REALIZACIÓN DE UNA AUDITORIA DE SISTEMAS PARA ASEGURAR EL

CUMPLIMIENTO DEL OWASP TOP 10 EN EL SISTEMA DE MATRICULA EN

LÍNEA DE LA UNIVERSIDAD TECNOLÓGICA DEL PERU
Yazmit Luna Ochoa
1610683@utp.edu.pe
Juan Mendieta Ochoa
1610684@utp.edu.pe

RESUMEN
Actualmente en el Perú la demanda de universitarios ha aumentado, por lo que la
población de alumnos ha incrementado en las universidades. En consecuencia,
los procesos de matrículas han tenido la necesidad de mejorar su performance
para dar un mejor servicio a los estudiantes. Por su parte, las técnicas de auditoria
buscan asegurar que el proceso como tal sea confiable y exacto. En la presente
auditoría de sistema se ha usado la metodología OWASP (OWASP TOP 10) para
identificar las vulnerabilidades que tiene el sistema de matrícula en línea. De
acuerdo a los resultados obtenidos en la entrevista y pruebas con la herramienta
OWASP ZAP, se presentaron las observaciones y recomendaciones emitidas en
el informe.

ABSTRACT

Currently in Peru the demand for university students has increased, so the student
population has increased in universities. As a result, enrollment processes have
had the need to improve their performance to better serve students. For its part,
the audit techniques seek to ensure that the process as such is reliable and
accurate. In the present system audit, the OWASP methodology (OWASP TOP 10)
has been used to identify the vulnerabilities of the online enrollment system.
According to the results obtained in the interview and tests with the OWASP ZAP
tool, the observations and recommendations issued in the report were presented.

Palabras clave: OWASP TOP 10, OWASP ZAP, Auditoria de sistemas, Seguridad
Informática

1
1. INTRODUCCIÓN
La auditoría de sistemas es una de las herramientas para realizar la evaluación
control interno o externa a cualquier organización empresarial o algún proceso en
particular, esto nos va permitir conocer la situación actual en la que se encuentra,
con la finalidad de levantar evidencias requeridas para sustentar a la alta
dirección.
Es importante conocer la ISO 27001, COBIT o estándar de verificación de
Seguridad que permita realizar una evaluación de auditoría de sistemas. Es por
eso que se debe seguir una serie de pasos previos que nos permitan dimensionar
las características y objetivos que se van a estudiar en la auditoría, por ello que la
seguridad informática hace importante en una auditoria de sistemas porque la
información y datos sensibles son imprescindible dentro de las organizaciones.
En este caso se va a utilizar el OWASP Top 10, es un estándar en la cual nos va
identificar las vulnerabilidades que tiene proceso de matrícula en línea y además si
cumple con la seguridad específica de su aplicación.

2. MARCO TEORICO
2.1. SEGURIDAD DE LA INFORMACION
Según Areitio, define a la seguridad de la información de la siguiente manera:
La seguridad de los sistemas de información es una disciplina en continua
evolución. La meta final de la seguridad es permitir que una organización
cumpla con todos sus objetivos de negocio o misión, implementando
sistemas que tengan un especial cuidado y consideración hacia los riesgos
relativos a las TIC de la organización, a sus socios comerciales, clientes,
Administración Pública, suministradores, etc. (Areitio Bertolín, 2008, págs.
2-4)
2.2. AUDITORIA
Según Sánchez Gómez A R (2005), existe más de una definición de Auditoría,
pero en esta ocasión veremos las definiciones que nos puedan ayudar a entender
y conocer en forma completa el proceso en sí.
 Una recopilación, acumulación y evaluación de evidencia sobre información
de una entidad, para determinar e informar el grado de cumplimiento entre
la información y los criterios establecidos.
 Un proceso sistemático para obtener y evaluar de manera objetiva, las
evidencias relacionadas con informes sobre actividades económicas y otras
situaciones que tienen una relación directa con las actividades que se
desarrollan en una entidad pública o privada. El fin del proceso consiste en
determinar el grado de precisión del contenido informativo con las
evidencias que le dieron origen, así como determinar si dichos informes se
han elaborado observando principios establecidos para el caso.

