RIESGOS Y VULNERABILIDADES EN LOS SISTEMAS INFORMÁTICOS

CHRISTIAN ALEXANDER PINILLA RAMOS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA D.C
2021
 RIESGOS Y VULNERABILIDADES EN LOS SISTEMAS INFORMÁTICOS

CHRISTIAN ALEXANDER PINILLA RAMOS

Trabajo Académico como Alternativa de Seminario Especializado para optar por el

título de
ESPECIALISTA EN SEGURIDAD INFORMÁTICA

Miguel Andrés Ávila

Tutor de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA D.C
2021
 NOTA DE ACEPTACIÓN

Firma del Presidente de Jurado

Firma del Jurado

Firma del Jurado

Bogotá D.C., Fecha sustentación

 DEDICATORIA

Con amor dedico este trabajo a mi esposa, que con su apoyo y comprensión me
acompañó en el proceso familiar, colaborándome de manera indirecta,
minimizando mis preocupaciones de padre, también lo dedico a mi mamá que con
su apoyo, dedicación y sacrificio minimizo mis preocupaciones en el hogar.
 AGRADECIMIENTOS

Agradezco a las directivas de la Universidad Nacional Abierta y a Distancia UNAD,

quienes con su trabajo continúo nos brindan la oportunidad de estudiar, por otro
lado, a cada uno de los tutores y asesores que me acompañaron en el proceso les
reconozco que sin su apoyo y colaboración éste anhelado logro no hubiese sido
posible de alcanzar.
 CONTENIDO

Pág.

INTRODUCCIÓN.....................................................................................................16
1 DEFINICIÓN DEL PROBLEMA........................................................................17
1.1 ANTECEDENTES DEL PROBLEMA............................................................17
1.2 FORMULACIÓN DEL PROBLEMA..............................................................17
2 JUSTIFICACIÓN..............................................................................................18
3 OBJETIVOS......................................................................................................19
3.1 OBJETIVO GENERAL..................................................................................19
3.2 OBJETIVOS ESPECÍFICOS........................................................................19
4 MARCO REFERENCIAL..................................................................................20
4.1 MARCO CONCEPTUAL...............................................................................20
4.2 ANTECEDENTES O ESTADO ACTUAL......................................................22
4.3 MARCO LEGAL............................................................................................23
CUMPLIMIENTO LEGAL.........................................................................................23
5 DISEÑO METODOLÓGICO.............................................................................24
6 DESARROLLO DE LOS OBJETIVOS.............................................................25
6.1 RIESGOS Y AMENAZAS EN LOS SISTEMAS INFORMÁTICOS...............25
6.2 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES EN LOS
SISTEMAS INFORMÁTICOS..................................................................................30
7 CONCLUSIONES.............................................................................................41
8 RECOMENDACIONES....................................................................................42
9 DIVULGACIÓN.................................................................................................43
BIBLIOGRAFÍA........................................................................................................44
ANEXOS..................................................................................................................47
 LISTA DE TABLAS

Pág.

Tabla 1. Título de la tabla........................................................................................20

 LISTA DE FIGURAS

Pág.

Figura 1. Estadistica de ataques.............................................................................27

 LISTA DE CUADROS

pág.

Cuadro 1. Título del cuadro.....................................................................................18

 LISTA DE ANEXOS

pág.

Anexo A. Nombre del Anexo...................................................................................28

Anexo B. Nombre del Anexo...................................................................................28
 GLOSARIO

De acuerdo a la enciclopedia de seguridad informática de Álvaro Gómez Vieites.

Se toman como referencias los siguientes conceptos.

Activo: Según Gómez (2007). Cualquier cosa que posee valor para un individuo,
compañía, entidad u organización.

Activo de Información: Según Gómez (2007). Conocimiento o información que

posee o tiene valor para un individuo u organización.

Activo virtual: Según Gómez (2007). Representación de un activo en el

Ciberespacio.

Análisis de Riesgos: Según Gómez (2007). Empleo sistemático o metódico de

los datos para determinar las fuentes y evaluar los riesgos.

Amenaza: Según Gómez (2007). Es la causa latente de un daño o destrucción de

un activo de información.

Ataque: Según Gómez (2007). Intento de destruir, exponer, alterar, deshabilitar,

robar u obtener acceso no autorizado o hacer uso no autorizado de un activo.

Blue Team: Según Gómez (2007. Equipo especializado que presta servicios de
seguridad informática.

Causa: Motivo por la cual la contingencia sucede.

Cibercrimen: Según Gómez (2007). Es la acción criminal, la cual envuelve a los

servicios o aplicaciones que sean objetivo en el ciberespacio.

Ciberespacio: Según Gómez (2007). Entorno complejo que resulta de la

interacción de personas, softwares y servicios en Internet por medio de
dispositivos y redes de tecnología conectados a éste, los que no existen en forma
física.

Ciberseguridad: Según Gómez (2007). Acción de proteger en contra de

consecuencias, físicas, sociales financieras, ocupacionales, educacionales o de
otro tipo que resultan del daño, error, accidente, perjuicio o cualquier otro evento
que se pueda considerar no deseable en el ciberespacio.
Ciberprotección: Según Gómez (2007). Actividad de protección del ciberespacio
con el objeto de custodiar la confidencialidad, integridad y disponibilidad de los
datos en el Ciberespacio.

Confidencialidad de los datos: Según Gómez (2007). Resguardar y certificar

que los datos no se difundan, ni se pongan a disposición de personas,
organizaciones o procedimientos no autorizados.

Control, contramedida: Según Gómez (2007). Medios para manejar riesgos,

incluyendo políticas, directrices, directrices, prácticas o estructuras
organizacionales, las que pueden ser de naturaleza administrativa, técnica, de
gestión o legal.

Controles: Según Gómez (2007). Son aquellos órganos de control usados para
inspeccionar y controlar actividades que son juzgadas como sospechosas y que
pueden perjudicar de algún modo los activos de información.

Declaración de aplicabilidad: Según Gómez (2007). Archivo o documento que

explica los propósitos de los controles concernientes a los SGSI de la
organización.

Disponibilidad: Según Gómez (2007). Es la característica de que los datos sean

asequibles y utilizables por aprobación de la organización que la posea.

Evaluación del riesgo: Según Gómez (2007). Procedimiento de relacionar el

riesgo estimado versus los criterios de riesgo dados, para señalar la trascendencia
del riesgo.

Evento de seguridad de la información: Según Gómez (2007). Asistencia

identificada de un requisito de un procedimiento, prestación o un sistema de red,
el cual señala los posibles quebramientos de las políticas de seguridad de la
información o las deficiencias de las salvaguardas, o de una postura
desentendida anticipadamente la cual pueden ser concernientes a la seguridad y
su solidez.

Gestión del Riesgo: Según Gómez (2007). Son aquellas labores coordinadas
para administrar e inspeccionar una entidad en correlación con el riesgo.

