchados en el borde del monitor del puesto de trabajo. A pesar

de que muchas leyes son locales, todas se aplican a Internet, y por tanto,

afectan a los security testers internacionalmente. Es necesario pues, tener

un conocimiento básico de estas leyes, y las medidas necesarias para que

la empresa pueda cumplirlas.(ISECOM, 2016)

Recolección de documentos

Esta sección almacena cierta relación con la fase de revisión de inteligencia

competitiva, para el enfoque de aspectos más pequeños y concretos, como

correos electrónicos, ofertas de trabajo etc., que se pueden extraer de

archivos que contienen información o metadatos. Una herramienta

importante enfocada a la recolección de documentos es la aplicación de

FOCA cuya funcionalidad es recolectar todo tipo de registro referente a la

organización auditada. FOCA se trata de un programa que posee la función

de descargar los ficheros ofimáticos de páginas web o de un dominio,

extrayendo la información confidencial oculta, metadatos y datos perdidos,

también posee la capacidad de transponer la información adquirida

mediante el proceso de análisis del dominio con el fin de obtener el mapa

de la red estudiada.(ISECOM, 2016)

39

Gráfico 4 Recolección de documentos con foca

Fuente: Trabajo de investigación Autores: Erick Yánez – Milagros Parra


Testeo de Solicitud

El testeo de solicitud, es un área conocida como la ingeniería social, en

este caso, los atacantes intentan ganar el acceso a los servicios solicitando

permisos al personal encargado de establecer los privilegios de acceso al

sistema, mediante el uso de sistemas de comunicación tales como: correo

electrónico, números de teléfono y demás haciéndonos pasar por personas

autorizadas a la organización.(ISECOM, 2016)

Uno de los principios básicos de la ingeniería social es: el eslabón más débil

de toda la cadena de seguridad es el usuario. Es decir que las empresas

pueden adquirir la mejor tecnología de la información ya sea por su alto

costo o por su funciones principales, pero el desconocimiento de los

usuarios hacen que los atacantes obtengan el acceso a los sistemas varias

veces con la finalidad de atentar a la confidencialidad de los activos

40

relevantes para las compañías, las falencias de seguridad de la información

no proceden de una programación obsoleta o configuración de los

servicios, sino de las personas con poca conciencia que no se da cuenta el

tipo de información que está facilitando a extraños a la

organización.(ISECOM, 2016)

Uno de los ataques de ingeniería social que utilizan los atacantes es el

phishing donde consiste en crear un servidor web falso haciendo creer a

los usuarios que es el original para la captura de credenciales de acceso al

sistema.(ISECOM, 2016)

Testeo de sugerencia dirigida

El testeo de sugerencia dirigida es un módulo, enfocado en la ingeniería

social en muchos aspectos, este punto coincide con el testeo de solicitud

en vista que no son dependientes entre sí. La diferencia entre ambos, es

cuando, el atacante suplanta la identidad de un usuario de índole público o

privado, e invita a otro usuario a visitar un lugar externo (por ejemplo, una

página web, o cuenta de correo electrónico).(ISECOM, 2016)

Uno de los primeros ataques de usurpación de identidad, es el phishing en

la cual consiste que un usuario exporte información al atacante, o que la

víctima visite una web que el pirata informático indique, donde tendrá

preparado algún sistema para atacar/engañar a la víctima.(ISECOM, 2016)

Un modelo del phishing, es atraer a la víctima a una página web con las

mismas características y modelo de la oficial (como por ejemplo la página

web de una institución bancaria), donde se le solicita al usuario que ingrese

los datos como usuario, contraseña, PIN de la tarjeta de crédito etc., y

después le haga click en enviar/confirmar.(ISECOM, 2016)

41

Gráfico 5 Ataque Phishing

Fuente: https://www.paginaswebciudadreal.es/blog/qrljacking-te-pueden-

robar-sesiones-whatsapp-web-whatsapp-phishing-privacidad/ Autor: Pablo González Pérez

Testeo de las Personas Confiables

Este último de los módulos es aquel que está enfocado en la ingeniería

social. En este tercer punto, se diferencia de los demás, en el hecho de que

en éste busca información privilegiada a la organización. Muchas veces, la

mayoría de los usuarios no tiene ninguna dificultad en revelar datos

sensible, lo cual, para un actor malintencionado es muy útil, como por

ejemplo, se muestra un escenario ficticio, sin embargo este módulo no está

encaminado al mundo empresarial, bien puede mostrar el alcance de este

tipo de adquisición de información. El ejemplo fue escrito por Antonio

Villalón, en la fuente perteneciente a la empresa S2 Grupo (empresa

de la ciudad de valencia de Seguridad gestionada).(ISECOM, 2016)

https://www.paginaswebciudadreal.es/blog/qrljacking-te-pueden-robar-sesiones-whatsapp-web-whatsapp-phishing-privacidad/

https://www.paginaswebciudadreal.es/blog/qrljacking-te-pueden-robar-sesiones-whatsapp-web-whatsapp-phishing-privacidad/

42

Sección C – Seguridad en las Tecnologías de Internet

Sondeo de la Red

Este modelo consiste en que un usuario puede proporcionar solamente un

rango de direcciones IPs para evidenciar las vulnerabilidades de la red.

Además, muchas veces, los resultados obtenidos en este módulo son

completados en módulos posteriores.(ISECOM, 2016)

Este módulo, se enfoca en el reconocimiento de la red, donde se indaga

todo tipo de información referente a ella. La fase de reconocimiento puede

ejecutarse de manera interna y externa dependiendo el tipo de auditoria

que se esté realizando en ese momento, en el punto referente al sondeo

de la red se puede explorar, rangos de direcciones IPs, dominios,

subdominios etc.(ISECOM, 2016)

Gráfico 6 Reconocimiento de direcciones IP de un dominio

Fuente: Trabajo de Investigación

Autor: Erick Yánez – Milagros Parra

Escaneo de Puertos

La fase de escaneo consiste en la utilización de herramientas para verificar

entradas de servicios para el acceso al mismo mediante un ataque

informático. En esta etapa de la sección de seguridad en tecnologías del

internet el hacking externo detalla que las aplicaciones para escanear

43

puertos de un dominio muestran el rango de direccionamiento IP público

referente al sitio web auditado y los sistemas donde se encuentran

levantados los servicios. En otros entornos de auditoria de seguridad

informática el hacking interno aplica los mismos procesos que el hacking

externo pero de manera interna es decir que para ejecutar este tipo de

pruebas los profesionales de seguridad se conectan a una red local de la

organización a la que están auditando. En la fase de escaneo consiste

también en identificar los hosts o aquellos ordenadores que se encuentren

en estado activo dentro de los rangos de direccionamiento IPs, una vez

realizado el análisis de puntos débiles se procede a determinar los puertos

abiertos en dichos equipos detectados y se lograra determinar la versión

del sistema operativo de cada host activo y las aplicaciones o servicios que

escuchan requerimientos en dichos puertos.

Estados de puertos

Para comprender mejor cómo funcionan los métodos de escaneo es

importante conocer primero los posibles estados de un puerto. Las

definiciones de los estados abierto, filtrado y cerrado son comunes entre

muchas herramientas de escaneo, pero dependiendo del aplicativo pueden

usarse diferentes nombres para referirse a un mismo estado. Por lo

consiguiente, nos basaremos en las definiciones de estados de puertos de

la herramienta de escaneo más popular: NMAP.

Abierto: Son aquellos puertos que se encuentran disponibles para

cualquier conexión a un servicio ejecutado en un mismo puerto donde los

usuarios pueden enviar solicitudes de conexiones hacia el servicio

asociado en dicho puerto. Por ejemplo un servidor web público podría tener

abiertos los puertos TCP/80 (HTTP), TCP/443 (HTTPS), UDP/53 (DNS) y

otros más.

44

Cerrado: Un puerto cerrado aunque es accesible, no posee una aplicación

o servicio asociado que responda a solicitudes de conexión emitidas por

los usuarios.

Filtrado: Un puerto en modo filtrado es aquel que no puede ser accesado

por la cual existe un dispositivo filtrador de paquetes de por medio que

impide al escáner determinar si dicho puerto está abierto o cerrado. El

dispositivo intermedio puede ser un router con ACL’s implementadas o un

firewall.

No-filtrado: Un puerto en modo No-filtrado es accesible a cualquier servicio

pero el escáner de puertos no puede determinar si el mismo está abierto o

cerrado. Este estado es específico de una técnica de escaneo descrita más

adelante en esta misma sección denominada escaneo ACK.

Abierto | Filtrado: Este es un estado ambiguo en el cual el escáner no

pudo determinar si el puerto se encuentra abierto o filtrado y es factible de

obtenerse cuando se usa una técnica de escaneo en la cual un puerto

abierto puede no responder.

Cerrado | Filtrado: Consiste en cuando el escáner de puertos no puede

concluir si el puerto está cerrado o filtrado.

45

Gráfico 7 Escaneo de puertos con NMAP al dominio

Fuente: Trabajo de investigación Autor: Erick Yánez – Milagros Parra

Búsqueda de Vulnerabilidades y Verificación En esta etapa de la metodología OSSTMM los atacantes maliciosos buscan

explotar los fallos detectados que se encuentren en las máquinas u

ordenadores que estén conectados a la red corporativa.(ISECOM, 2016)

Para ejecutar el proceso de búsqueda de vulnerabilidades y verificación de

las mismas se procede a la utilizar programas automatizados, con la

funcionalidad de encontrar agujeros de seguridad documentados sobre las

versiones de los sistemas operativos instalados en estaciones de trabajo.

La metodología OSSTMM indica en uno de sus requerimientos que los

profesionales de seguridad utilicen al menos dos herramientas

automatizados diferentes, para demostrar las consistencias entre ambos,

y así poder tener más información con menor probabilidad de

error.(ISECOM, 2016)

46

Gráfico 8 Acceso a la información de un servidor



Gráfico 9 Fases de la Metodología OSSTMM



INFRAESTRUCTURA TECNOLOGICA

REDES DE AREA AMPLIA (WAN)

Una red WAN (Wide Área Network) son aquellas redes que permiten

compartir dispositivos pertenecientes a la capa 3 modelo OSI y TCP/IP para

tener un acceso rápido y eficiente a la información transmitida por dichas

redes, las redes de área extensa son conocidas como redes perimetrales

cuando son implementadas en entornos corporativos y proporcionan un

47

medio de transmisión a larga distancia de datos, voz, imágenes, videos,

sobre grandes áreas geográficas que pueden llegar a extenderse hacia un

país, un continente o el mundo entero, es la unión de dos o más redes LAN.

CARACTERISTICAS:

Operan dentro de un área geográfica extensa.

Permite el acceso a través de interfaces seriales que operan a

velocidades más bajas.

Proporcionan velocidades de transmisión de datos parciales y

continuos.

Conecta dispositivos separados por grandes distancias, incluso a

nivel de todo el mundo.

Gráfico 10 Esquema de una red WAN

Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra

48

Norma ISO 27001 Seguridad de la información

La información es uno de los activos de gran importancia en las

organizaciones de carácter corporativo donde ellas pueden gestionar sus

activos físicos y lógicos para el aumento de la productividad del negocio,

además cada activo determina los valores relevantes de cada una de las

empresas, la información corporativa interna es aquella que puede ser

manejada por un especialista en el área de seguridad informática como los

datos sensibles del lado del usuario. Pero al llevar a cabo funciones o roles

sobre el manejo de los registros importantes de las compañías, las

organizaciones entablarían una reunión con uno de líderes de la mima para

la asignación del cargo al especialista donde el garantiza el aseguramiento

de confidencialidad, integridad, autenticidad y La no-repudio de la

información y aplicar mecanismos de protección para el control de los

riesgos y amenazas presentes en la red corporativa de las instituciones

públicas y privadas que participan en el proceso de auditoría de seguridad

informática.

Cuadro comparativo de la metodología de seguridad informática

OSSTMM

Tabla 3 Cuadro comparativo de las metodologías de seguridad informática

METODOS ISSAF PTES OWASP OSSTMM

Rigor de la

metodología

Alta,

desactualiza

da desde el

año 2006

Alta,

desactualizada

desde el año

2008

Muy Alta,

enfocada en

las

aplicaciones

WEB, pero

muy

didáctica e

instructiva.

