TESIS BORIS MONTOYA2.1 - Copia1 (2927)

UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL

DEPARTAMENTO ACADÉMICO DE TITULACIÓN
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE
LICENCIADO EN SISTEMAS DE INFORMACIÓN
ÁREA
SEGURIDAD INFORMATICA
TEMA
“IMPLEMENTACIÓN DE UN SISTEMA DE GESTION
DE SEGURIDAD DE LA INFORMACIÓN PARA
LA SEGURIDAD LÓGICA EN BASE A
LAS NORMATIVAS ISO 27001 EN
LA RED DEL HOSPITAL DE
ESPECIALIDADES
GUAYAQUIL
DR. ABEL GILBERT PONTÓN”
AUTOR
MONTOYA OLIVO BORIS JOSÉ
DIRECTOR DEL TRABAJO

LSI. AGUILERA MONTEROS SILVIA MSG.
2017
GUAYAQUIL – ECUADOR
CERTIFICADO DEL TUTOR
Yo, Lcda. Aguilera Monteros Silvia Beatriz. En calidad de tutor de

investigación, designado por la unidad de titulación. Certifico que el Sr.
Montoya Olivo Boris José, ha culminado el trabajo de titulación con el tema:
implementación de un sistema de gestión de seguridad de la información
para la seguridad lógica en base a las normativas ISO 27001 en la red del
hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón.
Quien ha cumplido con todos los requisitos legales exigidos por lo

que se aprueba la misma.
Es todo cuanto puedo decir en honor a la verdad, facultando al

interesado hacer uso del presente, así como también se autoriza la
presentación.
TUTOR: -----------------------------------------------
Lcda. Aguilera Monteros Silvia Beatriz, Mgs.
ii
DECLARACIÓN DE AUTORÍA
“La responsabilidad del contenido de este Trabajo de Titulación, me

corresponde; y el patrimonio intelectual del mismo a la Facultad de
Ingeniería Industrial de la Universidad de Guayaquil”.
Montoya Olivo Boris José

C.C: 0950574400
iii
DEDICATORIA
Dedico este trabajo de titulación a Dios, y a la persona más importante

en mi vida que en todo momento estuvo apoyándome en este largo proceso
y poder ser lo que soy ahora.
A mi madre Marisol Olivo Arteaga quien con su persistencia y

confianza ha llegado a formarme como persona en todos los ámbitos de mi
vida, dándome a conocer buenos valores y costumbres y encaminándome
por el sendero correcto de la vida.
iv
AGRADECIMIENTO
Primeramente, a Dios y a mis padres que durante toda mi vida han

sido un apoyo fundamental para poder llegar hasta donde me encuentro
actualmente, de manera muy especial a todos aquellos profesionales que
me guiaron en esta carrera con uno u otro consejo que pude aprender y
adoptar de ellos costumbres que me han servido y me servirán de cara al
futuro.
ii
INDICE GENERAL
N° Descripción Pág.
PRÓLOGO 1
INTRODUCCIÓN 2
CAPITULO I
MARCO TEORICO
1.1 Las redes de datos 3
1.2 Normas ISO 12
1.2.1 Norma ISO/IEC 27000 12
1.2.3 Norma ISO/IEC 27001 12
1.2.4 ISO/IEC 27002 14
1.2.5 ISO/IEC 27003 14
1.2.6 ISO/IEC 27005 14
1.2.7 Norma ISO/IEC 27033 14
1.2.8 Sistema de gestión de seguridad de información SGSI 15
1.3 Ciclo deming o ciclo PHVA 16
1.4 Seguridad en una organización 17
1.5 Fortificación a entornos de red 18
1.5.1 Elementos para mantener un entorno seguro 19
1.5.2 Estrategias de seguridad 19
1.6 Defensa en profundidad 20
1.6.1 Seguridad en perímetro 20

ii
1.6.2 Seguridad en la red interna 21
1.6.3 Seguridad a nivel del servidor 22
1.6.4 Seguridad en la aplicación 22
1.6.5 Seguridad lógica 23
1.6.6 Seguridad física 24
1.7 Mínimo privilegio posible 24
1.8 Mínimo punto de exposición 25
1.9 Procedimientos, concienciación y políticas 25
1.10 Gestión de la seguridad de la información 26
CAPITULO II
METODOLOGÌA
2.1 Tipo De Investigación 30
2.1.2 Método de investigación 29
2.1.3 Análisis de investigación 29
2.2 Técnicas para la recolección de datos 30
2.2.1 Instrumentos para la recolección de datos 30
2.2.3 Entrevistas 31
2.2.3.1 Resumen de entrevistas 32
2.2.3.2 Análisis de entrevista 33
2.2.4 Encuestas 33
2.2.4.1 Población 34
2.2.4.2 Análisis e interpretación de resultados en encuestas 36

iii
2.2.4.2.1 Resultados obtenidos de las encuestas realizada 36
2.2.4.2.2 Análisis General De Las Encuestas 48
2.3 Procedimientos 50
2.3.1 Desarrollo del proyecto 50
CAPITULO III
PROPUESTA
3.1 Introducción 53
3.1.1 Tema 53
3.1.2 Objetivo 53
3.2 Solución de la propuesta 53
3.3 Impacto 133
3.4 Conclusiones 134
3.5 Recomendaciones 134
Glosario de terminos 140
Anexos 143
Bibliografía 144
ii
INDICE DE CUADROS
1 Planteamiento del problema 8

2 Resumen de entrevistas 32
3 Inconvenientes de acceso 36
4 Tiempo en el que acuden 37
5 Tiempo tomado en minutos 38
6 Velocidad de internet 39
7 Frecuencia de acceso a servicio tecnológico 40
8 Problemas con pérdida de información 42
9 Medidas de seguridad de la información 43
10 Debería reforzarse del área de tic’s 44
11 Inversión recursos para seguridad de la información 45
12 Recursos en los que se deberían invertir 47
13 Características de servidor de correo 60
14 Características de servidor de aplicaciones 65
15 Características del servidor base de datos 76
16 Características del servidor de intranet 79
ii
INDICE DE IMÁGENES
1 Ciclo de vida deming 17

2 Modelo de defensa en profundidad 19
3 Modelo de defensa en profundidad 21
4 Diagrama de actividades 52
5 Paquete de nessus 55
6 Instalación de nessus por medio de terminal 55
7 Iniciar servicio nessus 56
8 Iniciar servicio nessus 56
9 Configuración de nessus a través del navegador 56
10 Excepciones de seguridad de nessus 57
11 Final del proceso de instalación 57
12 Configuración de la cuenta de administrador de nessus 58
13 Registro del software 58
14 Descarga de plugins de nessus 59
15 Inicio de sesión de nessus 59
16 Pantalla principal de nessus 60
17 Configuración para escanear servidor de correo electrónico 61
18 Escaneo del servidor 61
19 Resultados obtenidos del análisis de vulnerabilidades 62
20 Configuración para escanear servidor de aplicaciones hosvital 65
22 Resultados del servidor de Hosvital 66
ii
23 Vulnerabilidad de apache 68
24 Conexión al servidor de aplicaciones hosvital 70
25 Búsqueda del archivo de configuración snmpd 70
26 Comando para editar archivo de configuración 71
27 Configuración del archivo snmpd 71
28 Configuración del archivo snmpd 72
29 Reinicio del servicio snmpd 72
30 Actualización del servicio httpd 73
31 Validación de la versión de apache 73
32 Reiniciar servicio httpd 74
33 Edición del archivo de configuración httpd 74
34 Configuración del archivo httpd.conf 75
35 Reinicio del servicio httpd 75
36 Resultado del análisis del servidor hosvital 76
37 Configuración para escanear servidor de bases de datos 77
39 Resultados de análisis en el servidor de Bases de datos 78
43 Edición del archivo de configuración httpd 81
44 Configuración del archivo httpd.conf 81
45 Reinicio del servicio httpd 82
46 Conexión tree-way handshake 84
47 Scaneo con nmap servidor de aplicaciones hosvital 86
48 Ataque dos mediantes hping 87
49 Uso de la herramienta top 87
50 Intento de conexión fallida al aplicativo hosvital asistencial 88
51 Selección de interfaz de red en wireshark 89
52 Captura de tráfico con wireshark 89
iii
53 Edición del archivo sysctl.conf 91
54 Configuración del archivo sysctl.conf 91
55 Aplicación de cambios en sysctl 92
56 Archivo menu.lst 93
57 Respaldo del archivo menu.lst 93
58 Hash de seguridad 94
59 Hash de seguridad md5crypt 95
60 Edición del archivo de configuración del grub 95
61 Configuración del grub 96
62 Reiniciando sistema hosvital 96
63 Ingresando contraseña del grub 97
64 Ruta del archivo de configuración ssh 98
65 Configuración del archivo sshd_config 100
69 Reinicio del servicio sshd 102
70 Generar claves públicas y privadas 103
71 Copia de clave pública a servidor de aplicaciones hosvital 104
72 Crear archivo authorized_keys 104
73 Configuración de archive authorized_keys 105
74 Configuración de archive authorized_keys 105
75 Conexión mediante claves públicas y privadas en ssh 106
76 Conexión fallida mediante contraseña vía ssh 107
77 Mapeo de puertos en servidor de aplicaciones hosvital 107
78 Cerrando puertos en servidor de aplicaciones hosvital 108
79 Ruta de apache 109
80 Configuración banner mod apache 109
81 Configuración banner mod apache 109
82 Reiniciando apache 110
83 Nmap sobre servidor de aplicaciones hosvital 110
iv
84 Sistema de Intranet Hospital Dr. Abel Gilbert Pontón 111
85 Mysql secury installation 112
86 Eliminar bases de datos de prueba 113
87 Eliminar usuarios anónimos en mysql 113
88 Deshabilitando usuario root de manera remota 114
89 Recargando privilegios de tablas en mysql 114
90 Nmap a servidor de intranet 115
91 Configuración de banner mod en php 116
92 Configuración php display errors 116
93 Configuración php disable_funtions 117
94 Configuración php deshabilitar rfi 118
95 Nmap servidor de intranet 119
96 Configuración de apache server tokens 119
97 Configuración de apache server signature 120
98 Cerrando puerto 11 TCP 120
99 Nmap servidor de intranet 121
106 Reiniciando sistema de intranet 125
108 Editando archivo de configuración de postgresql 126
112 Escaneo de puertos en servidor de bases de datos 128
113 Cerrar puerto 111 servidor de bases de datos hosvital 128
v
114 Escaneo de puertos servidor de bases de datos hosvital 129
121 Reiniciando sistema de intranet 132
ii
INDICE DE GRÁFICOS
1 Inconvenientes de acceso 37
2 Tiempo en el que acuden 38
3 Tiempo tomado en minutos 38
4 Velocidad de internet 40
5 Frecuencia de acceso a servicio tecnológico 41
6 Problemas con pérdida de información 42
7 Medidas de seguridad de la información 43
8 Debería reforzarse del área de tic’s 44
9 Inversión recursos para seguridad de la información 46
10 Recursos en los que se deberían invertir 47
ii
AUTOR: MONTOYA OLIVO BORIS JOSÉ

TÍTULO: IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN PARA LA SEGURIDAD LÓGICA
EN BASE A LAS NORMATIVAS ISO 27001 EN LA RED DEL HOSPITAL
DE ESPECIALIDADES GUAYAQUIL DR. ABEL GILBERT PONTÓN.
DIRECTOR: LCDA. AGUILERA MONTEROS SILVIA MSG.
RESUMEN
El presente proyecto de titulación propone la implementación de un

SGSI para el hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón
con la finalidad de poder implementar normas y políticas de seguridad a los
servidores que trabajan bajo la red institucional acorde a las necesidades
que se evidencian en la institución, asegurando y manteniendo la integridad
y confidencialidad de la información, permitiendo brindar un buen servicio
a los pacientes que acuden al este establecimiento de salud, una vez se
empiecen a implementar estas normas de seguridad en base a análisis de
vulnerabilidades, corrección de las mismas y mediante el uso políticas de
Hardening en los servidores, se contará con un servicio de mayor eficiencia
y eficacia. Para la implementación de este proyecto se han utilizado
herramientas de software libre o aplicaciones en versiones de prueba que
han cumplido con los requisitos necesarios para poder evaluar el estado de
los servidores de la red institucional y parchar brechas de seguridad.
PALABRAS CLAVES: Seguridad, hardening, Implementación,

Vulnerabilidades
Montoya Olivo Boris J. Lcda. Aguilera Monteros Silvia, Mgs.

C.C.0950574400 Directora del Trabajo
iii
AUTHOR: MONTOYA OLIIVO BORIS JOSÉ

TÍTLE: IMPLEMENTATION OF AN INFORMATION SECURITY
MANAGEMENT SYSTEM FOR LOGICAL SECURITY
BASED ON ISO 27001 REGULATIONS IN THE
GUAYAQUIL SPECIALTY HOSPITAL NETWORK DR.
ABEL GILBERT PONTÓN.
DIRECTOR: LCDA. SILVIA AGUILERA MSG.
ABSTRACT
The present titration project proposes the implementation of an ISMS

for the specialty hospital Guayaquil Dr. Abel Gilbert Pontón with the purpose
of being able to implement norms and security policies to the servers that
work under the institutional network according to the needs that are
evidenced in the institution, ensuring and maintaining the integrity and
confidentiality of the information, allowing to provide a good service to
patients who come to this health facility, once they begin to implement these
security rules based on vulnerability analysis, correction of the and through
the use of Hardening policies in the servers, there will be a service of greater
efficiency and effectiveness. For the implementation of this project, free
software tools or applications have been used in test versions that have met
the necessary requirements to be able to evaluate the status of the servers
of the institutional network and to patch security gaps.
KEY WORDS: Security, hardening, Implementation, Vulnerabilities
Montoya Olivo Boris J. Lcda. Aguilera Monteros Silvia, Mgs.

C.C.0950574400 Work Director
PRÓLOGO
El presente trabajo de titulación se planteó de tema la implementación

de un (SGCI) para mejorar y mantener el servicio en la red del hospital de
Especialidades Guayaquil Dr. Abel Gilbert pontón, proyecto que permite
conocer los principales motivos por los cuales se ve afectado el servicio
tecnológico en la institución y a su vez se toman medidas de seguridad
mediante la aplicación de buenas prácticas de configuración en sus
servicios, logrando de esta manera asegurar que la información se
mantenga siempre disponible cuando esta sea requerida.
El presente trabajo está conformado por tres capítulos detallados a

continuación:
 CAPÍTULO I: Establecido como Marco teórico donde se detallan

conceptos y teorías necesarias para el proyecto.
 CAPÍTULO II: Establecido como Metodología, en el cual detalla la
problemática, las técnicas de investigación y metodología a aplicarse
para solucionar la problemática.
 CAPÍTULO III: Establecido como Propuesta, donde se menciona el
impacto que tiene el proyecto con sus respectivas conclusiones y
recomendaciones de la implementación propuesta en el presente
documento.
INTRODUCCIÓN
Actualmente la seguridad de la información marca un punto de

inflexión en el desarrollo de cualquier empresa. Y es considerada como uno
de sus activos de mayor importancia para la toma de decisiones,
establecimiento de flujos de trabajo, modelamiento y reestructuración de
procesos. Sin embargo, la pérdida o mala administración de los recursos
sobre la cual se transmite dicha data puede causar que la compañía quede
en bancarrota, debido a un robo o suplantación de información no solo
generando una debacle económica sino también moral debido al mal uso
que se haga con la información y el acceso a los servicios de los recursos
tecnológicos de la institución.
Para la mayoría de las organizaciones invertir en seguridad

informática en muchas ocasiones es visto como un gasto innecesario que
no genera ningún factor preponderante en el crecimiento de sus actividades
económicas, a su vez tampoco se preocupan por mantener capacitado al
personal de Tic’s en base a las nuevas tecnologías deduciendo que no es
necesario preocuparse por que en teoría se debería conocer de todas las
herramientas en defensa, pero en reiteradas ocasiones no es posible
abarcar todos los ámbitos de una determinada área.
De esta manera una organización es un blanco fácil con respecto a

ataques de carácter informático, esta falta de inversión y compromiso
tiende a ocasionar que los datos de sus servidores no sean confiables en
su totalidad generando pérdidas sustanciales de forma económica y
Administrativa.
Introducción 3
El presente trabajo de investigación tiene como finalidad realizar una

auditoría a la red de datos del hospital de especialidades Guayaquil Dr.
Abel Gilbert Pontón. Actualmente la institución se encuentra en una
restructuración a nivel de infraestructura y adaptándose a las nuevas
tecnologías para la transmisión de datos e información dentro de su red, la
cual permite la comunicación entre los diferentes dispositivos, pero no la
correcta administración.
Para esto se plantea evaluar el estado actual de los controles,

procesos y procedimientos establecidos en las políticas actuales de la
institución para de esta realizar un estudio detallado de lo que se debe
mejorar y reestructurar.
Teniendo como resultado el Fortalecimiento de los servicios de la red,

asegurando la propiedad intelectual de la institución, tomando como base
los pilares fundamentales de la seguridad informática:
 Integridad
 Confidencialidad
 Disponibilidad
 Autenticidad.
Con esta auditoría se espera obtener resultados que permitan

establecer políticas de seguridad y elaborar planes para la gestión de
riesgos.
Permitiendo que los sistemas que operan en la red se encuentren

reforzados ante cualquier tipo de eventualidad y que permitan retrasar la
actividad y poder tomar acciones de contingencia ante cualquier tipo de
amenaza que pueda interrumpir el desarrollo normal de las actividades.
Introducción 4
Se instaurarán políticas de seguridad para las mejores prácticas de la

utilización de la red y todos los dispositivos que interactúan dentro de la
misma, así también se establecerá mecanismos de protección
deshabilitando servicios que no sean necesarios, controles de acceso,
seguridad física para los equipos
El Hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón es

una entidad pública que tiene como misión principal prestar servicios de
salud a la ciudadanía conforme a las políticas del Ministerio de Salud
Pública del Ecuador, este hospital al ser una institución grande y de mucho
renombre contiene gran volumen de información dentro de su red de datos.
Antecedentes
Existen varios antecedentes debido al no establecimiento, monitoreo

y control de políticas de seguridad en los servidores de la red de datos de
una institución o una mala configuración de las mismas, el más reciente fue
realizado el 12 de mayo del presente año, en el cual un ciberataque masivo
a escala global logró bloquear el acceso a los sistemas informáticos de
instituciones estatales y empresas de varios países, afectando a 200.000
víctimas en un total de 150 países.
La campaña masiva de ransomware, un ataque en el que los

perpetradores piden dinero a cambio de liberar el acceso a los sistemas,
también afectó a instituciones de Reino Unido, Estados Unidos, China,
España, Italia, Vietnam y Taiwán, entre otros.
EL arquitecto británico en seguridad informática Kevin Beaumont

detallo “Este es un ataque cibernético importante que impacta
organizaciones de toda Europa a una dimensión nunca antes vista” (BBC,
2017).
Introducción 5
El ransomware es una técnica que utilizan los hackers para bloquear

los dispositivos y exigir un rescate a cambio de que el usuario recupere el
acceso. Este secuestro informático funciona de la siguiente manera, coge
todos los ficheros del ordenador, los cifra y pide dinero a cambio de
devolverlos. (DIARIO ABC, 2017)
En el año 2015 el presidente de la Fundación de Investigación del

Instituto Mexicano de Ejecutivos de Finanzas (IMEF), José Antonio
Quesada, durante la XLIII Convención Nacional IMEF 2015, afirmaba lo
siguiente.
"Los crímenes cibernéticos se han incrementado entre un 30% y un

40% en los últimos años en América Latina y es una de las zonas del mundo
que mayor actividad registró en este sentido".
Los países que mayor número de ataques pertenecientes a esta

región del continente son:
 Brasil 27,6 Millones.

