TESIS DANNY JOZA Calderon ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING) DE LA INFRAESTRUCTURA DEL SITIO WEB - 0

UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE INGENERÍA INDUSTRIAL

DEPARTAMENTO ACADÉMICO DE TITULACIÓN
TRABAJO DE TITULACIÓN
PREVIO A LA OBTENCION DEL TÍTULO DE
LICENCIADO EN SISTEMAS DE INFORMACIÓN
ÁREA
REDES Y SEGURIDAD
TEMA
ASEGURAMIENTO Y ENDURECIMIENTO
(HARDENING) DE LA INFRAESTRUCTURA DEL
SITIO WEB DE LA CORPORACIÓN REGISTRO CIVIL
DE GUAYAQUIL.
AUTOR
JOZA CALDERÓN DANNY JOHN
DIRECTOR DEL TRABAJO

ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.
2018
GUAYAQUIL – ECUADOR
ii
DECLARACIÓN DE AUTORÍA
“El contenido de este Trabajo de Titulación, son de mi autoría; y la

propiedad intelectual del mismo a la Facultad de Ingeniería Industrial de la
Universidad de Guayaquil”.
Joza Calderón Danny John

C.C: 0925777617
iii
DEDICATORIA
Dedico esta tesis a Dios que ha sido mi guía en este camino de

estudio, quien me ha dado las fuerzas, la voluntad, las ganas para
continuar con mis estudios y llegar a una de mis metas propuestas,
esperando me siga guiando en mi camino.
A mis padres; que, con su amor, confianza, consejos, apoyo y

ayuda que me brindaron con los recursos necesarios para poder continuar
con mis estudios, quienes también me enseñaron la importancia de la
educación y el conocimiento, con todo mi cariño y amor ya que son parte
fundamental para que yo pudiera lograr cumplir mis metas.
iv
AGRADECIMIENTO
Quiero agradecer a Dios por bendecirme y darme la suficiente

fortaleza, sabiduría, conocimiento y capacidad para poder culminar con mi
trabajo de tesis y obtener una meta más en mi vida.
Y agradecer a mis padres por estar pendientes siempre de mí, por

el apoyo incondicional que me han brindado a lo largo de mi vida y de mis
estudios.
v
ÍNDICE GENERAL
N° Descripción Pág.
PRÓLOGO 1
INTRODUCCIÓN 2
CAPÍTULO I
Marco TEÓRICO
1.1 OWASP 6
1.2 Riesgos 7
1.3 Los Diez Factores de Riesgo 7
1.3.1 A1-Injection 8
1.3.2 A2-Authentication 9
1.3.3 A3-Cross-Site Scripting (XSS) 9
1.3.4 A4-Broken Access Control 9
1.3.5 A5-Security Misconfiguration 10
1.3.6 A6-Sensitive Data Exposure 10
1.3.7 A7-Insufficient Attack Protection 10
1.3.8 A8-Cross-Site Request Forgery (CSRF) 11
1.3.9 A9-Using Components with Known Vulnerabilities 11
1.3.10 A10-Underprotected APIs 11
1.4 Hardening 12
1.5 Ciberataque 12
1.6 SharePoint 13
1.7 Sitio web 13
1.8 Sistema de Base de Datos 14
1.9 SQL Server 14
vi
1.10 Windows Server 2012 15
1.11 Hacking Ético 15
1.12 Vulnerabilidad 15
1.13 Firewall 16
1.14 IPS 16
1.15 IDS 17
1.16 Dirección IP 17
1.17 Proxy Server 17
1.18 Protocolos de red 18
1.19 DMZ 18
1.20 NAT 19
1.21 Auditoria de infraestructura de tecnología de 19
información basado en estándares y buenas
prácticas
1.22 Hardening 21
1.23 Nmap 24
1.23.1 Modelo característico de análisis con Nmap 25
1.24 OWASP Zed Attack proxy (ZAP) 26
1.25 KALI LINUX 27
CAPÍTULO II
METODOLOGÍA
2 Modalidad de la Investigación 29
2.1 Tipos de investigación 29
2.2 Método de la Investigación 30
2.3 Población y Muestra 31
2.3.1 Población 31
2.3.2 Muestra 31
2.4 Técnicas e instrumentos de Recopilación de datos 32
vii
2.4.1 Técnica de investigación 32
2.4.2 Observación Directa 33
2.4.3 Entrevista 33
2.4.3.1 Ejecución de la entrevista 33
2.4.3.2 Entrevistas al Jefe de Redes y Seguridades de 34
la Corporación Registro Civil de Guayaquil
2.4.3.3 Entrevistas al Técnico operador de Computó de la 35
Corporación Registro Civil de Guayaquil
2.4.3.4 Entrevistas a la Asistente de Monitoreo de la 36
2.4.4 Encuesta 37
2.4.5 Análisis y técnicas de procesamiento de Datos 37
2.5 Diagrama de Casos de Uso 43
2.6 Escenario Actual de las aplicaciones web de la 45
2.6.1 Tipos de Vulnerabilidades Generales 46
2.7 Revisión de vulnerabilidades mediante OWASP 48
Zed Attack proxy (ZAP)
2.8 Pruebas de gestión de configuración de la 51
infraestructura (OWASP-CM-003)
2.9 Pruebas de SSL/TLS (OWASP-CM-001) 51
CAPÍTULO III
PROPUESTA
3.1 Título de la Propuesta 52
3.2 Objetivo 52
3.3 Propuesta opciones y recomendaciones de 52
Hardening
3.3.1 Datos 52
viii
3.3.2 Página 53
3.3.3 Aplicación 53
3.3.4 Disminución de riesgos de seguridad tipo MIME 54
3.3.5 Aplacamiento del ataque XSS más común 55
empleando HttpOnly
3.3.5.1 Prueba de exploradores Web para soporte 56
HttpOnly
3.3.6 Prueba de atributos de Cookies (OTG-SESS-002) 60
3.3.6.1 Controles de acceso de seguridad 61
3.3.7 Reglas de prevención XXS 61
3.3.7.1 Regla # 0 Nunca implante datos 62
confidenciales exceptuados en establecimientos
accesibles
3.3.7.2 Regla # 1 Escape HTML antes de implantar datos 62
no confiados en el contenido del componente
HTML
3.3.7.3 Regla # 2 Escape de propiedad antes de implantar 63
datos no confiable en HTML propiedades
frecuentes
3.3.7.4 Regla # 3 Escape de JavaScript antes de implantar 63
datos no confiables en valores de datos
3.3.7.5 Regla # 4 CSS Escape riguroso validar antes de 64
implantar datos no fidedignos en valores de
atributos de estilo HTLML
3.3.7.6 Regla # 5 Escape de URL antes de implantar datos 64
no fidedignos en valores de cuantificación de URL
HTML
3.3.7.7 Regla # 6 Gestionar el marcado HTML con un 65
archivo delineado para el trabajo
3.3.8 Actualizar complemento de Silverlight Security 66
Update
ix
3.3.9 Parchar Windows Update Security 66
3.3.10 Administrar mejor las actualizaciones de Automatic 66
Update
3.3.11 Solo debe haber un usuario administrador 66
3.3.12 El firewall de Windows no tiene excepciones 67
esta por default
3.3.13 Habilitar el registro de ciertos eventos en el event 67
view
3.3.14 Los servicios no deben estar habilitados por default 67
3.3.15 No debe haber carpetas compartidas en servidores 68
web
3.3.16 No tiene login de dar permiso a los 68
administradores y usuarios normales
3.4 Estudio de factibilidad 68
3.4.1 Factibilidad técnica 69
3.4.2 Factibilidad económica 70
3.4.3 Factibilidad operacional 71
3.4.4 Impacto 72
3.5 Conclusiones 72
3.6 Recomendaciones 73
ANEXOS 74
BIBLIOGRAFÍA 78
x
ÍNDICE DE CUADROS
1 Factores de riesgo 8
Muestra dpto. de IT de la Corporación Registro 32
2
Civil de Guayaquil
3 Entrevistas al jefe de redes y Seguridades de la 34
4 Entrevistas al Técnico Operador de Computó de la 35
Corporación Registro Civil De Guayaquil
5 Entrevistas a la Asistente de Monitoreo de la 35
Corporación Registro Civil De Guayaquil
Pregunta 1: Encuesta al Personal de 37
6
Infraestructura de la Corporación Registro Civil de
Guayaquil
7 Infraestructura de la Corporación Registro Civil de
Guayaquil
8
Infraestructura de la Corporación Registro Civil de
Guayaquil
Guayaquil
Guayaquil
Guayaquil
xi
12 Vulnerabilidades generado por MBA 47

13 Resumen De Vulnerabilidades Por Owasp Zed 49
Attack Proxy (Zap)
14 Navegadores que Permiten Httponly 56
15 Características técnicas de ordenador de usuario 69
16 Recursos Humanos 71
xi
ÍNDICE DE GRÁFICOS
Fragilidad con los Hackers o Individuos mal 38
1
Intencionados
2 La Información dentro de la Corporación es segura 39
3 Hurto de la Información 40
4 Implementación de Hardening mediante OWASP 41
5 Conocimiento de Owasp 42
6 Utilización del Top 10 de Owasap 43
xii
ÍNDICE DE IMÁGENES
1 Análisis con Nmap I 25
2 Análisis con Nmap II 25
3 Reporte de Vulnerabilidades Generado por MBSA I 46
4 Reporte de Vulnerabilidades Generado por MBSA 46
II
5 Reporte de Vulnerabilidades Generado por MBSA 47
III
6 Herramienta Owasp Zed Attack Proxy (Zap) 48
7 Revisión de vulnerabilidades de red scaneo de 49
puertos
8 Fichero Robots.Txt generado mediante WGET 50
Reconocimiento mediante motores de búsqueda 50
9
(OWASP-IG-002)
10 Pruebas De SSL/TLS (OWASP-CM 001) 51
11 Cómo se visualiza el campo X-FRAME-OPTIONS 54
en una respuesta http
12 Disminución de Riesgos de Seguridad Tipo Mime 55
13 Desactivación de Httponly 57
14 Cookie con Éxito Leído con Httponly Apagado 57
15 Cookie Escrito con Éxito con Httponly Off 57
16 Activación de Httponly 58
17 Protección de Lectura de Cookie Forzada 58
18 Protección De Lectura De Cookies No Reforzada 59
19 Protección Contra Escritura De Cookie Forzada 59
xiii
20 Protección Contra Escritura De Cookies No 60
Reforzada
21 Regla # 0 Nunca implante datos 62
confidenciales exceptuados en establecimientos
accesibles
22 Regla # 1 Escape HTML antes de implantar datos 62
no confiados en el contenido del componente
HTML
23 Regla # 2 Escape de propiedad antes de implantar 63
datos no confiable en HTML propiedades
frecuentes
24 Regla # 3 Escape de JavaScript antes de implantar 63
datos no confiables en valores de datos
25 Regla # 4 CSS Escape riguroso validar antes de 64
implantar datos no fidedignos en valores de
atributos de estilo HTLML
26 Regla # 5 Escape de URL antes de implantar datos 64
no fidedignos en valores de cuantificación de URL
HTML
Regla # 6 Gestionar el marcado HTML con un 65
27
archivo delineado para el trabajo
xiv
ÍNDICE DE DIAGRAMAS
1 Caminos para atacar una aplicación 7
2 Principios de Cobit 5 20
3 Proceso de Hardening 22
4 Análisis Vulnerabilidades 22
5 Remediaciones del Sistema 23
6 Niveles de Profundidad 23
7 Diagrama De Casos De Uso Nº 2 44
8 Diagrama De Casos De Uso Nº 3 44
xv
ÍNDICE DE ANEXOS
1 Encuesta 75
2 Cronograma de Actividades 77
xvi
AUTOR: JOZA CALDERÓN DANNY JOHN

TEMA: ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING)
DE LA INFRAESTRUCTURA DEL SITIO WEB DE LA
CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL.
DIRECTOR: ING. CIV. CARVACHE FRANCO ORLY DANIEL, MSC.
RESUMEN
Actualmente los aplicativos web se han tornado necesarios para la

manipulación de la información dentro de una organización,
transformándose en un instrumento que permite al usuario ingresar,
mediante un navegador y poder agilizar sus labores o poder cubrir su
necesidad desde cualquier sitio en donde se encuentre. La Corporación
Registro Civil de Guayaquil al ser una entidad pública se ha visto en la
necesidad de implantar esquemas libres y programas de código abierto
para desarrollar sus procesos y ha desarrollado el aplicativo web
utilizando el programa VB.NET con SharePoint, pero no se ha
implementado ninguna clase de patrón o buenas prácticas para el
fortalecimiento de la aplicación. El actual trabajo de tesis tiene como
objetivo implementar en el sitio web de la Corporación Registro Civil de
Guayaquil el aseguramiento y hardening empleando las recomendaciones
y herramientas de OWASP top 10 para manifestar las debilidades que se
presentan en el aplicativo y los peligros de ataques y riesgos que trae
consigo el mismo y como este afectaría de manera transcendental la
seguridad de la información.
PALABRAS CLAVES: OWASP, Hardening, SharePoint, VB.NET,

Aplicativo, Web, Implementar.
Joza Calderón Danny John Ing. Civ. Carvache Franco Orly Daniel, Msc.
C.C.:0925777617 Director Del Trabajo
xvii
AUTHOR: JOZA CALDERÓN DANNY JOHN

