Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anexo 1. Plantilla para La Construcción Del Documento Académico V2 - Christian - Pinilla
Anexo 1. Plantilla para La Construcción Del Documento Académico V2 - Christian - Pinilla
Con amor dedico este trabajo a mi esposa, que con su apoyo y comprensión me
acompañó en el proceso familiar, colaborándome de manera indirecta,
minimizando mis preocupaciones de padre, también lo dedico a mi mamá que con
su apoyo, dedicación y sacrificio minimizo mis preocupaciones en el hogar.
AGRADECIMIENTOS
Pág.
INTRODUCCIÓN.....................................................................................................16
1 DEFINICIÓN DEL PROBLEMA........................................................................17
1.1 ANTECEDENTES DEL PROBLEMA............................................................17
1.2 FORMULACIÓN DEL PROBLEMA..............................................................17
2 JUSTIFICACIÓN..............................................................................................18
3 OBJETIVOS......................................................................................................19
3.1 OBJETIVO GENERAL..................................................................................19
3.2 OBJETIVOS ESPECÍFICOS........................................................................19
4 MARCO REFERENCIAL..................................................................................20
4.1 MARCO CONCEPTUAL...............................................................................20
4.2 ANTECEDENTES O ESTADO ACTUAL......................................................22
4.3 MARCO LEGAL............................................................................................23
CUMPLIMIENTO LEGAL.........................................................................................23
5 DISEÑO METODOLÓGICO.............................................................................24
6 DESARROLLO DE LOS OBJETIVOS.............................................................25
6.1 RIESGOS Y AMENAZAS EN LOS SISTEMAS INFORMÁTICOS...............25
6.2 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES EN LOS
SISTEMAS INFORMÁTICOS..................................................................................30
7 CONCLUSIONES.............................................................................................41
8 RECOMENDACIONES....................................................................................42
9 DIVULGACIÓN.................................................................................................43
BIBLIOGRAFÍA........................................................................................................44
ANEXOS..................................................................................................................47
LISTA DE TABLAS
Pág.
Pág.
pág.
pág.
Activo: Según Gómez (2007). Cualquier cosa que posee valor para un individuo,
compañía, entidad u organización.
Blue Team: Según Gómez (2007. Equipo especializado que presta servicios de
seguridad informática.
Controles: Según Gómez (2007). Son aquellos órganos de control usados para
inspeccionar y controlar actividades que son juzgadas como sospechosas y que
pueden perjudicar de algún modo los activos de información.
Gestión del Riesgo: Según Gómez (2007). Son aquellas labores coordinadas
para administrar e inspeccionar una entidad en correlación con el riesgo.
Casi todas las organizaciones públicas o privadas, al igual que las personas,
dependen de alguna manera de la tecnología de la información como una
herramienta esencial para lograr sus objetivos de negocio o para poder desarrollar
actividades en su vida cotidiana; al mismo tiempo, todos tienen que enfrentarse
con una amplia gama de amenazas y vulnerabilidades asociadas a los entornos
informáticos de hoy.
16
1 DEFINICIÓN DEL PROBLEMA
Según Ávila 2019. En lo que ha transcurrido del año, cada segundo se presenta
alrededor de 12 ataques informáticos en América Latina, según cifras estimadas
en la Cumbre de Analistas de Seguridad de Kaspersky Lab; por lo que, en total,
se contabilizaron un millón de violaciones a la seguridad de los internautas en
esta región.
17
4 JUSTIFICACIÓN
18
5 OBJETIVOS
6 OBJETIVO GENERAL
7 OBJETIVOS ESPECÍFICOS
19
8 MARCO REFERENCIAL
9 MARCO CONCEPTUAL
Activo: Según Gómez (2007). Cualquier cosa que posee valor para un individuo,
compañía, entidad u organización.
Blue Team: Según Gómez (2007. Equipo especializado que presta servicios de
seguridad informática.
20
otro tipo que resultan del daño, error, accidente, perjuicio o cualquier otro evento
que se pueda considerar no deseable en el ciberespacio.
Controles: Según Gómez (2007). Son aquellos órganos de control usados para
inspeccionar y controlar actividades que son juzgadas como sospechosas y que
pueden perjudicar de algún modo los activos de información.
Gestión del Riesgo: Según Gómez (2007). Son aquellas labores coordinadas
para administrar e inspeccionar una entidad en correlación con el riesgo.
21
involucrar las operaciones la organización y finalmente poner en riesgo la
seguridad de la información.