Muy Alta,

actualizada y

en constante

revisión

49

Niveles de

detalle

Muy

detallada

pero

sencilla,

Faltan

elementos

de Cloud

computing y

protección

de datos

Perfectamente

detallada. Los

procesos en

su aplicación

están

perfectamente

definidos

aunque no

tienen en

cuenta

novedades en

la metodología

Muy

detallada su

enfoque web

no le resta ni

un ápice de

meticulosida

d, orientada

perfectament

e al trabajo

del auditor

La experiencia

de uso de

anteriores

versiones diera

lugar a crear la

necesidad de

formación

previa

Facilidad de

uso

Muy alta, se

la puede

utilizar con

conocimient

os medios

Alta, aparenta

sencillez, pero

requiere

entrenamiento

Alta, muy

técnica,

muestra

usos de

herramienta

y ejemplos

Requiere

entrenamiento,

practica y

certificaciones

Ámbitos de

aplicación

PYMES, ORGANIZACIONES E INSTITUCI

ONES VARIAS

ORGANIZACIONES

COMPLEJAS PYMES Y

ENTIDADES FINANCIERAS

TODO TIPO DE

ORGANIZACIONES

CON PRESENCIA

WEB

GENERAL TODO TIPO

DE ORGANIZACI

ONES, PYMES E

INSTUCIONES EDUCATIVAS

Entornos de

Aplicabilidad

Genérico

para

auditorias

de todo tipo,

servidores

IBM.

Todos en

combinación

con otra

metodología

como OWASP,

sería ideal

Auditorias

enfocada a

los

servidores y

aplicaciones

WEB

Es dinámica y

potente en su

diseño

50

Uso por los

auditores

Cumple las

etapas

típicas de

una

auditoria

con un test

de intrusión

Los auditores

de seguridad

informática

combinan esta

con otras

metodologías

El más

utilizado por

los auditores

respecto a

las otras

metodología

s y es

requerido

por las

empresas

El uso de esta

metodología se

requiere de

una alta

experiencia y

conocimientos

prácticos por

parte de los

auditores.


Tabla 4 Cuadro de las ventajas de las metodologías de seguridad informática

METODOS ISSAF PTES OWASP OSSTMM

Ventajas

Facilita el

informe en

función de

los pasos

seguidos y

de los

resultados

obtenidos

Ofrece una

muy buena

guía de cómo

deben ser

conducidas

las

necesidades

del testeo

Esta

metodología

es muy

didáctica y

proporciona

los

fundamentos

de las

auditorias y

pentesting

Se integra y

toma en

consideració

n todos los

estándares

de seguridad

de la

información.

Ofrece una

calidad

incuestionabl

e de

resultados

Falta

concretar

acuerdos y

Proyecto

incompleto

pero con

En esta

metodología

para ver su

No hacer

referencia a

que tipos de

51

Desventajas no señala

limites en el

uso de los

test de

intrusión

buenas

perspectivas

Debe

actualizarse o

al menos

revisarse

efectividad

hay que

combinar

otras

herramientas

de seguridad

informática

objetivos son

ligados para

cada test de

penetración

No permite

combinar su

metodología

con otra


CICLO PHVA

En la actualidad, las empresas de índole pública y privada se enfrentan a

un nivel alto de competencia basadas en entornos corporativos, para el

aumento y el desarrollo de las actividades productivas, que conlleva hacia

el logro de supervivencia, y el proceso de mejora continua que ayuda a

evolucionar y renovarse de forma fluida y constante. El ciclo

PHVA de mejora continua es una herramienta de gestión presentada en los

años 50 por el estadístico estadounidense Edward Deming.

Las fases del ciclo PHVA

Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las

iniciales de las palabras Planificar, Hacer, Verificar y Actuar. Cada uno de

estos 4 conceptos corresponde a una fase o etapa del ciclo:

Planificar: En la etapa de planificación se establecen los

objetivos principales de cada organización para la mejora de los procesos

y la implementación de otros, además se identifican los requerimientos del

cliente para la ejecución de procedimientos que ayuden a mejorar la

productividad del negocio logrando así resultados positivos adaptados a

https://www.isotools.org/soluciones/procesos/mejora-continua/

52

las políticas de la organización. En esta etapa se determinan también

los parámetros de medición que se van a utilizar para controlar y seguir el

proceso.

Hacer: En esta fase consiste en la realización de nuevos cambios o

acciones requeridas para lograr las mejoras planteadas en la etapa

anterior. Con el objeto de ganar eficiencia y poder edificar fácilmente los

posibles errores presentes en la ejecución, normalmente se desarrolla

un plan piloto a modo de prueba o testeo.

Verificar: Una vez efectuada las 2 primeras fases se pone en marcha el

plan de mejoras, estableciéndolo en un periodo de prueba para medir y

valorar la efectividad de los cambios. Se trata de una fase de regulación y

ajuste.

Actuar: Realizadas las mediciones, en el caso de que los resultados no se

ajusten a las expectativas y objetivos predefinidos, se realizan

las correcciones y modificaciones necesarias. Por otro lado, se toman las

decisiones y acciones pertinentes para mejorar continuamente el desarrollo

de los procesos por parte de la organización.

53

Gráfico 11 Ciclo PHVA

Fuente: Trabajo de investigación

Autor: Erick Yánez – Milagros Parra

Herramientas aplicadas a la metodología de seguridad informática

OSSTMM

NESSUS: Es una de las aplicaciones que es utilizada especialmente para

la ejecución de escaneo de vulnerabilidades detallándolas por medio de

porcentajes, esta herramienta es compatible con sistemas operativos Linux

y Windows para la realización de auditorías de seguridad informática.

Nessus se actualiza constantemente, con más de 70.000 complementos

para el escaneo de fallos de seguridad en los sistemas implementados en

las organizaciones. Las características que posee la herramienta en

mención incluyen los respectivos controles de seguridad remotos, locales y

autenticados. Nessus es una arquitectura cliente-servidor que integra una

interfaz web y un lenguaje scripting para escribir los propios complementos

o concebir los existentes.

MALTEGO: Esta herramienta posee la capacidad de proporcionar datos de

carácter confidencial tales como direcciones de correo electrónico de índole

54

institucional, información de procesos organizacionales, Tecnologías

Informáticas, números telefónicos y demás por medio de este software

facilitara al auditor demostrar a la empresa cual es el tipo de información

relevante que puede ser accedida por los atacantes que se conectan a la web

o utilizan este programa para la recopilación de activos lógicos; también la

aplicación tiene la funcionalidad de encontrar distintos tipos de artículos como

son autos, motos, aviones, entre otros.

A continuación se detallara el funcionamiento de la herramienta Maltego:

Maltego envía peticiones a los servidores de semillas en formato XML a

través de conexiones HTTPS.

La petición del servidor de semilla se da a los servidores TAS que son

transmitidos a los proveedores de servicios de internet.

Los resultados obtenidos por medio de las peticiones se envían al cliente

Maltego.

FOCA: Es una herramienta para la recolección de archivos metadatos e

información oculta en documentos de ofimática como Word, Excel, PDF,

Power Point, Open Office y documentos PS/EPS, la finalidad de extraer

todos los datos de un dominio organizacional, comprimiendo los ficheros al

máximo, cruzar la información solicitada para obtener datos relevantes de

una empresa de carácter corporativo.

La aplicación de foca cumple la misma función que Google y Bing Hacking

para descubrir los archivos ofimáticos que tiene un dominio, los descarga

masivamente, les extrae los metadatos, organiza los datos y nos muestra

la siguiente información:

Nombres de usuarios del sistema.

Rutas de archivos.

Versión del Software utilizado.

Correos electrónicos encontrados.

Fechas de Creación, Modificación e Impresión de los documentos.

55

Sistema operativo desde donde crearon el documento.

Nombre de las impresoras utilizadas.

Permite descubrir subdominios y mapear la red de la organización.

Nombres e IPs descubiertos en Metadatos.

Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz

web o API].

Búsqueda de registros Well-Known en servidor DNS.

Búsqueda de nombres comunes en servidor DNS.

Búsqueda de IPs con resolución DNS.

Búsqueda de nombres de dominio con BingSearch IP.

Búsqueda de nombres con PTR Scanning del segmento de red con

DNS interno.

Transferencia de Zonas.

Detección automática de DNS Cache.

Vista de Roles.

Filtro de criticidad en el log.

NMAP: Esta herramienta es de acceso libre y de código abierto, utilizada

para la escaneo de puertos de redes y servicios de índole

corporativo. Algunos de los administradores de sistemas y redes en un

centro de cómputo de empresas encuentran útil la aplicación en si para la

ejecución de tareas tales como la auditoria de redes, administración de

programas de actualización de servicio y supervisión del tiempo de

actividad del servidor. Nmap es un software que manipula paquetes IP para

determinar qué hosts están disponibles en la red, servicios tales como

(nombre y versión de la aplicación, sistema operativo orientado a

servidores, estaciones de trabajo y demás) además el programa en

mención ejecuta, varios tipos de filtros - firewalls de paquetes para realizar

el escaneo de puertos al dominio de una empresa o un host

específico. Nmap es compatible en todas las versiones de sistemas

56

operativos de computadoras y los paquetes binarios oficiales están

disponibles en Linux, Windows y Mac OS X. Además Nmap se ejecuta por

medio de línea de comandos, el paquete Nmap incluye una GUI avanzada

y visualizador de resultados como ZENMAP donde es una herramienta de

transferencia, redirección y depuración de datos flexible.

THEHARVESTER: El objetivo de la aplicación es recolectar correos

electrónicos de carácter corporativo, subdominios, hosts, nombres de

usuarios de empresas, banners de diferentes fuentes públicas como

motores de búsqueda, servidores de claves PGP y bases de datos de

computadoras SHODAN.

La finalidad de esta herramienta es ayudar a los probadores de penetración

o auditores de seguridad informática, en las primeras etapas de la prueba

de penetración comprender la huella del cliente en Internet. Además el

software tiene la utilidad de saber lo que un atacante puede ver sobre su

organización especifica.

Los puntos importantes de la herramienta THEHARVESTER son los

siguientes:

Retrasos de tiempo entre la solicitud.

Búsqueda de todas las fuentes.

Verificador de host virtual.

Enumeración activa (enumeración de DNS, búsqueda inversa,

expansión de TLD).

Integración con la base de datos informática SHODAN, para obtener

los puertos y banners abiertos.

Guardar en XML y HTML.

Gráfico básico con estadísticas.

Nuevas fuentes.

57

FUNDAMENTACION SOCIAL

El impacto que generara a nivel social las instituciones de enseñanza del

ecuador es la forma de tener una seguridad informática gestionada y el

mantenimiento de la información confidencial en los usuarios estudiantiles

y en el personal de tecnología que pertenezcan a la institución académica.

Para evitar alguna intrusión maliciosa se debe planificar lo siguiente.

Auditorias de seguridad informática de forma periódica.

Dispositivos de seguridad de alta gama.

Cifrado de la información de carácter sensible.

Conexiones remotas por medio de túneles VPN.

Sistemas de detección de intrusos.

FUNDAMENTACION LEGAL

CODIGO ORGANICO INTEGRAL PENAL

SECCIÓN TERCERA

Delitos contra la seguridad de los activos de los sistemas de

información y comunicación

Artículo 229.- Revelación ilegal de base de datos.- La persona que, en

provecho propio o de un tercero, revele información registrada, contenida

en ficheros, archivos, bases de datos o medios semejantes, a través o

dirigidas a un sistema electrónico, informático, telemático o de

telecomunicaciones; materializando voluntaria e intencionalmente la

violación del secreto, la intimidad y la privacidad de las personas, será

sancionada con pena privativa de libertad de uno a tres años.

58

Si esta conducta se comete por una o un servidor público, empleadas o

empleados bancarios internos o de instituciones de la economía popular y

solidaria que realicen intermediación financiera o contratistas, será

sancionada con pena privativa de libertad de tres a cinco años.

Artículo 230.- Interceptación ilegal de datos.- Será sancionada con pena

privativa de libertad de tres a cinco años:

1. La persona que sin orden judicial previa, en provecho propio o de un

tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier

forma un dato informático en su origen, destino o en el interior de un

sistema informático, una señal o una transmisión de datos o señales

con la finalidad de obtener información registrada o disponible.

La persona que diseñe, desarrolle, venda, ejecute, programe o envíe

mensajes, certificados de seguridad o páginas electrónicas, enlaces

2. o ventanas emergentes o modifique el sistema de resolución de

nombres de dominio de un servicio financiero o pago electrónico u

otro sitio personal o de confianza, de tal manera que induzca a una

persona a ingresar a una dirección o sitio de internet diferente a la

que quiere acceder.

3. La persona que a través de cualquier medio copie, clone o

comercialice información contenida en las bandas magnéticas, chips

u otro dispositivo electrónico que esté soportada en las tarjetas de

crédito, débito, pago o similares.