SUBJECT: INSURANCE AND HARDENING OF THE
INFRASTRUCTURE OF THE WEB SITE OF THE
CORPORACION REGISTRO CIVIL DE GUAYAQUIL.
DIRECTOR: C.E. CARVACHE FRANCO ORLY DANIEL, MSC.
ABSTRACT
Currently the web applications have become necessary for the

manipulation of information within an organization, becoming an
instrument that allows the user to enter and manipulate a computer
system through the internet with a web browser, giving access to
information from any site where you are. The Corporacion Registro Civil
de Guayaquil to be a public entity is interested in implementing free
schemes and open source programs to develop their processes and it has
developed the web application using the VB.NET program with
SharePoint, but no pattern or good practices have been implemented for
strengthening enforcement. This thesis work has as a main objective, the
implementation of the insuring and hardening in the Corporacion Registro
Civil de Guayaquil in the web site by making use of recommendations and
tools of OWASP TOP 10 to be aware of the weaknesses that the
application may present, as well as the risks and attacks that are proper of
the system and how this would affect permanently in the security of the
information
KEY WORDS: OWASP, Hardening, SharePoint, VB.NET, Web,

Application, Implement.
Joza Calderón Danny John C.E. Carvache Franco Orly Daniel, Msc.
I.D.:0925777617 Director of Work
PRÓLOGO
El actual trabajo de tesis tiene como título Aseguramiento y

Endurecimiento (Hardening) de la infraestructura del sitio web de la
Corporación Registro Civil de Guayaquil cuya finalidad es determinar los
riesgos y amenazas que se muestran presentemente en el sitio web
mediante el uso de herramientas y análisis de riesgos de OWASP.
El proyecto busca implementar el aseguramiento y Hardening en el

sitio web de la Corporación Registro Civil de Guayaquil, reduciendo de
manera significativa la manifestación de información confidencial y huecos
de seguridad existentes en el sistema.
El proyecto se encuentra distribuido en tres capítulos descritos a

continuación:
Capítulo 1: Encontramos toda la parte conceptual de diversos

autores e hipótesis enlazadas a la problemática del estudio llevado a
cabo, se detallan los temas que incluye el proyecto.
Capítulo 2: Se explicarán los métodos manejados en la

investigación, para adoptar la medida más factible, también se lograrán
evaluar los riesgos y amenazas que presenta el sitio web de la
Corporación de Guayaquil mediante el uso de OWASP.
Capítulo 3: Se especificará la propuesta del estudio las

conclusiones y recomendaciones que ofrece el autor.
INTRODUCCIÓN
Tema
“Aseguramiento y Endurecimiento (Hardening) de la Infraestructura

del Sitio Web de la Corporación Registro Civil de Guayaquil.”
Introducción
La Corporación Registro Civil de Guayaquil está ubicada en Av.

Juan Tanca Marengo km 2 y entrada de la Martha de Roldos, brinda
atención al público con servicios de Cedulación, inscripción y certificados
de: nacimiento, difusión y matrimonios, servicios que realiza de manera
responsable y eficiente, garantizando la identidad como derecho
fundamental, esta institución es pionera en la modernización de tales
servicios. La Corporación Registro Civil de Guayaquil es una empresa
encargada de la cedulación de los ciudadanos de Guayaquil por lo que
contiene información de suma importancia y debe tener los niveles de
seguridades correctamente implementando ya que es de suma
importancia para asegurar la disponibilidad e integridad de la información.
Entre los servicios que presta la Corporación, está el sitio web

www.corporacionregistrocivil.gob.ec en el cual pueden acceder los
usuarios a consultar y verificar información de una manera ágil y rápida,
pero debido a los avances tecnológicos de malware, virus y ciberataque
se necesita tener endurecida toda infraestructura web que esta
presentada hacia el internet.
El endurecimiento o aseguramiento (Hardening) es una acción

compuesta por un conjunto de actividades que son llevadas a cabo por
Introducción 3
una persona encargada del área de sistemas para reforzar al máximo

posible la seguridad de sus equipos y evitar que en el caso que existiera
un ataque éste no se concrete en su totalidad.
Alcance
Una de las primeras cosas que hay que dejar en claro del
Hardening de sistemas, es que no necesariamente logrará forjar equipos
invulnerables. La implementación del aseguramiento y endurecimiento del
Sitio web tiene como alcance controlar, minimizar y evitar las
consecuencias de un inminente incidente de seguridad que provoque
incongruencia y fuga de información. Este proyecto está dirigido a toda la
infraestructura que comprende el sitio web desde la publicación en el
internet hasta los servidores donde están alojado las aplicaciones.
Objeto de investigación
El objeto de investigación es el aseguramiento y endurecimiento

(Hardening) de la infraestructura del sitio web de la Empresa Corporación
Registro Civil de Guayaquil es la disminución de las vulnerabilidades al
que está expuesto dicho sitio web. Para la Corporación Registro Civil de
Guayaquil es importante mantener la infraestructura tecnológica con la
debidas seguridades implementadas debido a los servicios q ofrece a los
ciudadanos de la ciudad. Mientras que las configuraciones de seguridad
predeterminadas para muchos productos han mejorado mucho a lo largo
de los años, algunas de las opciones y configuraciones favorecer el uso
pero dejan al descubierto vulnerabilidades que pueden ser utilizadas para
comprometer un sistema (usabilidad vs seguridad).
La seguridad de la red comprende tanto la protección física de los

dispositivos como también la integridad, confidencialidad y autenticidad de
las transmisiones de datos que circulen por ésta.
Introducción 4
El aseguramiento y endurecimiento de las seguridades del Sitio

web tiene el propósito, entorpecer la labor del atacante y ganar tiempo
para poder minimizar las consecuencias de un inminente incidente de
seguridad e incluso, en algunos casos, evitar que éste se concrete en su
totalidad.
Justificación de la investigación
Realizar el estudio del endurecimiento de las seguridades de la

infraestructura del sitio web de la empresa nos ayudara descubrir y a la
vez mitigar posibles ataques sin dejar de lado la funcionalidad del sitio
web hacia los usuarios.
El fortalecimiento se realiza utilizando principalmente herramientas

nativas de Windows y Microsoft, respetando el principio fundamental de
mínimo privilegio para reducir al mínimo la superficie de ataque y eliminar
servicios innecesarios. También, se analiza la forma de aplicar varias
capas de seguridad para detener diversas formas de ataque buscando
proteger los archivos personales.
Una infraestructura tecnológica debe estar diseñada para que sus

configuraciones minimicen los riesgos de ataques a la seguridad de la
información y asegurar que todas las capacidades del entorno tecnológico
de la organización sean explotadas al máximo para que apoyen a las
operaciones del negocio.
En pocas palabras, a medida que se busca una seguridad mayor

en los sistemas, la versatilidad y facilidad de uso del mismo se ven
limitados, puesto que la cantidad de decisiones que puede tomar el
usuario se reduce y la cantidad de posibilidades ajenas al propósito inicial
del sistema en sí disminuye drásticamente.
Introducción 5
Objetivos de la Investigación
Objetivo general
Realizar el aseguramiento y el endurecimiento de las seguridades

de los servicios web e infraestructura del sitio web de la Corporación
Registro Civil de Guayaquil.
Objetivo Específicos
 Determinar áreas de vulnerabilidad de la infraestructura de sitio web

con sus respectivas acciones y afectaciones.
 Formalizar procedimientos y monitoreo de las vulnerabilidades más
comunes en la web.
 Realizar pruebas sobre los sistemas operativos del hardware para
determinar sus vulnerabilidades, mediante herramientas de testeo
(Software).
 Mantener los servicios del sitio web actualizados para mitigar futuros
ataques de intrusos.
CAPÍTULO I
MARCO TEÓRICO
El actual apartado evidenciara los datos requeridos para contar con

un resguardo hipotético de este trabajo, a su vez identificar las diversas
concepciones de autores con temas enlazados al estudio, el marco
teórico es la base fundamental para un correcto procesamiento de la
información y obtener un sustento alto del mismo.
Toda entidad conoce la importancia de la información y que debe

ser resguardada de forma segura para que no existan amenazas con
datos confidenciales, daños al sistema o equipos. Por lo cual se deben
definir las herramientas necesarias que se emplearan en el presente
proyecto con el objetivo de endurecer el sitio web de la Corporación de
Guayaquil.
1.1 OWASP
OWASP es una organización internacional. OWASP es una

comunidad que se basa en el código abierto enfocada en mejorar las
seguridades de las aplicaciones y por ende de las redes.
La página oficial (OWASP, OWASP, 2017) indica lo siguiente:
OWASP está en una posición única para proporcionar

información imparcial y práctica sobre AppSec a
individuos, corporaciones, universidades, agencias
gubernamentales y otras organizaciones en todo el
mundo. Operando como una comunidad de profesionales
con ideas afines, OWASP emite
Marco Teórico 7
herramientas de software y documentación basada en el

conocimiento sobre la seguridad de las aplicaciones.
1.2 Riesgos
El apartado de (OWASP-CISO, 2015) plasmó lo siguiente:
“Los intrusos siempre utilizan diferentes aplicaciones

para hacer daño a su negocio u organización. Cada
intento representa un riesgo que puede o no ser lo
suficiente critico como para justificar la atención y tomar
las correcciones del caso” (pág. 39)
DIAGRAMA Nº 1
CAMINOS PARA ATACAR UNA APLICACIÓN
Fuente: https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf - (OWASP-CISO, 2015, pág. 39)

Elaborado por: Joza Calderón Danny John
1.3 Los Diez Factores de Riesgo
La tabla siguiente presenta un resumen de los Principales Riesgos

de Seguridad de Aplicación 2017 y los factores de riesgo que hemos
asignado a cada riesgo. Estos factores se determinaron en base a las
estadísticas disponibles ya la experiencia del equipo Top 10 de OWASP.
Marco Teórico 8
Para comprender estos riesgos para una aplicación u organización

en particular, debe considerar sus propios agentes de amenaza
específicos y los impactos de la empresa.
Incluso las debilidades de software notables pueden no presentar

un riesgo serio si no hay agentes de la amenaza en una posición para
realizar el ataque necesario o el impacto del negocio es insignificante para
los activos implicados.
CUADRO Nº 1
FACTORES DE RIESGO
Fuente: https://www.owasp.org/index.php/Top_10_2017-Top_10
1.3.1 A1-Injection
Las fallas de inyección, como la inyección de SQL, OS, XXE y

LDAP se producen cuando se envían datos que no han sido validados
antes de ser procesados como parte de un comando en un lenguaje
determinado.
“Los datos hostiles del atacante pueden engañar al

intérprete para que ejecute comandos no deseados o
acceda a los datos sin autorización adecuada.” (OWASP
F. , 2017)
Marco Teórico 9
1.3.2 A2-Authentication
Las funciones de aplicación relacionadas con la

autenticación y la gestión de sesiones se implementan de
forma incorrecta, permitiendo a los atacantes
comprometer contraseñas, claves o tokens de sesión, o
explotar otras fallas de implementación para asumir las
identidades de otros usuarios (temporalmente o
permanentemente). (OWASP F. , 2017)
1.3.3 A3-Cross-Site Scripting (XSS)
Las vulnerabilidad XSS o Cross-Site scripting resultan cuando una

aplicación contienen datos no validados en una nueva página web sin
validación o escape apropiados, o actualiza una página existente con
datos proporcionados por el usuario usando una API de navegador que
puede crear JavaScript.
XSS permite a los atacantes ejecutar scripts en el navegador de la

víctima, que pueden secuestrar las sesiones de usuarios, deshacerse de
los sitios web o redirigir al usuario a sitios maliciosos.
1.3.4 A4-Broken Access Control
Las restricciones sobre lo que se permite a los usuarios

autenticados no se aplican correctamente. Los atacantes
pueden aprovechar estas fallas para acceder a
funcionalidades y / o datos no autorizados, como acceder
a cuentas de otros usuarios, ver archivos sensibles,
modificar los datos de otros usuarios, cambiar los
derechos de acceso, etc. (OWASP F. , 2017)
Marco Teórico 10
1.3.5 A5-Security Misconfiguration
Una buena seguridad requiere tener una configuración

segura definida y desplegada para la aplicación, marcos,
servidor de aplicaciones, servidor web, servidor de bases
de datos, plataforma, etc. Las configuraciones seguras
deben definirse, implementarse y mantenerse, ya que los
valores por defecto son a menudo inseguros. Además, el
software debe mantenerse actualizado. (OWASP F. , 2017)
1.3.6 A6-Sensitive Data Exposure
Muchas aplicaciones web y API no protegen

adecuadamente los datos confidenciales, como
financieros, de atención médica y PII. Los atacantes
pueden robar o modificar tales datos débilmente
protegidos para realizar fraudes con tarjetas de crédito,
robo de identidad u otros delitos. Los datos sensibles
merecen una protección adicional, como cifrado en
reposo o en tránsito, así como precauciones especiales
cuando se intercambian con el navegador. (OWASP F. ,
2017)
1.3.7 A7-Insufficient Attack Protection
La mayoría de las aplicaciones y API carecen de la

capacidad básica para detectar, prevenir y responder a
los ataques manuales y automatizados. La protección
contra ataques va mucho más allá de la validación de
entrada básica e implica la detección automática, registro,
respuesta e incluso bloqueo de intentos de explotación.
Los propietarios de aplicaciones también deben ser
Marco Teórico 11
capaces de implementar parches rápidamente para