22
Metodología que consta de tres fases, en la primera se realiza la planificación y
preparación, además se establece el alcance y las pruebas que se deben realizar;
la segunda fase consta de la evaluación, además se realizan pruebas de
penetración a los activos de información; mientras que la tercer fase, se realizan
los informes requeridos y la destrucción de la información que se levantó durante
el proceso, en dicho informe se detallan los hallazgos y sus posibles soluciones,
además de recomendaciones para mejorar la seguridad[ CITATION Lil13 \l 3082 ].
11 MARCO LEGAL
CUMPLIMIENTO LEGAL
23
reguladores de comercio electrónico, ley de “Habeas Data”, SOX1, etc., son
aspectos que deben ser incorporados en la definición y aplicación de mecanismos
de protección de la información.
12DISEÑO METODOLÓGICO
1
SOX: Sarbanes-Oaxley Act., 2002. – Ley Federal de los Estados Unidos. Acta de reforma de la contabilidad pública de empresas y de
protección al inversionista.
24
13 DESARROLLO DE LOS OBJETIVOS
TIPOS DE AMENAZAS
25
dañando la información de la máquina, o generando el consumo de recursos de
manera incontrolada para bloquear o negar servicios.
26
Las organizaciones deberían revisar los computadores de sus redes de datos para
detectar síntomas de infecciones relacionadas con este patrón, para evitar ser la
fuente de ataques hacia otras redes o sistemas. También se requiere de la
colaboración y aporte permanente de los usuarios finales y de los proveedores de
acceso a Internet y prestadores de servicios como los “café Internet”.
ATAQUES INFORMÁTICOS
Según los datos de la encuesta anual de Seguridad del FBI, los virus informáticos
siguen siendo la principal fuente de pérdida financiera en las organizaciones,
seguidos por los impactos derivados de accesos no autorizados a los sistemas, el
robo de información de propiedad industrial, y la pérdida de computadores
personales o elementos de computación móvil. Estas causas generan más del
74% del total de las pérdidas financieras.
27
Fuente: CSI/FBI Computer Crime and Security Survey - 2006
Según un reciente estudio publicado por AvanteGarde 2, que realizó una prueba
consistente en dejar unos sistemas conectados a Internet con las protecciones
básicas configuradas de fábrica, el tiempo promedio en el que un equipo resultó
“exitosamente” atacado fue de solo 4 minutos.
La primera cosa que una persona hace con un computador nuevo es conectarlo a
Internet, enviar correos, bajar archivos (música, videos, etc.), navegar, jugar,
“chatear”, y otras cosas; nadie piensa en la seguridad del equipo, instalar parches
y herramientas de protección. (Firewall personal, antivirus, anti-spam, copias de
respaldo).
La falla principal que permite que los usuarios sean atacados y sean víctimas de
la gran cantidad de amenazas que nos acechan, radica en que en muchos casos
no se está gestionando la tecnología dentro de un marco completo de protección
de la información, y en la falta de concientización a las personas en los riesgos
relacionados con el uso de tecnología y de herramientas como Internet, por lo que
los esfuerzos se pierden o se orientan a cumplir objetivos imprecisos. Las
inversiones en tecnología de seguridad, como solución a los problemas
planteados, deben ser realizadas dentro de un marco sincronizado con otra serie
de medidas para formar lo que se conoce como un “Sistema de Gestión de
Seguridad de la Información”.
IDENTIFICACIÓN EN LA RED
2
Security Absurdity: The complete, unquiestionable, and total failure of information security.
28
Todos los sistemas informáticos conectados en red poseen identificadores para
poder enviar y recibir la información desde otros sistemas. Esta identificación se
conoce como la dirección IP (Internet Protocol).
Para que un sistema pueda acceder a Internet, necesita tener una dirección IP
única, que no se repita o que no posea otro sistema en la red. Para situaciones
normales como envío de correo ofensivo, navegación, descarga de archivos,
conversación con otros usuarios, es posible encontrar el rastro dejado por el
computador utilizado, y en algunos casos logar detectar su ubicación física.
La red no es totalmente anónima, pero para lograr la identificación se requiere en
muchos casos de la colaboración de diferentes entidades como los proveedores
de acceso a Internet y las empresas que prestan servicios de alojamiento de
páginas Web.
“La información es un activo que, al igual que otros activos del negocio, es
esencial para la organización, y por lo tanto debe ser protegido de forma
adecuada.” 3
La OCDE4 desarrolló por primera vez en 1992 una serie de Directrices para la
Seguridad de los Sistemas de Información, las cuales tratan de promover el uso y
desarrollo de una cultura de la Seguridad, no solo en el desarrollo de Sistemas y
Redes de comunicación, sino mediante la adopción de “nuevas formas de
pensamiento y comportamiento en el uso de la interconexión de esos sistemas”.
