UNIVERSIDAD NACIONAL DEL CENTRO DEL

PERÚ
Facultad de Contabilidad

AUDITORIA DE SISTEMAS DE INFORMACION

Dr. Juan Javier León García

PENTESTING CON
KALI LINUX
INTEGRANTES:
 Palacios Mercado Cynthia
 Quispe Maravi Jhordan
 Yaurivilca Palomino Angela

2021
1
 INDICE
INTRODUCCION.....................................................................................................................4
RESUMEN.................................................................................................................................5
PENTESTING...........................................................................................................................6
1. ¿QUÉ ES UN PENTEST?..............................................................................................6
2. TIPOS DE PENTEST.....................................................................................................8
3. DONDE SE UTILIZA EL PENTESTING.....................................................................9
4. RECOGIDA DE INFORMACIÓN................................................................................9
5. ¿QUÉ ES EL FOOTPRINTING?...................................................................................9
6. ¿CUÁL ES EL PROCESO BÁSICO DEL FOOTPRINTING?...................................10
7. ANÁLISIS DE VULNERABILIDADES Y ATAQUES DE CONTRASEÑAS.........10
8. LA SEGURIDAD EN TÉRMINOS GENERALES.....................................................11
9. ANÁLISIS DE VULNERABILIDADES.....................................................................12
9.1. Vulnerabilidades físicas.........................................................................................13
9.2. Vulnerabilidades lógicas........................................................................................13
10. ¿QUÉ AMENAZAS ATENTAN CONTRA LAS CONTRASEÑAS?....................14
11. EXPLOTACIÓN.......................................................................................................15
12. AUDITORIA DE APLICACIONES WEB...............................................................15
12.1. Vulnerabilidades de las aplicaciones Web.........................................................17
12.2. Amenazas de las aplicaciones Web...................................................................17
12.3. Según el origen:.................................................................................................18
12.4. Según el daño:....................................................................................................18
13. ATAQUES WIRELESS............................................................................................19
13.1. Ataques más comunes a las redes inalámbricas.................................................19
13.2. Ataques más comunes a las redes inalámbricas.................................................19
14. ATAQUES A REDES...............................................................................................21
14.1. ¿Qué es una red inalámbrica?............................................................................21
14.2. Access Point Spoofing.......................................................................................21
14.3. ARP Poisoning...................................................................................................21
14.4. MAC spoofing....................................................................................................22
14.5. Denial of service (DoS)......................................................................................22
14.6. WLAN escáners.................................................................................................22
14.7. Sniffing...............................................................................................................22
14.8. Recomendaciones de seguridad.........................................................................23
15. BENEFICIOS DEL PENTEST.................................................................................25
CONCLUSIONES...................................................................................................................26

2
BIBLIOGRAFIA.....................................................................................................................27

3
 INTRODUCCION

Actualmente la informática y en especial la información es uno de los activos principales de

las organizaciones y empresas, existen diferentes tipos de amenazas que atentan contra el

buen funcionamiento de estos entes, como los virus, los malware, cibercriminales, spyware y

un sinnúmero de amenazas existentes, diariamente se utilizan diferentes equipos en especial

móviles que están conectados a internet, la mayor fuente de amenazas para la seguridad.

El libro plantea un enfoque eminentemente práctico, priorizando los escenarios reproducibles

por el lector, y enseñando el uso de las herramientas más utilizadas en el mundo de la

auditoría informática. Kali Linux tiene la misión de sustituir a la distribución de seguridad

por excelencia, y como se puede visualizar en este libro tiene razones sobradas para lograrlo

En los distintos capítulos se estudian las distintas facetas con las que Kali Linux puede

ayudar a auditar los sistemas de información. La recogida de información, el análisis de

vulnerabilidades y la explotación de estas, son ramas de la seguridad informática que Kali

Linux profundiza con éxito. Además, se incluyen aspectos tanto teóricos como prácticos en lo

que se refiere auditoría web, wireless y redes. Por último, se hace hincapié en el análisis

forense guiado por Kali Linux con el que se pueden visualizar y estudiar interesantes casos.

4
 RESUMEN

La seguridad informática es un área que ha estado cobrando mayor importancia dentro de las

organizaciones que usan las tecnologías de información y la comunicación (TICs) para

realizar sus actividades (comerciales, financieras, sociales, médicas, etc.) y la preocupación

por este tema va en aumento ya que hay miles de maneras para sabotear una red informática,

sus dispositivos de comunicación, aplicaciones, bases de datos, redes sociales, etc. Los

propósitos pueden ser muy variados: robo de información, sabotaje, espionaje, diversión, para

probar nuevas técnicas y casi cualquier motivo que una persona pudiera tener.

Según el Instituto Nacional de Ciberseguridad en su recopilación de titulares de

ciberseguridad de 2015, el cibercrimen y las fugas de información han sufrido un marcado

aumento desde principios de 2014 con una tendencia al alza. El aumento de titulares

relacionados con la seguridad en la prensa generalista indica un aumento en el número y la

gravedad de los ciberataques que no puede ser pasada por alto.

