PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

LABORATORIO N03 – SEGURIDAD FISICA Y LOGICA

PARTE A – CONOCIMIENTOS TEORICOS

PREGUNTAS VARIAS (Valor 1.5 puntos)

1.- En una empresa se ha iniciado el proceso de planificar mecanismos de acceso a las

diferentes dependencias que la conforman. Adicionalmente, políticas de protección de equipos,
entre otros. ¿Eso es seguridad física o lógica? Justifica tu respuesta.

 “mecanismos de acceso a las diferentes dependencias” para este punto se

aplica la seguridad física ya que está hablando de permisos o accesos
limitados a diferentes áreas, ya sea como indica la lectura con un vigilante o
un dispositivo electrónico.
 “políticas de protección de equipos, entre otros” Para este se debe validar que
tipo de protección se va aplicar, Seguridad lógica si colocan autenticación
de usuarios, antivirus y demás componentes, y Seguridad física si aplican
los respaldos de información y ubicación segura de los equipos.

2.- En una cierta empresa, un alto directivo manifestó el siguiente comentario: “ya estamos
protegidos al ciento por ciento físicamente; por tanto, NO necesitamos la implementación de
controles o medidas de Seguridad Lógica”. ¿Usted está de acuerdo con el comentario anterior?
¿Cuál es su opinión?

 No estoy de acuerdo con el comentario del directivo ya que, por más

cantidad de equipos o infraestructura de seguridad que se coloque, siempre
va a ver algún hueco por donde entrar o como se había visto en un
taller/foro anterior, los mismos empleados pueden ser los mismos atacantes.
Por lo que es importante colocar medidas de seguridad, para que se controle
el acceso y se mantenga un alto margen de seguridad, además muchas
empresas están basándose en las normas internacionales, que permiten y
ayudan a fortalecer la seguridad lógica.

PARTE B – EJERCICIO DE APLICACIÓN SEGURIDAD FISICA (Valor 1.5 puntos)

La empresa para la cual usted labora actualmente, le ha contratado para llevar a cabo el
proyecto de implementación de medidas y controles referentes a la Seguridad Física y Lógica.
Desde su punto de vista y teniendo en cuenta los activos de información, ¿cuáles serían las
medidas a implementar (mencione mínimo dos de ellas) en el largo, mediano y corto plazo?
Elabore un breve resumen del estado actual en que se encuentra la entidad – para la cual Ud.
trabaja- en materia de Seguridad Física y Lógica.

NOTA1: El objetivo adicional de este es ejercicio es con fines académicos. El docente garantiza
la total confidencialidad de la información suministrada por el estudiante. Siendo éste,
responsable de dicha información.

NOTA2: Usted podría tomar como referencia, otra entidad ficticia o en donde haya laborado
anteriormente. NO NECESITA suministrar información de la entidad que haya tomado como
ejemplo, y tampoco es necesario manifestar razón social, objeto social, etc.

 Actualmente para la empresa que esto trabajando los proyectos a corto

plazo que se están llevando para mejorar la seguridad física y lógica, son la
actualización masiva de los servidores ya que actualmente presentan
algunos errores que pueden llegar a afectarnos. También se está llevando a
cabo la implementación de políticas de manejo de vulnerabilidades a menor
tiempo, ya que antes se manejaba 2 veces por año, pero al ser una entidad
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

financiera se quiere pasar a una vez al mes. Para el manejo de proyectos a
mediano plazo se está mirando la actualización de muchos dispositivos que
ya pierden garantía y que cumplen su ciclo de vida, y uno que esa entre

el corto y mediano plazo es la afinación y finalización del DRP, dado que es un tema
que consume muchos recursos económicos se está llevando por partes, aunque ya
se tiene en un 80% o 90% y para los proyectos que están a largo plazo, es el
proyecto de red segura o control de acceso a la red LAN y en conjunto con el CISO
estamos trabajando en poder implementar un DLP, pero por costos esto es un
proyecto a largo plazo.

