Fundamentos de Seguridad en Sistemas
Operativos
Silva Torres Erika Liliana
Universidad Nacional Abierta y a Distancia ''UNAD''
CEAD Duitama, Boyacá
elsilvato@unadvirtual.edu.co
Resumen— Este documento describe el análisis que se debe
realizar a la empresa Secure Systems implementando las
metodologías de Ethical Hacking para la solución de los
inconvenientes que viene presentando a nivel general. La situación
problema que se plantea requiere de proponer la solución más
óptima que garantice la protección del activo más importante que
tiene la organización, que es la información. Busca cubrir las
necesidades de la misma, optimizando procesos para acceder a la
información que esta debe brindar además de proteger al máximo
los datos que en ella almacena.
Palabras clave— Ética, Redes, Amenazas, Riesgos, Ataques,
Malware, Protección, Metodologías, Información.
Abstract— This document describes the analysis that must be
carried out to the company Secure Systems implementing the
methodologies of Ethical Hacking for the solution of the problems
that it has been presenting at a general level. The problem situation
that arises requires to propose the most optimal solution that
guarantees the protection of the most important asset that the
organization has, which is information. Seeks to cover the needs of
the same, optimizing processes to access the information it must
provide in addition to protecting the maximum data stored in it.
Keywords— Ethics, Networks, Threats, Risks, Attacks,
Malware, Protection, Methodologies, Information.
 INTRODUCCIÓN
La información es el activo más valioso de cualquier
organización, como lo explica el señor Luis Enrique Sánchez
Crespo, Director Técnico de la Consultora Tecnológica Tec
Europ, quien afirma “estamos en la Edad del Conocimiento,
donde los datos están disponibles para todo el mundo y la
información puede ser analizada, por lo que se ha convertido
en un activo nuevo y de gran valor”, es por ello que se deben
implementar los mejores sistemas de protección que
garanticen protección en el acceso a la misma por personas
inescrupulosas que solo quieren hacer daño, ya sea para
infectar bases de datos o para robar información confidencial.
Ahora bien, en la actualidad todo tipo de hardware y
software, están expuestos a una gran cantidad de amenazas
que ponen en peligro la seguridad informática de sus
usuarios, así como, de los datos vertidos en los dispositivos y
los programas que los contienen. Esto pone en evidencia que
la seguridad de una red de datos o sistema de datos siempre
presenta vulnerabilidades dentro de su configuración, dichas
vulnerabilidades son detectadas y explotadas
primordialmente por crackers quienes buscan comprometer
los sistemas informáticos y lucrar u obtener algún tipo de
beneficio de ello. Estos individuos son tentativamente los
malos de la historia ya que han ocasionado daños de hacking
a diversos usuarios.
Por otro lado, a la par de estos villanos informáticos existen
dentro del ciberespacio los hacker éticos quienes utilizan
ethical hacking en beneficio de la sociedad. En pocas
palabras el Ethical Hacking es una rama de la informática
que recurre a diversos metoo, herramientas y técnicas que le
permiten desarrollar su campo de acción, entre las cuales se
encuentran: ingeniería social, herramientas de hacking,
metasploits que explotan, exploran y evdencian
vulnerabilidades conocidas o descnocidas dentro de los
sistemas informáticos.
De acuerdo a lo anterior se indagara en las metodologías que
presenta la Ethical Hacking que permita dar solución a la
problemática por la que atraviesa la empresa Secure Systems,
objeto de esta investigación.
 DESARROLLO DE LA ACTIVIDAD
La empresa Secure Systems ha presentado en el último año
inconvenientes con sus sistemas de información y redes de
comunicaciones en sus diferentes, sedes en todo el país.
El equipo de Dirección Estratégica junto con el Área
Tecnológica se ha reunido para buscar una solución de fondo.
Su negocio está siendo afectado por la pérdida de
información crítica, que se ha filtrado a la competencia y por
la indisponibilidad de sus sistemas se ha afectado los tiempos
de respuesta hacia el cliente. Además, esta situación ha
afectado la productividad y todo esto ha repercutido en el no
cumplimiento de sus metas trimestrales de ventas.
El equipo ha decidió buscar un grupo de expertos externos
