UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS
DE TEST DE INTRUSIÓN”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR (ES):
PARRA BARZOLA LILIANA MILAGROS
YÁNEZ CEDEÑO ERICK STEVEN
TUTOR:
ING. MITCHELL VÁSQUEZ BERMUDEZ M.SC.
GUAYAQUIL – ECUADOR
2017
II
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO:
ANÁLISIS DE VULNERABILIDAD EN LA
INFRAESTUCTURA TECNOLÓGICA DE UNA
EMPRESA, UTILIZANDO HERRAMIENTA DE TEST
INTRUSIÓN
AUTOR(ES) (
apellidos/nombres ):
Parra Barzola Liliana Milagros
Yánez Cedeño Erick Steven
REVISOR(ES)/TUTOR(ES)
( apellidos/nombres ):
Ing. Mitchell Vásquez M. Sc.
Ing. Israel Ortega
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
MAESTRÍA/ESPECIALIDAD: INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
GRADO OBTENIDO:
FECHA DE PUBLICACIÓN:
No. DE
PÁGINAS:
ÁREAS TEMÁTICAS: Networking Telecomunicaciones
PALABRAS CLAVES
/KEYWORDS:
Seguridad, OSSTMM, metodología abierta de testeo.
Nuestro proyecto de tesis a continuación tiene como objetivo realizar un análisis de vulnerabilidades
en la institución educativa “Escuela Culinaria de las Américas”, para identificar las amenazas de
seguridad en la red, las cuales pueden ser la puerta de acceso para usuarios malintencionados, y
que les sirva para robar información confidencial y de mayor importancia para la empresa. Para hacer
posible este análisis nos guiamos con la Metodología Abierta de Testeo de Seguridad (OSSTMM), el
cual nos indicará las fases a revisar para la correcta ejecución de la auditoría de seguridad del sistema
a través de internet. Para realizar este análisis usamos diferentes herramientas de auditoria de redes
que nos permitirá demostrar a la Institución a qué tipo de información puede acceder un atacante.
ADJUNTO PDF:
SI NO
CONTACTO CON
AUTOR/ES: Teléfono: E-mail:
CONTACTO CON LA
INSTITUCIÓN:
Nombre:
Teléfono:
E-mail:
III
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, ANÁLISIS DE
VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE
UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE
INTRUSIÓN elaborado por la Srta. PARRA BARZOLA LILIANA MILAGROS
Y el sr. YANEZ CEDEÑO ERICK STEVEN, Alumno no titulado de la
Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad
de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo
a la obtención del Título de Ingeniero en Networking y Telecomunicaciones,
me permito declarar que luego de haber orientado, estudiado y revisado, la
Apruebo en todas sus partes.
Atentamente
ING. MITCHELL VÁSQUEZ BERMUDEZ M.SC.
TUTOR
IV
DEDICATORIA
Dedico este trabajo de tesis
principalmente a Dios, por
haberme dado fortaleza para
seguir adelante permitiéndome
llegar a este momento tan
importante a mi padres: Luis Parra
y Juana Barzola que me han
brindado su apoyo incondicional
en el transcurso de mi vida y que
han luchado para fórmame y
educarme. A mis hermanos
Fabián, Jenniffer, Sandro que
siempre hemos estado unidos en
todo momento y por siempre
darme aliento a seguir luchando a
mi Abuelita Cruz Merchán que con
su experiencia de vida ha sabido
guiarme y brindarme su apoyo a
Edison por sus consejos incluso en
los momentos más turbulentos.
Liliana Milagros Parra Barzola
V
DEDICATORIA
Dedico este proyecto a mi esposa
e hijo, a mis padres y a mi hermana
por ser mi motivación diaria para
seguir adelante y seguir creciendo
como profesional para alcanzar
cada una de las metas que me
proponga.
Erick Steven Yánez Cedeño
VI
AGRADECIMIENTO
Agradezco a Dios por la
fortaleza y fuerza, a mi padres por
el apoyo, por ser incondicionales
en mi vida y por todo su sacrificio,
a mis hermanos por siempre
brindarme sus consejos y la
motivación para seguir adelante y
ver que en la vida se debe de
luchar y no rendirse, a Edison por
ser mi motivación e inspiración
profesional y por sus consejos, a
mi tutor y revisor por la gran ayuda
brindada, también quiero
agradecer a mi compañero y
amigo de tesis Erick Yánez por
tantos momentos difíciles pero no
imposibles que supimos solucionar
durante el desarrollo de este gran
proyecto.
Liliana Milagros Parra Barzola
VII
AGRADECIMIENTO
Agradezco infinitamente a
nuestro tutor y revisor por la gran
ayuda que nos supieron brindar en
este complicado pero interesante
proyecto que gracias a ellos, a mi
compañera de tesis y a Dios
principalmente se pudo completar
satisfactoriamente. Agradezco a
mis padres y esposa por
recordarme cuán importante es
alcanzar el título para nuestros
futuros proyectos, a mi esposa por
saberme dar el apoyo que
necesitaba y mantenerme firme en
este objetivo. También agradezco
a mi compañera de tesis por su
ayuda y compromiso con el
proyecto.
Erick Steven Yánez Cedeño
VIII
TRIBUNAL PROYECTO DE TITULACIÓN
_______________________________
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS Y FÍSICAS
_________________________________
Ing. Harry Luna Aveiga, M.Sc
DIRECTOR CINT
_____________________________
Ing. Mitchell Vásquez Bermúdez
PROFESOR DIRECTOR DEL
PROYECTO DE TITULACIÓN
______________________________
Ing. Israel Ortega
PROFESOR TUTOR REVISOR
DEL PROYECTO DE TITULACIÓN
______________________________
Ab. Juan Chávez A.
SECRETARIO
IX
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este Proyecto de Titulación, me
corresponden exclusivamente; y el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
Parra Barzola Liliana Milagros
Yánez Cedeño Erick Steven
X
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS
DE TEST DE INTRUSIÓN”
Proyecto de Titulación que se presenta como requisito para optar por el
título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autores: Parra Barzola Liliana Milagros
C.I. 0928372606
Yánez Cedeño Erick Steven
C.I. 0923581581
Tutor: Ing. Mitchell Vásquez Bermudez
Guayaquil, Octubre de 2017
XI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por la
estudiante Parra Barzola Liliana Milagros y Yánez Cedeño Erick Steven, como
requisito previo para optar por el título de Ingeniero en Networking y
Telecomunicaciones cuyo tema es:
ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE TEST DE INTRUSIÓN”
Considero aprobado el trabajo en su totalidad.
Presentado por:
Parra Barzola Liliana Milagros Cédula de ciudadanía N° 0928372606
Yánez Cedeño Erick Steven Cédula de ciudadanía N° 0923581581
Tutor: Ing. Mitchell Vásquez Bermúdez
Guayaquil, Octubre de 2017
XII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato
Digital
1. Identificación del Proyecto de Titulación
Nombre del Alumno: Parra Barzola Liliana Milagros
Dirección: Daule Carlos Saona y Amazonas Marianita #5
Teléfono: 0979774695 E-mail: [email protected]
Nombre del Alumno: Yánez Cedeño Erick Steven
Dirección: Urdenor 2 Mz. 245 v2
Teléfono: 0981280342 E-mail: [email protected]
2. Autorización de Publicación de Versión Electrónica del Proyecto
de Titulación
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: Ing. Mitchell Vásquez Bermúdez
Título del Proyecto de Titulación: Análisis de Vulnerabilidad en las
infraestructuras tecnológicas de una empresa, utilizando herramientas
de test intrusión.
Tema del Proyecto de Titulación: Análisis de Vulnerabilidad en las
infraestructuras tecnológicas de una empresa, utilizando herramientas de
test intrusión.
XIII
A través de este medio autorizo a la Biblioteca de la Universidad de
Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la
versión electrónica de este Proyecto de titulación.
Publicación electrónica:
Firma Alumno: Parra Barzola Liliana Milagros
Firma Alumno: Yánez Cedeño Erick Steven
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo
.Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif,
.jpg o .TIFF.
Inmediata Después de 1 año
DVDROM CDROM
XIV
Contenido
CARTA DE APROBACIÓN DEL TUTOR ....................................................... III
DEDICATORIA ............................................................................................. IV
DEDICATORIA .............................................................................................. V
AGRADECIMIENTO ..................................................................................... VI
AGRADECIMIENTO .....................................................................................VII
INDICE DE TABLAS .................................................................................. XVII
INDICE DE GRÁFICOS .............................................................................. XIX
ABREVIATURAS ........................................................................................ XVI
INTRODUCCIÓN ............................................................................................ 1
CAPÍTULO I .................................................................................................... 4
Causas y Consecuencias del Problema .......................................................... 8
Alcances del Problema ................................................................................. 11
OBJETIVOS DE LA INVESTIGACIÓN .......................................................... 12
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ...................... 13
CAPÍTULO II ................................................................................................. 17
MARCO TEÓRICO ....................................................................................... 17
IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA EN LAS
ORGANIZACIONES ..................................................................................... 17
Aseguramiento y configuración de sistemas operativos servicios, herramientas
y dispositivos ................................................................................................ 19
ANTECEDENTES DEL ESTUDIO ................................................................ 20
OBJETIVOS DE UN ETHICAL HACKER ...................................................... 24
TIPOS DE AUDITORÍA ................................................................................. 25
Auditoría de caja negra: ................................................................................ 25
Auditoría de caja blanca:............................................................................... 25
Auditoría de caja gris: ................................................................................... 25
Fuga de información interna ......................................................................... 27
Amenazas avanzadas persistentes ............................................................... 28
METODOLOGIA OSSTMM (OPEN SOURCE SECURITY METHODOLOGY
MANUAL) ...................................................................................................... 28
SECCIONES DE LA METODOLOGIA OSSTMM ......................................... 33
DEFINICION DE LAS SECCIONES A, B, C DE LA METODOLOGIA OSSTMM
...................................................................................................................... 35
Sección A – Seguridad de la información ..................................................... 35
Revisión de la inteligencia competitiva .......................................................... 35
XV
REDES DE AREA AMPLIA (WAN) ............................................................... 46
CARACTERISTICAS: ................................................................................... 47
Norma ISO 27001 Seguridad de la información ............................................ 48
CICLO PHVA ................................................................................................ 51
Las fases del ciclo PHVA .............................................................................. 51
Herramientas aplicadas a la metodología de seguridad informática OSSTMM
...................................................................................................................... 53
FUNDAMENTACION SOCIAL ...................................................................... 57
FUNDAMENTACION LEGAL ........................................................................ 57
CODIGO ORGANICO INTEGRAL PENAL.................................................... 57
SECCIÓN TERCERA ................................................................................... 57
Delitos contra la seguridad de los activos de los sistemas de información y
comunicación ................................................................................................ 57
LEY ORGANICA DE PROTECCION DE DATOS ......................................... 60
HIPOTESIS ................................................................................................... 62
DEFINICIONES CONCEPTUALES .............................................................. 63
CAPITULO III ................................................................................................ 64
METODOLOGÍA DE LA INVESTIGACIÓN ................................................... 64
MODALIDAD DE LA INVESTIGACIÓN ........................................................ 64
INVESTIGACIÓN DE CAMPO .................................................................. 64
INVESTIGACIÓN BIBLIOGRÁFICA .............................................................. 66
Método Analítico. .......................................................................................... 68
POBLACIÓN Y MUESTRA ........................................................................... 68
POBLACIÓN ................................................................................................. 68
MUESTRA ................................................................................................. 70
TECNICAS E INSTRUMENTOS PARA LA RECOLECCION DE DATOS ..... 72
Encuesta ....................................................................................................... 72
Entrevista ...................................................................................................... 73
PROCESAMIENTO Y ANALISIS .................................................................. 75
Análisis de la entrevista al encargado del área de Sistema .......................... 76
PROCESAMIENTO Y ANÁLISIS DE LAS ENCUESTAS .............................. 76
ANÁLISIS E INTERPRETACIÓN DE RESULTADOS DE LAS ENCUESTAS
...................................................................................................................... 77
VALIDACIÓN DE LA IDEA A DEFENDER .................................................... 88
VALIDACIÓN DE LA IDEA A DEFENDER .................................................. 105
XVI
CAPÍTULO IV.............................................................................................. 106
PROPUESTA TECNOLÓGICA ................................................................... 106
Análisis de Factibilidad ............................................................................ 106
Factibilidad Operacional .......................................................................... 107
Factibilidad Técnica ................................................................................. 108
Factibilidad Económica............................................................................ 112
Análisis del costo y beneficio del proyecto de investigación de OSSTMM .. 113
Factibilidad Legal .................................................................................... 115
ETAPAS DE METODOLOGÍA DEL PROYECTO ....................................... 115
RESULTADOS DEL ANÁLISIS DE VULNERABILIDAD ............................. 139
Identificación de los servicios ...................................................................... 140
Búsqueda de Vulnerabilidades y Verificación ............................................. 140
ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS AMÉRICAS 140
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA .................................. 142
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO ..................................... 144
CONCLUSIONES ....................................................................................... 148
RECOMENDACIONES ............................................................................... 150
BIBLIOGRAFIA ........................................................................................... 151
ANEXOS ..................................................................................................... 153
XVII
INDICE DE TABLAS
Tabla 1 Causas y Consecuencias del Problema ........................................ 8
Tabla 2 Estado de la seguridad ............................................................... 27
Tabla 3 Cuadro comparativo de las metodologías de seguridad informática
................................................................................................................. 48
Tabla 4 Cuadro de las ventajas de las metodologías de seguridad
informática ............................................................................................... 50
Tabla 5 Población del estudio .................................................................. 69
Tabla 6 Población del estudio .................................................................. 69
Tabla 7 Población de la CINT .................................................................. 69
Tabla 8 Muestra sobre el personal administrativo .................................... 70
Tabla 9 Muestra sobre el personal técnico .............................................. 71
Tabla 10 Muestra de la CINT ................................................................... 72
Tabla 11 Análisis de resultados de la pregunta No. 1 .............................. 78
Tabla 12 Análisis de resultados de la pregunta No. 2 .............................. 79
Tabla 13 Análisis de resultados de la pregunta No. 3 .............................. 80
Tabla 14 Análisis de resultados de la pregunta No. 4 .............................. 81
Tabla 15 Análisis de resultados de la pregunta No. 5 .............................. 82
Tabla 16 Análisis de resultados de la pregunta No. 6 .............................. 83
Tabla 17 Análisis de resultados de la pregunta No. 7 .............................. 84
Tabla 18 Análisis de resultados de la pregunta No. 8 .............................. 85
Tabla 19 Análisis de resultados de la pregunta No. 9 .............................. 86
Tabla 20 Análisis de resultados de la pregunta No. 9 .............................. 87
Tabla 21 Análisis de resultados de la pregunta No. 1 .............................. 89
Tabla 22 Análisis de resultados de la pregunta No. 2 .............................. 90
Tabla 23 Análisis de resultados de la pregunta No. 3 .............................. 91
Tabla 24 Análisis de resultados de la pregunta No. 4 .............................. 92
Tabla 25 Análisis de resultados de la pregunta No. 5 .............................. 93
Tabla 26 Análisis de resultados de la pregunta No. 1 .............................. 95
Tabla 27 Análisis de resultados de la pregunta No. 2 .............................. 96
Tabla 28 Análisis de resultados de la pregunta No. 3 .............................. 97
Tabla 29 Análisis de resultados de la pregunta No. 4 .............................. 98
Tabla 30 Análisis de resultados de la pregunta No. 5 .............................. 99
Tabla 31 Análisis de resultados de la pregunta No. 6 ............................ 100
Tabla 32 Análisis de resultados de la pregunta No. 7 ............................ 101
Tabla 33 Análisis de resultados de la pregunta No. 8 ............................ 102
Tabla 34 Análisis de resultados de la pregunta No. 8 ............................ 103
Tabla 35 Análisis de resultados de la pregunta No. 10 .......................... 104
Tabla 36 Listado de Herramientas de código abierto ............................. 110
Tabla 37 Presupuesto ............................................................................ 112
Tabla 38 Análisis Costo beneficios del proyecto .................................... 113
Tabla 39 Extensiones de códigos maliciosos ......................................... 127
Tabla 40 Tabla de puertos abiertos ....................................................... 139
Tabla 41 Tabla de servicios con su respectiva versión .......................... 140
XVIII
Tabla 42 Tabla de recomendaciones de la ISO ..................................... 141
Tabla 43 Criterios de validación del proyecto ........................................ 142
Tabla 44 Vulnerabilidad de Impacto ....................................................... 143
Tabla 45 Tabla de Aceptación 1 ............................................................ 144
Tabla 46 Tabla de Aceptación 2 ............................................................ 146
XIX
INDICE DE GRÁFICOS
Gráfico 1 Canales de OSSTMM ........................................................................................ 31
Gráfico 2 Planeación de un informe .................................................................................. 32
Gráfico 3 Fases para la elaboración de un reporte de seguridad informática .................. 33
Gráfico 4 Recolección de documentos con foca ............................................................... 39
Gráfico 5 Ataque Phishing ................................................................................................ 41
Gráfico 6 Reconocimiento de direcciones IP de un dominio ............................................ 42
Gráfico 7 Escaneo de puertos con NMAP al dominio ....................................................... 45
Gráfico 8 Acceso a la información de un servidor ............................................................ 46
Gráfico 9 Fases de la Metodología OSSTMM .................................................................. 46
Gráfico 10 Esquema de una red WAN .............................................................................. 47
Gráfico 11 Ciclo PHVA ...................................................................................................... 53
Gráfico 12 Porcentaje a las respuestas a la pregunta No. 1 ............................................ 78
Gráfico 13 Porcentaje a las respuestas a la pregunta No. 2 ............................................ 79
Gráfico 14 Porcentaje a las respuestas a la pregunta No. 3 ............................................ 80
Gráfico 15 Porcentaje a las respuestas a la pregunta No. 4 ............................................ 81
Gráfico 16 Porcentaje a las respuestas a la pregunta No. 5 ............................................ 82
Gráfico 17 Porcentaje a las respuestas a la pregunta No. 6 ............................................ 83
Gráfico 18 Porcentaje a las respuestas a la pregunta No. 7 ............................................ 84
Gráfico 19 Porcentaje a las respuestas a la pregunta No. 8 ............................................ 85
Gráfico 20 Porcentaje a las respuestas a la pregunta No. 9 ............................................ 86
Gráfico 21 Porcentaje a las respuestas a la pregunta No. 10 .......................................... 87
Gráfico 22 Porcentaje de respuesta de la pregunta No. 1 ................................................ 89
Gráfico 23 Porcentaje de respuesta de la pregunta No. 2 ................................................ 90
Gráfico 24 Porcentaje de respuesta de la pregunta No. 3 ................................................ 91
Gráfico 25 Porcentaje de respuesta de la pregunta No. 4 ................................................ 92
Gráfico 26 Porcentaje de respuesta de la pregunta No. 5 ................................................ 93
Gráfico 27 Análisis de resultados de la pregunta No. 1 .................................................... 95
Gráfico 28 Análisis de resultados de la pregunta No. 2 .................................................... 96
Gráfico 29 Análisis de resultados de la pregunta No. 3 .................................................... 97
Gráfico 30 Análisis de resultados de la pregunta No. 4 .................................................... 98
Gráfico 31 Análisis de resultados de la pregunta No. 5 .................................................... 99
Gráfico 32 Análisis de resultados de la pregunta No. 6 .................................................. 100
Gráfico 33 Análisis de resultados de la pregunta No. 7 .................................................. 101
Gráfico 34 Análisis de resultados de la pregunta No. 8 .................................................. 102
Gráfico 35 Análisis de resultados de la pregunta No. 9 .................................................. 103
Gráfico 36 Análisis de resultados de la pregunta No. 10 ................................................ 104
Gráfico 37 Metodología OSSTMM .................................................................................. 116
Gráfico 38 Secciones de la Metodología OSSTMM ....................................................... 116
Gráfico 39 Resolviendo el nombre del dominio .............................................................. 118
Gráfico 40 Verificando la puerta de enlace y la IP del servidor ...................................... 118
Gráfico 41 Dominios asociados a la dirección web del instituto ..................................... 119
Gráfico 42 Verificación de la aplicación donde se encuentra desarrollado el sitio web del
instituto académico ......................................................................................................... 120
Gráfico 43 Identificación de correos electrónicos y ubicación de la dirección IP Publica del
dominio ............................................................................................................................ 120
Gráfico 44 Identificación de correos electrónicos ........................................................... 121
Gráfico 45 Identificación de servicios en la nube ............................................................ 122
Gráfico 46 Verificación de la información del domino ..................................................... 123
Gráfico 47 Versión del Apache ....................................................................................... 123
Gráfico 48 Recolección de documentos ......................................................................... 124
XX
Gráfico 49 Documentos en formato PDF ........................................................................ 124
Gráfico 50 Escaneo de Correos Electrónicos ................................................................. 125
Gráfico 51 Escaneo de Direcciones IPs Públicas ........................................................... 126
Gráfico 52 Escaneo de Puertos al dominio ..................................................................... 128
Gráfico 53 Identificación de los puertos abiertos ............................................................ 129
Gráfico 54 Verificación de las versiones de los servicios ............................................... 129
Gráfico 55 Verificación de las versiones de los servicios levantados en el dominio ...... 130
Gráfico 56 Identificación de los sistemas instalados en la institución académica .......... 130
Gráfico 57 Servicio FTP Vulnerable ................................................................................ 131
Gráfico 58 Información de las vulnerabilidades .............................................................. 132
Gráfico 59 Información de las vulnerabilidades por medio de NESSUS ........................ 132
Gráfico 60 Cantidad de Vulnerabilidades del Dominio ................................................... 133
Gráfico 61 Ejecución del Análisis de Vulnerabilidades ................................................... 133
Gráfico 62 Crecimiento del Escaneo............................................................................... 134
Gráfico 63 Escaneo Total de los servicios ...................................................................... 134
Gráfico 64 Tracert al Dominio por medio de Nessus ...................................................... 135
Gráfico 65 Escaneo de puertos por medio de Sparta ..................................................... 136
Gráfico 66 Análisis de la información del Dominio .......................................................... 136
Gráfico 67 Verificación del puerto 22 SSH ..................................................................... 137
Gráfico 68 Identificación del sitio web ............................................................................. 138
Gráfico 69 Identificación del ataque de fuerza bruta ...................................................... 138
Gráfico 70 Ataque de fuerza bruta al DNS ..................................................................... 139
Gráfico 71 Autorización de la realización del proyecto en la Escuela Culinaria de las
Américas. ........................................................................................................................ 153
Gráfico 72 Red de la Escuela Culinaria de las Américas ............................................... 154
XVI
ABREVIATURAS
UG Universidad de Guayaquil
OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad
ISO Organización de estándares internacionales
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas
FOCA Francisco Oca
NMAP Mapeo de redes
ICA Instituto Culinario de las Américas
XVII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS
MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA
TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE
TEST DE INTRUSIÓN.