2
 2.2.1. AUDITORIA DE SISTEMAS
ISACA, define a la auditoria de sistemas como cualquier auditoria que
abarca la revisión y evaluación de todos los aspectos de los sistemas
automáticos de procesamiento de la información, así como también los
procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.
2.2.2. CLASES DE AUDITORIA
2.2.2.1. Auditoría operativa
2.2.2.2. Auditoría pública o gubernamental
2.2.2.3. Auditoría de sistemas
2.2.2.4. Auditoría externa o auditoría legal
2.2.2.5. Auditoría interna
La auditoría interna se puede concebir como una parte del control interno.
La realizan personas dependientes de la organización con un grado de
independencia suficiente para poder realizar el trabajo objetivamente; una
vez acabado su cometido han de informar a la Dirección de todos los
resultados obtenidos. La característica principal de la auditoría interna es,
por tanto, la dependencia de la organización y el destino de la información.
(Hevia Vásquez, 1989, pág. 4)
2.3. OWASP
El proyecto abierto de seguridad en aplicaciones Web (OWASP por sus siglas en
inglés Open Web Application Security Project) es una comunidad abierta dedicada
a facultar a las organizaciones a desarrollar, adquirir y mantener aplicaciones que
pueden ser confiable. (Castillo Garcia & López Santiago, 2016)
2.3.1. OWASP TOP 10
El Top 10 de OWASP se enfoca en identificar los riesgos de seguridad de
aplicaciones web más serios para una amplia gama de
organizaciones. Para cada uno de estos riesgos, proporcionamos
información genérica sobre la probabilidad y el impacto técnico utilizando el
siguiente esquema de calificación simple, que se basa en la Metodología de
Calificación de Riesgo de OWASP . (OWASP, 2017)
2.3.2. OWASP ZAP
El Proxy Zed Attack (ZAP) de OWASP es una de las herramientas de
seguridad gratuitas más populares del mundo y es mantenido activamente
por cientos de voluntarios internacionales * . Puede ayudarlo a encontrar
automáticamente vulnerabilidades de seguridad en sus aplicaciones web
mientras desarrolla y prueba sus aplicaciones. También es una gran
herramienta para pentesters experimentados para usar en pruebas de
seguridad manuales. (OWASP, 2018)

3
 2.4. ESTADO DEL ARTE
Para realizar la presente auditoría, hemos usado como referencia el uso del
OWASP Top 10 2017 en otras organizaciones, y así corroborar su importancia.
En el año 2015, Girón y Torres realizaron una evaluación a una aplicación web de
historias clínicas tomando como referencia el OWASP Top 10, teniendo como
resultado un parcial cumplimiento en los controles de seguridad relacionados a las
vulnerabilidades que OWASP top 10 presenta. Siendo así, realizaron
recomendaciones para que tomen una acción correctiva.
Otro trabajo que se realizó en el año 2015 fue el diseño e implementación de una
auditoria de seguridad a la información de los datos sensibles de un centro de
educación superior. Bonilla, Brenda tomó como referencia el OWASP Top 10 –
2013 y así pudo encontrar algunas vulnerabilidades como la inyección SQL y el
Blind-SQL.
En el año 2017, Pérez Guisela realizó un estudio de Seguridad Informática para
identificar las vulnerabilidades del Sistema académico del Ministerio de Educación
de Ecuador. Para esto usaron el Software OWASP ZAP como herramienta y
realizaron un escaneo completo del sistema, obteniendo como resultado algunas
vulnerabilidades no tan graves que pueden ser corregidas.
Con el sustenta de las anteriores aplicaciones del OWASP en diferentes empresas
y aplicaciones, se va a realizar la evaluación del Sistema de Matricula en Línea de
la Universidad Tecnológica del Perú tomando como referencia el OWASP TOP 10
2017. De esta manera, identificaremos las vulnerabilidades que podría tener la
aplicación y así implementar nuevos controles de seguridad.

3. ESTUDIO DEL CASO

La empresa a la que se le realizará la auditoría es la Universidad Tecnológica del
Perú.
3.1. ANTECEDENTES
La Universidad Tecnológica del Perú es una institución privada ubicada en la
ciudad de Lima, Arequipa y Chiclayo, actualmente cuenta con 30 carreras
académicas. Fue fundada el 8 de setiembre de 1997 por el ingeniero Roger
Amuruz Gallegos. Inició a ejercer funciones en noviembre de 1997, cuando el
Consejo Nacional de Autorización y Funcionamiento de Universidades (Conafu)
autorizó provisionalmente su funcionamiento. Desde el año 2012, la UTP es parte
del grupo Intercorp.
3.2. MISION / VISION
3.2.1. Misión
Dar a todos los peruanos acceso a una educación superior de calidad que les
permita alcanzar una vida mejor.

