FORMATO DE INFORME PERICIAL

Las y los peritos presentarán su informe de conformidad con lo establecido en los

artículos 19 y 20 del REGLAMENTO DEL SISTEMA PERICIAL INTEGRAL DE LA FUNCION
JUDICIAL. Por lo tanto, el presente formato es de uso obligatorio para la presentación
de los informes periciales, sin perjuicio de lo establecido en normas legales específicas.

“INFORME PERICIAL”

1. DATOS GENERALES DEL JUICIO, O PROCESO DE INDAGACIÓN PREVIA

Nombre Judicatura o Fiscalía Investigación de la Universidad de las

Fuerzas Armadas Espe
No. de Proceso 1
Nombre y Apellido de la o el Perito José Mejía, Dennise Sandoval, Melissa
Cedeño y David Puebla
Profesión y Especialidad acreditada Estudiantes de ingeniería en Sistemas
No. de Calificación 10
Fecha de caducidad de la acreditación 26-01-2020
Dirección de Contacto Sangolquí
Teléfono fijo de contacto 5008633
Teléfono celular de contacto 0998719334
Correo electrónico de contacto joseph.06@hotmail.es
dasandoval3@espe.edu.ec
lmcedeno2@espe.edu.ec
dapuelba1@espe.edu.ec

2. ANTECEDENTES
De acuerdo con lo encargado por el juez competente, nos hemos visto en la
necesidad de servir como peritos informáticos para la investigación de la
vulneración hecha hacia página web “Manualidades – Maravillas de Joaymi” del
grupo de Oscar Taco y Johana Rosero de la materia de Comercio Electrónico de
la Universidad de las Fuerzas Armadas “Espe”, de la carrera de Ingeniería en
Sistemas e Informática, donde los objetivos principales son los siguientes:
 Vulnerar el sitio web (Manualidades – Maravillas de Joaymi), bajo los siguientes
medios:
o Ingeniería social
o Denegación de servicios
o Analisis de vulnerabilidades usando QUALYS
 Vulnerar Redes sociales (Facebook- Manualidades – Maravillas de Joaymi), con
los siguientes medios:
o Ingeniería social
o Denegación de servicios

3. CONSIDERACIONES TÉCNICAS O METODOLOGÍA A APLICARSE

Phishing
Quizá el ataque más simple pero muy efectivo sea engañar a un usuario
llevándolo a pensar que un administrador del sistema está solicitando una
contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet
frecuentemente reciben mensajes que solicitan contraseñas o información de
tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una
configuración", u otra operación benigna; a este tipo de ataques se los llama
phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas
deberían ser advertidos temprana y frecuentemente para que no divulguen
contraseñas u otra información sensible a personas que dicen ser
administradores.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de

archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos
"íntimas" de alguna persona famosa o algún programa "gratis" (a menudo
aparentemente provenientes de alguna persona conocida) pero que ejecutan
código malicioso (por ejemplo, usar la máquina de la víctima para enviar
cantidades masivas de spam). Ahora, después de que los primeros correos
electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la
ejecución automática de archivos adjuntos, los usuarios deben activar esos
archivos de forma explícita para que ocurra una acción maliciosa. Muchos
usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido,
concretando de esta forma el ataque.

Denegación de Servicios
Los servidores web poseen la capacidad de resolver un número determinado de
peticiones o conexiones de usuarios de forma simultánea, en caso de superar
ese número, el servidor comienza a ralentizarse o incluso puede llegar a no
ofrecer respuesta a las peticiones o directamente bloquearse y desconectarse
de la red.

Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por
sus siglas en inglés Denial of Service) y la denegación de servicio distribuido o
 DDoS (por sus siglas en inglés Destributed Denial of Service). La diferencia entre
ambos es el número de ordenadores o IP´s que realizan el ataque.

En los ataques DoS se generan una cantidad masiva de peticiones al servicio

desde una misma máquina o dirección IP, consumiendo así los recursos que
ofrece el servicio hasta que llega un momento en que no tiene capacidad de
respuesta y comienza a rechazar peticiones, esto es cuando se materializa la
denegación del servicio.