4. La persona que produzca, fabrique, distribuya, posea o facilite

materiales, dispositivos electrónicos o sistemas informáticos

destinados a la comisión del delito descrito en el inciso anterior.

Artículo 232.- Ataque a la integridad de sistemas informáticos.- La

persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe,

59

cause mal funcionamiento, comportamiento no deseado o suprima datos

informáticos, mensajes de correo electrónico, de sistemas de tratamiento

de información, telemático o de telecomunicaciones a todo o partes de sus

componentes lógicos que lo rigen, será sancionada con pena privativa de

libertad de tres a cinco años. Con igual pena será sancionada la persona

que:

1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute,

venda o distribuya de cualquier manera, dispositivos o programas

informáticos maliciosos o programas destinados a causar los efectos

señalados en el primer inciso de este artículo.

2. Destruya o altere sin la autorización de su titular, la infraestructura

tecnológica necesaria para la transmisión, recepción o

procesamiento de información en general.

Si la infracción se comete sobre bienes informáticos destinados a la

prestación de un servicio público o vinculado con la seguridad ciudadana,

la pena será de cinco a siete años de privación de libertad.

Artículo 234.- Acceso no consentido a un sistema informático,

telemático o de telecomunicaciones.- La persona que sin autorización

acceda en todo o en parte a un sistema informático o sistema telemático o

de telecomunicaciones o se mantenga dentro del mismo en contra de la

voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente

el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico

de datos o voz u ofrecer servicios que estos sistemas proveen a terceros,

sin pagarlos a los proveedores de servicios legítimos, será sancionada con

la pena privativa de la libertad de tres a cinco años.

60

LEY ORGANICA DE PROTECCION DE DATOS

Artículo 9. Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del

tratamiento deberán adoptar las medidas de índole técnica y

organizativas necesarias que garanticen la seguridad de los datos

de carácter personal y eviten su alteración, pérdida, tratamiento o

acceso no autorizado, habida cuenta del estado de la tecnología, la

naturaleza de los datos almacenados y los riesgos a que están

expuestos, ya provengan de la acción humana o del medio físico o

natural.

2. No se registrarán datos de carácter personal en ficheros que no

reúnan las condiciones que se determinen por vía reglamentaria con

respecto a su integridad y seguridad y a las de los centros de

tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones

que deban reunir los ficheros y las personas que intervengan en el

tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Artículo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del

tratamiento de los datos de carácter personal están obligados al secreto

profesional respecto de los mismos y al deber de guardarlos, obligaciones

que subsistirán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo.

Artículo 11. Comunicación de datos.

1. Los datos de carácter personal objeto del tratamiento sólo podrán

ser comunicados a un tercero para el cumplimiento de fines

61

directamente relacionados con las funciones legítimas del cedente

y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

a. Cuando la cesión está autorizada en una ley.

b. Cuando se trate de datos recogidos de fuentes accesibles al

público.

Cuando el tratamiento responda a la libre y legítima aceptación de

una relación jurídica cuyo desarrollo, cumplimiento y control implique

necesariamente la conexión de dicho tratamiento con ficheros de

terceros. En este caso la comunicación sólo será legítima en cuanto

se limite a la finalidad que la justifique. d) Cuando la comunicación

que deba efectuarse tenga por destinatario al Defensor del Pueblo,

el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de

Cuentas, en el ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación

tenga como destinatario a instituciones.

a. autonómicas con funciones análogas al Defensor del Pueblo

o al Tribunal de Cuentas.

b. Cuando la cesión se produzca entre Administraciones

públicas y tenga por objeto el tratamiento posterior de los

datos con fines históricos, estadísticos o científicos.

c. Cuando la cesión de datos de carácter personal relativos a la

salud sea necesaria para solucionar una urgencia que

requiera acceder a un fichero o para realizar los estudios

epidemiológicos en los términos establecidos en la legislación

sobre sanidad estatal o autonómica.

d. Será nulo el consentimiento para la comunicación de los

datos de carácter personal a un tercero, cuando la

información que se facilite al interesado no le permita conocer

la finalidad a que destinarán los datos cuya comunicación se

62

autoriza o el tipo de actividad de aquel a quien se pretenden

comunicar.

3. El consentimiento para la comunicación de los datos de carácter

personal tiene también un carácter de revocable.

4. Aquel a quien se comuniquen los datos de carácter personal se

obliga, por el solo hecho de la comunicación, a la observancia de las

disposiciones de la presente Ley.

5. Si la comunicación se efectúa previo procedimiento de disociación,

no será aplicable lo establecido en los apartados anteriores.

HIPOTESIS

¿Con la implementación de la metodología de seguridad informática

OSSTMM en la Escuela Culinaria de la Américas se podrá minimizar

los riesgos presentes en la infraestructura tecnológica?

¿Al ejecutar un análisis de vulnerabilidades en la infraestructura

tecnológica de la Escuela Culinaria de la Américas, esta podrá

conocer los fallos de seguridad identificados?

¿La metodología de seguridad informática OSSTMM ayudará a definir

planes de acción para tener las vulnerabilidades bajo control?

Variables de Investigación

Variable Independiente: Análisis de vulnerabilidades

Variable dependiente: Infraestructura tecnológica de la empresa.

Variable dependiente2: Herramientas de test de intrusión

63

DEFINICIONES CONCEPTUALES

Listado de herramientas adicionales

NESSUS: Es una de las herramientas que utilizamos ya que demostramos

las vulnerabilidades, en la cual posee una alta y eficaz velocidad de

descubrimiento en busca de aplicaciones web como de red.

MALTEGO: Es una de las herramientas para encontrar información

relevante a los correos electrónicos como son de varios departamentos de

una misma organización por ende recopila toda información que

representa de una forma clara en donde se suele identificar relaciones

desconocidas

FOCA: Es una herramienta para la recolección de archivos metadatos, ya

que es utilizada para la respectiva verificación de tipo de información oculta,

esto quiere decir que es la herramienta principal para la extracción de

análisis de la misma recolección de ficheros publicados en el website.

64

CAPITULO III

METODOLOGÍA DE LA INVESTIGACIÓN

MODALIDAD DE LA INVESTIGACIÓN

Para el desarrollos del capítulo tres se realizara enfoques de análisis de los

elementos de una investigación de acorde a lo que se utiliza en el

desarrollo de la propuesta tecnológica del proyecto de titulación en

progreso, certificando los resultados generados durante la ejecución del

mismo, los cuales permitan demostrar la viabilidad del presente plan de

seguridad informática. Se elaborará procesos de recolección de datos tales

como cuestionario de encuestas, entrevistas, tabulación e definición de las

informaciones. Entre las modalidades utilizadas dentro del desarrollo de

proyecto tenemos:

INVESTIGACIÓN DE CAMPO

La investigación de campo consiste en recoger los datos necesarios

basados especialmente al contacto directo referente los antecedentes o

escenarios que son parte del estudio de investigación que se concentran

en un tema específico, sea estos vicisitudes y prodigios que nazcan de una

forma extraña al investigador o a su vez esta sea generada con un control

exacto de las variables que involucra esta modalidad de

investigación.(Bayardo, 2012)

Al recopilar la información enfocada en un tema específico se elige por

examinar o tratar con el personal perito en el estudio que posee el tipo de

registro requerido por el investigador para la comprobación de la afirmación

de un método que se encuentra puesto en práctica, luego de almacenar de

modo sistemático los resultados adquiridos por el investigador este analiza

una explicación de un fenómeno presente en un tiempo determinado, el

investigador se ubica en el lugar de los hechos para percibir y acopiar las

65

características, condiciones y periodicidad con la que se generó el

anómalo.

La autora María Guadalupe Moreno Bayardo, detalla algunos ejemplos de

aplicación para esta modalidad de investigación:

Una investigación se indaga en la relación existente entre el clima

organizacional y el grado de aprobación que otorga el personal

directo especialista en el área de tecnología que labora en

organizaciones de educación superior, y con esto alcanzar la mayor

recolección de información mediante entrevistas y cuestionarios al

personal de una institución académica.(Bayardo, 2012)

Una investigación se compone en base a los habitantes de una

localidad o ciudad que utilizan su tiempo libre para facilitar la mayor

cantidad de información al investigador mediante un cuestionario de

encuesta, para lo cual se seleccione una muestra representativa de

los individuos quienes participan y aportan con una descripción

detallada de la forma en que utilizan su tiempo.(Bayardo, 2012)

Una investigación en torno a las características y condiciones de las

bibliotecas funcionan en las escuelas secundarias de un estado,

recurriendo para ello a visitadores que recaben y constaten la

información en cada plantel.(Bayardo, 2012)

66

INVESTIGACIÓN BIBLIOGRÁFICA

El proceso de una investigación bibliográfica es aquel que integra una

cadena de técnicas e instrucciones con la finalidad de obtener los mayores

resultados positivos durante el transcurso de la investigación.(Moreno,

2011)

En este caso concretamente se hace un énfasis a la investigación

bibliográfica que es considerada en el estudio sistemático de informes,

evidencias y hallazgos que son denominadas fuentes de datos científicos

que son de gran ayuda para el investigador. Partiendo de la base se pasa

a estudiar los diferentes métodos que facilitan los medios para iniciarse en

la investigación.

Otro tipo de investigación es la exploración documental, consiste en

agrupar todo los datos requeridos, fundamentándose en textos, archivos y

registros en la que los datos son ingresados, tales como, libros, revistas

científicas, artículos, fuentes indexadas, etc. Sin embargo, durante la

realización de la investigación el investigador requiere consultar o validar

los datos en un tiempo determinado por medio de un algún componente

que permita comprobar la importancia de la información dentro de la

investigación documental.(Moreno, 2011)

MÉTODOS

En esta sesión se toma en consideración los métodos de investigación que

son aquellos que permiten alcanzar u obtener un fin propuesto en la

investigación en fase de desarrollo, entre los métodos utilizados dentro del

proyecto de titulación tenemos los siguientes:

Científico

Analítico

67

Método Científico.

Puntualiza al investigador para que la consideración de puntos importantes

que van ligados a la investigación científica donde esta menciona una serie

de pasos que se debe apremiar para la obtención de conocimientos

mediante la aplicación de metodologías referentes al área que se está

investigando y técnicas que ayuden al progreso de la misma culminando y

presentando los resultados adquiridos durante el transcurso del tiempo.

El método científico está conformado por valorizaciones altas como la

inducción y deducción, la arquitectura de instrumentos, la claridad

estadística y la observación de expresiones son perceptibles para el

investigador en la cual va a ser operadas por el para la ejecución del

proyecto referente a la metodología de seguridad informática OSSTMM que

es objeto del estudio planteado con anterioridad.(Páez, 2011)

El método científico es la funcionalidad determinada en la que se incluye la

apreciación de trayectorias alternativas sobre los estudios científicos. El

análisis del método es periódicamente referenciado por varios autores que

adaptan una metodología de la investigación para el desarrollo de los

proyectos que ayudan a brindar perspectivas sobre la solución de

problemas presentes en una ciudad o país. Los enfoques de este método

es el de ayudar a la productividad operativa y filtros utilizados en el estudio

científico. Dado a esto, la metodología hace referencia a la razón de la

ciencia.(Páez, 2011)

El método en mención permite ayudar a establecer estudios

fundamentados en sucesos existentes o antecedentes ocurridos en el

transcurso del tiempo, para el presente caso existe la problemática a

analizar y el enfoque al que se desea llegar.

http://www.monografias.com/trabajos6/elme/elme.shtml#induccion

http://www.monografias.com/trabajos28/induccion-deduccion/induccion-deduccion.shtml

http://www.monografias.com/trabajos11/metcien/metcien.shtml#OBSERV

68

Método Analítico.

El método analítico posee un mecanismo que percibe todo lo

correspondiente al análisis, enfocado en la distribución de un tono dividido

en porciones o en elementos constitutivos, este método sostiene en que

para conocer sobre los casos de investigación es indispensable detallar

cada una de sus partes en lo más mínimo.

Además este método es definido como la lógica matemática, empleando

las formulas analíticas que son convalidadas mediante el análisis racional

de la investigación. La analítica utiliza esencialmente el método deductivo,

que consiste en establecer proposiciones particulares a partir de

proposiciones generales, como en el silogismo de los profesores.(Mercado,

2012)

Dentro de este método se revisará cada parte que conforma el objeto de

estudio referente a la metodología OSSTMM, siguiendo la lógica y la

deducción, tal como se menciona en la cita.