Incidente de seguridad de la información: Según Gómez (2007). Es una

circunstancia o un encadenamiento de acontecimientos que vulneran la seguridad
de la información que son inesperados y que poseen una posibilidad relevante de
involucrar las operaciones la organización y finalmente poner en riesgo la
seguridad de la información.
Integridad: Según Gómez (2007). Garantiza la precisión y la autenticidad de la
información, salvaguardando los datos contra actividades no autorizadas de su
reformación, eliminación, invención o re-actuación y cabe indicar que estas
acciones no son aprobadas, es decir que estas actividades de protección de la
información son de exactitud y disposición completa de los activos.

Red Team: Según Gómez (2007). Es un grupo independiente de ciberatacantes,

que reta a una organización con el fin de mejorar su seguridad.

Riesgo: Según Gómez (2007). Es la mezcla de probabilidades o posibilidades de

que ocurra algún acontecimiento y las consecuencias es estas sean
perjudiciales.
 RESUMEN

El presente documento relacionado con la identificación de vulnerabilidades,

pretende dar a conocer una investigación sobre los procedimientos, técnicas,
herramientas y métodos utilizados para la gestión de riesgos informáticos;
utilizando la metodología de la investigación aplicada, basándose en antecedentes
sobre ataques realizados a grandes empresas. Se tomará como referencia la
normatividad vigente con respecto a las leyes, políticas y artículos relacionados
con la seguridad informática. Todo esto con el fin de identificar posibles
vulnerabilidades que puedan afectar un sistema, fortaleciendo los conocimientos
referentes a la seguridad de la información y de esta forma, generar un impacto de
conocimiento positivo con respecto a la seguridad informática.

Palabras claves: Riesgo, vulnerabilidad, identificación, sistemas, informáticos.

 ABSTRACT

This document related to the identification of vulnerabilities, aims to present an

investigation on the procedures, techniques, tools and methods used for the
management of computer risks; using the applied research methodology, based on
antecedents on attacks carried out on large companies. The current regulations
regarding laws, policies and articles related to computer security will be taken as a
reference. All this in order to identify possible vulnerabilities that may affect a
system, strengthening knowledge related to information security and thus,
generate a positive knowledge impact regarding computer security.

Keywords: Risk, vulnerability, identification, systems, computer science.

 INTRODUCCIÓN

Casi todas las organizaciones públicas o privadas, al igual que las personas,
dependen de alguna manera de la tecnología de la información como una
herramienta esencial para lograr sus objetivos de negocio o para poder desarrollar
actividades en su vida cotidiana; al mismo tiempo, todos tienen que enfrentarse
con una amplia gama de amenazas y vulnerabilidades asociadas a los entornos
informáticos de hoy.

La seguridad de la información es más que un problema de seguridad de datos en

los computadores; debe estar básicamente orientada a proteger la propiedad
intelectual y la información importante de las organizaciones y de las personas.

Los riesgos de la información están presentes cuando existen dos eventos:

amenazas y vulnerabilidades. Las amenazas y vulnerabilidades están
íntimamente ligadas y no puede haber ninguna consecuencia sin la presencia
conjunta de éstas. Las amenazas deben tomar ventaja de las vulnerabilidades y
pueden venir de cualquier parte, interna o externa, relacionada con el entorno de
las organizaciones.
Las vulnerabilidades son una debilidad en la tecnología o en los procesos
relacionados con la información, y como tal, se consideran características propias
de los sistemas de información o de la infraestructura que la contiene. Una
amenaza, en términos simples, es cualquier situación o evento que puede afectar
la posibilidad de que las organizaciones o las personas puedan desarrollar sus
actividades afectando directamente la información o los sistemas que la procesan.

* Consultor en Seguridad de la Información, Etek Internacional.

16
 1 DEFINICIÓN DEL PROBLEMA

El problema surge por la necesidad de adquirir nuevos conocimientos en relación

a los riesgos y vulnerabilidades que pueden sufrir los sistemas informáticos a nivel
mundial; estos riesgos o vulnerabilidades pueden ser utilizados como por los
atacantes informáticos, generando importantes pérdidas de información, daños en
los sistemas y en ocasiones perdidas económicas considerables en distintas
empresas.

2 ANTECEDENTES DEL PROBLEMA

Según Ávila 2019. En lo que ha transcurrido del año, cada segundo se presenta
alrededor de 12 ataques informáticos en América Latina, según cifras estimadas
en la Cumbre de Analistas de Seguridad de Kaspersky Lab; por lo que, en total,
se contabilizaron un millón de violaciones a la seguridad de los internautas en
esta región.

De acuerdo con estos antecedentes, podemos evidenciar que las vulnerabilidades

en los sistemas informáticos casi siempre, son explotadas por los atacantes
informáticos para lograr sus fines criminales.

Novoa 2015. Manifiesta que en la actualidad el desconocimiento de este problema

de seguridad informática, es una de las principales preocupaciones de las
grandes empresas, debido a las importantes pérdidas que se generan al momento
de recibir algún tipo de ataque.

3 FORMULACIÓN DEL PROBLEMA

¿Cómo se podrán identificar riesgos y vulnerabilidades dentro de los sistemas

informáticos?

17
 4 JUSTIFICACIÓN

El presente informe técnico está fundamentado en identificar diferentes

procedimientos, técnicas, herramientas y métodos que faciliten el entendimiento
de análisis de vulnerabilidades en los sistemas informáticos. Es decir que se
pretende proponer mecanismos que faciliten la gestión del riesgo, buscando
proteger la disponibilidad, integridad y confidencialidad de la información.

El proteger los sistemas informáticos en una empresa es de gran importancia y a

través de la gestión de seguridad de la información, se busca lograr salvaguardar
el activo más importante dentro de una organización (la información). Por lo tanto,
es de suma importancia establecer políticas de seguridad y aprender a utilizar
herramientas tecnológicas que faciliten el constante monitoreo de las redes
informáticas, evitando la explotación de vulnerabilidades por parte de los
atacantes.

Desde otra perspectiva y a través de la metodología de la investigación aplicada,

se pretende adquirir habilidades y destrezas de manera creativa, con el fin de dar
solución al desconocimiento de procedimientos para la ejecución de técnicas de
análisis. Contribuyendo en las campañas de conciencia de Ciberseguridad que
existen en la sociedad. Además de proteger los activos informáticos de las
organizaciones, se busca evitar grandes pérdidas económicas, logrando asegurar
los beneficios financieros y los objetivos de la empresa.

18
 5 OBJETIVOS

6 OBJETIVO GENERAL

Analizar los procedimientos que podrán ser aplicables, para la identificación de

riesgos y vulnerabilidades dentro de los sistemas informáticos.

7 OBJETIVOS ESPECÍFICOS

• Documentar los riesgos y amenazas que estén asociados a las vulnerabilidades

en los sistemas informáticos.

• Sugerir herramientas que proporcionen el análisis de vulnerabilidades y faciliten

la identificación de riesgos.

• Describir el proceso de gestión de riesgos informáticos, a partir del análisis de

vulnerabilidades.

• Mencionar alternativas de solución para las vulnerabilidades encontradas en los

sistemas informáticos analizados.

19
 8 MARCO REFERENCIAL

9 MARCO CONCEPTUAL

De acuerdo a la enciclopedia de seguridad informática de Álvaro Gómez Vieites.

Se toman como referencias los siguientes conceptos.

Activo: Según Gómez (2007). Cualquier cosa que posee valor para un individuo,
compañía, entidad u organización.