 México 15,9 Millones.
 Colombia 5,1 Millones.
 Perú 4,3 Millones.
 Venezuela 2 Millones.
 Chile 1,6 Millones.
Según Kaspersky Cyberthreat real-time map un mapa elaborado por

la empresa Rusa Kaspersky Lab que permite seguir en tiempo real los
ciberataques en tiempo real que suceden alrededor del mundo, el Ecuador
ocupa el puesto número 46 en una escala a nivel mundial.
Introducción 6
En el Ecuador también hay registros de ciberataques a empresas

públicas y privadas, uno de los más grandes acontecimientos registrados
ocurrió en el mes de febrero del año 2015 cuando un malware en
aproximadamente 5 días propagó de un virus a prácticamente 17 empresas
del sector privado y varias instituciones públicas de Quito, Guayaquil y
Cuenca.
Este virus atacó archivos de Word, Excel, AutoCAD encriptando la

documentación y dejando los archivos ilegibles, especialistas en seguridad
informática, tanto del país como empresas internacionales dedicadas a la
seguridad de la información como la empresa británica SOPHOS advertían
que a partir del año 2015 estos ataques serían mayor relevancia y cada vez
de mayor incidencia y repercusión.
De acuerdo a cada uno de estos antecedentes se puede llegar a la

conclusión de que implementar técnicas y protocolos para la seguridad de
la información es una medida que hay que ejercer en cada una de las
empresas que se preocupen por continuar con sus actividades comerciales,
evitar el desprestigio, plagio, inoperatividad adoptando las medidas
correctas para precautelar uno de los activos más importantes de una
organización.
OBJETO DE INVESTIGACIÓN
Planteamiento del problema
Cada día aparece un número mayor de incidentes relacionados con

seguridad no solo en grandes empresas sino también en pequeñas. Desde
hace algunos meses se informa por los noticieros o distintos medios
digitales de acceso a información de algún nuevo incidente de seguridad
que ha desembocado en el robo de datos a una compañía, suplantación de
Introducción 7
identidad de algún empleado o un fraude que obliga a la empresa víctima

a realizar una comunicación con sus clientes que no suele salir barata en
términos de daño reputacional o impacto económico.
La información de las empresas cada vez es de mayor relevancia y

complejidad y puede entenderse la necesidad de realizar auditorías
basadas en pruebas de niveles de acceso a los datos que descansan en
sus servidores.
El problema que se vive en la actualidad en las empresas es que no

consideran a la información como un pilar fundamental y sobre todo un
activo intangible que se debe resguardar para no tener riesgo de pérdida
de información.
Dentro de una empresa que no cuente con un Plan de Gestión de

Seguridad de la Información basado en las Normas ISO 27000 se
presentan los siguientes problemas:
 Pérdida de la información interna administrativa y externa en relación

con los clientes.
 Falta de control de los procedimientos que se realizan en las empresas.
 No existen medidas de acción para tomar en el caso de algún tipo de
riesgo de la información.
 Si la información sufre algún tipo de inconveniente, la empresa pierde
efectividad y sufre demora en sus respectivos procesos.
Para este proyecto se realizarán actividades de evaluación en la

seguridad física controles de acceso al personal, uso de cámara, CPDS
aislados y asegurados que protejan las distintas capas o acceso a sus
contenedores, establecer mecanismos que son utilizados para asegurar los
Introducción 8
sistemas o la información del acceso físico de manera lógica se realizarán

tareas de escaneo de vulnerabilidades para encontrar fallos de seguridad,
puertos abiertos, servicios que puedan ralentizar el funcionamiento
adecuado de los servidores u ofrecer una puerta de entrada a hackers o
instituciones malintencionadas, se utilizará como medida la defensa en
profundidad proveniente de un entorno militar manteniendo múltiples líneas
de defensa en vez de disponer de una línea de defensa única muy
reforzada, teniendo como objetivo retrasar el avance de un usuario
malintencionado en lo máximo posible y tomar acciones al respecto.
CUADRO 1
PLANTEAMIENTO DEL PROBLEMA
Síntoma Causa Pronóstico Solución
Ataques a Robo de Se prevee la Establecer

grandes información, Pérdida total de políticas de
empresas del suplantación de información por seguridad
sector público y identidad venta parte de la monitoreo y
privado, en de información empresa controles sobre
búsqueda de a entes vulnerada, los servidores y
obtener externos. pérdida de equipos físicos
información y dinero que presenten
ganar acceso a acceso a la red
sus redes de de datos
datos institucional.
Fuente: Hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón

Elaborado por: Montoya Olivo Boris José
El tema propuesto se llevará a cabo en la ciudad de Guayaquil

provincia del Guayas- Ecuador la recopilación de la información necesaria
Introducción 9
para este proyecto se realizará en la red de datos del hospital de

especialidades Abel Gilbert Pontón Ubicado en el sur de la ciudad en la
Calle 29 y Galápagos.
Justificación
Dentro de la justificación del presente proyecto se busca ofrecer

soluciones a la necesidad que tiene toda red de datos institucional,
rediseñando la gestión de seguridad informática, dando un mayor volumen
de control a la información que se transmite, la adecuada administración de
los recursos dentro de la red y el aseguramiento de servicios a nivel del
software usado por estos equipos.
Establecer la seguridad informática aportará integridad y

disponibilidad de la información en la red, a través de la utilización de
mecanismos, para garantizar que solo aquellas personas autorizadas
accedan a la información y a los recursos de red cada vez que lo requiera,
manteniendo la exactitud y totalidad de la información.
La presente investigación tendrá un aporte de gran relevancia

pues beneficiará a todas las personas que guarden relación con la
institución en primera instancia permitiendo al personal, médico y
administrativo poder realizar sus funciones de manera clara, precisa y
ordenada sin tener inconsistencias en el uso de los servicios tecnológicos
y de esta manera que la entidad pueda brindar un servicio de alta calidad a
los pacientes que acuden para obtener servicios de salud.
OBJETIVOS
Objetivo General
Introducción 10
Definir y proporcionar controles que ayuden a la mejora continua de

gestión de la seguridad lógica en base a las normativas ISO 27001 en la
red del Hospital de Especialidad Abel Gilbert Pontón.
Objetivos Específicos
 Identificar los principales problemas que comprometan la seguridad de

los servidores mediante el escaneo de vulnerabilidades.
 Corregir las vulnerabilidades encontradas en el proceso de escaneo a
los servidores.
 Aplicar medidas de seguridad al software ejecutado por los servidores
institucionales.
CAPÍTULO I
MARCO TEÓRICO
En el presente escrito se detallará documentación necesaria para

contar un fundamento teórico dentro del presente proyecto, además se
realizarán citas de diferentes conceptos expresados por autores y
profesionales dentro del área de investigación.
1.1 Las redes de datos
Las redes de datos actualmente constituyen un núcleo fundamental

en las operaciones diarias de las empresas, y se han convertido en un
requisito indispensable dentro de una organización para poder maximizar
agilizar y monitorear el orden correcto y el flujo de los procesos, tanto así
que un Datacenter es concebido como el corazón de una empresa sobre el
cual descansa, se administra y se regula toda la información que se
contenga. En esencia muchas empresas viven de ellos basan su negocio
potencial en el uso de medios informáticos y en las comunicaciones
asociadas a las mismas.
Las infraestructuras de comunicaciones son de tal manera un punto

neurálgico por la cantidad de datos que absorben. Y estos van desde
simples datos como la suma de algunos ítems para facturar un producto o
todo un complejo proceso en el que intervengan muchas áreas y se realicen
funciones de diferentes tipos para la correcta funcionalidad de la
organización.
Marco teórico 12
1.2 Normas ISO
Las normas ISO son documentos que especifican requerimientos que

pueden ser empleados en organizaciones para garantizar que los
productos y/o servicios ofrecidos por dichas organizaciones cumplen con
su objetivo.
1.2.1 Norma ISO/IEC 27000
Esta norma proporciona una visión general de las normas que

componen la serie 27000, indicando para cada una de ellas su alcance de
actuación y el propósito de su publicación. Recoge todas las definiciones
para la serie de normas 27000 y aporta las bases de por qué es importante
la implantación de un SGSI, una introducción a los Sistemas de Gestión de
Seguridad de la Información, una breve descripción de los pasos para el
establecimiento, monitorización, mantenimiento y mejora de un SGSI.
Es una norma internacional que detalla directrices para la gestión de

la seguridad de la información tomando en cuenta que la propiedad
intelectual forma parte de los activos más relevantes y de mayor
importancia en una organización ya que este activo puede impulsar o
disminuir el crecimiento de la misma de cara al futuro.
La manera más eficaz de minimizar riesgos en una institución es

mediante la implementación de un (SGSI) valorando los activos y sus
riesgos, considerando el impacto que se tendrá mediante el establecimiento
de controles, procedimientos eficaces y coherentes que
Marco teórico 13
vayan de la mano con las estrategias de las actividades realizadas por la

institución.
1.2.3.1 Beneficios de la norma ISO/IEC 27001
 Identificación de los riesgos y establecimiento de controles para su

adecuada gestión y mitigación.
 Confidencialidad, asegurando que solo las personas que consten dentro
del organigrama institucional como autorizadas puedan tener acceso a
la información.
 Flexibilidad para adaptar los controles a todas las áreas de la institución
sin que ralentice los demás flujos de trabajo.
 Alcanzar las expectativas demostrando conformidad. (Institution, 2017)
1.2.3.2 Dominios de seguridad de la norma ISO/IEC 27001
 Políticas de seguridad
 Organización de la seguridad
 Gestión de activos
 Seguridad de los recursos.
 Seguridad física y del entorno
 Gestión de comunicaciones y operaciones
 Control de accesos
 Adquisición, desarrollo y mantenimiento de los sistemas
 Gestión de incidentes de la seguridad de la información
 Cumplimiento
Marco Teórico 14
1.2.4 ISO/IEC 27002
Publicada a partir del 1 de Julio de 2007, es el nuevo nombre de ISO

17799:2005, manteniendo 2005 como año de edición. Es una guía de
buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable.
1.2.5 ISO/IEC 27003
Publicada el 01 de Febrero de 2010 y actualizada el 12 de Abril de

2017. No certificable. Es una guía que se centra en los aspectos críticos
necesarios para el diseño e implementación con éxito de un SGSI de
acuerdo ISO/IEC 27001. Describe el proceso de especificación y diseño
desde la concepción hasta la puesta en marcha de planes de
implementación, así como el proceso de obtención de aprobación por la
dirección para implementar un SGSI.
1.2.6 ISO/IEC 27005
Publicada en segunda edición el 1 de Junio de 2011 (primera edición

del 15 de Junio de 2008). No certificable. Proporciona directrices para la
gestión del riesgo en la seguridad de la información. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001:2005 y está diseñada
para ayudar a la aplicación satisfactoria de la seguridad de la información
basada en un enfoque de gestión de riesgos.
Esta norma tiene como propósito ofrecer una guía detallada sobre los
aspectos en seguridad de la administración, operación y uso de redes en
los sistemas de información y todas sus interconexiones.
Marco Teórico 15
Proporcionar un glosario de términos de seguridad de la información

específica para la creación de redes.
Dar a conocer la orientación sobre un proceso estructurado para

identificar y analizar los riesgos de seguridad de red y por lo tanto definir
los requisitos de control de seguridad a tener en cuenta.
Explica las buenas prácticas en materia de arquitectura de seguridad

técnica dela red, así como los aspectos de riesgo, diseño y control
asociados con escenarios de red comunes y áreas de tecnología de red.
Las personas que son las responsables de la seguridad de

información en general y la seguridad en la red, deben ser capaces de
adaptar los estatutos y directrices de la norma ISO 27033. (Excellence,
2015).
1.2.8 Sistema de gestión de seguridad de información SGSI
Un Sistema de Gestión de Seguridad de la Información basado en la

norma ISO 27001 es la manera más eficiente de poder conseguir la
coordinación y gestión necesaria para alcanzar los objetivos de la
organización y además puede conseguir que la organización salga mucho
más reforzada.
Un SGSI se basa en poder generar un proceso de mejora continua y

ofrecer flexibilidad de cara a los cambios que puedan producirse en una
institución para esto un SGSI se basa en 3 pilares fundamentales:
 Confidencialidad: es la garantía de acceso a la información de los

usuarios que se encuentran autorizados para tal fin.
Marco Teórico 16
 Integridad: es la preservación de la información completa y exacta.
 Disponibilidad: es la garantía de que el usuario accede a la

información que necesita en ese preciso momento. (ISOTOOLS,
ISOTOOLS, 2016)
1.3 Ciclo deming o ciclo PHVA
La norma ISO 27001 se basa en este ciclo para realizar actividades

de planificar, hacer, verificar y actuar cuyas siglas en inglés (PHVA).
 PLANEAR. - consiste en establecer políticas, objetivos, procesos,

procedimientos y metas pertinentes para gestionar el riesgo y mejora de
la seguridad de la información, entregando indicadores de resultados y
estableciendo el camino para alcanzar las metas propuestas por la
organización.
 Hacer. - es la ejecución de las tareas acorde a la forma prevista por la
planificación.
 Verificar. – tomando como base los datos recolectados durante la
ejecución, se compararán los resultados obtenidos con la meta
planificada.
 Actuar. - en esta etapa el usuario detectó desvíos y actuará conforme
a que el problema no se repita nunca más, tomando resultados
correctivos y preventivos conforme a los resultados que se han
obtenido. (ISOTOOLS, ISO TOOLS, s.f.)
Marco Teórico 17
IMÀGEN 1
CICLO DE VIDA DEMING
Fuente: http://pmbokuacm.weebly.com/conceptos-generales/procesos
1.4 Seguridad en una organización
Varios antecedentes a través de la historia indican que las empresas

más grandes son el blanco preferido de ataques dentro del mundo digital,
si bien es el caso en menor medida son las empresas pequeñas y
medianas. El hecho es que el 80% de estos ataques son realizados de
manera remota facilitando su existencia y las mayores amenazas externas
a las que se encuentran expuestos los equipos de una organización son los
servidores y los ordenadores de trabajo en una oficina, pues los hackers
buscan obtener acceso a sus datos, los niveles jerárquicos de mayor
relevancia son el blanco preferido por las actividades que realizan y su
información es de mayor importancia.
Por otra parte, no hay que perder de vista las amenazas internas
dentro de la organización por parte de un empleado descontento que puede
causar daños muchos más severos a los sistemas ya sea de forma
deliberada o sin intención.
Marco Teórico 18
1.5 Fortificación a entornos de red
En tiempos actuales la seguridad de las Tics es un aspecto crítico. El

robo de información confidencial por parte de un usuario sin acceso a datos
a los que no debería tener acceso, la provocación de una denegación de
servicios, suplantación de identidades o destrucción de información son
solo algunos de los riesgos a los que se enfrenta un administrador de
sistemas.
En un entorno corporativo se debe tener en cuenta los peligros a los

que la empresa se encuentra expuesta, desafortunadamente ningún
sistema es seguro y uno de los grandes peligros es el software y sus
distintas variantes en función de lo que se ejecuta. Existen dos variantes
de software:
 Software fiable. - es el que cumple su función en base a lo que se

supone debe hacer ejecutando correctamente su tarea.
 Software seguro. - cumple con los mismos lineamientos que el
software fiable y nada más.
Precisamente ese algo más es aquel que puede producir inseguridad

en un entorno corporativo.
La mejora de seguridad en los sistemas de TI es una de las medidas

a las que se debe optar en entornos corporativos.
Por esta razón de manera habitual se deben optar por realizar

procesos de fortificación en sus servidores, sin embargo, esto muchas
veces genera problemas por que ciertas prácticas de hardening pueden
ocasionar problemas con el funcionamiento normal de un servidor.
Marco Teórico 19
1.5.1 Elementos para mantener un entorno seguro
 Sistemas adecuados, tanto en la configuración como en la versión

