Portada

UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS
CARRERA TECNOLOGÍA EN COMPUTACIÓN E INFORMÁTICA

MONOGRAFÍA

ESTUDIO COMPARATIVO ENTRE LAS HERRAMIENTAS

DE SEGURIDAD NIKTO Y METASPLOIT PARA LA
DETECCIÓN DE VULNERABILIDADES EN SISTEMAS DE
INFORMACIÓN

LÍNEA DE INVESTIGACIÓN
INGENIERÍA DE SOFTWARE

AUTOR
ANDRADE COLT CARLOS ESTUARDO

EL TRIUNFO – ECUADOR

2019
 2

UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS
CARRERA TECNOLOGÍA EN COMPUTACIÓN E INFORMÁTICA

ESTUDIO COMPARATIVO ENTRE LAS HERRAMIENTAS

DE SEGURIDAD NIKTO Y METASPLOIT PARA LA
DETECCIÓN DE VULNERABILIDADES EN SISTEMAS DE
INFORMACIÓN

MONOGRAFÍA

Trabajo de titulación presentado como requisito para la

Obtención del título de:
TECNÓLOGO EN COMPUTACIÓN E INFORMÁTICA

AUTOR
ANDRADE COLT CARLOS ESTUARDO

TUTOR
ING. ALVARO ZABALA JULIO RAMÓN, MSc.

TRIUNFO – ECUADOR

2019
 3

UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS
CARRERA TECNOLOGÍA EN COMPUTACIÓN E INFORMÁTICA

Aprobación del tutor

Yo, ING. ALVARADO ZAVALA JULIO RAMÓN, MSc. Docente de la Universidad

Agraria del Ecuador, en mi calidad de Tutor, certifico que el presente trabajo de

titulación: ESTUDIO COMPARATIVO ENTRE LAS HERRAMIENTAS DE

SEGURIDAD NIKTO Y METASPLOIT PARA LA DETECCIÓN DE

VULNERABILIDADES EN SISTEMAS DE INFORMACIÓN, realizado por el

estudiante ANDRADE COLT CARLOS ESTUARDO; con cédula de identidad N.

0929096485 de la carrera TECNOLOGÍA EN COMPUTACIÓN E INFORMÁTICA,

Unidad Académica Programa Regional de Enseñanza El Triunfo, ha sido orientado

y revisado durante su ejecución; y cumple con los requisitos técnicos exigidos por

la Universidad Agraria del Ecuador; por lo tanto se aprueba la presentación del

mismo.

Atentamente,

_______________________
Ing. Julio Ramón Alvarado, MSc.
DOCENTE GUÍA

El Triunfo 18 de Noviembre del 2019

 4

UNIVERSIDAD AGRARIA DEL ECUADOR

FACULTAD DE CIENCIAS AGRARIAS
CARRERA TECNOLOGÍA EN COMPUTACIÓN E INFORMÁTICA

Aprobación del tribunal de sustentación

Los abajo firmantes, docentes miembros del Tribunal de Sustentación, aprobamos

la sustentación del trabajo de titulación: ESTUDIO COMPARATIVO ENTRE LAS

HERRAMIENTAS DE SEGURIDAD NIKTO Y METASPLOIT PARA LA

DETECCIÓN DE VULNERABILIDADES EN SISTEMAS DE INFORMACIÓN

realizado por la estudiante ANDRADE COLT CARLOS ESTUARDO, el mismo que

cumple con los requisitos exigidos por la Universidad Agraria del Ecuador.

Atentamente,

Ing. Teresa Samaniego Cobo, MSc

PRESIDENTE

Ing. Roberto Cabezas Cabezas, MSc Ing. Patricia Chávez Granizo, MSc
EXAMINADOR PRINCIPAL EXAMINADOR PRINCIPAL

Ing. Julio Alvarado Zabala, MSc

EXAMINADOR SUPLENTE

El Triunfo, 10 de Marzo del 2020

 5

Dedicatoria

El presente trabajo monográfico va

dedicado a Dios y a mis padres.

Quienes me dieron la vida y con su inmenso

apoyo tanto en lo económico como en lo

afectivo, me han dado el ánimo y las ganas

para poder culminar esta etapa de mi vida.

A mis hermanos, amigos y profesores que

me motivan cada día y quien me da fuerzas

de seguir adelante.
 6

Agradecimiento

Agradezco a Dios por darme las fuerzas necesarias para superar obstáculos y

dificultades a lo largo de mi vida a mis padres en especial quienes siempre

estuvieron apoyándome.

Al Ing., MsC. Jacobo Bucaram Ortiz, PhD., Rector vitalicio creador y Fundador

de la Universidad Agraria del Ecuador.

A la Ing., MsC. Martha Bucaram Levorone, PhD., Rectora de la Universidad

Agraria del Ecuador.

Al Ing., MsC. Javier del Cioppo Morstrardt, PhD., Vicerrector de la Universidad

Agraria del Ecuador.

A la Dra. Emma Jácome Murillo, MsC., Decana de la Facultad de Ciencias

Agrarias de la Universidad Agraria del Ecuador.

A la Ing. Mariela Carrera Maridueña, PhD. Coordinadora del Programa Regional

de Enseñanza El Triunfo.

Al Ing., MsC. Julio Ramón Alvarado, Tutor de monografía y Profesor de la

Universidad Agraria del Ecuador.

De igual forma a mi familia en general, por compartir conmigo buenos y malos,

además a las personas que me han extendido su mano cuando más lo

necesitaba.
 7

Autorización de autoría intelectual

Yo, Carlos Estuardo Andrade Colt, en calidad de autor del proyecto realizado,

sobre “Estudio comparativo entre las herramientas de seguridad nikto y metasploit

para la detección de vulnerabilidades en sistemas de información.” para optar el

título de Tecnólogo en Computación e Informática, por la presente autorizo a la

UNIVERSIDAD AGRARIA DEL ECUADOR, hacer uso de todos los contenidos que

me pertenecen o parte de los que contienen esta obra, con fines estrictamente

académicos o de investigación.