que le brinde los servicios de auditoría de sistemas y les
presente una metodología para desarrollar al interior de la
organización un Ethical Hacking focalizado sobre sus
sistemas informáticos que corren sobre diferentes Sistemas
Operativos para en conjunto implementar las respectivas
mejoras y controles.
Cada integrante del grupo de expertos deberá entregar de
carácter Individual en un documento con normas IEEE un
análisis de la situación, indicando las posibles situaciones
que se han presentado y que han generado la problemática
descrita, formulando posibles soluciones, describiendo
mínimo cinco metodologías de Ethical hacking, eligiendo y
justificando la selección de una de ellas para el desarrollo de
la solución de la problemática presentada en la empresa
Secure Systems.
JUSTIFICACION
A partir de la investigación realizada en la empresa Secure
Systems, se evidencio que existe actualmente una
vulnerabilidad altamente peligrosa en sus sistemas de
información que abarca los elementos de personas,
actividades y datos, lo cual produce fugas de información,
fraude y robo de datos, vulnerabilidad en la web y falta de un
plan de continuidad de negocio el cual afecta el impacto
económico de la empresa. Entre las vulnerabilidades se
encontraron las siguientes:
 Deficiente control de acceso a las aplicaciones.
 Existencia de vulnerabilidades web.
 Falta de formación y concientización tanto del
personal
interno como del administrativo.
 Control de acceso a la red.
 Fugas de información.
 Desarrollo de software seguro utilizando las
herramientas informáticas adecuadas para ello.
Por otro lado las redes de comunicaciones que funcionan
entre las sedes de la empresa a nivel nacional, presentaron
fallas de comunicación, lo cual se debe a una serie de ataques
a la red de transmisión de datos como:
 Divulgación del contenido de un mensaje: Este
tipo de ataque es pasivo por medio del cual el
atacante se entera de la información transmitida;
como por ejemplo escuchar una llamada telefónica o
leer un correo electrónico abierto.
 Análisis de Trafico: Este tipo de ataque pasivo se
realiza cuando el atacante puede determinar la
localización e identidad de quienes se están
comunicando y determinar el mensaje que está
siendo transmitido aun cuando esté protegido por
medio de cifrado.
 Enmascaramiento: Este tipo de ataque activo tiene
lugar cuando una entidad pretende suplantar a otra
para para obtener información confidencial.
 Modificación de Mensajes: Se modifican los
mensajes para producir efectos no autorizados.
A raíz de lo anterior se requiere implementar de manera
inmediata la metodología de Ethical Hacking más adecuada y
que brinde lo que requiere la empresa, que es proteger la
información por medio de mejoras y controles a nivel local
como remoto. A continuación describiré las metodologías
mas comunes que ofrece la Ethical Hacking.
I. RESEÑA DE LA INVESTIGACION
Metodologías de Ethical Hacking
Empecemos con identificar a que hace referencia el termino
Ethical Hacking, bueno esto se refiere a un grupo de expertos
en computación que atacan los sistemas informáticos con
autorización de los propietarios de los equipos para buscar
fallas de seguridad con el fin de realizar un informe detallado
de todas las vulnerabilidades encontradas que podrían ser
aprovechadas por los delincuentes informáticos. Las pruebas
de penetración son desarrolladas por los ethical hacking para
realizar una verificación al análisis de fallas de seguridad o
riesgos para una organización. En ese orden de ideas se
describen las metodologías más utilizadas a continuación:
OSSTMM (Fuente Abierta de Seguridad Manual de
Métodos de Prueba)
Fig. 1 Logotipo OSSTMM
Metodología que propone un proceso de evaluación de una
serie de áreas que refleja de manera fiel los niveles de
seguridad presentes en la infraestructura que va a ser
auditada, a estos niveles de seguridad se le denominan
comúnmente “Dimensiones de Seguridad” y normalmente
consiste en analizar los siguientes factores.
 Visibilidad
 Acceso
 Confianza
  Autenticación
 Confidencialidad  Pruebas de firma digital de aplicaciones web.
 Privacidad  Comprobaciones del sistema de autenticación.
 Autorización  Pruebas de Cross Site Scripting.
 Integridad  Inyeccion XML
 Seguridad  Inyeccion SOAP
 Alarma  HTTP Smuggling
 Sql Injection
ISSAF (Marco de Evaluación en Sistemas de Información  Cookie Hijacking
de Seguridad)
CEH (Certified Ethical Hacker)

