UNIDAD 1: FASE 4.

CONOCER LAS CARACTERÍSTICAS Y EL FUNCIONAMIENTO

DE LAS AMENAZAS

SEGURIDAD EN SISTEMAS OPERATIVOS

233007_1

JESSICA PAOLA AMADO DIAZ

CODIGO: 1095944705

JULIAN ANDRES SUAREZ CADENA

CODIGO: 80896117

ALEJANDRO ARTURO GONZALEZ

CODIGO: 80056640

MIGUEL STEVEN LOPEZ RUIZ

CODIGO: 1026583983

TUTOR

MILTON JAVIER MATEUS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

CEAD JOSÉ ACEVEDO Y GÓMEZ

BOGOTA 2020

P á g i n a 1 | 14
 TABLA DE CONTENIDO

INTRODUCCIÓN.........................................................................................................................3
DESARROLLO DE LA ACTIVIDAD........................................................................................4
METODOLOGIAS DE INTRUSIÓN......................................................................................5
1. OSSTMM:....................................................................................................................5
2. ISSAF............................................................................................................................5
3. OTP (OWASP Testing Project).................................................................................6
4. METODOLOGIA CVSS (Common Vulnerability Scoring System)......................7
5. METODOLOGIA PTES (Penetration Testing execution standard)......................8
6. METODOLOGIA (WASC-TC) Web Application Security Consortium Threat. 8
VULNERABILIDADES............................................................................................................9
1. CONTRASEÑAS DÉBILES......................................................................................9
2. REDIRECCIONAMIENTO DE URL A SITIOS NO CONFIABLES..................9
3. FALTA DE CIFRADO DE DATOS..........................................................................9
4. SOFTWARE QUE YA ESTÁ INFECTADO CON VIRUS....................................9
5. ERROR DE FORMATO DE CADENA.................................................................10
6. VENTANAS ENGAÑOSAS.....................................................................................10
7. AUTENTICACION DEBIL.....................................................................................10
8. SENSITIVE DATA EXPOSURE.............................................................................10
9. XML EXTERNAL ENTITIES (XXE)....................................................................10
10. BROKEN ACCESS CONTROL..............................................................................10
METODOLOGIA DE TESTING ESCOGIDA........................................................................11
HERRAMIENTA IDS.................................................................................................................11
CONCLUSIONES.......................................................................................................................12
REFERENCIAS BIBLIOGRAFICAS.......................................................................................14

P á g i n a 2 | 14
 INTRODUCCIÓN

En el análisis informático para situaciones de riesgo y vulnerabilidad en las compañias,

debemos conocer y establecer claramente la metodologia de intruision y testing a utilizar ya que

son la base importante para de esta forma mitigar y endurecer la seguridad informatica.

Partiendo desde esa estructura conceptual en este trabajo damos a conocer las diferentes

vulnerabilidades a las cuales puede estar expuesta la empresa Digital Covers y las metodologias

especificas y de cara de un experto para endurecer y garantizar cualquier tipo de ataque

informatico.

P á g i n a 3 | 14
 DESARROLLO DE LA ACTIVIDAD

La compañía Digital Covers, es una empresa enfocada en la creación de soluciones web,

creadores de contenidos también son especialistas en vender información comercial, lo que

quieren es expandir nuevas líneas para darse a conocer más y que conozcan más sus productos,

entonces Digital Covers se está aliando con más personas para hacer esto realidad, los aliados se

encuentran en el área de segmentos móviles entonces ellos se están basando en la infraestructura

de comunicaciones también están enfocados en las pasarelas de pago, entonces sabiendo que los

nuevos aliados están enfocados en todo lo de seguridad entonces la compañía debe tomar otras

medidas para ejecutar los diferentes procesos como lo son intrusión, testing para así poder

fortalecer la seguridad informática. Entonces la compañía necesita expertos para tomar las

labores que los nuevos aliados tienen ya avanzado para emprender como compañía, pero para

esto se necesita investigar sobre los conceptos relacionados con la seguridad informática y

testing, pero también hacer una pequeña investigación de las metodologías de intrusión y testing

para para continuar con el desarrollo, teniendo también claro que tipos de ataques existen para

evitarlos.