protegerse contra los ataques. (OWASP F. , 2017)
1.3.8 A8-Cross-Site Request Forgery (CSRF)
El ataque CSRF forza al navegador de una víctima a enviar una

solicitud HTTP falsificada. Este tipo de ataques explotan la confianza que
hace el sitio web a sus usuarios, comúnmente debido que los
navegadores de ahora proactivamente guardan información de inicio de
sesión la cual es tomada por el exploit para poder realizar los ataques.
1.3.9 A9-Using Components with Known Vulnerabilities
Los componentes, como bibliotecas, marcos y otros

módulos de software, se ejecutan con los mismos
privilegios que la aplicación. Si un componente
vulnerable es explotado, un ataque de este tipo puede
facilitar la pérdida de datos graves o la toma de control
del servidor. Las aplicaciones y las API que utilizan
componentes con vulnerabilidades conocidas pueden
socavar las defensas de las aplicaciones y permitir varios
ataques e impactos. (OWASP F. , 2017)
1.3.10 A10-Underprotected APIs
Las aplicaciones modernas a menudo implican

aplicaciones ricas de cliente y API, como JavaScript en el
navegador y aplicaciones móviles, que se conectan a una
API de algún tipo (SOAP / XML, REST / JSON, RPC, GWT,
etc.). Estas API a menudo no están protegidas y
contienen numerosas vulnerabilidades. (OWASP F. , 2017)
Marco Teórico 12
1.4 Hardening
Se puede definir como el proceso de asegurar un sistema mediante

la reducción de vulnerabilidades por lo que se evalúa servicios, software
y accesos innecesarios de la red o pc según sea el caso. Todas las
empresas tienen equipos o servicios críticos los cuales deben estar
debidamente protegido y asegurado usando técnicas, normas y la
documentación necesaria basada en seguridades de la información.
(Jara & Pacheco, 2012) Manifestaron lo siguiente:
Este proceso consiste en utilizar las propias

características de dispositivos, plataformas y
aplicaciones para aumentar sus niveles de seguridad.
Cerrar puertos que no son imprescindibles, deshabilitar
protocolos y funciones que no se utilicen, cambiar
parámetros por defecto y eliminar usuarios que no sean
necesarios son solo algunos ejemplos sencillos de un
proceso de Hardening. (Pág. 9)
1.5 Ciberataque
Un ciberataque se puede definir como un acto malicioso dirigida a

todo equipo o software informático comúnmente son originados por
usuarios anónimos con el fin de alterar robar o destruir el objetivo que
esta vulnerable.
El ciberataque radica en aprovechar cualquier vulnerabilidad o falla

en los programa, en el hardware, también en las personas que forman
parte de un ambiente tecnológico; para obtener un beneficio causando
daños en la seguridad del objetivo atacado, que luego pasa directamente
en los activos de la organización.
(CASAS, 2017) Explica lo siguiente:

Marco Teórico 13
Un ciberataque debe poder asimilarse a una acción

armada y, por tanto, tener el objetivo de matar, herir o
destruir físicamente propiedades. Por tanto, una
denegación de servicio que no funciones una página web
durante un tiempo, por ejemplo, algo al alcance de
cualquier grupito de chavales con conocimientos de
informática o el robo de datos como planes de defensa o
el nombre de agentes secretos no se pueden considerar
de esta categoría. (pág. 334)
1.6 SharePoint
SharePoint 2013 es un entorno de colaboración que

pueden usar organizaciones de todos los tamaños para
incrementar la eficacia de los procesos empresariales.
Los sitios de SharePoint 2013 proporcionan entornos
seguros que los administradores pueden configurar para
proporcionar un acceso personalizado a los documentos
y a otra información. Las funciones de búsqueda ayudan
a los usuarios a encontrar con eficacia contenido
independientemente de la ubicación física de los datos.
(TechNet, 2017)
1.7 Sitio web
Según el apartado de (Luján, 2002) indica que un sitio web:
Es un lugar virtual en la red que almacena información

para que las personas tengan acceso a él, así de simple.
Se conforma por varios documentos que están de manera
organizada para que sea atractivo visualmente, estos se
llaman páginas web. Por lo tanto, un sitio web es la
Marco Teórico 14
compilación organizada y ordenada de un determinado

número de páginas web. En el Internet encontramos una
gran variedad de tipos de sitios web que se diferencian
fundamentalmente por la clase y el servicio como son los
sitios estáticos y dinámicos. Sitio Web es un conjunto de
página web relacionadas entre sí. Se entiende por página
web tanto el fichero que contiene el código HTML como
todos los recursos que se emplean en la página
(imágenes, sonidos, código JavaScript, etc.).(pág. 62)
1.8 Sistema de Base de Datos
El estudio de (J. & Date, 2001) manifestó lo siguiente:
Un sistema de base de datos es básicamente un sistema

computarizado para guardar registros; es decir, es un
sistema computarizado cuya finalidad general es
almacenar información y permitir a los usuarios recuperar
y actualizar esa información con base en peticiones.
La información en cuestión puede ser cualquier cosa que
sea de importancia para el individuo u organización; en
otras palabras, todo lo que sea necesario para auxiliarle
en el proceso general de su administración. (pág. 80)
1.9 SQL Server
Es un sistema de manejo de bases de datos de tipo modelo

relacional, desarrollado por la empresa Microsoft. Se puede utilizar en
línea de comandos o mediante la interfaz gráfica de Management Studio
con lo que es Transact-SQL (TSQL), una implementación del estándar
lenguaje SQL, que sirve para manipular y recuperar datos, crear tablas y
definir relaciones entre ellas.” (Microsoft, 2017)
Marco Teórico 15
1.10 Windows Server 2012
En autor (Bonnet, 2013) índico que Windows Server 2012:
Provee a un administrador una plataforma completa, a

nivel de administración de dominio AD, virtualización o
implantación de un sistema de cloud computing. El
sistema operativo nos ofrece una plataforma de
virtualización que permite la creación de un entorno
totalmente aislado. La mejora de Power Shell, ahora en
versión 3, aporta nuevos comandos a los administradores
de servidores. La automatización de tareas es, ahora,
posible utilizando scripts Power Shell. Se presenta una
nueva interfaz, la interfaz de Windows. El botón inicio
está, ahora, ausente y la nueva interfaz la compone, en lo
sucesivo, por "tiles" o "azulejos" (Pág. 78)
1.11 Hacking Ético
Los autores (RAULT, y otros, 2015) Manifestaron lo siguiente:
El hacking ético describe el arte de pentester. El objetivo

es medir el nivel de seguridad del sistema de Información
de una empresa. De este modo, hay empresas de
seguridad que realizan ataques (también llamados
"pruebas o test de penetración") para revelar y corregir
fallos de seguridad en un determinado sistema. (Pág. 54)
1.12 Vulnerabilidad
Una vulnerabilidad es un agujero o una debilidad en la aplicación,

que puede ser una falla de diseño o un error de implementación, que
Marco Teórico 16
permite a un atacante causar daño a las partes interesadas de una

aplicación. Las partes interesadas incluyen el propietario de la aplicación,
los usuarios de la aplicación y otras entidades que dependen de la
aplicación. El término "vulnerabilidad" se utiliza con mucha frecuencia. Sin
embargo, aquí necesitamos distinguir amenazas, ataques y
contramedidas. (OWASP, 2016)
1.13 Firewall
Un firewall o cortafuegos es un dispositivo que puede ser hardware

o software de seguridad en la red, que monitorea el tráfico entrante y
saliente y decide si permite o bloquea tráfico específico, definido en un
conjunto de reglas. Básicamente la función de un firewall es resguardar
los dispositivos individuales, servidores o equipos conectados en red
contra intrusos que nos pueden robar datos privados.
Existen 2 tipos de firewall los de hardware y software, cada uno es

utilizado según la necesidad y presupuesto del administrador de red para
asegurar su infraestructura de las amenazas.
1.14 IPS
El autor (Tejada, 2015) indico que:
Los sistemas de prevención de intrusiones o IPS se

desarrollaron en 1990 con la finalidad de monitorizar el
tráfico de una red en tiempo real y conseguir prevenir las
intrusiones al sistema. Se consideran una evolución de
los sistemas de detección de intrusiones (IDS).
Los IPS tratan de prevenir que se filtre cualquier
intrusión: en cuanto se produce la caída de algún paquete
o se detecta que está dañado o incompleto, la red
Marco Teórico 17
bloquea la transmisión de este paquete con el fin de

prevenir un posible ataque. (Pág. 26)
1.15 IDS
(Tejada, 2015) Manifestó lo siguiente:
La herramienta que es capaz de monitorizar el tráfico de

la red a tiempo real es el sistema de prevención de
intrusos. Mientras que los IDS o sistemas de detección de
intrusos se limitan a la simple detección de ataques
(exitosos y no exitosos, según el tipo de IDS implantado),
los IPS o sistemas de prevención de intrusos pueden
aplicar medidas preventivas que eviten la entrada de
ataques a tiempo real gracias a la monitorización de la
red.(pág. 58)
1.16 Dirección IP
Es el acrónimo de Internet Protocol, la dirección IP es un

identificador único que puede ser privado o público, usado para comunicar
los dispositivos ya sea equipo de red, computadoras o servidores en una
infraestructura. El direccionamiento se compone de 32 bits, que se
conforma por la porción de la red y de la máscara de subred.
1.17 Proxy Server
Actúa como un gateway o pasarela segura para conectar su red

local LAN a Internet. Gateway se refiere a un software u ordenador que
permite la comunicación entre dos redes. Usando un gateway Proxy
Server, usted será capaz de proteger su red contra intrusos. El Gateway
actúa como una barrera que le permitirá hacer peticiones a Internet y
Marco Teórico 18
recibir información, pero no permitirá el acceso a su red de usuarios no

autorizados.
Usted puede configurar Proxy Server para permitir la

comunicación de sus estaciones de trabajo con servicios
remotos en Internet. Cuando seleccione el hardware
apropiado para un ordenador ejerciendo funciones de
Gateway o pasarela, asegúrese de que tiene el adecuado
ancho de banda para la conexión a Internet y planifique
con cuidado la seguridad para proteger su LAN.
(MICROSOFT, 2017)
1.18 Protocolos de red
El apartado de (García, 2015) definió lo siguiente:
Protocolo Conjunto de normas y procedimientos útiles

para la transmisión de datos conocido por el emisor y el
receptor.
Para clasificar los protocolos en función de las diferentes
funcionalidades que realizan se usan unas estructuras
llamadas capas de comunicación. En cada capa actúa un
protocolo encargado de la labor de dicha capa. Por eso
en ocasiones se habla de "pila" de protocolos.
Dentro de cada capa se podrán utilizar diferentes
protocolos en función del objetivo final (no es 10 mismo
enviar un correo electrónico que hacer una consulta a
una página web, por ejemplo). (Pág. 78)
1.19 DMZ
El autor (Albacete, 2015) indico que:

Marco Teórico 19
Las zonas DMZ añaden seguridad, porque aumentan la

separación entre redes. Por ejemplo, el rango de
direcciones IP, empleado en la zona DMZ será diferente al
rango de direcciones de la red privada, 10 que aumenta la
dificultad para acceder a la red privada. Habitualmente, se
pueden obtener más beneficios de las zonas DMZ,
empleándolas para diferentes servicios. (pág. 30)
1.20 NAT
(Quintero, 2015) Manifestó lo siguiente:
El protocolo de traducci6n de direcciones de red (NAT) es

el proceso que convierte direcciones IP privadas en
direcciones enrutables para Internet, es decir, en
direcciones IP públicas.
A través de NAT se consigue comunicar los hosts de una
red interna con Internet. Los routers además de
proporcionar una dirección privada a cada cliente de la
red local, reciben a su vez una dirección pública del ISP
que les permite enviar y recibir datos en Internet. Dado
que las direcciones privadas no se permiten en Internet,
es necesario el estándar NAT. (Pág. 94)
1.21 Auditoria de infraestructura de tecnología de información

basado en estándares y buenas prácticas
El autor (Rodríguez, 2016) expone un conjunto de conceptos para

efectuar una auditoria de IT fundamentado en estándares y buenas
practicas. Las mismas se describen a continuación:
Al realizar una auditoría en un departamento de

Sistemas debemos considerar los siguientes tópicos:
Marco Teórico 20
 Auditoría a Base de Datos.