POBLACIÓN Y MUESTRA

POBLACIÓN

La población es definida como el conjunto de universo de los elementos

integrados en el mismo y que van a ser observados en la realización de un

experimento o estudio de investigación. Cada uno de los elementos que

componen la población es llamado individuo o unidad estadística.

Para poder ser llevada a cabo se debe contemplar en la investigación

muchos ítems y características importantes al seleccionarse la población,

está enfocado en un análisis inicial, para el presente estudio se establece

como población el personal técnico y administrativo del Instituto Culinario

de las Américas.

69

La población está conformada por el personal administrativo del Instituto

culinario de las Américas, el personal de tecnología y los alumnos de 6TO,

7MO y 8VO semestre de la universidad de Guayaquil Carrera de Ingeniería

en Networking y Telecomunicaciones en la cual serán encuestado para la

recopilación de la información referente al proyecto de la metodología

OSSTMM.

Tabla 5 Población del estudio

INVOLUCRADOS POBLACION PORCENTAJE

Personal administrativo del Instituto Culinario de las

Américas. 3 100%

TOTAL 3 100%


Autores: Erick Yánez – Milagros Parra.

Tabla 6 Población del estudio

INVOLUCRADOS POBLACION PORCENTAJE

Personal técnico del Instituto Culinario de las Américas.

10 100%

TOTAL 10 100%

Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra.

Tabla 7 Población de la CINT

POBLACIÓN

CANTIDAD

Alumnos de 6to semestre

205

Alumnos de 7mo semestre

159

Alumnos de 8vo semestre

136

70

TOTAL

500


MUESTRA

La muestra es aquella que representa al subconjunto de la población total

de individuos seleccionados en un área determinada o definida. En este

punto se conoce de varios tipos de muestreo, al elegir una muestra

dependerá de la calidad y cual característico es requerido para el estudio

de la población.

Tabla 8 Muestra sobre el personal administrativo


INVOLUCRADOS POBLACION MUESTRA PORCENTAJE

Personal administrativo del Instituto Culinario de las Américas.

3 3 100%

TOTAL 3 3 100%

71

Tabla 9 Muestra sobre el personal técnico



La fórmula anterior de la muestra sería:

𝑛 =0.50𝑥0.50𝑥505

(505 − 1)𝑥0.052

22 + 0.50𝑥0.50

𝑛 =126.25

1.264 + 0.25

𝑛 =126.25

0.315 + 0.25

𝑛 =126.25

0.565

𝑛 = 223.45 ≅ 223

INVOLUCRADOS POBLACION MUESTRA PORCENTAJE

Personal técnico del Instituto Culinario de las

Américas. 10 10 100%

TOTAL 10 10 100%

72

Tabla 10 Muestra de la CINT

ALUMNOS POBLACIÓN TAMAÑO DE LA

MUESTRA (n)

Alumnos de 6to semestre

205 90

Alumnos de 7mo semestre

159 70

Alumnos de 8vo semestre

136 60

Total 500 220


TECNICAS E INSTRUMENTOS PARA LA RECOLECCION DE DATOS

Para la presente investigación en la recolección de datos se debe utilizar

una serie de técnicas e instrumentos de análisis estadísticos para

determinar la obtención de los datos que serán proporcionados por el

personal técnico y administrativo del Instituto Culinario de las Américas

entre las cuales mencionamos a continuación:

Encuesta

Hace referencia a un conjunto de preguntas específicas orientadas a un

tema que son dirigidas a una muestra representativa de una población, con

el objetivo de tener como resultado datos que permitan conocer la situación

del personal involucrado acerca de un tema puntual.

73

Entrevista

La persona que hace el papel de consultor debe generar las preguntas

dirigida a las personas involucradas y que proporcionen datos de interés

por medio de diálogo. Un beneficio de la entrevista radica en que son los

mismos actores sociales quienes proporcionan los datos relativos a sus

conductas, opiniones, deseos, actitudes y expectativas.

La entrevista estructurada es aquella que se realiza a partir de una guía

que elabora el entrevistador donde la misma contiene las preguntas que

serán formuladas a la persona indicada para la entrevista. En este caso, la

guía de entrevista sirve como instrumento para registrar las respuestas, que

son grabadas por un grabador de voz o una cámara de video.

Culminado el diseño de preguntas que se realizarán al Ing. Edward Pilligua,

jefe del área de sistemas del Instituto Culinario de las Américas se procedió

a la confirmación del horario en que se realizará la entrevista, de esta forma

se podrá conocer la sensibilidad de la información que se maneja la

Institución educativa.

Entrevista al Instituto Culinario de las Américas

Siendo las 10:00 am del día viernes 25 de agosto del 2017, en cita acordada

con el Ing. Edward Pilligua jefe del área de sistemas de la de la institución

educativa para la entrevista.

74

1. ¿Qué experiencia tiene usted en el área de seguridad

informática?

En la rama de seguridad informática poseo poca experiencia, no

obtengo los conocimientos suficientes para poder estar preparado

ante incidentes de seguridad.

2. ¿Usted como especialista del área de sistema del Instituto

Culinario de las Américas se encuentra preparado para un

incidente de seguridad en un tiempo determinado?

No me encuentro preparado al 100% ante incidentes de seguridad

presentes en un tiempo determinado.

3. Como administrador de las red ¿Posee usted algún plan de

contingencia que permita diagnosticar los tipos de

vulnerabilidades presentes en la infraestructura tecnológica de

la Escuela Culinaria de las Américas?

No posee planes de contingencia para el tratamiento de

vulnerabilidades detectadas en la infraestructura tecnológica del

Instituto Culinario de las Américas.

4. En su infraestructura de red de la Escuela Culinaria de las

Américas ¿Ha sufrido usted alguna intrusión maliciosa?

Si en los últimos meses hemos tenido inconvenientes con el

funcionamiento de los servidores montado en el DATA CENTER

donde el personal administrativo y docente se ha visto afectado por

estas intrusiones maliciosas que han ocasionado perdida de

información y despidos de personal.

75

5. ¿Conoce usted la metodología de seguridad informática

OSSTMM?

Si, la metodología de seguridad informática OSSTMM es una de los

estándares que proporciona mecanismos de protección para el

tratamiento de vulnerabilidades y está asociado con la norma ISO

27001 seguridad de la información para la ejecución de controles

que ayuden tener todos los riesgos controlados.

6. De acuerdo a la información de carácter confidencial que

maneja la Escuela Culinaria de las Américas ¿es justificable la

inversión en sistemas de seguridad informática?

Si es justificable porque uno de los activos más importante en toda

organización es la información.

Se realizó la entrevista al Ing. Edward Pilligua encargado del área de

sistemas del Instituto Culinario de las Américas para que indique la

situación en la que se encuentra la infraestructura tecnológica con respecto

a la seguridad que se maneja la entidad educativa en el corto periodo de

funcionamiento del DATA CENTER y los riesgos puede presentar al no

cubrir las necesidades que necesita la instalaciones en el departamento de

tecnología del mismo.

PROCESAMIENTO Y ANALISIS

Con los datos que se obtuvo mediante la entrevista realizada al Ing. Edward

Pilligua se dio paso a la realización de procedimiento y análisis de las

vulnerabilidades en la infraestructura tecnológica del Instituto Culinario de

las Américas. Los datos obtenidos mediante las encuestas, se realizó su

respectiva clasificación y tabulación de esta manera poder obtener datos

verídicos y ordenados.

76

Análisis de la entrevista al encargado del área de Sistema

Luego de la entrevista realizada al Ing. Edward Pilligua encargado del área

de sistemas del Instituto Culinario de las Américas se llegó a la conclusión

que unas de las problemáticas que se presentan es la seguridad y fiabilidad

de la información que se maneja en el DATA CENTER esto se debe a las

intrusiones maliciosas que realizan los piratas informáticos.

PROCESAMIENTO Y ANÁLISIS DE LAS ENCUESTAS

El proceso y análisis de las preguntas de encuesta surte a partir de la

finalización de la misma tomando en cuenta la muestra y se comienza a

interpretar cada ítems. Se utilizara la herramienta Microsoft Excel, la cual

permite desarrollar tablas estadísticas para la tabulación de los resultados

de las encuestas por medio de la utilización de complementos como crear

tablas y generar gráficos estadísticos, en este caso el diagrama de barra

fue el seleccionado para la representación de salida.

Esto permite manejar una excelente distribución de la información para un

adecuado análisis y compresión de los resultados llevando así, a lograr la

interpretación de cada respuesta de las preguntas e ir obtenido los

porcentajes generales para sustentar los argumentos y propuestas validos

puntualizados en el presente documento.

Todo el proceso requiere seguir una serie de pasos sencillos para

elaboración de cada opción mencionada en el texto:

1. Se plantearán un total de 15 preguntas donde 10 son para el

personal técnico del Instituto Culinario de las Américas y 5 para el

personal administrativo.

2. El objetivo por el cual se formuló las preguntas, consultar las

opiniones.

77

3. Elaborar un gráfico de pastel con su respectivo porcentaje de los

resultados obtenidos por cada pregunta.

4. Representar gráficamente los porcentajes resultantes de la

encuesta.

5. Análisis e interpretación de la información por cada pregunta.

6. Se presentan la validación de la idea a defender.

7. Finalmente se elabora el documento respectivo de toso el proceso

realizado.

ANÁLISIS E INTERPRETACIÓN DE RESULTADOS DE LAS

ENCUESTAS

A continuación, se visualizarán los resultados de la encuesta, entre esto es

el origen del análisis e interpretación de resultados en base a la aplicación

previa de los instrumentos y herramientas de recolección para la

información obtenida.

En el proceso cada pregunta fue enfocada a al personal técnico y

administrativo del Instituto Culinario de las Américas mediante la selección

de repuesta de opción múltiple, es obligatorio seleccionar al menos una

respuesta.

El cuestionario de preguntas está conformado por 10 ítems. La finalidad de

la operación se basó en la recopilación de datos para validar, respaldar y

mantener resultados claros, precisos y evidenciables. La distribución de

información que se reflejará está sustentada por su respectiva conclusión

y la resolución de los casos manejados en la investigación.

78

Análisis de las encuestas al personal técnico del Instituto Culinario

de las Américas ubicado en la ciudad de Guayaquil

Pregunta #1

¿Qué estándar de seguridad de la información maneja la Escuela

Culinaria de las Américas?

Tabla 11 Análisis de resultados de la pregunta No. 1

Respuestas Cantidad Porcentaje

ISO 27001 3 30%

COBIT 1 10%

OTROS 2 20%

NINGUNA DE LAS ANTERIORES

4 40%

TOTAL 10 100%


Elaboración: Erick Yánez – Milagros Parra

Gráfico 12 Porcentaje a las respuestas a la pregunta No. 1



Análisis: Mediante a la encuesta realizada se logró obtener que el 40% del

personal de tecnología de la institución en mención no manejan ningún

estándar de seguridad de la información.

30%

10%

20%

40%

ISO 27001 COBIT OTROS NINGUNA DE LAS ANTERIORES

79

Pregunta #2

La información confidencial que maneja la Escuela Culinaria de las

Américas ¿Para qué tipo de usuario es accesible?



Privilegiados 4 40%

Semi Privilegiados 1 10%

No Privilegiados 5 50%

TOTAL 10 100%





Análisis: Mediante a la encuesta realizada se logró verificar que el 50% de

los usuarios de carácter no privilegiado que laboran en la institución en

mención tienen acceso a la información confidencial de la organización.

40%

10%

50%

Privilegiados Semi Privilegiados No Privilegiados

80

Pregunta #3

Usted como profesional que labora en el departamento técnico

informático ¿Conoce usted si han sufrido algún incidente de

seguridad que haya ocasionado daños en la red?



SI 6 60%

NO 1 10%

NO RECUERDO 3 30%

TOTAL 10 100%






Análisis: Durante la encuesta realizada se obtuvo que el 60% de los

usuarios técnicos que laboran en la institución en mención detallan que si

han sufrido incidentes de seguridad en el DATA CENTER causando

pérdidas de información.

60%10%

30%

SI NO NO RECUERDO

81

Pregunta #4

¿Qué tipo de restricciones se encuentran implementadas en cierta

parte de la red?



Manejo de proxy 7 70%

Control de autenticación por

usuario a los sistemas informáticos

2 20%

Bloqueo de conexiones no

autorizadas por medio de puertos

1 10%

TOTAL 10 100%





Análisis: Durante la encuesta realizada se obtuvo que el 70% de las

políticas de seguridad se encuentran configuradas en un servidor de

seguridad de código abierto.

70%

20%

10%

Manejo de proxy

Control de autenticación por usuario a los sistemas informáticos

NO RECUERDO

82

Pregunta #5

¿Qué tipo de metodología de seguridad informática conoce

actualmente?