4
 3.2.2. Visión
Ser la primera opción para estudiantes con afán de superación que contribuyan a
un Perú mejor.
3.3. SERVICIOS
La UTP te ofrece servicios académicos y administrativos desde el inicio de tu vida
universitaria.
Orientación y Apoyo:
- Apoyo psicológico y emocional
- Consejería estudiantil para reforzar tu desempeño académico
- Talleres y dinámicas grupales
- Orientación vocacional
- Becas y descuentos
- Asistenta social
Refuerzo Académico:
- Tutorías individuales en Redacción e Investigación, Matemática, Física y
química.
Oportunidades Laborales:
- Programa de empleabilidad (talleres y asesorías personalizadas)
- Portal de empleabilidad
- Charlas de empresas
- Feria de empleabilidad
Actividades extraacadémicas:
- Eventos culturales
- Elencos de arte
- Disciplinas deportivas
- Talleres de arte
3.4. ORGANIGRAMA GENERAL
La Universidad Tecnológica del Perú cuenta con el siguiente organigrama general:

5
 3.5. SITUACIÓN ACTUAL
La Universidad Tecnológica del Perú cuenta con un sistema de Matricula en Línea,
este es una aplicación web en línea que permite realizar la inscripción del alumno
en el ciclo académico de forma rápida, fácil y sencilla. El sistema le muestra los
cursos según su plan curricular; posteriormente, el alumno elige los cursos dónde
desea inscribirse. El motivo que se va a realizar la auditoria en este proceso es
porque pueden exponer la privacidad y seguridad de la información del alumno,
además como es tema de matrícula si bien es cierto cada alumno tiene un turno
en la cual puede ingresar al sistema y elegir sus horarios, por ello debe tener más
control ya que antes se encontraban casos de alumnos que habían modificado sus
horarios y el alumno indicaba que él no lo modificó.
Actualmente en la universidad se tiene implementada la ISO 27001, es la norma
principal de requerimientos del sistema de gestión de seguridad de la información,
en ella se detallan los controles a implementar a nivel organizacional y a nivel
técnico, con la finalidad de garantizar la eficacia y eficiencia del sistema de
seguridad, minimizar el impacto de los riesgos y amenazas a los que está
expuesta la información. A nivel organizacional, las cláusulas de Gestión de
Seguridad que son 7 (contexto de la organización, liderazgo, planificación,
soporte, operación, evaluación del desempeño y mejora continua), tienen un nivel
de Implementación (incluye Initial, Limited, Defined and Managed) de 30% y de No
Implementación (No existente) un nivel de 70%. Por otro lado, los Controles
Técnicos de Seguridad de Información se tiene, de los 114 controles de los 14
Dominios, existe un 39% de implementación (incluye Initial, Limited, Defined and

6
Managed) y un 61% de No implementación (No existente). Finalmente, la
organización no tiene todo un cumplimiento del estándar ISO 27001.
La pregunta de estudio que orienta la investigación es: ¿Cuál es el cumplimiento
de los controles de seguridad en el proceso de Matrícula de la Universidad del
Perú usando como marco de referencia el OWASP Top 10?
3.6. ESTABLECIMIENTO DE OBJETIVOS
Objetivo General:
 Evaluar la seguridad del sistema de Matricula en Línea de la
Universidad Tecnológica del Perú, teniendo como referencia el OWASP
TOP 10 2017.
 Implementar una infraestructura segura según el OWASP.
Objetivos Específicos:
 Recolectar información sobre las aplicaciones web que integran todo el
sistema de Matricula en Línea de la Universidad Tecnológica del Perú.
 Identificar las vulnerabilidades de las aplicaciones web según su
importancia en el negocio.
 Implementar una infraestructura de seguridad en el sistema de Matricula
en Línea tomando como referencia el OWASP Top 10.
 Realizar un informe de auditoría con los hallazgos encontrados.
 Realizar recomendación en base a los hallazgos.
Alcances:
 La auditoría abarcará solamente el Sistema de Matricula en Línea de
desarrollo, cuya publicación se encuentra en la dirección
http://10.32.1.74/.
 Se evaluará el sistema en base a las 10 vulnerabilidades del OWASP
TOP 10 2017:
o Inyección
o Pérdida de Autenticación
o Exposición de satos sensibles
o Entidades externas XML (XXE)
o Pérdida de control de acceso
o Configuración de seguridad incorrecta
o Secuencia de comandos en sitios cruzados
o Deserialización insegura
o Componentes con vulnerabilidades conocidas
o Registro y monitoreo insuficientes.
 Se realizará un informe con los resultados de las evaluaciones