Activo de Información: Según Gómez (2007). Conocimiento o información que

posee o tiene valor para un individuo u organización.

Activo virtual: Según Gómez (2007). Representación de un activo en el

Ciberespacio.

Análisis de Riesgos: Según Gómez (2007). Empleo sistemático o metódico de

los datos para determinar las fuentes y evaluar los riesgos.

Amenaza: Según Gómez (2007). Es la causa latente de un daño o destrucción de

un activo de información.

Ataque: Según Gómez (2007). Intento de destruir, exponer, alterar, deshabilitar,

robar u obtener acceso no autorizado o hacer uso no autorizado de un activo.

Blue Team: Según Gómez (2007. Equipo especializado que presta servicios de
seguridad informática.

Causa: Motivo por la cual la contingencia sucede.

Cibercrimen: Según Gómez (2007). Es la acción criminal, la cual envuelve a los

servicios o aplicaciones que sean objetivo en el ciberespacio.

Ciberespacio: Según Gómez (2007). Entorno complejo que resulta de la

interacción de personas, softwares y servicios en Internet por medio de
dispositivos y redes de tecnología conectados a éste, los que no existen en forma
física.

Ciberseguridad: Según Gómez (2007). Acción de proteger en contra de

consecuencias, físicas, sociales financieras, ocupacionales, educacionales o de

20
otro tipo que resultan del daño, error, accidente, perjuicio o cualquier otro evento
que se pueda considerar no deseable en el ciberespacio.

Ciberprotección: Según Gómez (2007). Actividad de protección del ciberespacio

con el objeto de custodiar la confidencialidad, integridad y disponibilidad de los
datos en el Ciberespacio.

Confidencialidad de los datos: Según Gómez (2007). Resguardar y certificar

que los datos no se difundan, ni se pongan a disposición de personas,
organizaciones o procedimientos no autorizados.

Control, contramedida: Según Gómez (2007). Medios para manejar riesgos,

incluyendo políticas, directrices, directrices, prácticas o estructuras
organizacionales, las que pueden ser de naturaleza administrativa, técnica, de
gestión o legal.

Controles: Según Gómez (2007). Son aquellos órganos de control usados para
inspeccionar y controlar actividades que son juzgadas como sospechosas y que
pueden perjudicar de algún modo los activos de información.

Declaración de aplicabilidad: Según Gómez (2007). Archivo o documento que

explica los propósitos de los controles concernientes a los SGSI de la
organización.

Disponibilidad: Según Gómez (2007). Es la característica de que los datos sean

asequibles y utilizables por aprobación de la organización que la posea.

Evaluación del riesgo: Según Gómez (2007). Procedimiento de relacionar el

riesgo estimado versus los criterios de riesgo dados, para señalar la trascendencia
del riesgo.

Evento de seguridad de la información: Según Gómez (2007). Asistencia

identificada de un requisito de un procedimiento, prestación o un sistema de red,
el cual señala los posibles quebramientos de las políticas de seguridad de la
información o las deficiencias de las salvaguardas, o de una postura
desentendida anticipadamente la cual pueden ser concernientes a la seguridad y
su solidez.

Gestión del Riesgo: Según Gómez (2007). Son aquellas labores coordinadas
para administrar e inspeccionar una entidad en correlación con el riesgo.

Incidente de seguridad de la información: Según Gómez (2007). Es una

circunstancia o un encadenamiento de acontecimientos que vulneran la seguridad
de la información que son inesperados y que poseen una posibilidad relevante de

21
involucrar las operaciones la organización y finalmente poner en riesgo la
seguridad de la información.

Integridad: Según Gómez (2007). Garantiza la precisión y la autenticidad de la

información, salvaguardando los datos contra actividades no autorizadas de su
reformación, eliminación, invención o re-actuación y cabe indicar que estas
acciones no son aprobadas, es decir que estas actividades de protección de la
información son de exactitud y disposición completa de los activos.

Red Team: Según Gómez (2007). Es un grupo independiente de ciberatacantes,

que reta a una organización con el fin de mejorar su seguridad.

Riesgo: Según Gómez (2007). Es la mezcla de probabilidades o posibilidades de

que ocurra algún acontecimiento y las consecuencias es estas sean perjudiciales.

10 ANTECEDENTES O ESTADO ACTUAL

HERRAMIENTAS DE PENETRACIÓN Y TESTING

 OWASP (OPEN WEB APPLICATION SECURITY PROJECT - PROYECTO

DE SEGURIDAD DE APLICACIONES WEB ABIERTAS).

Esta metodología consta de 2 fases, la primera (pasivo) consiste en el

levantamiento de la información, utilizando diferentes herramientas buscando
conocer de manera lógica el software; mientras que la segunda fase (activo) se
centra en la utilización de pruebas en las que están comprendidas las siguientes
categorías[CITATION Lil13 \l 3082 ]:
 Recopilación de datos.
 Verificación de la lógica del negocio.
 Pruebas de autenticación.
 Prueba de gestión de sesión.
 Prueba de validación de datos.
 Prueba de denegación de servicios.
 Validar servicios web.
 Pruebas de AJAX

 ISSAF (INFORMATION SYSTEMS SECURITY ASSESSMENT

FRAMEWORK - MARCO DE EVALUACIÓN DE SEGURIDAD DE
SISTEMAS DE INFORMACIÓN)

22
Metodología que consta de tres fases, en la primera se realiza la planificación y
preparación, además se establece el alcance y las pruebas que se deben realizar;
la segunda fase consta de la evaluación, además se realizan pruebas de
penetración a los activos de información; mientras que la tercer fase, se realizan
los informes requeridos y la destrucción de la información que se levantó durante
el proceso, en dicho informe se detallan los hallazgos y sus posibles soluciones,
además de recomendaciones para mejorar la seguridad[ CITATION Lil13 \l 3082 ].

 OSSTMM 3 – MANUAL DE METODOLOGÍA ABIERTA PARA PRUEBAS

DE SEGURIDAD

Esta metodología comprende sus objetivos en cuanto a 5 factores, a saber, físico,

redes inalámbricas, humano, telecomunicaciones y redes de datos, además esta
sub dividida por las siguientes 4 fases: Inducción (verificación de políticas,
procedimientos y manuales, además de establecer el alcance de la prueba),
Interacción (principalmente se basa en la verificación de los controles que se
tienen establecidos), Investigación (Se verifican en detalle la calidad de los
procesos y sus niveles de seguridad, además de la configuración de los equipos,
capacitación, segregación de funciones, verificación de exposición del riesgo) e
Intervención (se realiza un mapeo y el impacto de los hallazgos, se realiza una
revisión de la continuidad de las operaciones y sus diferentes alertas)[ CITATION
Lil13 \l 3082 ].

11 MARCO LEGAL

CUMPLIMIENTO LEGAL

La norma ISO 17799 contiene un capítulo con referencias de buenas prácticas

para desarrollar los controles necesarios que se deben aplicar en las
organizaciones para tener en cuenta los aspectos legales y regulatorios como
parte de la gestión de la seguridad de la información. Un punto importante que se
debe tener en cuenta, es la protección adecuada para el uso correcto de los
sistemas o recursos informáticos o para evitar el uso indebido de esos recursos,
de manera que puedan afectar a terceros (Debida Diligencia).