OSSTMM 5 50%

ITIL 2 20%

MAGERIT 2 20%


1 10%

TOTAL 10 100%






usuarios técnicos si conocen la metodología de seguridad informática

OSSTMM.

50%

20%

20%

10%

OSSTMM ITIL MAGERIT NINGUNA DE LAS ANTERIORES

83

Pregunta #6

Las restricciones que maneja usted en el departamento técnico

informático en cierta parte de la red ¿En qué dispositivo se encuentran

configuradas?



Servidor de Seguridad 8 80%

Dispositivos de Seguridad

1 10%

Ninguna de las anteriores

1 10%

TOTAL 10 100%






usuarios técnicos detallan que existen un servidor de seguridad para la

configuración de reglas de seguridad.

80%

10%10%

Servidor de Seguridad Dispositivos de Seguridad

Ninguna de las anteriores

84

Pregunta #7

¿Usted como profesional de tecnología considera usted que la

inversión en seguridad informática es de gran importancia para

proteger los activos de información que son de carácter confidencial?



SI 6 60%

NO 4 40%

TOTAL 10 100%





Análisis: En la encuesta realizada se obtuvo que el 60% de los usuarios

técnicos si consideran que la inversión en seguridad informática es factible

para la protección de la información.

60%

40%

SI

NO

85

Pregunta #8

¿Cree usted que la norma ISO 27001 es considerada como uno de los

estándares que proporciona controles para el tratamiento de riesgo y

vulnerabilidades?



SI CREO 5 50%

NO EXISTE OTRO ESTANDAR

4 40%

QUIZAS 1 10%

TOTAL 10 100%





Análisis: El 50% de los usuarios técnicos si creen que la norma ISO 27001

para la seguridad de la información es uno de los estándares que facilita la

mayor cantidad de controles para tener los riesgos aislados de la red

corporativa de la organización académica.

50%

40%

10%

SI CREO NO EXISTE OTRO ESTANDAR QUIZAS

86

Pregunta #9

¿Qué tipos de virus informático se deben mitigar para evitar los

accesos a la información de carácter confidencial?



SPAM 2 20%

BACKDOORS 1 10%

BOTNETS 2 20%

TROTANOS 5 50%

TOTAL 10 100%





Análisis: El 50% de los usuarios técnicos mencionan que los troyanos son

uno de los virus informáticos que dispersan los atacantes maliciosos para

tener el acceso ilícito a los sistemas informáticos de la organización de

educación superior.

20%

10%

20%

50%

SPAM BACKDOORS BOTNETS TROYANOS

87

Pregunta #10

¿De la escala del 1 al 5 como usted calificaría la información del

instituto culinario de la américas donde 1 es información no relevante

y 5 es información muy relevante?



1 NR 2 20%

2 PR 2 20%

3 SR 1 10%

4 R 2 20%

5 MR 3 30%

TOTAL 10 100%





Análisis: El 30% de los usuarios técnicos califican que la información que

se maneja en el Instituto Culinario de las Américas es de gran importancia.

20%

20%

10%20%

30%

1 NR 2 PR 3 SR 4 R 5 MR

88

VALIDACIÓN DE LA IDEA A DEFENDER

Con la encuesta realizada al personal de tecnología en el Instituto Culinario

de las Américas se obtuvo la siguiente información: el personal que labora

en la institución académica consideran que la inversión en sistemas de

seguridad informática es de gran importancia debido a los peligros que está

expuesta la información de carácter confidencial, además no cuenta con un

estándar de seguridad de la información para la definición de políticas de

acceso a la infraestructura tecnológica de la escuela culinaria, la

información que es transmitida en toda la red está expuesta a niveles de

amenazas y riesgos muy elevados ya que no cuenta con una metodología

que les permita conocer el estado de la red de forma periódica, por lo cual

puede ser vulnerada la confidencialidad al no contar con esta medida de

seguridad.

89

Análisis de las encuestas al personal administrativo del Instituto

Culinario de las Américas ubicado en la ciudad de Guayaquil

Pregunta #1

¿Conoce usted que tan segura es su red informática laboral?



Si, totalmente 1 33%

No, desconozco 0 0%

No estoy seguro 2 67%

TOTAL 3 100%


Gráfico 22 Porcentaje de respuesta de la pregunta No. 1



Análisis: El 67% de los usuarios que laboran en el Instituto Culinario de las

Américas no se encuentran seguros sobre la seguridad de la red.

33%

0%67%

SI TOTALMENTE

NO DESCONOZCO

NO ESTOY SEGURO

90

Pregunta #2

¿Qué tan seguro considera usted su red informática en el instituto

que se encuentra laborando?



Muy segura 0 0%

Poco segura 0 0%

Totalmente insegura 3 67%

TOTAL 3 100%





Análisis: El 100% de los usuarios encuestados que laboran en el Instituto

Culinario de las Américas consideran que su red informática es totalmente

insegura.

0%0%

100%

MUY SEGURA

POCO SEGURA

TOTALMENTE INSEGURA

91

Pregunta #3

¿Ha compartido usted datos de la red con personas ajenas a la

institución educativa?



SI, solo una vez 1 33%

SI, varias veces 2 67%

NO 0 0%

TALVEZ, no recuerdo 0 0%

TOTAL 3 100%

Fuente: Trabajo de Investigación Elaboración: Erick Yánez – Milagros Parra





Culinario de las Américas han compartido información con terceros varias

veces sin darse cuenta de los riesgos que pueden acarrearse.

33%

67%

0%0%

SI SOLO UNA VEZ

SI VARIAS VECES

NO

TALVEZ NO RECUERDO

92

Pregunta #4

Dentro de la red informática del instituto, ¿Ha sido usted víctima de

ataques informáticos?



SI 3 0%

NO 0 0%

NO, recuerdo 0 67%

TOTAL 3 100%






Culinario de las Américas han sido víctimas de ataques informáticos

ejecutados por los piratas cibernéticos.

100%

0%0%

SI

NO

NO RECUERDO

93

Pregunta #5

¿Considera usted que la información es un valor de gran importancia

para el instituto y que solamente personal honesto y autorizado puede

tener acceso a ella?



SI, considero 2 67%

NO, considero 0 0%

TALVEZ, considero 1 33%

TOTAL 3 100%







Culinario de las Américas considera que el acceso a la información de

carácter confidencial solo debe ser para el personal honesto y autorizado a

ella.

67%0%

33%

SI CONSIDERO

NO CONSIDERO

TALVEZ CONSIDERO

94


Con la encuesta realizada al personal de administrativo en el Instituto

Culinario de las Américas se obtuvo los siguientes resultados: dicho

personal que labora en la institución académica poseen la mayor confianza

en usuarios desconocidos donde los mismos comparten información

sensible a terceros sin tomar en consideración de los riesgos que se

pueden acarrear por el compartimiento de datos de la organización de

educación superior, además este personal que trabaja en la institución no

cuenta con las medidas de seguridad para que ellos no puedan ser víctimas

de ataques cibernéticos realizados por los atacantes maliciosos cuyo

beneficios es apoderarse de los activos lógicos de la Escuela Culinaria de

las Américas en beneficio propio. Además los usuarios consideran que el

instituto implemente técnicas de protección para evitar los fraudes internos,

externos, por colusión este último es tener conexiones con personas ajenas

a la organización donde estos atacantes no puedan causar perjuicios a la

información de carácter confidencial.

95

Análisis de la encuesta de los alumnos de la CINT

Pregunta #1

¿Usted cree importante que las instituciones educativas inviertan en

seguridad informática?

Tabla 26 Análisis de resultados de la pregunta No. 1 OPCIONES CANTIDAD PORCENTAJE

MUY IMPORTANTE 169 76.9%

IMPORTANTE 51 23.1%

POCO IMPORTANTE 0

NADA IMPORTANTE 0

TOTAL 220 100%


Gráfico 27 Análisis de resultados de la pregunta No. 1



Análisis: El 76.9% de los estudiante del instituto en mención detallan que

para la institución es de gran importancia invertir en seguridad informática

para la protección de los activos.

96

Pregunta #2

¿Usted cree que la información debe ser de carácter confidencial?


OPCIONES CANTIDAD PORCENTAJE

SI 169 76.9%

NO 0

QUIZAS 51 23.1%

TOTAL 220 100%





Análisis: El 76.9% de los estudiante del instituto en mención que la

información debe ser de carácter confidencial para que solamente personas

autorizadas puedan acceder a ella.

97

Pregunta #3

¿Qué propósito principal tiene la seguridad informática?



PROTEGER LOS ACTIVOS DE LAS

ORGANIZACIONES

102 46.2%

PROTEGER INFORMACION DE

INDOLE PERSONAL

102 46.2%


16 7.7%

TOTAL 220 100%






el propósito principal de la seguridad informática es proteger los activos de

la organización.

98

Pregunta #4

¿Qué objetivo cree usted que poseen las organizaciones en proteger

su información de carácter confidencial?


PARA EVITAR PERDIDAS

ECONOMICAS

0

PARA TENER EL CONTROL

DE SUS ACTIVOS

EVITANDO EL ACCESO A

TERCEROS

118 53.8%

TODAS LAS ANTERIORES 102 46.2%

NINGUNA DE LAS

ANTERIORES

0

TOTAL 220 100%






el objetivo principal de las organizaciones es tomar el control de los activos

para evitar que terceros tengan accesos a ellos.

99

Pregunta #5

¿Considera usted que las organizaciones deben adquirir software de

código abierto en sus infraestructura de red?



SI CONSIDERO 85 38.5%

NO CONSIDERO 85 38.5%

TALVEZ 50 23.1%

TOTAL 220 100%





Análisis: El 38.5% de los estudiantes del instituto en mención detallan que

las organizaciones deben adquirir un software de código abierto en su

infraestructura de red.

100

Pregunta #6

¿La información sensible almacenada en las empresas es

considerada como información?


INFORMACION QUE AL SER MAL UTILIZADA PUEDE CAUSAR

PERDIDAS FINANCIERAS EN LAS ORGANIZACIONES 84 38.5%

INFORMACION QUE AL NO HACER PROTEGIDA CAUSARIA

PARALIZACION DE LOS SERVICIOS QUE BRINDA LA

ORGANIZACIONES

34 15.4%

TODAS LAS ANTERIORES 102 46.2%

NINGUNA DE LAS ANTERIORES 0

TOTAL 220 100%






al darle mal uso a la información y al no protegerla los atacantes pueden

ocasionar pérdidas financieras y la paralización de los servicios que pueden

afectar a la productividad de la organización.

101

Pregunta #7

¿Cree usted que los usuarios deben de tener privilegios en el

sistema informático de acuerdo a las funciones que desempeñan en

la organización?


SI PARA EVITAR ACCESOS NO AUTORIZADOS DE

MANERA INTERNA

220 100%

NO POR LA FALTA DE PRESUPUESTO DE CONTRATAR

PERSONAL EN CIERTAS ORGANIZACIONES HACE QUE

LOS USUARIOS CUMPLAN VARIAS FUNCIONES

0

TOTAL 220 100%





Análisis: El 100% de los estudiantes del instituto en mención detallan que

los usuarios deben tener privilegios en los sistemas informáticos de

acuerdo a las funciones que ejercen.

102

Pregunta #8

¿Conoce usted algunas de las metodologías de seguridad

informática que se indican a continuación?



OSSTMM 0

OWASP 0

ITIL 102 46.2%

NO CONOSCO

NINGUNA DE ELLAS

118 53.8%

TOTAL 220 100%






no conocen ninguna metodología de seguridad informática.

103

Pregunta #9

¿Qué aplicaciones usted utilizaría para realizar pruebas de auditoria

de seguridad informática?


APLICACIONES DE RECONOCIMIENTO Y

ESCANEO

169 76.9%

APLICACIONES DE RECONOCIMIENTO 0

APLICACIONES DE ESCANEO 0

NINGUNA DE ELLAS 51 23.1%

TOTAL 220 100%






los auditores de seguridad informática utilizarían aplicaciones de

reconocimiento y escaneo para la recopilación de información.

104

Pregunta #10

¿Han sufrido accesos ilícitos cuando a su información por medio de

correo electrónico?



SI 118 53.8%

NO 102 46.2%

TOTAL 220 100%






las organizaciones corporativas han sufrido una penetración malicioso en

su infraestructura de red.