Las metodologías de intrusión que se van a utilizar para el desarrollo de la situación planteada

anterior son:

P á g i n a 4 | 14
 METODOLOGIAS DE INTRUSIÓN

1. OSSTMM: esta metodología nos permitirá un testeo de seguridad ordenada y con calidad

profesional a los sistemas de información de la compañía Digital Covers, la metodología se

encuentra dividida en varias secciones. Del mismo modo, es posible identificar en ella, una

serie de módulos de testeo específicos, a través de los cuales se observan cada una de las

dimensiones de seguridad, integradas con las tareas a llevar a cabo en los diferentes puntos

de revisión.

2. ISSAF: es diseñada para evaluar la red de trabajo y el sistema de control de las aplicaciones,

la información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que se ha

dado en llamar "Criterios de Evaluación", por eso para la compañía Digital Covers será de

gran ayuda utilizar esta metodología.

Es un marco metodológico que permite clasificar la información de la evaluación de

seguridad en diversos dominios usando diferentes criterios de prueba.

Integra herramientas de gestión y listas de control interno como son la evaluación de

Políticas y los procesos de seguridad de la información para informar sobre su cumplimiento

en estándares de la industria TI, las leyes aplicables y los requisitos reglamentarios.

Identifica los riesgos relacionados con las tecnologías, los riesgos dentro de las personas,

fortalece procesos y tecnologías existentes, proporciona mejores prácticas y procedimientos

para respaldar las iniciativas de continuidad del negocio.

Su principal objetivo es dar integridad, precisión y eficiencia a las evaluaciones de seguridad.

P á g i n a 5 | 14
3. OTP (OWASP Testing Project): esta metodología es muy orientada a realizar pruebas en

aplicaciones web, lo que es interesante para la compañía tener esta metodología porque es

una empresa renfocada en la creación de soluciones web, entonces le ayuda al Testeo de las

aplicaciones, para tener más seguridad con lo que se está ofreciendo.

1. Principios del testeo

2. Explicación de las técnicas de testeo.

3. Explicación general acerca del framework de testeo de OWASP.

4. Planificación de testeo de ciclo de vida del software

5. Revisión de los Requerimientos de Seguridad

6. Diseño de Revisión de Arquitectura

7. Creación y Revisión de modelos UML

8. Creación y Revisión de modelos de Amenazas

9. Testeo de Penetración sobre la Aplicación

10. Testeo sobre la Administración y Configuración

4. METODOLOGIA CVSS (Common Vulnerability Scoring System): Estándar de

medición que brinda puntuaciones de impacto de vulnerabilidades precisas y consistentes.

El CVSS entrega dos resultados importantes:

1. El cálculo de la gravedad de las vulnerabilidades.

2. La priorización de las actividades para eliminarlas.

P á g i n a 6 | 14
Estos resultados son proporcionados en base a la base de datos nacional de vulnerabilidad NVD

especificando el rango de calificaciones de gravedad cualitativa para las vulnerabilidades para la

metodología CVSS tal como lo muestra la tabla 1.

Tabla1.- Calificaciones de CVSS v3.0

Rango de
Gravedad
Puntaje Base
Ninguna 0.0
Bajo 0.1 - 3.9
Medio 4.0 - 6.9
Alto 7.0 - 8.9
Critico 9.0 - 10.0

5. METODOLOGIA PTES (Penetration Testing execution standard): Esta metodología se

enmarca en la metodología OSSTMM, donde une esfuerzos de analistas y expertos en

seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos

más habituales.

La ejecución de un test se divide en 7 fases:

 Se llega a un acuerdo con el cliente de la profundidad de las pruebas a realizar,

permisividad de ataques, enfoque del test, presentación de evidencias.

 Se levanta la información publicada en motores de búsqueda que nos da una idea del

objetivo y de las personas que trabajan en ella.

 Se realiza el modelado de amenazas, donde se definen las líneas de negocios existentes y

los activos más importantes a fin de definir las pruebas de ataques siguientes.

P á g i n a 7 | 14
  Se realiza el escaneo de puertos y servicios identificando vulnerabilidades existentes; se

valida las posibles opciones reales de ataque y se comprueba que pueden darse con un

riesgo derivado; así como la brecha que existe entre las seguridades y vulnerabilidades.

 Fase de explotación de vulnerabilidades se contempla en la forma de evasión de

contramedidas existentes desde el acceso físico hasta las redes Wireless, ataques web,

entre otros.

 En la sexta fase que es la post explotación, se centra en la recopilación de evidencias y en

cómo valorar el impacto real de la intrusión y hasta donde se puede llegar si el sistema

está vulnerable.