Aspectos como el cumplimiento y protección de Propiedad intelectual, Derechos

de autor, Licencias de software, registros de la organización, información
confidencial de clientes, empleados o proveedores, así como el cumplimiento de
regulaciones provenientes de organizaciones o entes de control como la
Superintendencia Financiera (SARO), Ministerios, Basilea, organismos

23
reguladores de comercio electrónico, ley de “Habeas Data”, SOX1, etc., son
aspectos que deben ser incorporados en la definición y aplicación de mecanismos
de protección de la información.

Las redes de datos no tienen fronteras físicas y en ocasiones tampoco fronteras

legales, por lo que se debe tener especial consideración cuando el flujo de
información involucra instituciones situadas en países con regulaciones o normas
diferentes, pues lo que en un sitio es ser normal, puede ser indebido o ilegal en
otro. Un caso específico es el uso de mecanismos de cifrado, que en algunos
países no tiene regulación ni control y en otros es estrictamente prohibido o
fuertemente regulado.

12DISEÑO METODOLÓGICO

La presente investigación tiene un enfoque cualitativo teniendo en cuenta que se

va a realizar una revisión de masas documentales, a través del método analítico
sintético buscando la recopilación de datos, que nos permita realizar un análisis
exhaustivo de los riesgos y vulnerabilidades en los sistemas informáticos.

El desarrollo de la investigación se va realizar en algunos pasos que están

alineados a los objetivos específicos:

• Investigación de los riesgos y amenazas que estén asociados a las

vulnerabilidades en los sistemas informáticos.

• Identificación de herramientas que proporcionen el análisis de vulnerabilidades

y faciliten la identificación de riesgos.

• Descripción del proceso de gestión de riesgos informáticos, a partir del análisis

de vulnerabilidades.

• Alternativas de solución para las vulnerabilidades encontradas en los sistemas

informáticos analizados.

1
SOX: Sarbanes-Oaxley Act., 2002. – Ley Federal de los Estados Unidos. Acta de reforma de la contabilidad pública de empresas y de
protección al inversionista.

24
 13 DESARROLLO DE LOS OBJETIVOS

14 RIESGOS Y AMENAZAS EN LOS SISTEMAS INFORMÁTICOS

TIPOS DE AMENAZAS

Básicamente, podemos agrupar las amenazas a la información en cuatro grandes

categorías: Factores Humanos (accidentales, errores); Fallas en los sistemas de
procesamiento de información; Desastres naturales y actos maliciosos o
malintencionados; algunas de estas amenazas son:

• Virus informáticos o código malicioso

• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DoS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje

A continuación se presenta la descripción de algunas de las principales

amenazas:

• Spyware (Programas espías): Código malicioso cuyo principal objetivo es

recoger información sobre las actividades de un usuario en un computador
(tendencias de navegación), para permitir el despliegue sin autorización en
ventanas emergentes de propaganda de mercadeo, o para robar información
personal (p.ej. números de tarjetas de crédito). Hay iniciativas de utilizarlos para
controlar el uso de software pirata. Según algunas estadísticas, cerca del 91% de
los computadores tienen spyware instalado, y de acuerdo a un reporte de la firma
EarthLink”, en una revisión de cerca de 1 millón de computadores en Internet, el
promedio de programas “spyware” en cada uno era de 28.

• Troyanos, virus y gusanos: Son programas de código malicioso, que de

diferentes maneras se alojan en los computadores con el propósito de permitir el
acceso no autorizado a un atacante, o permitir el control de forma remota de los
sistemas. El virus, adicionalmente, tiene como objetivo principal ser destructivo,

25
dañando la información de la máquina, o generando el consumo de recursos de
manera incontrolada para bloquear o negar servicios.

El vector de propagación de estos códigos es, casi siempre, otro programa o

archivo (un programa ejecutable, imagen, video, música, reproducciones flash,
etc.); de otra parte, los virus, se replican ellos mismos una vez instalados en el
sistema.

Las estadísticas indican que mensualmente se generan cientos de estos

programas, cuyo principal objetivo es robo financiero, poniendo en riesgo la
información confidencial y el dinero de las personas y de las organizaciones, más
que la destrucción de archivos. La última tendencia en clases de virus se
denomina cripto-virus, el cual, una vez instalado, cifra la información contenida en
el disco del equipo, o algunos archivos contenidos en éste, y posteriormente se
solicita una cantidad de dinero para que sus autores entreguen las claves para
recuperar el contenido de los archivos cifrados (secuestro express de la
información).

• Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es

obtener de manera fraudulenta datos confidenciales de un usuario, especialmente
financieros, aprovechando la confianza que éste tiene en los servicios
tecnológicos, el desconocimiento de la forma en que operan y la oferta de
servicios en algunos casos con pobres medidas de seguridad.
Actualmente, los ataques de phishing son bastante sofisticados, utilizando
mensajes de correo electrónico y falsos sitios Web, que suplantan perfectamente
a los sitios originales.

• Spam: Recibo de mensajes no solicitados, principalmente por correo

electrónico, cuyo propósito es difundir grandes cantidades de mensajes
comerciales o propagandísticos. Se han presentado casos en los que los envíos
se hacen a sistemas de telefonía celular – mensajes de texto, o a sistemas de
faxes.
Para el año 2006, se tenía calculado que entre el 60 y el 70% de los correos
electrónicos eran “spam”, con contenidos comerciales o de material pornográfico.
Según la compañía Symantec, el tipo de spam más común en el año 2006 fue el
relacionado con servicios financieros, con cerca del 30% de todo el spam
detectado.

• Botnets (Redes de robots): Son máquinas infectadas y controladas

remotamente, que se comportan como “zombis”, quedando incorporadas a redes
distribuidas de computadores llamados robot, los cuales envían de forma masiva
mensajes de correo “spam” o código malicioso, con el objetivo de atacar otros
sistemas; se han detectado redes de más de 200.000 nodos enlazados y más de
10.000 formas diferentes de patrones de “bots”.

26
Las organizaciones deberían revisar los computadores de sus redes de datos para
detectar síntomas de infecciones relacionadas con este patrón, para evitar ser la
fuente de ataques hacia otras redes o sistemas. También se requiere de la
colaboración y aporte permanente de los usuarios finales y de los proveedores de
acceso a Internet y prestadores de servicios como los “café Internet”.

• Trashing: Un método cuyo nombre hace referencia al manejo de la basura.

No es una técnica relacionada directamente con los sistemas de información,
pues los atacantes se valen de otra forma de ingeniería social y para ello, el
mecanismo utilizado, es la búsqueda en las canecas de la basura o en los sitios
donde se desechan papeles y documentos de extractos bancarios, facturas,
recibos, borradores de documentos, etc.

ATAQUES INFORMÁTICOS

Según los datos de la encuesta anual de Seguridad del FBI, los virus informáticos
siguen siendo la principal fuente de pérdida financiera en las organizaciones,
seguidos por los impactos derivados de accesos no autorizados a los sistemas, el
robo de información de propiedad industrial, y la pérdida de computadores
personales o elementos de computación móvil. Estas causas generan más del
74% del total de las pérdidas financieras.