Autores: Erick Steven Yánez Cedeño
Liliana Milagros Parra Barzola
Tutor: Ing. Mitchell Vásquez Bermúdez
Resumen
El proyecto de tesis a continuación tiene como objetivo realizar un análisis
de vulnerabilidades en la institución educativa “Escuela Culinaria de las
Américas”, para identificar las amenazas de seguridad en la red, las cuales
pueden ser la puerta de acceso para que usuarios malintencionados
puedan robar información confidencial y vital para el funcionamiento de la
empresa. Para hacer posible este análisis se ha utilizado la Metodología
Abierta de Testeo de Seguridad (OSSTMM), la cual nos indicará las fases
a revisar para la correcta ejecución de la auditoría de seguridad del sistema
a través de internet. Para realizar este análisis se usa diferentes
herramientas de auditoria de redes que permitirá demostrar a la Institución
a qué tipo de información puede acceder un atacante.
XVIII
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS
MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
ANÁLISIS DE VULNERABILIDADES EN LA INFRAESTRUCTURA
TECNOLÓGICA DE UNA EMPRESA, UTILIZANDO HERRAMIENTAS DE
TEST DE INTRUSIÓN.
Autores: Erick Steven Yánez Cedeño
Liliana Milagros Parra Barzola
Tutor: Ing. Mitchell Vásquez Bermúdez
Abstract
The main objective of the following thesis is to carry out a vulnerability
analysis report for an educational institution named "Escuela Culinaria de
las Américas", to identify security threats in the network, which could be the
gateway for malicious users to steal confidential and important information
for company functions. To make this analysis possible we are guided with
the Open Security Testing Methodology (OSSTMM), which will indicate the
phases to be reviewed for the correct execution of the security audit of the
system through the internet. To perform this analysis we used different
network audit tools to demonstrate to the Institution what kind of information
an attacker can access.
1
INTRODUCCIÓN
Actualmente las tecnologías de la información y comunicación han
evolucionado llegando a optimizar tiempo y recursos en las empresas,
donde el acceso a la red ha logrado que los usuarios efectúen tareas
programadas por los altos directivos de la organización de una manera
eficiente sin la necesidad de que el usuario corporativo se encuentre
físicamente en la compañía en la que el labora, hoy en día los servicios que
se ejecutan en la red más utilizado son los siguientes: correo electrónico,
mensajería instantánea, enlaces VPN para el acceso remoto a la
información que es transmitida por redes cableadas e inalámbricas, estar
conectado a los sistemas informáticos es de gran importancia ya que los
usuarios pueden utilizar los recursos del mismo para el cumplimiento de las
actividades propuestas con anticipación. Así como las redes de datos
implementadas en las empresas de alto nivel cumplen con la efectividad y
eficiencia del usuario para la ejecución de tareas también dichas redes
carecen de seguridad en la cual los atacantes informáticos pueden
interceptar la información de carácter confidencial para usarla en beneficio
propio causando a las organizaciones perdidas en sus activos lógicos o
daños económicos, además los piratas cibernéticos poseen la capacidad
de degradar el rendimiento de la red afectado la productividad de la
compañía en la cual acarrea riesgos en los datos sensibles
comprometiendo su confidencialidad e integridad y disponibilidad. Por la
falta de inversión de equipos de seguridad informática las corporaciones
que tienen implementado sistemas informáticos han perdido la confiabilidad
llegando a generar un miedo en los usuarios que acceden a su información
personal, académica y demás por la cual ellos temen que exista una fuga
de datos llegando a que los registros lleguen a manos de terceros. Con la
metodología de seguridad informática OSSTMM se llegara a conocer a las
entidades académicas sobre la cantidad de riesgos y amenazas presentes
en la red corporativa por medio de sus secciones alcanzando a dictaminar
las respectivas soluciones que ayuden a disminuir los niveles de
2
vulnerabilidades evitando que atacantes maliciosos logren accesos ilícitos
a las redes de datos montadas en infraestructuras tecnológicas en donde
el estándar de seguridad ISO 27001:2013 asociado con OSSTMM llegara
a facilitar los controles adecuados para tener protegida la red previniendo
los daños que puede ocasionar un atacante malicioso.
Generalmente las redes de última generación son utilizadas normalmente
por organizaciones de alto prestigio, para la optimización de los tiempos de
respuesta generados por las consultas de los usuarios consumiendo los
recursos tecnológicos de las empresas. Proteger la información es de gran
importancia por la cual las organizaciones de índole académico pueden
tener un mejor rendimiento en los servicios y proporcionar una excelente
calidad de los mismos satisfaciendo los requerimientos de los usuarios
conectados a la red. A continuación se detallan tres de los ataques que son
utilizados por los piratas informáticos y que pueden comprometer a la red
para el acceso ilícito a los datos sensibles:
Ataques de denegación de servicio: Esta intrusión consiste en
degradar los servicios que se ejecutan en la nube colapsando el
servidor por medio de consultas masivas proporcionada por los
usuarios llegando a tener acceso al sistema y a la información de
carácter confidencial.
Ataque man in the middle (hombre el medio): Consiste en que los
atacantes cibernéticos interceptan tráfico de red por medio de
herramientas analizadores de red con el fin de accesar a la
información de carácter confidencial.
Ataques de ingeniería social: Este ataque consiste en que los piratas
informáticas aplican técnicas de engaño envolviendo a la víctima
para que ella facilite información relevante de la empresa siendo el
eslabón más débil de toda la cadena de seguridad el usuario.
El test de penetración realizado por medio de la metodología de seguridad
informática OSSTMM está enfocado en la detección y análisis de
3
vulnerabilidades determinando los peligros que pueden suceder al no
proteger los activos físicos y lógicos. A la hora de realizar una auditoría de
seguridad informática, la primera etapa es recolectar toda la información
referente a la empresa que se está realizando la auditoria. En este proceso
se conoce como la sección seguridad de la información que ayuda a
recopilar los datos sensibles almacenados en documentos de ofimática,
archivos PDF y demás. Los pasos necesarios en la fase de recopilación de
la información son muy similares a los de cualquier otro análisis de
vulnerabilidades, aunque se encuentre enfocado a las infraestructuras
tecnológicas montadas en centro de datos de organizaciones académicas,
se asumirá que los registros de gran relevancia es el diagrama de toda la
red de la institución de educación superior, así como el mapa de puertos y
servicios proporcionados en el flujo de trabajo.
4
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del Problema en un Contexto
La Escuela Culinaria de las Américas es un instituto de enseñanza
profesional, cuya misión es educar y formar profesionales emprendedores
en el ámbito gastronómico a través de la aplicación práctica de los
conocimientos adquiridos. Nuestra formación integral permite a los
egresados contar con los conocimientos, las habilidades y los valores
necesarios para prestar un servicio de excelencia, ya sea como Chefs
Ejecutivos, o en cualquier otra actividad de la industria gastronómica
nacional e internacional, desempeñándose con visión de negocios,
liderazgo y responsabilidad social. (Américas, 2017)
Con la integración de la tecnología de la información en los institutos, estas
almacenan y gestionan su información de manera digital donde los
estudiantes tienen el acceso a la misma por medio del internet.
Estas instituciones tanto públicas y privadas han logrado que los alumnos
y el personal docente puedan consultar notas académicas, horarios de
clases, etc. Los sistemas académicos se ejecutan en infraestructura de
redes TCP/IP, sin embargo, en dichas redes existen vulnerabilidades que
pueden ser explotadas por un atacante malicioso, debido a estas
infracciones ejecutadas por los piratas malicioso ha ido en aumento la
demanda de personas calificadas y con el cumplimiento del perfil
profesional de ellas que pueden ayudar a las universidades a protegerse y
mitigar estas amenazas cibernéticas, evitando el robo de contraseñas,
suplantación de identidad, mensajes de correo electrónico institucional o
5
información transmitida desde servidores en entornos Linux y
Windows.(Lehrfeld & Guest, 2016)
Uno de los ataques informáticos que realizan los crackers para atentar a la
información de carácter sensible almacenada en los sistemas académicos
es el metasploit, que es utilizado para tener el acceso ilícito a estas redes
TCP/IP.
Cabe indicar que no solo el ataque ejecutado en el framework de metasploit
en redes de datos IPv4 permiten visualizar y tener acceso al tráfico, con su
respectiva interceptación de credenciales, ficheros o imágenes, también
permiten la modificación y la manipulación de paquetes que circulan en la
red.(Gupta & Kumar, 2015)
La seguridad de la información juega un papel importante en las
instituciones de educación superior de hoy en día. Sin embargo, debido al
crecimiento rápido y continuo de las Tecnologías de la información, ha
aumentado el número de crackers que efectúan amenazas internas y
externas en la red, violando la confidencialidad, integridad y disponibilidad
de los activos de carácter físicos y lógicos, para la mitigación de estos
riesgos presentes, lo habitual es utilizar herramientas y técnicas de
seguridad informática como cortafuegos, sistema de prevención y
detección de intrusos y VPNs, para la protección de datos que contiene los
sistemas académicos.(Eh & Lqflghqw, 2015)
Desafortunadamente, en la mayoría de los Instituciones de Educación
Superior (IES), la ethical Hacking no está integrada en la seguridad de
estas, donde el ciclo de vida de desarrollo se va disminuyendo mediante la
penetración de ataques de gran magnitud y los jefes del departamento de
TI de los institutos no se encuentran preparados para enfrentar los
6
incidentes de seguridad que pueden tener en un determinado momento.(Eh
& Lqflghqw, 2015)
Con el análisis de vulnerabilidades en la infraestructura tecnológica de
institutos de enseñanzas se determinaran los niveles de riesgos y
amenazas que pueden ocurrir al no tomar medidas de seguridad o planes
de acción adecuados para establecer un control o una mitigación sobre
estas debilidades identificadas.
Situación Conflicto. Nudos Críticos
Diversos institutos ubicados en la ciudad de Guayaquil tanto públicos como
privados no toman conciencia sobre materias de seguridad y los
departamentos de tecnología no se encuentran preparados ante incidentes
de seguridad de gran magnitud, esto acarrea que existan más
vulnerabilidades y amenazas que pueden ser aprovechadas o explotadas
por actores maliciosos en beneficio propio, ocasionando pérdidas
exorbitantes en la información relevante almacenada en estos sistemas
académicos. Además estas instituciones académicas no invierten en
dispositivos de seguridad y en profesionales especialistas en auditoria de
seguridad informática para ejecutar los posibles mecanismos o planes de
contingencia que proporcionen una mitigación o llevar controles sobre estas
vulnerabilidades detectadas.
El personal que labora en el centro de cómputo del Instituto Escuela
Culinarias de las Américas exponen los servicios académicos en redes
públicas ante advertencias informáticas que pueden ser aprovechadas por
los piratas maliciosos para el acceso no autorizado a la información, donde
no cuentan con las cautelas y medidas de seguridad requeridas para evitar
que los atacantes conserven perpetuamente los datos de la institución de
carácter confidencial comprometida con ellos, cuya finalidad buscan hacer
algún tipo de daño en contra de la organización académica, motivo por el
cual se debe ejecutar una solución a la problemática presente en la
infraestructura tecnológica en mención.
7
Uno de los factores críticos que posee los Institutos en mención es la falta
de presupuesto financiero debido a esto no cuentan con los equipos de
seguridad necesarios y los especialistas de la rama de auditoria informática
para la ejecución de las respectivas evaluaciones de vulnerabilidades,
donde ellos puedan dar a conocer a los directivos de la Escuela Culinaria
sobre las falencias o fallos que poseen y los riesgos que pueden suceder
al no corregir estos agujeros identificados.
Muchas veces las instituciones académicas no están de acuerdo en gastar
en herramientas o dispositivos apropiados para evaluar habitualmente los
sistemas de información académico, sin embargo no es factible atenuar con
la pérdida de información debido a la falta de medidas de control que
ayuden a medir el rendimiento de los riegos técnicos, los tiempos de
inactividad de los servicios que generarían la disminución de alumnos en
los institutos
La concientización en la práctica de las acciones y compromisos del
personal interno de las instituciones académicas para evitar las fugas de
información de carácter confidencial es de gran importancia para neutralizar
la posibilidad que tendría un atacante malicioso externo filtrar los datos
sensibles y relevantes. Es por este motivo que se plantea una solución a
bajo costo de forma periódica a las posibles amenazas internas y externas
y ataques cibernéticos que puedan comprometer de forma esencial la
información de la Escuela Culinaria.
8
Causas y Consecuencias del Problema
Tabla 1 Causas y Consecuencias del Problema
Causas Consecuencias
Falta de conocimiento sobre
materias de seguridad en las
instituciones públicas y privadas,
ubicadas en la ciudad de
Guayaquil.
Esto acarrea que existan
vulnerabilidades y amenazas que
pueden ser aprovechadas por un
atacante malicioso en beneficio
propio, para el robo de información
confidencial.
No existe inversión sobre
dispositivos de seguridad y
especialistas de auditoria de
seguridad informática.
La falta de controles de seguridad
que garanticen la confidencialidad,
integridad y disponibilidad de la
información.
Sistemas académicos públicos e
infraestructura de red vulnerables.
Falta de confiabilidad por parte del
personal docente y estudiantes que
tienen acceso a estos sistemas
académicos y a la red de datos en
general.
La pérdida de información sensible
en los sistemas académicos de los
Institutos.
Se pueden producir daños
irreversibles en toda la red de datos
implementados en los Institutos.
Fuente: Datos de la investigación
Autores: Erick Yánez – Milagros Parra
Delimitación del Problema
CAMPO: Redes
ÁREA: Telecomunicaciones
ASPECTOS: Seguridad de redes Informática.
TEMA: Análisis de vulnerabilidades en la infraestructura tecnológica
de una empresa, utilizando herramientas de test de intrusión.
9
Formulación del Problema
¿Cuál es la importancia del análisis de vulnerabilidades en la
infraestructura de la Escuela Culinaria de las Américas, y de hallar los
fallos de seguridad y amenazas presentes en la infraestructura
tecnológica de la misma?
Es de vital importancia que el personal de tecnología de la Escuela
Culinaria de las Américas, tenga conocimiento de estos fallos de seguridad
debido a que las vulnerabilidades presente en los sistemas académicos son
una de las primordiales amenazas, que pueden ser aprovechadas por los
crackers que pueden ejecutar ataques cibernéticos, para obtener el acceso
ilícito a la información de carácter confidencial almacenada en estos
sistemas en beneficio propio o de terceros, causando daño en los activos
tanto físico como lógicos. Las instituciones académicas deben tomar
conciencia sobre estos riesgos que contiene cada vulnerabilidad detectada,
para establecer las medidas de control adecuadas aplicando estándares de
seguridad de la información para que ellos puedan tener estos riesgos
existentes bajo control.
Evaluación del Problema
A continuación se indicará los aspectos generales seleccionados
adaptados al proyecto de titulación, los mismos que nos ayudaran a
determinar la problemática actual y a definir alternativas de seguridad para
la resolución del problema.
Los aspectos generales de evaluación son:
Delimitado: Los controles que se efectúan para la mitigación de ataques
informáticos que puede ejecutar un cracker o atacante malicioso hacia la
infraestructura tecnológica de la Escuela Culinaria, no es el más apropiado
moción por el cual se presenta esta propuesta tecnológica para que los
directivos tengan conocimiento sobre las vulnerabilidades presentes en la
red del Instituto.
10
Claro: Las herramientas de seguridad informática como Foca, Whois,
TheHarvester, Maltego, Nmap, Nessus, Sparta y Golismero aplicadas en el
proyecto de investigación detallaran rotundamente las posibles
vulnerabilidades exhibidas en la infraestructura tecnológica de la Escuela
Culinaria, y como aplicar planes de contingencia y estándares de seguridad
de la información para poder mitigarlas o tenerlas bajo control.
Evidente: Con el respectivo análisis de vulnerabilidades en la
infraestructura tecnológica del Instituto de la Escuela Culinaria, se
alcanzara detectar el comportamiento de la red y del sistema académico
por medio de los ataques informáticos y a su vez verificar la capacidad que
pueda tener la red al ser atacada basado en este análisis, se aplicara
técnicas de protección para evitar la indisponibilidad de los servicios
académicos cuando son sometidos a un ataque cibernético.
Concreto: El personal que labora en el departamento donde está montada
la infraestructura tecnológica del Instituto, no toma en consideración en la
realización de un análisis de vulnerabilidades periódico para la verificación
de fallos de seguridad y la determinación de los niveles de riesgos que
puede contener cada debilidad identificada, por este motivo el personal no
se encuentra preparado ante incidentes de seguridad de gran magnitud
presentes en ese momento en los sistemas académicos.
Relevante: El proyecto de investigación con su respectiva visión de estudio
definido y concreto, el cual se da un énfasis a un análisis de vital
importancia tanto para el personal que labora en el departamento técnico
informático del Instituto como para los directivos de la carrera Culinarias en
mención para que tengan un conocimiento sobre todas las amenazas
internas y externas que puedan estar presentes.
Factible: Las distintas distribuciones de Linux integrada con sus
respectivas aplicaciones son utilizadas en entornos empresariales y son
herramientas de código abierto, estas lidian con sistemas operativos
11
licenciados, las cuales ellos tienen la capacidad de cumplir las mismas
funciones de los otros por una cantidad de pago de licencia.
Alcances del Problema
Se realizará un análisis de vulnerabilidades de manera profunda en la
infraestructura tecnológica de una institución académica que contiene
información sensible como direccionamiento de red público en el cual se
encuentran los servidores a analizar, dominios, subdominios, servidor de
nombres, bases whois, puertos abiertos, servicios que se ejecutan sobre
ellos, archivos de configuración, registros de bases de datos, con el fin de
establecer desenlaces precisos las cuales permitirán una solución de
seguridad proporcionada que se encuentre acorde a las necesidades y
requerimientos que se presentan en el instituto.
El proyecto de investigación a desarrollar comprende tres componentes de
la Metodología OSSTMM tales como Seguridad de la información,
Seguridad de los Procesos y Seguridad de las Tecnologías del Internet, las
tres secciones restantes referente a los sistemas de telefonía IP, redes
inalámbricas y tecnologías RFID1 – NFC2 y seguridad física no son
aplicables al proyecto.
Se recomendará al personal encargado del departamento de tecnología del
Instituto, cómo llevar los controles de seguridad adecuados para poder
mitigar las posibles vulnerabilidades existentes a través de estándares de
seguridad de la información ISO y el OSSTMM y estos proporcione un
método para tener estos fallos de seguridad bajo control. El informe de
auditoría sobre este análisis de vulnerabilidades con sus respectivos
hallazgos será comunicado a los especialistas que laboran en el
departamento técnico informático de la Escuela Culinaria, para que
1 RFID: Radio Frecuencia a larga distancia.
2 NFC: Radio Frecuencia a corta distancia.
12
ejecuten mecanismos de seguridad basados en la metodología de
seguridad OSSTMM el cual permitirá a través de sus fases un cuadro de
demostración claro y detallado.
Al final del estudio se entregará la documentación del análisis realizado
sobre la infraestructura del Centro de cómputo de la empresa comercial, no
siendo posible su demostración en los mismos debido a que son equipos
que prestan servicios en ambiente de Producción y lo recomendable en
estos casos es no realizar ningún tipo de ataques en ellos debido a la
criticidad que representan. En este entorno se hará una demostración sobre
estudio realizado se utilizara un ambiente virtual de acuerdo a las
características y servicios que preste la infraestructura tecnológica, en este
ambiente de simulación se logrará verificar cómo se ejecutan los ataques
informáticos y de qué manera podrían llegar afectar la infraestructura.
OBJETIVOS DE LA INVESTIGACIÓN
Objetivo general
Analizar las vulnerabilidades presentes en la red de la Escuela Culinaria
utilizando el estándar de seguridad OSSTMM3 para evitar el acceso no
autorizado a los procesos del sistema de información académica.
Objetivos específicos
1. Realizar un levantamiento de información de toda la infraestructura
de red de la Escuela Culinaria de las Américas.
2. Realizar un análisis de vulnerabilidades utilizando el estándar de
metodología OSSTMM y determinar los riesgos que contiene las
mismas a través de herramientas de código abierto.
3 OSSTMM: Manual de la metodología abierta de seguridad
13
3. Determinar los controles a recomendar basados en la ISO
27001:20134 para la gestión de las vulnerabilidades técnicas
detectadas en la infraestructura tecnológica del instituto Escuela
Culinaria de las Américas.
4. Presentar un informe de auditoría de seguridad informática
detallando los hallazgos de la red del Instituto Escuela Culinaria de
las Américas.
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
A diario es muy frecuente que las universidades tengan información de
carácter sensible expuesta en la red de internet, la cual es el blanco preciso
de ataques informáticos por parte de personas no autorizadas a las
instituciones académicas que acceden a dicha información de manera
ilícita mediante una conexión a internet, con la finalidad de atentar a la
confidencialidad e integridad de los datos extrayendo los activos lógicos de
suma importancia para la institución.
Uno de las principales fallos a las que están expuestos los institutos
ubicados en la ciudad de Guayaquil que manejan información sensible y de
gran importancia, es falta de conciencia de temas de seguridad y la poca
inversión en dispositivos de seguridad, por este motivo se dispone analizar
el campo de vulnerabilidades o debilidades, para así poder identificarlas
mediante el uso de herramientas de código abierto que proporcionen
métodos y controles para disminuir el grado de amenaza expuesto en cada
vulnerabilidad y tenerla bajo control la misma.
Debido al problema identificado en la institución académica es de gran
importancia y necesario planificar la ejecución de un análisis de
vulnerabilidades completo, para la detección de los fallos de seguridad de
4 ISO 27001:2013: Estándar de seguridad de la información
14
la información aplicando lineamientos o secciones enmarcadas en la
metodología internacional OSSTMM, en donde esta irá revelando por
medio de métodos a seguir, la mayor cantidad de falencias presentes en la
infraestructura tecnológica de la Escuela Culinaria de las Américas.
La seguridad informática en entornos de redes de datos gravita en asegurar
que los recursos del sistema de información académica del instituto se
manejen de la manera como fueron instaurados y que el acceso a la
información confidencial e integra solo sea posible para el personal que se
encuentre laborando y este dentro de los límites de su autorización.
Las ventajas que ofrece la seguridad informática aplicando su metodología
OSSTMM sin incertidumbre alguna han sido aplicados por las personas que
consideran que sus intereses dentro de una organización o institución
académica podrían verse perjudicados gravemente a consecuencia de un
ataque informático ejecutado por un pirata malicioso debido a que no se
proporcionaron los planes de contingencia adecuados para tratar de evitar
el acceso no autorizado a la red de datos de la facultad en mención a
usuarios maliciosos.