105


Con la encuesta realizada al personal a los alumnos de la carrera de

Ingeniería en Networking y Telecomunicaciones se obtuvo la siguiente

información: los estudiantes encuestados consideran que la inversión en

sistemas de seguridad informática es de gran importancia debido a las

amenazas internas y externas presentes en la red de la institución

académica en la cual la información de carácter confidencial está expuesta

ante personas malintencionadas con la finalidad de acceder a los datos

afectando el rendimiento de los sistemas informáticos conectados a la red

degradando la disponibilidad de los activos lógicos, además ellos han

sufrido accesos ilícitos por medio de sus correos electrónicos

institucionales en donde los piratas informáticos utilizan técnicas de engaño

para que las victimas faciliten datos referentes a la organización de

educación superior.

106

CAPÍTULO IV

PROPUESTA TECNOLÓGICA

Análisis de Factibilidad

Por medio del presente análisis de vulnerabilidades en la infraestructura

tecnológica del instituto educativo en mención se planifica una auditoria de

seguridad informática para el descubrimiento de fallos de seguridad en la

red corporativa de la organización académica utilizando la Metodología

Internacional OSSTMM, que proporcionara la mayor seguridad al

departamento de tecnología de la institución de educación superior y

proveerá un mejor servicio para estudiantes, docentes y personal

administrativo de la Escuela Culinaria.

En la actualidad existe un poco interés en la toma de decisiones por parte

de la Institución sobre la inversión de herramientas de seguridad

informática que ayuden a reevaluar periódicamente los procedimientos de

seguridad con el fin de evitar daños y perdida de información, debido a los

costos excesivos de los servicios y por su baja demanda por parte de los

auditores que poseen poco conocimiento sobre aplicaciones de código

abierto.

Los principales problemas que se presentan en la seguridad son debido a

la falta de conciencia de los usuarios acerca de las funciones del sistema

informático, la falta de medidas de seguridad disponibles, la utilización de

Sistemas Públicos vulnerables por el bajo costo que representan y

adicionalmente a esto se suma la poca inversión en equipos de

seguridades de redes tales como: Cortafuegos, UTM, IDS/IPS de alta gama

que posean la funcionalidad de ejercer los bloqueos y monitoreo de

intrusiones maliciosas.

107

Factibilidad Operacional

En la etapa del estándar OSSTMM se identificaron todas las actividades

requeridas para lograr los objetivos establecidos en el capítulo 1, evaluando

y determinando todo lo prescindible para llevar a cabo el proyecto de

investigación enfocado en la metodología OSSTMM de manera que se

pudiera fijar en qué grado del análisis de vulnerabilidades propuesto es el

conveniente para ejecutarlo en la infraestructura tecnológica. Hoy en día se

cuenta con el personal interno adecuado para implementar el presente

proyecto ya que poseen conocimientos sólidos en seguridad informática y

adicionalmente se desempeñan en tareas como monitoreo de la red y

revisión constante de recursos, bitácora de las configuraciones de los

dispositivos de red, servidores y demás, controles de cambios realizados

en la infraestructura, actualizaciones de parches en los sistemas operativos

y mantenimientos realizados en las estaciones de trabajo, lo que nos

conduce a obtener el éxito en la propuesta tecnológica planteada.

Además existen las aplicaciones que cumplen con la funcionalidad de

actualizar periódicamente las bases de vulnerabilidades de las

herramientas utilizadas lo que despierta gran interés en la Gerencia del

departamento técnico ya que se mantendrán constantemente comunicados

sobre los incidentes de seguridad que pueden ocurrir en un momento

determinado y alertando sobre los riesgos presentes que atenten a la

seguridad lógica de la infraestructura. Desde el punto de vista operacional

se detalla que la propuesta es completamente viable, por la razón el

personal a cargo del departamento de tecnología de la institución

académica, ha proporcionado todas las facilidades para realizar el presente

análisis de vulnerabilidades y han participado con el progreso de las

actividades referente a la tecnología.

108

Factibilidad Técnica

Actualmente la institución educativa cuenta en su infraestructura

tecnológica con los siguientes servicios de red:

Un servidor Apache con la versión 2.2

Un web site desarrollado en Joonla versión 4

Un servidor FTP basado en Centos

Un servidor SSH

Un servidor de correo mail Server

Un servidor de bases de datos MYSQL

Estos servidores que se encuentran instalados en el centro de datos del

instituto en mención carecen de seguridad por la cual los atacantes pueden

tener acceso ilícitamente a la información de carácter confidencial.

Las aplicaciones instaladas en el sistema operativo Kali Linux que se

utilizarán para el análisis de vulnerabilidades en la infraestructura

tecnológica de la organización de educación superior son de código abierto

por la cual no se requiere que la institución invierta en software licenciado

para ejecutar la respectiva auditoria de seguridad informática.

ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS

AMERICAS

Luego del análisis que realizamos siguiendo las secciones de la

metodología OSSTMM aplicables al proyecto, se resolvió el nombre del

dominio obteniendo la IP del servidor y la puerta de enlace relacionadas a

la url del sitio web de la institución, con esto pudimos ejecutar la siguiente

herramienta que nos daría los dominios asociados al sitio web y la

verificación de la aplicación sobre la cual se encuentra desarrollada el sitio

web de la institución educativa, también se identificó un gran listado de

109

correos electrónicos relacionados al instituto y la dirección física del

servidor que maneja la IP pública del dominio y que servicios se encuentran

levantados ahí; toda esta información encontrada podría ser usada para

ejecutar un ataque por medio de ingeniería social o realizar una

suplantación de identidad para obtener información confidencial.

Continuando con la siguiente fase de nuestra metodología aplicada, que es

la revisión de la privacidad, verificamos toda la información del dominio,

observamos que se maneja el servidor http Apache versión 1.12.0, se pudo

realizar una recolección de documentos en su mayoría PDFs residentes en

algún directorio dentro del hosting que hospeda la página web de la

institución, es decir que hay información importante expuesta públicamente

hacia personas desconocidas. En esta fase también pudimos obtener una

lista más grande de correos electrónicos y direcciones IPs relacionadas.

Con toda esta información obtenida finalizamos la sección de seguridad de

la información, dimos paso a la seguridad de procesos realizando un testeo

de sugerencias guiada con lo que se concluyó que el sitio web es

completamente informativo y no posee dentro de sus servicios alguna

sección para realizar transacciones a nivel web, por lo que un atacante no

podría obtener por ese medio credenciales de tarjetas o cuentas bancarias.

Posteriormente se realizó el análisis para definir la seguridad en las

tecnologías de internet, ayudándonos con herramientas como Nessus y

Nmap, las cuales nos mostraron los puertos usados, los cuales se

encontraban abiertos, las versiones de los servicios que se ejecutan en

cada puerto escaneado y el estado del servicio FTP como vulnerable,

adicional al analizar el host nos mostró más de 140 vulnerabilidades entre

ellos 2 de gravedad media referentes al servidor DNS lo cual puede ser

utilizada por un usuario malintencionado en primera opción para lanzar

ataques adicionales o recoger los registros de tráfico que contienen

información sensible, entre ello, el capturar las credenciales de acceso e

información de cuenta. Un atacante también podría, como segunda opción,

capturar todo el correo electrónico, lo cual le daría todo el poder de enviar

110

correos en su nombre, con el dominio de la organización víctima y

persiguiendo su propia reputación. O más grave aún, los atacantes también

podrían escoger por una tercera opción, que es hacer ambas cosas. Con

el análisis de la herramienta Sparta pudimos constatar que el sitio web no

tiene en su línea de código defino un anti-clicking header para evitar copia

rápida de información en la página, tampoco cuenta con un encabezado de

protección X-XSS lo que los hace vulnerables a ataques XSS, lo que le

permite a un atacante inyectar código JavaScript en sitios web visitados por

el usuario, y así evitar medidas de control como la política del mismo origen,

esto puede ser utilizado para robar información delicada, apropiarse de

sesiones de usuarios, y comprometer el navegador, subyugando la

integridad del sistema. El análisis también nos indica que el sitio web no

tiene un encabezado HTTP Strict Transport Security, los que da una

ventana de oportunidad para que el atacante o usuario malicioso descifre

su cifrado SSL y robe datos valiosos o, peor aún, presente una página de

portal de inicio de sesión falsa.

A continuación se presenta la siguiente tabla detallando las herramientas

que se utilizaran en el análisis de vulnerabilidades.

Tabla 36 Listado de Herramientas de código abierto

ANÁLISIS DE VULNERABILIDADES SOFTWARE A UTILIZAR

Sección A –Seguridad de la Información

Revisión de la inteligencia competitiva. MALTEGO

Revisión de la privacidad FOCA

Recolección de documentos. FOCA


Testeo de solicitud. NMAP, SPARTA Y GOLISMERO

Testeo de sugerencia dirigida. NESSUS

Testeo de las personas confiables. MALTEGO

Sección C – Seguridad en las tecnologías del internet

111

Logística y controles NMAP, FOCA , WHOIS, NSLOOKUP, NESSUS

Exploración de la red NMAP, NESSUS

Identificación de los servicios del sistema. NMAP, NESSUS

Búsqueda de información competitiva. NMAP, MALTEGO

Revisión de la privacidad. MALTEGO

Obtención de documentos. FOCA

Búsqueda y verificación de vulnerabilidades.

NMAP, NESSUS, MALTEGO

Testeo de aplicaciones de internet. NMAP

Enrutamiento. NMAP, SPARTA

Testeo de sistemas confiados. NMAP

Testeo de control de acceso. NMAP

Testeo de sistema de detección de intrusos. NMAP

Testeo de medidas de contingencia. NMAP

Descifrado de contraseñas. HYDRA, MEDUSA

Testeo de denegación de servicios. NMAP

Evaluación de políticas de seguridad. NESSUS


112

Factibilidad Económica

La propuesta de análisis de vulnerabilidades en la institución de educación

superior de la ciudad de Guayaquil, utilizando la metodología de seguridad

informática internacional OSSTMM, se demuestra la viabilidad económica

debido a que el instituto en mención dispone de la infraestructura para la

ejecución del análisis desde cualquier conexión a la red de internet. Es

factible por las soluciones de seguridad que se obtendrían en el momento

de la auditoria de seguridad informática, además las herramientas que son

consideradas en el proyecto de investigación OSSTMM son de código

abierto lo que la organización no inflaría costos referentes al proyecto.

Tabla 37 Presupuesto

CANTIDAD DESCRIPSION DEL RECURSO COSTO

UNITARIO PARCIAL

1 LAPTOP HP CON PROCESADOR CORE I5 $ 850 $ 850

1 LAPTOP DELL CON PROCESADOR CORE I7 $ 1.000 $ 1.000

2 SISTEMA OPERATIVO KALI LINUX 2.0 Y ROLLING 0 0

1 SISTEMA OPERATIVO WINPOWER 0 0

TOTAL $ 1.850


113

Análisis del costo y beneficio del proyecto de investigación de

OSSTMM

En la siguiente tabla se compara la infraestructura tecnológica actual contra

la propuesta determinando así el análisis costo beneficio del proyecto.

Tabla 38 Análisis Costo beneficios del proyecto

ESTADO ACTUAL VALOR E IMPLEMENTACIÓN BENEFICIOS

Falta de conocimiento

de los usuarios

acerca de las

funciones del sistema

informático del

instituto.

La capacitación del personal

de sistema del Instituto

adquiere conocimiento por el

valor monetario de un

especialista.

Capacitar y

ampliar el

conocimiento

del personal

para que ellos

estén

preparados

ante incidentes

de seguridad.

Falta de conocimiento

sobre las nuevas

tecnologías de

seguridad informática

que existen

actualmente en el

mercado.

El tiempo que invierten los

auditores de seguridad

informática en la ejecución del

análisis de vulnerabilidades

logran que las organizaciones

ahorren tiempo y dinero por la

pérdida de información de

carácter confidencial y la

paralización de servicios que

proporciona a los clientes de

índole corporativo-residencial.

Contar con el

conocimiento

necesario para

planificar

planes de

contingencia

que ayude a

disminuir los

riesgos y

vulnerabilidade

s de los

sistemas de

información.

114

Falta de actualización

en las aplicaciones

montadas en los

servidores y parches

en los sistemas

operativos clientes.

El departamento de sistema

cuenta con aplicaciones

licenciadas y con parches

actualizados eso logra reducir

los costos de implementación

de parches.

En el estudio

de análisis de

vulnerabilidade

s es importante

identificar los

parches del

sistema para

cubrir los fallos

de seguridad.

Los servicios de

apache no se

encuentran en su

versión más reciente.

La actualización de los

servicios apache no tiene costo

de implementación debido a

que las distribuciones de Linux

son de código abierto.