Las inversiones en tecnología para protección en seguridad informática cada día

aumentan, y aun así, se presentan resultados como los mostrados en la encuesta
e ilustrados en la siguiente gráfica; las situaciones de inseguridad informática o de
la información no se dan solo por personas descuidadas que divulgan información
confidencial, se dan en grandes empresas multinacionales, que cuentan con
departamentos de tecnología y recursos suficientes para invertir en protección.
Entonces, ¿cuál es la falla?

Figura N° 1 Estadística de ataques

27
Fuente: CSI/FBI Computer Crime and Security Survey - 2006

Según un reciente estudio publicado por AvanteGarde 2, que realizó una prueba
consistente en dejar unos sistemas conectados a Internet con las protecciones
básicas configuradas de fábrica, el tiempo promedio en el que un equipo resultó
“exitosamente” atacado fue de solo 4 minutos.
La primera cosa que una persona hace con un computador nuevo es conectarlo a
Internet, enviar correos, bajar archivos (música, videos, etc.), navegar, jugar,
“chatear”, y otras cosas; nadie piensa en la seguridad del equipo, instalar parches
y herramientas de protección. (Firewall personal, antivirus, anti-spam, copias de
respaldo).

La falla principal que permite que los usuarios sean atacados y sean víctimas de
la gran cantidad de amenazas que nos acechan, radica en que en muchos casos
no se está gestionando la tecnología dentro de un marco completo de protección
de la información, y en la falta de concientización a las personas en los riesgos
relacionados con el uso de tecnología y de herramientas como Internet, por lo que
los esfuerzos se pierden o se orientan a cumplir objetivos imprecisos. Las
inversiones en tecnología de seguridad, como solución a los problemas
planteados, deben ser realizadas dentro de un marco sincronizado con otra serie
de medidas para formar lo que se conoce como un “Sistema de Gestión de
Seguridad de la Información”.

IDENTIFICACIÓN EN LA RED

2
Security Absurdity: The complete, unquiestionable, and total failure of information security.

28
Todos los sistemas informáticos conectados en red poseen identificadores para
poder enviar y recibir la información desde otros sistemas. Esta identificación se
conoce como la dirección IP (Internet Protocol).

Para que un sistema pueda acceder a Internet, necesita tener una dirección IP
única, que no se repita o que no posea otro sistema en la red. Para situaciones
normales como envío de correo ofensivo, navegación, descarga de archivos,
conversación con otros usuarios, es posible encontrar el rastro dejado por el
computador utilizado, y en algunos casos logar detectar su ubicación física.
La red no es totalmente anónima, pero para lograr la identificación se requiere en
muchos casos de la colaboración de diferentes entidades como los proveedores
de acceso a Internet y las empresas que prestan servicios de alojamiento de
páginas Web.

Los sistemas informáticos utilizan niveles pobres de autenticación tanto de

sistemas como de usuarios, lo cual disminuye la posibilidad de actuar contra los
atacantes. Para ataques elaborados como envío de spam, virus o inclusive
accesos no autorizados, los atacantes han desarrollado técnicas que permiten
utilizar direcciones simuladas o falsas, cambiando la dirección original asignada, y
de esa forma engañar los procesos de búsqueda e identificación y en muchos
casos se valen de servidores públicos, para que en caso de ser identificados, se
puedan mover fácilmente a otros sistemas sin dejar rastro, y continuar con sus
ataques.

LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

“La información es un activo que, al igual que otros activos del negocio, es
esencial para la organización, y por lo tanto debe ser protegido de forma
adecuada.” 3
La OCDE4 desarrolló por primera vez en 1992 una serie de Directrices para la
Seguridad de los Sistemas de Información, las cuales tratan de promover el uso y
desarrollo de una cultura de la Seguridad, no solo en el desarrollo de Sistemas y
Redes de comunicación, sino mediante la adopción de “nuevas formas de
pensamiento y comportamiento en el uso de la interconexión de esos sistemas”.
Las Directrices presentadas son: Concientización, Responsabilidad, Respuesta
Adecuada, Ética, Democracia, Evaluación del Riesgo, Diseño y Realización de la
Seguridad, Gestión de Seguridad, Reevaluación.

Con la evolución de los sistemas de información y de la forma de hacer negocios,

la información se ha convertido en uno de los activos de mayor valor para las
personas y especialmente para las organizaciones. “Los sistemas, redes y
servicios de información afines, deben ser fiables y seguros, dado que los

3
ISO/IEC 17799:2005
4
Organización para la Cooperación y el Desarrollo Económico

29
participantes son cada más dependientes de estos. Sólo un enfoque que tenga en
cuenta los intereses de todos los participantes y la naturaleza de los sistemas,
redes y servicios afines, puede proporcionar una seguridad efectiva.”

Los objetivos que se buscan con la Gestión de la Seguridad de la Información son

la protección de la confidencialidad, integridad y disponibilidad de la información y
de los bienes que la contienen o procesan. De esta manera, las organizaciones y
personas se pueden proteger de:

• Divulgación indebida de información sensible o confidencial, de forma accidental

o bien, sin autorización.
• Modificación sin autorización o bien, de forma accidental, de información crítica,
sin conocimiento de los propietarios.
• Pérdida de información importante sin posibilidad de recuperarla.
• No tener acceso o disponibilidad de la información cuando sea necesaria

La información debe ser manejada y protegida adecuadamente de los riesgos o

amenazas que enfrente. La información valiosa se puede encontrar en diferentes
formas: impresa, almacenada electrónicamente, transmitida por diferentes medios
de comunicación o de transporte, divulgada por medios audiovisuales, en el
conocimiento de las personas, etc.

La información debe ser manejada y protegida adecuadamente de los riesgos o

amenazas que enfrente. La información valiosa se puede encontrar en diferentes
formas: impresa, almacenada electrónicamente, transmitida por diferentes medios
de comunicación o de transporte, divulgada por medios audiovisuales, en el
conocimiento de las personas, etc...

15 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES EN LOS

SISTEMAS INFORMÁTICOS.

Nombre
LEGIÓN
URL Oficial

https://kalilinuxtutorials.com/legion-penetration-testing/

Funcionalidad

Legión es una herramienta de prueba de penetración de código abierto, fácil de

usar, súper extensible y semiautomatizada que ayuda en el descubrimiento,
reconocimiento y explotación de sistemas de información.

30
Aplicaciones soportadas
Soporta una cantidad considerable de servidores de bases de datos, entre ellas
las siguientes:
 MySQL
 Oracle
 PostgreSQL
 Microsoft SQL Server
 Microsoft Acces
 IBM DB2
 SQLLit
 Firebird
 Sybase
 SAP MaxDB
 MongoDB

Ejemplo de uso
Test de vulnerabilidad mediante la herramienta LEGION, a la Ip 192.168.39.196
(donde se encuentra la base de datos)

Fuente: Elaboración propia

Nombre
NMAP
URL Oficial

https://nmap.org/

Funcionalidad

Segundo Borges 2019. Este software posee varias funciones para

sondear redes de computadores, incluyendo detección de equipos, servicios
y sistemas operativos. Estas funciones son extensibles mediante el uso de

31
scripts para proveer servicios de detección avanzados, detección de
vulnerabilidades y otras aplicaciones. Además, durante un escaneo, es capaz
de adaptarse a las condiciones de la red incluyendo latencia y congestión de la
misma.