 Herramientas prácticas que realmente se utilicen con el fin de asegurar
el entorno
 Procedimientos de seguridad estrictos
 Conocimiento y capacidad por parte del personal de TI. (Pérez C. Á.,
2015)
1.5.2 Estrategias de seguridad
La estrategia de la seguridad de la información aquí se define un

patrón frente al cual se toman medidas de acción de protección de la
información, basándose en seguridad física, lógica y de procedimental,
todos los dispositivos que intervienen en la red forman parte de un modelo
de seguridad.
IMÀGEN 2
MODELO DE DEFENSA EN PROFUNDIDAD
Fuente: Libro Hardening a servidores GNU/Linux

Elaborado por: Carlos Álvarez Marín y Pablo Gonzalo Pérez
Marco Teórico 20
1.6 Defensa en profundidad
En términos más técnicos este modelo propone la creación de capas

de defensa con el objetivo de evitar un ataque directo a la información más
sensible de un entorno, ganando más tiempo para poder defenderse y
utilizar planes de actuación y mayor probabilidad en la detección de un
ataque.
Es decir, con este modelo se pretende definir varios medios de

seguridad, instalando parches, deshabilitando servicios innecesarios
cerrando puertas abiertas en un servidor o recurso de red que puedan ser
objetivo de un ataque por medio de un usuario con malas intenciones o ya
sea un propio trabajador de la institución en búsqueda de cometer un acto
ilegal, robo suplantación de información o simplemente un descontento con
la institución y en su afán de buscar desprestigiar a la misma aproveche
una vulnerabilidad en la red.
1.6.1 Seguridad en perímetro
El perímetro es una de las barreras dedicadas a proteger la capa

interna de la empresa, es el paso previo a la red interna, en esta capa se
debe establecer una correcta configuración debe estar a cargo de una
persona que conozca y tenga un conocimiento amplio del que está
haciendo y por qué.
Uno de los más grandes representantes seria el uso de un firewall,

puesto que representan un mecanismo de defensa inicial y compuesto por
reglas. Una buena puesta en práctica de seguridad seria la configuración
de un firewall lo más restrictivo posible, estableciendo reglas por equipo,
servicio y rol del personal a cargo. (Pérez C. Á., 2013)
Marco Teórico 21
IMÀGEN 3
MODELO DE DEFENSA EN PROFUNDIDAD
Fuente: Libro Hardening a servidores GNU/Linux

Elaborado por: Carlos Álvarez Marín y Pablo Gonzalo Pérez
1.6.2 Seguridad en la red interna
La red debe encontrase segmentada y separada en función a los

usuarios que requieran acceder y también en función a lo que deseen
acceder, un ejemplo claro sería que un cliente llegue a la institución y
encuentre una red abierta a la que se pueda conectar y pueda acceder a
los servicios internos de la red corporativa por la que se transmiten todos
los datos de la empresa, y a los que nos e desea que un usuario externo
pueda acceder.
Una buena práctica de hardening sería separar y segmentar la red por

medio del uso de VLAN´S (virtual local area network).
De esta manera se aíslan las LAN por medio del uso de VLANS y de
esta forma dentro de una misma red se pueden separar múltiples servicios
a los que ciertos usuarios pueden acceder acorde al rol que cumple dentro
de la empresa. (Pérez C. Á., 2013)
Marco Teórico 22
1.6.3 Seguridad a nivel del servidor
Aquí se toma en cuenta las actualizaciones del sistema operativo,

parches de seguridad, servicios innecesarios que se ejecutan en dicho
hardware.
Es importante disponer de logging, tanto local como remoto en la

máquina servidor llevando un registro de actividad en cualquier instante de
las acciones realizadas por el equipo.
Para esto se pueden consultar logs del kernel del sistema para saber
la autentificación, registro actividad o tareas, siendo esta una información
muy útil para la persona encargada de administrar la red.
Las actualizaciones y parches de seguridad es algo de lo cual se debe

estar monitoreando diariamente, pues cada día se publican un mayor
número de vulnerabilidades en base a versiones de un sistema que este
corriendo sobre un servidor, o en aplicaciones que este ejecute por esta
razón siempre es recomendable disponer de un plan de contingencia y
poder tomar acciones correctivas y repentinas para cubrir y minimizar el
impacto de una vulnerabilidad. (Pérez P. Á., 2016)
1.6.4 Seguridad en la aplicación
En este apartado se toma en cuenta el uso de una configuración por

defecto puede proporcionar vías certeras de ataque por parte de un usuario
malintencionado, con las que puede lograr tener control de manera remota
en la máquina, realizar la denegación de un servicio por medio de un ataque
de fuerza bruta o simplemente visualizar y tomar información de las
configuraciones internas del hardware, por esta razón siempre es mejor
disponer de una configuración propia en base a las necesidades de lo que
Marco Teórico 23
se requiere y solo habilitar puertos y servicios de un servidor que realmente

utilicen las aplicaciones.
1.6.5 Seguridad lógica
Se plantea la aplicación de barreras y procedimientos que permitan

salvaguardar el acceso a los datos, y solo permita el paso a personas con
roles y niveles de autorización.
Controles a implementarse para mantener la seguridad lógica:
 Roles. Se lo realiza controlando a través de la función o rol del usuario que

requiere dicho acceso.
 Controles de acceso. Constituyen en la implementación de controles en
cualquier utilitario de red para mantener la integridad de la información y
resguardar los datos confidenciales de accesos no autorizados.
 Autenticación, identificación. La identificación es el momento en que el
usuario se da a conocer al sistema y autenticación se refiere a la
verificación que realiza el sistema sobre esta identificación.
 Listas de control de acceso ACL’s. Su objetivo es filtrar tráfico,
permitiendo denegando el tráfico de red de acuerdo a diferentes
condiciones establecidas en los equipos de redes.
 Limitaciones a los servicios. Estos controles se refieren a las
restricciones que dependen de parámetros propios de la utilización de la
aplicación o preestablecidos por el administrador.
Marco Teórico 24
1.6.6 Seguridad física
Probablemente la seguridad física sea el punto de menor

consideración en el momento de diseñar un esquema de la red, sin
embargo, es un punto neural ya que permite que se puedan admitir barreras
físicas y procedimientos de control tales como el uso de cámaras, guardias
de seguridad, CDP´S aislados y correctamente asegurados y bien
aclimatados para que el hardware de la institución no se vea afectado y no
interrumpa ninguno de sus servicios.
Backup´s del Datacenter en otra ubicación geográfica en caso de alguna

desgracia de orden natural.
Las amenazas pueden ser:
Casos fortuitos o caso mayor (terremotos, inundaciones, tormentas,

etc.). Intencionados por el hombre (robos, demoliciones, incendios etc.).
1.7 Mínimo privilegio posible
Es común visualizar en ciertos ordenadores como se ejecutan

aplicaciones como administrador, permitiendo que un usuario descargue
software, o inserte una memoria USB y ejecute un programa como
administrador o como un usuario normal que pertenezca a un grupo de
administradores, por que en muchas ocasiones ejecutan software
licenciado, y engañan la programación del sistema con un parche en el que
puede contenerse un malware e infectar el ordenador, Este hecho pone en
riesgo un sistema pues el binario malicioso correrá con los máximos
privilegios.
Marco Teórico 25
Las aplicaciones deben correr con el mínimo privilegio posible en base

a su función dado que si esta es vulnerada o si se ejecuta una aplicación
maliciosa se perjudique el sistema.
1.8 Mínimo punto de exposición
Un sistema debe ejecutar solo el software que sea imprescindible para

el correcto desempeño de sus funciones, realizando un análisis de los
servicios que se ejecutan en un servidor e identificar cuáles son los más
críticos, cuales medios y cuales bajos, en un servidor donde existen
servicios críticos no deben compartirse otros servicios, debido a que la
vulneración de cualquiera de estos dos servicios supondría el acceso a los
datos gestionados por el otro servicio, es por esta razón que no es
recomendable ejecutar varios servicios sobre las mismas máquinas, una
solución posible es el utilizar la virtualización para aislar máquinas dentro
de un mismo servidor físico y cada máquina ejecuta su propio servicio sin
tener que correr el riesgo de que una infección pueda comprometer a uno
o más sistemas.
Otra consideración a tener en cuenta es el olvido o no uso de

servidores de pruebas de desarrollo, este tipo de servidores ponen en
riesgo la seguridad de la organización pues hay que recordar que
estuvieron en un ambiente de pre-producción con datos o réplicas de
información verás con la que se trabaja en producción, procesos y
privilegios de administrador, contraseñas débiles o sencillas, esto genera
un gran fallo de seguridad en la red institucional.
1.9 Procedimientos, concienciación y políticas
Establecer procedimientos es fundamental en el ámbito de seguridad,

es de vital importancia tener una bitácora de acciones a realizar en caso de
Marco Teórico 26
que un incidente no previsto ocurra, de esta manera es posible automatizar

y poder enumerar pasos a realizar para poder solucionar el inconveniente
y minimizar el tiempo en que la amenaza afecta un servicio.
Los usuarios técnicos y no técnicos, no suelen ver el peligro de la

información de ciertos sistemas a los que acceden y por el simple hecho de
encontrar la información que están requiriendo acceden a páginas en las
que pueden infectar un computador y si este fallo no es encontrado a tiempo
puede provocar la infección de la red en su totalidad, una de las medidas a
tomar en consideración para la concienciación del usuario seria dar
periódicamente cursos en lo que los usuarios puedan ver lo fácil que pueda
llegar a ser acceder a información privada o sensible una vez que se haya
ganado el control de un equipo, esto expone no solamente el acceso a
información de la empresa sino también en la vida cotidiana de una
persona.
Establecer políticas de seguridad es algo de vital importancia,

tomando acciones de manera que se obligue a un usuario a actuar acorde
a la función que cumple dentro de la organización en base a su rol o
privilegio.
1.10 Gestión de la seguridad de la información
La gestión de riesgos en un método que abarca procesos de

identificar, comprender, evaluar, eliminar riesgos en base a sus
vulnerabilidades, amenazas subyacentes y el impacto en la información, los
sistemas de información y las organizaciones que dependen de esta para
cumplir a cabalidad con sus operaciones.
En un proceso de gestión de riesgos se siguen los siguientes pasos:

Marco Teórico 27
 Identificación de activos. - se determinan los activos más importantes

de la organización, y su valor
 Determinación de amenazas. - Se realiza un listado de las medidas de
protección que se disponen para proteger los activos y cuan eficaces
son frente a los riesgos a lo que se enfrenta la empresa.
 Estimación del impacto. – se realiza una estimación del impacto
CAPITULO II
METODOLOGÍA
Dentro de este apartado se ha realizado la investigación de diferentes

técnicas y métodos adecuados para lograr los objetivos planteados en este
proyecto, cumpliendo con pasos ordenados que permiten y garantizan la
veracidad de los datos necesarios para poder cumplir con la propuesta del
proyecto, esta sección pretende ser una guía de ayuda capaz de encontrar
alternativas y metodologías.
2.1 Tipo De Investigación
El presente proyecto estará ambientado en la modalidad de campo,

documental bibliográfico y también investigación exploratoria.
Dado el caso que las anomalías suscitadas fueron encontradas en las

instalaciones del hospital de especiales Guayaquil Dr. Abel Gilbert Pontón
será una investigación de campo y documental bibliográfica porque se tiene
como propósito detectar, profundizar y ampliar diversos tipos de enfoques
en todo lo que se relaciona con la seguridad, diseño y administración de la
red, investigación exploratoria ya que se medirá la seguridad de la red
mediante los hechos y situaciones que se encuentren durante el análisis
del monitoreo e identificación.
Metodología 29
2.1.2 Método de investigación
Este proyecto utilizará método inductivo fundamentándose en la

asociación de un conjunto ordenado y secuencial de fases que se siguen,
para realizar intervenciones y emplear mecanismos de acción oportunos y
eficientes.
La recolección de documentos es uno de los procedimientos más

utilizados en lo que se refiere a investigaciones que como objetivo tendrán
proponer soluciones, debido a que los procesos establecidos permiten
acceder a información certera y verás.
Como herramientas de apoyo sobre la información, se acudirá a

publicaciones oficiales que mantengan relación con el tema tratado; y que
serán de gran ayuda para la fundamentación teórica de la investigación.
2.1.3 Análisis de investigación
El análisis de investigación tiene como finalidad plantear soluciones

elaborando un plan de contingencia que ayudará al hospital de
especialidades Dr. Abel Gilbert Pontón a poder tomar medidas correctivas
en caso de que su información pueda ser comprometida y dar soluciones a
este tipo de inconvenientes que pueden generar gran pérdida en una
empresa.
La observación de campo será implementada en el presente proyecto,

pues permite conocer el problema directamente en su punto de origen,
mediante este método se puede tomar acciones teniendo como punto de
partida primeramente documentar la información recopilada analizando las
irregularidades encontradas y así poder ofrecer soluciones a problemas
posteriores.
Metodología 30
2.2 Técnicas para la recolección de datos
Para la recolección de información se consultarán libros, artículos

bibliográficos, recursos técnicos fuentes de información que tengan
relación con la propuesta del proyecto dando a conocer las ventajas y
desventajas con la implementación del proyecto planteado.
Partiendo con actividades de inspección del estado actual en el que

se encuentra cada uno de los servidores de la red, observación de sus
operaciones, también se inspeccionará como está contemplada la red con
sus dispositivos de hardware.
Particularmente esta investigación se apoya en utilizar técnicas

cuantitativas como cualitativas por medio de la realización de cuestionarios
de encuestas elaborados en base a criterios de seguridad informática
dirigida al personal administrativo y asistencial, aportando con detalles
importantes al investigador dado que el personal conoce de los problemas
y procedimientos suscitados diariamente con la red y los equipos de la
institución, también se utilizó la observación directa para obtener mayores
fuentes de información en base al proyecto a investigar.
2.2.1 Instrumentos para la recolección de datos
Los instrumentos son los medios utilizados para recabar y almacenar

información en el proceso de recolección de datos.
Para la presente investigación se plantea el uso de entrevistas y

cuestionarios de preguntas para realizar las encuestas.
Para obtener información de manera directa con el entrevistado se

utilizará una guía de entrevista que permite contar con las preguntas y el
Metodología 31
modo de entrevista facilitando al investigador la búsqueda de la información

deseada.
En este apartado se realizaron preguntas a los entrevistados que

guardan relación con el tema de investigación, posteriormente con las
respuestas obtenidas se pudo obtener una visión general de la situación
conforme a la problemática actual, ampliando el campo de visión y
proporcionando una guía a seguir para poder cumplir con los objetivos
específicos permitiendo brindar una solución al problema de investigación.
Como otra fuente de información también se realizó un cuestionario

de preguntas dirigidas al personal asistencial de la institución en las que se
contemplan temas puntuales para saber el grado de satisfacción conforme
a los servicios que cubre la red y sus administradores el personal del área
de Tic’s
Estos instrumentos tienen como objetivo principal recabar relación

relacionada conforme a la implementación de políticas de seguridad y
mantenimiento de la mejora continua en la red institucional del hospital de
especialidades Guayaquil Dr. Abel Gilbert pontón. Basándose en las
normativas ISO 27001.
2.2.3 Entrevistas
Una entrevista es un proceso de comunicación que se realiza entre

dos personas; en este proceso el entrevistador obtiene información por
parte del entrevistado de manera directa ya que el entrevistado puede
explicar con sus propias palabras la perspectiva que tiene en torno al tema
a tratar, facilitando la recopilación de información.
Metodología 32
Se realiza la entrevista con el Administrador de Redes del hospital de

especialidades Guayaquil Dr. Abel Gilbert Pontón.
2.2.3.1 Resumen de entrevistas
CUADRO 2
RESUMEN DE ENTREVISTAS
Resumen de entrevista con el Administrador de Red del
Hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón.
Entrevista # 1
Nombre del Ing. Freddy Fecha de 22-08-2017

Villa
Encuestado Entrevista
Cargo que Administrador de Tema de Infraestructura, Seguridad y

redes servicios de la red
Institucional del hospital de
Desempeña Investigación especialidades Guayaquil
“Dr. Abel Gilbert Pontón”
Uno de los principales problemas evidenciados se encuentra en las

caídas constantes del uso del sistema hosvital debido a la cantidad de
clientes que se conectan a este servidor. Teniendo 3 puntos neurálgicos
como son la consulta externa, hospitalización y emergencia que
actualmente todas estas áreas se conectan a 2 servidores para el uso
del sistema.
Por lo cual sería recomendable utilizar un tercer servidor del sistema

hosvital para solventar los problemas y centralizar cada área a un solo
servidor, también se recomienda el uso de software libre para
monitorizar los procesos y servicios que corren bajo los servidores que
se conectan a la red institucional.
Otro problema a tener en cuenta es la fortificación de políticas de

seguridad en los servidores puesto que muchas instituciones públicas
correspondientes al MSP presentan problemas de ataques a sus
servidores, lo cual puede desencadenar en una denegación de servicio
en sus servidores.
Metodología 33
2.2.3.2 Análisis de entrevista.
La entrevista se desarrolló en las instalaciones del departamento de

Tic’s del Hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón, la
entrevista fue realizada al Ing. Freddy Villa que desempeña el cargo de la
administración de la red del hospital.
Con la realización de esta entrevista se ha logrado obtener

información previa para el presente proyecto de investigación, pues
mediante la entrevista se pudo conocer en base a la opinión personal del
entrevistado los problemas latentes que persisten en la red institucional,
tanto a nivel de los servidores, como en la infraestructura de la red en la
institución. Permitiendo establecer en base a un marco general los
siguientes problemas:
 Fallos de conexión en equipos