 Auditoría a los sistemas que son Desarrollo interno/externo.
 Auditorías de Sistemas de Gestión de Seguridad SGSI.
 Auditorías de Equipos de Red (Switch, routers) y Seguridad (IPS,
IDS).
 Auditorías a Gestión de Servicios de IT (Mesa de Ayuda y software
de soporte).
Hay que tener presente que existen normas y estándares

Internacionales que son de mucha ayuda en lo que respecta a
Hardening. Debemos tener presente el objetivo o principios del
Departamento de IT para saber que aporte y cuál es el alcance del
Departamento como tal, en este caso nos podemos ayudar con la
siguiente imagen:
DIAGRAMA Nº 2
PRINCIPIOS DE COBIT 5
Fuente:https://backtrackacademy.com/articulo/auditoria-de-infraestructura-de-tecnologia-de-
informacion-basado-en-estandares-buenas-practicas (Rodríguez, 2016)
Marco Teórico 21
Es importante validar que la infraestructura donde nuestros

servicios se alojan y transportan, se encuentren en óptimas condiciones
o por lo menos las adecuadas a nuestras necesidades.
Enumeraremos los puntos por donde podremos empezar a

evaluar una infraestructura tecnológica:
Diagrama de Red en la cual interviene:
 Equipos de Red.
 Segmentación de Red.
 Utilización de Puertos.
 Monitoreo de Performance.
 Cableado Estructurado.
En la Infraestructura interviene los equipos como son Desktop,

Server. En los cuales se valida registros de Instalaciones y
actualizaciones de Equipos.
Todo este conjunto de actividades se denominan Hardening

también conocido como endurecimiento de la infraestructura tecnológica
del departamento de sistemas.
Este procedimiento logra disminuir las vulnerabilidades y hacer

más complicado el ingreso de intrusos o usuarios no autorizados.
1.22 Hardening
El siguiente estudio efectuado por (Sanchéz, 2013) plasma teorías

e importancia en implementar Hardening en las organizaciones. Las
mismas se detallan a continuación:
Marco Teórico 22
DIAGRAMA Nº 3
PROCESO DE HARDENING
Fuente: http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV (Sanchéz, 2013)

Todas las empresas que tienen un departamento de sistemas

deben considerar una línea base de seguridad para sus equipos de
cómputo, la cual lleva a tener un nivel de seguridad satisfactorio. Hay
que recordar que cada vez que sale a producción algún servicio,
hardware o software este debe pasar por el proceso de Hardening y no
olvidar que periódicamente se deben hacer procesos de Hardening con
el fin de estar aplicando mejores prácticas de seguridades.
DIAGRAMA Nº 4
ANÁLISIS VULNERABILIDADES

Hay un error común en los Administradores de Infraestructuras que

con aplicar actualizaciones al producto creen que es suficiente como
mejores prácticas de hardening en su defecto remediaciones de huecos
de seguridad.
Marco Teórico 23
DIAGRAMA Nº 5
REMEDIACIONES DEL SISTEMA

También se debe tener en consideración los niveles o capas para

realizar hardening los cuales son detallados en la parte de abajo:
DIAGRAMA Nº 6
NIVELES DE PROFUNDIDAD

Marco Teórico 24
El aseguramiento a nivel de Perímetro se refiere a la

implementación de IPS IDS los cuales en el mercado varían por marca
precio y funcionalidades.
Se entiende a nivel de servicios de red son los aplicativos y

accesos necesarios a los usuarios para consumir los servicios ya sean
interno o externo por parte de la empresa que estén publicados.
Las pc’s de los usuarios son un punto determinante en el

aseguramiento, la mayoría de los administradores se enfocan en instalar
un antivirus, pero no solamente eso comprende también se debe
considerar aplicativos instalados, actualizaciones que se aplican y alcance
de permisos sobre la red a otra computadoras o servidores.
1.23 Nmap
Nmap es una herramienta de código abierto que sirve para

explorar una red la cual comprende protocolos y servicios que están
corriendo en el momento de la ejecución de la misma. Tiene versiones
tanto para Windows como para Linux lo cual hace versátil dicho
producto.
Generalmente se utiliza Nmap en auditorías de seguridad

informáticas, muchos administradores de sistemas lo usan para realizar
tareas rutinarias, como puede ser el inventariado de la red, y
seguimiento a eventos u ocurrencias dentro de la infraestructura de la
organización.
La salida de Nmap es un registro de objetivos estudiados, con

información agregada para cada adjunto de las opciones manipuladas. La
información principal es la lista de puertos analizados. Esta lista presenta
el número de puertos con su respectiva etiqueta el alias más frecuente del
Marco Teórico 25
servicio y el estado que suele ser abierto, depurado, cerrado, o no

depurado. Adicionalmente de la lista de puertos analizados, Nmap provee
información agregada sobre los objetivos, envolviendo el alias de DNS en
cuanto al valor contrapuesto de la IP, un registro de sistemas operativos
potenciales , y los tipos de terminales y direcciones MAC.
2.23.1 Modelo característico de análisis con Nmap
Esta herramienta muestra el escaneo de los puertos tanto tcp como

udp según los parámetros que se necesiten usar, en la imagen podemos
apreciar cómo se registra la url de la página web, luego de esto comienza
a mostrar todos los protocolos que se encuentran abiertos y por ende se
pude hacer un estudio de ataque de vulnerabilidades.
IMAGEN Nº 1
ANÁLISIS CON NMAP I
Fuente: Investigación de campo

Una vez terminado el análisis del scanner muestra los puertos

abiertos los cuales muchas veces son los que necesitas las aplicaciones
web para poder funcionar como son http, https, etc.
IMAGEN Nº 2
ANÁLISIS CON NMAP II

Marco Teórico 26
1.24 OWASP Zed Attack proxy (ZAP)
Según la página oficial de OWASP definió OWASP Zed Attack

proxy (ZAP) de la siguiente manera:
El OWASP Zed Attack Proxy (ZAP) es una de las

herramientas de seguridad gratuitas más populares del
mundo y es mantenido activamente por cientos de
voluntarios internacionales * . Puede ayudarle a encontrar
automáticamente vulnerabilidades de seguridad en sus
aplicaciones web mientras desarrolla y prueba sus
aplicaciones. También es una gran herramienta para
testers experimentados para usar para pruebas de
seguridad manuales. (Proxy, 2017)
Está delineado para ser manejado por individuos con una extensa
gama de experiencia en seguridad por ende es idóneo para los
desarrolladores y tester que recién se sumergen en el mundo de las
pruebas funcionales. ZAP suministra escáneres mecanizados, así como
un grupo de instrumentos que ayudan a encontrar debilidades de
seguridad manualmente.
Algunas de estas particularidades de ZAP se detallan a

continuación:
 Escáner computarizado
 Escáner pasivo
 Escáner de fuerza brusca
 Fuzzer
 Escáner de puertos
 Certificados SSL dinámicos
 Proxy de apropiación
Marco Teórico 27
 Fácil de instalar (sólo requiere java 1.6)

 Habilidad de uso una prioridad
 Páginas de ayuda completas
 Completamente internacionalizado
 Bajo perfeccionamiento activo
 Fuente abierta
 Open Source
 Plataforma cruzada (Proxy, 2017)
1.25 KALI LINUX
La investigación realizada por el autor (Benito, 2014) define lo

siguiente:
Kali es una distribución Linux diseñada para la seguridad

informática. Como la mayoría de distribuciones Linux es
de código abierto y gratuito así como la mayoría de sus
herramientas. Este sistema operativo contiene una gran
colección de herramientas dedicadas a la auditoría
informática entre las que se encuentran las populares
Nmap, metasploit, w3af o John the ripper. Las
aplicaciones se encuentran divididas por secciones,
dependiendo de que ramo de seguridad abarquen. (Pág.
4)
El sistema Kali Linux conserva las siguientes particularidades:
 Robusto: Conserva varias herramientas para pentesting, las cuales

fueron optimizadas.
 Gratuito: Los autores aseguran que esto es un ensayo no alterable en
el tiempo, asimismo posee instrumentos de código abierto y con
intercesoras que a pesar de no ser open source por medio de
Marco Teórico 28
determinadas autorizaciones y en acuerdo con sus proveedores

consiguen acaparar su comercialización.
 Open Source: Conserva un repositorio en donde hallamos todo el
código fuente Kali disponible para efectuar mejoras o reconstrucción.
 FHS: Permite la distribución de los registros de creación e implantación
de los mismos.
 Soporta un amplio conjunto de dispositivos inalámbricos y consiente
circular apropiadamente sobre una gran variedad de hardware; tolera la
concurrencia con terminales USB y dispositivos portátiles.
 Instaurado bajo un ambiente seguro: La composición con las
plataformas para el desarrollo de cambios en los paquetes lo efectúan
el conjunto de Kali Linux ejecutando diversas normas de seguridad.
 Soporta múltiples idiomas, a pesar que la mayoría de sus elementos
fueron encriptadas en inglés.
 Personalizable: Es factible descargar una adaptación completamente
caracterizada de Kali en que solo abarque envíos de servicio al
usuario.
Kali Linux es una nueva reestructuración de backTrack,

basándose en Debían, ordenando las herramientas principales,
aumentando su calidad y eficiencia usando estándares de desarrollo
seguro. Kali Linux es una herramienta muy utilizada por hackers, que
buscan los límites y vulnerabilidades en la seguridad de las redes y
sistemas pero no necesariamente está orientado para realizar actos
delictivos.
A diferencia de Metasploit que es pagado, Kali es una suite que

permite ser ejecutada de forma live y bootebale desde un USB con fines
educativo.
Esta Suite contiene diversas herramientas por la cual son de uso

libre sin costo alguno, estas fueron las razones de peso por la cual se la
eligió, para realizar el procedimiento de aseguramiento.
CAPÌTULO II
METODOLOGÍA
2 Modalidad de la Investigación
En el proyecto del aseguramiento y hardening de la infraestructura

del sitio web, la modalidad de la investigación, es la investigación
aplicada, que se la puede conocer como práctica o experimental, este tipo
de investigación busca el uso de los conocimientos obtenidos a través de
prácticas anteriores o tomando informes de líneas bases de los
proveedores de los productos de seguridad.
Por lo antes indicado a la investigación aplicada le afecta que los

resultados adquiridos posean utilidad práctica contigua sobre la sociedad.
Este es el caso, por ejemplo, de investigaciones de necesidades de

información o comportamiento de usuarios de una institución particular,
cuyo argumento es implementar las representaciones nacidas de la
investigación; es decir, investigación tiene una intención muy inteligente
busca conocer, manifestar, anunciar o proceder sobre un evento o
problema existente.
2.1 Tipos de investigación
En el proyecto antes mencionado, el tipo de investigación que se

utiliza es la exploratoria este tipo de investigación se efectúa cuando el
objetivo a investigar un tema poco común, o que nunca se ha tratado
antes.
Metodología 30
Según el estudio de (Cazau, 2006) manifestó lo siguiente:
Una investigación exploratoria es, como su nombre lo

indica, examinar o explorar un tema o problema de
investigación poco estudiado o que no ha sido abordado
nunca antes. Por lo tanto, sirve para familiarizarse con
fenómenos relativamente desconocidos, poco estudiados
o novedosos, permitiendo identificar conceptos o
variables promisorias, e incluso identificar relaciones
potenciales entre ellas. La investigación exploratoria,
también llamada formulativa (Selltiz), permite conocer y
ampliar el conocimiento sobre un fenómeno para precisar
mejor el problema a investigar. Puede o no partir de
hipótesis previas, pero al científico aquí le exigimos
flexibilidad, es decir, no ser tendencioso en la selección
de la información. En la investigación exploratoria se
estudian qué variables o factores podrían estar
relacionados con el fenómeno en cuestión, y termina
cuando uno ya tiene una idea de las variables que juzga
relevantes, es decir, cuando ya conoce bien el tema. Por
ejemplo, cuando apareció por primera vez el Sida hubo
que hacer una investigación exploratoria, porque había
un desconocimiento de este tema. (Pág. 26)
2.2 Método de la Investigación
El método de investigación que se va a emplear en la presente

tesis, será el método deductivo que parte de lo general a lo particular
procediendo analizar las vulnerabilidades de la infraestructura del Sitio
Web y determinando específicamente las novedades encontradas para
así poder corregirlas y a su vez endurecer las seguridades de dicha
infraestructura.
Metodología 31
Según (Bisquerra.R, 1989) índico que el método deductivo:
Es parte de una premisa general para sacar conclusiones

de un caso particular. En definitiva sigue el modelo
aristotélico deductivo esquematizado en el silogismo. El
científico que utiliza este método pone el énfasis en la
teoría, en la explicación, en los modelos teóricos, en la
abstracción; no en recoger datos empíricos, o en la
observación y experimentación. Son muchos los autores
que distinguen entre método deductivo, inductivo e
hipotético-deductivo; entre otros. (Pág. 61)
2.3 Población y Muestra
2.3.1 Población
Se determina que la población corresponde a un todo de individuos

u objetos a estudiar referente a un problema específico o contexto que se
quiera dar solución, respecto al actual trabajo de tesis.
El universo determinado es el departamento Informática de la