Aplicaciones soportadas
 Inyección SQL
 Inyección de código JSP / ASP / PHP
 Ejecución de comando
 Divulgación de archivos
 Scripting de sitios cruzados (XSS)
 Protocolos de red
 Mongo DB
Ejemplo de uso
Escaneo mediante la herramienta NMAP a la Ip (192.168.39.196) donde esta
alamacenada la base de datos.

Fuente: Elaboración propia

Nombre
NIKTO
URL Oficial

https://cirt.net/Nikto2

Funcionalidad

32
Según Caballero 2018. Es un escáner de vulnerabilidades Open Source o de
fuente abierta, el cual está escrito en el lenguaje Perl, siendo originalmente
publicado en el año 2011. Nikto proporciona la capacidad de escanear
servidores web en busca de vulnerabilidades. Realiza más de 6,400
verificaciones por archivos o scripts potencialmente peligrosos, realiza 1,200
pruebas para versiones desactualizadas de servidores, y verifica cerca de 300
problemas específicos a versiones de servidores web.

Aplicaciones soportadas
 Inyección SQL
 Inyección de código JSP / ASP / PHP
 Ejecución de comando
 Divulgación de archivos
 Scripting de sitios cruzados (XSS)
 Protocolos de red
 Mongo DB
 Servidores Web

Ejemplo de uso
Escaneo mediante la herramienta NIKTO Ip (192.168.39.196) donde esta
alamacenada la base de datos

Fuente: Elaboración propia

Nombre
SQLmap
URL Oficial

http://sqlmap.org/

Funcionalidad

33
De acuerdo con Démele 2018. Es una herramienta de prueba de penetración de
código abierto que automatiza el proceso de detección y explotación de fallas
de inyección SQL y toma de control de servidores de bases de datos. Viene con
un potente motor de detección, muchas características de nicho para el último
probador de penetración y una amplia gama de interruptores que duran desde
la toma de huellas digitales de la base de datos, la obtención de datos desde la
base de datos, hasta el acceso al sistema de archivos subyacente y la ejecución
de comandos en el sistema operativo a través de conexiones fuera de banda.
Aplicaciones soportadas
 MySQL
 Oracle
 PostgreSQL
 Microsoft SQL Server
 IBM DB2
 SQLLit
 Firebird
 Sybase
 SAP MaxDB

Ejemplo de uso

Escaneo de vulnerabilidades mediante (SQLmap –u

http://192.168.39.196/app_oracle --dbs)

Fuente: Elaboración propia

Visualización de las vulnerabilidades

Nombre
PENTEST
URL Oficial

https://pentest-tools.com/website-vulnerability-scanning/website-scanner

Funcionalidad

34
Funciona atravez del escaneo de URL y direccionamiento Ip, los resultados
muestran un resumen de calificación de riesgo, posibles archivos confidenciales
encontrados, vulnerabilidades de ejecución de comandos remotos, estadísticas
de inyección SQL, lecturas arbitrarias de archivos, software de servidor
obsoleto, servicios de servidor mal configurados, software de servidor y
tecnologías encontradas, así como un archivo robots.txt y una verificación
completa del encabezado de seguridad HTTP.
Aplicaciones soportadas
 Oracle
 Website fingerprinting
 SQL injection
 Local/Remote File Inclusion
 Discovery of sensitive files
 URL
 Servidores Web
Ejemplo de uso

Realizacion de escaner de vulnerabilidades a una base de datos onlinne:

https://www.scriptcase.net/ejemplos/formulario-php/

Fuente: Elaboración propia

VULNERABILIDADES INFORMÁTICAS

Contraseñas débiles.

35
Son aquellas que son fáciles de averiguar, no proporcionan al sistema una buena
seguridad; teniendo en cuenta que este método de seguridad es uno de los
principales ofrecidos por los sistemas de seguridad informática.

Software que ya está infectado con virus.

 Colapsar el funcionamiento de la maquina
 Uso de los campos ocultos
 Utilizado para monitorear y en ocasiones controlar las actividades en la red.
 Facilita utilizados por los delincuentes para el robo de información, cometer
fraude y lograr su objetivo malicioso.

Enlace a descargas maliciosas.

 Ofrece el acceso al delincuente informático mediante el re direccionamiento
 Por lo general contienen códigos maliciosos que facilitan la intensión del
hacker
 En ocasiones son eliminados por los navegadores

Falta de cifrado de datos.

Se debe utilizar caracteres especiales con el fin de endurecer el sistema y no
facilitar el acceso a los delincuentes informáticos.

Falta de actualización.
Se deben realizar las actualizaciones necesarias en el sistema, teniendo en
cuenta que ayudan a mejorar el funcionamiento y así mismo ayudan a mantener
la seguridad en el sistema a medida que se van descubriendo las vulnerabilidades.

Re direccionamiento de URL a sitios confiables.

Permite a los atacantes remotos re direccionar a los usuarios a sitios web
arbitrarios y conducir ataque de phishing por medio de vectores no especificados.

Desbordamiento de búfer.
 Permite a un atacante ejecutar códigos remotos en el sistema afectado
 Ofrece al atacante la facilidad de ingreso al sistema

Carga sin restricciones de tipos de archivos peligrosos y descarga de códigos sin

controles de integridad.
 Propagación de virus

36
 Intrusión de piratas informáticos mediante la descarga
 Se debe manejar confidencialidad con el tipo de información
 Controles de seguridad para la carga y descarga de información

Dependencia de entradas no confiables.

 Validaciones inapropiadas
 Ataques al sistema de archivos
 Manipulación de los accesos otorgados
 Incumplimiento de las reglas de negocio
 Exceso de confianza

Exceso de privilegios a personas inadecuadas.

 Manipulación de parámetros
 Validaciones inadecuadas en los servidores
 Influencias con una finalidad maliciosa
 Penetraciones económicas
 Manipulación en los archivos de registro

OTRAS VULNERABILIDADES

Información extraída de https://www.incibe-cert.es/alerta-

temprana/vulnerabilidades/cve-1999-1391 :

CVE-2019-10749

Debido a que las claves JSON no se desinfectaron de forma correcta, permite el

ataque mediante inyección SQL. Impacto Critico[CITATION com19 \l 3082 ].

CVE-2018-15441

Permite a un atacante ejecutar consultas SQL; ya que carece de herramientas de

validación adecuadas para los usuarios de consultas, esta vulnerabilidad podría
permitir a un atacante modificar y eliminar datos de una DB, además podría
asignar permisos de Shell utilizando los privilegios de usuario postgres. Impacto
Critico[ CITATION com191 \l 3082 ].

CVE-2020-9502

37
Los dispositivos de video marca Dahua, contenían una vulnerabilidad en el Id de
sesión, ya que permitía crear paquetes de datos para atacar a los dispositivos.
Impacto crítico[ CITATION com20 \l 3082 ].