 Falencias en servicio de internet.
 Vulnerabilidad a Exploits o herramientas de spam
 Vulnerabilidad a una denegación de servicios en el servidor del sistema
Hosvital.
2.2.4 Encuestas
Se realizaron encuestas a personal involucrado en el uso de los

principales sistemas de la institución.
Metodología 34
2.2.4.1 Población
La población se define como un todo de personas y objetos a

investigar sobre un determinado tema o suceso a solucionar dentro del
presente proyecto.
El universo establecido son los hospitales del sector público ubicados

en la ciudad de Guayaquil debido a que el presente proyecto puede ser
aplicado a todos ellos pues los servicios que ofrecen tienen similitud.
Este estudio será dirigido a la población total de total de novecientos
Fórmula para calcular la Muestra
N * Z 2 * p *q
n 
e 2 * ( N  1)  Z 2 * p * q
Donde:
n=Número de los elementos de la muestra
N = Número de elementos de la población
Z = Valor obtenido mediante niveles de confianza. Es un valor

constante que, si no se tiene su valor, se lo toma en relación al 95%
De confianza equivale a 1.96 (como más usual)
p = Proporción esperada (en este caso 5% = 0.05)
q = 1 – p (en este caso 1 – 0.05 = 0.95)
e = Límite aceptable de error muestral 1% (0.05)
Tenemos:
Metodología 35
n =?
N = 949
Z = 1.96
p = 0.05
q = 0.95
e = 0.05
N *Z 2 * p *q
n 
e 2 * ( N  1)  Z 2 * p * q
949 * 1 . 96 2 * 0 . 05 * 0 . 95
n
0 . 05 2 * ( 949  1)  1 . 96 2 * 0 . 05 * 0 . 95
173 . 169724
n 
2 . 552476
n= 67 Total de la muestra
En este proyecto las encuestas realizadas para recabar información
referente al tema de investigación han sido aplicadas a la población
muestral de 67 personas.
Las preguntas realizadas en la encuesta fueron escogidas en base a

los principales problemas que se han podido observar durante la
investigación, también pensando en cómo obtener y otorgar una solución
confiable y eficaz en base a las principales necesidades de la institución en
cuanto a seguridad de la red de datos y mejora continua se refiere.
Para la creación de las encuestas se utilizó la herramienta Microsoft

Word elaborando un total de nueve preguntas, las encuestas fueron
Metodología 36
socializadas a los médicos de la institución posteriormente para el

archivado y preparación del análisis utilizando un procedimiento estadístico
de los datos se utilizó el programa Microsoft Excel evaluando el porcentaje
de cada pregunta y finalmente generando un gráfico, para un análisis más
simple y eficiente en base a las respuestas obtenidas por la población
muestral.
2.2.4.2 Análisis e interpretación de resultados en encuestas
Una vez que las encuestas han sido realizadas, el siguiente paso a
seguir es el análisis y tabulación conforme a datos estadísticos en los que
se presentarán los resultados obtenidos en base a las afirmaciones
propuestas por los encuestados.
2.2.4.2.1 Resultados obtenidos de las encuestas realizadas a los

médicos
Con la encuesta propuesta (Véase en los Anexos la hoja modelo de

encuesta), podemos determinar los siguientes resultados tabulados. En
una escala del 1 al 5
¿Cuántas veces a la semana tiene inconvenientes con el acceso a los

sistemas debido a un error en la red? Califique: 1 es “siempre” y 5 es
“jamás”
CUADRO 3
INCONVENIENTES DE ACCESO
Orden Opciones de respuesta Frecuencia %
1 Siempre 20 30%
2 Constantemente 14 21%
3 Regularmente 18 27%
4 A veces 8 12%
5 Jamás 7 10%
TOTAL 67 100%
Fue nte: Hospital d e Especialidades Dr. Abel Gilbe rt Pontón
Elabor ado por : Monto ya Oli v o Boris José
Metodología 37
GRÁFICO 1
INCONVENIENTES DE ACCESO

Análisis correspondiente a la pregunta #1
Esto significa que el mayor porcentaje muestral tiene inconvenientes

con el acceso a la red durante la semana, lo cual representa un gran
problema para los médicos al momento de atender un paciente.
¿Cuándo hay un problema en la red y se informa al personal de tics, este

acude de manera inmediata?
CUADRO 4
TIEMPO EN EL QUE ACUDEN
1 Inmediatamente 25 37%
2 Tarda en llegar 20 30%
Se informa el problema
3 15 22%
nuevamente
4 Jamás acuden 7 10%
TOTAL 67 100%
Metodología 38
CUADRO 5
TIEMPO TOMADO EN MINUTOS
1 10 Minutos 9 45%
2 15 Minutos 6 30%
3 20 Minutos 4 20%
4 30 Minutos 1 5%
TOTAL 20 100%
GRÁFICO 2
TIEMPO EN EL QUE ACUDEN
Fue nte : Hospital de Espe cialidades Dr. Abel Gilbe rt Pontón

Elabor a do por : Monto ya Oliv o Boris José
GRÁFICO 3
TIEMPO TOMADO EN MINUTOS
Fue nte : Hospital de Especialidades Dr. Abel Gil bert Pontón

Metodología 39
La mayoría de la población muestral correspondiente a un 37% indica

que el personal de Tic’s atiende inmediatamente los requerimientos sin
embargo otro 30% 22% y 10% respectivamente muestran indicadores de
malos resultados conforme al soporte a la red institucional inclusive en la
opción 2 “Tarda en Llegar” donde se representa un 30% de la muestra se
ha realizado una opción para que el usuario indique los tiempos de demora
en base a sus requerimientos teniendo respuestas de 20 médicos, esto es
una problemática debido a que el soporte técnico es vital en una
organización y si no se acude a tiempo para atender estos requerimientos
se generan problemas en base a tiempo y demora del servicio brindado por
la institución para los pacientes que acuden al hospital de especialidades
Guayaquil Dr. Abel Gilbert Pontón.
En una escala del 1 al 5
¿La velocidad de navegación en internet es ideal para poder

realizar sus funciones asignadas? Califique: 1 es “Regular” y 4 es
“Eficiente”
CUADRO 6
VELOCIDAD DE INTERNET
1 Pésima 12 18%
2 Mala 20 30%
3 Regular 22 33%
4 Eficiente 13 19%
TOTAL 67 100%
Metodología 40
GRÁFICO 4
VELOCIDAD DE INTERNET
Fue nte : Hospital de Espe cialidades Dr. Abel Gilbe rt Pontón

Elabor a do por : Monto ya Oliv o Boris José
Para la mayoría de la población muestral correspondiente al 18% 30%

y 33% respectivamente la velocidad de internet asignada no es la eficiente
para realizar funciones asignadas y tan solo para el 19% de los médicos
encuestados les parece óptimo se debe tener en cuenta que muchos
médicos utilizan solamente el sistema Hosvital para proceder a atender a
sus pacientes sin embargo otros médicos tienen otros roles en base a sus
funciones, tal es el caso por el cual se les asignan permisos de navegación
distintos y posibles páginas a las cuales acceder, se recomienda realizar un
estudio en base a qué servicios solicitan acceder los médicos y establecer
si es factible activar dichos permisos para el personal asistencial de la
institución.
¿Cuál es el Servicio tecnológico proporcionado por el personal

de Tic’s al que usted con más frecuencia accede?
CUADRO 7
FRECUENCIA DE ACCESO A SERVICIO TECNOLÓGICO
1 Sistema Hosvital 67 34,01%
Correo electrónico
2 67 34,01%
Zimbra
3 Intranet 56 28,43%
Sistema en la nube
4 7 3,55%
Owncloud
TOTAL 197 100%
Metodología 41
GRÁFICO 5
FRECUENCIA DE ACCESO A SERVICIO TECNOLÓGICO
Fue nte: Hospital de Esp ecialidad es Dr. Abel Gilb ert Pontón
Elabor a do por : Montoya Oliv o Boris José
En esta pregunta se plantea respuesta de opción múltiple al

encuestado teniendo en un total de 67 médicos que pueden responder entre
4 opciones en total la mayor respuesta que se puede obtener será de
67x4=268 suponiendo que cada sin embargo una vez que se realizó la
encuesta se obtuvo como resultado que 67 médicos usan el sistemas
Hosvital, lo cual corresponde a un 34.01% y 67 médicos también utilizan con
frecuencia el correo electrónico Zimbra, lo cual también corresponde al
34.01%, el sistema de intranet para realizar algún trámite administrativo lo
utilizan con frecuencia 56 médicos correspondiendo al 28.43% y tan solo 7
médicos utilizan el sistema en la nube de Owncloud lo cual corresponde al
3.55% bajo estas estadísticas se puede observar que la mayor parte de la
muestra utilizan con frecuencia el sistema Hosvital y el correo electrónico
Zimbra. Servicios a los cuales se les debe dar un nivel de importancia y
prioridad a la hora de realizar configuraciones de seguridad.
¿Ha tenido problemas de pérdida, de información de su

ordenador debido a algún problema de tipo informático?
Metodología 42
CUADRO 8
PROBLEMAS CON PÉRDIDA DE INFORMACIÓN
50,75
1 No 34
%
31,34
2 Una vez 21
%
11,94
3 Muy Seguido 8
%
4 Todo el tiempo 4 5,97%
TOTAL 67 100%
GRÁFICO 6
PROBLEMAS CON PÉRDIDA DE INFORMACIÓN

En esta pregunta se plantea conocer de la población muestral el nivel

de problemas que han tenido con la información de los ordenadores de la
institución a lo cual el 51% indicaron que no han tenido problemas con sus
ordenadores el 31% una vez el 11% Muy seguido y el 5% todo el tiempo, si
bien es cierto no todos los médicos han tenido problemas de pérdida de
información pero es importante considerar que si se han presentado estos
problemas en el hospital para los cuales se recomienda revisar los equipos
con un antimalware o correr el antivirus en todas las particiones del disco
Metodología 43
duro del equipo, desinstalar programas que ejecuten procesos en segundo

plano, etc. esto no solo repercute en la pérdida de información del
computador sino también en las piezas y componentes del mismo ya que
muchos virus pueden hacer que el procesador trabaje al 100% de su
capacidad.
¿Qué medidas cree usted que se deba toma el departamento de

Tic’s para resguardar la seguridad de la información?
CUADRO 9
MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN
1 Realiza Backup’s periódicamente 67 33,33%
2 Controles de acceso a los servidores 67 33,33%
Aplicar políticas de seguridad a los
3 67 33,33%
servidores y ordenadores
4 Otro 0 0,00%
TOTAL 201 100%
GRÁFICO 7
MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN
Fue nte : Hospital d e Especialidades Dr. Abel Gilbe rt Pontón

Elabor ado por : Monto ya Oliv o Boris José
Metodología 44
En esta pregunta de selección múltiple se plantearon 4 opciones de

las cuales se podrían obtener 268 respuestas en base a lo que lo médicos
respondieran sin embargo se obtuvo un total de 201 preguntas de las cuales
las 3 primeras opciones representan un 33.33% indicando que a los
médicos les parece acertadas las opciones planteadas.
¿En qué debería reforzarse el área de Tic’s para mejorar el

servicio de la red?
CUADRO 10
DEBERÍA REFORZARSE DEL ÁREA DE TIC’S
Más personal en el área de
1 15 7.73%
Tic’s
2 Nuevos equipos de cómputo 67 34.54%
Más capacitaciones al personal
3 67 34.54%
médico
4 Soporte 24/7 43 22.16%
5 Otros 2 1.03%
TOTAL 194 100.00%
GRÁFICO 8
DEBERÍA REFORZARSE DEL ÁREA DE TIC’S
Fue nte : Hospit al de Especialida des Dr. Abel Gil bert Pontón
Elabor ado por : Mont oya Oliv o Boris José
Metodología 45
En esta pregunta se plantean nuevamente respuestas múltiples para

la población muestral, la cual está totalmente de acuerdo que algo
necesario para mejorar el servicio por parte del área Tic’s es equipar de
nuevos equipos de cómputo y dar más capacitaciones al personal médico
en ambos casos los 67 médicos marcaron estas opciones al momento de
contestar la encuestas representando esto un total del 69.08% de la
población, el 7.73% indicó que es necesario aumentar el personal de Tic’s
para brindar mayor soporte y atender todos los requerimientos a tiempo, el
22.16% indicó que se soporte 24/7 para atender las necesidades
tecnológicas en todo momento y el 1.03% indicaron otras opciones, entre
ellas que el personal de Tic’s de soporte y desarrolle nuevos módulos
faltantes en el sistema Hosvital.
¿Está usted de acuerdo en que se invierta en recursos para la

seguridad de información?
CUADRO 11
INVERSIÓN RECURSOS PARA SEGURIDAD DE LA INFORMACIÓN
1 14 24.56%
Totalmente Desacuerdo
2 11 19.30%
En Desacuerdo
3 10 17.54%
Ni de acuerdo ni desacuerdo
4 15 26.32%
De acuerdo
5 7 12.28%
Totalmente de acuerdo
TOTAL 57 100.00%
Metodología 46
GRÁFICO 9
INVERSIÓN RECURSOS PARA SEGURIDAD DE LA
INFORMACIÓN
Fue nte : Hospital d e Especialidad es Dr. Abel Gilb e rt Pontón

Elabor ado por : Monto ya Oliv o Boris José
En esta pregunta, se les consulta a los médicos si estarían de acuerdo

a que se invierta en recursos para la seguridad de la información y se tiene
un dato importante haciendo el análisis de que entre un 24.56% y 19.30%
no estarían de acuerdo en que se haga, al momento de realizar esta
encuesta, se les consulto por qué e indicaron que esos recursos pueden
ser utilizados en compra de medicinas a los pacientes o equipos
tecnológicos para el personal médico otro 17.54% indica que no están ni
de acuerdo ni en desacuerdo mientras que un 26.32% y un 12.28%
respectivamente están de acuerdo y totalmente de acuerdo teniendo los
datos resultantes se puede determinar que la mayoría de los médicos no
conocen los riesgos y peligros a los que se expone la institución al no
proteger sus equipos y la red tomando medidas de seguridad informática,
esto está entre los principios básicos de seguridad informática que es
concientizar al personal de una organización en base a políticas y riesgos
de seguridad.
Metodología 47
¿En qué recursos se debe invertir parta mejorar la seguridad de

la información en la institución?
CUADRO 12
RECURSOS EN LOS QUE SE DEBERÍAN INVERTIR
Realizar charlas de concientización en base a
1 seguridad informática a los colaboradores de la 67 39.18%
institución
2 Contratar una consultora para evaluar los riesgos 27 15.79%

a los que se expone la red institucional.
Capacitaciones al personal de Tic’s para reforzar,
3 establecer medidas de seguridad que se adopten 10 5.85%
actualmente
Actualización de nuevos equipos de cómputo
4 (Servidores, Switches, Firewalls)
67 39.18%
5 Otro 0 0.00%
TOTAL 171 100.00%
GRÁFICO 10
RECURSOS EN LOS QUE SE DEBERÍAN INVERTIR
Fue nte : Hospital d e Especialidades Dr. Abel Gilbe rt Pontón

En esta pregunta se les plantea a los médicos diferentes opciones para

mejorar la seguridad de la red de los cuales, en la primera opción, realizar
Metodología 48
charlas de concientización en base a seguridad informática a los

colaboradores de la institución está representada por el total de la muestra
con un 39.18%, en la segunda opción, contratar una consultora para evaluar
los riesgos a los que se expone la red institucional se representa por un
15.79%, en la tercera opción Capacitaciones al personal de Tic’s para
reforzar, establecer medidas de seguridad que se adopten actualmente. Se
representa por un 5.85%, en la cuarta opción de esta pregunta actualización
de nuevos equipos de cómputo (Servidores, Switches, Firewalls) está
representada por un 39.18% y en el quinto ítem se puso como opción otros,
pero ningún médico contesto esa pregunta recomendando algo que realizar,
analizando esta información se puede detallar lo siguiente que tanto como
en la opción 1 y la opción 4 la muestra total de la población respalda estas
afirmaciones y recomienda que se apliquen, en la opción 2 no todos están
de acuerdo pues contratar una consultora muy a parte del beneficio obtenido
implica gasto de presupuesto establecido en la institución y fondos que
están destinados en otras cosas faltantes en la institución, en la opciones 3
un 5.85% de la muestra respalda esta afirmación.
2.2.4.3.2 Análisis General De Las Encuestas
En un tiempo de 2 semanas de duración donde se realizaron las

encuestas a una muestra total de 67 médicos, se pudo constatar varios
aspectos a considerar para mejorar la seguridad en la red institucional y el
servicio brindado por el personal de TIC’s.
En el cuestionario de encuestas se realizaron preguntas que

permitieron obtener valor agregado para la factibilidad de este proyecto.
Ya que la mayoría de los problemas que presentan los médicos

guardan relación con las soluciones planteadas para este proyecto
principalmente se parte por conocer que percepción tiene la red y los
problemas que pueden presentarse en base a esto se les consulto en la
Metodología 49
primera de las preguntas cuantas veces a la semana tienen inconvenientes

con caídas de la red se pudo conocer que un 30% siempre tiene problemas
precisamente por esto se realizan preguntas para conocer los problemas
principales por los cuales se presenta este inconveniente y de esta manera
ofrecer propuestas de solución analizando la factibilidad de las mismas.
Como uno de los puntos más importantes a destacar es el que se

realizó en la pregunta #4 donde se consulta al entrevistado por el sistema
al que con mayor frecuencia accede, e indicaron que con mayor frecuencia
acceden al sistema Hosvital y el correo electrónico debido a que son de
vital importancia para laborar, en caso del sistema Hosvital enviar
medicación a un paciente y hacer la formulación del mismo y para el correo
electrónico pues envían toda la documentación necesaria en caso de
reuniones directrices dadas por la dirección asistencial del hospital como
aplicar procedimientos etc.
Tal razón por la cual ambos servicios son de vital importancia para
que puedan laborar ininterrumpidamente y cumplir con sus funciones
asignadas en los cuales se deberían primeramente realizar un análisis de
vulnerabilidades en base a las amenazas encontradas en caso de no
encontrar nada se debe proceder a realizar un proceso de hardening para
fortificar y elevar las medidas de seguridad evitando un futuro daño ya sea
por pérdida o robo de información.
En base a las recomendaciones dadas para la pregunta #4 En la

pregunta #6 se realizaron propuestas a los médicos para que indicaran si
creen que es correcto aplicarlas considerando tiempos y factibilidad de los
mismos tal es el caso de realizar Backup’s periódicamente en los equipos
de la institución precisamente porque esto genera tiempo y en algunos
casos malestar al usuario y en el caso de implementar políticas de
seguridad a los servidores y ordenadores también estuvieron totalmente de
acuerdo en que se realicen.
Metodología 50
En la pregunta #7 se consultó en base a qué medidas se podrían

tomar para reforzar el departamento de Tic’s y mejorar el servicio
tecnológico en la institución, obteniendo como resultados mayoritarios que
se deben incluir nuevos equipos de cómputo pues algunos no cumplen con
las características necesarias para correr un programa determinado o sufre
daños constantes y el proceso de garantía dura más de los esperado
también opinaron que es importante dar mayor capacitación a los médicos
ya que algunos presentan inconvenientes con el uso del sistema Hosvital
los cual les genera conflictos al momento de realizar sus funciones.
2.3 Procedimientos
Para el procedimiento de datos se ha tomado en cuenta las siguientes

actividades:
 Análisis de la documentación obtenida luego de la recopilación de

información, puntualizando en los apartados más específicos y
relevantes del proyecto.
 Planteamiento de estrategias para la problemática del proyecto
 Interpretar la información obtenida y utilizarla en el desarrollo del
proyecto.
2.3.1 Desarrollo del proyecto
Identificando los procedimientos a realizar para cumplir con el

desarrollo del proyecto de investigación se puntualizará de manera
secuencial los procesos y las actividades para dar solución al problema.
Metodología 51
 Revisión de los mecanismos actuales que se utilizan para brindar

seguridad en la red y sus dispositivos.
 Conocimiento de las medidas aplicables para brindar políticas de
seguridad eficientes.
 Identificación de puertos y servicios en los servidores de la red de datos.
 Análisis de la información recaudada, identificando amenazas a la red
de datos.
 Aplicación de hardening a los principales servidores de la institución.
Metodología 52
IMÁGEN 4
DIAGRAMA DE ACTIVIDADES