PARTE C – EJERCICIO PRACTICO CONTROL DE ACCESO

MEDIANTE CONTRASEÑAS (Valor 2.0 puntos)

En la actualidad, la autenticación mediante contraseñas es el mecanismo más utilizado para

permitir el acceso a los servicios remotos. La seguridad de este mecanismo depende de varios
factores: la propia contraseña, como se envía, como se verifica, como el sistema remoto la
almacena, como se gestiona el acceso a las contraseñas, el acceso a las copias de seguridad,
entre otros.
 Este ejercicio, busca concientizar a los usuarios en el uso adecuado de las contraseñas
y como se afecta la seguridad de una empresa.
 En este ejercicio, utilizaremos un algoritmo para realizar un ataque de fuerza bruta a
varias contraseñas. Estaremos simulando lo que un atacante podría hacer a su sistema
y mediremos los tiempos que el algoritmo gasta en detectar la contraseña que
dependerá del espacio de nombres y de la longitud de la misma. Una vez encontrados
los resultados, usted tomará la decisión si aplica o no las buenas prácticas definidas
para el diseño de las contraseñas.

Preguntas iniciales:

(Valor 0.25 puntos) La mayoría de los sistemas hacen uso de los “shadowed passwords”.
¿Cómo se almacena la contraseña en estos sistemas? (breve resumen de no más de 100
palabras)

 Según lo investigado es un sistema que trabaja en S.O Linux y Unix el cual

permite encriptar las contraseñas y estas son almacenadas en /etc/passwd
pero el Shadow las mueve a la carpeta /etc/shadow que solo se pueden ver
con el usuario ROOT[ CITATION Zer08 \l 22538 ]

b) (Valor 0.25 puntos) Porqué se utiliza el “salt” en los “shadowed passwords”? (breve resumen
de no más de 100 palabras)

 Es un sistema de encriptación o codificación de las contraseñas en el cual

agrega un hash o una porción de datos para que sea más complicado el
descifrado de las claves.[ CITATION Mar07 \l 22538 ]

Actividad práctica:
Los scripts suministrados para esta práctica, deben ser ejecutados en una consola de
comandos y utiliza Open SSL. En el caso de las máquinas Linux o Mac OS, esta herramienta
ya se encuentra instalada; en cambio, para el sistema operativo Windows, es necesario
instalarla. A continuación, se describen los pasos para la preparación del ambiente.
Alfabeto / Número de Salt Contraseña Contraseña Tiempo Plataforma
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

Script caracteres cifrada
Alfabeto 1 3 aa aaMjTET7rKV4Y abc Inicio Win 10,
5:11 pm RAM 8
Final GB, Intel
5:11 pm Core i7
Total 1 2.59 GHz
min.
Alfabeto 2 3 xy xysL1XkDy0XUw Null Desde Win 10,
las 11 RAM 8
am GB, Intel
hasta Core i7
las 4 pm 2.59 GHz
Alfabeto 3 3 .1 .1n/M9cA9qDRY 11.03 Win 10,
RAM 8
GB, Intel
Core i7
2.59 GHz

Alfabeto 2

Emite tus conclusiones con respecto al ejercicio realizado. Qué puedes comentar sobre el
diseño de contraseñas? Consideras que es necesario implementar una política al interior de
tu empresa para el diseño de las contraseñas?

 Interesante que un simple script pueda descifrar una contraseña, y más

increíble cuando se descubre una de un sistema o aplicativo crítico. Para el
caso de nuestra empresa, hemos sido juiciosos al implementar políticas y
procesos para que todas las contraseñas tengan cierta complejidad al
escribirse tales como: (mínimo 8 caracteres, alfanumérico y que no se
puedan repetir las ultimas 8)
 Adicionalmente es común ver que las personas colocan las contraseñas mas
fáciles, con el fin de poder recordar y que estén a la mano. Y como caso
curioso hace poco encontramos un post-it con varias claves, se realizó la
prueba de acceso y salió exitosa, por lo que se les envió correo a los jefes y
al CISO informando el riesgo.
PROGRAMA DE INGENIERÍA DE SISTEMAS EDUCACION CONTINUADA

Diplomado en Ethical Hacking y Seguridad de la Información

Referencias
Arias, D. (2018). auth0.com. Obtenido de https://auth0.com/blog/adding-salt-to-hashing-a-
better-way-to-store-passwords/

Rouse, M. (2007). searchsecurity.techtarget.com. Obtenido de

https://searchsecurity.techtarget.com/definition/shadow-password-file

Zerial. (18 de Oct de 2008). blog.zerial.org. Obtenido de blog.zerial.org:

https://blog.zerial.org/seguridad/descifrando-password-encriptadas-con-shadow-
md5-salt/