Los derechos que como autor me correspondan, con excepción de la presente

autorización, seguirán vigentes a mi favor, de conformidad con lo establecido en

los artículos 5, 6, 8; 19 y demás pertinentes de la Ley de Propiedad Intelectual y su

Reglamento.

El Triunfo, 18 de Noviembre del 2019

ANDRADE COLT CARLOS ESTUARDO

C.I. 092909648-5
 8

Índice general

Portada .................................................................................................................. 1

Aprobación del tutor ............................................................................................ 3

Aprobación del tribunal de sustentación ........................................................... 4

Dedicatoria ............................................................................................................ 5

Agradecimiento .................................................................................................... 6

Autorización de autoría intelectual ..................................................................... 7

Índice general ....................................................................................................... 8

Índice de tablas .................................................................................................. 11

Índice de figuras ................................................................................................. 12

Resumen ............................................................................................................. 13

Abstract ............................................................................................................... 14

1. Introducción.................................................................................................... 15

1.1 Importancia o caracterización del tema ..................................................... 15

1.2 Actualidad del tema ..................................................................................... 16

1.3 Novedad científica del tema ........................................................................ 17

1.4 Justificación del tema .................................................................................. 18

1.5 Objetivos ....................................................................................................... 19

1.5.1 Objetivo general. ....................................................................................... 19

1.5.2 Objetivos específicos................................................................................ 19

2. Aspectos metodológicos ............................................................................... 20

2.1 Materiales ...................................................................................................... 20

2.1.1 Recursos bibliográficos............................................................................ 20

2.1.2 Materiales y equipos ................................................................................. 20

 9

2.1.3 Recursos humanos ................................................................................... 21

2.2 Métodos......................................................................................................... 21

2.2.1 Modalidad y tipo de investigación ........................................................... 21

2.2.2 Tipos de métodos ...................................................................................... 21

2.2.2.1 Método bibliográfico .............................................................................. 21

2.2.2.2 Método inductivo .................................................................................... 22

2.2.2.3 Método deductivo ................................................................................... 22

2.2.2.4 Método analítico ..................................................................................... 22

2.2.2.5 Método sintético ..................................................................................... 22

2.2.3 Técnicas ..................................................................................................... 23

2.3 Marco legal.................................................................................................... 23

3. Análisis y revisión de la literatura. ............................................................... 27

3.1 Seguridad de la información, importancia para los negocios. ................. 27

3.1.1 La seguridad de la información ............................................................... 28

3.1.2 Concepto de riesgos, vulnerabilidades y amenazas a la información . 28

3.1.2.1 Riegos ..................................................................................................... 28

3.1.2.2 Amenazas................................................................................................ 29

3.1.2.3 Vulnerabilidades ..................................................................................... 30

3.1.3 Estrategias para la seguridad de la información .................................... 30

3.1.4 Herramientas para la seguridad de la información ................................ 31

3.1.5 Software de seguridad informática .......................................................... 32

3.1.6 Nikto y Metasploit como alternativas de software para la seguridad ... 32

3.1.6.1 Características de Nikto......................................................................... 32

3.1.6.2 Características de Metasploit ................................................................ 33

 10

3.2 Riesgos, vulnerabilidades y ataques a la información ............................. 34

3.2.1 El caso de le organización XYZ, uso de la herramienta Nikto ............... 35

3.2.1.1 Antecedentes .......................................................................................... 36

3.2.1.2 Implementación de Nikto para la prueba de vulnerabilidades ........... 36

3.2.2 El caso de le organización ABC, uso de la herramienta Matasploit ..... 37

3.2.2.1 Antecedentes .......................................................................................... 38

3.2.2.2 Implementación de Metasploit para la prueba de vulnerabilidades ... 38

3.3 Las pruebas de penetración en sistemas de información ........................ 39

3.3.1 Gestión de seguridad de la información ................................................. 40

3.3.2 Comparación de las herramientas Nikto y Metasploit ........................... 41

3.3.2.1 La herramienta Nikto .............................................................................. 41

3.3.2.2 La herramienta Metasploit ..................................................................... 42

3.3.2.3 Breve comparación de características de Nikto y Metasploit ............ 43

4. Conclusiones .................................................................................................. 45

5. Recomendaciones .......................................................................................... 46

6. Bibliografía...................................................................................................... 47

7. Glosario ........................................................................................................... 56

8. Anexos ............................................................................................................ 59
 11

Índice de tablas

Tabla 1. Característica de Nikto y Metasploit. .................................................. 59

Tabla 2. Comparación entre las herramientas Nikto y Metasploit .................... 59

 12

Índice de figuras

Figura 1. Claves de la seguridad de la información ......................................... 60

Figura 2. Estrategias para la seguridad de la información ............................... 60

Figura 3. Gestión de la seguridad de la información ........................................ 61

Figura 4. Herramienta Nikto ............................................................................. 61

Figura 5. Herramienta Metasploit ..................................................................... 62

 13

Resumen
La seguridad de la información hoy en día es muy importante ya que se necesita

resguardar la integridad en los sistemas virtuales, es por eso que se cuenta con

herramientas informáticas que ayuden a prevenir ataques informáticos para que no

se susciten robos de información. Las herramientas Nikto y Metasploit permiten

detectar vulnerabilidades para tomar medidas de prevención y reforzar los

sistemas, por tal razón es que el objeto de estudio se basa en la seguridad de la

información, el tipo de investigación es consultiva donde se indagará información

detallada para realizar una comparación de las herramientas Nikto y Metasploit,

identificando la eficacia en la detección de vulnerabilidad y amenazas en sistemas

informáticos y red, para recomendar la mejor alternativa en la gestión de seguridad

de la información. Se utilizará metodologías bibliográficas, inductivas, deductivas y

analíticas, como soporte de la investigación. Nikto y Metasploit son aplicaciones de

software que realizan escaneos y pruebas de penetración en los sistemas de

información, estas herramientas servirán de gran utilidad en las organizaciones

para proteger los datos ante los ataques informáticos.