CAPITULO III
PROPUESTA
3.1 Introducción
3.1.1 Tema
Implementación de un sistema de gestión de seguridad de la

información para la seguridad lógica en base a las normativas iso 27001 en
la red del hospital de especialidades Guayaquil Dr. Abel Gilbert Pontón
3.1.2 Objetivo
Definir y proporcionar controles que ayuden a la mejora continua de

gestión de la lógica en base a las normativas ISO 27001 en la red del
Hospital de Especialidad Abel Gilbert Pontón.
3.2 Solución de la propuesta
Se desarrolla la implementación del proyecto con las debidas

autorizaciones del gerente del Hospital de especialidades Guayaquil Dr.
Abel Gilbert Pontón y la autorización de solo trabajar sobre 4 servidores de
la institución, servidor de correo electrónico Zimbra, Servidor de aplicación
del sistema Hosvital y servidor de base de datos del sistema Hosvital
también el servidor de la Intranet institucional.
Una vez que se han podido identificar los problemas principales se

propone realizar inicialmente un análisis de la situación actual en la que se
Propuesta 54
encuentran los servidores de la institución teniendo como concepto de

partida la defensa en profundidad, donde se busca proteger por capas el
sistema operativo del servidor para ello se pretende fortalecer servicios y
configuraciones.
Las actividades que se llevarán a cabo serán:
 Análisis de vulnerabilidades en de los servidores (Servidor de Intranet

de la institución, servidor de base de datos Hosvital y servidor de
aplicaciones Hosvital)
 Informe de problemas encontrados.
 Escaneo de y corrección de vulnerabilidades encontradas en cada uno
de los tres servidores.
 Análisis y establecimiento de políticas de seguridad e implementación
de buenas prácticas de seguridad aplicables a los sistemas (hardening).
 Informe de actividades realizadas en el proceso de endurecimiento del
servidor.
Elaboración
En la primera fase de la elaboración de este proyecto se realizarán

actividades de análisis de vulnerabilidades a los 3 servidores de mayor
importancia en de la institución mediante el uso de la herramienta NESSUS
un escáner de seguridad para la detección de vulnerabilidades que permite
prevenir de manera eficiente los ataques de red identificando las
debilidades y errores de configuración en los servidores.
Este sistema Nessus será instalado en un servidor virtual que se utiliza

en el hospital para análisis de puertos comprobar el estado de los
servidores, este servidor cuenta con el sistema operativo Kali Linux una
distribución basada en Debian GNU/Linux para realizar pruebas de
Propuesta 55
pentesting y auditorías de seguridad, contiene herramientas de seguridad

informática, penetración y hacking ético.
Primeramente, se debe descargar el paquete .deb de Nessus desde

su página oficial: https://www.tenable.com/products/nessus/select-your-
operating-system
IMÁGEN 5
PAQUETE DE NESSUS

Luego de esto se procede con el proceso de instalación por medio de

la consola, usando el comando # dkpg -i Nessus-6.11.1-
debian6_amd64.deb.
IMÁGEN 6
INSTALACIÓN DE NESSUS POR MEDIO DE TERMINAL

Luego de haber terminado la instalación se debe iniciar el servicio

Nessus, usando el comando # /etc/init.d/nessusd start.
Propuesta 56
IMÁGEN 7
INICIAR SERVICIO NESSUS

Para comprobar que el servicio está corriendo en el servidor se utiliza

el siguiente comando # /etc/init.d/nessusd status.
IMÁGEN 8
INICIAR SERVICIO NESSUS

Posteriormente se realiza la configuración por medio del navegador

iceweasel para continuar con la instalación y configuración de Nessus. AL
ingresas a la URL se presenta un mensaje el cual data sobre la confiabilidad
de la conexión.
IMÁGEN 9
CONFIGURACIÓN DE NESSUS A TRAVÉS DEL NAVEGADOR

Propuesta 57
Luego de esto hacer clic en “I Understand the Risk” o Yo Entiendo el

Riesgo Luego hacer clic en el botón de nombre “Add Exception” o Añadir
Excepción.
IMÁGEN 10
EXCEPCIONES DE SEGURIDAD DE NESSUS

Se presenta la página de bienvenida de Nessus 6, la cual expone

alguna de sus características más relevantes. Hacer clic en el botón de
nombre “Continue” o Continuar.
IMÁGEN 11
FINAL DEL PROCESO DE INSTALACIÓN

Propuesta 58
Configurar una cuenta de usuario “Administrador del Sistema” para

registrar el ingreso (Login) hacia el escáner, el cual tendrá completo control
para borrar o crear usuarios, detener escaneos en ejecución, y cambiar la
configuración del escáner.
IMÁGEN 12
CONFIGURACIÓN DE LA CUENTA DE ADMINISTRADOR DE NESSUS

IMÁGEN13
REGISTRO DEL SOFTWARE

Propuesta 59
Se descargan los plugins que servirán para detectar la presencia de

vulnerabilidades durante la etapa de escaneo.
IMÁGEN14
DESCARGA DE PLUGINS DE NESSUS

Ingresar el usuario y contraseña creado para la cuenta administrador.
IMÁGEN15
INICIO DE SESIÓN DE NESSUS
Fue nte: Hospital d e Especialidad es Dr. Abel Gilb e rt Pontón

Elabor a do por : Mon toya Oliv o Boris José
Propuesta 60
El primer servidor en ser analizado será el servidor de correos de la

institución que cuenta con las siguientes características.
CUADRO 13
CARACTERÍSTICAS DE SERVIDOR DE CORREO
Marca Intel
Modelo Intel(R) Xeon(R)
Procesador Intel Xeon (R) CPU E5-2650 Cantidad de 16
V3 2.30GHZ Núcleos
Cores por socket 4
Arquitectura X64
Disco duro 1.TB

Memoria 12 GB
RAM
Teniendo las características técnicas del servidor a escanear se

presiona el botón New Scan.
IMÁGEN16
PANTALLA PRINCIPAL DE NESSUS

Y se procede a escribir los parámetros de entrada para que NESSUS

pueda escanear las vulnerabilidades en este servidor y finalmente se
guardan los cambios.
Propuesta 61
IMÁGEN17
CONFIGURACIÓN PARA ESCANEAR SERVIDOR DE CORREO
ELECTRÓNICO

Se procede a lanzar el análisis de vulnerabilidades para este servidor

presionando el botón Launch.
IMÁGEN18
ESCANEO DEL SERVIDOR

Propuesta 62
Una vez finalizado el escaneo, Nessus muestran las vulnerabilidades

encontradas en el servidor.
IMÁGEN19
RESULTADOS OBTENIDOS DEL ANÁLISIS DE VULNERABILIDADES

Como se puede observar la herramienta Nessus clasifica y realiza un

listado de las vulnerabilidades clasificándolas por grado de acción e
impacto, entre las cuales detallan vulnerabilidades Críticas, Altas, medias,
bajas y de información estas últimas no influyen en nivel de seguridad
respecto a los servidores.
Propuesta 63
Análisis e interpretación de vulnerabilidades encontradas
Generalmente se encontraron vulnerabilidades con respecto a Open

SSL una librería de código abierto hallada en todos los servidores Linux,
OpenSSL sirve para filtrar los datos transmitidos desde o hacia el servidor
con el fin de que si una cadena es interceptada por un hacker mientras se
transmiten dichos datos, estos son ilegibles ya que el hacker debería
tomarse la tarea de desencriptar esa información para poder sacarle
provecho y entre las más significativas se encontraron la siguientes.
OpenSSL 'ChangeCipherSpec' MiTM Vulnerability
Vulnerabilidad publicada el 04 de Junio del 2014
El servicio de OpenSSL en el host remoto es vulnerable a un ataque

de man-in-the-middle (MiTM), basado en su aceptación de un apretón de
manos especialmente diseñado.
Esta falla podría permitir a un atacante de MiTM descifrar o forjar

mensajes SSL diciendo al servicio que comience las comunicaciones
encriptadas antes de que se intercambie el material clave, lo que provoca
que se usen claves predecibles para asegurar el tráfico futuro. (Vulners,
2017)
Para poder corregir esta vulnerabilidad es necesario se actualice la

versión de OpenSSL s ls version 1.0.0m. OpenSSL 1.0.1 SSL/TLS o
posterior a esta.
OpenSSL Heartbeat Information Disclosure (Heartbleed)

Propuesta 64
El host remoto está configurado con la función de mensaje de latidos

del TLS y parece estar afectado por una falla de lectura fuera de los
límites. Esta falla podría permitir a un atacante remoto leer el contenido de
hasta 64 KB de memoria del servidor, exponiendo potencialmente
contraseñas, claves privadas y otros datos confidenciales.
Como solución se debería:
Actualizar a OpenSSL 1.0.1g o posterior. Como alternativa, recompile

OpenSSL con el indicador '-DOPENSSL_NO_HEARTBEATS' para
deshabilitar la funcionalidad vulnerable. (Tenable, s.f.)
Todas estas vulnerabilidades han sido identificadas como potenciales

riesgos de seguridad, sin embargo, por disposición del Dpto. de Tic’s no es
posible corregir los fallos encontrados debido a que es un servidor con
demasiada información y que constantemente se encuentra operando y no
se puede parar el servicio más allá de unas determinadas horas, se intentó
realizar un espejo del servidor pero en tan solo una noche desde las 22:00
hasta las 9:00 del día siguiente el porcentaje de copia solo alcanzó un 35%
a una institución pública y constantemente debe estar operando en todo
momento pues actualmente no existe un servidor que actúe como espejo y
se le pueda dar de baja al servidor principal, también se debe considerar
que siempre el actualizar un servicio o un servidor suele traer fallos
conforme a configuración y aplicaciones que se ejecuten el servidor debido
a este concepto, el Dpto. de Tic’s no se plantea correr este tipo de riesgos.
Propuesta 65
CUADRO 14
CARACTERÍSTICAS DE SERVIDOR DE APLICACIONES
Marca Intel
Procesador Intel Xeon Cantidad de Núcleos 16
(R) CPU
E5645 Cores por socket 4
2.40GHZ
Arquitectura X64
Disco duro 1.TB
Memoria RAM 12 GB
Se procede a escribir los parámetros de entrada para que NESSUS

pueda escanear las vulnerabilidades en este servidor con el target
192.168.21.130 y finalmente se guardan los cambios.
IMÁGEN20
CONFIGURACIÓN PARA ESCANEAR SERVIDOR DE APLICACIONES
HOSVITAL

Propuesta 66

IMÁGEN21

Escaneo de servidor de aplicaciones Hosvital
Una vez finalizado el escaneo, se muestran las vulnerabilidades

encontradas en el servidor de aplicación del sistema Hosvital.
IMÁGEN22
RESULTADOS DEL ESCANEO DEL ANÁLISIS DE
VULNERABILIDADES DEL SERVIDOR DE APLICACIONES HOSVITAL

Propuesta 67
Como se puede ver se encontraron 3 vulnerabilidades potenciales, y

se clasifican por riesgos entre las cuales figuran riesgos (HIGH) ALTO Y
(MEDIUM) MEDIO
Las otras 5 “vulnerabilidades” solo se clasifican en base a información

de software corriendo en el servidor y no denotan problemas de seguridad.
La vulnerabilidad de riesgo (HIGH) detalla lo siguiente:
SNMP AGENT DEFAULT COMMUNITY NAME (PUBLIC)
Esta vulnerabilidad se basa en el servicio SNMP un protocolo llamado

por sus siglas (SIMPLE NETWORK MANAGEMENT PROTOCOL).
Diseñado en los años 80, su principal objetivo es la integración y gestión de
varios tipos de redes mediante un diseño sencillo y que produjera poca
sobrecarga a la red.
SNMP opera en el nivel de aplicación, utilizando el protocolo de

transporte TCP/IP, por lo que ignora los aspectos específicos del hardware
sobre el que funciona. La gestión se lleva a cabo al nivel de IP.
Esta vulnerabilidad es grave principalmente debido a que un atacante

puede obtener mayor información del host que este corriendo este servicio
o para cambiar la configuración del sistema remoto. y de esta manera
encontrar Xploits que le permita explotar vulnerabilidades en el host debido
a alguna versión de aplicación que corran en el servidor lo cual le permitiría
encontrar una puerta de entrada y ganar acceso.
Para corregir esta vulnerabilidad se recomienda deshabilitar el

servicio SNMP en el host en caso de no utilizarlo, filtrar los paquetes UDP
Propuesta 68
entrantes que vayan hacia el puerto 161 o cambiar la cadena de comunidad

predeterminada. (Acunetix, s.f.)
La vulnerabilidad Apache HTTP Server httpOnly Cookie

Information Disclosure
Las Vulnerabilidades en el servidor HTTP de Apache La divulgación

de información de cookies de httpOnly es una vulnerabilidad de bajo riesgo
que es una de las más frecuentes en redes de todo el mundo. Este
problema ha existido desde al menos 1990, pero ha demostrado ser difícil
de detectar, difícil de resolver o propenso a ser pasado por alto por
completo. (Security, 2017)
En resumen, esta vulnerabilidad con el código CVE-2012-0053 indica

que El envío de una solicitud con encabezados HTTP el tiempo suficiente
para superar el límite del servidor hace que el servidor web responda con
un HTTP 400. De forma predeterminada, el encabezado y valor HTTP
infractor aparecen en la página de error 400. Cuando se utiliza junto con
otros ataques (por ejemplo, scripts entre sitios), esto podría resultar en el
compromiso de las cookies de httpOnly. (Tenable, 2016)
IMÁGEN23
VULNERABILIDAD DE APACHE HTTP SERVER HTTPONLY COOKIE
INFORMATION DISCLOSURE

Propuesta 69
La explotación exitosa de esta vulnerabilidad permitirá a los atacantes

obtener información confidencial que puede ayudar en nuevos ataques.
HTTP TRACE / TRACK Methods Allowed
Esta vulnerabilidad detalla admitir métodos TRACE y/o TRACK los

servidores que soportan este método están sujetos a ataques de cross-site-
scrippting utilizándose con diversas debilidades en los navegadores.
Esto permite a los atacantes explotar la confianza que un usuario tiene

en un sitio web.
Esta Consiste en modificar valores que la aplicación web usa para

pasar variables entre dos páginas. Un clásico ejemplo de esto es hacer que
a través de un buscador se ejecute un mensaje de alerta en JavaScript.
Con XSS reflejado, dando oportunidad al atacante a que pueda robar las
cookies para luego suplantar la identidad, pero para esto, debe lograr que
su víctima ejecute un determinado comando dentro de su dirección web.
Los cibercriminales suelen enviar correos engañosos para que sus víctimas
hagan clic en un enlace disfrazado y así se produzca el robo a esto se lo
denomina una técnica de Phishing. (Pérez I. , 2015)
Soluciones a vulnerabilidades encontradas
SOLUCIÓN A LA VULNERABILIDAD SNMP AGENT DEFAULT

COMMUNITY NAME (PUBLIC)
Se realiza la conexión al servidor por medio del protocolo (SSH).