Con el

respectivo

análisis de

vulnerabilidade

s se determina

los niveles de

riesgo de los

sistemas y la

continuidad de

negocio de las

organizaciones

para la toma de

decisiones

sobre la mejora

de la seguridad

de las mismas.


115

Factibilidad Legal

El análisis de vulnerabilidades en la infraestructura tecnológica del instituto

en mención no vulnera ni infringe las leyes vigentes de la república del

Ecuador ya que el propósito de este análisis es informar y dar

recomendaciones al instituto de educación superior para que no sea víctima

de un ataque cibernético realizado por atacantes maliciosos cuya finalidad

es atentar a la información de carácter sensible, por la cual el proyecto de

seguridad informática utilizando la metodología OSSTMM es factible

legalmente.

ETAPAS DE METODOLOGÍA DEL PROYECTO

La metodología de seguridad informática a emplear fluye desde en la parte

inicial del proyecto hasta con la respectiva culminación del mismo. Esta

metodología es aquella que permite la separación entre la recolección y el

escaneo de datos hacia los tests de verificación sobre la información

recolectada.

116

Gráfico 37 Metodología OSSTMM



Pruebas de Auditoria de Seguridad de Informática

El análisis de vulnerabilidades se enfoca en tres secciones de la

metodología OSSTMM que se detallan a continuación:

Gráfico 38 Secciones de la Metodología OSSTMM



117

Abordando con la fase de reconocimiento dentro de la ejecución del análisis

de vulnerabilidades se menciona que todo el conjunto de herramientas que

serán utilizadas en el presente análisis pertenecen al sistema operativo Kali

Linux, la versión utilizada en este proyecto es la 2.6 y el Rolling desarrollado

por la comunidad de Dragón Jar.

Sección A, Seguridad de la información

En esta fase de la seguridad de la información se especifica la red

corporativa instalada en el centro de cómputo de la institución de educación

superior y la información confidencial e integra de los usuarios que laboran

para la misma.

1. Revisión de la inteligencia competitiva: En esta etapa se detalla

la ejecución del análisis enfocado en determinar toda la información

referente a las instalaciones de los aplicativos informáticos, y se

analiza los dispositivos, el software y los servicios ejecutados dentro

de la red corporativa, además se observa la información de carácter

confidencial de la institución que pueden ser utilizada como

ingeniería social y ser una forma de vulnerar las seguridades de la

red por medio de los usuarios, para obtener las direcciones IP de

gran importancia. Para recopilar la información se recomienda el uso

del Google hacking por sus operadores avanzados de filtro, que

permite recopilar información sensible tales como: claves de acceso

a sistemas informáticos de mayor productividad, direcciones de

correos electrónicos, etc.

118

Herramienta Nslookup

Una vez que ya conocemos la dirección web de la institución académica

esta es analizada para verificar su direccionamiento público y rango de red

con su respectiva clase, para poder obtener esta información utilizaremos

la herramienta Nslookup que se halla disponible en sistemas operativos

Windows y Linux.

Gráfico 39 Resolviendo el nombre del dominio



Gráfico 40 Verificando la puerta de enlace y la IP del servidor



Tal como se comprueba que el dominio al que pertenece la institución

académica arroja una dirección IPv4 clase B, en donde el primer octeto es

162 (mayor que 128) se demuestra que la dirección IP hallada es de clase

B, por lo tanto la cantidad de hosts que pertenecen a esa red es amplio por

tal motivo se requiere de una cierta cantidad de tiempo, para identificar el

rango de subred y los datos del servidor web. Además existen algunas

119

opciones útiles con el comando Nslookup para la obtención de información

de manera profunda sobre los servidores de la organización educativa.

Añadiendo set type=NS se revela los nombres magistrales que pertenecen

a ese dominio así como también sus servidores DNS.

Herramienta Maltego

Para realizar el análisis de reconocimiento pasivo con la herramienta

Maltego debemos tener una cuenta de usuario registrada en la página de

119aterva.com para tener acceso a los recursos de la aplicación donde por

medio del usuario podemos identificar información acerca de los servidores

de Paterva utilizando el método de transformadas.

Gráfico 41 Dominios asociados a la dirección web del instituto



120

Gráfico 42 Verificación de la aplicación donde se encuentra desarrollado el sitio web del instituto académico



Gráfico 43 Identificación de correos electrónicos y ubicación de la dirección IP Publica del dominio



121

Gráfico 44 Identificación de correos electrónicos



122

Gráfico 45 Identificación de servicios en la nube


Por medio de la herramienta Maltego instalada en el sistema operativo Kali

Linux se logró obtener dominios asociados al sitio del instituto, correos

electrónicos, ubicación de la dirección IP publica e identificación de la

misma integrada con el dominio.

2. Revisión de la privacidad: En este punto se hace referencia a la

revisión de la privacidad de los usuarios, en la cual se enfoca en

aplicar los componentes éticos y legales relativos al

almacenamiento, transmisión y control de datos de disponibles y

clientes de las organizaciones.

Herramienta Foca Online

Continuando con el análisis de los servidores públicos instalados en el

centro de datos de la institución académica es el turno de la herramienta

123

foca PRO, esta aplicación permitirá conocer información importante de la

organización de educación superior, tales como metadatos, ficheros que se

encuentran el hosting que aloja el sitio web, estos pueden ser archivos de

Microsoft Office, Open Office y PDF.

Gráfico 46 Verificación de la información del domino



Gráfico 47 Versión del Apache



124

Gráfico 48 Recolección de documentos



Gráfico 49 Documentos en formato PDF



Por medio de la herramienta foca pro se pudo obtener los siguientes

documentos que son de gran importancia para la institución de educación

superior y la información sobre los servicios apaches que tiene la misma.

Foca PRO es una aplicación que permite encontrar metadatos e

información oculta dentro de los sitios web de un determinado dominio, con

este programa podemos determinar el nivel de seguridad que tiene la

página de la institución académica analizada, como podemos observar los

125

gráficos 48 y 49 donde se encontró varios documentos que se encuentran

en algún directorio dentro del hosting que hospeda un dominio, es decir que

existe información que se encuentra expuesta públicamente hacia

personas desconocidas.

THEHARVESTER

La herramienta THEHARVESTER es aquella que permite realizar una fase

de reconocimiento sobre un dominio público escaneando direcciones de

correo electrónico, direcciones IPs del dominio y demás. A continuación

presentaremos los resultados de la aplicación.

Gráfico 50 Escaneo de Correos Electrónicos



126

Gráfico 51 Escaneo de Direcciones IPs Públicas



Con la herramienta THEHARVESTER se logró obtener la cantidad de

correos electrónicos y direcciones IPs del dominio.

Sección B, Seguridad de procesos

En este punto se ejecutara una serie de testeos (solicitud, sugerencia

guiada y demás) para obtener el acceso a los privilegios de cada usuario

que labora en el centro de cómputo y a sus activos principales de la

institución académica.

1. Testeo de sugerencia guiada: El siguiente paso de un atacante

malicioso se suplanta la identidad de un usuario específico con la

finalidad de obtener información confidencial referente a la

compañía que el mismo labora, otro de los métodos de los piratas

informáticos es invitar a usuarios con poco conocimiento de

informática visitar una página web falsa con el fin de robar las

credenciales de cuentas bancarias de las personas que acceden a

127

estos sitios falsos, o cuenta de correo electrónico. En este test de

intrusión no es aplicable para el presente proyecto referente al

metodología internacional OSSTMM por la cual no se dispone de

algún sitio web alternativo al de la institución académica para poder

realizar el redireccionamiento de servicios web con el fin de lograr

obtener información de los usuarios, adicionalmente se verifica que

el sitio web original es netamente informativo no posee dentro de sus

opciones la realización de transacciones en línea.

Referencias de Testeo

A continuación se detalla una lista con las extensiones más comunes que

se utilizan los atacantes maliciosos para hacer llegar código malicioso por

medio de correo electrónico y navegadores a los usuarios víctimas.

Tabla 39 Extensiones de códigos maliciosos



Sección C, Seguridad en las tecnologías de internet

En esta sección se realizarán análisis de vulnerabilidades, exploración de

la red, escaneos de puertos, identificación de servicios y sistemas,

detección de vulnerabilidades y verificación, testeo de aplicaciones de

internet, enrutamiento, cifrado de contraseñas, testeo de denegación de

EXT DESCRIPCION

.ade Extensión de Microsoft Access Project

.adp Microsoft Access Project

.bat Archivo Batch

.chm Archivo de ayuda de HTML compilado

.cmd Comandos de Microsoft Windows NT

.com Programa de Microsoft MS-DOS

.cpl Extensión de Control Panel

.crt Certificado de Seguridad

.eml Correo de Oulook Express

.exe Programa ejecutable

.hlp Archivo de ayuda

.hta Programa HTML

.inf Información de Configuración

.ins Servicios de Nombres de Internet

.jpg Imagen JPEG

.isp Configuración de comunicaciones de Internet

.js Archivo Jscript

.jse Archivo Jscript codificado

128

servicio, y la revisión de políticas de seguridad. Para ello usaremos

herramientas genéricas de gestión de red tales como Nessus y Nmap.

Herramienta Nmap

Perpetuando con la fase de reconocimiento de cada uno de los servicios

montados en la institución académica dentro de su centro de datos y que

se encuentran expuestos en la red, aplicaremos la herramienta para

realizar un escaneo de puertos a nivel de direccionamiento público o

dominio. En primera petición se procederá a ejecutar un escaneo de

puertos y servicios del servidor web alojado en un hosting.

Gráfico 52 Escaneo de Puertos al dominio



129

Gráfico 53 Identificación de los puertos abiertos



Gráfico 54 Verificación de las versiones de los servicios



130

Gráfico 55 Verificación de las versiones de los servicios levantados en el dominio


Autores: Erick Yánez – Milagros Parra Gráfico 56 Identificación de los sistemas instalados en la institución

académica



131

Gráfico 57 Servicio FTP Vulnerable


Autores: Erick Yánez – Milagros Parra Con el escáner de puertos NMAP se verifico la cantidad de puertos

importantes, la vulnerabilidad del servicio FTP de la institución educativa y

la versión de los servicios que se ejecutan en cada puerto escaneado.

Herramienta Nessus

Para el escaneo de vulnerabilidades en las aplicaciones de los servidores

públicos de la Institución académica se utiliza la herramienta Nessus para

verificar la cantidad de vulnerabilidades que posee el dominio del instituto.

132

Gráfico 58 Información de las vulnerabilidades



Gráfico 59 Información de las vulnerabilidades por medio de NESSUS



133

Gráfico 60 Cantidad de Vulnerabilidades del Dominio



Gráfico 61 Ejecución del Análisis de Vulnerabilidades



134

Gráfico 62 Crecimiento del Escaneo



Gráfico 63 Escaneo Total de los servicios



135

Gráfico 64 Tracert al Dominio por medio de Nessus



Por medio de la herramienta de escáner de vulnerabilidades NESSUS se

logró obtener los resultados sobre la cantidad de vulnerabilidades que

posee el dominio de manera creciente el historial de cada vulnerabilidad y

el tipo de fallo de seguridad presente en el servidor web público.

Herramienta Sparta

Sparta es una herramienta que incluye un escaneador de puertos TCP y

UDP, además realiza ataques de fuerza bruta para tener el acceso a los

sistemas informáticos de una organización.

136

Gráfico 65 Escaneo de puertos por medio de Sparta



Gráfico 66 Análisis de la información del Dominio



137

Gráfico 67 Verificación del puerto 22 SSH



Con la herramienta Sparta se verifico los puertos abiertos TCP de gran

importancia tales como el puerto 21, 22, 80, 110, 443 y 3306. Además se

idéntico que el dominio del Instituto Culinario es vulnerable a ataques XSS.

Herramienta Golismero

Es una herramienta que automatiza las tareas del pentesting en las

aplicaciones web cliente-servidor una de las funciones principales del

programa es la integración con el escáner de vulnerabilidades OpenVAS

para la realización de test de intrusión en servidores web basados en Linux

y Windows. Por ejemplo, puede adaptarse a para realizar escaneo de

puntos débiles a determinadas IPs.

138

Gráfico 68 Identificación del sitio web



Gráfico 69 Identificación del ataque de fuerza bruta



139

Gráfico 70 Ataque de fuerza bruta al DNS



RESULTADOS DEL ANÁLISIS DE VULNERABILIDAD

Escaneo de puertos

En esta sección detallamos la cantidad puertos abiertos de gran

importancia para un atacante malicioso.