Por lo tanto el presente proyecto de investigación a desarrollar se basa en
descubrir o identificar vulnerabilidades existentes que enfrenta una
institución de carácter académico que dispone de servicios tales como
DNS5, WEB6 y CORREO7 que interactúan directamente con la red pública,
debido a que la información confidencial de una institución de educación
superior se la determina incuantificable cuando se trata de datos de gran
relevancia o críticos.
5 DNS: Servidor de nombre de dominio.
6 WEB: Servidor de aplicaciones de gestión.
7 CORREO: Servidor de mensajería.
15
El objetivo de la seguridad informática es proteger los activos tanto físicos
como lógicos de gran validez del instituto educativo asegurando que los
recursos de la Institución académica se encuentren disponibles ante
cualquier requerimiento solicitado por los usuarios. A través de la adopción
de los planes de contingencia y control, la seguridad informática brinda a la
organización a efectuar sus metas y propósitos, protegiendo sus recursos
académicos, sus servicios ejecutados en la red de datos, su prestigio y su
entorno legal.
En general el primordial objetivo de los institutos, es obtener los máximos
beneficios para la seguridad y el buen estado de la información, procurar
un servicio eficiente y seguro a los usuarios. En los Institutos privados, la
seguridad informática debería apuntalar la obtención de beneficios, para
ello se deben implementar técnicas de protección en los sistemas para
evitar las viables pérdidas que podrían causar la degradación de la
funcionalidad o el acceso a los sistemas por parte de personas no
autorizadas a la institución.
De igual forma, los institutos académicos públicos deben aplicar planes de
prevención para que sus sistemas se encuentren disponibles y con un
mejor rendimiento eficiente. La metodología de seguridad informática
OSSTMM es utilizada de manera frecuente por los auditores para la
ejecución de tareas específicas referente al proceso de auditoría. En el uso
de esta metodología no solamente se utilizan las fases de recolección de
datos, y la verificación de los mismos si no la de evidenciar efectivamente
los agujeros de seguridad detectados y los riesgos que se pueden
presentar al ser explotadas las vulnerabilidades identificadas por los
crackers.
Para ejecutar la metodología OSSTMM, se debe tener un conocimiento
profundo referente al estándar de seguridad informática. Con la ayuda de
esta metodología proporcionara a los auditores de seguridad informática,
ejecutar herramientas de escaneo de vulnerabilidades de acuerdo a la
16
sección que se esté ejecutando en la institución académica auditada.
Además la metodología de seguridad informática se integra con las fases
del hackeo ético y las del test de penetración o intrusión.
17
CAPÍTULO II
MARCO TEÓRICO
IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA EN LAS
ORGANIZACIONES
En la actualidad la información manejada por las organizaciones es
primordial e indispensable, para el control de los proyectos, los negocios,
las tácticas y el mercado de los productos y el aumento de la productividad
empresarial en las compañías, la mala manipulación de los datos de
carácter sensible por usuarios pertenecientes a una entidad de índole
corporativo se vuelve en un entorno preocupante en las compañías hoy en
día.(Garzón, Ratkovich Gomes, Vergara Torres, & Serrano, 2012)
La implementación de los proyectos de seguridad informática para la
protección de los activos físicos y lógicos son integrados en los sistemas
de información y comunicación para la ejecución de técnicas de
salvaguarda evitando así que los usuarios maliciosos apliquen conductas
antisociales y delictivas, otorgando la facilidad de cometer delitos
cibernéticos en formas no tradicionales, atentando contra la
confidencialidad, disponibilidad, seguridad e integridad de la infraestructura
tecnológica de las organizaciones y los datos de gran importancia.
En consecuencia, esto produce un aumento en el grado de vulnerabilidad
e inseguridad sobre la eficacia de los sistemas informáticos que guardan y
preservan la información, lo cual ha convertido a la seguridad informática
en un método principal para cualquier empresa de carácter público y
privado.(Garzón et al., 2012)
La informática aplicada a las organizaciones es un principio fundamental
para el manejo de procesos y automatización de la información de manera
18
digital logrando así evitar el gasto físico de materiales en una oficina, la
sistematización ha sido tradicionalmente una materia compleja en todos los
aspectos y entornos a la que está adaptada, por lo que se hace necesaria
la utilización de metodologías en cada doctrina que la componen, desde su
diseño de ingeniería hasta el desarrollo del software, controlando todas
estas áreas mediante la auditoria de seguridades de redes y
telecomunicaciones.(Garzón et al., 2012)
Una de las metodologías de seguridad informática enfocada
específicamente a los análisis de vulnerabilidades en empresas, institutos
de enseñanza, entidades financieras, hospitales y demás es el estándar
OSSTMM8 cuya finalidad es dar a conocer a las organizaciones las
falencias de seguridad presentes en la red corporativa para así aplicar las
medidas de solución que ayuden a establecer controles en la
infraestructura tecnológica en las compañías auditadas, así como también
asegurar aquellos recursos que estén expuestos a un ataque informático
por parte de personas internas o externas a la entidad.
Además la metodología OSSTMM, es un proceso iterativo, reiterado en el
tiempo y se adapta a los avances de la tecnología para la identificación de
nuevos riesgos para las organizaciones.(Garzón et al., 2012)
La seguridad informática desde sus inicios ha enfrentado el reto de proteger
la información de carácter confidencial con la cual trabajan las
organizaciones, y promover el desarrollo tecnológico de técnicas de
seguridad para enfrentar los ataques cibernéticos ejecutados por los
crackers cuyo objetivo es causar daño a los datos relevantes en beneficio
propio, en la actualidad los atacantes desarrollan técnicas de intrusión cada
vez más sofisticadas que ayudan a romper brechas de seguridad para la
8 OSSTMM: Open Source Security Testing Methodology Manual
19
obtención del acceso ilícito a los sistemas, las organizaciones hacen
necesario contratar especialistas de la rama en mención que proporcione
sus métodos de hacking dando así un breve conocimiento de todas las
vulnerabilidades y riesgos identificado a las empresas de alta
competitividad simulando pruebas de penetración.
Los test de intrusión utilizan una variedad de herramientas especializadas
para hacer pruebas mucho más rápidas y eficaces para el descubrimiento
de falencias de seguridad. Al igual que otros trabajos dominados se podría
usar programas simples, manuales, pero las aplicaciones automáticas
diseñadas logran mucho más y un mejor tiempo.(Ron & Ninahualpa, 2012)
Aseguramiento y configuración de sistemas operativos servicios,
herramientas y dispositivos
Uno de los puntos funcionales que proporciona la metodología OSSTMM
es el aseguramiento y la buena configuración de los servicios
implementados en la infraestructura de red de las organizaciones, la
ejecución adecuada de herramientas o aplicaciones que poseen las
empresas para su protección, así como de los dispositivos que hacen parte
de la arquitectura de red.
Dentro de las herramientas que se utilizan a diario en una empresa se
encuentra el sistema operativo, el cual controla el acceso y uso de los
recursos de una máquina, siendo uno de los elementos más apetecibles
por los atacantes maliciosos para intentar explotar cualquier vulnerabilidad
detectada, por lo tanto, en un sistema operativo se debe contemplar:
Identificación y autentificación de los usuarios.
Control de acceso a los recursos del sistema.
Monitorear las acciones realizadas por los usuarios.
Auditoría de seguridad de los eventos de posible riesgo.
Garantía de integridad de los datos almacenados.
20
Garantía de la disponibilidad de los recursos.
En caso los piratas informáticos son aquellas personas que poseen esas
habilidades de un hacker pero a diferencia de ellos, realizan delitos
informáticos, existe un gran porcentaje de ellos que se benefician del
desconocimiento y vulnerabilidades informáticas, pudiendo llegar a
generar daño social especialmente cuando se le suman aspectos
relacionados con política anti/pro estatal y/o anti-algún modelo
económico-social.(Manchola, Suarez, & Herrera, 2016)
ANTECEDENTES DEL ESTUDIO
En la realidad actual la palabra hacker se deriva del vocablo inglés “hack”,
que significa cortar/golpear, el cual comenzó a adquirir su primera
connotación tecnológica a principios del siglo XXI, cuando pasó a formar
parte de la jerga de los técnicos telefónicos de los EE.UU, quienes en
ocasiones lograban arreglar de inmediato las cajas defectuosas mediante
un golpe seco, un hack.(Manchola et al., 2016)
Los hackers son personas expertas en algún campo de la informática, ellos
poseen conocimiento de redes, sistemas operativos en diversas
plataformas en Linux y Windows, telecomunicaciones y programación de
redes. Estos especialistas informáticos descubren soluciones brillantes
para la resolución de problemas de gran complejidad. “Seymour Cray,
diseñador de la gama de supercomputadoras Cray, fue uno de los mejores
hackers, se dice de él, que en cierta ocasión, introdujo de principio a fin un
sistema operativo de su invención en una de sus computadoras, usando los
conmutadores de su panel de control.”[3].
Con el transcurso del tiempo, los delitos informáticos ejecutados por los
crackers en Colombia, país vecino del Ecuador, han venido en aumento en
las entidades bancarias, quienes debido a la actividad de este grupo
generan pérdidas millonarias gracias principalmente a las vulnerabilidades
21
presentes en los sistemas de información de los bancos, el acceso a sus
bases de datos financieras por usuarios no autorizados y la clonación de
tarjetas de crédito de clientes de banco. Un ejemplo de estas intrusiones
maliciosas realizadas por atacantes en instituciones bancarias se dan en la
ciudad de Cali - Colombia, en donde el delito se presenta por un mismo
empleado de la entidad bancaria, que hurtaba dinero a los usuarios por
medios informáticos utilizando la falsedad de documento privado, “De
acuerdo con la investigación, el hombre, en su calidad de ejecutivo, accedía
a las cuentas de los usuarios suplantando su firma y su huella. Así, retiraba
dinero que éstos poseían en sus cuentas. Desde el año 2012 se sustrajeron
a los clientes del banco $360 millones.”.(Manchola et al., 2016)
Actualmente los jóvenes crackers utilizan su conocimiento para beneficio
propio o hacer daño a su objetivo, una de las noticias que ocasiono impacto
en la comunidad de Colombia fue la de Alejandro Robayo (Estudiante del
último semestre de la Universidad de los Andes), sentenciado a tres años
de prisión por acceder ilícitamente a la plataforma de notas de la
universidad en el que él estudiaba y atento a la integridad de la información
enfocadas en calificaciones académicas. Inicialmente con el objeto de
modificar sus propias notas para mantener una beca y posteriormente
como servicio ofrecido a terceros. Para el caso de Robayo, este fue según
la Unidad de Delitos Informáticos de la DIJÍN, que realizó la investigación,
más de 20 estudiantes pudieron haberle pagado a Robayo por cambiar
notas y planillas de asistencia a clases.”. La Unidad de Delitos Informáticos
de la DIJÍN ubicada en Bogotá – Colombia al verificar lo sucedido con este
estudiante adelantó investigaciones de denuncias realizadas por otras
universidades en Bogotá, Pasto y Barranquilla, en donde no solo se
investiga casos realizados por los estudiantes sino también en otro tipo de
empleados como los de admisiones y registro entre otros.(Manchola et al.,
2016)
22
Un estudio realizado por la Fiscalía General de la Nación mencionó que las
ciudades más afectadas por los delitos informáticos ejecutados por los
atacantes informáticos, donde ellos han generado pérdidas económicas
hoy en día son las siguientes: Bogotá, Costa Caribe, Cali, Medellín, Pasto
y la zona Andina, aunque ninguna parte del país se salva de este tipo de
delincuentes cibernéticos, aunque en estas ciudades, el proceso de
investigación y el de prueba legal e informática es la principal dificultad para
procesar este tipo de delitos. Iván Darío Marrugo, abogado especialista en
Derecho de Telecomunicaciones describe, que desde hace unos años
tenemos una Ley de procedimiento administrativo (Ley 1437 de 2011) y el
Código General del Proceso (Ley 1564) que abrió la posibilidad de admitir
pruebas electrónicas en este tipo de juicios. Cabe destacar que aparte de
la sofisticación alcanzada por las autoridades judiciales para identificar y
detectar este tipo de delitos, la cultura de denuncia de los ciudadanos ha
aumentado desde el año 2016 hasta la actualidad.(Manchola et al., 2016)
Según indica Daniel Santiago Garzón estudiante de la Pontificia
Universidad Javeriana de Bogotá – Colombia que en los últimos 5 años las
organizaciones poseen el área o departamento de Seguridad Informática,
encargada para brindar la máxima protección de los activos ubicados en
los diferentes sectores de la empresa. Ésta se enfoca en los cinco principios
básicos o elementos de la seguridad informática: confidencialidad,
disponibilidad, integridad, auditabilidad y no repudio, pero debe tenerse en
cuenta que no solo con estos principios se garantiza una seguridad
efectiva, ya que la forma en que estos principios tengan efectos en pro de
la organización es mediante la implantación de controles o mecanismos de
seguridad, basados en las políticas generales de la empresa,
particularmente en las políticas y procedimientos de seguridad, con lo que
se busca minimizar las vulnerabilidades expuestas y aumentar la seguridad
de la información.(Garzón et al., 2012)
23
La funcionalidad principal del departamento de seguridad informática es el
incremento y la salvaguarda de los activos de información de carácter
confidencial, para aplicar estos mecánicos o planes de acción es necesario
ejecutar un análisis de vulnerabilidades, para identificar aquellas brechas
de seguridad que se encuentran expuestas hacia el exterior o el interior de
las organizaciones, así como facilitar la toma de decisiones sobre las
formas de proteger sus bienes y los servicios que prestan a la comunidad
empresarial y residencial. De este modo, el estudio de estas falencias
abarca varios frentes de seguridad, reduciendo al mínimo la efectividad de
los ataques que pueden aprovechar las mismas.
Estos frentes son Seguridad Lógica, donde se aplican barreras y se
elaboran procedimientos que ayuden a proteger los datos sensibles,
Seguridad Física, la cual aplica defensas físicas y procedimientos de
control, Políticas y Estándares, que son los documentos que utiliza una
organización para administrar y proteger la información; y finalmente
Auditoría de Seguridades de Redes, que es la revisión y la evaluación de
los controles, sistemas y procedimientos de informática.(Garzón et al.,
2012)
Asimismo, se deben identificar y mitigar los riesgos a los que se encuentra
expuesta la empresa, de tal modo que cada uno de estos frentes
identifique, administre y mitigue cada uno de los mismos, basados en las
necesidades y requerimientos de la empresa.(Garzón et al., 2012)
24
FUNDAMENTACIÓN TEÓRICA
OBJETIVOS DE UN ETHICAL HACKER
El objetivo principal de un proceso de ética al hacking es el de realizar una
serie de pruebas para demostrar el nivel de riesgo que contiene cada
vulnerabilidad identificada durante el proceso de auditoría, estas pruebas
son acordadas entre el cliente y el especialista de seguridad informática en
la organización que se realiza la auditoría, al final de este análisis se
elabora los respectivos informes para que la empresa pueda tomar las
medidas pertinentes evitando así que existan accesos ilícitos en la red a
futuro.(PÉREZ, 2015)
Las líneas generales que se debe llevar acabo en los procesos de la ethical
hacking es la de investigar y detectar las vulnerabilidades existentes en un
sistema de interés. Para realizar esta tarea los profesionales en el área de
seguridad cumplen las 2 primeras fases del hacker ético que es las
siguientes: la fase de reconocimiento y escaneo son aquellas que le
permiten a la persona contratada en la organización verificar los puntos de
acceso y la información relevante que puede ser comprometida.(PÉREZ,
2015)
Una vez descubierto los puntos de entrada y el tipo de información
considerada como confidencial se procede a cumplir las 3 últimas fases de
un ethical hacker, tales como: las fases de obtención del acceso,
mantenimiento del acceso y el borrado de huellas; estas etapas muestran
los niveles de riesgos y amenazas que pueden suceder, donde usuarios no
autorizados afectan a la productividad de la empresa, sino se aplican los
procedimientos necesarios para tener estos riesgos bajo control.(PÉREZ,
2015)
25
TIPOS DE AUDITORÍA
Las auditorias son las bases de un proceso de ethical hacking, donde el
hacker llamado auditor, solamente identifica el problema y él solicita a la
empresa que efectúe un plan de acción para disminuir el
problema.(PÉREZ, 2015)
Los tipos de auditoría son conformados por 3 cajas:
Auditoría de caja negra: Es aquella que permite al auditor tomar el rol de
un hacker, en este tipo de caja el profesional de seguridad lógica no posee
la información necesaria sobre la empresa a auditar, esto quiere decir que
la visión global del sistema se encuentra oculta o no se conoce como se
organiza interiormente los servicios y las redes. El auditor se encargará de
recopilar todo tipo de información sobre el objetivo planteado, los datos que
recolecta el auditor son de carácter público y después se irán tomando los
contactos con los sistemas y servicios públicos de la compañía
objeto.(PÉREZ, 2015)
Auditoría de caja blanca: Este tipo de auditoria se enfoca en el rol de un
usuario interno de la organización, donde este proporciona toda la
información sobre los sistemas internos o la totalidad de los datos críticos
al auditor. En el proceso de caja blanca se revisan las configuraciones de
los sistemas políticas, servicios, redes y código de aplicaciones con el fin
de encontrar puntos críticos que permitan a los usuarios de ciertos grados
de privilegio obtener el acceso. El entorno empresarial es un esquema
complejo y posee la mayor cantidad de vulnerabilidades en sus
infraestructuras de red aunque estas no hayan sido detectadas todavía, es
importante la realización de este tipo de auditoria para comprobar lo que un
usuario con ciertos privilegios puede lograr.(PÉREZ, 2015)
Auditoría de caja gris: Es aquella que permite al atacante tomar el rol de
un cliente, un empleado, con pocos privilegios y de una ubicación concreta
el auditor dispone de una visión referente a los sistemas que se encuentran
26
instalados en la empresa este tipo de auditoria no dispone del mismo nivel
de acceso que en la auditoria de caja blanca, esto quiere decir que es un
empleado descontento atenta a la confidencialidad de la información
simulando un ataque interno (PÉREZ, 2015)
Los tipos de auditorías ante mencionados cumplen diferentes roles los
cuales los permite diferencial. (PÉREZ, 2015)
Para realizar este tipo de análisis se debe mencionar la siguiente,
metodología como una forma más avanzada de rastrear todo tipo de
amenaza tales que suelen tener interacciones humanas siendo
herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015)
En el mundo de la seguridad existen estándares, modelos o normas que
son aplicables al hackeo ético. Si verdaderamente se usa uno de estos
estándares concede a la empresa o auditor cierta categoría. Con la
finalidad de igualar los resultados entre procesos de distintos auditores, las
empresas generan la necesidad de utilizar alguno de estos estándares
existentes para la realización de pruebas de intrusión.(PÉREZ, 2015)
Para realizar este tipo de análisis se debe mencionar la siguiente,
metodología como una forma más avanzada de rastrear todo tipo de
amenaza tales que suelen tener interacciones humanas siendo
herramientas técnicas de controles y descubrimiento.(PÉREZ, 2015)
En el mundo de la seguridad existen estándares, modelos o normas que
son aplicables al hackeo ético. Si verdaderamente se usa uno de estos
estándares concede a la empresa o auditor cierta categoría. Con la
finalidad de igualar los resultados entre procesos de distintos auditores, las
empresas generan la necesidad de utilizar alguno de estos estándares
existentes para la realización de pruebas de intrusión.(PÉREZ, 2015)
27
Tabla 2 Estado de la seguridad
Estado
Realizado
No Aplicable
Documentado
En ejecución
Riesgo
Correcto
Baja
Media
Grave
Fuente: Trabajo de investigación Autores: Milagros Parra – Erick Yánez
Importancia del rol
Los procesos de ethical hacking están guiado por el rol de los auditores que
cumplen cada actividad que se va ejecutando, el auditor asume distintas
funciones que simulan ser usuarios o empleados en un instante y con
circunstancias concretas, es decir que el proceso se integra al rol
adjudicado por el profesional de seguridad informática.(PÉREZ, 2015)
Uno de los roles de los auditores internos es analizar los activos de cada
organización y categorizarlos en distintas secciones y con esto aplicar los
planes de contingencia en cada bien de gran importancia. Por el lado los
auditores externos identifican las vulnerabilidades relevantes explotándolas
para determinar los niveles de riesgos y amenazas.(PÉREZ, 2015)
Fuga de información interna
Son aquellos procedimientos que se definen como pruebas de análisis de
fuga de información para detectar canales o vectores por los que un
28
empleado puede sacar información sensible al exterior de la organización.
El objetivo del auditor es de estudiar distintos tipos de vías de acceso por
donde los atacantes tienen una entrada hacia los sistemas de manera
ilegal, uno de los ejemplos que se detalla es la que el hacker ético asume
el rol de un empleado de finanzas, el cual este quiere vender información
crítica de las empresas, el usuario establece este proceso de fuga de
información extrayendo dicha información del ordenador o de la estación
de trabajo. El hombre de finanzas utiliza medios tecnológicos tales como:
unidades extraíbles, correo electrónico, Discos duros externos y demás
para el hurto de los datos de carácter sensible.(PÉREZ, 2015)
Los empleados que comenten estos fraudes de carácter internos usan los
navegadores donde ellos disponen de los plugins que permiten añadir
archivos a los correos webmail y a los sitios de web de almacenamiento en
la nube.(PÉREZ, 2015)
Amenazas avanzadas persistentes
Una amenaza avanzada persistente consiste en realizar un ataque o un
conjunto de intrusiones sobre una muestra de personas o empleados de
una organización que cumplen con un rol de gran importancia simulando
un ataque dirigido a los usuarios relevantes. El rol de un auditor es la de
actuar como una persona maliciosa de índole externo donde esto ayudara
a realizar una investigación profunda sobre los empleados que laboran en
una empresa con el fin de obtener acceso a los ordenadores para verificar
el tipo de información que maneja la compañía.(PÉREZ, 2015)
METODOLOGIA OSSTMM (OPEN SOURCE SECURITY
METHODOLOGY MANUAL)
OSSTMM es una metodología de seguridad informática estructurada por
15 capítulos donde cada capítulo explica de cómo se debe de llevar a cabo
29
las pruebas de auditoria correspondientes en distintos entornos. Esta
metodología está enfocada en los análisis de vulnerabilidades, las métricas
de seguridad operativas, estructura del flujo de trabajo, las prácticas de
laboratorio referente a los sistemas de información y comunicación,
pruebas de seguridad en telecomunicaciones, pruebas de redes
inalámbricas y pruebas de seguridad en ambientes físicos.(PÉREZ, 2015)
Un aspecto importante que recopila OSSTMM es la elaboración de
informes y la gestión de los mismos. Un auditor de seguridad informática,
como se ha mencionado anteriormente, puede caer en el error al no utilizar
las métricas correspondientes basadas en las distintas valoraciones
dependiendo de los entornos a auditar. OSSTMM propone una vía de
generación de informes de manera estandarizada facilitando el trabajo a
los auditores de seguridad y proporciona una certificación para los
profesionales de la rama como analista tester o experto.(PÉREZ, 2015)
OSSTMM es el estándar de seguridad informática más utilizado por los
especialistas para la ejecución de los laboratorios por medio de esta
metodología de pruebas completa, donde proporciona herramientas de
calidad para el reporte del conjunto de resultados obtenidos mediante el
análisis. Los dos principales objetivos de OSSTMM es el alcance, el
entorno de seguridad operacional posible total en el que cualquier
interacción tiene lugar con algunos activos, que puede incluir los
componentes físicos de las medidas de seguridad. El alcance se compone
de tres canales:(Prandini & Ramilli, 2012)
COMSEC: Canal de seguridad de las comunicaciones.