Por consiguiente, consideramos de gran importancia la información y conocimiento de la

auditoría de seguridad informática mediante el Pentesting con Kali Linux, ya que nos habla

de la auditoría de seguridad, mediante un test de penetración o pentest definiéndolo como el

conjunto de actividades emprendidas para identificar y explotar vulnerabilidades en una red o

sistema, con la finalidad de poner a prueba los sistemas de seguridad existentes para

determinar los puntos débiles empezando a trabajarlos con el administrador de la red para que

los ataques, se puedan prevenir.

5
 PENTESTING

1. ¿QUÉ ES UN PENTEST?

Una prueba de penetración o pentest es un ataque simulado y autorizado contra un

sistema informático con el objetivo de evaluar la seguridad del sistema. Durante la prueba, se

identifican las vulnerabilidades presentes en el sistema y se explotan tal como haría un

atacante con fines maliciosos. Esto permite al pentester realizar una evaluación de riesgos en

la actividad comercial del cliente basándose en los resultados de la prueba y sugerir un plan

de medidas correctivas.

Según (Palacios, 2021, p. 30) Penetration Testing o Pentesting se define como la

ejecución de pruebas de seguridad para determinar que un sistema de información protege y

mantiene la funcionalidad según lo previsto según. De acuerdo a su definición la Seguridad

no es un producto es un proceso, ya que es un esfuerzo constante por proteger y reducir el

impacto que podría generarse en los activos de valor para las empresas ante los ciberataques.

Las fases de dividen principalmente en 4 fases:

a) Recolección de Información o Reconocimiento. En esta etapa se definen los

objetivos y alcance del Pentesting. Basado en ello se recolectan datos

relevantes, identificar información clave sobre nuestros objetivos. En esta

etapa de reconocimiento, recopilamos la información de los sistemas y/o

redes que serán parte del Pentesting. La información comprende nombre del

software que utilizan los sistemas, versiones, puertos, etc. Solo de acuerdo a

lo definido en el alcance. En vista de que el Pentesting de acceso legal y

autorizado en este punto se debe definir un Acuerdo de Nivel de Servicio u

otro documento que evidencie la autorización de la empresa a realizar el

Pentesting solo a lo que se definió en el alcance.

6
 b) Búsqueda de vulnerabilidades o escaneo. Es esta etapa analizamos toda la

información recopilada en el paso anterior a fin de determinar las

vulnerabilidades. Escaneo para diferentes protocolos, identificación de

vulnerabilidades y análisis de riesgos potenciales. En algunos casos el

Pentesting finaliza en esta fase, depende de los objetivos y alcance

establecido inicialmente.

c) Explotación de vulnerabilidades. En esta etapa utilizamos exploits para

aprovechar las vulnerabilidades encontradas con el objetivo de acceder al

sistema o red. El objetivo es obtener privilegios o información relevante.

d) Post Explotación. Luego de conseguir el ingreso al sistema o red el objetivo

es obtener credenciales o información adicional que sea de valor para la

empresa el fin es mantener o conservar el acceso o privilegios o generar

nuevos accesos.

Finalmente se emite un Informe de Pentesting en el cual se documenta todo lo

realizado: técnicas utilizadas, información relevante encontrada, herramientas utilizadas,

vulnerabilidades encontradas, accesos concedidos, etc. Así mismo incluye en análisis de

riesgos potenciales y las recomendaciones de seguridad apropiadas por cada hallazgo.

(Palacios, 2021, p. 32)

Reconocimiento

Post Explotación Escaneo

Explotación

7
 FIGURA N° 1: fases del pentesting. Fuente: fundamentos del pentesting 2019 capítulo 2 – plataforma platzi

2. TIPOS DE PENTEST

Principalmente, existen dos tipos de pentest que se clasifican según el rol que adopta

el pentester durante la prueba de penetración:

 Auditoría Externa (Covert pentest) La auditoría externa, o de caja negra,

pretende valorar el grado de seguridad de la red externa de una empresa. En este

enfoque el pentester asume el rol de un atacante externo, que, sin ninguna

información previa, puede obtener algún beneficio de la organización, o incluso,

acceso a información sensible que comprometa la privacidad de la empresa. De

esta manera, se pone a prueba el estado de las barreras de seguridad que dispone

la empresa entre internet y su red corporativa.

 Auditoría interna (Overt pentest) La auditoría interna pretende evaluar la

seguridad del entorno privado de la empresa u organización. En esta auditoría,

el pentester asume el rol de un atacante que dispone de acceso a la red interna de

la empresa. La auditoría interna puede ser de caja blanca o caja gris en función

de los permisos que se tengan. En una auditoría de caja blanca, el pentester

recibe gran cantidad de información del sistema que va a auditar como puede ser

la topología de red, rangos de IP, sistemas operativos, etc. Lo que se pretende es

ahorrarle la fase de recolección de información y facilitarle en gran medida la

tarea de intrusión para ver si, incluso de esta forma, es capaz de encontrar

vulnerabilidades en el sistema. Por otra parte, En la auditoria de caja gris, se

combinan los enfoques de caja blanca y caja negra. De esta forma, el pentester

asume un rol de usuario sin privilegios dentro de la organización y la cantidad

de información que recibe es meramente orientativa. Por último, es pertinente,

establecer que existen otras clases de auditoria diferenciadas por el ámbito en el

8
 que se aplican. Por ejemplo, la auditoria Wireless (que es un tipo de auditoría

interna) y la auditoria WEB.