7
4. METODOLOGIA
La presente auditoría será de tipo interna, ya que tenemos acceso a los ambientes
de la Universidad Tecnológica del Perú. Asimismo, estaremos conectados a la red
interna de la empresa para poder realizar la evaluación al Sistema de Matricula en
Línea. La auditoría se enfocará en identificar si existen las vulnerabilidades más
importantes que señala el OWASP top 10 2017.
4.1. EVALUACION
En la presente auditoria se van a realizar actividades de acuerdo con el siguiente

cronograma:
El levantamiento de información se ha realizado por medio de entrevistas orales,
correo electrónico y mensajería instantánea (Whatsapp).
Se ha podido obtener información sobre:
 La infraestructura de la red de UTP y del proceso de matricula
 Guía de matrícula en línea
 Mapa de proceso del área de Planificación Curricular y Matricula
 Organigrama

En primer lugar, se va a realizar un análisis de riesgos tomando como referencia

las 10 vulnerabilidades que menciona el OWASP Top 10.
En segundo lugar, se entrevistará a uno de los Jefes de Proyectos Especiales de
la Universidad para que nos brinde información sobre el desarrollo, performance,
incidencias y otros temas relacionados al sistema.

8
En tercer lugar, se solicitará los diagramas de la infraestructura de la red de UTP y
del proceso de matrícula. Asimismo, se solicitará información sobre el proceso de
matrícula.
Finalmente se realizará la evaluación de las vulnerabilidades del sistema de
matrícula en línea tomando como referencia el OWASP Top 10. Para esto
usaremos un pc virtual con el sistema operativo Kali Linux, ya que cuenta con la
herramienta OWASP ZAP, y accederemos a la red interna de la universidad para
conectarnos con el sistema.

5. ANÁLISIS DE RESULTADOS
Con la entrevista realizada al Jefe de proyectos especiales (Ver Anexo 1), se ha
podido identificar un problema en las peticiones al sistema, debido que en
determinada hora o momento de la matrícula se puede saturar. Asimismo, existe
un peligro constante en el cambio de horarios por parte de los alumnos. Han
existido algunos casos en que una persona externa al área de planificación
curricular y matrícula, ha podido realizar cambios en el horario de un alumno sin
que esto sea permitido por el Sistema de Matrícula en Línea, por lo que es
necesario aumentar la seguridad del sistema web y hallar las vulnerabilidades que
este pueda tener.
Con los documentos que se pudo conseguir (Ver Anexo 2 y 3), se ha verificado el
buen estado de la infraestructura de la red y el cumplimiento con algunas normas
de seguridad.
Tomando como referencia la matriz de riesgos que se ha realizado en base a las
vulnerabilidades del OWASP TOP 10, se ha podido identificar las amenazas más
impactantes para la organización, que son consecuencia de tener las
vulnerabilidades: Inyección, Perdida de control de acceso, configuración de
seguridad incorrecta y secuencia de comandos en sitios cruzados.

9
En la evaluación que se ha realizado con la herramienta OWASP ZAP, se ha
podido testear las siguientes vulnerabilidades que indica el OWASP TOP 10:
 A1 – Inyección
 A3 – Exposición de datos sensibles
 A4 – Entidades externas XML (XXE)
 A6 – Configuración de seguridad incorrecta
 A7 – Secuencia de comandos en sitios cruzados

10
Se ha recibido 8 alertas de posibles vulnerabilidades, las cuales se muestran en el
siguiente cuadro:

Por lo que se evidencia el cumplimiento al menos parcial de los controles de

seguridad para evitar tener las vulnerabilidades A1 – Inyección, A3 – Exposición
de datos sensibles y A7 – Secuencia de comandos en sitios cruzados. Sin

11
embargo, las alertas que se han recibido, identifican también la falta de seguridad
en las vulnerabilidades A4 – Entidades externas XML y A6 – Configuración de
seguridad incorrecta.