PHYSSEC: Canal de seguridad física.
SPECSEC: Canal de seguridad del espectro.
30
Los canales son el medio de interactuar con los activos. Un activo es de
gran importancia para las organizaciones que poseen información de
carácter sensible. El alcance de la metodología OSSTMM requiere que
todas las amenazas se consideren posibles para ejecutar los respectivos
controles evitando que los atacantes puedan explotar o aprovecharse de
dichas amenazas.(Prandini & Ramilli, 2012)
Los tres canales principales se dividen en 5 subcanales que son los
siguientes:
Humano: Es aquel que comprende todos los elementos humanos
de todo tipo de comunicación.
Físico: Consiste en que los elementos tangibles de la seguridad
informática requieran de un energía física o una fuente principal de
energía para manipular los activos.
Comunicación inalámbrica: Es aquella que alcanza todas las
comunicaciones electrónicas, señales y emanaciones que tienen
lugar sobre el espectro electromagnético.
Redes de datos: Consiste en la comprensión de todos los sistemas
de información de carácter electrónico y que se ejecutan dentro y
fuera de la red donde las interacciones tienen lugar sobre cables
establecidos y líneas de red cableadas.
Telecomunicaciones: Comprende que todas las redes de
telecomunicaciones, digitales o analógicas tengan interacción sobre
líneas de red establecidas.
31
Gráfico 1 Canales de OSSTMM
Fuente: Trabajo de investigación
Autores: Erick Yánez – Milagros Parra
32
Preparación y planeación de un reporte de auditoria de seguridad
Gráfico 2 Planeación de un informe
Fuente: http://0-ieeexplore.ieee.org.almirez.ual.es/document/5546813/
Autores: Prandini, Marco Ramilli, Marco
En los informes de auditoría de seguridad informática se detallan los
conjuntos de acciones realizadas por medio del estándar OSSTMM donde
se convirtió en una de las metodologías más completas de la
historia. OSSTMM fue la primera metodología en integrar factores humanos
en las pruebas de laboratorio, teniendo en cuenta las operaciones
determinadas por las personas de carácter maliciosas que usan sus
conocimientos para comprometer el sistema ocasionando los declives
económicos en la organización. Capturar los factores humanos como
ataques iniciados y ataques de ingeniería social es una característica de
gran valor para la toma de controles en los empleados.(Prandini & Ramilli,
2012)
Dentro de una planeación y preparación se describen las siguientes
acciones ejecutadas por los profesionales de seguridad dentro de una
organización a auditar:
33
Bugs Información Descubrimiento: En esta etapa, los
profesionales de seguridad informática, mediante un análisis
automático y manual, realizan una recolección de información sobre
la organización a auditar.
Exploración: En este paso, los asesores de seguridad lógica filtran
la información obtenida en el paso anterior, obteniendo una lista de
vulnerabilidades dentro de los sistemas auditados.
Evaluación de vulnerabilidad: En esta fase se calcula la
rentabilidad de la vulnerabilidad.
Explotación: El auditor utiliza técnicas conocidas e improvisadas,
para iniciar la explotación del sistema.
Gráfico 3 Fases para la elaboración de un reporte de seguridad informática
Fuente: http://0-ieeexplore.ieee.org.almirez.ual.es/document/5546813/
Autores: Prandini, Marco Ramilli, Marco
SECCIONES DE LA METODOLOGIA OSSTMM
El Manual de la Metodología Abierta de Comprobación de la Seguridad
OSSTMM, es uno de los estándares profesionales más completos y
comúnmente utilizados en auditorías de seguridad informática para revisar
los estados de los sistemas de información desde el Internet. OSSTMM
integra un marco de trabajo que detalla las fases que se realizan para la
34
ejecución de la auditoría. Esta metodología está compuesta por las
siguientes secciones:(ISECOM, 2014)
Sección A – Seguridad de la Información
1. Revisión de la inteligencia competitiva
2. Revisión de la privacidad
3. Recolección de documentos
Sección B – Seguridad de los procesos
1. Testeo de solicitud
2. Testeo de sugerencia dirigida
3. Testeo de las personas confiables
Sección C – Seguridad en las tecnologías del internet
1. Logística y controles
2. Exploración de la red
3. Identificación de los servicios del sistema
4. Búsqueda de información competitiva
5. Revisión de la privacidad
6. Obtención de documentos
7. Búsqueda y verificación de vulnerabilidades
8. Testeo de aplicaciones de internet
9. Enrutamiento
10. Testeo de sistemas confiados
11. Testeo de control de acceso
12. Testeo de sistema de detección de intrusos
13. Testeo de medidas de contingencia
14. Descifrado de contraseñas
15. Testeo de denegación de servicios
16. Evaluación de políticas de seguridad
35
Sección D – Seguridad en las Comunicaciones
1. Testeo de PBX
2. Testeo del correo de voz
3. Revisión del FAX
4. Testeo del modem
Sección E – Seguridad Inalámbrica
1. Verificación de las radiación electromagnética (EMR)
2. Verificación de las redes inalámbricas [802.11]
3. Verificación de las redes bluetooth
4. Verificación de los dispositivos de entrada inalámbricos
5. Verificación de dispositivos de mano inalámbricos
6. Verificación de comunicaciones sin cable
7. Verificación de dispositivos de vigilancia Inalámbricos
8. Verificación de dispositivos de transmisión inalámbricos
9. Verificación de RFID
10. Verificación de sistemas infrarrojos Sección F – Seguridad Física
1. Revisión del perímetro
2. Revisión de monitoreo
3. Evaluación de los controles de acceso
4. Revisión de la respuesta de alarmas
5. Revisión de la ubicación
6. Revisión del entorno
DEFINICION DE LAS SECCIONES A, B, C DE LA METODOLOGIA
OSSTMM
Sección A – Seguridad de la información
Revisión de la inteligencia competitiva
La competitividad mundial ha aumentado en la actualidad, produciendo en
cada una de las organizaciones un elevado interés en la creación de
36
elementos y componentes internos que permitan dominar a la competencia,
originando dentro de éstos un enfoque dinámico basado en el estudio de la
innovación, cuyo módulo principal es el conocimiento, fundamentado en la
inteligencia competitiva (IC).(Edith & Trujillo, 2013)
La inteligencia competitiva está definida por la Sociedad de Profesionales
de Inteligencia Competitiva (SCIP) en Estados Unidos como un proceso
ético y sistemático para la recolección de información, análisis y
diseminación pertinente, precisa, específica, oportuna, predecible y activa,
aplicada al ambiente de negocios, innovados por los competidores y de la
propia organización”.(Edith & Trujillo, 2013)
La competitividad de las organizaciones depende de cómo se explotan los
recursos de información, en los distintos entornos de trabajo enfocado a la
inteligencia competitiva como el acceso a tiempo al conocimiento e
información relevantes en las distintas fases de la toma de
decisiones.(Edith & Trujillo, 2013)
La inteligencia competitiva es uno de los módulos menos valorado en
referencia a los demás a la hora de realizar un test de penetración, este no
es intrusivo, y no se requiere el mayor conocimiento técnico en un test de
intrusión para ejecutar este punto de la sección. Básicamente la revisión de
la inteligencia competitiva está enfocada en recabar toda la información
posible de la empresa auditada.(ISECOM, 2016)
Este módulo es aplicado para la recopilación de información de carácter
confidencial para poder crear un mapa con una estructura de las
instalaciones informáticas buscando la presencia en Internet que tiene la
empresa. Es decir, se trata de recolectar todos los datos sensibles
disponibles de la organización.(ISECOM, 2016)
37
Muchas veces, se verifica que la información puede ser recabada de forma
legal, en páginas web, en la prensa, fuentes científicas, etc. Este método
de recolección es de gran importancia porque recopila la mayor cantidad
de información relevante relacionada a los servicios que brinda las
compañías de índole corporativa (tales como números de teléfono, correos
electrónicos junto con usuarios de contacto, páginas web, servidores FTP,
servidores DNS, etc.), entre otros de carácter menos técnico. Algunos
aspectos interesantes podrían ser:(ISECOM, 2016)
Compañía de la cual depende.
Compañías dependientes de la misma.
Compañías hermanas.
Proveedores.
Clientes.
Productos que ofrece.
Algunas de las direcciones IPs relevantes, son útiles al realizar el ataque
informático. Consideramos de gran importancia las IP si éstas:
Pertenecen a la organización.
Usadas por la organización.
Están registradas a nombre de la organización.
Sirve a la organización de alguna forma.
Está asociada a la organización.
Revisión de la privacidad
La revisión de la privacidad, posee la función de encargarse de los
segmentos éticos y legales referentes al almacenamiento, transmisión y
control de datos de empleados de una empresa y clientes corporativos y
residenciales. Este punto de esta sección se encarga del cumplimiento de
los derechos de los usuarios dentro de la organización, para que sus datos
personales no queden al descubierto de los atacantes maliciosos que
38
intentan hacer daño a la información de carácter confidencial. Se refiere
también, a como se distribuyen las contraseñas.(ISECOM, 2016)
La divulgación de la información relevante referente a un usuario es aquella
cuando el atacante tiene acceso a la misma y este posee la capacidad de
comprometer a una persona en especial, destruyendo el prestigio de la
misma afectando a la organización. Es frecuente, hallar diversas
contraseñas escritas en etiquetas pegadas al computador, por ejemplo,
post-its enganchados en el borde del monitor del puesto de trabajo. A pesar
de que muchas leyes son locales, todas se aplican a Internet, y por tanto,
afectan a los security testers internacionalmente. Es necesario pues, tener
un conocimiento básico de estas leyes, y las medidas necesarias para que
la empresa pueda cumplirlas.(ISECOM, 2016)
Recolección de documentos
Esta sección almacena cierta relación con la fase de revisión de inteligencia
competitiva, para el enfoque de aspectos más pequeños y concretos, como
correos electrónicos, ofertas de trabajo etc., que se pueden extraer de
archivos que contienen información o metadatos. Una herramienta
importante enfocada a la recolección de documentos es la aplicación de
FOCA cuya funcionalidad es recolectar todo tipo de registro referente a la
organización auditada. FOCA se trata de un programa que posee la función
de descargar los ficheros ofimáticos de páginas web o de un dominio,
extrayendo la información confidencial oculta, metadatos y datos perdidos,
también posee la capacidad de transponer la información adquirida
mediante el proceso de análisis del dominio con el fin de obtener el mapa
de la red estudiada.(ISECOM, 2016)
39
Gráfico 4 Recolección de documentos con foca
Fuente: Trabajo de investigación Autores: Erick Yánez – Milagros Parra
Sección B – Seguridad de los procesos
Testeo de Solicitud
El testeo de solicitud, es un área conocida como la ingeniería social, en
este caso, los atacantes intentan ganar el acceso a los servicios solicitando
permisos al personal encargado de establecer los privilegios de acceso al
sistema, mediante el uso de sistemas de comunicación tales como: correo
electrónico, números de teléfono y demás haciéndonos pasar por personas
autorizadas a la organización.(ISECOM, 2016)
Uno de los principios básicos de la ingeniería social es: el eslabón más débil
de toda la cadena de seguridad es el usuario. Es decir que las empresas
pueden adquirir la mejor tecnología de la información ya sea por su alto
costo o por su funciones principales, pero el desconocimiento de los
usuarios hacen que los atacantes obtengan el acceso a los sistemas varias
veces con la finalidad de atentar a la confidencialidad de los activos
40
relevantes para las compañías, las falencias de seguridad de la información
no proceden de una programación obsoleta o configuración de los
servicios, sino de las personas con poca conciencia que no se da cuenta el
tipo de información que está facilitando a extraños a la
organización.(ISECOM, 2016)
Uno de los ataques de ingeniería social que utilizan los atacantes es el
phishing donde consiste en crear un servidor web falso haciendo creer a
los usuarios que es el original para la captura de credenciales de acceso al
sistema.(ISECOM, 2016)
Testeo de sugerencia dirigida
El testeo de sugerencia dirigida es un módulo, enfocado en la ingeniería
social en muchos aspectos, este punto coincide con el testeo de solicitud
en vista que no son dependientes entre sí. La diferencia entre ambos, es
cuando, el atacante suplanta la identidad de un usuario de índole público o
privado, e invita a otro usuario a visitar un lugar externo (por ejemplo, una
página web, o cuenta de correo electrónico).(ISECOM, 2016)
Uno de los primeros ataques de usurpación de identidad, es el phishing en
la cual consiste que un usuario exporte información al atacante, o que la
víctima visite una web que el pirata informático indique, donde tendrá
preparado algún sistema para atacar/engañar a la víctima.(ISECOM, 2016)
Un modelo del phishing, es atraer a la víctima a una página web con las
mismas características y modelo de la oficial (como por ejemplo la página
web de una institución bancaria), donde se le solicita al usuario que ingrese
los datos como usuario, contraseña, PIN de la tarjeta de crédito etc., y
después le haga click en enviar/confirmar.(ISECOM, 2016)
41
Gráfico 5 Ataque Phishing
Fuente: https://www.paginaswebciudadreal.es/blog/qrljacking-te-pueden-
robar-sesiones-whatsapp-web-whatsapp-phishing-privacidad/ Autor: Pablo González Pérez
Testeo de las Personas Confiables
Este último de los módulos es aquel que está enfocado en la ingeniería
social. En este tercer punto, se diferencia de los demás, en el hecho de que
en éste busca información privilegiada a la organización. Muchas veces, la
mayoría de los usuarios no tiene ninguna dificultad en revelar datos
sensible, lo cual, para un actor malintencionado es muy útil, como por
ejemplo, se muestra un escenario ficticio, sin embargo este módulo no está
encaminado al mundo empresarial, bien puede mostrar el alcance de este
tipo de adquisición de información. El ejemplo fue escrito por Antonio
Villalón, en la fuente perteneciente a la empresa S2 Grupo (empresa
de la ciudad de valencia de Seguridad gestionada).(ISECOM, 2016)
42
Sección C – Seguridad en las Tecnologías de Internet
Sondeo de la Red
Este modelo consiste en que un usuario puede proporcionar solamente un
rango de direcciones IPs para evidenciar las vulnerabilidades de la red.
Además, muchas veces, los resultados obtenidos en este módulo son
completados en módulos posteriores.(ISECOM, 2016)
Este módulo, se enfoca en el reconocimiento de la red, donde se indaga
todo tipo de información referente a ella. La fase de reconocimiento puede
ejecutarse de manera interna y externa dependiendo el tipo de auditoria
que se esté realizando en ese momento, en el punto referente al sondeo
de la red se puede explorar, rangos de direcciones IPs, dominios,
subdominios etc.(ISECOM, 2016)
Gráfico 6 Reconocimiento de direcciones IP de un dominio
Fuente: Trabajo de Investigación
Autor: Erick Yánez – Milagros Parra
Escaneo de Puertos
La fase de escaneo consiste en la utilización de herramientas para verificar
entradas de servicios para el acceso al mismo mediante un ataque
informático. En esta etapa de la sección de seguridad en tecnologías del
internet el hacking externo detalla que las aplicaciones para escanear
43
puertos de un dominio muestran el rango de direccionamiento IP público
referente al sitio web auditado y los sistemas donde se encuentran
levantados los servicios. En otros entornos de auditoria de seguridad
informática el hacking interno aplica los mismos procesos que el hacking
externo pero de manera interna es decir que para ejecutar este tipo de
pruebas los profesionales de seguridad se conectan a una red local de la
organización a la que están auditando. En la fase de escaneo consiste
también en identificar los hosts o aquellos ordenadores que se encuentren
en estado activo dentro de los rangos de direccionamiento IPs, una vez
realizado el análisis de puntos débiles se procede a determinar los puertos
abiertos en dichos equipos detectados y se lograra determinar la versión
del sistema operativo de cada host activo y las aplicaciones o servicios que
escuchan requerimientos en dichos puertos.
Estados de puertos
Para comprender mejor cómo funcionan los métodos de escaneo es
importante conocer primero los posibles estados de un puerto. Las
definiciones de los estados abierto, filtrado y cerrado son comunes entre
muchas herramientas de escaneo, pero dependiendo del aplicativo pueden
usarse diferentes nombres para referirse a un mismo estado. Por lo
consiguiente, nos basaremos en las definiciones de estados de puertos de
la herramienta de escaneo más popular: NMAP.
Abierto: Son aquellos puertos que se encuentran disponibles para
cualquier conexión a un servicio ejecutado en un mismo puerto donde los
usuarios pueden enviar solicitudes de conexiones hacia el servicio
asociado en dicho puerto. Por ejemplo un servidor web público podría tener
abiertos los puertos TCP/80 (HTTP), TCP/443 (HTTPS), UDP/53 (DNS) y
otros más.
44
Cerrado: Un puerto cerrado aunque es accesible, no posee una aplicación
o servicio asociado que responda a solicitudes de conexión emitidas por
los usuarios.
Filtrado: Un puerto en modo filtrado es aquel que no puede ser accesado
por la cual existe un dispositivo filtrador de paquetes de por medio que
impide al escáner determinar si dicho puerto está abierto o cerrado. El
dispositivo intermedio puede ser un router con ACL’s implementadas o un
firewall.
No-filtrado: Un puerto en modo No-filtrado es accesible a cualquier servicio
pero el escáner de puertos no puede determinar si el mismo está abierto o
cerrado. Este estado es específico de una técnica de escaneo descrita más
adelante en esta misma sección denominada escaneo ACK.
Abierto | Filtrado: Este es un estado ambiguo en el cual el escáner no
pudo determinar si el puerto se encuentra abierto o filtrado y es factible de
obtenerse cuando se usa una técnica de escaneo en la cual un puerto
abierto puede no responder.
Cerrado | Filtrado: Consiste en cuando el escáner de puertos no puede
concluir si el puerto está cerrado o filtrado.
45
Gráfico 7 Escaneo de puertos con NMAP al dominio
Fuente: Trabajo de investigación Autor: Erick Yánez – Milagros Parra
Búsqueda de Vulnerabilidades y Verificación En esta etapa de la metodología OSSTMM los atacantes maliciosos buscan
explotar los fallos detectados que se encuentren en las máquinas u
ordenadores que estén conectados a la red corporativa.(ISECOM, 2016)
Para ejecutar el proceso de búsqueda de vulnerabilidades y verificación de
las mismas se procede a la utilizar programas automatizados, con la
funcionalidad de encontrar agujeros de seguridad documentados sobre las
versiones de los sistemas operativos instalados en estaciones de trabajo.
La metodología OSSTMM indica en uno de sus requerimientos que los
profesionales de seguridad utilicen al menos dos herramientas
automatizados diferentes, para demostrar las consistencias entre ambos,
y así poder tener más información con menor probabilidad de
error.(ISECOM, 2016)
46
Gráfico 8 Acceso a la información de un servidor
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 9 Fases de la Metodología OSSTMM
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
INFRAESTRUCTURA TECNOLOGICA
REDES DE AREA AMPLIA (WAN)
Una red WAN (Wide Área Network) son aquellas redes que permiten
compartir dispositivos pertenecientes a la capa 3 modelo OSI y TCP/IP para
tener un acceso rápido y eficiente a la información transmitida por dichas
redes, las redes de área extensa son conocidas como redes perimetrales
cuando son implementadas en entornos corporativos y proporcionan un
47
medio de transmisión a larga distancia de datos, voz, imágenes, videos,
sobre grandes áreas geográficas que pueden llegar a extenderse hacia un
país, un continente o el mundo entero, es la unión de dos o más redes LAN.
CARACTERISTICAS:
Operan dentro de un área geográfica extensa.
Permite el acceso a través de interfaces seriales que operan a
velocidades más bajas.
Proporcionan velocidades de transmisión de datos parciales y
continuos.
Conecta dispositivos separados por grandes distancias, incluso a
nivel de todo el mundo.
Gráfico 10 Esquema de una red WAN
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
48
Norma ISO 27001 Seguridad de la información
La información es uno de los activos de gran importancia en las
organizaciones de carácter corporativo donde ellas pueden gestionar sus
activos físicos y lógicos para el aumento de la productividad del negocio,
además cada activo determina los valores relevantes de cada una de las
empresas, la información corporativa interna es aquella que puede ser
manejada por un especialista en el área de seguridad informática como los
datos sensibles del lado del usuario. Pero al llevar a cabo funciones o roles
sobre el manejo de los registros importantes de las compañías, las
organizaciones entablarían una reunión con uno de líderes de la mima para
la asignación del cargo al especialista donde el garantiza el aseguramiento
de confidencialidad, integridad, autenticidad y La no-repudio de la
información y aplicar mecanismos de protección para el control de los
riesgos y amenazas presentes en la red corporativa de las instituciones
públicas y privadas que participan en el proceso de auditoría de seguridad
informática.
Cuadro comparativo de la metodología de seguridad informática
OSSTMM
Tabla 3 Cuadro comparativo de las metodologías de seguridad informática
METODOS ISSAF PTES OWASP OSSTMM
Rigor de la
metodología
Alta,
desactualiza
da desde el
año 2006
Alta,
desactualizada
desde el año
2008
Muy Alta,
enfocada en
las
aplicaciones
WEB, pero
muy
didáctica e
instructiva.