3. DONDE SE UTILIZA EL PENTESTING

Las pruebas de penetración podrían utilizarse en cualquier ambiente informático, ya

que ninguna computadora está a salvo de un ataque por lo tanto pueden ser utilizadas

en compañías que pueden tener el riesgo a perder mucha información o cualquier tipo

de negocio que quiera saber el estado actual de su red.

Las pruebas de penetración podrían tener ramificaciones muy graves si no se realizan

correctamente. Normalmente, las empresas siguen funcionando de manera normal

mientras se está realizando la prueba. Esto aumenta el impacto en la empresa si un

sistema se cae o es involuntariamente inutilizado. Para estos clientes, estos sistemas

deben ser considerados "críticos" y abordarse con el debido cuidado. La gerencia de la

empresa se enfrenta a mantener un equilibrio entre asegurarse de que la prueba se ha

completado y la garantía de que todavía son capaces de hacer negocios de manera que

los ingresos no se pierdan. (T. J. Lewinsky, 2002)

4. RECOGIDA DE INFORMACIÓN

La recopilación de datos es el proceso de recopilar y medir información sobre

variables específicas en un sistema establecido, que luego permite responder preguntas

relevantes y evaluar resultados. La recopilación de datos es un componente de la

investigación en todos los campos de estudio, incluidas las ciencias físicas y sociales, las

humanidades2 y los negocios. Si bien los métodos varían según la disciplina, el énfasis en

garantizar una recolección precisa y honesta sigue siendo el mismo. El objetivo de toda la

recopilación de datos es capturar evidencia de calidad que permita que el análisis conduzca a

la formulación de respuestas convincentes y creíbles a las preguntas que se han planteado.

5. ¿QUÉ ES EL FOOTPRINTING?

9
 El footprinting (‘reconocimiento’) es el proceso de recogida de información en

internet sobre algo muy concreto. Se trata de un concepto relacionado con la seguridad

informática, ya que, en general, está ligado a los métodos empleados por los hackers

informáticos. Aunque no siempre: es una técnica que también utilizan investigadores,

periodistas, académicos, estudiantes, etc. Cualquiera de nosotros usamos el footprinting al

hacer una búsqueda habitual en la red.[ CITATION Jes19 \l 10250 ]

Dentro de esta recolección de información de manera externa a la red de la entidad

que se desea auditar, se encuentran dos clasificaciones. Por un lado, se agrupan las técnicas y

herramientas que no interactúan de manera directa con la red a auditar, es decir, las menos

invasivas. Estas forman parte del Footprinting Pasivo. Y, por otro lado, existen las técnicas y

herramientas más invasivas, que puede dejar rastros que ayuden a identificar al atacante, o al

menos hacer notorio un intento de ataque. Estas forman parte del Footprinting Activo.

[ CITATION Cat17 \l 10250 ]

6. ¿CUÁL ES EL PROCESO BÁSICO DEL FOOTPRINTING?

Lo primero que debemos hacer es navegar por todas las páginas del sitio web que

queramos investigar. Así podremos descubrir tanto el contenido que ha sido publicado

intencionadamente como el que no.

Las principales huellas que quedan cuando buscamos un objetivo concreto

(direcciones IP, cuentas de correo de los usuarios, credenciales, impresoras, metadatos…)

también son información valiosa. Pueden ayudarnos a localizar los datos bancarios de un

defraudador, la identidad de un ciberacosador o conseguir documentos desprotegidos. Así

pues, cuando hacemos footprinting podemos trabajar a favor de la seguridad informática o en

contra de ella.

7. ANÁLISIS DE VULNERABILIDADES Y ATAQUES DE CONTRASEÑAS

10
 Actualmente la informática y en especial la información es uno de los activos

principales de las organizaciones y empresas, existen diferentes tipos de amenazas que

atentan contra el buen funcionamiento de estos entes, como los virus, los malware,

cibercriminales, spyware y un sinnúmero de amenazas existentes, diariamente se utilizan

diferentes equipos en especial móviles que están conectados a internet, la mayor fuente de

amenazas para la seguridad.[ CITATION Rom18 \l 10250 ]

El desarrollo y continua evolución de las tecnologías, trae nuevas formas de

comunicación, acortando las distancias y teniendo la posibilidad de comunicación en

cualquier lugar del mundo, uno de estos avances ha traído consigo la posibilidad de conectar

muchos dispositivos a la red de redes, la Internet, transformando la experiencia de vida de los

usuarios al conectar desde electrodomésticos de hogar, vehículos, prendas de vestir

deportivas, ya que con el uso de sensores estos pueden acoplarse a cualquier elemento y de

allí comunicarlos a la red, generando nuevas capacidades en las transferencia de datos,

estableciendo una serie de comportamientos que no requieren de la interacción humano-

humano, humano computadora, este avance tecnológico es lo que se conoce como Internet de

las cosas.[ CITATION Ari19 \l 10250 ]