 Se entregan los reportes ejecutivo y técnico, conteniendo primeramente las razones por

las cuales se hicieron las pruebas, seguido de los posibles riesgos y su valoración, luego

el análisis de las vulnerabilidades encontradas y la confirmación de que las mismas han

sido podido ser explotadas junto con las contramedidas propuestas y probadas.

6. METODOLOGIA (WASC-TC) Web Application Security Consortium Threat

Classification: nos permite identificar los riesgos de seguridad de la aplicación ayudando a

la clasificación de amenazas, es un estándar abierto para poder evaluar toda la seguridad de

las aplicaciones que como empresa se van realizando aplicaciones web, tiene algo parecido al

estándar OWASP, porque también se clasifica en una serie de ataques y debilidades. WASC-

TC es muy práctico para todo el tema de identificación y verificación de las amenazas que se

ciernen en una aplicación web.

P á g i n a 8 | 14
 VULNERABILIDADES

1. CONTRASEÑAS DÉBILES: en este caso este tipo de vulnerabilidad es porque el usuario

no tiene en cuenta la contraseña que ingresa para el registro de una aplicación web, muchas

veces en los sistemas de información se le pide que ingresen una contraseña que tengan

caracteres los cuales los atacantes no sean capaces de descifrarlos.

2. REDIRECCIONAMIENTO DE URL A SITIOS NO CONFIABLES: esta vulnerabilidad

es muy común porque muchas veces los atacantes envían link por email haciendo publicidad

engañosa y cuando el usuario lo abre puede obtener daños y pérdidas de información.

3. FALTA DE CIFRADO DE DATOS: esta vulnerabilidad ocurre cuando el programador no

cifra los datos y los deja expuestos a daños graves, que puede ocasionar el atacante cuando

no se cifra por decir la contraseña, porque permite el acceso a su información.

4. SOFTWARE QUE YA ESTÁ INFECTADO CON VIRUS: esta vulnerabilidad es muy

usual en los atacantes por que infectan un software con un virus y envían igual el link por los

correos y hacen que los usuarios obtengan ese virus dañando los sistemas informáticos.

5. ERROR DE FORMATO DE CADENA: esta vulnerabilidad es por fallo del código de la

aplicación porque cuando los desarrolladores están haciendo el sistema no tienen en cuenta el

código o condición para que no permita la validación de los datos de entrada a un sistema.

6. VENTANAS ENGAÑOSAS: es una vulnerabilidad en la cual salen mensajes emergentes y

el usuario sin saber le da click pero es una trampa es para robar información.

7. AUTENTICACION DEBIL: hay muchos sistemas de información que tienen motores de

pagos incluidas y esto implica tener que ingresar nuevamente los datos, pero cuando para

P á g i n a 9 | 14
 evitar que haya suplantación de datos y así si sus contraseñas no son débiles no va ser fácil

acceder a sus datos y de esta manera no habrá robo de información.

8. SENSITIVE DATA EXPOSURE: Consiste en la exposición de los datos sensibles por no

proteger adecuadamente las API o aplicaciones Web. El atacante roba datos de texto desde el

servidor mientras se encuentran en tránsito o directamente del usuario sobre el navegador.

 Para prevenirlo se debe clasificar la información de acuerdo a las leyes de privacidad.

 Se deben cifrar los datos tanto en tránsito como en reposo.

 Utilizar protocolos seguros como TLS y HTTPS

 Utilizar una Gestión de contraseñas adecuada.

9. XML EXTERNAL ENTITIES (XXE): Muchos procesadores XML antiguos o mal

configurados evalúan referencias de entidades externas dentro de documentos XML. Las

entidades externas se pueden usar para revelar archivos internos utilizando el controlador de

URI (Identificador de recursos uniforme) de archivo, recursos compartidos de archivos

internos, escaneo de puertos internos, ejecución remota de código y ataques de denegación de

servicio.

10. BROKEN ACCESS CONTROL: Permisos de acceso a personal no autorizado, determina

la cantidad de permisos que tiene un usuario para interactuar con los sistemas y recurso de las

empresas. Los atacantes aprovechan esa vulnerabilidad para actuar como usuarios

administradores o con funciones privilegiadas para modificar, crear o eliminar registros. Las

herramientas SAST y DAST pueden detectar la ausencia de control de acceso pero no pueden

verificar si es funcional cuando está presente. El control de acceso es detectable usando

medios manuales, o posiblemente a través de la automatización por la ausencia de controles

de acceso en ciertos marcos.