Muy Alta,
actualizada y
en constante
revisión
49
Niveles de
detalle
Muy
detallada
pero
sencilla,
Faltan
elementos
de Cloud
computing y
protección
de datos
Perfectamente
detallada. Los
procesos en
su aplicación
están
perfectamente
definidos
aunque no
tienen en
cuenta
novedades en
la metodología
Muy
detallada su
enfoque web
no le resta ni
un ápice de
meticulosida
d, orientada
perfectament
e al trabajo
del auditor
La experiencia
de uso de
anteriores
versiones diera
lugar a crear la
necesidad de
formación
previa
Facilidad de
uso
Muy alta, se
la puede
utilizar con
conocimient
os medios
Alta, aparenta
sencillez, pero
requiere
entrenamiento
Alta, muy
técnica,
muestra
usos de
herramienta
y ejemplos
Requiere
entrenamiento,
practica y
certificaciones
Ámbitos de
aplicación
PYMES, ORGANIZACIONES E INSTITUCI
ONES VARIAS
ORGANIZACIONES
COMPLEJAS PYMES Y
ENTIDADES FINANCIERAS
TODO TIPO DE
ORGANIZACIONES
CON PRESENCIA
WEB
GENERAL TODO TIPO
DE ORGANIZACI
ONES, PYMES E
INSTUCIONES EDUCATIVAS
Entornos de
Aplicabilidad
Genérico
para
auditorias
de todo tipo,
servidores
IBM.
Todos en
combinación
con otra
metodología
como OWASP,
sería ideal
Auditorias
enfocada a
los
servidores y
aplicaciones
WEB
Es dinámica y
potente en su
diseño
50
Uso por los
auditores
Cumple las
etapas
típicas de
una
auditoria
con un test
de intrusión
Los auditores
de seguridad
informática
combinan esta
con otras
metodologías
El más
utilizado por
los auditores
respecto a
las otras
metodología
s y es
requerido
por las
empresas
El uso de esta
metodología se
requiere de
una alta
experiencia y
conocimientos
prácticos por
parte de los
auditores.
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Tabla 4 Cuadro de las ventajas de las metodologías de seguridad informática
METODOS ISSAF PTES OWASP OSSTMM
Ventajas
Facilita el
informe en
función de
los pasos
seguidos y
de los
resultados
obtenidos
Ofrece una
muy buena
guía de cómo
deben ser
conducidas
las
necesidades
del testeo
Esta
metodología
es muy
didáctica y
proporciona
los
fundamentos
de las
auditorias y
pentesting
Se integra y
toma en
consideració
n todos los
estándares
de seguridad
de la
información.
Ofrece una
calidad
incuestionabl
e de
resultados
Falta
concretar
acuerdos y
Proyecto
incompleto
pero con
En esta
metodología
para ver su
No hacer
referencia a
que tipos de
51
Desventajas no señala
limites en el
uso de los
test de
intrusión
buenas
perspectivas
Debe
actualizarse o
al menos
revisarse
efectividad
hay que
combinar
otras
herramientas
de seguridad
informática
objetivos son
ligados para
cada test de
penetración
No permite
combinar su
metodología
con otra
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
CICLO PHVA
En la actualidad, las empresas de índole pública y privada se enfrentan a
un nivel alto de competencia basadas en entornos corporativos, para el
aumento y el desarrollo de las actividades productivas, que conlleva hacia
el logro de supervivencia, y el proceso de mejora continua que ayuda a
evolucionar y renovarse de forma fluida y constante. El ciclo
PHVA de mejora continua es una herramienta de gestión presentada en los
años 50 por el estadístico estadounidense Edward Deming.
Las fases del ciclo PHVA
Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las
iniciales de las palabras Planificar, Hacer, Verificar y Actuar. Cada uno de
estos 4 conceptos corresponde a una fase o etapa del ciclo:
Planificar: En la etapa de planificación se establecen los
objetivos principales de cada organización para la mejora de los procesos
y la implementación de otros, además se identifican los requerimientos del
cliente para la ejecución de procedimientos que ayuden a mejorar la
productividad del negocio logrando así resultados positivos adaptados a
52
las políticas de la organización. En esta etapa se determinan también
los parámetros de medición que se van a utilizar para controlar y seguir el
proceso.
Hacer: En esta fase consiste en la realización de nuevos cambios o
acciones requeridas para lograr las mejoras planteadas en la etapa
anterior. Con el objeto de ganar eficiencia y poder edificar fácilmente los
posibles errores presentes en la ejecución, normalmente se desarrolla
un plan piloto a modo de prueba o testeo.
Verificar: Una vez efectuada las 2 primeras fases se pone en marcha el
plan de mejoras, estableciéndolo en un periodo de prueba para medir y
valorar la efectividad de los cambios. Se trata de una fase de regulación y
ajuste.
Actuar: Realizadas las mediciones, en el caso de que los resultados no se
ajusten a las expectativas y objetivos predefinidos, se realizan
las correcciones y modificaciones necesarias. Por otro lado, se toman las
decisiones y acciones pertinentes para mejorar continuamente el desarrollo
de los procesos por parte de la organización.
53
Gráfico 11 Ciclo PHVA
Fuente: Trabajo de investigación
Autor: Erick Yánez – Milagros Parra
Herramientas aplicadas a la metodología de seguridad informática
OSSTMM
NESSUS: Es una de las aplicaciones que es utilizada especialmente para
la ejecución de escaneo de vulnerabilidades detallándolas por medio de
porcentajes, esta herramienta es compatible con sistemas operativos Linux
y Windows para la realización de auditorías de seguridad informática.
Nessus se actualiza constantemente, con más de 70.000 complementos
para el escaneo de fallos de seguridad en los sistemas implementados en
las organizaciones. Las características que posee la herramienta en
mención incluyen los respectivos controles de seguridad remotos, locales y
autenticados. Nessus es una arquitectura cliente-servidor que integra una
interfaz web y un lenguaje scripting para escribir los propios complementos
o concebir los existentes.
MALTEGO: Esta herramienta posee la capacidad de proporcionar datos de
carácter confidencial tales como direcciones de correo electrónico de índole
54
institucional, información de procesos organizacionales, Tecnologías
Informáticas, números telefónicos y demás por medio de este software
facilitara al auditor demostrar a la empresa cual es el tipo de información
relevante que puede ser accedida por los atacantes que se conectan a la web
o utilizan este programa para la recopilación de activos lógicos; también la
aplicación tiene la funcionalidad de encontrar distintos tipos de artículos como
son autos, motos, aviones, entre otros.
A continuación se detallara el funcionamiento de la herramienta Maltego:
Maltego envía peticiones a los servidores de semillas en formato XML a
través de conexiones HTTPS.
La petición del servidor de semilla se da a los servidores TAS que son
transmitidos a los proveedores de servicios de internet.
Los resultados obtenidos por medio de las peticiones se envían al cliente
Maltego.
FOCA: Es una herramienta para la recolección de archivos metadatos e
información oculta en documentos de ofimática como Word, Excel, PDF,
Power Point, Open Office y documentos PS/EPS, la finalidad de extraer
todos los datos de un dominio organizacional, comprimiendo los ficheros al
máximo, cruzar la información solicitada para obtener datos relevantes de
una empresa de carácter corporativo.
La aplicación de foca cumple la misma función que Google y Bing Hacking
para descubrir los archivos ofimáticos que tiene un dominio, los descarga
masivamente, les extrae los metadatos, organiza los datos y nos muestra
la siguiente información:
Nombres de usuarios del sistema.
Rutas de archivos.
Versión del Software utilizado.
Correos electrónicos encontrados.
Fechas de Creación, Modificación e Impresión de los documentos.
55
Sistema operativo desde donde crearon el documento.
Nombre de las impresoras utilizadas.
Permite descubrir subdominios y mapear la red de la organización.
Nombres e IPs descubiertos en Metadatos.
Búsqueda de nombres de dominio en Web: Google o Bing [Interfaz
web o API].
Búsqueda de registros Well-Known en servidor DNS.
Búsqueda de nombres comunes en servidor DNS.
Búsqueda de IPs con resolución DNS.
Búsqueda de nombres de dominio con BingSearch IP.
Búsqueda de nombres con PTR Scanning del segmento de red con
DNS interno.
Transferencia de Zonas.
Detección automática de DNS Cache.
Vista de Roles.
Filtro de criticidad en el log.
NMAP: Esta herramienta es de acceso libre y de código abierto, utilizada
para la escaneo de puertos de redes y servicios de índole
corporativo. Algunos de los administradores de sistemas y redes en un
centro de cómputo de empresas encuentran útil la aplicación en si para la
ejecución de tareas tales como la auditoria de redes, administración de
programas de actualización de servicio y supervisión del tiempo de
actividad del servidor. Nmap es un software que manipula paquetes IP para
determinar qué hosts están disponibles en la red, servicios tales como
(nombre y versión de la aplicación, sistema operativo orientado a
servidores, estaciones de trabajo y demás) además el programa en
mención ejecuta, varios tipos de filtros - firewalls de paquetes para realizar
el escaneo de puertos al dominio de una empresa o un host
específico. Nmap es compatible en todas las versiones de sistemas
56
operativos de computadoras y los paquetes binarios oficiales están
disponibles en Linux, Windows y Mac OS X. Además Nmap se ejecuta por
medio de línea de comandos, el paquete Nmap incluye una GUI avanzada
y visualizador de resultados como ZENMAP donde es una herramienta de
transferencia, redirección y depuración de datos flexible.
THEHARVESTER: El objetivo de la aplicación es recolectar correos
electrónicos de carácter corporativo, subdominios, hosts, nombres de
usuarios de empresas, banners de diferentes fuentes públicas como
motores de búsqueda, servidores de claves PGP y bases de datos de
computadoras SHODAN.
La finalidad de esta herramienta es ayudar a los probadores de penetración
o auditores de seguridad informática, en las primeras etapas de la prueba
de penetración comprender la huella del cliente en Internet. Además el
software tiene la utilidad de saber lo que un atacante puede ver sobre su
organización especifica.
Los puntos importantes de la herramienta THEHARVESTER son los
siguientes:
Retrasos de tiempo entre la solicitud.
Búsqueda de todas las fuentes.
Verificador de host virtual.
Enumeración activa (enumeración de DNS, búsqueda inversa,
expansión de TLD).
Integración con la base de datos informática SHODAN, para obtener
los puertos y banners abiertos.
Guardar en XML y HTML.
Gráfico básico con estadísticas.
Nuevas fuentes.
57
FUNDAMENTACION SOCIAL
El impacto que generara a nivel social las instituciones de enseñanza del
ecuador es la forma de tener una seguridad informática gestionada y el
mantenimiento de la información confidencial en los usuarios estudiantiles
y en el personal de tecnología que pertenezcan a la institución académica.
Para evitar alguna intrusión maliciosa se debe planificar lo siguiente.
Auditorias de seguridad informática de forma periódica.
Dispositivos de seguridad de alta gama.
Cifrado de la información de carácter sensible.
Conexiones remotas por medio de túneles VPN.
Sistemas de detección de intrusos.
FUNDAMENTACION LEGAL
CODIGO ORGANICO INTEGRAL PENAL
SECCIÓN TERCERA
Delitos contra la seguridad de los activos de los sistemas de
información y comunicación
Artículo 229.- Revelación ilegal de base de datos.- La persona que, en
provecho propio o de un tercero, revele información registrada, contenida
en ficheros, archivos, bases de datos o medios semejantes, a través o
dirigidas a un sistema electrónico, informático, telemático o de
telecomunicaciones; materializando voluntaria e intencionalmente la
violación del secreto, la intimidad y la privacidad de las personas, será
sancionada con pena privativa de libertad de uno a tres años.
58
Si esta conducta se comete por una o un servidor público, empleadas o
empleados bancarios internos o de instituciones de la economía popular y
solidaria que realicen intermediación financiera o contratistas, será
sancionada con pena privativa de libertad de tres a cinco años.
Artículo 230.- Interceptación ilegal de datos.- Será sancionada con pena
privativa de libertad de tres a cinco años:
1. La persona que sin orden judicial previa, en provecho propio o de un
tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier
forma un dato informático en su origen, destino o en el interior de un
sistema informático, una señal o una transmisión de datos o señales
con la finalidad de obtener información registrada o disponible.
La persona que diseñe, desarrolle, venda, ejecute, programe o envíe
mensajes, certificados de seguridad o páginas electrónicas, enlaces
2. o ventanas emergentes o modifique el sistema de resolución de
nombres de dominio de un servicio financiero o pago electrónico u
otro sitio personal o de confianza, de tal manera que induzca a una
persona a ingresar a una dirección o sitio de internet diferente a la
que quiere acceder.
3. La persona que a través de cualquier medio copie, clone o
comercialice información contenida en las bandas magnéticas, chips
u otro dispositivo electrónico que esté soportada en las tarjetas de
crédito, débito, pago o similares.
4. La persona que produzca, fabrique, distribuya, posea o facilite
materiales, dispositivos electrónicos o sistemas informáticos
destinados a la comisión del delito descrito en el inciso anterior.
Artículo 232.- Ataque a la integridad de sistemas informáticos.- La
persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe,
59
cause mal funcionamiento, comportamiento no deseado o suprima datos
informáticos, mensajes de correo electrónico, de sistemas de tratamiento
de información, telemático o de telecomunicaciones a todo o partes de sus
componentes lógicos que lo rigen, será sancionada con pena privativa de
libertad de tres a cinco años. Con igual pena será sancionada la persona
que:
1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute,
venda o distribuya de cualquier manera, dispositivos o programas
informáticos maliciosos o programas destinados a causar los efectos
señalados en el primer inciso de este artículo.
2. Destruya o altere sin la autorización de su titular, la infraestructura
tecnológica necesaria para la transmisión, recepción o
procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la
prestación de un servicio público o vinculado con la seguridad ciudadana,
la pena será de cinco a siete años de privación de libertad.
Artículo 234.- Acceso no consentido a un sistema informático,
telemático o de telecomunicaciones.- La persona que sin autorización
acceda en todo o en parte a un sistema informático o sistema telemático o
de telecomunicaciones o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente
el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico
de datos o voz u ofrecer servicios que estos sistemas proveen a terceros,
sin pagarlos a los proveedores de servicios legítimos, será sancionada con
la pena privativa de la libertad de tres a cinco años.
60
LEY ORGANICA DE PROTECCION DE DATOS
Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos
de carácter personal y eviten su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta del estado de la tecnología, la
naturaleza de los datos almacenados y los riesgos a que están
expuestos, ya provengan de la acción humana o del medio físico o
natural.
2. No se registrarán datos de carácter personal en ficheros que no
reúnan las condiciones que se determinen por vía reglamentaria con
respecto a su integridad y seguridad y a las de los centros de
tratamiento, locales, equipos, sistemas y programas.
3. Reglamentariamente se establecerán los requisitos y condiciones
que deban reunir los ficheros y las personas que intervengan en el
tratamiento de los datos a que se refiere el artículo 7 de esta Ley.
Artículo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos, obligaciones
que subsistirán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo.
Artículo 11. Comunicación de datos.
1. Los datos de carácter personal objeto del tratamiento sólo podrán
ser comunicados a un tercero para el cumplimiento de fines
61
directamente relacionados con las funciones legítimas del cedente
y del cesionario con el previo consentimiento del interesado.
2. El consentimiento exigido en el apartado anterior no será preciso:
a. Cuando la cesión está autorizada en una ley.
b. Cuando se trate de datos recogidos de fuentes accesibles al
público.
Cuando el tratamiento responda a la libre y legítima aceptación de
una relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de
terceros. En este caso la comunicación sólo será legítima en cuanto
se limite a la finalidad que la justifique. d) Cuando la comunicación
que deba efectuarse tenga por destinatario al Defensor del Pueblo,
el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de
Cuentas, en el ejercicio de las funciones que tiene atribuidas.
Tampoco será preciso el consentimiento cuando la comunicación
tenga como destinatario a instituciones.
a. autonómicas con funciones análogas al Defensor del Pueblo
o al Tribunal de Cuentas.
b. Cuando la cesión se produzca entre Administraciones
públicas y tenga por objeto el tratamiento posterior de los
datos con fines históricos, estadísticos o científicos.
c. Cuando la cesión de datos de carácter personal relativos a la
salud sea necesaria para solucionar una urgencia que
requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación
sobre sanidad estatal o autonómica.
d. Será nulo el consentimiento para la comunicación de los
datos de carácter personal a un tercero, cuando la
información que se facilite al interesado no le permita conocer
la finalidad a que destinarán los datos cuya comunicación se
62
autoriza o el tipo de actividad de aquel a quien se pretenden
comunicar.
3. El consentimiento para la comunicación de los datos de carácter
personal tiene también un carácter de revocable.
4. Aquel a quien se comuniquen los datos de carácter personal se
obliga, por el solo hecho de la comunicación, a la observancia de las
disposiciones de la presente Ley.
5. Si la comunicación se efectúa previo procedimiento de disociación,
no será aplicable lo establecido en los apartados anteriores.
HIPOTESIS
¿Con la implementación de la metodología de seguridad informática
OSSTMM en la Escuela Culinaria de la Américas se podrá minimizar
los riesgos presentes en la infraestructura tecnológica?
¿Al ejecutar un análisis de vulnerabilidades en la infraestructura
tecnológica de la Escuela Culinaria de la Américas, esta podrá
conocer los fallos de seguridad identificados?
¿La metodología de seguridad informática OSSTMM ayudará a definir
planes de acción para tener las vulnerabilidades bajo control?
Variables de Investigación
Variable Independiente: Análisis de vulnerabilidades
Variable dependiente: Infraestructura tecnológica de la empresa.
Variable dependiente2: Herramientas de test de intrusión
63
DEFINICIONES CONCEPTUALES
Listado de herramientas adicionales
NESSUS: Es una de las herramientas que utilizamos ya que demostramos
las vulnerabilidades, en la cual posee una alta y eficaz velocidad de
descubrimiento en busca de aplicaciones web como de red.
MALTEGO: Es una de las herramientas para encontrar información
relevante a los correos electrónicos como son de varios departamentos de
una misma organización por ende recopila toda información que
representa de una forma clara en donde se suele identificar relaciones
desconocidas
FOCA: Es una herramienta para la recolección de archivos metadatos, ya
que es utilizada para la respectiva verificación de tipo de información oculta,
esto quiere decir que es la herramienta principal para la extracción de
análisis de la misma recolección de ficheros publicados en el website.
64
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
MODALIDAD DE LA INVESTIGACIÓN
Para el desarrollos del capítulo tres se realizara enfoques de análisis de los
elementos de una investigación de acorde a lo que se utiliza en el
desarrollo de la propuesta tecnológica del proyecto de titulación en
progreso, certificando los resultados generados durante la ejecución del
mismo, los cuales permitan demostrar la viabilidad del presente plan de
seguridad informática. Se elaborará procesos de recolección de datos tales
como cuestionario de encuestas, entrevistas, tabulación e definición de las
informaciones. Entre las modalidades utilizadas dentro del desarrollo de
proyecto tenemos:
INVESTIGACIÓN DE CAMPO
La investigación de campo consiste en recoger los datos necesarios
basados especialmente al contacto directo referente los antecedentes o
escenarios que son parte del estudio de investigación que se concentran
en un tema específico, sea estos vicisitudes y prodigios que nazcan de una
forma extraña al investigador o a su vez esta sea generada con un control
exacto de las variables que involucra esta modalidad de
investigación.(Bayardo, 2012)
Al recopilar la información enfocada en un tema específico se elige por
examinar o tratar con el personal perito en el estudio que posee el tipo de
registro requerido por el investigador para la comprobación de la afirmación
de un método que se encuentra puesto en práctica, luego de almacenar de
modo sistemático los resultados adquiridos por el investigador este analiza
una explicación de un fenómeno presente en un tiempo determinado, el
investigador se ubica en el lugar de los hechos para percibir y acopiar las
65
características, condiciones y periodicidad con la que se generó el
anómalo.
La autora María Guadalupe Moreno Bayardo, detalla algunos ejemplos de
aplicación para esta modalidad de investigación:
Una investigación se indaga en la relación existente entre el clima
organizacional y el grado de aprobación que otorga el personal
directo especialista en el área de tecnología que labora en
organizaciones de educación superior, y con esto alcanzar la mayor
recolección de información mediante entrevistas y cuestionarios al
personal de una institución académica.(Bayardo, 2012)
Una investigación se compone en base a los habitantes de una
localidad o ciudad que utilizan su tiempo libre para facilitar la mayor
cantidad de información al investigador mediante un cuestionario de
encuesta, para lo cual se seleccione una muestra representativa de
los individuos quienes participan y aportan con una descripción
detallada de la forma en que utilizan su tiempo.(Bayardo, 2012)
Una investigación en torno a las características y condiciones de las
bibliotecas funcionan en las escuelas secundarias de un estado,
recurriendo para ello a visitadores que recaben y constaten la
información en cada plantel.(Bayardo, 2012)
66
INVESTIGACIÓN BIBLIOGRÁFICA
El proceso de una investigación bibliográfica es aquel que integra una
cadena de técnicas e instrucciones con la finalidad de obtener los mayores
resultados positivos durante el transcurso de la investigación.(Moreno,
2011)
En este caso concretamente se hace un énfasis a la investigación
bibliográfica que es considerada en el estudio sistemático de informes,
evidencias y hallazgos que son denominadas fuentes de datos científicos
que son de gran ayuda para el investigador. Partiendo de la base se pasa
a estudiar los diferentes métodos que facilitan los medios para iniciarse en
la investigación.
Otro tipo de investigación es la exploración documental, consiste en
agrupar todo los datos requeridos, fundamentándose en textos, archivos y
registros en la que los datos son ingresados, tales como, libros, revistas
científicas, artículos, fuentes indexadas, etc. Sin embargo, durante la
realización de la investigación el investigador requiere consultar o validar
los datos en un tiempo determinado por medio de un algún componente
que permita comprobar la importancia de la información dentro de la
investigación documental.(Moreno, 2011)
MÉTODOS
En esta sesión se toma en consideración los métodos de investigación que
son aquellos que permiten alcanzar u obtener un fin propuesto en la
investigación en fase de desarrollo, entre los métodos utilizados dentro del
proyecto de titulación tenemos los siguientes:
Científico
Analítico
67
Método Científico.
Puntualiza al investigador para que la consideración de puntos importantes
que van ligados a la investigación científica donde esta menciona una serie
de pasos que se debe apremiar para la obtención de conocimientos
mediante la aplicación de metodologías referentes al área que se está
investigando y técnicas que ayuden al progreso de la misma culminando y
presentando los resultados adquiridos durante el transcurso del tiempo.
