Infra estructura de comunicaciones

Aplicaciones

procesos de intrusión, testing

pentest

son una práctica para poner a prueba un sistema informático, red o

aplicación web para encontrar vulnerabilidades que un atacante podría
explotar.

pueden ser automatizadas con aplicaciones de software, o se pueden

realizar manualmente. De cualquier manera, el proceso incluye la
recopilación de información sobre el objetivo antes de la prueba
(reconocimiento), la identificación de posibles puntos de entrada, intentos
de entrar (ya sea virtualmente o de manera real) y el reporte de los
resultados.

El principal objetivo de las pruebas de penetración consiste en

determinar las debilidades de seguridad. Una prueba de penetración
también puede ser utilizado para probar el cumplimiento de la política de
seguridad de una organización, la conciencia de seguridad de sus
empleados y la capacidad de la organización para identificar y responder
a los incidentes de seguridad.

utiliza herramientas específicas para realizar la intrusión que

muestra qué información o datos corporativos pueden ser
robados por medio de la acción.

De esta forma, analistas de tecnología tendrán la posibilidad de

conocer más a fondo sus debilidades y donde necesitan mejorar.

 Ayudar a las empresas a probar la capacidad de su

ciberseguridad;
 Descubrir fragilidades en el sistema de seguridad antes de
que un cibercriminoso lo haga;
 Permitir que las empresas adopten nuevas posturas en
relación a la Seguridad de la Información, así como presentar
justificación para inversiones en el área;
 Velar por la reputación de su empresa, ya que una prueba
de intrusión muestra el compromiso de asegurar la continuidad
del negocio y mantener una relación efectiva con la seguridad
corporativa.

ingeniería social

isntalaciones y sistemas
4.1.    PTES. Penetration Testing Execution Standard
4.2.    OSSTMM. Open Source Security Testing Methodology
4.3.    NIST 800-115. National Institute Standards and Technology
4.4.    ISSAF. Information Systems Security Assessment Framework
4.5.    PTF. Penetration Test Framework

Análisis

sistemas físicos y virtuales.

Como se describe el caso de la organización Digital Covers en ampliar su negocio bajo

alianzas con organizaciones que presta servicios bajo aplicaciones e infraestructura

tecnológica y que esta alianza genera ampliación de su infraestructura tecnológica y a los

activos de información de tal manera que se aborda un reto en demostrar que su sistema

físico y lógico es capas de eludir ataques informáticos que pongan en riesgo la información

y su infraestructura y mas a un que mediante esta alianza sus datos aumentaran en los

servidores existentes.

De tal forma que para la demostración de las capacidades del cumplimiento de sus políticas

de seguridad y generar confianza en esta alianza y continuidad de negocio se expone la

solución de realizar pruebas de penetración que determinen los niveles de eficacia de los

controles de seguridad identificando vulnerabilidades si llagasen ha existir y de este modo

determinar si la infraestructura o sistemas requieren un cambio o mejora.

Conociendo el análisis de problema suscitado la organización contratara un grupo de

trabajo el cual desarrollara actividades de pruebas de penetración las cuales estarán

enmarcadas bajos metodologías que son una guía a seguir para poner a prueba los

elementos que interviene en una infraestructura tecnológica, la cual dará resultados y guiara

a la organización a cumplir con los requerimientos de esta nueva alianza.

De tal manera que el grupo de trabajo realiza su investigación y propone seis metodologías

que permitirá conocer el estado de la seguridad, bajo esta investigación se seleccionaron las

siguientes:

PTES
OWASP
OSSTMM. Open Source Security Testing Methodology
NIST 800-115. National Institute Standards and Technology
ISSAF. Information Systems Security Assessment Framework
cyber kill chain

1. Descripción de metodologías de intrusión y testing.

1.1.PTES

PTES (Penetration Testing Execution Standard), como sus siglas en ingles lo

determina, es un estándar que es muy utilizado en el mundo de la
seguridad informática, contiene un nivel de detalle bien definidos y puede
ser aplicado en sistemas o arquitectura, además es una metodología de
código abierto.

Esta metodología dispone de siete fases descritas a continuación:

 Preacuerdo: En esta etapa se describe lo que se va a realizar, se

contempla las restricciones a las cuales el equipo de trabajo está
sujeto para sus actividades, los objetivos, el alcance y además la
remuneración monetaria por el trabajo realizado.
 Captura de información: para esta etapa la actividad principal es la
indagación con el fin de reunir información relevante sobre lo que se
está evaluando de tal forma que sirva para las siguientes etapas, la
obtención de información se realiza bajo fuentes abiertas.
 Modelado de amenazas: con los datos adquiridos en la etapa
anterior se realiza un bosquejo y posibles estrategias para realizar los
ataques.
 Análisis de vulnerabilidades: se considera las posibles
vulnerabilidades que pueden ser explotadas y así determinar los
ataques finales.
 Explotación: esta fase se lanzan ataques hacia los objetivos de
estudio basando en técnicas y recursos.
 Post-Explotación: Aquí se busca escalar la exploración a la
vulnerabilidad que se ha encontrado con el fin de sacarle provecho y
comprometer a un más en busca de nuevas vulnerabilidades.
 Informe: en esta etapa se documenta y se deja en visibilidad los
hallazgos encontrados y que permita dar soluciones a las
vulnerabilidades encontradas.