Palabras claves: Aplicaciones de Software, Pruebas de Penetración,

Vulnerabilidades.
 14

Abstract

The security of information today is very important since it is necessary to protect

integrity in virtual systems that is why we count with computer tools that help prevent

computer attacks so that information thefts are not generated. The tools Nikto and

Metasploit allow to detect vulnerabilities to take preventive measures and to

reinforce the systems, for this reason it is that the object of study is based on the

security of the information, the type of investigation is consultative where detailed

information will be inquired to realize a comparison of the Nikto and Metasploit tools,

identifying the efficiency in the detection of vulnerabilities and threats in computer

systems and the network, to recommend the best alternative in the management of

information security. Bibliographic, inductive, deductive and analytical

methodologies will be used to support the research. Nikto and Metasploit are

software applications that perform scans and penetration tests in information

systems, these tools will be very useful in organizations to protect data against

computer attacks.

Keywords: Penetration Tests, Software Applications, Vulnerabilities.

 15

1. Introducción

1.1 Importancia o caracterización del tema

En la actualidad las amenazas informáticas trascienden profundamente porque

en la sociedad se desconoce en cierta forma sobre el uso ciertas herramientas para

seguridad de información, por ser un tema bastante complejo y de abundante

contenido, además en cuanto al tema de ataques, riesgos y vulnerabilidad cada día

evolucionan y cambian su forma de afectaciones, es por eso que los sistemas

operativos son vulnerables a delincuentes informáticos que sustraen datos y con

llevan al hurto de información.

Para la mejora de la seguridad es necesario contar con herramientas que

permitan reducir los riesgos de ataques informáticos o en su defecto poder

contrarrestar. La sociedad está cada vez más sensibilizada con este aspecto por lo

tanto hay que ser conscientes de lo importante que es mantener la privacidad de la

información en ambientes digitales.

La seguridad de la información como concepto, se basa en cuatro pilares: la

disponibilidad, la integridad, la confidencialidad y la autenticación. Por lo tanto, es

importante disponer de soluciones tecnológicas que aseguren la protección de la

información.

La seguridad informática consiste en la implantación de un conjunto de medidas

técnicas destinadas a preservar la confidencialidad, la integridad de la información,

es por esto que hoy en día existe una gran variedad de herramientas que permiten

evaluar la seguridad de los sistemas, es importante conocer las posibles

vulnerabilidades para tener en cuenta las medidas que se puedan tomar para
 16

contrarrestar posibles ataques. Entre las herramientas que existen para la

evaluación de vulnerabilidades en sistemas informáticos están Nikto y Metasploit.

Nikto y Metasploit son herramientas de seguridad dedicadas al proceso de

penetración en sistemas para la detección de vulnerabilidad, son alternativas de

herramientas utilizadas por Pentesters para la auditoria de seguridad de los

sistemas. Poseen la característica de realizar escaneo de servidores web, además

de poseer herramientas que permiten censar las configuraciones del sistema y

detectar fallas posibles.

1.2 Actualidad del tema

Hoy en día la seguridad de la información ofrece un sinnúmero de alternativas

en el que los usuarios pueden proteger la información en sistemas

computacionales, como lo son las herramientas o aplicaciones de software. Los

sistemas de información dan soporte a las operaciones empresariales, la gestión y

la toma de decisiones, proporcionando a las personas los datos que necesitan

mediante el uso de las tecnologías informáticas.

La seguridad informática indica que la información tiene una relevancia especial

en un contexto determinado y que, por tanto, hay que protegerla. La Seguridad de

la información se puede definir como conjunto de medidas técnicas, organizativas

y legales que permiten a la organización asegurar la confidencialidad, integridad y

disponibilidad de los sistemas que procesan datos.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la

información de interés se guardaba en papel y se almacenaba en grandes

cantidades de archivadores. Datos de los clientes o proveedores de la

 17

organización, o de los empleados quedaban registrados en papel, pero además

también existían todos los problemas que luego acarreaba su almacenamiento,

transporte, acceso y procesado.

El término seguridad de la información es más amplio, pues engloba otros

aspectos relacionados con la seguridad, más allá de los puramente tecnológicos,

mientras que lo no puro se refiere a los grandes repositorios y bibliotecas donde

también se registran datos, los disketts, CD y memorias flash donde se guardan

diferentes tipos de información.

1.3 Novedad científica del tema

Hace varios años atrás no era tomado en cuenta los temas de la seguridad

porque no se suscitaban casos extremos de hurto de información, pero a medida

que transcurría el tiempo las organizaciones fueron cada vez sufriendo estos tipos

de asaltos informáticos.

Los problemas relacionados a la seguridad de la información son a diario, para

mencionar algunos de ejemplos, se cita el caso de la violación de datos a la

empresa a Sally Beauty se dio en el 2014, los datos robados se pusieron a la venta

en varias páginas web del mercado negro. Hubo otra violación masiva de los datos

de acceso y las contraseñas de eBay, que afectó a 145 millones de usuarios en el

año 2014, en el año 2013 de suscito hurto de información en la Universidad de

Especialidades Espíritu Santo (UEES) para modificar las calificaciones de un grupo

de estudiantes.

De esa problemática surgen las herramientas o aplicaciones de software para la

protección de los datos en los sistemas de información.

 18

Estas herramientas son novedosas por sus procesos de penetración y defensa

contra ataques a los sistemas que procesan información, incluso existe algunas

herramientas que no tienen costo y ofrecen a los usuarios y organizaciones una

buena protección sin la necesidad de gastar o invertir dinero.

La novedad de las herramientas Nikto y Metasploit es que gestionan de forma

eficiente la seguridad, empleando mecanismos poco comunes en la detección de

vulnerabilidades en los sistemas de información e incluyendo también los sistemas

que funcionan con conexión de redes de ordenadores.

1.4 Justificación del tema

Es importante y trascendente realizar un estudio comparativo entre estas

herramientas ya que es muy necesario dar a conocer a los usuarios novedosas

alternativas para la gestión de la seguridad de la información, a su vez exponer cuál

de estas seria la adecuada para resguardar los datos en los sistemas.