El método científico está conformado por valorizaciones altas como la
inducción y deducción, la arquitectura de instrumentos, la claridad
estadística y la observación de expresiones son perceptibles para el
investigador en la cual va a ser operadas por el para la ejecución del
proyecto referente a la metodología de seguridad informática OSSTMM que
es objeto del estudio planteado con anterioridad.(Páez, 2011)
El método científico es la funcionalidad determinada en la que se incluye la
apreciación de trayectorias alternativas sobre los estudios científicos. El
análisis del método es periódicamente referenciado por varios autores que
adaptan una metodología de la investigación para el desarrollo de los
proyectos que ayudan a brindar perspectivas sobre la solución de
problemas presentes en una ciudad o país. Los enfoques de este método
es el de ayudar a la productividad operativa y filtros utilizados en el estudio
científico. Dado a esto, la metodología hace referencia a la razón de la
ciencia.(Páez, 2011)
El método en mención permite ayudar a establecer estudios
fundamentados en sucesos existentes o antecedentes ocurridos en el
transcurso del tiempo, para el presente caso existe la problemática a
analizar y el enfoque al que se desea llegar.
68
Método Analítico.
El método analítico posee un mecanismo que percibe todo lo
correspondiente al análisis, enfocado en la distribución de un tono dividido
en porciones o en elementos constitutivos, este método sostiene en que
para conocer sobre los casos de investigación es indispensable detallar
cada una de sus partes en lo más mínimo.
Además este método es definido como la lógica matemática, empleando
las formulas analíticas que son convalidadas mediante el análisis racional
de la investigación. La analítica utiliza esencialmente el método deductivo,
que consiste en establecer proposiciones particulares a partir de
proposiciones generales, como en el silogismo de los profesores.(Mercado,
2012)
Dentro de este método se revisará cada parte que conforma el objeto de
estudio referente a la metodología OSSTMM, siguiendo la lógica y la
deducción, tal como se menciona en la cita.
POBLACIÓN Y MUESTRA
POBLACIÓN
La población es definida como el conjunto de universo de los elementos
integrados en el mismo y que van a ser observados en la realización de un
experimento o estudio de investigación. Cada uno de los elementos que
componen la población es llamado individuo o unidad estadística.
Para poder ser llevada a cabo se debe contemplar en la investigación
muchos ítems y características importantes al seleccionarse la población,
está enfocado en un análisis inicial, para el presente estudio se establece
como población el personal técnico y administrativo del Instituto Culinario
de las Américas.
69
La población está conformada por el personal administrativo del Instituto
culinario de las Américas, el personal de tecnología y los alumnos de 6TO,
7MO y 8VO semestre de la universidad de Guayaquil Carrera de Ingeniería
en Networking y Telecomunicaciones en la cual serán encuestado para la
recopilación de la información referente al proyecto de la metodología
OSSTMM.
Tabla 5 Población del estudio
INVOLUCRADOS POBLACION PORCENTAJE
Personal administrativo del Instituto Culinario de las
Américas. 3 100%
TOTAL 3 100%
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra.
Tabla 6 Población del estudio
INVOLUCRADOS POBLACION PORCENTAJE
Personal técnico del Instituto Culinario de las Américas.
10 100%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra.
Tabla 7 Población de la CINT
POBLACIÓN
CANTIDAD
Alumnos de 6to semestre
205
Alumnos de 7mo semestre
159
Alumnos de 8vo semestre
136
70
TOTAL
500
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra.
MUESTRA
La muestra es aquella que representa al subconjunto de la población total
de individuos seleccionados en un área determinada o definida. En este
punto se conoce de varios tipos de muestreo, al elegir una muestra
dependerá de la calidad y cual característico es requerido para el estudio
de la población.
Tabla 8 Muestra sobre el personal administrativo
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
INVOLUCRADOS POBLACION MUESTRA PORCENTAJE
Personal administrativo del Instituto Culinario de las Américas.
3 3 100%
TOTAL 3 3 100%
71
Tabla 9 Muestra sobre el personal técnico
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
La fórmula anterior de la muestra sería:
𝑛 =0.50𝑥0.50𝑥505
(505 − 1)𝑥0.052
22 + 0.50𝑥0.50
𝑛 =126.25
1.264 + 0.25
𝑛 =126.25
0.315 + 0.25
𝑛 =126.25
0.565
𝑛 = 223.45 ≅ 223
INVOLUCRADOS POBLACION MUESTRA PORCENTAJE
Personal técnico del Instituto Culinario de las
Américas. 10 10 100%
TOTAL 10 10 100%
72
Tabla 10 Muestra de la CINT
ALUMNOS POBLACIÓN TAMAÑO DE LA
MUESTRA (n)
Alumnos de 6to semestre
205 90
Alumnos de 7mo semestre
159 70
Alumnos de 8vo semestre
136 60
Total 500 220
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra.
TECNICAS E INSTRUMENTOS PARA LA RECOLECCION DE DATOS
Para la presente investigación en la recolección de datos se debe utilizar
una serie de técnicas e instrumentos de análisis estadísticos para
determinar la obtención de los datos que serán proporcionados por el
personal técnico y administrativo del Instituto Culinario de las Américas
entre las cuales mencionamos a continuación:
Encuesta
Hace referencia a un conjunto de preguntas específicas orientadas a un
tema que son dirigidas a una muestra representativa de una población, con
el objetivo de tener como resultado datos que permitan conocer la situación
del personal involucrado acerca de un tema puntual.
73
Entrevista
La persona que hace el papel de consultor debe generar las preguntas
dirigida a las personas involucradas y que proporcionen datos de interés
por medio de diálogo. Un beneficio de la entrevista radica en que son los
mismos actores sociales quienes proporcionan los datos relativos a sus
conductas, opiniones, deseos, actitudes y expectativas.
La entrevista estructurada es aquella que se realiza a partir de una guía
que elabora el entrevistador donde la misma contiene las preguntas que
serán formuladas a la persona indicada para la entrevista. En este caso, la
guía de entrevista sirve como instrumento para registrar las respuestas, que
son grabadas por un grabador de voz o una cámara de video.
Culminado el diseño de preguntas que se realizarán al Ing. Edward Pilligua,
jefe del área de sistemas del Instituto Culinario de las Américas se procedió
a la confirmación del horario en que se realizará la entrevista, de esta forma
se podrá conocer la sensibilidad de la información que se maneja la
Institución educativa.
Entrevista al Instituto Culinario de las Américas
Siendo las 10:00 am del día viernes 25 de agosto del 2017, en cita acordada
con el Ing. Edward Pilligua jefe del área de sistemas de la de la institución
educativa para la entrevista.
74
1. ¿Qué experiencia tiene usted en el área de seguridad
informática?
En la rama de seguridad informática poseo poca experiencia, no
obtengo los conocimientos suficientes para poder estar preparado
ante incidentes de seguridad.
2. ¿Usted como especialista del área de sistema del Instituto
Culinario de las Américas se encuentra preparado para un
incidente de seguridad en un tiempo determinado?
No me encuentro preparado al 100% ante incidentes de seguridad
presentes en un tiempo determinado.
3. Como administrador de las red ¿Posee usted algún plan de
contingencia que permita diagnosticar los tipos de
vulnerabilidades presentes en la infraestructura tecnológica de
la Escuela Culinaria de las Américas?
No posee planes de contingencia para el tratamiento de
vulnerabilidades detectadas en la infraestructura tecnológica del
Instituto Culinario de las Américas.
4. En su infraestructura de red de la Escuela Culinaria de las
Américas ¿Ha sufrido usted alguna intrusión maliciosa?
Si en los últimos meses hemos tenido inconvenientes con el
funcionamiento de los servidores montado en el DATA CENTER
donde el personal administrativo y docente se ha visto afectado por
estas intrusiones maliciosas que han ocasionado perdida de
información y despidos de personal.
75
5. ¿Conoce usted la metodología de seguridad informática
OSSTMM?
Si, la metodología de seguridad informática OSSTMM es una de los
estándares que proporciona mecanismos de protección para el
tratamiento de vulnerabilidades y está asociado con la norma ISO
27001 seguridad de la información para la ejecución de controles
que ayuden tener todos los riesgos controlados.
6. De acuerdo a la información de carácter confidencial que
maneja la Escuela Culinaria de las Américas ¿es justificable la
inversión en sistemas de seguridad informática?
Si es justificable porque uno de los activos más importante en toda
organización es la información.
Se realizó la entrevista al Ing. Edward Pilligua encargado del área de
sistemas del Instituto Culinario de las Américas para que indique la
situación en la que se encuentra la infraestructura tecnológica con respecto
a la seguridad que se maneja la entidad educativa en el corto periodo de
funcionamiento del DATA CENTER y los riesgos puede presentar al no
cubrir las necesidades que necesita la instalaciones en el departamento de
tecnología del mismo.
PROCESAMIENTO Y ANALISIS
Con los datos que se obtuvo mediante la entrevista realizada al Ing. Edward
Pilligua se dio paso a la realización de procedimiento y análisis de las
vulnerabilidades en la infraestructura tecnológica del Instituto Culinario de
las Américas. Los datos obtenidos mediante las encuestas, se realizó su
respectiva clasificación y tabulación de esta manera poder obtener datos
verídicos y ordenados.
76
Análisis de la entrevista al encargado del área de Sistema
Luego de la entrevista realizada al Ing. Edward Pilligua encargado del área
de sistemas del Instituto Culinario de las Américas se llegó a la conclusión
que unas de las problemáticas que se presentan es la seguridad y fiabilidad
de la información que se maneja en el DATA CENTER esto se debe a las
intrusiones maliciosas que realizan los piratas informáticos.
PROCESAMIENTO Y ANÁLISIS DE LAS ENCUESTAS
El proceso y análisis de las preguntas de encuesta surte a partir de la
finalización de la misma tomando en cuenta la muestra y se comienza a
interpretar cada ítems. Se utilizara la herramienta Microsoft Excel, la cual
permite desarrollar tablas estadísticas para la tabulación de los resultados
de las encuestas por medio de la utilización de complementos como crear
tablas y generar gráficos estadísticos, en este caso el diagrama de barra
fue el seleccionado para la representación de salida.
Esto permite manejar una excelente distribución de la información para un
adecuado análisis y compresión de los resultados llevando así, a lograr la
interpretación de cada respuesta de las preguntas e ir obtenido los
porcentajes generales para sustentar los argumentos y propuestas validos
puntualizados en el presente documento.
Todo el proceso requiere seguir una serie de pasos sencillos para
elaboración de cada opción mencionada en el texto:
1. Se plantearán un total de 15 preguntas donde 10 son para el
personal técnico del Instituto Culinario de las Américas y 5 para el
personal administrativo.
2. El objetivo por el cual se formuló las preguntas, consultar las
opiniones.
77
3. Elaborar un gráfico de pastel con su respectivo porcentaje de los
resultados obtenidos por cada pregunta.
4. Representar gráficamente los porcentajes resultantes de la
encuesta.
5. Análisis e interpretación de la información por cada pregunta.
6. Se presentan la validación de la idea a defender.
7. Finalmente se elabora el documento respectivo de toso el proceso
realizado.
ANÁLISIS E INTERPRETACIÓN DE RESULTADOS DE LAS
ENCUESTAS
A continuación, se visualizarán los resultados de la encuesta, entre esto es
el origen del análisis e interpretación de resultados en base a la aplicación
previa de los instrumentos y herramientas de recolección para la
información obtenida.
En el proceso cada pregunta fue enfocada a al personal técnico y
administrativo del Instituto Culinario de las Américas mediante la selección
de repuesta de opción múltiple, es obligatorio seleccionar al menos una
respuesta.
El cuestionario de preguntas está conformado por 10 ítems. La finalidad de
la operación se basó en la recopilación de datos para validar, respaldar y
mantener resultados claros, precisos y evidenciables. La distribución de
información que se reflejará está sustentada por su respectiva conclusión
y la resolución de los casos manejados en la investigación.
78
Análisis de las encuestas al personal técnico del Instituto Culinario
de las Américas ubicado en la ciudad de Guayaquil
Pregunta #1
¿Qué estándar de seguridad de la información maneja la Escuela
Culinaria de las Américas?
Tabla 11 Análisis de resultados de la pregunta No. 1
Respuestas Cantidad Porcentaje
ISO 27001 3 30%
COBIT 1 10%
OTROS 2 20%
NINGUNA DE LAS ANTERIORES
4 40%
TOTAL 10 100%
Fuente: Trabajo de Investigación
Elaboración: Erick Yánez – Milagros Parra
Gráfico 12 Porcentaje a las respuestas a la pregunta No. 1
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Mediante a la encuesta realizada se logró obtener que el 40% del
personal de tecnología de la institución en mención no manejan ningún
estándar de seguridad de la información.
30%
10%
20%
40%
ISO 27001 COBIT OTROS NINGUNA DE LAS ANTERIORES
79
Pregunta #2
La información confidencial que maneja la Escuela Culinaria de las
Américas ¿Para qué tipo de usuario es accesible?
Tabla 12 Análisis de resultados de la pregunta No. 2
Respuestas Cantidad Porcentaje
Privilegiados 4 40%
Semi Privilegiados 1 10%
No Privilegiados 5 50%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 13 Porcentaje a las respuestas a la pregunta No. 2
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Mediante a la encuesta realizada se logró verificar que el 50% de
los usuarios de carácter no privilegiado que laboran en la institución en
mención tienen acceso a la información confidencial de la organización.
40%
10%
50%
Privilegiados Semi Privilegiados No Privilegiados
80
Pregunta #3
Usted como profesional que labora en el departamento técnico
informático ¿Conoce usted si han sufrido algún incidente de
seguridad que haya ocasionado daños en la red?
Tabla 13 Análisis de resultados de la pregunta No. 3
Respuestas Cantidad Porcentaje
SI 6 60%
NO 1 10%
NO RECUERDO 3 30%
TOTAL 10 100%
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 14 Porcentaje a las respuestas a la pregunta No. 3
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Durante la encuesta realizada se obtuvo que el 60% de los
usuarios técnicos que laboran en la institución en mención detallan que si
han sufrido incidentes de seguridad en el DATA CENTER causando
pérdidas de información.
60%10%
30%
SI NO NO RECUERDO
81
Pregunta #4
¿Qué tipo de restricciones se encuentran implementadas en cierta
parte de la red?
Tabla 14 Análisis de resultados de la pregunta No. 4
Respuestas Cantidad Porcentaje
Manejo de proxy 7 70%
Control de autenticación por
usuario a los sistemas informáticos
2 20%
Bloqueo de conexiones no
autorizadas por medio de puertos
1 10%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 15 Porcentaje a las respuestas a la pregunta No. 4
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Durante la encuesta realizada se obtuvo que el 70% de las
políticas de seguridad se encuentran configuradas en un servidor de
seguridad de código abierto.
70%
20%
10%
Manejo de proxy
Control de autenticación por usuario a los sistemas informáticos
NO RECUERDO
82
Pregunta #5
¿Qué tipo de metodología de seguridad informática conoce
actualmente?
Tabla 15 Análisis de resultados de la pregunta No. 5
Respuestas Cantidad Porcentaje
OSSTMM 5 50%
ITIL 2 20%
MAGERIT 2 20%
NINGUNA DE LAS ANTERIORES
1 10%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 16 Porcentaje a las respuestas a la pregunta No. 5
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Durante la encuesta realizada se obtuvo que el 50% de los
usuarios técnicos si conocen la metodología de seguridad informática
OSSTMM.
50%
20%
20%
10%
OSSTMM ITIL MAGERIT NINGUNA DE LAS ANTERIORES
83
Pregunta #6
Las restricciones que maneja usted en el departamento técnico
informático en cierta parte de la red ¿En qué dispositivo se encuentran
configuradas?
Tabla 16 Análisis de resultados de la pregunta No. 6
Respuestas Cantidad Porcentaje
Servidor de Seguridad 8 80%
Dispositivos de Seguridad
1 10%
Ninguna de las anteriores
1 10%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 17 Porcentaje a las respuestas a la pregunta No. 6
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: Durante la encuesta realizada se obtuvo que el 80% de los
usuarios técnicos detallan que existen un servidor de seguridad para la
configuración de reglas de seguridad.
80%
10%10%
Servidor de Seguridad Dispositivos de Seguridad
Ninguna de las anteriores
84
Pregunta #7
¿Usted como profesional de tecnología considera usted que la
inversión en seguridad informática es de gran importancia para
proteger los activos de información que son de carácter confidencial?
Tabla 17 Análisis de resultados de la pregunta No. 7
Respuestas Cantidad Porcentaje
SI 6 60%
NO 4 40%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 18 Porcentaje a las respuestas a la pregunta No. 7
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: En la encuesta realizada se obtuvo que el 60% de los usuarios
técnicos si consideran que la inversión en seguridad informática es factible
para la protección de la información.
60%
40%
SI
NO
85
Pregunta #8
¿Cree usted que la norma ISO 27001 es considerada como uno de los
estándares que proporciona controles para el tratamiento de riesgo y
vulnerabilidades?
Tabla 18 Análisis de resultados de la pregunta No. 8
Respuestas Cantidad Porcentaje
SI CREO 5 50%
NO EXISTE OTRO ESTANDAR
4 40%
QUIZAS 1 10%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 19 Porcentaje a las respuestas a la pregunta No. 8
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 50% de los usuarios técnicos si creen que la norma ISO 27001
para la seguridad de la información es uno de los estándares que facilita la
mayor cantidad de controles para tener los riesgos aislados de la red
corporativa de la organización académica.
50%
40%
10%
SI CREO NO EXISTE OTRO ESTANDAR QUIZAS
86
Pregunta #9
¿Qué tipos de virus informático se deben mitigar para evitar los
accesos a la información de carácter confidencial?
Tabla 19 Análisis de resultados de la pregunta No. 9
Respuestas Cantidad Porcentaje
SPAM 2 20%
BACKDOORS 1 10%
BOTNETS 2 20%
TROTANOS 5 50%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 20 Porcentaje a las respuestas a la pregunta No. 9
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 50% de los usuarios técnicos mencionan que los troyanos son
uno de los virus informáticos que dispersan los atacantes maliciosos para
tener el acceso ilícito a los sistemas informáticos de la organización de
educación superior.
20%
10%
20%
50%
SPAM BACKDOORS BOTNETS TROYANOS
87
Pregunta #10
¿De la escala del 1 al 5 como usted calificaría la información del
instituto culinario de la américas donde 1 es información no relevante
y 5 es información muy relevante?
Tabla 20 Análisis de resultados de la pregunta No. 9
Respuestas Cantidad Porcentaje
1 NR 2 20%
2 PR 2 20%
3 SR 1 10%
4 R 2 20%
5 MR 3 30%
TOTAL 10 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 21 Porcentaje a las respuestas a la pregunta No. 10
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 30% de los usuarios técnicos califican que la información que
se maneja en el Instituto Culinario de las Américas es de gran importancia.
20%
20%
10%20%
30%
1 NR 2 PR 3 SR 4 R 5 MR
88
VALIDACIÓN DE LA IDEA A DEFENDER
Con la encuesta realizada al personal de tecnología en el Instituto Culinario
de las Américas se obtuvo la siguiente información: el personal que labora
en la institución académica consideran que la inversión en sistemas de
seguridad informática es de gran importancia debido a los peligros que está
expuesta la información de carácter confidencial, además no cuenta con un
estándar de seguridad de la información para la definición de políticas de
acceso a la infraestructura tecnológica de la escuela culinaria, la
información que es transmitida en toda la red está expuesta a niveles de
amenazas y riesgos muy elevados ya que no cuenta con una metodología
que les permita conocer el estado de la red de forma periódica, por lo cual
puede ser vulnerada la confidencialidad al no contar con esta medida de
seguridad.
89
Análisis de las encuestas al personal administrativo del Instituto
Culinario de las Américas ubicado en la ciudad de Guayaquil
Pregunta #1
¿Conoce usted que tan segura es su red informática laboral?
Tabla 21 Análisis de resultados de la pregunta No. 1
Respuestas Cantidad Porcentaje
Si, totalmente 1 33%
No, desconozco 0 0%
No estoy seguro 2 67%
TOTAL 3 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 22 Porcentaje de respuesta de la pregunta No. 1
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 67% de los usuarios que laboran en el Instituto Culinario de las
Américas no se encuentran seguros sobre la seguridad de la red.
33%
0%67%
SI TOTALMENTE
NO DESCONOZCO
NO ESTOY SEGURO
90
Pregunta #2
¿Qué tan seguro considera usted su red informática en el instituto
que se encuentra laborando?
Tabla 22 Análisis de resultados de la pregunta No. 2
Respuestas Cantidad Porcentaje
Muy segura 0 0%
Poco segura 0 0%
Totalmente insegura 3 67%
TOTAL 3 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 23 Porcentaje de respuesta de la pregunta No. 2
Fuente: Trabajo de Investigación
Elaboración: Erick Yánez – Milagros Parra
Análisis: El 100% de los usuarios encuestados que laboran en el Instituto
Culinario de las Américas consideran que su red informática es totalmente
insegura.
0%0%
100%
MUY SEGURA
POCO SEGURA
TOTALMENTE INSEGURA
91
Pregunta #3
¿Ha compartido usted datos de la red con personas ajenas a la
institución educativa?
Tabla 23 Análisis de resultados de la pregunta No. 3
Respuestas Cantidad Porcentaje
SI, solo una vez 1 33%
SI, varias veces 2 67%
NO 0 0%
TALVEZ, no recuerdo 0 0%
TOTAL 3 100%
Fuente: Trabajo de Investigación Elaboración: Erick Yánez – Milagros Parra
Gráfico 24 Porcentaje de respuesta de la pregunta No. 3
Fuente: Trabajo de Investigación
Elaboración: Erick Yánez – Milagros Parra
Análisis: El 67% de los usuarios encuestados que laboran en el Instituto
Culinario de las Américas han compartido información con terceros varias
veces sin darse cuenta de los riesgos que pueden acarrearse.
33%
67%
0%0%
SI SOLO UNA VEZ
SI VARIAS VECES
NO
TALVEZ NO RECUERDO
92
Pregunta #4
Dentro de la red informática del instituto, ¿Ha sido usted víctima de
ataques informáticos?
Tabla 24 Análisis de resultados de la pregunta No. 4
Respuestas Cantidad Porcentaje
SI 3 0%
NO 0 0%
NO, recuerdo 0 67%
TOTAL 3 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 25 Porcentaje de respuesta de la pregunta No. 4
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 100% de los usuarios encuestados que laboran en el Instituto
Culinario de las Américas han sido víctimas de ataques informáticos
ejecutados por los piratas cibernéticos.
100%
0%0%
SI
NO
NO RECUERDO
93
Pregunta #5
¿Considera usted que la información es un valor de gran importancia
para el instituto y que solamente personal honesto y autorizado puede
tener acceso a ella?
Tabla 25 Análisis de resultados de la pregunta No. 5
Respuestas Cantidad Porcentaje
SI, considero 2 67%
NO, considero 0 0%
TALVEZ, considero 1 33%
TOTAL 3 100%
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 26 Porcentaje de respuesta de la pregunta No. 5
Fuente: Trabajo de Investigación
Elaboración: Erick Yánez – Milagros Parra
Análisis: El 67% de los usuarios encuestados que laboran en el Instituto
Culinario de las Américas considera que el acceso a la información de
carácter confidencial solo debe ser para el personal honesto y autorizado a
ella.