CVE-2020-9362

Vulnerabilidad encontrada en AV Quick Heal, ya que se puede evadir el

descubrimiento de virus mediante un GPFLAG en un archivo comprimido. Esta
vulnerabilidad afecta a[ CITATION com201 \l 3082 ]:
 Total Security
 Home Security
 Total Security Multi-Device
 Internet Security
 Total Security for Mac
 Antivirus Pro
 Antivirus for Server
 Total Security for Android.
El impacto para esta vulnerabilidad es Alto.

CVE-2020-8599

Servidor OfficeScan XG tienen un archivo ejecutable el cual tiene una

vulnerabilidad que puede conceder a un atacante descartar el inicio de la sesión
del root y deja escribir caracteres en las rutas de las instalaciones afectadas;
Impacto Critico[ CITATION com202 \l 3082 ].

CVE-2020-8598

El servidor de Trend Micro Apex One, OfficeScan XG y Worry-Free Business

Security tiene una biblioteca que contiene código y datos de servicio con
vulnerabilidades, ya que permite ejecutar códigos a su disposición en dispositivos
afectados con privilegios de nivel System. Impacto Critico[ CITATION com203 \l
3082 ].

CVE-2020-7801

Se encontró una vulnerabilidad en la exposición de los datos a personal no

autorizado mediante el protocolo SNMP de Synergy Systems & Solutions (SSS)
HUSKY RTU 6049-E70. Impacto Medio[ CITATION com204 \l 3082 ].

38
CVE-2020-5589

Algunos audífonos de marca Sony, tienen una vulnerabilidad la cual les permite a
los atacantes conectarse vía bluetooth si están en su rango de alcance, dado que
esta vulnerabilidad aún está en análisis, no se tiene el impacto definido[ CITATION
com205 \l 3082 ].

CVE-2019-15743

Se encontró una vulnerabilidad en los dispositivos Sony experia Touch, este

dispositivo tiene una aplicación que viene instalada de fábrica, la cual permite a un
atacante acceder al micrófono y realizar grabación de llamadas no autorizadas;
Impacto Medio [ CITATION com192 \l 3082 ].

CVE-2019-11890

Una vulnerabilidad que causa el bloqueo y también un reinicio de los dispositivos

Sony Smart TV, esto se puede realizar mediante un ataque a la SYN de la LAN o
red wifi; impacto Alto[ CITATION com193 \l 3082 ].

CVE-1999-1467

La vulnerabilidad en rcp en SunOS 4.0.x permite a los atacantes remotos de hosts

confiables ejecutar comandos arbitrarios como root, posiblemente relacionados
con la configuración del usuario de nobody. Tipo de impacto: Compromiso total de
la integridad del sistema + Compromiso total de la confidencialidad del sistema +
Compromiso total de la disponibilidad del sistema.

CVE-1999-1391

La vulnerabilidad en NeXT 1.0a y 1.0 con impresoras de acceso público permite a

los usuarios locales obtener privilegios a través de una combinación del programa
npd y permisos de directorio débiles. Tipo de impacto: Compromiso total de la
integridad del sistema + Compromiso total de la confidencialidad del sistema +
Compromiso total de la disponibilidad del sistema.

CVE-1999-1122

39
La vulnerabilidad en la restauración en SunOS 4.0.3 y versiones anteriores
permite a los usuarios locales obtener privilegios. Tipo de impacto: Afecta
parcialmente a la integridad del sistema + Afecta parcialmente a la
confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema.

CVE-2020-14931

Un desbordamiento de búfer basado en pila en DMitry (Deepmagic Information

Gathering Tool) 1.3a podría permitir que los servidores remotos de WHOIS
ejecuten código arbitrario a través de una larga línea en una respuesta que es mal
manejada por nic_format_buff. Tipo de impacto: compromete a todo el sistema.

CVE-2020-13262

La inyección de código del lado del cliente a través del marcado Mermaid en
GitLab CE / EE 12.9 y más adelante a través de 13.0.1 permite una carga útil de
Mermaid especialmente diseñada para PUT solicitudes en nombre de otros
usuarios haciendo clic en un enlace. Tipo de impacto: compromete sistemas de
información y almacenamiento.

CVE-1999-1057

VMS 4.0 a 5.3 permite a los usuarios locales obtener privilegios a través del
comando dcl ANALYZE / PROCESS_DUMP. Tipo de impacto: Afecta parcialmente
a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema
+ Afecta parcialmente a la disponibilidad del sistema.

CVE-1999-1471

El desbordamiento de búfer en passwd en los sistemas operativos basados en

BSD 4.3 y anteriores permite a los usuarios locales obtener privilegios de root al
especificar un shell largo o un campo GECOS. Tipo de impacto: Compromiso total
de la integridad del sistema + Compromiso total de la confidencialidad del sistema
+ Compromiso total de la disponibilidad del sistema.

CVE-1999-0095

El comando de depuración en Sendmail está habilitado, lo que permite a los

atacantes ejecutar comandos como root. Tipo de impacto: Compromiso total de la

40
integridad del sistema + Compromiso total de la confidencialidad del sistema +
Compromiso total de la disponibilidad del sistema.

CVE-2020-13274

Un problema de seguridad permitió lograr ataques de denegación de servicio a

través del agotamiento de la memoria al cargar artefactos maliciosos en todas las
versiones anteriores de GitLab a través de 13.0.1 Tipo de impacto: compromete a
todo el sistema.

CVE-1999-0082

El comando root CWD ~ en ftpd permite el acceso root. Tipo de impacto:

Compromiso total de la integridad del sistema + Compromiso total de la
confidencialidad del sistema + Compromiso total de la disponibilidad del sistema.

41
 16 CONCLUSIONES

Se realizó una investigación exhaustiva sobre los riesgos y las amenazas en los
sistemas informáticos.

Mediante la investigación se logró identificar herramientas de análisis de

vulnerabilidades y así mismo, se contemplaron algunas de las vulnerabilidades
más comunes en los sistemas informáticos.

42
 17 RECOMENDACIONES

Entre las recomendaciones más urgentes, está el proceso de concientización debe

estar orientado a sensibilizar a todas las personas para que identifiquen las
amenazas que enfrenta la información y que sigan una serie de reglas o normas
para que estas no se materialicen; ellas son quienes crean, utilizan y custodian la
información.

La concientización es quizá el punto más neurálgico para obtener buenos

resultados en cualquier plan de seguridad de la información, debido a que la
persona es casi siempre el punto más débil, por la naturaleza misma del ser
humano.

Una de las principales vulnerabilidades actuales se relaciona con la ingeniería

social, que es el proceso de convencer a las personas para que divulguen
información confidencial. Generalmente se basa en engaños o suplantación de
identidad, así como en aparentar tener una autoridad que no es real, de manera
que la víctima quede en una situación desprotegida, de la cual no es consciente, y
se convierte en ayuda para el atacante; es un proceso muy efectivo, que solo
puede ser reducido con entrenamiento y concientización adecuados. Un de las
recomendaciones más importantes es crear conciencia de Ciberseguridad por
parte de todos los usuarios.