Qualys
Qualys, Inc. proporciona seguridad en la nube, cumplimiento y servicios
relacionados y tiene su sede en Foster City, California . Fundada en 1999, Qualys
fue la primera compañía en ofrecer soluciones de gestión de vulnerabilidades
como aplicaciones a través de la web utilizando un modelo de " software como
servicio " (SaaS), y a partir de 2013 Gartner Group para el quinto time le dio a
Qualys una calificación de "Fuerte Positivo" para estos servicios. Se ha agregado
el cumplimiento basado en la nube y las ofertas de seguridad de aplicaciones
web.

4. CONCLUSIONES

Las conclusiones generales nos indican que la página web Manualidades –

Maravillas de Joaymi” no tiene las garantías necesarias para poder trabajar de
forma segura, ya que presenta muchas vulnerabilidades como lo demostraremos
a continuación, por lo tanto, se da la recomendación que se contraten expertos
informáticos para poder realizar las gestiones técnicas para darles las oportunas
seguridades.
VULNERABILIDAD 1: ATAQUES XSS

Amenaza
La aplicación web refleja caracteres potencialmente peligrosos como comillas simples,
comillas dobles y corchetes angulares. Estos caracteres se usan comúnmente para ataques
de inyección HTML, como secuencias de comandos entre sitios (XSS).
Impacto
No se determinó ningún exploit para estos personajes reflejados. El parámetro de entrada
debe analizarse manualmente para verificar que no se puedan inyectar otros caracteres
que conduzcan a una vulnerabilidad de inyección HTML (XSS).
Solución
Revise los caracteres reflejados para asegurarse de que se manejan adecuadamente según
lo define la práctica de codificación de la aplicación web. Las soluciones típicas son aplicar
codificación HTML o codificación porcentual a los caracteres dependiendo de dónde se
coloquen en el HTML. Por ejemplo, una comilla doble puede codificarse como "cuando se
muestra en un nodo de texto, pero como% 22 cuando se coloca en el valor de un atributo
href.

VULNERABILIDAD 2: Path Disclosure

Amenaza
La aplicación web está utilizando una biblioteca de JavaScript que se sabe que contiene al
menos una vulnerabilidad. Las versiones de jQuery en 1.4.0 o superior a 1.12.0 o inferior
(versión 1.12.3 y superior, pero también inferior a 3.0.0-beta1) son vulnerables a XSS a
través de respuestas de texto / javascript de terceros (la solicitud CORS de terceros puede
ejecutarse). (https://github.com/jquery/jquery/issues/2432).
Impacto
Los atacantes podrían explotar la vulnerabilidad en la biblioteca de JavaScript. El impacto
de una explotación exitosa depende de la naturaleza de la vulnerabilidad y de cómo la
aplicación web hace uso de la biblioteca.
Solución
Por favor refiérase a la información proporcionada en la sección de respuesta. También
verifique los avisos de seguridad del proveedor relacionados con la versión vulnerable de la
biblioteca

El encabezado X-Frame-Options no está configurado

Amenaza
El encabezado X-Frame-Options no está configurado en la respuesta HTTP, lo que puede
conducir a un posible framing de la página. Un atacante puede engañar a los usuarios para
que hagan clic en un enlace malicioso enmarcando la página original y mostrando una capa
encima con botones de aspecto legítimo.
Impacto
Ataques como Clickjacking podrían potencialmente realizarse.
Solución
El "X-Frame-Options:" permite tres opciones DENY, SAMEORIGIN y ALLOW-FROM.
Se recomienda establecer "X-FRAME-OPTIONS en DENY", que no permitirá que ningún
5. PARTE DE INCLUSIÓN DE DOCUMENTOS DE RESPALDO, ANEXOS, O EXPLICACIÓN DE
CRITERIO TÉCNICO

Fase de identificación de y documentos de los componentes electrónicos incautados

1.1. Preservación de la evidencia

1.1.1. Fase de generación de la evidencia

1.2. Análisis de la evidencia

RESUMEN:
OWASP:

1. VULNERABILIDADES:
● VULNERABILIDAD 1: ATAQUES XSS
○ Caracteres sin codificar

Amenaza
La aplicación web refleja caracteres potencialmente peligrosos como comillas simples,
comillas dobles y corchetes angulares. Estos caracteres se usan comúnmente para
ataques de inyección HTML, como secuencias de comandos entre sitios (XSS).
Impacto
No se determinó ningún exploit para estos personajes reflejados. El parámetro de
entrada debe analizarse manualmente para verificar que no se puedan inyectar otros
caracteres que conduzcan a una vulnerabilidad de inyección HTML (XSS).
Solución
Revise los caracteres reflejados para asegurarse de que se manejan adecuadamente
según lo define la práctica de codificación de la aplicación web. Las soluciones típicas
son aplicar codificación HTML o codificación porcentual a los caracteres dependiendo
de dónde se coloquen en el HTML. Por ejemplo, una comilla doble puede codificarse
como "cuando se muestra en un nodo de texto, pero como% 22 cuando se coloca en el
valor de un atributo href