Tabla 40 Tabla de puertos abiertos



SERVIDORES PUERTOS ABIERTOS

http 80

ssh 22

ftp 21

smtp 25

pop3 110

https 443

mysql 3306

smtps 465

domain 53

pop3s 995

imaps 993

140

Identificación de los servicios

En esta sección se indica la versión de cada servicio escaneado por medio

del escaneo de puertos aquí se detalla las versiones de los servicios de

gran importancia para los piratas informáticos donde ellos seleccionan el

ataque enfocándose en la versión del servidor instalado en la

infraestructura tecnológica.

Tabla 41 Tabla de servicios con su respectiva versión



Búsqueda de Vulnerabilidades y Verificación

Con la herramienta Nessus se pudo analizar el servidor web del instituto de

educación superior y determinar un total de 143 vulnerabilidades presentes

en los servicios tecnológicos de la organización, se detalló paso a paso el

uso de la herramienta con la finalidad de que sea amigable al uso del

usuario que realiza el análisis. Se realizó y explicó cómo realizar un

escaneo de vulnerabilidades.

ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS

AMÉRICAS

Luego del análisis que realizamos siguiendo las secciones y fases de la

metodología OSSTMM, se observó la verificación de la puerta de enlace y

la IP del servidor a la que se encuentran atada la dirección web de la

institución,

SERVICIOS VERSION

ftp pure-ftpd

ssh open-ssh 5.3 (protocol 2.0)

http apache httpd

pop3 dovecot-pop3d

imap dovecot-imapd

smtp exim smtpd 4.89

141

TABLA DE RECOMENDACIONES BASADAS EN LA ISO 27001:2013

Tabla 42 Tabla de recomendaciones de la ISO

Vulnerabilidad Control Recomendación

Vulnerabilidad ataque

de fuerza bruta a

través del puerto 22

donde se ejecuta el

servicio SSH.

A.12.6.1 Gestión de

vulnerabilidades

técnicas.

Se debe obtener de

manera oportuna

información sobre las

vulnerabilidades

técnicas y tomar

medidas adecuadas

para manejar los

riesgos asociados.

Vulnerabilidad a

ataques de

denegación de

servicio por medio del

puerto 80 y 443.

A.12.2.1 Controles

contra el malware

A.12.6.1 Gestión de

vulnerabilidades

técnicas.

Se debe implementar

mecanismos de

control para la

detección y

prevención de códigos

maliciosos.

Vulnerabilidades en

las redes por medio

de ataques XSS.

A.13.1.2 Seguridad de

los servicios de las

redes.

Se debe identificar los

mecanismos de

seguridad, los niveles

del servicio e incluirlos

en los acuerdos de

servicios de redes.


142

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA

Tabla 43 Criterios de validación del proyecto

ESCALAS

Aspectos a tomar en cuenta

Muy conveniente

Conveniente Mediamente conveniente

Poca conveniente

Nada conveniente

1. La propuesta es una alternativa para mejorar las seguridades de la infraestructura tecnológica del instituto en mención.

X

2. La propuesta detectara las vulnerabilidades para evitar ataques internos y externos.

X

3. Fortalecerá la confidencialidad, integridad y disponibilidad de la información.

X

4. Asegurara la continuidad de los servicios tecnológicos minimizando los riesgos operativos.

X

5. Detectara la falta de parches en los sistemas operativos instalados en las estaciones de trabajo.

X


143

Tabla 44 Vulnerabilidad de Impacto



DESCRIPCIÓN CRITICO RANGO > 9 Y <= 10 ALTO RANGO > 7 Y <= 9 MEDIO RANGO > 4 Y <= 7 BAJO RANGO 0 Y <= 4

Determinan

situaciones

que logran un

acceso ilícito

al sistema de

información

con sus

respectivas

aplicaciones y

privilegios de

usuarios.

xDeterminan

situaciones

que logran

obtener el

acceso a la

red

corporativa de

la

organización

con el fin de

filtrar

información de

carácter

confidencial.

x

Determinan

condiciones

que no

resulten

directamente

el acceso a la

red o al

sistema de

información

pero se llega

al caso que

estas

intrusiones

afecten el

acceso y

rendimiento

del sistema.

x

Determinan

condiciones

que no

resulten el

acceso a la

red

corporativa

pero los

atacantes

pueden

inyectar

cookies para

la duplicidad

de sesión

logrando así

obtener el

acceso a la

red con sus

respectivos

servicios.

x

RIESGO CVSS (SCORING SYSTEM COMMON VULNERABILITY)

144

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO

A continuación se evalúa el proyecto referente a la metodología OSSTMM

mediante los criterios de aceptación enfocados en el alcance del mismo

para realizar esta evaluación se utilizaran tablas para registrar los datos del

proyecto:

Tabla 45 Tabla de Aceptación 1

CRITERIO ALCANCE

POSITIVA INDIFERENTE NEGATIVA

Asesorar al personal

que labora en el

departamento

tecnología y al

encargado de la

seguridad lógica de

la infraestructura de

red del Centro de

Datos del instituto de

educación superior

con el fin de aplicar

métodos para

disminuir los

posibles fallos de

seguridad

identificados a través

de escáner de

vulnerabilidades.

X

145

El resultado de las

pruebas de análisis

de vulnerabilidades

en la infraestructura

tecnológica será

transmitido a los

especialistas para

que implementen los

controles adecuado

bajo el modelo

OSSTMM el cual

permite través de

sus plantillas una

lista de

comprobación clara

y precisa.

X

Se realizará un

estudio de

vulnerabilidades

completo que incluye

información

confidencial de la red

corporativa del

objeto del análisis

tales como rango de

direccionamiento de

red público

integrando dominios

y servicios por medio

de herramientas de

código abierto, con

X

146

el fin de establecer

conclusiones

precisas las cuales

permitirán una

solución adecuada y

acorde a los

requerimientos

presentes en la

institución.


Tabla 46 Tabla de Aceptación 2

CRITERIO ALCANCE

POSITIVA INDIFERENTE NEGATIVA

Al final del estudio

se entregará los

reportes de todo el

análisis ejecutado

en la

infraestructura

tecnológica del

instituto educativo,

no siendo posible

su demostración en

los mismos debido

a que son equipos

que prestan

servicios en

ambiente

académicos y lo

X

147

recomendable en

estos casos es no

realizar ningún tipo

de ataque

informático en ellos

debido a la

criticidad que

representan.

Es necesario citar

que para la

demostración del

estudio realizado

se replicará un

entorno virtual de

acuerdo a las

características y

servicios que

presten los

servidores reales

dentro de la

infraestructura de

red.

X



148

CONCLUSIONES

Por medio del análisis de detección de vulnerabilidades en la

infraestructura tecnológica del instituto de educación superior se

detalló toda la información referente a la red corporativa de la

organización académica. Con el uso de herramientas como Maltego,

Nmap, Golismero, Nessus, Sparta, TheHarvester y Foca se llevó a

cabo exitosamente la ejecución del análisis de una forma correcta

para obtener los resultados deseados y con esto se pudo llegar a

tener conocimiento de todos los riesgos que pueden acarrearse al

no tomar en consideración estos tipos de análisis y desconocer

como los atacantes pueden afectar la productividad de los sistemas.

Con el uso de la metodología internacional OSSTMM se realizó el

respectivo análisis de vulnerabilidades en la infraestructura

tecnológica de la organización de educación superior, cumpliendo

cada una de las secciones que proporciona esta metodología y las

cuales se adaptan al proyecto de investigación desarrollado. Con

esta metodología se pudo llegar a saber que fases fueron aplicables

a la propuesta de implementación en la cual se detectó lo siguiente:

puertos abiertos, cantidad de vulnerabilidades con su respectivo

historial, y el tipo de ataque que se podía utilizar para tener acceso

a unos de los puertos.

La metodología OSSTM es una de las metodologías que se adaptan

a la ISO 27001:2013 en el cual la norma presenta los controles que

se deben utilizar para disminuir los índices de vulnerabilidades y

riesgos detectados mediante el análisis en mención, con esto se

puede llegar al cumplimiento de los procesos de auditoria y las

organizaciones se pueden basar en este tipo de procesos para llegar

a una protección máxima, evitando las fugas de información de

carácter confidencial.

149

La metodología OSSTMM facilita un informe de auditoría de

seguridad informática en el cual los auditores pueden evidenciar las

pruebas referentes al análisis de vulnerabilidades y detallar los

hallazgos identificados durante el proceso de análisis. Con los

respectivos informes se puede dar por finalizado el proceso de

auditoría de seguridad informática en una organización donde estos

serán archivados respetando los acuerdos de confidencialidad

gestionados entre la empresa y el auditor.

150

RECOMENDACIONES

Se recomienda el uso de UTMs de alta gama y de VPN, así se

disminuye el acceso ilícito a los sistemas informáticos, bloqueando

los puertos donde se ejecutan servicios de gran importancia y

estableciendo conexiones por medio de túneles.

Se recomienda la ejecución de auditorías cada tres meses por medio

de la metodología OSSTMM para que las organizaciones puedan

conocer sus vulnerabilidades y los riesgos que pueden presentarse

en el momento oportuno.

Se recomienda el uso de la norma ISO 27001:2013 para determinar

los controles que se deben utilizar. Por medio de una siguiente tabla

se van a detallar los controles que son aplicables a la propuesta en

mención.

Se recomienda el uso de informes para que las empresas puedan

tener como evidencia todas las vulnerabilidades presentes en la red

corporativa, con sus respectivas recomendaciones.

151

BIBLIOGRAFIA

Américas, E. C. de las. (2017). Culinaria de las Américas. Retrieved from http://www.culinariadelasamericas.com/escuela-chef-guayaquil-quienes-somos/

Bayardo, M. G. M. (2012). Introducción a la metodologia de la investigación educativa (UniEdit). Rosario.

Edith, S., & Trujillo, A. (2013). La Inteligencia Analítica y la Competitividad en las Empresas La Inteligencia Analítica y la Competitividad en las Empresas, 3(3), 24–47.

Eh, W. R., & Lqflghqw, S. H. U. (2015). a Study on Integrating Penetration Testing Into the Information Security Framework for Malaysian Higher. International Symposium on Mathematical Sciences and Computing Research (iSMSC), 156–161.

Garzón, D. S., Ratkovich Gomes, J. C., Vergara Torres, A., & Serrano, M. I. (2012). Metodología de Análisis de Vulnerabilidades para Empresas de Media y Pequeña Escala, 10.

Gupta, H., & Kumar, R. (2015). Protection against penetration attacks using Metasploit. 2015 4th International Conference on Reliability, Infocom Technologies and Optimization: Trends and Future Directions, ICRITO 2015, 2–5. https://doi.org/10.1109/ICRITO.2015.7359226

ISECOM. (2014). OSSTMM. Retrieved from https://www.dragonjar.org/osstmm-manual-de-la-metodologia-abierta-de-testeo-de-seguridad.xhtml

ISECOM. (2016). OSSTMM VERSION 3, 213.

Lehrfeld, M., & Guest, P. (2016). Building an ethical hacking site for learning and student engagement. Conference Proceedings - IEEE SOUTHEASTCON, 2016–July. https://doi.org/10.1109/SECON.2016.7506746

Manchola, S. L., Suarez, G. H. C., & Herrera, B. O. E. (2016). Investigaci??n sobre el hacker y sus posibles comienzos en la comunidad estudiantil. Caso Universidad Piloto de Colombia. 2016 8th Euro American Conference on Telematics and Information Systems, EATIS 2016. https://doi.org/10.1109/EATIS.2016.7520135

Mercado, A. G. (2012). Manual de técnicas de investigación para estudiantes de ciencias sociales (ISBN). Guadalajara.

Moreno, G. (2011). Introducción a la metodologia de la investigación educativa (Edimex). Mexico DF.

152

Páez, G. (2011). Metodos de Investigacion (Instituto). Turrialba.

PÉREZ, P. G. (2015). ETHICAL HACKING. (8 posterior - 28932 - MÓSTOLES (MADRID) JUAN RAMÓN JIMÉNEZ, Ed.) (0xWORD COM). MADRID-ESPAÑA: 2015. https://doi.org/M-18543-2014

Prandini, M., & Ramilli, M. (2012). Towards a practical and effective security testing methodology, 320–325.

Ron, M., & Ninahualpa, G. (2012). PENETRACION EN AMBIENTES VIRTUALES.

153

ANEXOS

Gráfico 71 Autorización de la realización del proyecto en la Escuela

Culinaria de las Américas.

154

Gráfico 72 Red de la Escuela Culinaria de las Américas

universidad de guayaquilrepositorio.ug.edu.ec/bitstream/redug/24003/1/b... · 1. identificación...

Documents