Uno de los puntos fundamentales en cualquier empresa es la información. Los

ejecutivos deben tener en cuenta que la información posee un valor alto para el

correcto funcionamiento de la empresa, gestionar los datos para a su vez mejorar

la toma de decisión, es por esto que deben tomarse todas las medidas necesarias

para su resguardo.

Por ello, los sistemas de seguridad de la información en las empresas son

primordiales para realizar el análisis de la situación empresarial y desarrollar las

diferentes estrategias que nos permitan mejorar el rendimiento y conseguir los

objetivos de la organización.
 19

Es muy importante para las universidades que se dialogue de estas temáticas

ya que son actuales y servirán como objeto de estudio para los estudiantes.

1.5 Objetivos

1.5.1 Objetivo general.

Comparación de las herramientas Nikto y Metasploit, identificando la eficacia en

la detección de vulnerabilidad y amenazas en sistemas informáticos y red, para

recomendar la mejor alternativa en la gestión de seguridad de la información.

1.5.2 Objetivos específicos.

Indicar el funcionamiento de Nikto y Metasploit, identificando las características,

estructura funcional y modo de operación, para conocer la forma en que detectan

y gestionan vulnerabilidades y amenazas en los sistemas de información.

Describir como las herramientas Nikto y Metasploit realizan el proceso de

penetración y defensa, citando casos en que se hayan realizado pruebas de

ataques y explotación de vulnerabilidades, con la finalidad de analizar los

resultados obtenidos.

Comparar los resultados de las pruebas de hacking que ofrecen Nitkto y

Metasploit, mediante criterios que evalúen la forma en que gestionan la seguridad

para determinar la eficiencia de las herramientas.

 20

2. Aspectos metodológicos

2.1 Materiales

2.1.1 Recursos bibliográficos

La presente investigación se la caracteriza como un trabajo de tipo bibliográfico

o monografía documental, pues se consultó la información en diferentes medios de

información como:

• Revistas científicas.

• Libros de textos especializados.

• Folletos.

• Artículos científicos relacionados al tema propuesto.

• Páginas web de sitios especializados en el tema de la monografía.

• Repositorios documentales de otras instituciones o centros de investigación que

aborden temas de la seguridad de la información.

2.1.2 Materiales y equipos

Para la elaboración de este trabajo investigativo se utilizó diferentes equipos y

materiales como:

• Computadora portátil.

• Sistema Linux.

• Impresora Epson.

• Pendrive 32 GB.

• Acceso a internet.

• Google Chrome.

• Papelería A4.
 21

2.1.3 Recursos humanos

• El estudiante proponente de la investigación

• El docente tutor, quien colaborará con las sugerencias y observaciones

referentes al estudio planteado.

• La inclusión de otros expertos conocedores del tema, en caso de necesitarlo.

2.2 Métodos

2.2.1 Modalidad y tipo de investigación

El presente proyecto de investigación es de modalidad monográfica, de tipo

compilación bibliográfica, pues a partir del tema: Comparación de las herramientas

Nikto y Metasploit, identificando la eficacia en la detección de vulnerabilidad y

amenazas en sistemas informáticos y red, para recomendar la mejor alternativa en

la gestión de seguridad de la información, donde se analizará y se redactará una

presentación descriptiva y crítica de la información que hay al respecto, se

presentarán los diferentes puntos de vista de manera exhaustiva para luego poder

realizar la opinión personal.

2.2.2 Tipos de métodos

2.2.2.1 Método bibliográfico

Siendo uno de los más importantes e imprescindibles métodos, porque éste

ayudará a la recopilación de información que se considere importante para el

trabajo de investigación, el cual permitirá documentar las aportaciones de

conocedores y expertos acerca de temas referentes a riegos, vulnerabilidades,

ataques a los sistemas de información, así como también las herramientas para la

protección ante estos ataques.

 22

2.2.2.2 Método inductivo

Es aquel método que obtiene conclusiones generales a partir de premisas

particulares. Este método ayudará para la formalización de conclusiones en la

realización del proyecto, tomando como referencia los indicios más relevantes que

se relacionan con la seguridad de la información y herramientas para la realización

de los procesos de evaluación de vulnerabilidades en sistemas informáticos.

2.2.2.3 Método deductivo

Este método permite realizar un análisis profundo con respecto a todas las

temáticas generales que permitirán comprender el modo en que las herramientas

Nikto y Metasploit realizan el proceso de penetración en sistemas para detectar las

vulnerabilidades.

2.2.2.4 Método analítico

Permitirá dentro de la investigación que consista en la desmembración de un

todo, descomponiéndolo en sus partes o elementos para observar las causas, la

naturaleza y los hechos del objeto de estudio. En consecuencia, para la monografía

el método analítico permitirá a partir de las consultas, libros, revistas y fuentes de

información rescatar los aportes científicos teóricos de los expertos que permitirán

comprender sobre las funcionalidades de las herramientas Nikto y Metasploit como

parte de las técnicas aplicadas a la seguridad de la información.

2.2.2.5 Método sintético

Gracias a este método se tendrá la posibilidad de una vez analizada la

información pertinente al estudio, razonar y construir el conocimiento teniendo en

cuenta la comprensión cabal y verdadera sobre las herramientas Nikto y Metasploit

 23

para la detección de vulnerabilidades en sistemas de información y poder comparar

entre sus características.

2.2.3 Técnicas

Con el motivo de contar con técnicas e instrumentos que ayuden a los métodos

para que de forma ordenada, racional y pensativa poder acceder al conocimiento;

el presente trabajo monográfico utilizará la técnica documental, pues esta técnica

permite la para indicar las teorías que sustentan el estudio de los procesos, lo que

ayuda a elaborar un marco teórico conceptual para formar un cuerpo de ideas sobre

el tema de estudio. La recopilación de información tendrá como fuentes primarias

de investigación: libros, revistas, artículos científicos, informes técnicos,

repositorios, tesis y además se implementará el uso de fichas bibliográficas.