A través de un estudio de las vulnerabilidades existentes en la estructura de IoT

basadas en configuraciones, controles de acceso, métodos de autenticación, protocolos,

aplicaciones, con el apoyo de consultas de fuentes bibliográficas, se establecerán e

identificaran diferentes aspectos relacionados con una serie de vulnerabilidades a tener en

cuenta en los dispositivos de IoT ya que debido a la masiva conexión de ellos, estos

comparten diversos tipos de información a través de los canales de Internet, siendo una fuente

para los numerosos ataques a los que cada día se exponen los millones de dispositivos que se

conectan o empiezan a conectarse [ CITATION Sot19 \l 10250 ]

8. LA SEGURIDAD EN TÉRMINOS GENERALES

11
 Al hablar de términos de seguridad informática se debe entender a las bases que

conforman los cimientos de esta ciencia, para las partes más complejas de esta disciplina, una

de estas bases es el concepto de seguridad, la cual consiste en un estado de bienestar, es la

ausencia de riesgo por la confianza que existe en alguien o algo, si la seguridad se aborda

desde el tema disciplinario el concepto se puede definir como una ciencia interdisciplinaria

para evaluar y gestionar los riesgos a los que se encuentra una persona, un animal, el

ambiente o un bien. Existen países en donde la seguridad es un tema nacional, aunque

depende del tipo de seguridad, existen muchos tipos de ésta, por ejemplo, la seguridad

ambiental, la seguridad económica, la seguridad sanitaria y en casi la mayoría de los países

cuando se hace un análisis de la palabra seguridad, se hace referencia a la seguridad de las

personas, por ejemplo, evitar el estado de riesgo de un robo, de un daño físico o de un bien

material.

La seguridad siempre busca la gestión de riesgos, esto quiere decir que se tenga

siempre una forma de evitarlo o prevenirlo y que se pueda realizar ciertas acciones para evitar

esas situaciones de la mejor forma. Se definió que la seguridad podría ser catalogada como la

ausencia de riesgo, la definición de este término involucra cuatro acciones que siempre están

inmersas en cualquier asunto de seguridad como son:

• Prevención del riesgo

• Transferir el riesgo

• Mitigar el riesgo

• Aceptar el riesgo

Así que, cuando se está buscando hacer algo más seguro, estas acciones son algo que

se debe de considerar sin importar el área, se aplica a cualquier intento de tener mejor o

mayor seguridad en cualquier tema que se requiera.

9. ANÁLISIS DE VULNERABILIDADES

12
 [ CITATION Rom18 \l 10250 ] Asegura que definiendo a muy grandes rasgos que es

una vulnerabilidad, una vulnerabilidad de una manera muy general es un fallo en un sistema

que puede ser explotada por un atacante generando un riesgo para la organización o para el

mismo sistema. Existen dos tipos de vulnerabilidades que se mencionan a continuación:

• Las lógicas

• Las físicas

9.1. Vulnerabilidades físicas

Las vulnerabilidades físicas son las que van a afectar a la infraestructura de la

organización de manera física y se pueden mencionar en este tipo de clasificación a los

desastres naturales, como ejemplo se podría mencionar una vulnerabilidad alta de este tipo si

se vive en una zona de alto riesgo de sismos, ya que puede presentarse una negación en el

servicio, una afectación en la disponibilidad y a partir de ahí se podría empezar con

problemas. Si la organización está en una zona que generalmente se inunda, se tiene también

otro tipo de vulnerabilidad. Otra de las opciones físicas son los controles de acceso, en

muchas ocasiones se tiene los accesos a la infraestructura crítica y no se tiene los accesos

pertinentes, cualquier persona podría abrir una puerta, podría entrar y constituye un gran

riesgo para la organización porque cualquier usuario podría ingresar con una USB y copiar

información, podría infectar la misma infraestructura.

9.2. Vulnerabilidades lógicas

Las vulnerabilidades lógicas son las que van a afectar directamente la infraestructura y

el desarrollo de la operación de estos, estas pueden ser de:

 Configuración

 Actualización

 Desarrollo

13
 Las de configuración en el sistema operativo, pueden ser las configuraciones por

defecto del sistema o incluso de algunas aplicaciones del servidor que se tenga expuesta,

puede ser también la configuración de algunos firewalls que no está gestionado de una

manera correcta y también de infraestructura perimetral. Las vulnerabilidades de

actualización, en muchas ocasiones hay empresas que no actualizan sus sistemas, van

saliendo las vulnerabilidades y es un punto que se debe tomar en cuenta.

Actualmente, en los equipos XP de Windows no se les está dando soporte y muchas

empresas tienen estos sistemas, cuando se realiza un escaneo en una determinada red al no

tener soporte estos equipos ya son vulnerables.

Las vulnerabilidades de desarrollo, aquí se puede mencionar las inyecciones de código

en SQL, Cross Site Scripting, esto puede variar dependiendo del tipo de aplicación, la

validación de los datos. Cada escáner de vulnerabilidades utiliza distintas escalas, en estas

escalas se va a poder auditar en base a una metodología de pruebas de penetración, de

cumplimiento, si se va a auditar una red interna o una aplicación web, es muy distinto el

escáner que se va a utilizar.

10. ¿QUÉ AMENAZAS ATENTAN CONTRA LAS CONTRASEÑAS?