67%0%
33%
SI CONSIDERO
NO CONSIDERO
TALVEZ CONSIDERO
94
VALIDACIÓN DE LA IDEA A DEFENDER
Con la encuesta realizada al personal de administrativo en el Instituto
Culinario de las Américas se obtuvo los siguientes resultados: dicho
personal que labora en la institución académica poseen la mayor confianza
en usuarios desconocidos donde los mismos comparten información
sensible a terceros sin tomar en consideración de los riesgos que se
pueden acarrear por el compartimiento de datos de la organización de
educación superior, además este personal que trabaja en la institución no
cuenta con las medidas de seguridad para que ellos no puedan ser víctimas
de ataques cibernéticos realizados por los atacantes maliciosos cuyo
beneficios es apoderarse de los activos lógicos de la Escuela Culinaria de
las Américas en beneficio propio. Además los usuarios consideran que el
instituto implemente técnicas de protección para evitar los fraudes internos,
externos, por colusión este último es tener conexiones con personas ajenas
a la organización donde estos atacantes no puedan causar perjuicios a la
información de carácter confidencial.
95
Análisis de la encuesta de los alumnos de la CINT
Pregunta #1
¿Usted cree importante que las instituciones educativas inviertan en
seguridad informática?
Tabla 26 Análisis de resultados de la pregunta No. 1 OPCIONES CANTIDAD PORCENTAJE
MUY IMPORTANTE 169 76.9%
IMPORTANTE 51 23.1%
POCO IMPORTANTE 0
NADA IMPORTANTE 0
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 27 Análisis de resultados de la pregunta No. 1
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 76.9% de los estudiante del instituto en mención detallan que
para la institución es de gran importancia invertir en seguridad informática
para la protección de los activos.
96
Pregunta #2
¿Usted cree que la información debe ser de carácter confidencial?
Tabla 27 Análisis de resultados de la pregunta No. 2
OPCIONES CANTIDAD PORCENTAJE
SI 169 76.9%
NO 0
QUIZAS 51 23.1%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 28 Análisis de resultados de la pregunta No. 2
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 76.9% de los estudiante del instituto en mención que la
información debe ser de carácter confidencial para que solamente personas
autorizadas puedan acceder a ella.
97
Pregunta #3
¿Qué propósito principal tiene la seguridad informática?
Tabla 28 Análisis de resultados de la pregunta No. 3
OPCIONES CANTIDAD PORCENTAJE
PROTEGER LOS ACTIVOS DE LAS
ORGANIZACIONES
102 46.2%
PROTEGER INFORMACION DE
INDOLE PERSONAL
102 46.2%
NINGUNA DE LAS ANTERIORES
16 7.7%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 29 Análisis de resultados de la pregunta No. 3
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 46.2% de los estudiante del instituto en mención detallan que
el propósito principal de la seguridad informática es proteger los activos de
la organización.
98
Pregunta #4
¿Qué objetivo cree usted que poseen las organizaciones en proteger
su información de carácter confidencial?
Tabla 29 Análisis de resultados de la pregunta No. 4 OPCIONES CANTIDAD PORCENTAJE
PARA EVITAR PERDIDAS
ECONOMICAS
0
PARA TENER EL CONTROL
DE SUS ACTIVOS
EVITANDO EL ACCESO A
TERCEROS
118 53.8%
TODAS LAS ANTERIORES 102 46.2%
NINGUNA DE LAS
ANTERIORES
0
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 30 Análisis de resultados de la pregunta No. 4
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 53.8% de los estudiante del instituto en mención detallan que
el objetivo principal de las organizaciones es tomar el control de los activos
para evitar que terceros tengan accesos a ellos.
99
Pregunta #5
¿Considera usted que las organizaciones deben adquirir software de
código abierto en sus infraestructura de red?
Tabla 30 Análisis de resultados de la pregunta No. 5
OPCIONES CANTIDAD PORCENTAJE
SI CONSIDERO 85 38.5%
NO CONSIDERO 85 38.5%
TALVEZ 50 23.1%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 31 Análisis de resultados de la pregunta No. 5
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 38.5% de los estudiantes del instituto en mención detallan que
las organizaciones deben adquirir un software de código abierto en su
infraestructura de red.
100
Pregunta #6
¿La información sensible almacenada en las empresas es
considerada como información?
Tabla 31 Análisis de resultados de la pregunta No. 6 OPCIONES CANTIDAD PORCENTAJE
INFORMACION QUE AL SER MAL UTILIZADA PUEDE CAUSAR
PERDIDAS FINANCIERAS EN LAS ORGANIZACIONES 84 38.5%
INFORMACION QUE AL NO HACER PROTEGIDA CAUSARIA
PARALIZACION DE LOS SERVICIOS QUE BRINDA LA
ORGANIZACIONES
34 15.4%
TODAS LAS ANTERIORES 102 46.2%
NINGUNA DE LAS ANTERIORES 0
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 32 Análisis de resultados de la pregunta No. 6
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 46.2% de los estudiantes del instituto en mención detallan que
al darle mal uso a la información y al no protegerla los atacantes pueden
ocasionar pérdidas financieras y la paralización de los servicios que pueden
afectar a la productividad de la organización.
101
Pregunta #7
¿Cree usted que los usuarios deben de tener privilegios en el
sistema informático de acuerdo a las funciones que desempeñan en
la organización?
Tabla 32 Análisis de resultados de la pregunta No. 7 OPCIONES CANTIDAD PORCENTAJE
SI PARA EVITAR ACCESOS NO AUTORIZADOS DE
MANERA INTERNA
220 100%
NO POR LA FALTA DE PRESUPUESTO DE CONTRATAR
PERSONAL EN CIERTAS ORGANIZACIONES HACE QUE
LOS USUARIOS CUMPLAN VARIAS FUNCIONES
0
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 33 Análisis de resultados de la pregunta No. 7
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 100% de los estudiantes del instituto en mención detallan que
los usuarios deben tener privilegios en los sistemas informáticos de
acuerdo a las funciones que ejercen.
102
Pregunta #8
¿Conoce usted algunas de las metodologías de seguridad
informática que se indican a continuación?
Tabla 33 Análisis de resultados de la pregunta No. 8
OPCIONES CANTIDAD PORCENTAJE
OSSTMM 0
OWASP 0
ITIL 102 46.2%
NO CONOSCO
NINGUNA DE ELLAS
118 53.8%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 34 Análisis de resultados de la pregunta No. 8
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 53.8% de los estudiantes del instituto en mención detallan que
no conocen ninguna metodología de seguridad informática.
103
Pregunta #9
¿Qué aplicaciones usted utilizaría para realizar pruebas de auditoria
de seguridad informática?
Tabla 34 Análisis de resultados de la pregunta No. 8 OPCIONES CANTIDAD PORCENTAJE
APLICACIONES DE RECONOCIMIENTO Y
ESCANEO
169 76.9%
APLICACIONES DE RECONOCIMIENTO 0
APLICACIONES DE ESCANEO 0
NINGUNA DE ELLAS 51 23.1%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 35 Análisis de resultados de la pregunta No. 9
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 76.9% de los estudiantes del instituto en mención detallan que
los auditores de seguridad informática utilizarían aplicaciones de
reconocimiento y escaneo para la recopilación de información.
104
Pregunta #10
¿Han sufrido accesos ilícitos cuando a su información por medio de
correo electrónico?
Tabla 35 Análisis de resultados de la pregunta No. 10
OPCIONES CANTIDAD PORCENTAJE
SI 118 53.8%
NO 102 46.2%
TOTAL 220 100%
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Gráfico 36 Análisis de resultados de la pregunta No. 10
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Análisis: El 53.8% de los estudiantes del instituto en mención detallan que
las organizaciones corporativas han sufrido una penetración malicioso en
su infraestructura de red.
105
VALIDACIÓN DE LA IDEA A DEFENDER
Con la encuesta realizada al personal a los alumnos de la carrera de
Ingeniería en Networking y Telecomunicaciones se obtuvo la siguiente
información: los estudiantes encuestados consideran que la inversión en
sistemas de seguridad informática es de gran importancia debido a las
amenazas internas y externas presentes en la red de la institución
académica en la cual la información de carácter confidencial está expuesta
ante personas malintencionadas con la finalidad de acceder a los datos
afectando el rendimiento de los sistemas informáticos conectados a la red
degradando la disponibilidad de los activos lógicos, además ellos han
sufrido accesos ilícitos por medio de sus correos electrónicos
institucionales en donde los piratas informáticos utilizan técnicas de engaño
para que las victimas faciliten datos referentes a la organización de
educación superior.
106
CAPÍTULO IV
PROPUESTA TECNOLÓGICA
Análisis de Factibilidad
Por medio del presente análisis de vulnerabilidades en la infraestructura
tecnológica del instituto educativo en mención se planifica una auditoria de
seguridad informática para el descubrimiento de fallos de seguridad en la
red corporativa de la organización académica utilizando la Metodología
Internacional OSSTMM, que proporcionara la mayor seguridad al
departamento de tecnología de la institución de educación superior y
proveerá un mejor servicio para estudiantes, docentes y personal
administrativo de la Escuela Culinaria.
En la actualidad existe un poco interés en la toma de decisiones por parte
de la Institución sobre la inversión de herramientas de seguridad
informática que ayuden a reevaluar periódicamente los procedimientos de
seguridad con el fin de evitar daños y perdida de información, debido a los
costos excesivos de los servicios y por su baja demanda por parte de los
auditores que poseen poco conocimiento sobre aplicaciones de código
abierto.
Los principales problemas que se presentan en la seguridad son debido a
la falta de conciencia de los usuarios acerca de las funciones del sistema
informático, la falta de medidas de seguridad disponibles, la utilización de
Sistemas Públicos vulnerables por el bajo costo que representan y
adicionalmente a esto se suma la poca inversión en equipos de
seguridades de redes tales como: Cortafuegos, UTM, IDS/IPS de alta gama
que posean la funcionalidad de ejercer los bloqueos y monitoreo de
intrusiones maliciosas.
107
Factibilidad Operacional
En la etapa del estándar OSSTMM se identificaron todas las actividades
requeridas para lograr los objetivos establecidos en el capítulo 1, evaluando
y determinando todo lo prescindible para llevar a cabo el proyecto de
investigación enfocado en la metodología OSSTMM de manera que se
pudiera fijar en qué grado del análisis de vulnerabilidades propuesto es el
conveniente para ejecutarlo en la infraestructura tecnológica. Hoy en día se
cuenta con el personal interno adecuado para implementar el presente
proyecto ya que poseen conocimientos sólidos en seguridad informática y
adicionalmente se desempeñan en tareas como monitoreo de la red y
revisión constante de recursos, bitácora de las configuraciones de los
dispositivos de red, servidores y demás, controles de cambios realizados
en la infraestructura, actualizaciones de parches en los sistemas operativos
y mantenimientos realizados en las estaciones de trabajo, lo que nos
conduce a obtener el éxito en la propuesta tecnológica planteada.
Además existen las aplicaciones que cumplen con la funcionalidad de
actualizar periódicamente las bases de vulnerabilidades de las
herramientas utilizadas lo que despierta gran interés en la Gerencia del
departamento técnico ya que se mantendrán constantemente comunicados
sobre los incidentes de seguridad que pueden ocurrir en un momento
determinado y alertando sobre los riesgos presentes que atenten a la
seguridad lógica de la infraestructura. Desde el punto de vista operacional
se detalla que la propuesta es completamente viable, por la razón el
personal a cargo del departamento de tecnología de la institución
académica, ha proporcionado todas las facilidades para realizar el presente
análisis de vulnerabilidades y han participado con el progreso de las
actividades referente a la tecnología.
108
Factibilidad Técnica
Actualmente la institución educativa cuenta en su infraestructura
tecnológica con los siguientes servicios de red:
Un servidor Apache con la versión 2.2
Un web site desarrollado en Joonla versión 4
Un servidor FTP basado en Centos
Un servidor SSH
Un servidor de correo mail Server
Un servidor de bases de datos MYSQL
Estos servidores que se encuentran instalados en el centro de datos del
instituto en mención carecen de seguridad por la cual los atacantes pueden
tener acceso ilícitamente a la información de carácter confidencial.
Las aplicaciones instaladas en el sistema operativo Kali Linux que se
utilizarán para el análisis de vulnerabilidades en la infraestructura
tecnológica de la organización de educación superior son de código abierto
por la cual no se requiere que la institución invierta en software licenciado
para ejecutar la respectiva auditoria de seguridad informática.
ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS
AMERICAS
Luego del análisis que realizamos siguiendo las secciones de la
metodología OSSTMM aplicables al proyecto, se resolvió el nombre del
dominio obteniendo la IP del servidor y la puerta de enlace relacionadas a
la url del sitio web de la institución, con esto pudimos ejecutar la siguiente
herramienta que nos daría los dominios asociados al sitio web y la
verificación de la aplicación sobre la cual se encuentra desarrollada el sitio
web de la institución educativa, también se identificó un gran listado de
109
correos electrónicos relacionados al instituto y la dirección física del
servidor que maneja la IP pública del dominio y que servicios se encuentran
levantados ahí; toda esta información encontrada podría ser usada para
ejecutar un ataque por medio de ingeniería social o realizar una
suplantación de identidad para obtener información confidencial.
Continuando con la siguiente fase de nuestra metodología aplicada, que es
la revisión de la privacidad, verificamos toda la información del dominio,
observamos que se maneja el servidor http Apache versión 1.12.0, se pudo
realizar una recolección de documentos en su mayoría PDFs residentes en
algún directorio dentro del hosting que hospeda la página web de la
institución, es decir que hay información importante expuesta públicamente
hacia personas desconocidas. En esta fase también pudimos obtener una
lista más grande de correos electrónicos y direcciones IPs relacionadas.
Con toda esta información obtenida finalizamos la sección de seguridad de
la información, dimos paso a la seguridad de procesos realizando un testeo
de sugerencias guiada con lo que se concluyó que el sitio web es
completamente informativo y no posee dentro de sus servicios alguna
sección para realizar transacciones a nivel web, por lo que un atacante no
podría obtener por ese medio credenciales de tarjetas o cuentas bancarias.
Posteriormente se realizó el análisis para definir la seguridad en las
tecnologías de internet, ayudándonos con herramientas como Nessus y
Nmap, las cuales nos mostraron los puertos usados, los cuales se
encontraban abiertos, las versiones de los servicios que se ejecutan en
cada puerto escaneado y el estado del servicio FTP como vulnerable,
adicional al analizar el host nos mostró más de 140 vulnerabilidades entre
ellos 2 de gravedad media referentes al servidor DNS lo cual puede ser
utilizada por un usuario malintencionado en primera opción para lanzar
ataques adicionales o recoger los registros de tráfico que contienen
información sensible, entre ello, el capturar las credenciales de acceso e
información de cuenta. Un atacante también podría, como segunda opción,
capturar todo el correo electrónico, lo cual le daría todo el poder de enviar
110
correos en su nombre, con el dominio de la organización víctima y
persiguiendo su propia reputación. O más grave aún, los atacantes también
podrían escoger por una tercera opción, que es hacer ambas cosas. Con
el análisis de la herramienta Sparta pudimos constatar que el sitio web no
tiene en su línea de código defino un anti-clicking header para evitar copia
rápida de información en la página, tampoco cuenta con un encabezado de
protección X-XSS lo que los hace vulnerables a ataques XSS, lo que le
permite a un atacante inyectar código JavaScript en sitios web visitados por
el usuario, y así evitar medidas de control como la política del mismo origen,
esto puede ser utilizado para robar información delicada, apropiarse de
sesiones de usuarios, y comprometer el navegador, subyugando la
integridad del sistema. El análisis también nos indica que el sitio web no
tiene un encabezado HTTP Strict Transport Security, los que da una
ventana de oportunidad para que el atacante o usuario malicioso descifre
su cifrado SSL y robe datos valiosos o, peor aún, presente una página de
portal de inicio de sesión falsa.
A continuación se presenta la siguiente tabla detallando las herramientas
que se utilizaran en el análisis de vulnerabilidades.
Tabla 36 Listado de Herramientas de código abierto
ANÁLISIS DE VULNERABILIDADES SOFTWARE A UTILIZAR
Sección A –Seguridad de la Información
Revisión de la inteligencia competitiva. MALTEGO
Revisión de la privacidad FOCA
Recolección de documentos. FOCA
Sección B – Seguridad de los procesos
Testeo de solicitud. NMAP, SPARTA Y GOLISMERO
Testeo de sugerencia dirigida. NESSUS
Testeo de las personas confiables. MALTEGO
Sección C – Seguridad en las tecnologías del internet
111
Logística y controles NMAP, FOCA , WHOIS, NSLOOKUP, NESSUS
Exploración de la red NMAP, NESSUS
Identificación de los servicios del sistema. NMAP, NESSUS
Búsqueda de información competitiva. NMAP, MALTEGO
Revisión de la privacidad. MALTEGO
Obtención de documentos. FOCA
Búsqueda y verificación de vulnerabilidades.
NMAP, NESSUS, MALTEGO
Testeo de aplicaciones de internet. NMAP
Enrutamiento. NMAP, SPARTA
Testeo de sistemas confiados. NMAP
Testeo de control de acceso. NMAP
Testeo de sistema de detección de intrusos. NMAP
Testeo de medidas de contingencia. NMAP
Descifrado de contraseñas. HYDRA, MEDUSA
Testeo de denegación de servicios. NMAP
Evaluación de políticas de seguridad. NESSUS
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
112
Factibilidad Económica
La propuesta de análisis de vulnerabilidades en la institución de educación
superior de la ciudad de Guayaquil, utilizando la metodología de seguridad
informática internacional OSSTMM, se demuestra la viabilidad económica
debido a que el instituto en mención dispone de la infraestructura para la
ejecución del análisis desde cualquier conexión a la red de internet. Es
factible por las soluciones de seguridad que se obtendrían en el momento
de la auditoria de seguridad informática, además las herramientas que son
consideradas en el proyecto de investigación OSSTMM son de código
abierto lo que la organización no inflaría costos referentes al proyecto.
Tabla 37 Presupuesto
CANTIDAD DESCRIPSION DEL RECURSO COSTO
UNITARIO PARCIAL
1 LAPTOP HP CON PROCESADOR CORE I5 $ 850 $ 850
1 LAPTOP DELL CON PROCESADOR CORE I7 $ 1.000 $ 1.000
2 SISTEMA OPERATIVO KALI LINUX 2.0 Y ROLLING 0 0
1 SISTEMA OPERATIVO WINPOWER 0 0
TOTAL $ 1.850
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
113
Análisis del costo y beneficio del proyecto de investigación de
OSSTMM
En la siguiente tabla se compara la infraestructura tecnológica actual contra
la propuesta determinando así el análisis costo beneficio del proyecto.
Tabla 38 Análisis Costo beneficios del proyecto
ESTADO ACTUAL VALOR E IMPLEMENTACIÓN BENEFICIOS
Falta de conocimiento
de los usuarios
acerca de las
funciones del sistema
informático del
instituto.
La capacitación del personal
de sistema del Instituto
adquiere conocimiento por el
valor monetario de un
especialista.
Capacitar y
ampliar el
conocimiento
del personal
para que ellos
estén
preparados
ante incidentes
de seguridad.
Falta de conocimiento
sobre las nuevas
tecnologías de
seguridad informática
que existen
actualmente en el
mercado.
El tiempo que invierten los
auditores de seguridad
informática en la ejecución del
análisis de vulnerabilidades
logran que las organizaciones
ahorren tiempo y dinero por la
pérdida de información de
carácter confidencial y la
paralización de servicios que
proporciona a los clientes de
índole corporativo-residencial.
Contar con el
conocimiento
necesario para
planificar
planes de
contingencia
que ayude a
disminuir los
riesgos y
vulnerabilidade
s de los
sistemas de
información.
114
Falta de actualización
en las aplicaciones
montadas en los
servidores y parches
en los sistemas
operativos clientes.
El departamento de sistema
cuenta con aplicaciones
licenciadas y con parches
actualizados eso logra reducir
los costos de implementación
de parches.
En el estudio
de análisis de
vulnerabilidade
s es importante
identificar los
parches del
sistema para
cubrir los fallos
de seguridad.
Los servicios de
apache no se
encuentran en su
versión más reciente.
La actualización de los
servicios apache no tiene costo
de implementación debido a
que las distribuciones de Linux
son de código abierto.
Con el
respectivo
análisis de
vulnerabilidade
s se determina
los niveles de
riesgo de los
sistemas y la
continuidad de
negocio de las
organizaciones
para la toma de
decisiones
sobre la mejora
de la seguridad
de las mismas.
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
115
Factibilidad Legal
El análisis de vulnerabilidades en la infraestructura tecnológica del instituto
en mención no vulnera ni infringe las leyes vigentes de la república del
Ecuador ya que el propósito de este análisis es informar y dar
recomendaciones al instituto de educación superior para que no sea víctima
de un ataque cibernético realizado por atacantes maliciosos cuya finalidad
es atentar a la información de carácter sensible, por la cual el proyecto de
seguridad informática utilizando la metodología OSSTMM es factible
legalmente.
ETAPAS DE METODOLOGÍA DEL PROYECTO
La metodología de seguridad informática a emplear fluye desde en la parte
inicial del proyecto hasta con la respectiva culminación del mismo. Esta
metodología es aquella que permite la separación entre la recolección y el
escaneo de datos hacia los tests de verificación sobre la información
recolectada.
116
Gráfico 37 Metodología OSSTMM
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Pruebas de Auditoria de Seguridad de Informática
El análisis de vulnerabilidades se enfoca en tres secciones de la
metodología OSSTMM que se detallan a continuación:
Gráfico 38 Secciones de la Metodología OSSTMM
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
117
Abordando con la fase de reconocimiento dentro de la ejecución del análisis
de vulnerabilidades se menciona que todo el conjunto de herramientas que
serán utilizadas en el presente análisis pertenecen al sistema operativo Kali
Linux, la versión utilizada en este proyecto es la 2.6 y el Rolling desarrollado
por la comunidad de Dragón Jar.
Sección A, Seguridad de la información
En esta fase de la seguridad de la información se especifica la red
corporativa instalada en el centro de cómputo de la institución de educación
superior y la información confidencial e integra de los usuarios que laboran
para la misma.
1. Revisión de la inteligencia competitiva: En esta etapa se detalla
la ejecución del análisis enfocado en determinar toda la información
referente a las instalaciones de los aplicativos informáticos, y se
analiza los dispositivos, el software y los servicios ejecutados dentro
de la red corporativa, además se observa la información de carácter
confidencial de la institución que pueden ser utilizada como
ingeniería social y ser una forma de vulnerar las seguridades de la
red por medio de los usuarios, para obtener las direcciones IP de
gran importancia. Para recopilar la información se recomienda el uso
del Google hacking por sus operadores avanzados de filtro, que
permite recopilar información sensible tales como: claves de acceso
a sistemas informáticos de mayor productividad, direcciones de
correos electrónicos, etc.