2.3 Marco legal

La realización de la presente monográfica trata sobre las vulnerabilidades en los

sistemas de información, dichas vulnerabilidades permite la manipulación de la

información por parte de personas externas, por tanto existen leyes en el Ecuador

sobre la apropiación fraudulenta de información a través de medios electrónicos

por lo que para fundamentar la parte legal de trabajo se hace referencia a la

Constitución de la República del Ecuador, El Código Integral Penal y La ley de

Propiedad Intelectual, cuyos artículos relacionados con actividad de apropiación

ilícita de información y similar se detallan a continuación:

Constitución de la República del Ecuador

El artículo. 23 de la Constitución en sus numerales 8 y 10 dicen lo siguiente:

Sin perjuicio de los derechos establecidos en esta Constitución y en los

instrumentos internacionales vigentes, el Estado reconocerá y garantizará a las
personas los siguientes: 8.- El derecho a la honra, a la buena reputación y a la
intimidad personal y familiar. La ley protegerá el nombre, la imagen y la voz de
 24

la persona; 24.- El derecho a la identidad, de acuerdo con la Ley (CE, 2008,

p.35).

Se señala que el derecho a la intimidad protege la vida privada del individuo y

de su familia. Esta disposición reconoce la necesidad de toda persona de conservar

su existencia con el mínimo de injerencia de los demás, para así lograr la

tranquilidad del espíritu, paz interior y el desarrollo de su personalidad.

La regulación de la intimidad en su aspecto inmaterial, es un tema de actualidad,

especialmente si se tiene en cuenta la relevancia del bien jurídico protegido, en

este caso la información de una persona u organización.

Código Orgánico Penal Integral del Ecuador

El delito informático está tipificado en el Código Orgánico Penal Integral del

Ecuador aprobado en el año 2014, en el artículo 190, que señala, la apropiación

fraudulenta por medios electrónicos.

Art 190. La persona que utilice fraudulentamente un sistema informático o redes

electrónicas y de telecomunicaciones para facilitar la apropiación de un bien
ajeno o que procure la transferencia no consentida de bienes, valores o derechos
en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona
alterando, manipulando o modificando el funcionamiento de redes electrónicas,
programas, sistemas informáticos, telemáticos y equipos terminales de
telecomunicaciones, será sancionada con pena privativa de libertad de uno a
tres años (COIP, 2014, p. 32).

La apropiación indebida es un delito contra el patrimonio, en ciertos países y en

Ecuador, delito contra la propiedad, consistente en el apoderamiento de bienes

ajenos, con intención de lucrarse cuando esos bienes se encontraban legalmente

en su posesión a través de otros títulos posesorios distintos de la propiedad. El

sujeto debe poseer los bienes ajenos, como pueden ser el depósito, la comisión o

la administración, con la obligación de entregarlos o devolverlos a otra persona y

 25

para las personas y organizaciones la información es considerado un activo o bien

con alto valor.

Ley de Propiedad Intelectual

Por ser un trabajo de tipo investigativo se hace referencia al artículo 5 de la Ley

de Propiedad Intelectual.

Art 5. El derecho de autor nace y se protege por el solo hecho de la creación de

la obra, independientemente de su mérito, destino o modo de expresión. Se
protegen todas las obras, interpretaciones, ejecuciones, producción o emisión
radiofónica cualquiera sea el país de origen de la obra, la nacionalidad o el
domicilio del autor o titular (SICE, 2016, p. 4).

El derecho de autor define los derechos de los creadores sobre sus obras, las

cuales pueden abarcar desde libros, música, pinturas, esculturas y películas hasta

programas informáticos, bases de datos, anuncios, mapas y diseños técnicos.

Generalmente, las obras publicadas en Internet, ya sea en una página web o en

una plataforma de redes sociales, están protegidas por derecho de autor y/o

derechos conexos, de modo que, normalmente, es necesario obtener el permiso

del titular del derecho antes de utilizarla. Algunos sitios web están protegidos

mediante una licencia general en la que se compendian las condiciones bajo las

cuales pueden utilizarse las obras que en ellos se presentan. Además de eso, el

único caso en que no se le exige que obtenga permiso para utilizar una obra es

cuando dicha obra entra en el ámbito de las excepciones o limitaciones del derecho

de autor, por ejemplo, a los fines de las citas, las noticias o la docencia.

Por regla general, cuando haya alguna duda acerca de la existencia de derechos

asociados a una obra que usted quiera utilizar, conviene ser cautos y adoptar las
 26

medidas necesarias para obtener el permiso necesario para usarla y no caer en un

delito o flagrancia.
 27

3. Análisis y revisión de la literatura.

3.1 Seguridad de la información, importancia para los negocios.

La seguridad de la información tiene como finalidad proteger los datos creados

en las empresas, de riesgos que puedan generar un peligro en las

organizaciones y afectar la información en diferentes formas y estados, es

porque las empresas buscan obtener aplicaciones que no las dejen vulnerables

(Mendoza, 2015).

Romero et. al. (2018) mencionan que, lo primordial en un sistema de

información va a ser siempre reducir los riesgos de una manera que se pueda

registrar la información y que las organizaciones o usuarios, no teman por caer

en manos de los delincuentes informáticos.

La seguridad de la información esta relacionada con medidas preventivas que

indican los problemas antes de que se suciten y por lo tanto las organizaciones

tenga un tiempo para contrarrestar estos ataques, la información puede estar

dada en datos fisicos y electronicos, requerira ser procesada y con estos

sistemas de seguridad no tendran problemas al momento de ingresarlos

(Solarte, Rosero y Benavidez, 2015).

Baca (2016) indica que, en lo referente a la seguridad informática a es

impresindible resguardar la información, no se la puede dejar desprotegida ya

que sería un blanco muy sencillo de penetrar, la información es tan valiosa para

la organización que no puede quedar al descubierto.

Estos conceptos dan a entender que en la actualidad las organizaciones o

usuarios deben implentar sistemas de seguridad de informacón, ya que sin ellas

 28

estarian vulnerables a ataques y por lo tanto sufrian robos de datos y habrìa

perdidas costosas.