Por incidentes de seguridad relacionados con la extracción de grandes volúmenes de

datos, diversas opiniones han manifestado que los mecanismos de autenticación basados en

contraseñas han llegado a su obsolescencia. Sin embargo, el problema es complejo ya que la

gran mayoría de las aplicaciones que utilizamos actualmente emplea este método de

verificación para validar la identidad de los usuarios.

Según [ CITATION Wel14 \l 10250 ]:

Sucesos recientes han puesto nuevamente en duda la efectividad de las contraseñas

como medida de protección. En ESET hemos abordado esta cuestión con anterioridad

preguntándonos “¿se trata del fin de las contraseñas?”. Incidentes de seguridad relacionados

14
con la extracción de grandes volúmenes de datos muestran la vulnerabilidad de los sistemas

informáticos, y por ende de los datos que almacenan y procesan.

Por estas razones, diversas opiniones han manifestado que los mecanismos de

autenticación basados en contraseñas han llegado a su obsolescencia. Sin embargo, el

problema es complejo ya que la gran mayoría de las aplicaciones que utilizamos actualmente

emplea este método de verificación para validar la identidad de los usuarios.

Actualmente se plantean alternativas para llevar a cabo la autenticación, como los

sistemas que emplean la biometría para tal fin, sin embargo, el cambio hacia estos

mecanismos no será inmediato y luego de que se hayan establecido los estándares, se deberá

tener un proceso de transición hacia los nuevos métodos de validación de identidad en los

sistemas que actualmente empleamos. Mientras tanto, las contraseñas se han mantenido una

opción viable debido a su costo y extenso uso.

En este sentido, es importante analizar la problemática actual e identificar las medidas

de seguridad adicionales que tenemos a nuestro alcance y que podrían ser aplicadas.

11. EXPLOTACIÓN

Todos los días se reportan diversos tipos de vulnerabilidades, pero en la actualidad

solo una pequeña parte de ellas son expuestas o publicadas de manera gratuita. Algunos de

estos “exploits”, puede ser descargados desde sitios webs donde se mantienen repositorios de

ellos. Algunas de estas páginas se detallan a continuación.

• Exploit Database by Offensive Security: https://www.exploit-db.com/

• 0day.today: https://0day.today/

• Packet Storm: https://packetstormsecurity.com/files/tags/exploit/

• Vulnerability & Exploit Database: https://www.rapid7.com/db

• Security Focus: https://www.securityfocus.com/vulnerabilities

• VulDB: https://vuldb.com/

15
 • Exploit Database: https://cxsecurity.com/exploit/

12. AUDITORIA DE APLICACIONES WEB

La auditoría de aplicaciones web consiste en la realización de pruebas comunes de

ataque, encontrando posibles puntos débiles en el diseño y programación de la aplicación.

Una auditoría web (o auditoría informática), es un proceso de revisión de la seguridad

de una aplicación web, cuya finalidad es encontrar las vulnerabilidades de seguridad

existentes, con el objetivo de solucionarlas antes de que el atacante se aproveche de las

mismas. (Rodríguez, 2015)

Un auditor es una persona con conocimientos técnicos profundos en el ámbito de la

informática, que es capaz de analizar una aplicación desde el punto de vista de un atacante

anónimo.

Debido a la interacción que los entornos webs realizan con los usuarios, todas las

aplicaciones y servicios webs son potencialmente vulnerables a un gran número de ataques,

independientemente de la plataforma y tecnología que utilicen. Estos ataques pueden producir

desde defacement del sitio (cambio del contenido del sitio) o robo de datos hasta infección

del sitio para la propagación de malware, lo que conlleva grandes pérdidas económicas sobre

la organización afectada, su imagen y sus clientes.

Pensar ¿por qué van a atacar a la web de mi organización? es una idea errónea.

Actualmente, los ataques no van dirigidos a una organización, sino “a todas”, da igual el

sector o tamaño. Estos ataques se realizan con los llamados toolkits, que permiten a una

persona (tenga conocimiento técnico o no) acceder a varias herramientas orientadas a lanzar

ataques web. Cada vez más, estos kits son más populares, accesibles (con una simple

búsqueda en un buscador) y fáciles de usar. Dichos programas pueden usarse tanto por

novatos como por expertos y facilitan el hackeo del sitio web.

16
 La Auditoría Web o Auditoría de Aplicaciones Web tiene por objeto descubrir las

vulnerabilidades de las aplicaciones o servicios web, detectando fallos de diseño e

implementación, falta de validación de entrada datos, etc. Para ello, se siguen metodologías

como OWASP.

Con la auditoría de Aplicaciones Web, MICROSA garantiza la impermeabilidad

desde Internet de los sitios web, aplicaciones web y servicios web, con las siguientes

acciones:

• Realización de una simulación de ataque desde fuera de la

organización.

• Empleo de Técnicas de Hacking Ético realizadas por profesionales

formados y con vasta experiencia.

• Elaboración de informe técnico con planes de remediación y

fortificación.

• Ayuda para implantar de una forma efectiva dichos planes de

remediación.

12.1. Vulnerabilidades de las aplicaciones Web

Son todos aquellos problemas de seguridad que afectan las páginas web, por lo

general estos problemas permiten modificación y extracción de la información, lo cual es

muy grave para las organizaciones. La mayoría de éstos son registrados por medio de un

identificador de CVE (Common Vulnerabilty Exposure), él cual es un diccionario de los

problemas de seguridad encontrados en Internet.