Propuesta 70
IMÁGEN24
CONEXIÓN AL SERVIDOR DE APLICACIONES HOSVITAL POR
MEDIO DEL SSH

Se procede primeramente a sacar una copia del servicio de

configuración mediante el uso del comando # cp /etc/snmp/cp
etc/snmp/snmpd.conf /etc/snmp/snmpd.conf-original.
IMÁGEN25
BÚSQUEDA DEL ARCHIVO DE CONFIGURACIÓN SNMPD

Propuesta 71
Posteriormente se procede con la edición del archivo de configuración

del protocolo SNMP con el editor de textos vi.
IMÁGEN26
COMANDO PARA EDITAR ARCHIVO DE CONFIGURACIÓN

En el archivo de configuración se cambia la cadena de comunidad

predeterminada.
IMÁGEN27
CONFIGURACIÓN DEL ARCHIVO SNMPD

Se realiza el cambio a una cadena estándar y el comenta la línea del

modelo de seguridad quedando en la V2.
Propuesta 72
IMÁGEN28
CONFIGURACIÓN DEL ARCHIVO SNMPD

Finalmente, para guardar los cambios realizados se procede a

reiniciar el servicio SNMP.
IMÁGEN29
REINICIO DEL SERVICIO SNMPD

Propuesta 73
Solución a Vulnerabilidad Apache HTTP Server httpOnly Cookie

Information Disclosure
Para Corregir esta vulnerabilidad solo es necesario actualizar la

versión de apache, para lo cual se ejecutará el comando #yum install httpd*
-y.
IMÁGEN30
ACTUALIZACIÓN DEL SERVICIO HTTPD

Se verifica la versión instalada actualmente de apache con el

comando httpd –v.
IMÁGEN31
VALIDACIÓN DE LA VERSIÓN DE APACHE

Propuesta 74
Y se procede a reiniciar el servicio.
IMÁGEN32
REINICIAR SERVICIO HTTPD

Solución a la vulnerabilidad http trace / track methods allowed
Para corregir esta vulnerabilidad simplemente de debe añadir una

línea que TraceEnable Off al final del archivo de configuración de apache.
Se procede a conectar al servidor por medio de Putty y dirigirse a la

ruta de configuración del archivo httpd.conf y se realiza la edición del
archivo mediante el uso del comando vi.
IMÁGEN33
EDICIÓN DEL ARCHIVO DE CONFIGURACIÓN HTTPD

Se edita el archivo de configuración con el comando vi httpd.conf y

agregamos al TraceEnable off al final del archivo y se cierra el archivo por
medio del comando :wq
Propuesta 75
IMÁGEN34
CONFIGURACIÓN DEL ARCHIVO HTTPD.CONF

Y se procede a reiniciar el servicio httpd.
IMÁGEN35
REINICIO DEL SERVICIO HTTPD
Fue nte: Hospital d e Especialidades Dr. Abel Gilb e rt Pontón

Finalmente se realiza nuevamente el escaneo al servidor de

aplicaciones del sistema Hosvital y se encuentra solo la información de
software que corre en el sistema.
Propuesta 76
IMÁGEN36
RESULTADO DEL ANÁLISIS DE VULNERABILIDADES DEL
SERVIDOR DE APLICACIONES HOSVITAL

CUADRO 15
CARACTERÍSTICAS DEL SERVIDOR BASE DE DATOS
Marca Intel

(R) CPU
2.40GHZ
Arquitectura X64
Disco duro 1.TB
Memoria RAM 12 GB

Propuesta 77
IMÁGEN37
CONFIGURACIÓN PARA ESCANEAR SERVIDOR DE BASES DE
DATOS HOSVITAL


IMÁGEN38


encontradas en el servidor de bases de datos del sistema Hosvital.
Como se puede notar en este servidor no está corriendo ninguna

aplicación potencialmente peligrosa y que afecte los servicios del mismo,
Propuesta 78
las vulnerabilidades encontradas son netamente informativas y no

representan riesgo alguno para el equipo.
IMÁGEN39
RESULTADOS OBTENIDOS DEL ANÁLISIS DE VULNERABILIDADES
EN EL SERVIDOR DE BASES DE DATOS HOSVITAL

Propuesta 79
SERVIDOR DE INTRANET ESCANEO DE VULNERABILIDADES
CUADRO 16
CARACTERÍSTICAS DEL SERVIDOR DE INTRANET
Marca Intel

(R) CPU
2.40GHZ
Arquitectura X64
Disco duro 1.TB
Memoria RAM 6GB

IMÁGEN40
CONFIGURACIÓN PARA ESCANEAR SERVIDOR DE INTRANET

Propuesta 80

IMÁGEN41


encontradas en el servidor de Intranet. En este caso solo se puede
encontrar la vulnerabilidad HTTP TRACE/TRACK Methods Allowed
IMÁGEN42

Propuesta 81
Solución a la vulnerabilidad http trace / track methods allowed
Para corregir esta vulnerabilidad simplemente de debe añadir una

línea que TraceEnable Off al final del archivo de configuración de apache.
Se procede a conectar al servidor por medio de Putty y dirigirse a la

ruta de configuración del archivo httpd.conf.
IMÁGEN43
EDICIÓN DEL ARCHIVO DE CONFIGURACIÓN HTTPD

Se edita el archivo de configuración con el comando vi httpd.conf y

agregamos al TraceEnable off al final y se cierra el archivo.
IMÁGEN44
CONFIGURACIÓN DEL ARCHIVO HTTPD.CONF

Y se procede a reiniciar el servicio httpd.
Propuesta 82
IMÁGEN45
REINICIO DEL SERVICIO HTTPD

Aplicación de políticas de hardening a los servidores de la

institución
Conforme a las actividades a realizar en esta etapa se debe tomar en

cuenta que se implementaran políticas de seguridad para 4 servidores con
distintos tipos de funciones y sistemas operativos corriendo detrás de ellos
y que estas políticas se aplicaran conforma a la necesidad y funcionabilidad
que realice cada uno de ellos.
Servidor Aplicaciones Sistema Hosvital
Actividades a realizar en este servidor:
 Pruebas de estrés (ataques DoS) a servidores de Aplicación y Base de

datos del sistema Hosvital.
 Protección del gestor de arranque.
 Protección por medio de SSH al servidor.
 Escaneo y filtrado de puertos innecesarios en el servidor.
Propuesta 83
Protección del gestor de arranque GRUB.
La protección del GRUB (Grand Unified Bootloader), grub se

denomina como un gestor de arranque múltiple, este sistema tiene como
función principal permitir el sistema operativo que se prefiere usar.
Impacto de un gestor de arranque no protegido.
Una persona con acceso al gestor de arranque puede realizar

actividades independientemente de la versión de GRUB con la que trabaje
 Ejecución de comando GNU básicos.

 Acceso a una Shell como root.
 Arranque de un sistema editando las líneas de configuración.(Pérez
C. Á., 2013)
Prueba de estrés a servidores de base de datos y aplicación del

sistema Hosvital
En este apartado se someterá a ambos servidores a una prueba de
ataque (DoS) de manera controlada pues se ha realizado un espejo de
ambos servidores para realizar pruebas de este tipo y no inhabilitar el
servicio permanente dado que algún error podría denegar el servicio del
sistema durante un tiempo considerable lo cual afectaría de manera directa
las actividades de la institución.
Se procede a realizar un ataque de tipo SYN FLOOD, pues son

ataques que resultan muy efectivos a la hora de obtener un objetivo a atacar
esto debido a la arquitectura del protocolo TCP, ya que un cliente necesita
realizar el popular tree-way handshake para comenzar a enviar datos y es
paso inicial para radicar ataques de tipos SYN FLOOD.
Este tipo de ataque es posible debido a la forma en la que funcionan
las conexiones TCP. Cuando un extremo desea iniciar una conexión contra
Propuesta 84
otro equipo, inicia la conversación con un 'SYN', el otro extremo ve el SYN

y responde con un SYN+ACK, finalmente el extremo que empezó la
conexión contesta con un ACK y ya pueden empezar a transmitir datos.
Este ataque consiste en empezar con un número especialmente alto

de inicios de conexión que nunca son finalizados, dejando al servidor a la
espera del ack final, y por tanto consumiendo recursos de forma
desproporcionada. Existen muchas herramientas escritas en todo tipo de
lenguajes para hacer un ataque de tipo Syn Flood y no se requiere especial
habilidad para llevar a cabo un ataque de ese tipo. (Replicante, 2012).
IMÁGEN46
CONEXIÓN TREE-WAY HANDSHAKE
FUENTE: http://castilloinformatica.com/wiki/images/c/c7/300px-Tcp-handshake.png
Se realiza el ataque mediante la herramienta hping que es una

herramienta en línea de comandos que nos permite crear y analizar
paquetes TCP/IP, y como tal tiene muchas utilidades: hacer testing de
firewalls, escaneo de puertos, redes y provocar ataques mediante
denegación de servicio (DoS)
Propuesta 85
El comando que se utiliza para realizar el ataque es el siguiente:
hping3 -p numero_de_puerto -S --flood ip_victima
-p Puerto a atacar
-S activa el flag Syn
--flood le indica a hping que envíe los paquetes a la máxima velocidad

posible
ip_victima es la ip o dominio a atacar
también se puede hacer uso del comando --rand-source para que la

ip de origen del ataque sea lanzada de manera aleatoria.
Teniendo estos parámetros listos es posible realizar el ataque de

denegación de servicio al servidor de aplicaciones y de Bases de datos del
sistema hosvital
Primeramente, se debe conocer que puertos están abiertos en dichos

servidores para lo cual se utilizará la herramienta Nmap de Kali Linux.
-sV esta opción permite traer todos los datos del equipo a atacar en
base a la versión de sistema operativo que ejecutan
Ip_victima ip o dominio a atacar.

Propuesta 86
IMÁGEN47
SCANEO CON NMAP SERVIDOR DE APLICACIONES HOSVITAL

En este apartado Nmap muestra los puertos abiertos, el software y la

versión ejecutado por el mismo, parámetros que inicialmente no deberían
ser mostrados pues representan una brecha de seguridad porque un xploit
que trabaje bajo esa versión de sistema operativo puede dar acceso a un
atacante. O como se realiza en este caso conociendo el puerto abierto se
puede realizar un ataque DoS.
Una vez que ya se conoce el puerto y la ip de destino se procede a

realizar el ataque DoS
El comando a utilizar será # hping3 --rand-source –p 80 –S –flood

192.168.21.130
Propuesta 87
IMÁGEN48
ATAQUE DOS MEDIANTES HPING

.En la imagen se puede observar que una vez detenido el ataque DoS
se han enviado aproximadamente 1837072 paquetes de tráfico.
Posteriormente se procede a observar el uso del procesador mediante

el comando top ejecutado en una consola del sistema y se puede observar
como se provoca la denegación de servicio en el equipo debido a que el
procesador eleva su uso al trabajar al 89.5%, esto se debe a al incremento
de paquetes que es enviado directamente hacia el equipo víctima,
provocando que el equipo trabaje en toda su capacidad y no esté en
capacidad en atender todas las peticiones solicitadas
IMÁGEN49
USO DE LA HERRAMIENTA TOP

Propuesta 88
Y cuando se trata de acceder al, sistema Hosvital se puede observar

mensajes parecidos al siguiente.
Pues debido a la inundación de la pila TCP/IP y consecuentemente
por el uso desmedido de los paquetes enviados al procesador no es posible
ni siquiera mover el cursor en el sistema.
IMÁGEN50
INTENTO DE CONEXIÓN FALLIDA AL APLICATIVO HOSVITAL
ASISTENCIAL

También se ha aplicado el uso de un sniffer como wireshark para

capturar y analizar el tráfico enviado a la ip de la víctima.
El primer paso debe ser elegir la interfaz de red para capturar el tráfico
directamente a través del segmento de red dónde se encuentran conectada
la máquina virtual de pruebas con la ip 192.168.253.129 esta ip cambio
respecto a la ip 192.168.21.130 debido a que las pruebas se venían
realizando con dos redes diferentes.
Propuesta 89
IMÁGEN51
SELECCIÓN DE INTERFAZ DE RED EN WIRESHARK

Se puede verificar que el adaptador de red perteneciente a VMnet8

se encuentra en el mismo segmento de red que la ip del servidor de
aplicaciones hosvital, entonces se marca la casilla Promiscuos y se
presiona la opción Start para que empiece a capturar todo el tráfico
generado en esa interfaz.
IMÁGEN52
CAPTURA DE TRÁFICO CON WIRESHARK

Propuesta 90
Automáticamente se empieza a capturar el tráfico generado por el

ataque SYN FLOOD donde se encuentran los siguientes parámetros de
visualización:
No. - Indica la secuencia en la que es capturado el paquete
Time. – Tiempo en que se tarda la captura del paquete una vez es

generado
Source. – Fuente de donde parte el paquete
Destination. – Destino a donde se dirige el paquete
Protocol. – Protocolo en capturado
Length. – Longitud del paquete
Info. – Información y detalles del paquete capturado
Todos los paquetes son generados de manera inmediata, se puede

observar en el parámetro Info como se generan todas las peticiones donde
se puede visualizar el proceso de inicios de conexión los cuales no son
finalizados debido a que el procesador no puede atender la gran demanda
de inicios de conexión, lo cual hace que eleve su uso de manera desmedida
ya que nunca se genera la respuesta del ACK final para cerrar la
comunicación.
Los ataques de DOS que utilizan la técnica de inundación SYN pueden

ser realmente complicados, si el sistema Linux no se endurece para luchar
contra ellos. Si bien algunas reglas de firewall pueden ayudar a mitigar estos
Propuesta 91
ataques, lo mejor que puede hacer es endurecer su núcleo contra este tipo de
ataques.
Para mitigar esta vulnerabilidad se debe editar el fichero de configuración

sysctl.conf mediante el comando vi /etc/sysctl.conf
IMÁGEN53
EDICIÓN DEL ARCHIVO SYSCTL.CONF

Se busca la línea “net.ipv4.tcp_syncookies" y se configura en valor “1”

para activar las cookies syn
También se configura un límite superior para la variable de cola de

retraso
Y se minimiza el tiempo de espera la respuesta SYN-ACK.
IMÁGEN54
CONFIGURACIÓN DEL ARCHIVO SYSCTL.CONF

Propuesta 92
Posteriormente a esto se aplican los cambios con el comando sysctl -p
IMÁGEN55
APLICACIÓN DE CAMBIOS EN SYSCTL

Después de configurar el archivo sysctl.conf, el servidor será mucho

más seguro ante ataques SYN FLOOD debido a que se establecieron
políticas para restringir el número de peticiones al servidor.
Configuración del GRUB en el servidor de aplicaciones Hosvital
Como primer punto se debe buscar el archivo de configuración del

Grub, ubicado en la ruta /boot/Grub/.
Propuesta 93
IMÁGEN56
ARCHIVO MENU.LST
Fu ente: Hos pi tal de Es peci alida de s Dr . Abel Gil ber t Pontón

El archivo de configuración del Grub donde se guardan todos los

cambios es en el denominado menu.lst
Antes de empezar se realiza un respaldo del archivo de configuración
del menú de Grub con el Siguiente comando: cp menu.lst
/boot/Grub/menu.lst.backup
IMÁGEN57
RESPALDO DEL ARCHIVO MENU.LST

Y así es como queda finalmente la copia del archivo como se puede

ver se ha creado un archivo adicional menu.lst.backup.
Propuesta 94
Para dar mayor seguridad al sistema se utilizará un hash en formato

md5 y la contraseña no quede en texto plano dentro del archivo de
configuración del Grub Una vez realizado este paso, se procede a acceder
al Grub del sistema con el comando Grub.
IMÁGEN58
HASH DE SEGURIDAD

Una vez en la consola del Grub, se procede a ejecutar el comando

md5cryp que pedirá se ingrese una contraseña para hacer un hash en
formato md5 y esta contraseña será la que se escribirá en el archivo de
configuración del Grub.
Propuesta 95
IMÁGEN59
HASH DE SEGURIDAD MD5CRYPT

Mediante el comando vi menu.lst se edita el archivo de configuración

del Grub.
IMÁGEN60
EDICIÓN DEL ARCHIVO DE CONFIGURACIÓN DEL GRUB

Y se agrega la línea:
Propuesta 96
password –md5 $1$iX/oX/$hg4jZ3cjzy90BglnqvQOF0 y el hash

otorgado por la herramienta md5crypt luego de añadir esta configuración
se guardan los cambios presionando la tecla esc :wq
IMÁGEN61
CONFIGURACIÓN DEL GRUB

Se procede a reiniciar el servidor por medio del comando shutdown

–r now
IMÁGEN62
REINICIANDO SISTEMA HOSVITAL

Propuesta 97
Posteriormente, cuando el servidor inicia nuevamente sus servicios, o

se trata de editar la línea para acceder al Grub solicitará la contraseña
establecida en el archivo de configuración.
IMÁGEN63
INGRESANDO CONTRASEÑA DEL GRUB

Fortificación del protocolo SSH
SSh, Secure Shell, es uno de los protocolos de mayor interés con los
que se cuentan en el momento de administrar un sistema debido a que
permite acceder a otros sistemas de manera remota y además de forma
segura proporcionando al administrador una gestión completa de los
equipos remotos mediante los túneles SSH, sin embargo, en muchas
ocasiones la aplicación simplemente se descarga desde los repositorios y
se instala, más no se realiza ningún tipo de configuración o endurecimiento
para proteger la información que viaja por los túneles SSH, precisamente
Propuesta 98
esa configuración es la que se realizará en el servidor de aplicaciones

Hosvital.
Fortificación a directivas básicas
En este apartado se especifican las directivas básicas para la

configuración y mejora de seguridad en el servicio ssh. Priorizando
actividades de hardening sobre ficheros de configuración como sshd_config
y ssh_config.
Para configurar el servicio ssh se debe ingresar a la ruta # cd /etc/ssh/

y con el comando ls –a se muestran todos los archivos y las llaves públicas
y privadas del demonio sshd.
IMÁGEN64
RUTA DEL ARCHIVO DE CONFIGURACIÓN SSH

Posteriormente se procede con la edición del primer fichero mediante

el comando vi shhd_config.
Las opciones a configurar serán:

Propuesta 99
 PermitRootLogin. - Con esta directiva se prohíbe que un usuario se

loguee en el servidor con el usuario root. De este modo se evita ataques
de fuerza bruta al usuario root, o por si otra vía se consigue la clave de
root no se podrá acceder al sistema vía SSH. De este modo un usuario
que se administrador deberá en primer lugar loguearse como usuario y
después cambiar a root o utilizar sudoer.
 MaxAuthTries. - Esta directiva evita que los ataques de fuerza bruta
puedan estar probando indefinidamente credenciales. Limitar los
intentos a un número bajo ayuda a evitar los ataques de diccionario. Si
una vez se limita el número de intentos que indica la directiva y no se
ha podido loguear en el sistema, este abortará la conexión. Para poder
habilitar esta directiva se debe especificar el número de intentos, en este
caso será limitado a 3.
 LoginGraceTime. - Esta directiva indica el tiempo máximo, en
segundos, para introducir las credenciales en la autenticación. Se
aconseja utilizar tiempos bajos entre 30 o 45 segundos.
 TCPKeepAlive. - Esta directiva se deshabilita para evitar ataques de
tipo Spoofing suplantación de ip.
 PubKeyAuthentication. - Esta directiva cuando se establece en valor
yes, el servidor permitirá autenticación de usuarios mediante el uso de
clave pública, esta directiva representa un importante grado de
seguridad para el servidor.
 AuthorizedKeysFile. – Esta directiva indica al servidor donde se
encuentran almacenadas las claves públicas de los usuarios.
 PasswordAuthentication. – si esta directiva se activa en valor yes,
entonces el servidor permite la autenticación de usuarios por medio de
contraseñas. Caso contrario no aceptará ninguna contraseña y solo el
uso de claves públicas y privadas.
 PrintLastLog. – esta directiva permite registrar el último inicio de sesión
del usuario.
Propuesta 100
 Se procede a editar el fichero de configuración se cambian los valores

establecidos en las directivas y se quita el signo # para descomentar las
directivas.
IMÁGEN65
CONFIGURACIÓN DEL ARCHIVO SSHD_CONFIG

IMÁGEN66

Propuesta 101
IMÁGEN67

IMÁGEN68

Una vez realizados los cambios, se procede a guardar los cambios y

recargar el servicio con el comando # /etc/init.d/sshd restart.
Propuesta 102
IMÁGEN69
REINICIO DEL SERVICIO SSHD

Adicionalmente se fortifica el servidor mediante el uso clave pública y

privada para configurar el acceso a los usuarios que permitiendo sacar el
máximo provecho al servicio SSH.
Este tipo de autenticación es una de las medidas más seguras que se

pueden tomar en torno a este servicio, el uso de claves públicas y privadas
consiste en que el cliente solicite autenticación al servidor y este le muestre
los distintos métodos disponibles. Si la autentificación por clave pública se
encuentra habilitada el servidor cifrará un mensaje con la clave pública del
usuario que requiere el acceso, si este es capaz de contestar el desafío
estará demostrando al servidor que es quien dice ser, o al menos que este
en posesión de la clave privada que contesta el desafío al servidor.
Generación y autenticación con la clave pública.
Para llevar a cabo este proceso, se utilizará la herramienta ssh-

keygen ejecutada en la terminal, esta instrucción generará un par de claves
por defecto, la clave pública que será que se debe copiar en el servidor de
aplicaciones Hosvital, y la clave privada que es la que se guardará en el
cliente que requiera conectarse a dicho servidor. Por motivos de seguridad,
solo el administrador de red tiene acceso a conectarse al sistema Hosvital
Propuesta 103
quien cuenta con un equipo que toma el rol de cliente para acceder al
servidor y será el equipo utilizado por esta persona donde se descargarán
las claves públicas y privadas.
Generación de las claves en el cliente:
En esta opción se procede a escribir en la terminal del equipo cliente

el comando ssh-keygen –b 4096 para generar claves tipo RSA con 4096
bits, se indica el directorio por defecto donde se almacenan las claves y si
se quiere incluir una contraseña o PIN para proteger la clave pública.
En este caso se ha procedido a proteger la clave privada con un PIN,

posteriormente con el comando ls –a se pueden ver las claves generadas.
IMÁGEN70
GENERAR CLAVES PÚBLICAS Y PRIVADAS

Una vez se dispone de la clave pública y privada para autenticación

del usuario creada, se debe realizar la copia de la clave pública al servidor
de aplicaciones Hosvital. Con el comando:
Propuesta 104
#scp./id_rsa.pubHosvital@192.168.21.130:/home/Hosvital/Escrit
orio
Se utiliza este comando accediendo al Usuario Hosvital debido a que

no se tiene acceso al usuario root ya que esa fue una de las políticas que
se establecieron en el archivo de configuración del servicio SSH.
IMÁGEN71
COPIA DE CLAVE PÚBLICA A SERVIDOR DE APLICACIONES
HOSVITAL

Una vez se ha realizado la copia del archivo hacia el servidor se
deberá crear dentro de la raíz la carpeta ssh y dentro de ella se creará el
archivo athorized_keys que será el que contendrá la clave pública.
IMÁGEN72
CREAR ARCHIVO AUTHORIZED_KEYS

Propuesta 105
Se copia la clave id_rsa.pub al archivo authorized_keys y se borra el

archivo copiado al servidor.
IMÁGEN73
CONFIGURACIÓN DE ARCHIVE AUTHORIZED_KEYS

Se puede visualizar el archivo authorized_keys y donde se puede

observar cómo ha sido incrustada la clave pública dentro del mismo.
IMÁGEN74
CONFIGURACIÓN DE ARCHIVE AUTHORIZED_KEYS

Propuesta 106
Tras subir la clave pública al servidor y copiar su contenido al fichero

authorized_keys ya se dispondrá la autentificación mediante la clave
pública. Como se visualiza a continuación, el acceso ya se realiza a través
de la autenticación mediante este tipo y pide la contraseña que se utilizó
para generar la clave pública, que no es la misma contraseña del root o
contraseña del usuario Hosvital.
IMÁGEN75
CONEXIÓN MEDIANTE CLAVES PÚBLICAS Y PRIVADAS EN SSH

Al aplicar esta medida de seguridad ya no se puede acceder a la

consola del servidor de aplicaciones hosvital, tan solo logueandose con las
credenciales de usuario y contraseña del mismo servidor o conectándose
por medio del protocolo SSH, pero solo desde el equipo que utiliza el
administrador de red, la clave pública puede ser repartida por todos los
servidores o máquinas a los que se desee acceder mediante este tipo de
autenticación. Al contrario, la clave privada generada del lado del cliente
debe ser protegida en un fichero con las mínimas copias de seguridad
posibles ya sea en un medio externo.
Y esto sucede cuando se trata de loguear por medio de contraseña

utilizando el protocolo SSH.
Propuesta 107
Debido a que la autenticación por contraseña no está permitida a no

ser que el cliente que intente conectarse al servidor posea la clave privada.
IMÁGEN76
CONEXIÓN FALLIDA MEDIANTE CONTRASEÑA VÍA SSH

Mapeo y filtrado de puertos innecesarios
Por medio de la herramienta Nmap de Kali Linux se hace un mapeo

de los puertos que se encuentran abiertos en el servidor y solo se
mantienen habilitados los que realmente sean necesarios.
IMÁGEN77
MAPEO DE PUERTOS EN SERVIDOR DE APLICACIONES HOSVITAL

Propuesta 108
Como se puede observar los puertos 111 y 5900 se

encuentran abiertos, y son puertos que no se usan dentro del
servidor ya que solo se necesita apache para la utilización del
sistema Hosvital y Open SSH para conexiones remotas, Cups para
la administración de impresoras del sistema hosvital
adicionalmente el puerto 80 correspondiente a Apache se
encuentra abierto mostrando información de la versión utilizada en
apache en dicho computador.
Entonces se deben cerrar los puertos:
111/tcp rpcbind. - es un protocolo que permite a un programa de

ordenador ejecutar código en otra máquina remota sin tener que
preocuparse por las comunicaciones entre ambos.
5900 tcp VNC. – es un protocolo que permite enviar

conexiones remotas desde un pc a otro dentro de la misma red.
Se debe cerrar los puertos 111 y 5900 desde el servidor de

aplicaciones hosvital.
IMÁGEN78
CERRANDO PUERTOS EN SERVIDOR DE APLICACIONES HOSVITAL

Propuesta 109
Configurando banner del servidor de Apache.
Esto podemos solucionarlo llegando al fichero de configuración y

buscando el parámetro ‘ServerSignature’ en el directorio de instalación de
Apache. Por defecto lo encontraremos como 'On’, cosa que cambiaremos
y estableceremos ‘Off’ para evitar este inconveniente que hemos
encontrado.
IMÁGEN79
RUTA DE APACHE

IMÁGEN80
CONFIGURACIÓN BANNER MOD APACHE

IMÁGEN81
CONFIGURACIÓN BANNER MOD APACHE

Propuesta 110
Para que los cambios se apliquen se debe reiniciar el servidor apache
IMÁGEN82
REINICIANDO APACHE

Nuevamente se realiza el proceso de escaneo de puertos y se púede

ver como los puertos 5900 y 111 están filtrados, de esta manera no pasa el
tráfico por dichos puertos, y también ya no se muestra la versión de apache.
IMÁGEN83
NMAP SOBRE SERVIDOR DE APLICACIONES HOSVITAL

Propuesta 111
Servidor institucional Intranet.
 Hardening al entorno de desarrollo LAMP. (Apache, Mysql PHP)

 Configuración del gestor de arranque Grub
 Escaneo de puertos con NMAP.
Lamp son las siglas con las que se identifica a una infraestructura de
servidor para alojar aplicaciones web. El nombre proviene de la unión de
LINUX, APACHE, MYSQL Y PHP; componentes que corresponden al
sistema operativo, servidor web, servidor de bases de datos es intérprete
de scripts en PHP. Las estadísticas que a día de hoy son los elementos
más utilizados en servidores que alojen aplicaciones web, en este apartado
se proporcionaran parámetros y mecanismos de seguridad para proteger el
entorno de desarrollo del servidor de intranet donde se encuentra alojado
el sistema web de intranet.
IMÁGEN84
SISTEMA DE INTRANET DEL HOSPITAL DE ESPECIALIDADES DR.
ABEL GILBERT PONTÓN
Fue nte: http://intranet.h ospi talgua yaq uil.go b.ec/

Propuesta 112
SEGURIDAD A MYSQL
Una vez que se cuente con la instalación del gestor de bases MYSQL
se puede configurar y establecer mecanismos de seguridad, de por si
MYSQL ya es bastante seguro en su instalación, pero se puede ejecutar un
script que se encargue de asegurar determinados aspectos de MYSQL.
mysql_secure_installation.
Este script en concreto busca usuarios anónimos, establece el

password del usuario administrador, elimina las bases de datos test.
Se ejecuta el script mysql_secure_installation en la consola del

servidor
Como primer apartado de seguridad se establecerá una clave para el

usuario root
IMÁGEN85
MYSQL SECURY INSTALLATION

Propuesta 113
Por defecto cuando mysql se instala tiene una base de datos llamada
prueba, a la que cualquiera puede tener acceso, esto antes de entrar a un
entorno de producción es recomendable que se elimine, si se va a utilizar
una tabla de pruebas es recomendable crear una con otro nombre.
IMÁGEN86
ELIMINAR BASES DE DATOS DE PRUEBA

Por defecto, una instalación de MySQL tiene un usuario anónimo, lo que

permite a cualquier persona iniciar sesión en MySQL sin tener que tener
una cuenta de usuario creada, esta es otra medida que debe ser tomada
en cuenta y eliminar esos usuarios en un entorno de producción.
IMÁGEN87
ELIMINAR USUARIOS ANÓNIMOS EN MYSQL

El usuario root, solo debe autenticarse desde el localhost, tomar en

cuenta esta medida evita que alguien pueda intentar adivinar la contraseña
mediante un ataque de fuerza bruta. Por lo cual se deshabilita el login del
usuario root de manera remota.
Propuesta 114
IMÁGEN88
DESHABILITANDO USUARIO ROOT DE MANERA REMOTA

Posteriormente recargar los privilegios de las tablas asegura que los

cambios realizados hasta el momento se guarden.
IMÁGEN89
RECARGANDO PRIVILEGIOS DE TABLAS EN MYSQL

PHP
En diversas ocasiones un sistema publica aplicaciones PHP que son

desarrolladas por terceras personas, si bien es cierto estas funcionan en
medida de lo que se les pide automatizar, pero no siempre un desarrollador
utiliza los métodos y medidas de seguridad correctos por falta de tiempo o
conocimiento.
Propuesta 115
Para tratar de controlar determinados aspectos de PHP existen

parámetros para modificar el comportamiento de este intérprete.
Por ejemplo, expose_php
Normalmente cuando un atacante inspecciona un sistema remoto en

busca de vulnerabilidades es normal que se realicen técnicas de
fingerprinting o escaneo de una vulnerabilidad. En este caso se realizó un
escaneo con la herramienta Nmap y arrojó los siguientes resultados:
IMÁGEN90
NMAP A SERVIDOR DE INTRANET

Evidentemente se puede ver fácilmente la versión de PHP utilizada,

para evitar que esa información sea pública es posible evitar que esa
cabecera sea enviada, mediante la edición en el fichero /etc/php/php.ini
expose_php
Propuesta 116
IMÁGEN91
CONFIGURACIÓN DE BANNER MOD EN PHP

display_errors
EN fase de desarrollo, cuando se está creando una aplicación y

depurando su funcionamiento resulta vital obtener mensajes de errores y
alertas; sin embargo, en un entorno de producción no debería mostrarse
esa información. Son muchos los sitios web que revelan información de
manera sensible cuando se fuerzan errores manipulando parámetros de la
aplicación de manera inesperada para deshabilitar la salida de errores el
parámetro display_errors debes estar con estado off.
IMÁGEN92
CONFIGURACIÓN PHP DISPLAY ERRORS

Propuesta 117
Disable_funtions
Determinadas funciones de PHP pueden ser deshabilitadas. Esto

puede resultar en situaciones de las que un atacante consigue insertar un
tipo de shell en el contexto de una aplicación web. Denegando el acceso a
determinadas funciones se podrá limitar el impacto del ataque.
Esta configuración también es realizada en el archivo php.ini.
IMÁGEN93
CONFIGURACIÓN PHP DISABLE_FUNTIONS

Deshabilitar RFI
En PHP existe la posibilidad de incluir recursos externos a la propia

máquina donde se está ejecutando la aplicación web. En ocasiones los
programadores desarrollan mal un script que mediante métodos GET y
POST permitirán la inclusión de código malicioso por parte de un atacante.
Propuesta 118
Existen dos opciones para deshabilitar este comportamiento, tanto para

incluir código de un script, como para que sean habilitados.
IMÁGEN94
CONFIGURACIÓN PHP DESHABILITAR RFI

Apache
Deshabilitando información ofrecida por el servidor.
Normalmente cuando se realiza una petición al servidor web de

apache muchas veces se deja por defecto la instalación y las cabeceras
que muestra al dar una respuesta se muestra la información sobre la
versión de Apache, PHP, etc, de igual manera sucede cuando se fuerza un
erro de página inexistente, que dependiendo de la versión se mostrará la
versión del software y las principales características instaladas.
Para evitar situaciones como esa se modificarán un par de parámetros

en la configuración del servidor. Realmente no ofrecen seguridad como tal,
pero si permite dificultar la labor de un posible atacante.
Propuesta 119
Se procede a realizar un Scaneo del servidor donde se puede evr la

versión de apache y otros puertos que se encuentran abiertos y deben
cerrarse.
IMÁGEN95
NMAP SERVIDOR DE INTRANET

En el fichero #/etc/httpd/conf/httpd.conf existen dos directivas

llamadas ServerTokens y ServerSignature con valores OS y On
respectivamente. La idea es que queden de la Siguiente manera:
ServerToken ProductOnly
ServerSignaturre Off
IMÁGEN96
CONFIGURACIÓN DE APACHE SERVER TOKENS

Propuesta 120
IMÁGEN97
CONFIGURACIÓN DE APACHE SERVER SIGNATURE

También, el puerto 111/tcp se encuentra abierto con el servicio

rpcbind un protocolo que permite a un programa de ordenador ejecutar
código en otra máquina remota sin tener que preocuparse por las
comunicaciones entre ambos.
IMÁGEN98
CERRANDO PUERTO 111/TCP

Posteriormente al hacer un escaneo con Nmap se muestra el

siguiente resultado:
Propuesta 121
IMÁGEN99
NMAP SERVIDOR DE INTRANET

Como se puede ver en el servicio http ya no muestra la versión al

hacer un escaneo de puertos con Nmap y también el puerto 111 se
encuentra filtrado y no pasa tráfico a través de este.
Configuración del Grub en el servidor de la Intranet Instituicional

Propuesta 122
IMÁGEN100
ARCHIVO MENU.LST

El archivo de configuración del Grub donde se guardan todos lso

IMÁGEN101


Propuesta 123

IMÁGEN102
HASH DE SEGURIDAD


IMÁGEN103

Propuesta 124

del Grub
IMÁGEN104

Y se agrega la línea
password $1$Nspka/$4E9jy./jdqHoA2VJzpMpf. y el hash otorgado

por la herramienta md5crypt luego de añadir esta configuración se guardan
los cambios presionando la tecla esc :wq
IMÁGEN105

Propuesta 125

–r now
IMÁGEN106
REINICIANDO SISTEMA DE INTRANET


IMÁGEN107

Servidor De Bases De Datos Hosvital.
 Seguridad para el servicio Postgresql

Propuesta 126
 Escaneo de puertos con NMAP.