3.1.1 La seguridad de la información

La seguridad de la información abarca un sin número de técnicas y medidas que

permiten controlar la información que se genere en una organización y

asegurarse de que no existan alteraciones en los protocolos de seguridad en la

empresa por parte de los hackers (Business School, 2017).

VIU (2018 b) mencionan que, hoy en día es primordial entender lo que con lleva

la seguridad de la información ya que es un paradigma en la cual se encuentra

la sociedad que cada vez necesita compartir datos y almacenar información por

eso es importante la seguridad de la información (Ver figura 1).

SGSI (2015) describen que, los sistemas de la seguridad de la información

tienen como finalidad perseguir o rastrear los sistemas de información para que

usuarios externos a la empresa no divulguen los datos que genera la

organización a terceros y por lo tanto no sufran daños económicos.

Es necesario conocer a fondo el significado de la seguridad de la información

para a su vez saber cómo resguardar datos que consideremos relevante para la

empresa o de interés personal y no ser vulnerados con facilidad por los hackers

que busquen dañar nuestra integridad.

3.1.2 Concepto de riesgos, vulnerabilidades y amenazas a la información

3.1.2.1 Riegos

Inducirse en el mundo de la era digital significa mucho riesgo y para las

empresas todavía más, si el ordenador no dispone de filtros es muy probable

 29

que estos riesgos se conviertan en vulnerabilidades o amenazas que afecten

directamente a las empresas o compartir información de una manera no segura

pueden inducirse a unos riesgos inmensurables (Semymas, 2018).

Heredero, López, Romo y Medina (2019) mencionan que, los riesgos son un

concepto que toda organización debera tomar en consideración ya implican que

la información esté al alcance y pueda ser adquirida por personas ajenas a la

empresa, en general el riesgo implica el impacto de violación de la seguridad de

los sistemas de información.

Los riesgos se suscitan en todos los campos y más aún en el ámbito empresarial

es por eso que se debe tomar en consideración contrarrestar los riesgos mediante

medidas preventivas.

3.1.2.2 Amenazas

Las amenazas en un sistema de información se pueden dar en diferentes

maneras ya que pueden atacar el hardware, software y los datos que es lo

primordial en una organización estas amenazas se pueden dar de un hacker o

de diferentes tipos de virus que pueden causar daño en una empresa (Prakmatic,

2018).

Baca (2015) describe que, las amenazas son las condiciones que rodean a un

sistema de información entre estas se encuentran las personas, equipos de

cómputo e ideas, etc. que pueden generar hurto de la información y ocasionar

incidentes trascendentales para la organización es por eso que se deben tomar

medidas de seguridad para contrarrestarlas.

 30

Estos autores mencionan que las amenazas se pueden considerar un peligro en

una organización es por ello que deben ser tratadas, para que los sistemas de

información no sufran percances y no pueda existir robos de información por parte

del hacker.

3.1.2.3 Vulnerabilidades

Las vulnerabilidades se presentan en los sistemas de información debido a fallos

en los sistemas lógicos y es por ahí donde los hackers se aprovechan e intentan

penetrar, para sacar la información ilícitamente de la organización o también se

producen por defectos de ubicación e instalación de las herramientas de

seguridad (Ruiz, 2017).

Tecnología Informática (2018) analizan que, una vulnerabilidad básicamente es

una debilidad que deja expuesta al peligro a los sistemas de información, permite

que los atacantes puedan violar la confiabilidad y tomen el control de la

información causando graves problemas en una organización.

Los sistemas de información pueden encontrarse en un estado vulnerable de

pendiendo de diferentes variables estar pueden llegar hacer por una mala

instalación en el sistema, de ahí es donde se agarran los ladrones informáticos.

3.1.3 Estrategias para la seguridad de la información

Las empresas son las que tienen que definir sus estrategias ya que ellas son las

únicas que conocen sus beneficios y vulnerabilidades de los sistemas de

información que se han empleado en las organizaciones, para que permitan

trabajar de una manera sincronizada y armoniosa (Isotools, 2017) (Ver figura 2).
 31

Para prevenir ataques de delincuentes informáticos es necesario y primordial

organizar estrategias que permitan salvaguardar la información de la empresa es

por eso que toda organización deberá plantear, para sobre llevar la competitividad

en los negocios.

3.1.4 Herramientas para la seguridad de la información

Febos (2018) analiza que, las herramientas facilitan el resguardo de la

información archivos, etc, permiten a las organizaciones trabajar de una manera

en la que se vean protegidos de cualquier asalto de información estas

herramientas pueden ser gratuitas como Nikto y Metasploit que son

herramientas de escaneos.

La seguridad de la información siempre ha sido y seguirá siendo los primordial

en una empresa es por eso que es necesario contar con herramientas que

ayuden en la vigilancia y protección de la información de la empresa ya que nos

ayudan a evitar la sustracción de los datos (Sánchez y Martínez, 2018).

Los ataques a la seguridad de la información por parte de los software maliciosos

son inconmensurables es por eso que es de mucha importancia que las

organizaciónes obtengan herramientas que les ayuden a contrarrestar falencias

que puedan existir en los sistemas de información (Econectia, 2017).

Los datos que se generan en una organización son la parte las importante que

se deben resguardar, por lo tanto las empresas deben contar con herramientas de

seguridad para cubrir falencias que pueda existir en un sistema de información y

no seas atacados por ladrones informaticos.

 32

3.1.5 Software de seguridad informática

Romero et. al. (2018) describen que, el software está compuestos de

aplicaciones y servicios ejecutables etc, pero el software de seguridad es

diferente en el sentido de que son desarrollados específicamente para

resguardar información e impedir que se realicen actos ilícitos que afecten a la

organización.

Este tipo de software es usualmente utilizado para proteger la información que

puede ser afectada por software maliciosos creados por hacker con intención de

penetrar los sistemas de seguridad de la empresa, estos softwares

especializados ayudan a mejorar la integridad de los datos manteniéndolos

seguros (VIU, 2018 a).