Corporación Registro Civil de Guayaquil que consta de personal de
técnico y desarrolladores los cuales cumplen aplicando e innovando
nuevas tecnologías.
2.3.2 Muestra
La muestra es un perfil del universo seleccionado, es utilizado

cuando la población tiende a ser muy amplia, en el actual proyecto se
tomara como muestra el sitio web de la Corporación Registro Civil de
Guayaquil. En donde se procederá a entrevistar al personal de
Infraestructura y desarrolladores integrado por las siguientes personas:
Metodología 32
CUADRO Nº 2
MUESTRA DPTO. DE IT DE LA CORPORACIÓN REGISTRO CIVIL DE
GUAYAQUIL
Muestra Tamaño de la
Muestra
Coordinador de 1
Informática
Jefe de redes y 1
seguridades
Técnico operador de 1
computo
Asistente de Monitoreo 1
Desarrolladores 3
Total 7
2.4 Técnicas e instrumentos de Recopilación de datos
Para el actual proyecto se procedió a utilizar los siguientes

instrumentos:
 Cuestionarios
 Provisiones de oficina
 Bitácoras
2.4.1 Técnica de investigación
Según (Morone, 2012) defino a la técnica como:
Procedimientos e instrumentos que utilizamos para

acceder al conocimiento. Encuestas, entrevistas,
observaciones y todo lo que se deriva de ellas. Las
técnicas de investigación se demuestran por su beneficio,
Metodología 33
que se transcribe en la optimización de los esfuerzos, la

sobresaliente dirección de los recursos y la difusión de
las deducciones. (pág. 2)
La técnica a implementar en el presente trabajo de tesis es la de

campo, debido a que por medio de las encuestas podremos obtener
información de suma importancia del personal de infraestructura
perteneciente a la Corporación de Guayaquil.
Para obtener la recolección de información e investigación de la

misma, se procederá el uso de las siguientes técnicas:
2.4.2 Observación Directa
Es una herramienta de suma relevancia, ya que el investigador

determina los puntos más importantes del tema de estudio. A sí mismo,
cumple los objetivos preliminarmente definidos en la investigación a
realizarse.
2.4.3 Entrevista
Calificada como una técnica fundamentada en cuestiones y

respuestas Entre el entrevistador y los entrevistados. La misma es la que
se empleara en el actual trabajo de investigación.
2.4.3.1 Ejecución de la entrevista
Referente a la entrevista se empleara un estudio de preguntas y

respuestas con el fin de detectar los huecos de seguridad del sitio web de
la Empresa Corporación Registro Civil de Guayaquil. La ejecución de
dicha entrevista está destinada al personal de infraestructura compuesta
por el jefe de área y técnicos.
Metodología 34
2.4.3.2 Entrevistas al Jefe de Redes y Seguridades de la

La entrevista estuvo dirigida al jefe de redes y seguridades de la

Corporación Registro Civil de Guayaquil, en donde su objetivo es detectar
los huecos de seguridad del sitio web de la entidad.
CUADRO Nº 3
ENTREVISTAS AL JEFE DE REDES Y SEGURIDADES DE LA
CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
FACULTAD DE INGENIERÍA INDUSTRIAL
Formato de entrevista
Empresa: Corporación Registro Civil de Guayaquil
Nombre: Ing. Kleber Falconi
Cargo profesional en la empresa: Jefe de Redes y Seguridades
Fecha: 22/08/2017
Preguntas:
1) ¿Cuenta la entidad con servicios que manejen los usuarios en el

propio segmento de red?
Respuesta: Actualmente la entidad no cuenta con dicho servicios
2) ¿Los usuarios externos pueden conectarse directamente a las
aplicaciones internas de la página web con el fin de acceder a
información, reestablecer registros o manipular otra
información?
Respuesta: los usuarios cuentan con permisos para manejar
información.
3) ¿Se manipulan equivalentes elementos de IT de aplicación,
como motores de bases de datos en soporte a terceras
aplicaciones externas o nuevos servicios internos?
Respuesta: No se utilizan mismos elementos IT de aplicación.
4) ¿La entidad consiente procesar datos privados o de propiedad
externo de sus instalaciones?
Respuesta: No permite procesar información confidencial fuera de
las instalaciones.
5) ¿Quiénes son los usuarios finales del sitio web principal de su
ambiente?
Respuesta: los usuarios finales son los ciudadanos de la ciudad de
Guayaquil.
Metodología 35
2.4.3.3 Entrevistas al Técnico operador de Computó de la

La entrevista estuvo destinada a los operadores de cómputo de la

Corporación de Guayaquil, cuya objetivo es conocer el nivel de seguridad
que maneja la entidad.
CUADRO Nº 4
ENTREVISTAS AL TÉCNICO OPERADOR DE COMPUTÓ DE LA
CORPORACIÓN DE GUAYAQUIL
Nombre: Ing. Wilmer Sánchez

Cargo profesional en la empresa: Técnicos operador de Cómputo.
Fecha: 22/08/2017
Preguntas:
1) Asumiendo que los controles de seguridad estuvieran lentos,
¿altera de manera crítica la capacidad de respuesta de la
entidad?
Respuesta: Se reduce la capacidad de respuesta de manera
significativa.
2) ¿La entidad resguarda mucha información de alta relevancia?
Respuesta: efectivamente se almacena mucha información
confidencial.
3) ¿Se recopilan o procesan los datos del cliente en un ambiente
compartido de recursos de red?
Respuesta: si se almacenan y manipulan los datos en ambientes
compartidos.
4) ¿Cómo ingresan los usuarios a los aplicativos primordiales?
Respuesta: ingresan mediante la página oficial de la Corporación de
Guayaquil.
5) ¿Permite la entidad que los programadores de sistemas se
conecten remotamente a desarrollos en producción?
Respuesta: Los programadores pueden conectarse de forma
remota para atender desarrollos en producción.
Metodología 36
2.4.3.4 Entrevistas a la Asistente de Monitoreo de la Corporación

Registro Civil de Guayaquil
El objetivo de entrevistar a la Asistente de Monitoreo de la

Corporación Registro Civil de Guayaquil, es determinar con que
ocurrencia se encuentran con componentes maliciosos y que eventos
pueden representar una amenaza a la seguridad de la información.
CUADRO Nº 5
ENTREVISTAS A LA ASISTENTE DE MONITOREO DE LA
CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL

Nombre: Ing. Alexandra Durán
Cargo profesional en la empresa: Asistente de Monitoreo
Fecha: 22/08/2017
Preguntas:
1) ¿Con que continuidad al verificar un monitoreo de red se
halla con amenazas externas de la red?
Respuesta: continuamente se hallan amenazas externas como
virus o Malware.
2) ¿Con que ocurrencia los servicios de los servidores se
caen?
Respuesta: la ocurrencia de este suceso es alta.
3) ¿Comparte la entidad los elementos IT y aplicaciones
entre algunos usuarios?
Respuesta: si se comparten elementos IT entre varios usuarios.
4) Una interrupción de luz o fallo del sistema en equipos que
perturbe las aplicaciones o IT de los usuarios, ¿afectaría
arduamente?
Respuesta: Efectivamente un apagón o fallo de las aplicaciones
puede poner en peligro la integridad de la información.
5) En el último semestre, ¿se han realizado renovaciones de
algún componente importante de IT?
Respuesta: En el último semestre no se ha efectuado ningún
cambio de componentes
Metodología 37
2.4.4 Encuesta
Se procederá a realizar encuestas las cuales serán efectuadas a la

muestra de estudio que en el caso actual es al personal de la Corporación
Regsitro Civil de Guayaquil, consentirán comprobar la apreciación de los
empleados hacia la implementación de Hardening en la infraestructura
del sitio web de la Corporación Registro Civil de Guayaquil.
2.4.5 Análisis y técnicas de procesamiento de Datos
Luego de efectuar las respectivas encuestas a la muestra

compendiada, se procederá a ejecutar la tabulación y análisis de los
resultados.
Pregunta # 1
¿Piensa usted que la información en el sitio web de la Corporación

Registro Civil de Guayaquil es sensible a los hackers o individuos
mal intencionados que podrían afectarlas?
CUADRO Nº 6
PREGUNTA 1: ENCUESTA AL PERSONAL DE INFRAESTRUCTURA
DE LA CORPORACIÓN REGISTRO CIVIL DE GUAYAQUIL
OPCIONES FRECUENCIA PORCENTAJE
SI 7 100%
NO 0 0%
TOTAL 7 100%

Metodología 38
GRÁFICO Nº 1
FRAGILIDAD CON LOS HACKERS O INDIVIDUOS MAL
INTENCIONADOS

Interpretación de los datos
Todo el personal de infraestructura del sitio web de la Corporación

Registro Civil de Guayaquil que corresponde al 100% de la muestra
considera que la información puede ser violada por cualquier hackers o
individuo mal intencionado.
Pregunta # 2
¿Considera usted que la información que se manipula dentro de la

Corporación Registro Civil de Guayaquil es segura?
CUADRO Nº 7
SI 4 55%
NO 3 45%
TOTAL 7 100%
Metodología 39
GRÁFICO Nº 2
LA INFORMACIÓN DENTRO DE LA CORPORACIÓN ES SEGURA

Según los resultados presentados vemos que el 50% de la muestra

encuestada considera que la información dentro del sitio web de la
Corporación no es segura, mientras que el otro 50% restante piensa que
si lo es.
Pregunta # 3
¿Se ha presentado hurto de información en el sitio web de la

Corporación Registro Civil de Guayaquil?
CUADRO Nº 8
SI 2 35%
NO 5 65%
TOTAL 4 100%
Metodología 40
GRÁFICO Nº 3
HURTO DE LA INFORMACIÓN

Los resultados indican que al menos en un 33% se ha presentado

hurto de la información dentro del sitio web de la Corporación Registro
Civil de Guayaquil, esto recalca la relevancia en el fortalecimiento del sitio
web de la entidad, ya que la misma maneja información confidencial de
los ciudadanos.
Pregunta # 4
¿Piensa usted que la implementación de Hardening en el sitio web

de la Corporación Registro Civil de Guayaquil mediante el uso de
OWASP será una solución viable para el resguardo y aseguramiento
de la información dentro de la entidad?
CUADRO Nº 9
DE A CUERDO 5 73%
PARCIALMENTE DE ACUERDO 2 27%
EN DESACUERDO 0 0%
TOTAL 7 100%
Metodología 41
GRÁFICO Nº 4
IMPLEMENTACIÓN DE HARDENING MEDIANTE OWASP

Los resultados nos muestran que el 75% de la muestra encuestada

está de acuerdo con la implementación de Hardening en el sitio web de la
Corporación Registro Civil de Guayaquil haciendo uso de las
recomendaciones y herramientas de OWASP, mientras que el otro 25%
está parcialmente de acuerdo con la implementación de la misma.
Pregunta # 5
¿OWASP es una comunidad abierta dedicada a habilitar a las

organizaciones para desarrollar, comprar y mantener aplicaciones
confiables, Conoce usted de esta entidad?
CUADRO Nº 10
DE LA CORPORACIÓN REGISTRO CIVILDE GUAYAQUIL
SI 2 27%
NO 5 73%
TOTAL 7 100%
Metodología 42
GRÁFICO Nº 5
CONOCIMIENTO DE OWASP

Como se observa en el gráfico solo un 25% de la muestra de

estudio conoce de la Organización OWASP para el endurecimiento y
fortalecimiento de aplicaciones web, y el 75% desconoce de la misma.
Pregunta # 6
¿Considera usted que la utilización del Top 10 de OWASAP sería de

gran ayuda para fortalecer la información dentro de la Corporación
Registro Civil de Guayaquil y optimizar sus recursos?
CUADRO Nº 11
SI 7 100%
NO 0 0%
TOTAL 7 100%
Metodología 43
GRÁFICO Nº 6
UTILIZACIÓN DEL TOP 10 DE OWASAP

El 100% de los encuestados consideran que el Top 10 de

OWASAP es de gran ayuda para el fortalecimiento del sitio web de la
Corporación Registro Civil de Guayaquil y resguardo de la información,
ayudando así a la optimización de sus recursos.
2.5 Diagrama de Casos de Uso
Se utiliza está herramienta con el propósito de evidenciar todo el

estudio ejecutado con los actores implicados en un diagrama detallado
con el comportamiento estratégico y funcional de los diversos procesos
implantados.
DIAGRAMA Nº 7
DIAGRAMA DE CASOS DE USO Nº 1

Metodología 44
DIAGRAMA Nº 8

DIAGRAMA Nº 3

Metodología 45
2.6 Escenario Actual de las aplicaciones web de la Empresa

Con el paso del tiempo los sistemas de diversas organizaciones

han progresado e integrado a su actividad sistemas informáticos esto se
debe a la mejora de las Tecnologías de la Información y la Comunicación
(TIC).
Por ende avalar la seguridad del sistema web encargado de brindar

servicios de Cedulación, inscripción y certificados de:
 Nacimiento, difusión y matrimonios a los ciudadanos de la ciudad de

Guayaquil es de suma relevancia, pues de ello se acata la integridad,
privacidad y disponibilidad de la información recopilada en las
diferentes terminales de trabajo.
Una de las actividades que ofrece el aplicativo de la Corporación

Registro Civil de Guayaquil, es que mediante el ingreso al sitio web
pueden acceder los usuarios para consultar su información pero a su vez
existe un riesgo de amenaza de la información por virus y malware y
ciberataque.
Es por ello la necesidad de endurecer la infraestructura web del

mismo, con el fin de garantizar la seguridad de la información y que esta
no sea usada para objetivos ilícitos.
2.6.1 Tipos de Vulnerabilidades Generales

Metodología 46
El análisis efectuado por la herramienta Baseline Security Analyzer

encargada de comprobar el estado de seguridad según los protocolos de
seguridad de Microsoft arroja lo siguiente:
IMAGEN Nº 3
REPORTE DE VULNERABILIDADES GENERADO POR MBSA I

Metodología 47
IMAGEN Nº 4
REPORTE DE VULNERABILIDADES GENERADO POR MBSA II

IMAGEN Nº 5
REPORTE DE VULNERABILIDADES GENERADO POR MBSA III
Metodología 48

CUADRO Nº 12
VULNERABILIDADES GENERADO POR MBA
Security Silverlight Security Se necesita actualizar el
Update Update complemento.
Scan
Windows Update Security Se necesita parchar.
Results
Se necesita administrar mejor las
Automatic Update
actualizaciones.
Se necesita reiniciar para que se
Incomplete Update
apliquen los parches o updates.
Windows Solo debe haber un usuario
Administrators
Scan results administrador.
No hay cambio de password
Paswword Epiration asignada y por ende siempre van
a tener el mismo password.
El firewall de Windows no tiene
Windows Firewall
excepciones esta por default.
No está habilitado el registro de
Auditing
ciertos eventos en el event view.
Additional Los servicios están habilitados
Services
System por default.
Information No debe haber carpetas
Shares compartidas en servidores web.
Windows Versión Se muestra la versión del S.O.