Las Directrices presentadas son: Concientización, Responsabilidad, Respuesta
Adecuada, Ética, Democracia, Evaluación del Riesgo, Diseño y Realización de la
Seguridad, Gestión de Seguridad, Reevaluación.
3
ISO/IEC 17799:2005
4
Organización para la Cooperación y el Desarrollo Económico
29
participantes son cada más dependientes de estos. Sólo un enfoque que tenga en
cuenta los intereses de todos los participantes y la naturaleza de los sistemas,
redes y servicios afines, puede proporcionar una seguridad efectiva.”
Nombre
LEGIÓN
URL Oficial
https://kalilinuxtutorials.com/legion-penetration-testing/
Funcionalidad
30
Aplicaciones soportadas
Soporta una cantidad considerable de servidores de bases de datos, entre ellas
las siguientes:
MySQL
Oracle
PostgreSQL
Microsoft SQL Server
Microsoft Acces
IBM DB2
SQLLit
Firebird
Sybase
SAP MaxDB
MongoDB
Ejemplo de uso
Test de vulnerabilidad mediante la herramienta LEGION, a la Ip 192.168.39.196
(donde se encuentra la base de datos)
Nombre
NMAP
URL Oficial
https://nmap.org/
Funcionalidad
31
scripts para proveer servicios de detección avanzados, detección de
vulnerabilidades y otras aplicaciones. Además, durante un escaneo, es capaz
de adaptarse a las condiciones de la red incluyendo latencia y congestión de la
misma.
Aplicaciones soportadas
Inyección SQL
Inyección de código JSP / ASP / PHP
Ejecución de comando
Divulgación de archivos
Scripting de sitios cruzados (XSS)
Protocolos de red
Mongo DB
Ejemplo de uso
Escaneo mediante la herramienta NMAP a la Ip (192.168.39.196) donde esta
alamacenada la base de datos.
Nombre
NIKTO
URL Oficial
https://cirt.net/Nikto2
Funcionalidad
32
Según Caballero 2018. Es un escáner de vulnerabilidades Open Source o de
fuente abierta, el cual está escrito en el lenguaje Perl, siendo originalmente
publicado en el año 2011. Nikto proporciona la capacidad de escanear
servidores web en busca de vulnerabilidades. Realiza más de 6,400
verificaciones por archivos o scripts potencialmente peligrosos, realiza 1,200
pruebas para versiones desactualizadas de servidores, y verifica cerca de 300
problemas específicos a versiones de servidores web.
Aplicaciones soportadas
Inyección SQL
Inyección de código JSP / ASP / PHP
Ejecución de comando
Divulgación de archivos
Scripting de sitios cruzados (XSS)
Protocolos de red
Mongo DB
Servidores Web
Ejemplo de uso
Escaneo mediante la herramienta NIKTO Ip (192.168.39.196) donde esta
alamacenada la base de datos
Nombre
SQLmap
URL Oficial
http://sqlmap.org/
Funcionalidad
33
De acuerdo con Démele 2018. Es una herramienta de prueba de penetración de
código abierto que automatiza el proceso de detección y explotación de fallas
de inyección SQL y toma de control de servidores de bases de datos. Viene con
un potente motor de detección, muchas características de nicho para el último
probador de penetración y una amplia gama de interruptores que duran desde
la toma de huellas digitales de la base de datos, la obtención de datos desde la
base de datos, hasta el acceso al sistema de archivos subyacente y la ejecución
de comandos en el sistema operativo a través de conexiones fuera de banda.
Aplicaciones soportadas
MySQL
Oracle
PostgreSQL
Microsoft SQL Server
IBM DB2
SQLLit
Firebird
Sybase
SAP MaxDB
Ejemplo de uso
Nombre
PENTEST
URL Oficial
https://pentest-tools.com/website-vulnerability-scanning/website-scanner
Funcionalidad
34
Funciona atravez del escaneo de URL y direccionamiento Ip, los resultados
muestran un resumen de calificación de riesgo, posibles archivos confidenciales
encontrados, vulnerabilidades de ejecución de comandos remotos, estadísticas
de inyección SQL, lecturas arbitrarias de archivos, software de servidor
obsoleto, servicios de servidor mal configurados, software de servidor y
tecnologías encontradas, así como un archivo robots.txt y una verificación
completa del encabezado de seguridad HTTP.