CSO, (2018) mencionan que, las amenazas digitales incrementan

constantemente por eso es de vital importancia contar con software de seguridad

informática para que ayuden a monitorear y advertir sobre posibles errores que

puedan existir en los sistemas de información de una empresa.

3.1.6 Nikto y Metasploit como alternativas de software para la seguridad

3.1.6.1 Características de Nikto

Zeta (2017) expresa que, una de las características esenciales de Nikto es que

es un escáner Open Source de vulnerabilidades web, con esto puede detectar

archivos maliciosos y también trabaja con lenguaje de programación Perl vienen

instaladas en Kali Linux, Parrot Security y OS.

Nikto es un lenguaje de programación de código abierto (GPL) y para las

organizaciones es muy importante ya que pueden operarla sin necesidad de

 33

realizar pagos. Nikto puede detectar 3200 archivos potencialmente peligrosos

para la organización y además cuenta con elementos de exploración plugins que

se actualizan automáticamente (López y Ramírez, 2018) (Ver tabla 1).

La herramienta Nikto es un escaner de vulneravilidades muy popular y muy facil

de usar y aparte “cuenta con técnicas de mutación para pescar el contenido en

servidores web” es por eso que la convierte en una aplicación necesaria para

utilizar en una organización que no cuente con los recurso economicos para

instalar una herramienta seguridad de paga (Middoweb, 2019, p. 2).

Nikto es una herramienta que te permite escanear los sistemas de información

y puede arrojar datos para que la organización se pueda dar cuenta a tiempo de

los errores que se puedan sucistar en la empresa ademas cuenta con una licencia

gratuita sin la necesidad de generar gastos a la empresa.

3.1.6.2 Características de Metasploit

Rizaldos (2018) menciona que, una de sus carácterísticas que posee Metasploit

es que es un software de código abierto que ayuda la organización a investigar

vulnerabilidades en los sistemas de información, evitar que dichos sistemas sean

penetrados los delicuentes informáticos.

Metasploit Framework fue desrrollado por Perl y Ruby, utiliza un lenguaje de

programacion basado en Perl y esta enfocada a auditores de seguridad y

equipos de red, tambien cuentan con unos módulos llamados payloads que son

códigos que se encargan de explotar las vulneravilidades que se encuentren en

un sistema de información (Rizaldos, 2018).

 34

La herramienta Metasploit se ha convertido en un “lienzo, por inmnunidad, y el

impacto central, por la tecnología de seguridad en la información” en las

organicaiones para la realizacion de pruebas de penetracion y sobre todo es

gratuita (Melo, 2019, p. 301)

Como podran observar Metasploit además de poseer licencia gratiuta es una

herramienta capas de realizar pruebas de penetración a las vulneravidades que

puedan llegar a afectar a la organización.

3.2 Riesgos, vulnerabilidades y ataques a la información

Incibe (2017) explica que, los riesgos a su vez llegan a transformarse en

vulnerabilidades y por esa cuestión los sistemas están propensos a hacer

atacados, una vulnerabilidad en ámbitos informáticos es un fallo en el sistema

de información por lo que acarrea que se vea expuesta la integridad y

confiabilidad de los usuarios y organizaciones.

Las vulnerabilidades que se dan en los sistemas de información causan fallo en

el software y no permiten trabajar o registrar los datos de manera correcta, y

estos serán grandes problemas para los usuarios y organizaciones, nada es

infalible, pero se debe estar atentos para que no produzcan estos inconvenientes

(Mendoza, 2016).

Para reducir las vulnerabilidades en los sistemas de información es necesario

que se tomen medidas de seguridad preventiva que permiten reducir a grandes

escalas presuntos ataques a la hora de procesar los datos (Tejada, 2015).

 35

Los riesgos en los sistemas de información se presentan todos días porque

están propensos a ser atacados en cualquier momento y si no se toman medidas

ocurren los riesgos, es ahí donde se aprovechan los delincuentes informáticos.

3.2.1 El caso de las organizaciones que hacen uso de la herramienta Nikto

La herramienta de escaneo de vulnerabilidades Nikto ha sido empleada por el

diario La nueva provincia, para monitorear que su página web no sufra

alteraciones por los delincuentes informáticos Nikto realizo el escaneo en un

lenguaje de programación Perl esta organización empleo esta medida de

seguridad debido a que en el año 2014 los hackers realizaron alteraciones en su

página Web. (NP, 2017).

Otra organización que experimentado con Nikto es el instituto de educación

superior Cimas ubicado en PERÚ, Nikto es una herramienta desarrollada por

Kali Linux, y trabaja bajo la plataforma active Perl, sin esta plataforma Nikto no

podría funcionar no serviría de nada tenerla instalada, la institución sufrió el

ataque en el 2016 en el sistema de calificaciones por tal motivo se vieron en la

obligación de implementar Nikto (Cima´s, 2018).

Las empresas deben optar por herramientas de seguridad como Nikto para no

sufrir ataques, ya que les permite proteger sus sistemas de información sin costo

alguno y así no tendrán el pretexto de que no cuentan con los recursos económicos

para instalar este software de seguridad.

Estas organizaciones emplean estos tipos de seguridad para chequear que sus

páginas web no se vean afectadas o alteradas por personas ajenas, mediante este

escaneo podrán darse cuenta de que tan vulnerables pueden ser sus páginas.
 36

3.2.1.1 Antecedentes

El diario la nueva provincia, su sede se encuentra en Bahía Blanca provincia de

Buenos Aires, cuentan con su propia página web y el diario se publica 3 veces

por semana, en su página web se realizan pruebas de rutina de testing para

chequear las vulnerabilidades que se puedan encontrar en la página (NP, 2017).

Por otra parte el instituto Cima´s se halla ubicado Av. Arequipa 1010, Cercado

de Lima 150446 en la ciudad de Lima, ellos cuentan con una página web donde

publican sus actividades es por aquello que tiene la necesidad de realizar

pruebas de testeo para observar que no exista ninguna falla y sus datos no

puedan ser hurtados por los hacker (Cima´s, 2018).