118
Herramienta Nslookup
Una vez que ya conocemos la dirección web de la institución académica
esta es analizada para verificar su direccionamiento público y rango de red
con su respectiva clase, para poder obtener esta información utilizaremos
la herramienta Nslookup que se halla disponible en sistemas operativos
Windows y Linux.
Gráfico 39 Resolviendo el nombre del dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 40 Verificando la puerta de enlace y la IP del servidor
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Tal como se comprueba que el dominio al que pertenece la institución
académica arroja una dirección IPv4 clase B, en donde el primer octeto es
162 (mayor que 128) se demuestra que la dirección IP hallada es de clase
B, por lo tanto la cantidad de hosts que pertenecen a esa red es amplio por
tal motivo se requiere de una cierta cantidad de tiempo, para identificar el
rango de subred y los datos del servidor web. Además existen algunas
119
opciones útiles con el comando Nslookup para la obtención de información
de manera profunda sobre los servidores de la organización educativa.
Añadiendo set type=NS se revela los nombres magistrales que pertenecen
a ese dominio así como también sus servidores DNS.
Herramienta Maltego
Para realizar el análisis de reconocimiento pasivo con la herramienta
Maltego debemos tener una cuenta de usuario registrada en la página de
119aterva.com para tener acceso a los recursos de la aplicación donde por
medio del usuario podemos identificar información acerca de los servidores
de Paterva utilizando el método de transformadas.
Gráfico 41 Dominios asociados a la dirección web del instituto
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
120
Gráfico 42 Verificación de la aplicación donde se encuentra desarrollado el sitio web del instituto académico
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 43 Identificación de correos electrónicos y ubicación de la dirección IP Publica del dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
121
Gráfico 44 Identificación de correos electrónicos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
122
Gráfico 45 Identificación de servicios en la nube
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Por medio de la herramienta Maltego instalada en el sistema operativo Kali
Linux se logró obtener dominios asociados al sitio del instituto, correos
electrónicos, ubicación de la dirección IP publica e identificación de la
misma integrada con el dominio.
2. Revisión de la privacidad: En este punto se hace referencia a la
revisión de la privacidad de los usuarios, en la cual se enfoca en
aplicar los componentes éticos y legales relativos al
almacenamiento, transmisión y control de datos de disponibles y
clientes de las organizaciones.
Herramienta Foca Online
Continuando con el análisis de los servidores públicos instalados en el
centro de datos de la institución académica es el turno de la herramienta
123
foca PRO, esta aplicación permitirá conocer información importante de la
organización de educación superior, tales como metadatos, ficheros que se
encuentran el hosting que aloja el sitio web, estos pueden ser archivos de
Microsoft Office, Open Office y PDF.
Gráfico 46 Verificación de la información del domino
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 47 Versión del Apache
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
124
Gráfico 48 Recolección de documentos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 49 Documentos en formato PDF
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Por medio de la herramienta foca pro se pudo obtener los siguientes
documentos que son de gran importancia para la institución de educación
superior y la información sobre los servicios apaches que tiene la misma.
Foca PRO es una aplicación que permite encontrar metadatos e
información oculta dentro de los sitios web de un determinado dominio, con
este programa podemos determinar el nivel de seguridad que tiene la
página de la institución académica analizada, como podemos observar los
125
gráficos 48 y 49 donde se encontró varios documentos que se encuentran
en algún directorio dentro del hosting que hospeda un dominio, es decir que
existe información que se encuentra expuesta públicamente hacia
personas desconocidas.
THEHARVESTER
La herramienta THEHARVESTER es aquella que permite realizar una fase
de reconocimiento sobre un dominio público escaneando direcciones de
correo electrónico, direcciones IPs del dominio y demás. A continuación
presentaremos los resultados de la aplicación.
Gráfico 50 Escaneo de Correos Electrónicos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
126
Gráfico 51 Escaneo de Direcciones IPs Públicas
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Con la herramienta THEHARVESTER se logró obtener la cantidad de
correos electrónicos y direcciones IPs del dominio.
Sección B, Seguridad de procesos
En este punto se ejecutara una serie de testeos (solicitud, sugerencia
guiada y demás) para obtener el acceso a los privilegios de cada usuario
que labora en el centro de cómputo y a sus activos principales de la
institución académica.
1. Testeo de sugerencia guiada: El siguiente paso de un atacante
malicioso se suplanta la identidad de un usuario específico con la
finalidad de obtener información confidencial referente a la
compañía que el mismo labora, otro de los métodos de los piratas
informáticos es invitar a usuarios con poco conocimiento de
informática visitar una página web falsa con el fin de robar las
credenciales de cuentas bancarias de las personas que acceden a
127
estos sitios falsos, o cuenta de correo electrónico. En este test de
intrusión no es aplicable para el presente proyecto referente al
metodología internacional OSSTMM por la cual no se dispone de
algún sitio web alternativo al de la institución académica para poder
realizar el redireccionamiento de servicios web con el fin de lograr
obtener información de los usuarios, adicionalmente se verifica que
el sitio web original es netamente informativo no posee dentro de sus
opciones la realización de transacciones en línea.
Referencias de Testeo
A continuación se detalla una lista con las extensiones más comunes que
se utilizan los atacantes maliciosos para hacer llegar código malicioso por
medio de correo electrónico y navegadores a los usuarios víctimas.
Tabla 39 Extensiones de códigos maliciosos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Sección C, Seguridad en las tecnologías de internet
En esta sección se realizarán análisis de vulnerabilidades, exploración de
la red, escaneos de puertos, identificación de servicios y sistemas,
detección de vulnerabilidades y verificación, testeo de aplicaciones de
internet, enrutamiento, cifrado de contraseñas, testeo de denegación de
EXT DESCRIPCION
.ade Extensión de Microsoft Access Project
.adp Microsoft Access Project
.bat Archivo Batch
.chm Archivo de ayuda de HTML compilado
.cmd Comandos de Microsoft Windows NT
.com Programa de Microsoft MS-DOS
.cpl Extensión de Control Panel
.crt Certificado de Seguridad
.eml Correo de Oulook Express
.exe Programa ejecutable
.hlp Archivo de ayuda
.hta Programa HTML
.inf Información de Configuración
.ins Servicios de Nombres de Internet
.jpg Imagen JPEG
.isp Configuración de comunicaciones de Internet
.js Archivo Jscript
.jse Archivo Jscript codificado
128
servicio, y la revisión de políticas de seguridad. Para ello usaremos
herramientas genéricas de gestión de red tales como Nessus y Nmap.
Herramienta Nmap
Perpetuando con la fase de reconocimiento de cada uno de los servicios
montados en la institución académica dentro de su centro de datos y que
se encuentran expuestos en la red, aplicaremos la herramienta para
realizar un escaneo de puertos a nivel de direccionamiento público o
dominio. En primera petición se procederá a ejecutar un escaneo de
puertos y servicios del servidor web alojado en un hosting.
Gráfico 52 Escaneo de Puertos al dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
129
Gráfico 53 Identificación de los puertos abiertos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 54 Verificación de las versiones de los servicios
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
130
Gráfico 55 Verificación de las versiones de los servicios levantados en el dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra Gráfico 56 Identificación de los sistemas instalados en la institución
académica
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
131
Gráfico 57 Servicio FTP Vulnerable
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra Con el escáner de puertos NMAP se verifico la cantidad de puertos
importantes, la vulnerabilidad del servicio FTP de la institución educativa y
la versión de los servicios que se ejecutan en cada puerto escaneado.
Herramienta Nessus
Para el escaneo de vulnerabilidades en las aplicaciones de los servidores
públicos de la Institución académica se utiliza la herramienta Nessus para
verificar la cantidad de vulnerabilidades que posee el dominio del instituto.
132
Gráfico 58 Información de las vulnerabilidades
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 59 Información de las vulnerabilidades por medio de NESSUS
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
133
Gráfico 60 Cantidad de Vulnerabilidades del Dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 61 Ejecución del Análisis de Vulnerabilidades
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
134
Gráfico 62 Crecimiento del Escaneo
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 63 Escaneo Total de los servicios
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
135
Gráfico 64 Tracert al Dominio por medio de Nessus
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Por medio de la herramienta de escáner de vulnerabilidades NESSUS se
logró obtener los resultados sobre la cantidad de vulnerabilidades que
posee el dominio de manera creciente el historial de cada vulnerabilidad y
el tipo de fallo de seguridad presente en el servidor web público.
Herramienta Sparta
Sparta es una herramienta que incluye un escaneador de puertos TCP y
UDP, además realiza ataques de fuerza bruta para tener el acceso a los
sistemas informáticos de una organización.
136
Gráfico 65 Escaneo de puertos por medio de Sparta
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 66 Análisis de la información del Dominio
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
137
Gráfico 67 Verificación del puerto 22 SSH
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Con la herramienta Sparta se verifico los puertos abiertos TCP de gran
importancia tales como el puerto 21, 22, 80, 110, 443 y 3306. Además se
idéntico que el dominio del Instituto Culinario es vulnerable a ataques XSS.
Herramienta Golismero
Es una herramienta que automatiza las tareas del pentesting en las
aplicaciones web cliente-servidor una de las funciones principales del
programa es la integración con el escáner de vulnerabilidades OpenVAS
para la realización de test de intrusión en servidores web basados en Linux
y Windows. Por ejemplo, puede adaptarse a para realizar escaneo de
puntos débiles a determinadas IPs.
138
Gráfico 68 Identificación del sitio web
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Gráfico 69 Identificación del ataque de fuerza bruta
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
139
Gráfico 70 Ataque de fuerza bruta al DNS
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
RESULTADOS DEL ANÁLISIS DE VULNERABILIDAD
Escaneo de puertos
En esta sección detallamos la cantidad puertos abiertos de gran
importancia para un atacante malicioso.
Tabla 40 Tabla de puertos abiertos
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
SERVIDORES PUERTOS ABIERTOS
http 80
ssh 22
ftp 21
smtp 25
pop3 110
https 443
mysql 3306
smtps 465
domain 53
pop3s 995
imaps 993
140
Identificación de los servicios
En esta sección se indica la versión de cada servicio escaneado por medio
del escaneo de puertos aquí se detalla las versiones de los servicios de
gran importancia para los piratas informáticos donde ellos seleccionan el
ataque enfocándose en la versión del servidor instalado en la
infraestructura tecnológica.
Tabla 41 Tabla de servicios con su respectiva versión
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
Búsqueda de Vulnerabilidades y Verificación
Con la herramienta Nessus se pudo analizar el servidor web del instituto de
educación superior y determinar un total de 143 vulnerabilidades presentes
en los servicios tecnológicos de la organización, se detalló paso a paso el
uso de la herramienta con la finalidad de que sea amigable al uso del
usuario que realiza el análisis. Se realizó y explicó cómo realizar un
escaneo de vulnerabilidades.
ANÁLISIS REALIZADO A LA ESCUELA CULINARIA DE LAS
AMÉRICAS
Luego del análisis que realizamos siguiendo las secciones y fases de la
metodología OSSTMM, se observó la verificación de la puerta de enlace y
la IP del servidor a la que se encuentran atada la dirección web de la
institución,
SERVICIOS VERSION
ftp pure-ftpd
ssh open-ssh 5.3 (protocol 2.0)
http apache httpd
pop3 dovecot-pop3d
imap dovecot-imapd
smtp exim smtpd 4.89
141
TABLA DE RECOMENDACIONES BASADAS EN LA ISO 27001:2013
Tabla 42 Tabla de recomendaciones de la ISO
Vulnerabilidad Control Recomendación
Vulnerabilidad ataque
de fuerza bruta a
través del puerto 22
donde se ejecuta el
servicio SSH.
A.12.6.1 Gestión de
vulnerabilidades
técnicas.
Se debe obtener de
manera oportuna
información sobre las
vulnerabilidades
técnicas y tomar
medidas adecuadas
para manejar los
riesgos asociados.
Vulnerabilidad a
ataques de
denegación de
servicio por medio del
puerto 80 y 443.
A.12.2.1 Controles
contra el malware
A.12.6.1 Gestión de
vulnerabilidades
técnicas.
Se debe implementar
mecanismos de
control para la
detección y
prevención de códigos
maliciosos.
Vulnerabilidades en
las redes por medio
de ataques XSS.
A.13.1.2 Seguridad de
los servicios de las
redes.
Se debe identificar los
mecanismos de
seguridad, los niveles
del servicio e incluirlos
en los acuerdos de
servicios de redes.
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
142
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Tabla 43 Criterios de validación del proyecto
ESCALAS
Aspectos a tomar en cuenta
Muy conveniente
Conveniente Mediamente conveniente
Poca conveniente
Nada conveniente
1. La propuesta es una alternativa para mejorar las seguridades de la infraestructura tecnológica del instituto en mención.
X
2. La propuesta detectara las vulnerabilidades para evitar ataques internos y externos.
X
3. Fortalecerá la confidencialidad, integridad y disponibilidad de la información.
X
4. Asegurara la continuidad de los servicios tecnológicos minimizando los riesgos operativos.
X
5. Detectara la falta de parches en los sistemas operativos instalados en las estaciones de trabajo.
X
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
143
Tabla 44 Vulnerabilidad de Impacto
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
DESCRIPCIÓN CRITICO RANGO > 9 Y <= 10 ALTO RANGO > 7 Y <= 9 MEDIO RANGO > 4 Y <= 7 BAJO RANGO 0 Y <= 4
Determinan
situaciones
que logran un
acceso ilícito
al sistema de
información
con sus
respectivas
aplicaciones y
privilegios de
usuarios.
xDeterminan
situaciones
que logran
obtener el
acceso a la
red
corporativa de
la
organización
con el fin de
filtrar
información de
carácter
confidencial.
x
Determinan
condiciones
que no
resulten
directamente
el acceso a la
red o al
sistema de
información
pero se llega
al caso que
estas
intrusiones
afecten el
acceso y
rendimiento
del sistema.
x
Determinan
condiciones
que no
resulten el
acceso a la
red
corporativa
pero los
atacantes
pueden
inyectar
cookies para
la duplicidad
de sesión
logrando así
obtener el
acceso a la
red con sus
respectivos
servicios.
x
RIESGO CVSS (SCORING SYSTEM COMMON VULNERABILITY)
144
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO
A continuación se evalúa el proyecto referente a la metodología OSSTMM
mediante los criterios de aceptación enfocados en el alcance del mismo
para realizar esta evaluación se utilizaran tablas para registrar los datos del
proyecto:
Tabla 45 Tabla de Aceptación 1
CRITERIO ALCANCE
POSITIVA INDIFERENTE NEGATIVA
Asesorar al personal
que labora en el
departamento
tecnología y al
encargado de la
seguridad lógica de
la infraestructura de
red del Centro de
Datos del instituto de
educación superior
con el fin de aplicar
métodos para
disminuir los
posibles fallos de
seguridad
identificados a través
de escáner de
vulnerabilidades.
X
145
El resultado de las
pruebas de análisis
de vulnerabilidades
en la infraestructura
tecnológica será
transmitido a los
especialistas para
que implementen los
controles adecuado
bajo el modelo
OSSTMM el cual
permite través de
sus plantillas una
lista de
comprobación clara
y precisa.
X
Se realizará un
estudio de
vulnerabilidades
completo que incluye
información
confidencial de la red
corporativa del
objeto del análisis
tales como rango de
direccionamiento de
red público
integrando dominios
y servicios por medio
de herramientas de
código abierto, con
X
146
el fin de establecer
conclusiones
precisas las cuales
permitirán una
solución adecuada y
acorde a los
requerimientos
presentes en la
institución.
Fuente: Trabajo de Investigación Autores: Erick Yánez – Milagros Parra
Tabla 46 Tabla de Aceptación 2
CRITERIO ALCANCE
POSITIVA INDIFERENTE NEGATIVA
Al final del estudio
se entregará los
reportes de todo el
análisis ejecutado
en la
infraestructura
tecnológica del
instituto educativo,
no siendo posible
su demostración en
los mismos debido
a que son equipos
que prestan
servicios en
ambiente
académicos y lo
X
147
recomendable en
estos casos es no
realizar ningún tipo
de ataque
informático en ellos
debido a la
criticidad que
representan.
Es necesario citar
que para la
demostración del
estudio realizado
se replicará un
entorno virtual de
acuerdo a las
características y
servicios que
presten los
servidores reales
dentro de la
infraestructura de
red.
X
Fuente: Trabajo de Investigación
Autores: Erick Yánez – Milagros Parra
148
CONCLUSIONES
Por medio del análisis de detección de vulnerabilidades en la
infraestructura tecnológica del instituto de educación superior se
detalló toda la información referente a la red corporativa de la
organización académica. Con el uso de herramientas como Maltego,
Nmap, Golismero, Nessus, Sparta, TheHarvester y Foca se llevó a
cabo exitosamente la ejecución del análisis de una forma correcta
para obtener los resultados deseados y con esto se pudo llegar a
tener conocimiento de todos los riesgos que pueden acarrearse al
no tomar en consideración estos tipos de análisis y desconocer
como los atacantes pueden afectar la productividad de los sistemas.
Con el uso de la metodología internacional OSSTMM se realizó el
respectivo análisis de vulnerabilidades en la infraestructura
tecnológica de la organización de educación superior, cumpliendo
cada una de las secciones que proporciona esta metodología y las
cuales se adaptan al proyecto de investigación desarrollado. Con
esta metodología se pudo llegar a saber que fases fueron aplicables
a la propuesta de implementación en la cual se detectó lo siguiente:
puertos abiertos, cantidad de vulnerabilidades con su respectivo
historial, y el tipo de ataque que se podía utilizar para tener acceso
a unos de los puertos.
La metodología OSSTM es una de las metodologías que se adaptan
a la ISO 27001:2013 en el cual la norma presenta los controles que
se deben utilizar para disminuir los índices de vulnerabilidades y
riesgos detectados mediante el análisis en mención, con esto se
puede llegar al cumplimiento de los procesos de auditoria y las
organizaciones se pueden basar en este tipo de procesos para llegar
a una protección máxima, evitando las fugas de información de
carácter confidencial.
149
La metodología OSSTMM facilita un informe de auditoría de
seguridad informática en el cual los auditores pueden evidenciar las
pruebas referentes al análisis de vulnerabilidades y detallar los
hallazgos identificados durante el proceso de análisis. Con los
respectivos informes se puede dar por finalizado el proceso de
auditoría de seguridad informática en una organización donde estos
serán archivados respetando los acuerdos de confidencialidad
gestionados entre la empresa y el auditor.
150
RECOMENDACIONES
Se recomienda el uso de UTMs de alta gama y de VPN, así se
disminuye el acceso ilícito a los sistemas informáticos, bloqueando
los puertos donde se ejecutan servicios de gran importancia y
estableciendo conexiones por medio de túneles.
Se recomienda la ejecución de auditorías cada tres meses por medio
de la metodología OSSTMM para que las organizaciones puedan
conocer sus vulnerabilidades y los riesgos que pueden presentarse
en el momento oportuno.
Se recomienda el uso de la norma ISO 27001:2013 para determinar
los controles que se deben utilizar. Por medio de una siguiente tabla
se van a detallar los controles que son aplicables a la propuesta en
mención.
Se recomienda el uso de informes para que las empresas puedan
tener como evidencia todas las vulnerabilidades presentes en la red
corporativa, con sus respectivas recomendaciones.
151
BIBLIOGRAFIA
Américas, E. C. de las. (2017). Culinaria de las Américas. Retrieved from http://www.culinariadelasamericas.com/escuela-chef-guayaquil-quienes-somos/
Bayardo, M. G. M. (2012). Introducción a la metodologia de la investigación educativa (UniEdit). Rosario.
Edith, S., & Trujillo, A. (2013). La Inteligencia Analítica y la Competitividad en las Empresas La Inteligencia Analítica y la Competitividad en las Empresas, 3(3), 24–47.
Eh, W. R., & Lqflghqw, S. H. U. (2015). a Study on Integrating Penetration Testing Into the Information Security Framework for Malaysian Higher. International Symposium on Mathematical Sciences and Computing Research (iSMSC), 156–161.
Garzón, D. S., Ratkovich Gomes, J. C., Vergara Torres, A., & Serrano, M. I. (2012). Metodología de Análisis de Vulnerabilidades para Empresas de Media y Pequeña Escala, 10.
Gupta, H., & Kumar, R. (2015). Protection against penetration attacks using Metasploit. 2015 4th International Conference on Reliability, Infocom Technologies and Optimization: Trends and Future Directions, ICRITO 2015, 2–5. https://doi.org/10.1109/ICRITO.2015.7359226
ISECOM. (2014). OSSTMM. Retrieved from https://www.dragonjar.org/osstmm-manual-de-la-metodologia-abierta-de-testeo-de-seguridad.xhtml
ISECOM. (2016). OSSTMM VERSION 3, 213.
Lehrfeld, M., & Guest, P. (2016). Building an ethical hacking site for learning and student engagement. Conference Proceedings - IEEE SOUTHEASTCON, 2016–July. https://doi.org/10.1109/SECON.2016.7506746
Manchola, S. L., Suarez, G. H. C., & Herrera, B. O. E. (2016). Investigaci??n sobre el hacker y sus posibles comienzos en la comunidad estudiantil. Caso Universidad Piloto de Colombia. 2016 8th Euro American Conference on Telematics and Information Systems, EATIS 2016. https://doi.org/10.1109/EATIS.2016.7520135
Mercado, A. G. (2012). Manual de técnicas de investigación para estudiantes de ciencias sociales (ISBN). Guadalajara.
Moreno, G. (2011). Introducción a la metodologia de la investigación educativa (Edimex). Mexico DF.
152
Páez, G. (2011). Metodos de Investigacion (Instituto). Turrialba.
PÉREZ, P. G. (2015). ETHICAL HACKING. (8 posterior - 28932 - MÓSTOLES (MADRID) JUAN RAMÓN JIMÉNEZ, Ed.) (0xWORD COM). MADRID-ESPAÑA: 2015. https://doi.org/M-18543-2014
Prandini, M., & Ramilli, M. (2012). Towards a practical and effective security testing methodology, 320–325.
Ron, M., & Ninahualpa, G. (2012). PENETRACION EN AMBIENTES VIRTUALES.
153
ANEXOS
Gráfico 71 Autorización de la realización del proyecto en la Escuela
Culinaria de las Américas.
154
Gráfico 72 Red de la Escuela Culinaria de las Américas
Top Related