Fig. 2 Logotipo ISSAF

Marco metodológico de trabajo desarrollado por la OISSG Fig. 4

que permite clasificar la información de la evaluación en Logotipo CEH
seguridad en diversos dominios usando diferentes criterios de
prueba. Algunas de las características más representativas de Metodología de pruebas de seguridad desarrollada por el
ISSAF son: International Council of Electronic Commerce Consultants
(EC-Council) algunas de las fases enunciadas en esta
Brinda medidas que permiten reflejar las condiciones de metodología son:
escenarios reales para las evaluaciones de seguridad. Esta
metodología se encuentra principalmente enfocada en cubrir  Obtención de información.
los procesos de seguridad y la evaluación de los mismos para  Obtención de acceso.
asi obtener un panorama completo de las vulnerabilidades  Enumeración.
existentes.  Escala de privilegios.
 Reporte.
Permite el desarrollo de matriz de riesgo para verificar la
efectividad en la implementación de controles.
OFFENSIVE SECURITY (Ofensiva de Seguridad)
OWASP (Open Web Application Security Project)

Fig. 3 Logotipo OWASP Fig. 5 Logotipo OFFENSIVE SECURITY

Metodología de pruebas enfocada en la seguridad de

aplicaciones, el marco de trabajo descrito en este documento
pretende alentar a las personas a evaluar y tomar una medida
de la seguridad a través de todo el proceso de desarrollo. Así
pueden relacionar los costes de un software inseguro al
impacto que tiene en su negocio, y de este modo gestionar
decisiones de negocio apropiadas (recursos) para la gestión
del riesgo, algunas de las características más representativas
de OWASP son:
Metodología líder a nivel mundial para el desarrollo de
pruebas de penetración y estudios de seguridad, la
metodología contempla principalmente los métodos para el
desarrollo de estudios de seguridad enfocados en seguridad
ofensiva y teniendo como marco la posibilidad real de
explotación independientemente de los indicadores de riesgos
y vulnerabilidades, las principales ventajas de adoptar este
marco metodológico son:

 Enfoque sobre la explotación real de las
plataformas.
 Enfoque altamente intrusivo.
 Enfoque orientado a resultados tangibles y no a
estadísticas generadas por herramientas.
Metodología Ethical Hacking planteada para la Solución
de la Problemática presentada por la Empresa Secure
Systems
De acuerdo a la problemática planteada por la empresa
Secure Systems la metodología que mejor se adapta y da
solución en cuanto a seguridad de la información, es la
metodología abierta de testeo de seguridad – OSSTM.
Teniendo en cuenta las siguientes razones:
La realización del presente hacking ético indudablemente
genera un impacto positivo en las políticas de seguridad de la
información de la empresa Secure Systems, pues se
constituye en un elemento de entrada que permite la toma de
decisiones basadas en hechos, en pro de la seguridad de la
información. Esto a su vez redunda en un beneficio para los
usuarios, pues la información asociada a cada uno de las
dependencias, se encontrara mejor protegida, generando una
mayor confianza en la entidad.
Otro de los grandes beneficios que genera el presente
hacking ético, es que permite a la entidad, tomar decisiones
de manera preventiva, generando soluciones en materia de
ciberseguridad, que permitan eliminar las posibles
vulnerabilidades encontradas, antes de que estas sean
explotadas por un atacante.
Dentro de la presente solución, se incluirán fases de hacking
ético tales como:
 Reconocimiento: Donde se reciba la información
necesaria para poder llevar a cabo la operación de
hackeo.
 Escaneo: Aquí se realiza un análisis de
vulnerabilidades para determinar cuáles grietas de
seguridad pueden explotarse luego, para lograr el
acceso.
 Obtener acceso: En esta fase se pone en práctica lo
indagado, se explotan las vulnerabilidades y se logra
el acceso.
 Mantener acceso: Una vez ya dentro del sistema, se
aplican técnicas como generación de backdoors,
instalación de troyanos y escalonamiento de
privilegios.
 CONCLUSIONES
El resultado de la violación de los sistemas y las redes de
informáticas en todo el mundo ha provocado la pérdida o
modificación de los datos sensibles a las organizaciones,
representando daños que se traducen en miles o millones de
dólares.
Esta situación se presenta gracias a los esquemas ineficientes
de seguridad con los que cuentan la mayoría de las
compañías a nivel mundial y por qué no existe conocimiento
relacionado con la planeación de un sistema de seguridad
eficiente que proteja los recursos informáticos de las actuales
amenazas combinadas.
Un sistema administrador de reds debe star orientado a
permitir un mayor control de cliente sobre su red,
proporcionándole herramientas que faciliten las labores
diarias del administrador, sin crearle cargas más grandes de
las que se pretende liberar.
Podemos afirmar entonces que las metodologías para Ethical
Hacking nos ayudan a alcanzar una seguridad informática
apropiada para cualquier red o sistema, sin duda alguna, las
empresas que se dedican a estos menesteres, jugando un rol
importante en esta área de Ethical Hacking.
 REFERENCIAS
[1] La seguridad informática Hoy. (En línea). (30 agosto de 2018).
Disponible en
https://seguridadinformaticahoy.blogspot.com/2013/02/meto
[2] Ethical hacking: Test de intrusion. Princpales metodologias. (En linea).
(31agostode2018). Disponible en
https://www.monografias.com/trabajos71/ethical-hacking-test-intrusion-
metodologias/ethical-hacking-test-intrusion-metodologias.shtml
[3] OISSG, Open Information Systems Security Group. Information
Systems Security Assessment Framework (ISSAF). {En línea}. {1
septiembre de 2018}. Disponible en: http://www.oissg.org/issaf
[4] OISSG. Information Systems Security Assessment Framework (ISSAF)
Draft 0.2.1. {En línea}. {1 septiembre de 2018}. Disponible en:
http://www.oissg.org/files/issaf0.2.1.pdf
[5] OWASP, Open Web Application Security Project. OWASP Top 10
2017, The Ten Most Critical Web Application Security Risks. {En
línea}. {1 septiembre de 2018}. Disponible en:
[6] https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Fina
l.pdf
[7] OWASP. The OWASP Foundation. {En línea}. {1 septiembre de 2018}.
Disponible en: https://www.owasp.org/index.php/Main_Page