Como identificar una vulnerabilidad

• Verificando que se separe la información no confiable del comando o

consulta, usando variables parametrizadas en todas las sentencias preparadas y

procedimientos almacenados, evitando las consultas dinámicas.

17
 • Utilizar herramientas de análisis de códigos.

• Análisis dinámico automatizado en donde se detecta el ataque mediante

manejo de errores.

12.2. Amenazas de las aplicaciones Web

“Se entiende como AMENAZA todas aquellas máquinas, personas y/o sucesos que

atacan a un sistema causando daño”.

Hay diferentes tipos de Amenazas como son:

• Amenazas físicas

• Amenazas Ambientales

• Amenazas de Software Malicioso

• Amenazas de Robo

• Amenazas de Destrucción o modificación de la Información

• Amenaza de Errores los cuales pueden ser intencionados o No

intencionados

Las amenazas se clasifican de 2 maneras, según su origen y según el daño.

12.3. Según el origen:

12.3.1. Accidentales: En este grupo se incluyen: los incendios, los fallos en los equipos,

en redes, sistemas operativos o en software, las inundaciones y los errores

humanos.

12.3.2. Intencionadas: Estas amenazas son las consecuencias de las acciones humanas y

su origen puede radicarse a nivel intra o extra organizacional. Como ejemplo

tenemos: la inyección de software malicioso, intrusión informática, robo o hurto.

Este tipo de amenaza puede ser originada desde fuera de la empresa o dentro de la

misma organización.

12.4. Según el daño:

18
 12.4.1. Interrupción: Hace énfasis en cuanto a la deshabilitación del acceso a la

información. Su eje central es la destrucción de los componentes físicos como el

disco duro; saturando los canales de comunicación o bloqueando el acceso a los

datos.

12.4.2. Interceptación: Es el acceso denegado a un determinado recurso del sistema con

tal fin que se pueda captar información confidencial de la organización.

12.4.3. Modificación: Tiene 2 acciones: acceder a una información y modificar dicha

información.

12.4.4. Fabricación: Añade información falsa en la información del sistema.

Hay que tener en cuenta que para poder realizar un análisis de riesgo en un sistema de

información es necesario lo siguiente:

 Ejecutar un proceso secuencial de análisis de activos.

 Identificar las vulnerabilidades.

 Identificar y valorar las amenazas.

 Identificar las medidas de seguridad existentes.

 Identificar los objetivos de seguridad de la información en la

organización.

 Determinar la medición de los riesgos, el impacto del ataque.

 Seleccionar las medidas de protección.

13. ATAQUES WIRELESS

13.1. Ataques más comunes a las redes inalámbricas

Las redes inalámbricas cada vez son más usadas y están presentes en la mayoría de los

hogares, según ha ido aumentando el número de estas redes también lo han hecho el número

de ataques a las mismas. Los hackers son capaces de desentrañar contraseñas de acceso a una

red inalámbrica.

19
 Por este motivo es imprescindible generar contraseñas complejas y difíciles de

descubrir. Sin embargo, los riesgos no terminan ahí, existen otro tipo de vulnerabilidades a

las que debemos prestar atención para mantener a salvo nuestra información.

13.2. Ataques más comunes a las redes inalámbricas

Los ataques más comunes a través de una red Wi-Fi son:

 Ataques a través de una cuenta de usuario: Los riesgos también existen a nivel

interno. Un usuario invitado, un empleado o cualquier partner puede introducirse

en nuestro sistema a partir de acceso inalámbrico. Para evitar este tipo de

agresiones es recomendable utilizar los modos PSK o WPA2 ya que impiden el

espionaje entre usuarios, aunque no limitan el intercambio de información entre

ellos.

 Secuestro de Sesiones: Existen herramientas específicamente diseñadas para

hacer secuestro de sesiones a partir de una conexión Wi-Fi vulnerable. El proceso

es muy sencillo, basta con acceder a un dispositivo rooteado y esperar a que la

víctima ingrese en un sitio web que no sea totalmente seguro. Cuando la

aplicación detecta un acceso inseguro secuestra la sesión, lo cual significa que

puede acceder a la cuenta de la víctima sin tener que introducir ninguna

password.

 Sesiones ilíticas a partir de puertos de acceso: Los puntos de acceso o access

point permiten acceder de forma ilegal dentro de un sistema a partir de una

conexión Wifi. Un buen ejemplo de punto de acceso sería un puerto Ethernet. Si

es accesible y cualquier persona puede conectar su router personal y acceder al

sistema de forma ilícita. Para evitar estos riesgos es importante llevar un estricto

control sobre los access points dentro del entorno de trabajo e instalar un sistema

de detección que ayude a reconocer este tipo de ataques para solucionarlos de

20
 inmediato. Además, diseñar una política del uso de la red dentro de la empresa y

formar a los usuarios en este tipo de vulnerabilidades ayudará a reducir su

incidencia.