6. CONCLUSIONES Y RECOMENDACIONES
En este trabajo nos enfocamos a realizar una auditoría interna al proceso de
Matrícula en Línea en la Universidad Tecnológica del Perú, con la finalidad de que
la organización este a la vanguardia y pueda prestar un mejor servicio a los
alumnos, por eso se hace una auditoría para analizar y evaluar el sistema para
encontrar los posibles falencias y soluciones a estas.
Por medio de las diferentes técnicas de auditoría, se realizó un análisis de riesgos
en el sistema tomando como referencia las 10 vulnerabilidades del OWASP top 10
para esto se utiliza la herramienta OWASP ZAP.
Finalmente, se obtuvo un informe con las vulnerabilidades que presenta el sistema
de matrícula en línea.
Utilizando el OWASP ZAP se ha podido evaluar las vulnerabilidades del sistema
de matrícula en línea; sin embargo, aún quedan puntos que se debe evaluar. Por
lo que se recomienda realizar pruebas de las siguientes vulnerabilidades en una
próxima auditoria:
 A2 – Pérdida de autenticación
 A5 – Pérdida de control de acceso
 A8 – Deserialización insegura
 A9 – Componentes con vulnerabilidades conocidas
 A10 – Registro y monitoreo insuficientes
Debido a que se encontró vulnerabilidades en algunos puntos que indica el
OWASP Top 10, se recomienda lo siguiente:
 Respecto al encabezado de opciones de marco X no establecido, se
recomienda configurar en todas las páginas el encabezado X-Frame-
Options como SAMEORIGIN, DENY o ALLOW según sea el caso.
 Respecto al autocompletar de las contraseñas en el navegador, se
recomienda desactivar este atributo.
 Respecto a la protección del navegador web XSS no habilitada, se
recomienda configurar el encabezado de respuesta HTTP X-XSS Protection
en 1.
 Respecto a la falta de la cabecera X-Content-Type-Options, se recomienda
asegurar que la aplicación o servicio web establezca de manera apropiada
la cabecera Content-Type.
 Respecto al Path Traversal, se recomienda usar una función de
canonicalización de ruta incorporada.

12
  Respecto al error de cadena de formato, se recomienda corregir el
programa de fondo con la eliminación adecuada de cadenas de caracteres
incorrectos.
 Respecto a la divulgación de errores de la aplicación, se recomienda
considerar implementar un mecanismo para proporcionar una referencia o
identificador de error único al cliente, mientras registra los detalles en el
lado del servidor y no los expone al usuario.
 Respecto al Cookie No HttpOnly Flag, se recomienda asegurarse que el
flag HttpOnly esté establecida para todas las cookies.

7. REFERENCIAS

Areitio Bertolín, J. (2008). Seguridad de la información. Redes, informática y

sistemas de información. Editorial Paraninfo.
Bonilla Tumbaco, B. (2015). Diseño e Implementación de una auditoría de
seguridad a la información de los datos sensibles de un centro de
educación superior. (Tesis de Grado). Universidad Estatal Península de
Santa Elena, La Libertad.
Castillo Garcia, M., & López Santiago, D. (2016). Modelo de seguridad y auditoría
para aplicaciones web basado en la metodologia OWASP - Tesis de
Pregrado. Instituto Politécnico Nacional, Ciudad de México.
Girón Miranda, L. A., & Torres Roa, H. A. (2015). Detecciòn y Generación de
reomendaciones para el cierre de lasa vulnerabilidades relacionadas en el
Top 10 OWASP identificadas en la aplicación web de historias clínicas en la
Institutción prestadora de servicios de salud. Universidad Piloto de
Colombia, Bogotá.

13
Hevia Vásquez, E. (1989). Manual de auditoría interna: enfoque operativo y
gestión. Barcelona Centrum.
OWASP. (2017). OWASP Top 10 - 2017. The Ten Most Critial Web Application
Security Risks. Obtenido de https://www.owasp.org/index.php/Top_10-
2017_Application_Security_Risks
OWASP. (2018). owasp.org. Obtenido de
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Pérez Rueda, G. J. (2017). Estudio de Seguridad informática en el Sstema
Académico del Ministerio de Educación. Universidad Técnica de Babahoyo.
Sánchez Gómez, A. R. (2005). Definición genérica de auditoría y sus etapas.
Obtenido de https://www.gestiopolis.com/definicion-generica-auditoria-
etapas/

14
8. ANEXOS
8.1. ANEXO 1 – Entrevista

15
8.2. ANEXO 2 – Diagrama de infraestructura de UTP

8.3. ANEXO 3 - Proceso de Matricula

16