P á g i n a 10 | 14
 METODOLOGIA DE TESTING ESCOGIDA

 OSSTMM: escojo esta metodología porque nos permite llevar un testing de forma ordenada

y con una alta calidad profesional, para la situación planteada será de gran ayuda porque nos

permite la seguridad de la información, la seguridad de procesos.

HERRAMIENTA IDS

 SNORT: pues me parece que sería la ideal para la detención de intrusos, ya que es una

herramienta muy útil, y nos permite monitorear el tráfico de red lo cual es de buena ayuda

para poder así detectar los intentos de intrusión.

P á g i n a 11 | 14
 CONCLUSIONES

Con el trabajo anterior podemos concluir que es necesario tener en cuenta las diferentes

metodologías para hacer test de intrusión, también se conocieron los conceptos de seguridad

informática de igual manera lo importante que es saber de los ataques que se presentan hoy en

día para no ser víctima de ellos. Existen diferentes tipos metodologías de testing e intrusión para

establecer y garantizar la seguridad de los sitios web, la implementación de una herramienta de

intrusión nos permite evitar los diferentes ataques para que la empresa no sea vulnerable a ellos.

La seguridad en los diferentes sitios siempre se debe aplicar con conocimiento base y a través

de un experto siguiendo siempre una metodología que le ayude a identificar y establecer las

vulnerabilidades o seguridad del mismo, adicional que le ayude a generar reportes claros sobre

los hallazgos encontrados. Una vez se identifican las posibles vulnerabilidades a las que se

enfrenta un sistema informático se debe establecer un plan de mitigación

Se encuentran gran cantidad de vulnerabilidades de aplicaciones, pero así mismo las

prevenciones y métodos para evitar estos ataques. Los activos de la información son el activo

más valioso de las compañías e implementar metodologías y buenas prácticas para detectar y

evitar las vulnerabilidades de la empresa son la mejor opción para realizar.

P á g i n a 12 | 14
 REFERENCIAS BIBLIOGRAFICAS

 Alonso Caballero [2015], " Introducción a OSSTMM (Open Source Security Testing

Methodology Manual)", disponible: http://www.reydes.com/d/?

q=Introduccion_a_OSSTMM_Open_Source_Security_Testing_Methodology_Manual

 Israel Aráoz [2009], "Metodología de test de intrusión ISSAF", disponible:

http://insecuredata.blogspot.com/2009/04/metodologia-de-test-de-intrusion-issaf.html

 Anda Lucia [2011], " Metodología y Frameworks de testeo de la seguridad de las

aplicaciones", disponible:

http://www.juntadeandalucia.es/servicios/madeja/sites/default/files/historico/1.3.0/conten

ido-recurso-216.html

 Rubén Velasco [2015], "OWASP ZAP, herramienta para auditar la seguridad de una

página web", disponible: https://www.redeszone.net/2015/04/25/seguridad-web-owasp-

zap/

 Miguel Angel Mendoza [2014], "Cómo utilizar OpenVAS para la evaluación de

vulnerabilidades", disponible: https://www.welivesecurity.com/la-es/2014/11/18/como-

utilizar-openvas-evaluacion-vulnerabilidades/

 Marin de la fuente [2019], "¿Qué es Nmap? Por qué necesitas este mapeador de red",

disponible: https://www.marindelafuente.com.ar/que-es-nmap-por-que-necesitas-este-

mapeador-de-red/

 KirstenS (2019), "Blind SQL Injection", disponible: https://owasp.org/www-

community/attacks/Blind_SQL_Injection.

P á g i n a 13 | 14
 Pete Corey (2020), "What is NoSQL Injection?", disponible:

http://www.petecorey.com/blog/2017/07/03/what-is-nosql-injection/

 Andy B; M.T; N.D... (2019), "Cross Site Scripting", disponible:

https://es.ryte.com/wiki/Cross_Site_Scripting.

 Pablo Campos Redondo (2017), "¿Qué es SQL Injection?", disponible:

https://openwebinars.net/blog/que-es-sql-injection/.

 Partners Académicos (2020), "Vulnerabilidad informática: por qué se produce",

disponible: https://obsbusiness.school/es/blog-investigacion/propiedad-intelectual-y-

seguridad-de-la-informacion/vulnerabilidad-informatica-por-que-se-produce.

P á g i n a 14 | 14