 Seguridad para gestor de arranque Grub.
Configuración de PostgreSQL.
Por defecto la configuración del control de acceso viene restringida a
conexiones locales y niega cualquier conexión remota, por lo que debemos
ir habilitando una serie de permisos para conceder dicho acceso.
IMÁGEN108
EDITANDO ARCHIVO DE CONFIGURACIÓN DE POSTGRESQL

Se deben buscar los siguientes parámetros y establecerlos en el

archivo de configuración.
listen_addresses = '*'
port = 5432
password_encryption = on
IMÁGEN109

Propuesta 127
IMÁGEN110

Configuración de acceso remoto al servidor de bases de datos se

configura de manera que todas las bases de datos tengan acceso, de
misma manera que los usuarios que se conectan a esta, las direcciones
también se establecen por segmentos de red indicando que partes de la
red van a estar contempladas para la conexión, los métodos siempre en
MD5, normalmente por defecto se encuentran en TRUST pero no es
recomendable pues al configurar los métodos por medio de MD5 se ofrece
mayor seguridad.
IMÁGEN111

Propuesta 128
Escaneo de puertos con NMAP en servidor de bases de datos
Se realiza el escaneo de puertos y nuevamente se puede ver el puerto 111

abierto en los servidores de la institución por lo cual se debe filtrar y cerrar
el tráfico hacia este puerto.
IMÁGEN112
ESCANEO DE PUERTOS EN SERVIDOR DE BASES DE DATOS

IMÁGEN113
CERRAR PUERTO 111 SERVIDOR DE BASES DE DATOS HOSVITAL

Una vez cerrado el puerto 111 se procede nuevamente a realizar un

escaneo del servidor de bases de datos y se puede observar que ya se
encuentra filtrado el tráfico hacia este puerto.
Propuesta 129
IMÁGEN114
ESCANEO DE PUERTOS SERVIDOR DE BASES DE DATOS
HOSVITAL

Configuración del Grub en el servidor de la Intranet Institucional

IMÁGEN115
ARCHIVO MENU.LST

El archivo de configuración del Grub donde se guardan todos lso


Propuesta 130
IMÁGEN116



IMÁGEN117
HASH DE SEGURIDAD

Propuesta 131

IMÁGEN118


del Grub
IMÁGEN119

Propuesta 132
Y se agrega la línea:
password $1$Nspka/$4E9jy./jdqHoA2VJzpMpf. y el hash otorgado

por la herramienta md5crypt luego de añadir esta configuración se guardan
los cambios presionando la tecla esc :wq
IMÁGEN120


–r now
IMÁGEN121
REINICIANDO SISTEMA DE INTRANET

Propuesta 133

IMÁGEN122

3.3 Impacto
El realizar, análisis de vulnerabilidades e implementación de políticas

de hardening a los servidores de la red institucional del Hospital de
Especialidades Guayaquil Dr. Abel Gilbert Pontón representa un gran factor
de aporte benéfico para la institución, pues se permite conocer a que
riesgos se encuentra expuesto en su totalidad ya su vez se permite
mitigarlos de manera preventiva y correctiva, dando como resultado la
continuidad y mejora del servicio, evitando ataques de posibles piratas
informáticos, de esta manera se aceleran los tiempos de respuesta y
salvaguardando la información. De esta manera se mantienen los principios
básicos de seguridad informática como es la integridad y confidencialidad
de la data.
Propuesta 134
3.4 Conclusiones
La implementación de este proyecto para el Hospital de

Especialidades Guayaquil Dr. Abel Gilbert Pontón genera un beneficio
operativo, económico y social para la institución ya que se evita el costo de
lo que significaría contratar una empresa que ofrezca servicios de auditoría,
de esta manera la información a la que se accede se mantendrá siempre
disponible en cuanto sea requerida evitando interrupciones en el servicio y
aportando beneficios a los pacientes que acuden a la institución en busca
de mejorar su salud.
La implementación de este proyecto se adapta a las necesidades

tomadas en las encuestas y entrevistas realizadas al personal médico y al
administrador de red de la institución, la implementación de este proyecto
cumple con los objetivos específicos en primera instancia analizando las
amenazas en los servidores, generando un informe y detallando como
afectan las mismas a la seguridad de los servidores, y como proceso final
se implementan prácticas de hardening al software ejecutado por cada uno
de los servidores analizados.
Como ventaja se puede indicar que se utilizaron recursos propios de

la institución y herramientas de software libre para llevar a cabo la mayoría
de las tareas implementadas en este proyecto, evitando el costo económico
para la institución.
3.5 Recomendaciones
Que los servidores de la institución se mantengan actualizados en su

totalidad, pues gran parte de los problemas de seguridad en una red se
debe por la utilización de herramientas descontinuadas que están
vulnerables a un xploit desarrollados para una versión específica de
Propuesta 135
software o muchas de estas herramientas ya no se les brinda el soporte por

parte de su desarrollador.
También se recomienda brindar mantenimientos preventivos de

manera periódica en cuanto a monitorización de Logs en los servidores,
revisar el estado del hardware (Discos duros, memoria RAM), revisión del
voltaje y carga eléctrica dentro del Datacenter, realizar procesos de
respaldo de configuraciones aplicadas a los servidores.
Que se implementen auditorías constantes revisando la vulnerabilidad

de los servidores, buscando brechas de seguridad y corrigiéndolas con
parches y actualizaciones, con la finalidad de lograr la correcta gestión de
los sistemas y monitorización de los mismos.
GLOSARIO DE TERMINOS
Hardening. -El término hardening o también llamado endurecimiento,

es el proceso de asegurar un sistema reduciendo sus vulnerabilidades o
agujeros de seguridad.
Internet. -Proviene de las palabras en inglés Interconnected Networds

que significa redes interconectadas, de lo que se puede definir que es la
unión de todas las redes y computadoras distribuidas a nivel mundial y se
relacionan entre sí mediante la utilización del protocolo TCP/IP, compatible
entre sí.
Servidor. -Equipo informática el cual mediante la red provee el

servicio a otras máquinas denominadas cliente.
Auditoria de red. –La auditoría de red se centra en evaluar la

seguridad de los sistemas de protección perimetral, ante la posibilidad de
recibir ataques por parte de un hacker o personal interno dentro de la
empresa.
Vulnerabilidad. –Se denomina vulnerabilidad a una debilidad en un

sistema que abre una brecha de seguridad y potencialmente puede ser
usada para causar desperfectos dentro del sistema.
Virus. –Software desarrollado específicamente para realizar una

actividad maliciosa en dispositivo que funcione con un sistema informático.
Glosario de Términos 137
Sistemas de gestión normalizados. –Estos sistemas han sido

establecidos para contribuir a la gestión de procesos generales o
específicos dentro de una organización.
Normas ISO. -Las normas ISO son documentos que especifican

requerimientos esenciales que son adoptados por organizaciones para
garantizar la calidad de los productos ofrecidos por dichas organizaciones.
Hacker. -Persona con avanzados conocimientos en el campo

informático pues tiene un desempeño extraordinario en dicha área y puede
realizar actividades desafiantes e ilícitas desde un ordenador con conexión
a internet.
Tic’s. – Denominada Tecnología de información y comunicaciones

por medio de sus siglas abarcando todo lo que conforme a tecnología y
sistemas que permitan la comunicación entre diversas áreas dentro de una
organización.
Kali Linux. – sistema operativo que cuenta con una amplia variedad
de herramientas para realizar auditorías a sistemas informáticos.
Terminal. –Esta herramienta es una consola de comandos que no

consta de ninguna interfaz gráfica y permite manejar el sistema en todos
los aspectos.
Servicios. – se denomina servicio o demonio a un programa que se

ejecuta en segundo plano trabajando de forma interactiva de los usuarios
del sistema y que carece de interfaz gráfica.
Glosario de Términos 138
Tráfico de red. - El tráfico de red es la cantidad de datos que se

envían por medio de una ruta para ingresar y salir de un sistema por medio
de una interfaz de red.
Wireshark. – es un analizador de protocolos utilizado para realizar

análisis del comportamiento del tráfico de red y que a su vez permite
solucionar problemas dentro de las redes de comunicaciones.
TCP/IP.-Protocolo de internet, es un conjunto de reglas de diseño para

la comunicación de datos entre equipos dentro de la red, viene del inglés
Transmission Control Protocol / Internet Protocol.
ANEXOS
Anexos 140
Anexos 141
Encuesta de percepción y medición de la Comunicación Interna del

Hospital de Especialidades Guayaquil “Dr. Abel Gilbert Pontón “
Objetivo:
El objetivo de la siguiente encuesta es conocer la percepción del

servicio tecnológico que tiene el personal administrativo y asistencial del
Hospital de Especialidades Guayaquil “Dr. Abel Gilbert Pontón”
Por favor llene la siguiente encuesta.
La información proporcionada será utilizada para conocer el

desempeño actual y aceptación que se tiene en base a la efectividad y
eficacia de la red de datos de la institución.
Fecha: 15/Agosto/2017
Datos del Usuario (A)
Edad:
20-30
31-40
41-50
51-60
Mayor 61
Formación Académica:
Primaria
Secundaria
Nivel Superior
Otro /Especifique:
Género: M☐ F☐
Anexos 142
Área en que labora: ___________________
Pregunta 1
¿Cuántas veces a la semana tiene inconvenientes con el acceso a los
sistemas debido a un error en la red? Califique: 1 es “siempre” y 5 es
“jamás”
1 2 3 4 5
O O O O
p p p p
Pregunta 2
¿Cuándo hay un problema con la red y se solicita ayuda del personal
de Tic’s este acude de manera inmediata?
Acude inmediatamente
Tardan en llegar
Estimado de tiempo:
O
15 min 20 min 30 min pMás
Se vuelve a informar del problema para que acudan

Jamás acuden
Pregunta 3
¿La velocidad de navegación en internet es ideal para poder realizar
sus funciones asignadas? Califique: 1 es “Regular” y 5 es “Eficiente”
1 2 3 4 5
Pregunta 4
¿Cuál es el Servicio tecnológico proporcionado por el personal de
Tic’s al que usted con más frecuencia accede?
Sistema Hosvital
Correo electrónico Zimbra
Intranet
Sistema en la nube Owncloud
Pregunta 5
¿Ha tenido problemas de pérdida, de información de su ordenador
debido a algún problema de tipo informático?
No Una vez Muy Seguido Todo el Tiempo

Anexos 143
Pregunta 6
¿Qué medidas cree usted que se deba toma el departamento de Tic’s
para resguardar la seguridad de la información?
Realiza Backup’s periódicamente

Controles de acceso a los servidores
Todas las anteriores
Otro/Especifique: _____________________________________
Pregunta 7
¿En qué debería reforzarse el área de Tic’s para mejorar el servicio

de la red?
☐Más personal
☐Nuevos equipos de cómputo
☐Capacitaciones
☐Todas las anteriores
☐Otro/Especifique: _____________________________________
Pregunta 8
¿Está usted de acuerdo en que se invierta en recursos para la
seguridad de la información? Califique: 1 es “No estoy de acuerdo” y 5 es
“Estoy de acuerdo”
1 2 3 4 5
O O O
p p p
Pregunta 9
¿En qué recursos se debe invertir parta mejorar la seguridad de la
información en la institución?
Realizar charlas de concientización en base a seguridad

informática a los colaboradores de la institución.
Contratar una consultora para evaluar los riesgos a los que se
expone la red institucional.
Capacitación al personal de Tic’s para reforzar, establecer medidas
de seguridad que se adopten actualmente.
Actualización de nuevos equipos de cómputo (Servidores,
Switches, Firewalls)
Otro/Especifique: _____________________________________
Anexos 144
ANEXO 2
CRONOGRAMA DE ACTIVIDADES
Anexos 145
ANEXO 3
AUTORIZACION PARA DESARROLLO DEL PROYECTO
Anexos 146
BIBLIOGRAFÍA
Acunetix. (s.f.). acunetix. Obtenido de acunetix:
https://www.acunetix.com/vulnerabilities/network/vulnerability/report
-default-community-names-of-the-snmp-agent/
BBC. (13 de Mayo de 2017). BBC MUNDO. Obtenido de BBC MUNDO:

http://www.bbc.com/mundo/noticias-39903218
DIARIO ABC, S. (2017). ABC.ES. Obtenido de ABC.ES:

http://www.abc.es/tecnologia/redes/abci-wannacry-ransomware-
tiene-secuestrados-sistemas-telefonica-y-otras-empresas-
201705121910_noticia.html
Excellence, I. (2015). 2015 PMG-SSI. Obtenido de 2015 PMG-SSI:

http://www.pmg-ssi.com/2014/04/iso-27033-seguridad-en-la-red/
Institution, T. B. (2017). Bsigroup. Obtenido de Bsigroup:

https://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-
ISOIEC-27001/
ISOTOOLS. (2016). ISOTOOLS. Obtenido de ISOTOOLS:

https://www.isotools.org/2016/07/07/sistema-gestion-seguridad-la-
informacion-basado-la-norma-iso-27001/
ISOTOOLS. (s.f.). ISO TOOLS. Obtenido de

https://www.isotools.org/2015/01/13/iso-27001-pilares-
fundamentales-sgsi/
Bibliografía 148
Pérez, C. Á. (2013). Gestor de arranque Grub. En C. Á. Pérez, Hardening

a Servidores GNU/Linux (pág. 30). Madrid: Oxword.
Pérez, C. Á. (2013). Hardening a Servidores GNU/LINUX. En C. Á. Pérez,

Hardening a Servidores GNU/LINUX (págs. 19-20). España:
Oxword.
Pérez, C. Á. (2013). Hardening a Servidores GNU/LINUX. En C. Á. Pérez,

Oxword.
Pérez, C. Á. (2015). Hardening de Servidores GNU/Linux. En C. Á. Pérez,

Hardening de Servidores GNU/Linux (págs. 15-16). Madrid: Oxword.
Pérez, I. (29 de Abril de 2015). WeliveSecurity. Obtenido de

https://www.welivesecurity.com/la-es/2015/04/29/vulnerabilidad-
xss-cross-site-scripting-sitios-web/
Pérez, P. Á. (2016). Hardening a Servidores GNU/LINUX. En P. Á. Pérez,

Oxword.
Replicante, L. m. (2012). Gnu linux y cultura geek. Obtenido de

https://lamiradadelreplicante.com/2012/01/24/ataque-ddos-syn-
flood-con-hping3/
Security, B. (2017). Obtenido de Beyond Security:

https://www.beyondsecurity.com/scan_pentest_network_vulnerabilit
ies_apache_http_server_httponly_cookie_information_disclosure
Bibliografía 149
Tenable. (s.f.). Obtenido de Tenable: https://www.tenable.com/pvs-

plugins/7108
Tenable. (13 de 01 de 2016). Tenable. Obtenido de

https://www.tenable.com/plugins/index.php?view=single&id=57792
Vulners. (2017). Obtenido de Vulners:

https://vulners.com/nessus/OPENSSL_CCS_1_0_1.NASL

TESIS BORIS MONTOYA2.1 - Copia1 (2927)

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TESIS BORIS MONTOYA2.1 - Copia1 (2927)

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENIERÍA INDUSTRIAL

DIRECTOR DEL TRABAJO

Yo, Lcda. Aguilera Monteros Silvia Beatriz. En calidad de tutor de

Quien ha cumplido con todos los requisitos legales exigidos por lo

Es todo cuanto puedo decir en honor a la verdad, facultando al

“La responsabilidad del contenido de este Trabajo de Titulación, me

Montoya Olivo Boris José

Dedico este trabajo de titulación a Dios, y a la persona más importante

A mi madre Marisol Olivo Arteaga quien con su persistencia y

Primeramente, a Dios y a mis padres que durante toda mi vida han

1.2 Normas ISO 12

1.2.1 Norma ISO/IEC 27000 12

1.2.3 Norma ISO/IEC 27001 12

1.2.4 ISO/IEC 27002 14

1.2.5 ISO/IEC 27003 14

1.2.6 ISO/IEC 27005 14

1.2.7 Norma ISO/IEC 27033 14

1.2.8 Sistema de gestión de seguridad de información SGSI 15

1.3 Ciclo deming o ciclo PHVA 16

1.4 Seguridad en una organización 17

1.5 Fortificación a entornos de red 18

1.5.1 Elementos para mantener un entorno seguro 19

1.5.2 Estrategias de seguridad 19

1.6 Defensa en profundidad 20

1.6.1 Seguridad en perímetro 20

1.6.3 Seguridad a nivel del servidor 22

1.6.4 Seguridad en la aplicación 22

1.6.5 Seguridad lógica 23

1.6.6 Seguridad física 24

1.7 Mínimo privilegio posible 24

1.8 Mínimo punto de exposición 25

1.9 Procedimientos, concienciación y políticas 25

1.10 Gestión de la seguridad de la información 26

2.1.2 Método de investigación 29

2.1.3 Análisis de investigación 29

2.2 Técnicas para la recolección de datos 30

2.2.1 Instrumentos para la recolección de datos 30

2.2.3.1 Resumen de entrevistas 32

2.2.3.2 Análisis de entrevista 33

2.2.4.2 Análisis e interpretación de resultados en encuestas 36

2.2.4.2.1 Resultados obtenidos de las encuestas realizada 36

2.2.4.2.2 Análisis General De Las Encuestas 48

2.3.1 Desarrollo del proyecto 50

3.2 Solución de la propuesta 53

3.3 Impacto 133

3.4 Conclusiones 134

3.5 Recomendaciones 134

Glosario de terminos 140

1 Planteamiento del problema 8

1 Ciclo de vida deming 17

AUTOR: MONTOYA OLIVO BORIS JOSÉ

DIRECTOR: LCDA. AGUILERA MONTEROS SILVIA MSG.

El presente proyecto de titulación propone la implementación de un

PALABRAS CLAVES: Seguridad, hardening, Implementación,

Montoya Olivo Boris J. Lcda. Aguilera Monteros Silvia, Mgs.

AUTHOR: MONTOYA OLIIVO BORIS JOSÉ

DIRECTOR: LCDA. SILVIA AGUILERA MSG.

The present titration project proposes the implementation of an ISMS

KEY WORDS: Security, hardening, Implementation, Vulnerabilities

Montoya Olivo Boris J. Lcda. Aguilera Monteros Silvia, Mgs.

El presente trabajo de titulación se planteó de tema la implementación

El presente trabajo está conformado por tres capítulos detallados a