 Robo de dispositivos: Cuando un router está en modo de seguridad WPA2 existe

una única contraseña para la red. Esta es guardada en todos los dispositivos que

acceden a ella por lo que si desaparece cualquiera de ellos después del despido de

un empleado es importante que se cambie esta clave de acceso.

 Estos son los principales tipos de ataques a las redes inalámbricas, es conveniente

conocerlos y poner las medidas de protección necesarias para evitar posibles

problemas en el futuro.

14. ATAQUES A REDES

14.1. ¿Qué es una red inalámbrica?

Por definición es una red que utiliza radiofrecuencia o infrarrojos como medio para

transmitir la información. Están compuestas por una AP (punto de acceso) al que se conectan

todos los dispositivos inalámbricos. Usan la banda ISM (Industrial, Scientific and Medical)

de 2,4 Ghz, compartiendo ésta con dispositivos como microondas o teléfonos móviles.  Los

estándares que la rigen son creados por la IEEE. (802.11a, 802.11b, 802.11g o 802.11n), el

estándar más usado es 802.11n.

Es decir, la información viaja por el aire por lo que si no realizamos unas pautas de

seguridad adecuadas podemos ser muy vulnerables.  Veamos cuáles son los distintos tipos de

ataque:

14.2. Access Point Spoofing

21
 Este es un ataque que consiste en hacerse pasar por un AP verdadero. El cliente cree

que se está conectando a una red verdadera y toda la información será capturada. Después, se

puede redirigir el tráfico de forma que el ataque pase inadvertido.

14.3. ARP Poisoning

Este ataque se hace al protocolo ARP (Addres Resolution Protocol). Un ejemplo de

este tipo de ataques es el “Man in the Midle” o “Hombre en medio”. Su funcionamiento es

relativamente simple:

Un equipo invasor A envía un paquete ARP repy a B diciendo que la dirección MAC

de la máquina X apunta a A. A la máquina X le envía otro paquete ARP reply indicando que

la dirección IP de B apunta a la MAC de A.

De esta forma, la máquina B piensa que envía paquetes a X cuándo, realmente, lo está

haciendo a A. Igual ocurre con los envíos de X a B. De esta forma, toda la comunicación

entre ambas máquinas pasa primero por A (hombre en medio).

Esto es posible porque el protocolo no guarda estados y, al recibir un paquete reply,

supone que envió anteriormente un paquete request solicitando esta información.

14.4. MAC spoofing

Este ataque consiste un suplantar la dirección MAC de un cliente autorizado. Es

posible porque las tarjetas red permiten el cambio de MAC.

14.5. Denial of service (DoS)

La idea de este ataque es saturar con peticiones la red, haciendo que el servicio no

pueda ser utilizado por clientes legítimos. Normalmete, en redes inalámbricas, se hace con

pedidos de disociación.

14.6. WLAN escáners

22
 En realidad, esto no es un ataque en sí. Lo que se hace es recorrer un lugar e intentar

descubrir qué redes WLAN hay, a poder ser, con información de equipamientos físicos, tipos

de cifrado utilizado, etc. para después, realizar un ataque.

El Wardriving consiste en recorrer una zona, por ejemplo, en un coche, y, mediante un

smartphone (o cualquier otro dispositivo portátil) buscar y almacenar los puntos de acceso a

redes inalámbricas, junto con los datos que se puedan extraer. Algunas aplicaciones para

móviles permiten situar mediante el GPS el punto exacto y realizan esta operación de forma

automática. Después, generan un mapa con toda la información extraída.

14.7. Sniffing

Este tipo de ataque consiste en interceptar el tráfico de una red. Para ello, tanto

atacante con víctima, deben estar en la misma red, con lo que suele ser un ataque típico en

redes no seguras, como redes abiertas o las proporcionadas en lugares públicos (hoteles,

cafeterías, etc).

14.8. Recomendaciones de seguridad

Para proteger nuestra red Wi-Fi es recomendable:

 Actualizar tanto el sistema operativo, como los controladores Wi‐Fi, así

como el firmware del router.

 Si no estamos utilizando la interfaz Wi-Fi debemos desahabilitarla.

 Es mejor no configurar la red Wi-Fi como oculta.

 Aunque existen varias técnicas de cifrado, (WEP, WPA, WPA 2), la

más recomendable es la WPA 2 (Wireless Protected Access 2),

tenemos dos variantes:

 WPA2 Personal o PSK con cifrado AES (Advanced Encryption

Standard) para hogares y pequeñas empresas puede ser una

23
 buena opción utilizando contraseñas de más de 20 caracteres y,

éstas, deben ser robustas.

 WPA2 – Enterprise es una opción muy recomendable para

empresas y corporaciones, ya que utiliza para el cifrado AES

(Advanced Encryption Standard) y para generar la contraseñas

aleatorias y robustas utiliza el servidor RADIUS (Remote

Authentication Dial In User Service), junto a los protocolos

802.1X y EAP (Extensible Authentication Protocol)

para la autentificación. Hay diversas implementaciones de

EAP, con diferentes credenciales, desde usuario/contraseña,

hasta tarjetas inteligentes, con lo que será necesario hacer un

estudio detallado de la infraestructura para elegir el protocolo

más adecuado.

 Evitar conectarse a redes Wi‐Fi inseguras (redes públicas abiertas).