IE Enhanced Security
Desktop No tiene login de dar permiso a
Configuration for
Application los administradores.
Administrators
Scan
IE Enhanced Security
Results No tiene login de dar permiso a
Configuration for Non-
los usuarios normales.
Administrators
2.7 Revisión de vulnerabilidades mediante OWASP Zed Attack

proxy (ZAP)
Esta plataforma está perfilada principalmente para monitorizar la

seguridad de sitios web en entidades siendo una de las herramientas del
proyecto más utilizadas referente a auditorías de seguridad.
Metodología 49
IMAGEN Nº 6
HERRAMIENTA OWASP ZED ATTACK PROXY (ZAP)

CUADRO Nº 13
RESUMEN DE VULNERABILIDADES POR OWASP ZED ATTACK
PROXY (ZAP)
Vulnerabilidades detectadas por herramienta OWASP Zed Attack
proxy (ZAP)
Remote OS Command Inyection Inyección de comandos.
Secure Pages Include Mixed Páginas con contenido mixto.

Content (Including Scripts)
X-Frame-Options Header Not Set Protección contra amenazas de
ataque clickjacking.
Content-Type Header Missing Disminución de riesgos de
seguridad tipo MIME.
Cookie No HttpOnly Flag Aplacamiento del ataque XSS más
común empleando HttpOnly.
Cookie Without Secure Flag Validación de atributos de Cookies
dentro del sitio web.
Cross-Domain JavaScript Source Controles de acceso de seguridad.
File Inclusion
Incomplete or No Cache-control Autenticación web, gestión de
and Pragma HTTP Header Set sesiones y control de acceso.
Metodología 50
Web Browser XSS Protection Not Reglas de prevención XXS.

Enabled
X-Content-Type-Options Header Disminución de riesgos de
Missing seguridad tipo MIME.
IMAGEN Nº 7
REVISIÒN DE VULNERABILIDADES DE RED SCANEO DE PUERTOS

IMAGEN Nº 8
FICHERO ROBOTS.TXT GENERADO MEDIANTE WGET

El fichero robots.txt se obtiene del directorio raíz del servidor web.

Por ejemplo, para descargar el fichero robots.txt de
www.corporacionregistrocivil.gob.ec mediante web.
Metodología 51
IMAGEN Nº 9
RECONOCIMIENTO MEDIANTE MOTORES DE BUSQUEDA (OWASP-
IG-002)

2.8 Pruebas de gestión de configuración de la infraestructura
(OWASP-CM-003)
La seguridad de infraestructura del sitio web está definida por un

equipo perimetral con tecnología IPS la cual previene de ataques y
genera reportes de diferentes eventos de seguridad y a su vez está el
firewall externo que cuenta con la tecnología UTM la cual tiene asignada
los diferentes controles para la asignación de una DMZ donde está
publicado el servidor del sitio web.
2.9 Pruebas de SSL/TLS (OWASP-CM-001)

Metodología 52
IMAGEN Nº 10
PRUEBAS DE SSL/TLS (OWASP-CM
001)

El servidor del sitio web cuenta con certificado SSL versión 3

SHA256, emitido por la empresa thawte, Inc.
Los certificados SSL garantizan la privacidad de la información

proporcionada por el usuario mediante la encriptación, protegiendo de
esta manera el proceso de transmisión de datos entre el usuario y el
server. Siempre mejoran el esquema de seguridad que visualizan los
usuarios respecto a nuestro sitio web.
CAPÍTULO III
PROPUESTA
3.1. Título de la Propuesta
Aseguramiento Y Endurecimiento (Hardening) de la Infraestructura

del Sitio Web de la Corporación Registro Civil De Guayaquil
3.2. Objetivo
El objetivo del presente trabajo de tesis es implementar Hardening

a la infraestructura del sitio web de la Corporación Registro Civil de
Guayaquil analizando sus contenedores, procedimientos de instalación y
vulnerabilidades, mediante diversas herramientas de endurecimiento
entre las cuales se procederá a la utilización de las Recomendadas por la
Organización OWASP.
3.3 Propuesta opciones y recomendaciones de Hardening
3.3.1 Datos
Dentro del análisis de vulnerabilidades se pudo detectar que se

genera Remote OS Command Inyection o inyección de código el mismo
consiste en tratar de introducir código que es descifrado/desarrollado por
el aplicativo. Esta clase de ataque descarga la manipulación pobre de
datos no confiables. Para evitar este tipo de ataques se requiere autorizar
adecuadamente las entradas y salidas de la información de la siguiente
manera:
Propuesta 53
 Caracteres aprobados (expresiones frecuentes, clases o

individualizadas)
 Dimensión de los datos
 Conjunto de identificaciones esperada.
3.3.2 Página
Otra vulnerabilidad encontrada en el sitio web es Secure Pages

Include Mixed Content o páginas de contenido mixto en este caso la
página web de la Corporación de Guayaquil combina el protocolo HTTPS
con contenido HTTP sin cifrar, en este caso la conexión solo estará
encriptada de manera parcial: la información sin cifrar está dispuesta a
recibir ataques de escaneando de información, por lo que resulta como
una conexión insegura. Por lo que se propone desactivar peticiones con
protocolos HTTP y remplazarlas por contenido servido por medio de
HTTPS.
3.3.3 Aplicación
Se requiere implementar medidas de protección contra amenazas

de ataque click hacking según el análisis de vulnerabilidades la aplicación
es sensible a la misma.
Esta clase de ataques engaña al usuario haciéndole creer que está

efectuando operaciones sobre un aplicativo web pero en realidad está
operando sobre un marco sobrepuesto diseñado por un atacante.
Por lo tanto, para impedir que las páginas de la aplicación web de

la Corporación de Guayaquil logren ser infiltradas y soportar ataques de
click hacking se propone implementar medidas entre las cuales está
puntualizar el campo X-Frame-Options en los encabezados de respuesta
HTTP.
Propuesta 54
En la siguiente imagen observamos cómo se visualiza el campo X-

Frame-Options en una respuesta HTTP:
IMAGEN Nº 11
CÓMO SE VISUALIZA EL CAMPO X-FRAME-OPTIONS EN UNA
RESPUESTA HTTP

3.3.4 Disminución de riesgos de seguridad tipo MIME
Con el fin de reducir este tipo de riesgos se propone que el servidor

envié como encabezado de respuesta "X-Content-Type-Options: nosniff".
La misma se basa en una particularidad de seguridad que frena los
ataques fundamentados en el desorden de los prototipos MIME.
Este cambio altera el procedimiento del navegador cuando el

servidor remite el encabezado "X-Content-Type-Options: nosniff" en sus
contestaciones.
Propuesta 55
Si la directiva "nosniff" se toma en una contestación recogida por

un informe styleSheet, Windows Internet Explorer no cargará el archivo
"stylesheet. Sin embargo si adopta una contestación recobrada por un
informe script, Internet Explorer no cargará el archivo "script" excepto que
el tipo MIME concuerde con al menos uno de los siguientes valores:
IMAGEN Nº 12
DISMINUCIÓN DE RIESGOS DE SEGURIDAD TIPO MIME

3.3.5 Aplacamiento del ataque XSS más común empleando HttpOnly
Mayormente los ataques de tipo XSS proceden al hurto de cookies

por sesión. El servidor puede protegerlo amenorando este problema
instaurando en el indicador HttpOnly una cookie que establece,
mostrando que la cookie no tiene que ser asequible en el cliente.
Si un explorador que acepta HttpOnly muestra una cookie que

abarca el indicador HttpOnly y el código de cliente pretende leer la cookie
el explorador reintegra una sucesión vacía como respuesta. Lo que logra
que el ataque no tenga éxito y frena que el código malicioso remita los
datos a la página web de un atacante.
Propuesta 56
Se logra implementar HttpOnly con las siguientes herramientas:
 Java Enterprise Edition 6 (JEE 6)

 .NET 2.0
 Python (CherryPy)
 PHP
Navegadores que permiten HttpOnly:
CUADRO Nº 14
NAVEGADORES QUE PERMITEN HTTPONLY
Fuente: http://www.owasp.org/index.php/HttpOnly
3.3.5.1 Prueba de exploradores Web para soporte HttpOnly
La siguiente prueba fue llevada a cabo en los exploradores web

Internet Explorer 7 y Opera 9.22.
 Deshabilitar HttpOnly
1. Se escoge la opción para desactivar HttpOnly
Propuesta 57
IMAGEN Nº 13
DESACTIVACIÓN DE HTTPONLY
1. Luego de deshabilitar HttpOnly, se escoge el botón “Leer Cookies” se

muestra un cuadro de dialogo como mensaje de alerta que comunicará
que el HttpOnly no se encontraba activado, la cookie 'unique2u' se
analizó correctamente como se presenta en la siguiente imagen:
IMAGEN Nº 14
COOKIE CON ÉXITO LEIDO CON HTTPONLY APAGADO
2. Como el HttpOnly se encuentra deshabilitado, se escoge el botón

“Escribir Cookie” en donde se presentará un cuadro de diálogo
informando que al no estar activado HttpOnly, la cookie 'unique2u' se
cambió exitosamente en el lado del cliente.
IMAGEN Nº 15
COOKIE ESCRITO CON ÉXITO CON HTTPONLY OFF
Propuesta 58
Como se pude observar, navegar sin HttpOnly se ha convertido en

una amenaza potencial. Por lo que se procederá seguidamente, a activar
HttpOnly para exponer como dicho indicador resguarda la cookie.
 Habilitar HttpOnly
3. Se procede a escoger el botón de opción activar HttpOnly como se

presenta en la siguiente imagen:
IMAGEN Nº 16
ACTIVACIÓN DE HTTPONLY
4. Luego de activar HttpOnly, se escoge el botón “Leer Cookie”. si el

explorador cumple cabalmente con el indicador HttpOnly, se presentará
sólo el ID de sesión como se ilustra en la siguiente imagen:
IMAGEN Nº 17
PROTECCIÓN DE LECTURA DE COOKIE FORZADA
Propuesta 59
Si el navegador no ejecuta correctamente el indicador HttpOnly, se

presentará un cuadro de diálogo de alerta que indica la cookie 'unique2u'
y el ID de sesión que se manifiesta a seguidamente:
IMAGEN Nº 18
PROTECIÓN DE LECTURA DE COOKIES NO REFORZADA
5. Escoger el Botón “Escribir Cookie”. Si el explorador cumple

correctamente con el indicador HttpOnly, la alteración del lado del
cliente no se efectuará por escrito en la cookie 'unique2u' y se mostrará
un mensaje de alerta que abarca el ID de la sesión.
IMAGEN Nº 19
PROTECCIÓN CONTRA ESCRITURA DE COOKIE FORZADA
En caso de que el navegador no aplique la propiedad de protección

contra escritura HttpOnly para cookie 'unique2u', la misma se actualizará
correctamente en el lado del cliente.
Propuesta 60
IMAGEN Nº 20
PROTECCIÓN CONTRA ESCRITURA DE COOKIES NO REFORZADA
3.3.6 Prueba de atributos de Cookies (OTG-SESS-002)
Para la validación de atributos de Cookies dentro del sitio web de la

Corporación Registro Civil de Guayaquil se propone realizar Prueba de
las debilidades de las propiedades de cookie por medio de la utilización
de un proxi de contención o de un complemento de explorador de
interposición de tráfico, obstruir todas las respuestas en las que el
aplicativo escoge una cookie y examinar la cookie para lo siguiente:
 Propiedad segura: cuando una cookie abarca información personal se

requiere el uso de un túnel de encriptación.
 Propiedad HttpOnly: esta propiedad debe implantarse aunque todos los
exploradores lo acepten. esta propiedad ayuda a evitar que la cookie
ingrese por medio de una secuencia de instrucciones del lado del
cliente, se encarga de eliminar ciertos segmentos de explotación.
 Propiedad de dominio: evidenciar que el dominio no se ha determinado
exageradamente.
 Propiedad de ruta: compruebe que la propiedad path igualmente que la
propiedad Dominio, no se haya determinado demasiado libre.
 Caduca la propiedad: Si esta propiedad se implanta en el futuro
verificar que la cookie no abarque ninguna información personal.
Propuesta 61
3.3.6.1 Controles de acceso de seguridad
Con el fin de salvaguardar la información del sitio web de la