43
 18 DIVULGACIÓN

El desarrollo del presente informe técnico será dado a conocer en colaboración de

la biblioteca de la Universidad Nacional Abierta y a Distancia – UNAD, a través de
su aplicativo en línea, en donde se publicará un archivo PDF correspondiente al
documento final presentado ante los jurados, posterior a la sustentación de este
(Si es informe técnico por seminario o créditos de maestría, no tiene jurado); con
el fin de que todos los estudiantes de la Universidad que se encuentren
interesados en el tema de experiencias de equipos de seguridad Red Team & Blue
Team, puedan acceder al documento.

44
 BIBLIOGRAFÍA

• Aguirre Tovar, R., & Zambrano Ordoñez, A. (2015). STUDIO PARA LA

IMPLEMENTACIÓN DEL
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA
SECRETARIA DE EDUCACIÓN DEPARTAMENTAL DE NARIÑO BASADO
EN LA NORMA ISO/IEC 27001. Disponible en:
https://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/3655/1/13039116.pdf.

• Alejaldre García, V. (2017). Implantación de un SGSI en una administración

local. [online] Openaccess.uoc.edu. Recuperado de:
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/59427/7/valejaldreg
TFM0117memòria.pdf

• Alemán Novoa, H., & Rodríguez Barrera, C. (2015). Metodologías para el

análisis de riesgos en los sgsi. Recuperado de:
http://hemeroteca.unad.edu.co/index.php/publicaciones-
einvestigacion/article/view/1435

• Ardila García, A., & Cardona Tovar, l. (2016). DESARROLLO DE UN

MARCO DE TRABAJO PARA LA GESTIÓN DEL SGSI EN PYMES
DESARROLLADORAS DE SOFTWARE EN BOGOTÁ BASADO EN LA
METODOLOGÍA MGSM -PYME. Recuperado de:
http://repository.udistrital.edu.co/bitstream/11349/2807/1/CardonaTovarLore
naPatricia2016.pdf

• Álvarez Ledesma, A., Torres Ruiz, G., & Ochoa Arbeláez, R. (2018). Partes
interesadas [Ebook] (2nd ed., pp. 1- 6). Bogotá D.C. Recuperado de:
https://copnia.gov.co/sites/default/files/uploads/mapaprocesos/archivos/dire
ccionamientoestrategico/partes_interesadas.pdf

• Benavides Sepúlveda, A., & Blandón Jaramillo, C. (2018). Modelo sistema

de gestión de seguridad de la información para instituciones educativas de
nivel básico. Recuperado de:
http://eds.a.ebscohost.com.bibliotecavirtual.unad.edu.co/eds/pdfviewer/pdfvi
ewer?vid=1&sid=0d8ee77b-ce77- 4578-bcff-7e41aa16469d@sdc-v-
sessmgr05

• Bocanegra Quintero, Y. (2015). ANÁLISIS Y GESTIÓN DE RIESGOS DE

LOS SISTEMAS DE INFORMACIÓN DE LA ALCALDÍA MUNICIPAL DE
TULUÁ APLICANDO LA METODOLOGÍA MAGERIT. Recuperado de:
https://stadium.unad.edu.co/preview/UNAD.php?

45
 url=/bitstream/10596/3632/1/66728456.pdf

• Botero Vega, D. (2016). DISEÑO DEL SISTEMA DE GESTIÓN DE

SEGURIDAD INFORMÁTICA Y DE LA INFORMACIÓN (SGSI) PARA LA
EMPRESA BELISARIO LTDA. DE LA CIUDAD DE BOGOTÁ D.C.
Disponible en: https://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/12925/1/80259558.pdf.

• Camargo Ramírez, J. (2017). DISEÑO DE UN SISTEMA DE GESTIÓN DE

LA SEGURIDAD DE LA INFORMACIÓN (SGSI) EN EL ÁREA
TECNOLÓGICA DE LA COMISIÓN NACIONAL DEL SERVICIO CIVIL -
CNSC BASADO EN LA NORMA ISO27000 E ISO27001 [Ebook] (1st ed.,
pp. 9-12). Recuperado de: https://stadium.unad.edu.co/preview/UNAD.php?
url=/bitstream/10596/11992/1/75104100.pdf.

• Canal En VIVO - Universidad EAFIT. (2018). Administración de Riesgos

Cibernéticos: Nuevos desafíos relacionados con la dependencia tecnológica
[Video]. Recuperado de: https://www.youtube.com/watch?v=bb8gzgkJutk

• Castro Quinde, C. (2014). Elaboración de un Sistema de Gestión de

Seguridad de la Información (Sgsi) para la Empresa Radical Cia. Ltda. En la
Ciudad de Quito para el año 2014. Recuperado de:
http://dspace.udla.edu.ec/handle/33000/3376

• Cárdenas Solano, L., Martínez Ardila, h., & Becerra Ardila, L. (2016).
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: REVISIÓN
BIBLIOGRÁFICA. Recuperado de:
http://eds.b.ebscohost.com.bibliotecavirtual.unad.edu.co/eds/pdfviewer/pdfvi
ewer?vid=2&sid=76e5dfd6-7afe4a67-8e7c-3e0779fe2163@pdc-v-
sessmgr02

• Catalunya, Universidad Oberta de. Política de seguridad criptográfica de la

Universitat Oberta de Catalunya.» 2016. https://seu-
electronica.uoc.edu/portal/_resources/ES/documents/seuelectronica/Politica
_Seguretat_Criptogrxfica_UOC-cat_ES.pdf.

• Certificacion360. (2018). ISO/IEC 27032 Ciberseguridad [Video].

Recuperado de: https://www.youtube.com/watch?v=4Qoqcz9ojrw • ©
Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT –
versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información [Ebook] (3rd ed., pp. 19-23). España. Recuperado de:
https://www.ccn-cert.cni.es/documentos-publicos/1791-magerit-libro-ii-
catalogo/file.html.

• CSI/FBI Computer Crime and Security Survey, 2006.

46
• ISO 27001:2005. Requerimientos para los Sistemas de Gestión de la
Seguridad de la Información.

• ISO/IEC 17799:2005. Código de práctica para la gestión de la seguridad de

la información.

• Los 10 riesgos más comunes para su identidad en línea. RSA Security Inc.
http://www. rsa.com/go/idtheft/spanish/fraud.html

• Piegorsch, WW, Cutter, SL y Hardisty, F. (2007). Análisis de referencia para

cuantificar la vulnerabilidad urbana a incidentes terroristas. Análisis de
riesgo: An International Journal , 27 (6), 1411-1425.

• Ruiz González, P. A. (2018). Seguridad de aplicaciones web basadas en

las tecnologías Node. js y MongoDB: Estudio y caso de uso (Master's
thesis).

• SYMANTEC INTERNET SECURITY THREAT REPORT. Trends for July-

December 2006

• SECURITY ABSURDITY: The complete, unquestionable and total failure of

information security. Noam Eppel, Vivica Information Security Inc.

• Shilane, P., Min, P., Kazhdan, M. y Funkhouser, T. (junio de 2004). El punto

de referencia de la forma princeton. En Proceedings Shape Modeling
Applications, 2004. (págs. 167-178). IEEE.

47
 ANEXOS

Anexo A. Nombre del Anexo

Anexo B. Nombre del Anexo

48