1.2. OWASP

Esta guía de penetración, inicialmente fue publicada en el año 2014 y se

basa en búsqueda de vulnerabilidades donde el que las ejecuta no
cuenta con ninguna información sobre el sistema a vulnerar, en el mejor
de los casos el ejecutante contara con un dominio desde el cual abarcara
la problemática.

Esta metodología se centra mas a la parte de aplicativos webs, contiene

gran cantidad de documentación que permite implementarla de una
manera fácil.

Esta compuesta por once procesos descritos a continuación:

 Recopilación de Información: Búsqueda de información relativa

con el objeto de estudio para analizarla

 Pruebas de la configuración y despliegue de la administración:

se realizan los test donde se identifica la mala configuración del
aplicativo o incluso del servidor donde esta alojada.
 Pruebas de la gestión de identificación: se verifica bajo ciertos
parámetros y pruebas el manejo y fallos en las políticas de roles de
usuarios, cuentas y contraseñas.
 Pruebas de autenticación: se pone en consideración bajo pruebas
los diferentes roles de los usuarios durante el proceso de
identificación verificando si la persona a ingresar en verdaderamente
quien dice ser.
 Pruebas de autorización: se verifica las diferentes autorizaciones
según los roles de los usuarios con el fin de demostrar que cada
usuario tiene sus accesos a ciertos privilegios.
 Pruebas de la gestión de sesiones: Con estas pruebas se logra
identificar que hay vigilancia de la sesión dentro del aplicativo desde
el ingreso hasta el cierre de la sesión.
 Pruebas de validación de entrada: se pone en consideración los
datos que ingresaran al sistema y que su tratamiento sea el correcto
antes de ser almacenados.
 Pruebas de manejo de errores: se generar pruebas con el fin de
que se generen errores en el aplicativo o sistema para verificar el
comportamiento bajo estas circunstancias.
 Pruebas de cifrado: se verifica la capacidad del cifrado desde la
implementación de este hasta los diferentes dispositivos que
intervienen para su trasmisión.
  Pruebas de lógica de negocio: son los test con el fin de
determinar la mala implementación de los aplicativos o sistemas a la
hora de ponerlos en marcha.
 Pruebas del lado de cliente: pruebas ejecutadas que analizaran el
comportamiento del aplicativo o sistema como se fuese un cliente y
este pretendiera atacarlo.

1.3. OSSTMM

esta metodología que bajo su nombre en inglés (The Open Source Security
Testing Methodology Manual), evalúa la seguridad física, redes de datos, red inalámbrica,
los procesos, las interacciones humanas.

Esta metodología esta desarrollado bajo 4 fases y estas fases a su ves

contemplan ciertas tareas y procedimientos que dependen de lo que se
esta evaluando.

Las fases que compre esta metodología son:

 Fase de inducción: en esta etapa se determinan el alcance de las pruebas, también

se aborda la parte legal y las políticas, regulaciones que influyen en la privacidad
de una organización.
 Fase de Interacción: Se determina los objetivos los cuales serán parte del estudio.
 Fase de Investigación: se determina el cumplimento de las políticas y
reglas de seguridad verificadas con la realidad de las operaciones.
 Fase de intervención: a qui se refiere a la penetración de los objetos
de estudio y su afectación, midiendo la resistencia de los controles
que posibilitan la continuidad de las operaciones y su capacidad
de recuperarse.

1.4. NIST 800-115.

Las NIST 800-115 (National Institute Standards and Technology), es una

norma y guía que se desarrolló para el ámbito en seguridad a las
agencias federales de los Estado Unidos con el fin de que estas
proporciones una adecuada seguridad a la información.
Esta metodología describe la planificación, la realización y análisis de las
pruebas, así también las estrategias para mitigar.

Esta metodología esta constituidas por cuatro fases descritas a

continuación:

 Fase de Planificación: aquí se establecen los objetivos, el alcance y las reglas con
las cuales se realiza la penetración y esto con el fin de darle una ruta hacia un
resultado satisfactorio, creando las condiciones técnicas y organizativas
requeridas.