Corporación de Guayaquil se propone aplicar controles de acceso de
seguridad cada vez que se procede a la creación de sesiones e inicio de
sesión.
 Atributos de ID de sesión: Para la implantación de identificadores de

sesión seguros, la concepción de identificadores debe de verificar las
siguientes propiedades:
1. ID de la sesión Nombre Fingerprinting: El seudónimo manejado

por el identificador de sesión no tiene que ser considerablemente
representativo ni brindar detalles redundantes en cuanto a la
intención y el significado de la identificación.
2. Longitud de ID de sesión: El identificador de la sesión tiene que
ser bastantemente extenso con el objetivo de impedir ataques de
fuerza bruta, en la cual el agresor logra transitar toda la progresión
de valores de ID y comprobar la efectividad de sesiones seguras.
3. Entropía de ID de sesión: El ID de la sesión debe ser aleatorio
con el objetivo de impedir ataques de adivinación, en el cual el
atacante es capaz de descifrar el ID de una sesión mediante
procedimientos de estudios estadísticos.
4. Contenido de ID de sesión: El ID de sesión deber ser
estrictamente un identificador de lado del cliente, y su contenido no
debe abarcar datos sensibles.
3.3.7 Reglas de prevención XXS
Para el fortalecimiento del sitio web de la Corporación Registro Civil

de Guayaquil se propone la implementación de reglas simples con el
objetivo de protegerse contra un ataque XXS.
Propuesta 62
3.3.7.1 Regla # 0 Nunca implante datos confidenciales

exceptuados en establecimientos accesibles
Una de las primeras reglas es la negación de todo no ingrese datos

no confiados en su documento HTML excepto que se encuentre dentro de
las ranuras puntualizadas en la Regla # 1 a la # 5.
IMAGEN Nº 21
REGLA # 0 NUNCA IMPLANTE DATOS CONFIDENCIALES
EXCEPTUADOS EN ESTABLECIMIENTOS ACCESIBLES

3.3.7.2 Regla # 1 Escape HTML antes de implantar datos no

confiados en el contenido del componente HTML
La regla # 1 es en el caso que se desea colocar datos no

confiables concisamente en el cuerpo del HTML. Lo que involucra los
protocolos div, p, b, etc. mayormente los frameworks web que poseen
mecanismos de escape HTML para representaciones definidos
seguidamente.
.
IMAGEN Nº 22
REGLA # 1 ESCAPE HTML ANTES DE IMPLANTAR DATOS NO
CONFIADOS EN EL CONTENIDO DEL COMPONENTE HTML

Propuesta 63
3.3.7.3 Regla # 2 Escape de propiedad antes de implantar datos no

confiable en HTML propiedades frecuentes
La regla # 2 permite colocar datos no confiables en valores de

propiedades característicos como amplitud, seudónimo, valor, etc. El
mismo no debe emplearse para propiedades complicadas.
IMAGEN Nº 23
REGLA # 2 ESCAPE DE PROPIEDAD ANTES DE IMPLANTAR DATOS
NO CONFIABLE EN HTML PROPIEDADES FRECUENTES

3.3.7.4 Regla # 3 Escape de JavaScript antes de implantar datos no

confiables en valores de datos
La regla # 3 hace referencia al código JavaScript creado

activamente: componentes de secuencia de instrucciones y propiedades
de examinador de eventos. El único sitio seguro para colocar datos no
confiados en dicho código es centralmente en un valor de datos.
IMAGEN Nº 24
REGLA # 3 ESCAPE DE JAVASCRIPT ANTES DE IMPLANTAR
DATOS NO CONFIABLES EN VALORES DE DATOS

Propuesta 64
3.3.7.5 Regla # 4 CSS Escape riguroso validar antes de implantar

datos no fidedignos en valores de atributos de estilo HTLML
La regla # 4 se debe emplear cuando se requiere implantar datos

no confiables en una página de estilo. CSS es una herramienta poderosa,
y puede ser manipulado para diversos ataques. Por lo cual, es de suma
relevancia utilizar datos no confiables en un valor de atributos y no en
otros sitios en las hojas de estilo.
IMAGEN Nº 25
REGLA # 4 CSS ESCAPE RIGUROSO VALIDAR ANTES DE
IMPLANTAR DATOS NO FIDEDIGNOS EN VALORES DE ATRIBUTOS
DE ESTILO HTLML

3.3.7.6 Regla # 5 Escape de URL antes de implantar datos no

fidedignos en valores de cuantificación de URL HTML
La regla # 5 se puede emplear para colocar datos no confiables en

el valor de cuantificación HTTP GET.
IMAGEN Nº 26
REGLA # 5 ESCAPE DE URL ANTES DE IMPLANTAR DATOS NO
FIDEDIGNOS EN VALORES DE CUANTIFICACIÓN DE URL HTML

Propuesta 65
3.3.7.7 Regla # 6 Gestionar el marcado HTML con un archivo

delineado para el trabajo
Si el aplicativo maneja el marcado suele ser muy complejo de

validar. La programación también es compleja, debido a que involucra
fragmentar todas las etiquetas que se encuentran en la entrada. Por lo
que se requiere una biblioteca que logre examinar y limpiar texto.
IMAGEN Nº 27
REGLA # 6 GESTIONAR EL MARCADO HTML CON UN ARCHIVO
DELINEADO PARA EL TRABAJO

Según El análisis de seguridad efectuado por la herramienta

Microsoft Baseline Security Analyzer se pudo detectar ciertas
vulnerabilidades del sistema por lo cual se propone las siguientes
acciones a aplicar:
3.3.8 Actualizar complemento de Silverlight Security Update
Se debe tener actualizado por medidas de seguridad el

complemento ya que además de proveer funciones de multimedia este es
vulnerable a ataques x, continua desfase de actualización del mismo.
Propuesta 66
3.3.9 Parchar Windows Update Security
Microsoft propone parchar constantemente sus productos ya sean

desde equipos con sistemas operativos de escritorios hasta servidores
debido a que continuamente existen amenazas que aprovechan estas
vulnerabilidades de sistemas Operativos para poder ingresar a los
sistemas.
Generalmente se debe aplicar parches de seguridad y de sistemas

operativos que son los más importantes, no hay que olvidar que también
se debe instalar las últimas versiones de los parches o actualizaciones es
contraproducente ya que saben provocar inestabilidad en los sistemas
operativos lo recomendable seria parchar cada 15 días o mensualmente.
3.3.10 Administrar mejor las actualizaciones de Automatic

Update
Con respecto a la forma de descargar las actualizaciones se debe

tomar en consideración una solución Administrable que aplique los
parches necesarios como System Center 2012 R2 o WSUS ya evitaremos
la tarea de hacerlo manualmente servidor por servidor y a su vez
evitaremos el excesivo consumo de ancho de banda.
3.3.11 Solo debe haber un usuario administrador.
En el servidor localmente debe contar con una sola cuenta

administrador con la complejidad necesaria como mayor a 8 dígitos y
debe contener caracteres especiales números y por los menos una letra
Mayúsculas.
Adicional el resto de cuenta debe ser manejada por Controlador de

Dominio como cuentas de servicios o en su defecto cuentas de soporte
para poder tener una mejor administración de las seguridades.
Propuesta 67
3.3.12 El firewall de Windows no tiene excepciones esta por

default
El Firewall de Windows generalmente en versiones anteriores de la

gama de servidores se desactivaba ya que no permitía explotación de sus
funciones como reglas de ingreso o salida, actualmente en as versión de
Windows server 2012 es más administrable por lo que se puede hacer un
filtrado de ciertos protocolos validando la necesidad de nuestro servidor
en este caso se podría activar y darle permiso a las conexiones remotas
de dominio y los protocolos 80 y 443 que son los que generalmente
maneja las peticiones de internet.
3.3.13 Habilitar el registro de ciertos eventos en el event view
En esta parte se manejaría por GPO de seguridad a nivel de

dominio donde se habilitaría el registro de los siguientes eventos:
 Inicio de sesión de cuenta

 Administración de cuentas
 Seguimiento detallado
 Acceso DS
 Inicio de sesión o cierre de sesión
 System (Sistema)
 Acceso a objetos
3.3.14 Los servicios no deben estar habilitados por default
Los servidores Windows por lo general vienen con los servicios

activados por default, en este caso como es un servidor web se debería
deshabilitar los siguientes servicios comunes:
 Telnet
Propuesta 68
 FTP
 SMTP
 NNTP
 Printer
 Shared
3.3.15 No debe haber carpetas compartidas en servidores web
Los servidores Windows tienen la facilidad de compartir recursos

con el fin de poder verlos en otros servidores, pero cuando se trata de un
servidor web el cual va a estar presentado en internet este no debería
compartir ningún recurso ya que los atacantes lo pueden utilizar como
medio para causar un ataque masivo de los demás servidores.
3.3.16 No tiene login de dar permiso a los administradores y

usuarios normales
Por default viene habilitado ya que previene ataques de sitios web

mal intencionados, pero al estar habilitado al navegar en ciertos sitios web
no lo muestra correctamente por lo que la mayoría de los administradores
lo deshabilita, pero en este caso el servidor web solo va a prestar un
servicio y no va a navegar en internet por lo que debería quedar
habilitado.
3.4 Estudio de factibilidad
Una vez que se han estudiado las encuestas realizadas al personal

de infraestructura de la Corporación Registro Civil de Guayaquil en donde
se pudo concluir que dan un punto de vista favorable para la
implementación de Hardening en la infraestructura del sitio web, en donde
se logra constatar que el proyecto es factible en concordancia con todas
las medidas tomadas en cuenta para la resolución del actual ofrecimiento.
Propuesta 69
3.4.1 Factibilidad técnica
Para que el proyecto en proceso se desarrolle y funcione de

manera eficiente, es necesario cumplir con detalles técnicos tanto en
componente hardware como software, la Corporación Registro Civil de
Guayaquil cuenta con componentes de computación en sus instalaciones
las mismas se encuentran a disposición para ser manejados y para la
correcta implementación de Hardening en la infraestructura del sitio web
de la entidad. Seguidamente se describen las características técnicas de
los componentes de computación que se encuentran en el departamento
IT de la Corporación Registro Civil de Guayaquil las mismas utilizadas por
el personal IT.
CUADRO Nº 15
CARACTERISTICAS TÉCNICAS DE ORDENADOR DE USUARIO

Para la implementación de Hardening se detalla lo siguiente:

Propuesta 70
1. Los equipos que posee la Corporación Registro Civil de Guayaquil

cumplen con las características requeridas para la implementación y
funcionamiento óptimo del Hardening a aplicar en la infraestructura del
sitio web.
2. Se utiliza una máquina virtual con el sistema operativo KALI 2.0 el
mismo contiene la suite de testeo de la OWASAP.
3. Se utiliza herramientas Microsoft como MBA (Microsoft Base Analizer).
La técnica es elaborable de implementar en la infraestructura del

sitio web de la entidad, debido a que la misma cumple con los
requerimientos y los detalles técnicos.
3.4.2 Factibilidad económica
Los elementos técnicos y humanos requeridos para la

implementación del actual proyecto se describen a continuación:
 Una laptop Hp Core i 7 con 12 GB de RAM
Como valoración de la factibilidad económica se genera lo

siguiente:
 El costo de elementos hardware será nulo debido a que la Corporación

Registro Civil de Guayaquil consta con dichos recursos.
 El costo de software y licencias no tendrá ningún costo ya que son
herramientas open source.
 Las licencias para los sistemas operativos están abarcadas desde el
instante en que se obtuvieron los equipos.
Propuesta 71
 Los costos referentes a Recursos humanos de describen seguidamente

en horas hombre para la implementación de Hardening en el sitio web
de la Corporación Registro Civil de Guayaquil.
CUADRO Nº 16
RECURSOS HUMANOS

Económicamente es factible ya que no se requiere gastos

agregados de hardware y software la implementación de Hardening
llevada a cabo será ejecutada por el investigador del actual proyecto para
la Corporación Registro Civil de Guayaquil.
3.4.3 Factibilidad operacional
El valor agregado más importante que se obtendrá con la

implementación de Hardening en el sitio web de la Corporación Registro
Civil de Guayaquil, es que la información confidencial manejada dentro
del sistema estará salvaguardada evitando ataques cibernéticos de toda
índole como virus informáticos, métodos de infección, etc.
Para su ejecución se llevó a cabo lo siguiente:
 Determinar áreas de vulnerabilidad de la infraestructura de sitio web

con sus respectivas acciones y afectaciones.
 Formalizar procedimientos y monitoreo de las vulnerabilidades más
comunes en la web.
Propuesta 72
 Realizar pruebas sobre los sistemas operativos del hardware para

determinar sus vulnerabilidades, mediante herramientas de testeo
(Software).
 Mantener los servicios del sitio web actualizados para mitigar futuros
ciberataques.
Planteado esto, se determina que es totalmente factible su

implementación desde la perspectiva operacional la implementación de
Hardening en la infraestructura del sitio web de la Corporación Registro
Civil de Guayaquil.
3.4.4 Impacto
Seguidamente se detalla el impacto que recibirá la Corporación de

Guayaquil:
a) Con la implementación de Hardening en la infraestructura del sitio web

de la Corporación Registro Civil de Guayaquil se reducirán de manera
significativa posibles ataques cibernéticos en el aplicativo. Evitando así
consecuencias de seguridad como robo de la información, infección por
virus informáticos, etc.
b) Se mejorará el proceso de monitoreo de detección de amenazas en el
sitio web, salvaguardando así de manera más óptima y eficiente la
información confidencial, por lo cual los clientes al acceder a la
aplicación correrán menos riesgos de ataques cibernéticos.
3.5 Conclusiones
El Hardening implementado lograra minimizar las vulnerabilidades

detectadas, la localización y atenuación de las fragilidades debe ser
específico para cada sistema operativo, como resultado del Hardening
aplicado se puede determinar que las vulnerabilidades pueden
Propuesta 73
minimizarse, si bien a diario se van creando nuevos tipos de amenaza

para sitios web y a pesar de poseer una distribución lógica preparada
para la mayor parte de envestidas informáticas los atacantes
constantemente hallan algún hueco de seguridad por donde acceden,
cabe reiterar que ningún sitio web es 100% seguro, lo que efectúa el
proceso de Hardening es minimizar el riesgo en caso que se presente
algún inconveniente todo esto dependerá de componentes técnicos y
elementos humanos.
En las pruebas efectuadas de vulnerabilidades en el sitio web de la