Estas redes nos ofrecen acceso a Internet gratuito (o de pago) y son un

entorno perfecto para atacantes. Normalmente, no van a utilizar WPA

Enterprise, incluso, en muchos casos, ningún tipo de seguridad. Esto

hace que pueda haber alguien haciendo sniffing o que podamos sufrir

ataques de ARP Poison fácilmente, por ejemplo. Incluso si tenemos la

intención de conectar a una VPN (Virtual Private Network), no es nada

seguro hacerlo mediante estas redes, porque las VPNs protegen el

tráfico en las capas de comunicaciones nivel 3 (caso de IPSec) o nivel 5

(caso de SSL), por lo que podemos sufrir ataques de envenamiento de

caché de ARP, que está en el nivel 2, por ejemplo.

24
  No utilizar redes “ajenas”. Además de ser un delito, no sabemos quién

se encuentra detrás. Si el cifrado es WEP, es posible que esté a

cociencia para que creamos haber “hackeado” la wifi y nosotros,

supuestos atacantes, seamos los atacados.

 Cambiar la clave por defecto de nuestro router. Aunque venga por

defecto con WPA2, debemos desconfiar de la clave por defecto. Hay

multitud de aplicaciones para smartphones que nos devuelven la clave

por defecto de multitud de routers, incluso con WPA. Además, hay

aplicaciones también para Smartphones que permiten, desde el mismo

móvil, hacer ataques DoS, controlar qué dispositivos pueden o no salir

a Internet, etc.

 Cambiar el nombre de red (SSID) que viene por defecto en el router,

así como la contraseña de administración del mismo.

 Si tenemos nuestro router configurado para que asigne dinámicamente

las IP's a los clientes (DHCP), que suele venir por defecto, limitar el

número de IP's asignables.

 Desactivar del router las tecnologías que no utilicemos, como, por

ejemplo, WPS (Wi-Fi Protected Setup).

15. BENEFICIOS DEL PENTEST

Los PenTest sirven también para motivar el cambio hacia el incremento de controles,

enfocar los esfuerzos técnicos, generar conciencia y sentido de urgencia. Pero, si de verdad se

quiere lograr esto es necesario organizar una demostración final de los ejercicios de irrupción.

Finalmente, para cerrar el círculo conviene también organizar una reunión técnica con

el fin de valorar a detalle los hallazgos, definir la forma de presentarlos a la alta dirección y

trazar la estrategia a seguir. Entre las prohibiciones a fijar entre quienes ejecutarán las
25
pruebas están: no instalar jamás puertas traseras (back doors), ni ocultar aplicaciones de

acceso remoto (bots, troyanos, rootkits y demás); no borrar, alterar o inhabilitar registros y,

desde luego, no apagar o modificar el comportamiento de las herramientas de detección

establecidas.

Entre los puntos que debe contener el informe posterior a las pruebas de penetración

están: un resumen para la alta administración; un análisis de los riesgos principales;

recomendaciones agrupadas por tipo de dispositivo, sistema operativo, bases de datos o

servidores de dominio y las acciones concretas a seguir.

CONCLUSIONES

En conclusión, al hablar de auditoría de seguridad, test de penetración o pentest nos referimos

al conjunto de actividades emprendidas con el objetivo de identificar y explotar

vulnerabilidades en una red o sistema, con el objetivo de poner a prueba los sistemas de

seguridad existentes.

Por otro lado, se determina también, que el Pentesting ha surgido con la finalidad de aprender

de las debilidades de los dispositivos informáticos, siendo una buena herramienta para

encontrar dónde están los puntos débiles y buscar una solución antes de sufrir un ataque,

previniéndolo o en un determinado momento deteniéndolo, para esto está el hacking ético que

se refiere a ser un hacker, pero con ética profesional.

Teniendo como finalidad el enfoque del problema principal en los puntos débiles empezando

a trabajarlos con el administrador de la red para que los ataques, se puedan prevenir mediante

las fases de un test de penetración.

26
 BIBLIOGRAFIA

Arias Silva, N. A. (2019). Análisis de seguridad de vulnerabilidades y ataques presentados en

4 dispositivos de internet de las cosas.

Cattafesta, M. F., & Blanco, D. (2017). Evaluación integral de seguridad informática del

centro de datos y comunicaciones.

Educació, J. (2019). Investigación y seguridad informática.

Palacios Gallardo, M. L. (2021). Aplicación de Pentesting en el análisis de vulnerabilidades

del sistema web de gestión administrativa de la Empresa DEVHUAYRA SAC

Huancayo.

Rodríguez Sánchez , M. (2015). Auditoría de aplicacionesweb: metodología y práctica

profesional.

27
Romero Castro, M., Figueroa Moràn, G., Vera Navarrete, D., Álava Cruzatty, J., Parrales

Anzúles, G., Álava Mero, C., . . . Castillo Merino, M. (2018). Introducción a la

seguridad.

Sotomayor, J., Romero, C., & Saenz, F. (2019). Análisis de vulnerabilidades de seguridad.

Welivesecurity. (2014). Amenazas contra las coontraseñas.

T. J. Klevinsky, S. L. (2002). Hack I.T.: Security Through Penetration Testing. Addison-

Wesley.

28