Aplicaciones soportadas
Oracle
Website fingerprinting
SQL injection
Local/Remote File Inclusion
Discovery of sensitive files
URL
Servidores Web
Ejemplo de uso
VULNERABILIDADES INFORMÁTICAS
Contraseñas débiles.
35
Son aquellas que son fáciles de averiguar, no proporcionan al sistema una buena
seguridad; teniendo en cuenta que este método de seguridad es uno de los
principales ofrecidos por los sistemas de seguridad informática.
Falta de actualización.
Se deben realizar las actualizaciones necesarias en el sistema, teniendo en
cuenta que ayudan a mejorar el funcionamiento y así mismo ayudan a mantener
la seguridad en el sistema a medida que se van descubriendo las vulnerabilidades.
Desbordamiento de búfer.
Permite a un atacante ejecutar códigos remotos en el sistema afectado
Ofrece al atacante la facilidad de ingreso al sistema
36
Intrusión de piratas informáticos mediante la descarga
Se debe manejar confidencialidad con el tipo de información
Controles de seguridad para la carga y descarga de información
OTRAS VULNERABILIDADES
CVE-2019-10749
CVE-2018-15441
CVE-2020-9502
37
Los dispositivos de video marca Dahua, contenían una vulnerabilidad en el Id de
sesión, ya que permitía crear paquetes de datos para atacar a los dispositivos.
Impacto crítico[ CITATION com20 \l 3082 ].
CVE-2020-9362
CVE-2020-8599
CVE-2020-8598
CVE-2020-7801
38
CVE-2020-5589
Algunos audífonos de marca Sony, tienen una vulnerabilidad la cual les permite a
los atacantes conectarse vía bluetooth si están en su rango de alcance, dado que
esta vulnerabilidad aún está en análisis, no se tiene el impacto definido[ CITATION
com205 \l 3082 ].
CVE-2019-15743
CVE-2019-11890
CVE-1999-1467
CVE-1999-1391
CVE-1999-1122
39
La vulnerabilidad en la restauración en SunOS 4.0.3 y versiones anteriores
permite a los usuarios locales obtener privilegios. Tipo de impacto: Afecta
parcialmente a la integridad del sistema + Afecta parcialmente a la
confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema.
CVE-2020-14931
CVE-2020-13262
La inyección de código del lado del cliente a través del marcado Mermaid en
GitLab CE / EE 12.9 y más adelante a través de 13.0.1 permite una carga útil de
Mermaid especialmente diseñada para PUT solicitudes en nombre de otros
usuarios haciendo clic en un enlace. Tipo de impacto: compromete sistemas de
información y almacenamiento.
CVE-1999-1057
VMS 4.0 a 5.3 permite a los usuarios locales obtener privilegios a través del
comando dcl ANALYZE / PROCESS_DUMP. Tipo de impacto: Afecta parcialmente
a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema
+ Afecta parcialmente a la disponibilidad del sistema.
CVE-1999-1471
CVE-1999-0095
40
integridad del sistema + Compromiso total de la confidencialidad del sistema +
Compromiso total de la disponibilidad del sistema.
CVE-2020-13274
CVE-1999-0082
41
16 CONCLUSIONES
Se realizó una investigación exhaustiva sobre los riesgos y las amenazas en los
sistemas informáticos.
42
17 RECOMENDACIONES
43
18 DIVULGACIÓN
44
BIBLIOGRAFÍA
• Álvarez Ledesma, A., Torres Ruiz, G., & Ochoa Arbeláez, R. (2018). Partes
interesadas [Ebook] (2nd ed., pp. 1- 6). Bogotá D.C. Recuperado de:
https://copnia.gov.co/sites/default/files/uploads/mapaprocesos/archivos/dire
ccionamientoestrategico/partes_interesadas.pdf
45
url=/bitstream/10596/3632/1/66728456.pdf
• Cárdenas Solano, L., Martínez Ardila, h., & Becerra Ardila, L. (2016).
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: REVISIÓN
BIBLIOGRÁFICA. Recuperado de:
http://eds.b.ebscohost.com.bibliotecavirtual.unad.edu.co/eds/pdfviewer/pdfvi
ewer?vid=2&sid=76e5dfd6-7afe4a67-8e7c-3e0779fe2163@pdc-v-
sessmgr02
46
• ISO 27001:2005. Requerimientos para los Sistemas de Gestión de la
Seguridad de la Información.
• Los 10 riesgos más comunes para su identidad en línea. RSA Security Inc.
http://www. rsa.com/go/idtheft/spanish/fraud.html
47
ANEXOS
48