Corporación Registro Civil de Guayaquil se puede constatar que los
mismos pueden ser exitosos si no se toman las medidas sistemáticas
apropiadas, es suficiente con analizar las vulnerabilidades de datos o de
aplicación como tal para vulnerar el sitio web y que el mismo se vea
comprometido. El actual estudio se basó en las vulnerabilidades
existentes generadas por las herramientas de OWASP y el análisis de
vulnerabilidades efectuadas por la herramienta Microsoft Baseline
Security Analyzer muchas de estas vulnerabilidades trata de actualización
de componentes, creación de parches para la eliminación de la
vulnerabilidad, amenazas de ataque click hacking, contenido de páginas
mixtas , etc.
3.6 Recomendaciones
El Hardening implementado en sitios web debe fortalecer la

seguridad a nivel de usuario, habitualmente el usuario final resulta ser el
más vulnerable en el manejo de la seguridad informática, se recomienda
capacitaciones de inducción para la utilización segura de los sistemas
informáticos.
El presente Hardening aplicado en el sitio web de la Corporación

Registro Civil de Guayaquil logró minimizar las vulnerabilidades
Propuesta 74
detectadas por lo que se recomienda fortalecer la seguridad con

aplicaciones adicionales como antivirus, antimalware y administradores
consolidados de amenazas, la combinación de diferentes capas de
seguridad comprimirán el riesgo de ataques informáticos.
ANEXOS
Anexos 75
ANEXO N° 1
ENCUESTA
Formato de encuesta
Fecha: 22/08/2017
Preguntas:
1) ¿Piensa usted que la información en el sitio web de la

Corporación Registro Civil de Guayaquil es sensible a los
hackers o individuos mal intencionados que podrían
afectarlas?
SI NO
2) ¿Considera usted que la información que se manipula dentro

del Municipio Corporación Registro Civil de Guayaquil es
segura?
SI NO
3) ¿Se ha presentado hurto de información en el sitio web de la

Corporación Registro Civil de Guayaquil?
SI NO
Anexos 76
4) ¿Piensa usted que la implementación de Hardening en el sitio

web de la Corporación Registro Civil de Guayaquil mediante
el uso de OWASP será una solución viable para el resguardo
y aseguramiento de la información dentro de la entidad?
DE A CUERDO
PARCIALMENTE DE ACUERDO
EN DESACUERDO
5) ¿OWASP es una comunidad abierta dedicada a habilitar a las

organizaciones para desarrollar, comprar y mantener
aplicaciones confiables, Conoce usted de esta entidad?
SI NO
6) ¿Considera usted que la utilización del Top 10 de OWASAP

sería de gran ayuda para fortalecer la información dentro de
la Corporación Registro Civil de Guayaquil y optimizar sus
recursos?
SI NO

Anexos 77
ANEXO N° 2
CRONOGRAMA DE ACTIVIDADES

BIBLIOGRAFÍA
Albacete, J. F. (5 de 06 de 2015). Seguridad en equipos informáticos.

IFCT0510. Obtenido de Seguridad en equipos informáticos.
IFCT0510:
https://books.google.com.ec/books?id=GK_KCQAAQBAJ&dq=defin
icion+de+DMZ+en+redes&source=gbs_navlinks_s
Benito, F. G. (04 de 06 de 2014). Universidad de Valladolid. Obtenido de

Universidad de Valladolid: http://index-of.co.uk/USB/PFC-B.14.pdf
Bisquerra.R. (1989). UNIVERSIDAD NACIONAL ABIERTA. Obtenido de

UNIVERSIDAD NACIONAL ABIERTA:
http://dip.una.edu.ve/mead/metodologia1/Lecturas/bisquerra2.pdf
Bonnet, N. (2013). Ediciones ENI. Obtenido de

https://books.google.com.ec/books?id=x9bXoUpBUzQC&printsec=f
rontcover&dq=que+es+windows+server+2012&hl=es&sa=X&redir_
esc=y#v=onepage&q=que%20es%20windows%20server%202012
&f=false
Casas. (2017).
Cazau, P. (03 de 2006). Obtenido de

http://alcazaba.unex.es/asg/400758/MATERIALES/INTRODUCCI%
C3%93N%20A%20LA%20INVESTIGACI%C3%93N%20EN%20CC
.SS..pdf
CISCO. (2016). Obtenido de

https://www.cisco.com/c/es_mx/support/docs/ip/routing-information-
protocol-rip/13788-3.html
Bibliografía 79
CISCO. (2017). CISCO. Obtenido de CISCO:

https://www.cisco.com/c/es_mx/products/security/firewalls/what-is-
a-firewall.html
García, Á. L. (29 de 10 de 2015). Gestión de redes telemáticas.

IFCT0410 . Obtenido de Gestión de redes telemáticas. IFCT0410 :
https://books.google.com.ec/books?id=dDPTCgAAQBAJ&pg=PT10
6&dq=definicion+de+Protocolos+en+redes&hl=es-
419&sa=X&ved=0ahUKEwjq_PC_ir_VAhUD5SYKHRC7DeU4ChD
oAQgoMAE#v=onepage&q=definicion%20de%20Protocolos%20en
%20redes&f=false
J., C., & Date. (2001). Pearson Educación. Obtenido de

https://books.google.com.ec/books?id=Vhum351T-
K8C&dq=isbn:9684444192&hl=es&source=gbs_navlinks_s
Jara, & Pacheco. (2012).
Luján, M. S. (2002). Editorial Club Universitario. Obtenido de Editorial

Club Universitario:
https://books.google.com.ec/books?id=r9CqDYh2-
loC&pg=PA62&lpg=PA62&dq=que+es+un+sitio+web&source=bl&ot
s=MjwPVn4UJZ&sig=x635KhyOCP7WN0ddG9frbu_YL2I&hl=es&s
a=X&redir_esc=y#v=onepage&q=que%20es%20un%20sitio%20we
b&f=false
Microsoft. (2017). Microsoft. Obtenido de Microsoft:

https://msdn.microsoft.com/es-es/library/bb545450.aspx
Microsoft, S. (2017). Obtenido de https://support.microsoft.com/es-

es/help/550559
Bibliografía 80
Morone, G. (12 de 06 de 2012). Obtenido de

http://biblioteca.ucv.cl/site/servicios/documentos/metodologias_inve
stigacion.pdf
OWASP. (06 de 06 de 2016). Obtenido de

https://www.owasp.org/index.php/Category:Vulnerability
OWASP. (13 de 07 de 2017). OWASP. Obtenido de OWASP:

https://www.owasp.org/index.php/About_The_Open_Web_Applicati
on_Security_Project#The_OWASP_Foundation
OWASP, F. (2017). OWASP. Obtenido de OWASP:

https://www.owasp.org/index.php/Top_10_2017-Top_10
OWASP, G. d. (13 de 07 de 2017). Obtenido de

https://www.owasp.org/index.php/About_The_Open_Web_Applicati
on_Security_Project#The_OWASP_Foundation
OWASP-CISO. (17 de 03 de 2015). OWASP. Obtenido de OWASP:

https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf
Proxy, O. Z. (09 de 08 de 2017). Obtenido de

https://translate.googleusercontent.com/translate_c?depth=1&hl=es
&prev=search&rurl=translate.google.com.ec&sl=en&sp=nmt4&u=htt
ps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
&usg=ALkJrhguW60hoAyeermMyZK8u4XU4Ale2w
Quintero, E. B. (29 de 10 de 2015). Equipos de interconexión y servicios

de red. IFCT0410. Obtenido de Equipos de interconexión y
servicios de red. IFCT0410:
https://books.google.com.ec/books?id=CDTTCgAAQBAJ&pg=PT72
&dq=definicion+de+NAT+en+redes&hl=es-
Bibliografía 81
419&sa=X&ved=0ahUKEwjXi5OMoL_VAhXEYiYKHRjqCAwQ6AEI
JTAA#v=onepage&q=definicion%20de%20NAT%20en%20redes&f
=false
Rault, R., Schalkwijk, L., Acissi, Agé, M., Crocfer, N., Crocfer, R., . . .
Lasson, S. (1 de 09 de 2015). EDICIONES ENI . Obtenido de
EDICIONES ENI :
https://books.google.com.ec/books?id=4X32wbgtNfUC&printsec=fr
ontcover&dq=isbn:2746097249&hl=es&sa=X&redir_esc=y#v=onep
age&q=hacking&f=false
Rodríguez, M. (11 de 2016). Obtenido de

https://backtrackacademy.com/articulo/auditoria-de-infraestructura-
de-tecnologia-de-informacion-basado-en-estandares-buenas-
practicas
Sanchéz, E. P. (03 de 06 de 2013). MAGAZCITUM. Obtenido de

MAGAZCITUM:
http://www.magazcitum.com.mx/?p=2109#.WaBqTT6GPIV
TechNet, M. (2017). Microsoft TechNet. Obtenido de Microsoft TechNet:

https://technet.microsoft.com/es-es/library/cc303422.aspx
Tejada, E. C. (5 de 06 de 2015). IC Editorial. Obtenido de IC Editorial:

https://books.google.com.ec/books?id=y63KCQAAQBAJ&dq=que+
es+IPS&source=gbs_navlinks_s
Toro, G. (04 de 01 de 2008). Obtenido de

https://we.riseup.net/assets/77169/Manual-de-uso-de-Nmap.pdf

TESIS DANNY JOZA Calderon ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING) DE LA INFRAESTRUCTURA DEL SITIO WEB - 0

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TESIS DANNY JOZA Calderon ASEGURAMIENTO Y ENDURECIMIENTO (HARDENING) DE LA INFRAESTRUCTURA DEL SITIO WEB - 0

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE INGENERÍA INDUSTRIAL

DIRECTOR DEL TRABAJO

“El contenido de este Trabajo de Titulación, son de mi autoría; y la

Joza Calderón Danny John

Dedico esta tesis a Dios que ha sido mi guía en este camino de

A mis padres; que, con su amor, confianza, consejos, apoyo y

Quiero agradecer a Dios por bendecirme y darme la suficiente

Y agradecer a mis padres por estar pendientes siempre de mí, por

12 Vulnerabilidades generado por MBA 47

AUTOR: JOZA CALDERÓN DANNY JOHN

Actualmente los aplicativos web se han tornado necesarios para la

PALABRAS CLAVES: OWASP, Hardening, SharePoint, VB.NET,

AUTHOR: JOZA CALDERÓN DANNY JOHN

Currently the web applications have become necessary for the

KEY WORDS: OWASP, Hardening, SharePoint, VB.NET, Web,

El actual trabajo de tesis tiene como título Aseguramiento y

El proyecto busca implementar el aseguramiento y Hardening en el

El proyecto se encuentra distribuido en tres capítulos descritos a

Capítulo 1: Encontramos toda la parte conceptual de diversos

Capítulo 2: Se explicarán los métodos manejados en la

Capítulo 3: Se especificará la propuesta del estudio las

“Aseguramiento y Endurecimiento (Hardening) de la Infraestructura

La Corporación Registro Civil de Guayaquil está ubicada en Av.

Entre los servicios que presta la Corporación, está el sitio web

El endurecimiento o aseguramiento (Hardening) es una acción

una persona encargada del área de sistemas para reforzar al máximo

El objeto de investigación es el aseguramiento y endurecimiento

La seguridad de la red comprende tanto la protección física de los

El aseguramiento y endurecimiento de las seguridades del Sitio

Realizar el estudio del endurecimiento de las seguridades de la

El fortalecimiento se realiza utilizando principalmente herramientas

Una infraestructura tecnológica debe estar diseñada para que sus

En pocas palabras, a medida que se busca una seguridad mayor

Realizar el aseguramiento y el endurecimiento de las seguridades

 Determinar áreas de vulnerabilidad de la infraestructura de sitio web

El actual apartado evidenciara los datos requeridos para contar con

Toda entidad conoce la importancia de la información y que debe

OWASP es una organización internacional. OWASP es una

La página oficial (OWASP, OWASP, 2017) indica lo siguiente:

OWASP está en una posición única para proporcionar

herramientas de software y documentación basada en el

El apartado de (OWASP-CISO, 2015) plasmó lo siguiente:

“Los intrusos siempre utilizan diferentes aplicaciones

Fuente: https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf - (OWASP-CISO, 2015, pág. 39)

1.3 Los Diez Factores de Riesgo

La tabla siguiente presenta un resumen de los Principales Riesgos

Para comprender estos riesgos para una aplicación u organización

Incluso las debilidades de software notables pueden no presentar

Las fallas de inyección, como la inyección de SQL, OS, XXE y

“Los datos hostiles del atacante pueden engañar al

Las funciones de aplicación relacionadas con la

1.3.3 A3-Cross-Site Scripting (XSS)

Las vulnerabilidad XSS o Cross-Site scripting resultan cuando una

XSS permite a los atacantes ejecutar scripts en el navegador de la

1.3.4 A4-Broken Access Control

Las restricciones sobre lo que se permite a los usuarios

1.3.5 A5-Security Misconfiguration

Una buena seguridad requiere tener una configuración

1.3.6 A6-Sensitive Data Exposure

Muchas aplicaciones web y API no protegen

1.3.7 A7-Insufficient Attack Protection

La mayoría de las aplicaciones y API carecen de la