En la presente imagen se puede observar que se realizó un test de carga útil en la página
web pero el DOM de la página no fue modificado.
El resultado debería ser manualmente verificado para determinar su precisión
En la presente imagen se está realizando un requerimiento mediante el método get para
obtener las vulnerabilidades presentes en la página y como respuesta se obtuvo una
porción significante de XSS (Cross-site scripting) pruebas en carga útil encontrado en
la página web.
El resultado debería ser manualmente verificado para determinar su precisión

En la presente imagen se está realizando un requerimiento mediante el método get para

obtener las vulnerabilidades presentes en la página y como respuesta se obtuvo una
porción significante del XSS (Cross-site scripting) pruebas en carga útil encontrado en
la página web.
El resultado debería ser manualmente verificado para determinar su precisión

En la presente imagen se está realizando un requerimiento mediante el método get para

obtener las vulnerabilidades presentes en la página y como respuesta se obtuvo una
porción significante del XSS (Cross-site scripting) pruebas en carga útil encontrado en
la página web.
El resultado debería ser manualmente verificado para determinar su precisión

● VULNERABILIDAD 2: Path Disclosure

○ Vulnerabilidad basada en rutas
Amenaza
Se descubrió un archivo, directorio o listado de directorios potencialmente
confidenciales en el servidor web.
Impacto
El contenido de este archivo o directorio puede revelar información confidencial.
Solución
Verifique que el acceso a este archivo o directorio esté permitido. Si es necesario,
quítelo o aplíquele controles de acceso.
● VULNERABILIDAD 3: Divulgación de información
○ Uso de la biblioteca de JavaScript con vulnerabilidad
conocida
Amenaza
La aplicación web está utilizando una biblioteca de JavaScript que se sabe que contiene
al menos una vulnerabilidad. Las versiones de jQuery en 1.4.0 o superior a 1.12.0 o
inferior (versión 1.12.3 y superior, pero también inferior a 3.0.0-beta1) son vulnerables
a XSS a través de respuestas de texto / javascript de terceros (la solicitud CORS de
terceros puede ejecutarse). (https://github.com/jquery/jquery/issues/2432).
Impacto
Los atacantes podrían explotar la vulnerabilidad en la biblioteca de JavaScript. El
impacto de una explotación exitosa depende de la naturaleza de la vulnerabilidad y de
cómo la aplicación web hace uso de la biblioteca.
Solución
Por favor refiérase a la información proporcionada en la sección de respuesta. También
verifique los avisos de seguridad del proveedor relacionados con la versión vulnerable
de la biblioteca
 ○ El encabezado X-Frame-Options no está configurado

Amenaza
El encabezado X-Frame-Options no está configurado en la respuesta HTTP, lo que
puede conducir a un posible framing de la página. Un atacante puede engañar a los
usuarios para que hagan clic en un enlace malicioso enmarcando la página original y
mostrando una capa encima con botones de aspecto legítimo.
Impacto
Ataques como Clickjacking podrían potencialmente realizarse.
Solución
El "X-Frame-Options:" permite tres opciones DENY, SAMEORIGIN y ALLOW-
FROM. Se recomienda establecer "X-FRAME-OPTIONS en DENY", que no permitirá
que ningún dominio enmarque el sitio o SAMEORIGIN, que solo permite el enmarcado
por el mismo sitio. DENY y SAMEORGIN son compatibles con todos los navegadores.
Establecer "X-FRAME-OPTIONS" en ALLOW-FROM todavía puede dejar a los
usuarios vulnerables a Clickjacking ya que no todos los navegadores admiten ALLOW-
FROM, incluidos CHROME y SAFARI. Para obtener más información, consulte
https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet. Para errores de
implementación más comunes de X-FRAME-OPTION, visite el siguiente enlace:
https://blog.qualys.com/securitylabs/2015/10/20/clickjacking-a-common-
implementation-mistake-that-can-put- sus sitios web en peligro

6. DECLARACIÓN JURAMENTADA