Se determina en este punto el equipo de trabajo que realizara las

pruebas, así como el personal de la organización responsable de
los activos los cuales serán testeados.
 Fase de descubrimiento: esta fase comprende la indagación y búsqueda de
información de la infra estructura computacional, a demás que se realiza un
análisis y descubrimiento de las vulnerabilidades.
 Fase de ataque: identificadas las vulnerabilidades se tratará de aprender a un mas
de esta con el fin de poder acceder a recursos adicionales o accesos
 Fase de reporte: aquí se realiza una descripción de las vulnerabilidades que se
encontraron y también se genera una guía para mitigar las debilidades que se
encontraron.

1.4. ISSAF

La metodología ISSAF (Information Systems Security Assessment

Framework), proporciona un procedimiento con el fin de realizar pruebas
de seguridad que reflejen una sitúan real.

Esta metodología está diseñada para evaluar la red, sistema y control de

aplicaciones, enfocada en 3 fases que son:

 Fase de planificación y preparación: aquí se dan los pasos iniciales de

acercamiento con la organización donde se deja en claro los objetivos, el alcance,
los participantes de las pruebas o equipo de trabajo y los tiempos de ejecución.
 Fase de evaluación: aquí en donde se aplican las pruebas de penetración.
 Fase de Reporte, limpieza y destrucción de objetos: en esta fase se da a conocer
los reportes de las pruebas realizadas, generando recomendaciones para la
mejora. También se eliminas la información generada en los sistemas la
información, creada o generada por las pruebas realizadas.

1.5. cyber kill chain.

 Esta metodología se usó inicialmente como una estrategia militar
relacionado con la forma de atacar a un objetivo.

Conformado por unas fases las cuales disponen tienen la capacidad de

detección temprana y expulsión del intruso antes de que complete su
objetivo.

De tal forma que este modelo conteniente una estrategia de prevención

temprana y esto depende de en que fase se halla identificado al intruso.

Dispone de las siguientes fases:

 Reconocimiento: se trata de aprender e investigar al objetivo

utilizando todo tipo de fuente de información disponible.
 Creación del arma: se adecua y se construye la herramienta de
ataque según el medio que se busca la infección y que se basó
bajo la información de la etapa anterior.
 Entrega: aquí se lanza la amenaza mediante un medio, este
canal de entrega poder un correo, memoria e incluso ingeniería
social.
 Explotación: se busca que alguien asociado dentro de la
organización cometa el error y ejecute el paquete entregado
generado una perta de entrada a los sistemas.
 Instalación: en esta etapa se pretende que persista el software
malicioso en la maquina donde exploto con el fin de evitar volver
a realizar los pasos anteriores.
 Comando y Control: es la capacidad de comunicación del
software malicioso con la central de forma remota para ejecutar
ordenes, además en esta fase se debe ser persistente e invisible
ante el usuario.
 Acciones: en esta fase se avanza por los sistemas causando el
verdadero daño o en su defecto utilizando los recursos de la
organización a su antojo.

Ya realizado el análisis de las diferentes metodologías se propone por parte del grupo de

trabajo abordar la problemática anteriormente descrita bajo la metodología PTES

(Penetration Testing Execution Standard), ya que es un estándar muy utilizados por

profesionales en el área de la seguridad informática, además por ser una metodología bajo

código abierto y ser aplicable a cualquier aplicativo, sistema y/o arquitectura.

Otra característica es que puede ser complementada bajo otra metodología como la

OWASP y que además toca la parte de ingeniería social fundamental ya que los usuarios

son el eslabón más débil dentro de la organización.

CONCLUCIONES

Las consecuencias de la violación de las redes informáticos y sistemas en el mundo ha

provocado la pérdida o modificación de los datos sensibles a las organizaciones,

representando daños que se traducen en grandes pérdidas de dinero.

Situación que se da por la ineficiencia de los esquemas seguridad y en muchos casos por

desconocimiento de la alta gerencia de planear un esquema de seguridad eficiente que

protejan los recursos de las actuales amenazas.

De tal forma que se hace necesario implementar estrategias que permitan visualizar el

panorama de la seguridad en las organizaciones mediante técnicas ya definas con el fin de

conocer el estado y realizar correcciones antes de que pase a mayores.

INTRODUCCION

Los sistemas físicos y virtuales de una organización permiten a las organizaciones realizar

normalmente sus actividades diarias, pero resulta que estos activos pueden verse

comprometidos si no conocemos la infraestructura, servicios y aplicaciones, de tal manera

que se hace necesario aplicar pruebas de penetración para determinar las debilidades en

seguridad informática.

Para mostrar un panorama de los niveles de seguridad en una organización se realiza bajo

pruebas de penetración estas estarán abordados mediante unas metodologías ya definidas

que me plantean la ruta a seguir para cumplir con el objetivo principal que es la

identificación de vulnerabilidades.

El desarrollo de este trabajo abordaremos metodologías de pruebas de penetración mas

utilizadas en el mundo de la seguridad informática, acoplando una de ellas a la solución del

problema plateado de la organización Digital Covers.