Estas organizaciones realizan rutinas de seguridad porque ellos manejan datos

clave en sus páginas web y necesitan herramientas que aporten a la seguridad de

la información, porque sin ellas se tornan vulnerables estas páginas.

Por medio de este software las empresas podrán observar que fallas podrían

tener sus sistemas a la hora de procesar los datos o que sean vulnerados por los

hackers, y a su vez prevenir estos ataques.

3.2.1.2 Implementación de Nikto para la prueba de vulnerabilidades

El Binario. Net (2016) considera que, la herramienta Nikto se lo implementa bajo

una línea de comando GPL, con plataforma active Perl que es una licencia de

software libre, permitiendo trabajar con un lenguaje de programación Perl,

detectando archivos maliciosos que puedan existir en el sistema y dar aviso al

programador para que este pueda corregirlos a la brevedad.

 37

González (2015) manifiesta que, Nikto es una herramienta para Linux, se

implentara en servidores web de las organizaciones para controlar archivos

potencialmente peligrosos y versiones desactualizadas, a su vez escanear y

reportar las anomalias encontradas también en los sistemas de información para

que la empresa pueda tomar las medidas respectivas.

En los comentarios mencionado ellos analizan que la herramienta Nikto se lo

implementa mediante lenguaje de programación Perl, que realiza una serie de

codigos para el escaner las vulnerabilidades de los servidores web de las

organizaciones.

3.2.2 El caso de las organizaciones que hacen uso de la herramienta

Metasploit

La empresa que ha utilizado la herramienta Metasploit en su faceta de pentesting

es Plasticaucho Industrial S.A., ya que es una herramienta gratuita que opera

bajo la licencia de software libre y puede ser descargada desde el sitio web

oficial, desarrollada por Rapid7. La implemento en el año 2017 por motivo de

que tuvo problemas con los contactos de sus proveedores que aparecían

publicados en su página web (Rojas, 2018).

El banco Charles SCHWAB en este último tiempo ha implementado la

herramienta de software metasploit porque hacker atacaron sus sistemas de

información hurtando datos importantes de los clientes y es por eso que se está

tratando con las pruebas de penetración, estos ataques sucedieron en el año

2015 donde algunos clientes presentaron quejas al banco porque sus claves

habían sido cambiadas sin autorización (Paths, 2017).

 38

Las pruebas de penetración son muy importantes hoy en día ya que las

empresas manejan información no solo de la organización sino también de clientes

y proveedores, por medio de estas herramientas se podrá determinar si el sistema

de información corre algún peligro de ser vulnerado.

3.2.2.1 Antecedentes

El establecimiento de Plasticaucho Industrial S.A se encuentra ubicado en la

ciudad de Ambato, se realizaron las pruebas de penetración con Metasploit

debido a la falta de filtros en la seguridad de los datos de la organización, donde

se encontraban vulnerables a ataques de ladrones informáticos (Rojas, 2018).

Charles SCHWAB Corporation es una firma de corretaje bancario ubicado en

Estados Unidos en la ciudad de San Francisco California y fue fundado en 1971,

ocupa el número 13 en la lista de los bancos más grandes de Estados Unidos y

también es una de las firmas de corretaje más grande (Charles SCHWAB, 2018).

Toda organización debe emplear métodos o herramientas que sirvan para

resguardar la información que genere la empresa. Es por aquello que se deben

implementar pruebas de penetración cada periodo de tiempo para observar que el

sistema de información funcione de una manera correcta y factible.

3.2.2.2 Implementación de Metasploit para la prueba de vulnerabilidades

Castañeda (2015) describe que, la herramienta Metasploit Framework se la

implementa mediante un lenguaje de programación Perl y Ruby, también trabaja

mediante un código abierto de software libre permitiéndole ejecutar Exploit que

atacan a las vulnerabilidades que se puedan encontrar en los sistemas de

información.
 39

El Metasploit Framework se la implementa mediante líneas de comando y que

el usuario puede interactuar ya que utiliza una interfaz gráfica, facilita la

comunicación entre el programador y la máquina a la que se le esté realizando

la prueba de penetración (Security Twins, 2018).

Las empresas para poder realizar seguimientos a los sistemas de información

deberán contar con personas capacitadas que manejan estos tipos de lenguaje de

programación para que ellos puedan manipular estas herramientas, y puedan

detectar algún tipo de anomalía.

3.3 Las pruebas de penetración en sistemas de información

Las Pruebas de Penetración o como se las conoce comúnmente Pentesting

están diseñadas para realizar evaluaciones a la seguridad de las aplicaciones de

software por lo que López de Jiménez, (2017) menciona que:

Es el método para la evaluación de un sistema o red mediante la simulación de

un ataque de origen hostil. Una prueba de seguridad con un objetivo específico;
la prueba se termina cuando el objetivo se logra obtener, o el tiempo disponible
termina. (p, 13).
Las pruebas de penetración son propuestas por las organizaciones para saber

si los sistemas de información no están en peligros de presuntos ataques, pero

antes de realizar estas pruebas las empresas deben cumplir con los

procedimientos de defensa como son aplicaciones software que gestionen la

seguridad de la información (Rault et.al., 2015).

Estas pruebas son realizadas en aplicaciones web, donde tienen permitido el

acceso al escaneo para observar si las aplicaciones son vulnerables a riesgos

que afecten a las organizaciones y por lo tanto se puedan tomar medidas

correctivas (Talledo, 2015).

 40

Hernandez y Mejia (2015) expresan que, las pruebas de penetración consisten

en una simulación para arrojar posibles sucesos de ataques que puedan ocurrir

en las organizaciones, implica la busca de posibles vulnerabilidades en los

sistemas informáticos.

Pinzón (2018) determina que, hoy las herramientas de pruebas de penetración

deben tener como característica el escaneo hacia las aplicaciones de software

que gestionen la seguridad de la información, también se podrán encortar

herramientas de penetración libres y así las organizaciones no tendrán excusas

para no utilizarlas.

Las pruebas de penetración pueden llegar hacer de mucha importancia ya que

pueden arrojar resultados certeros que puedan confirmar alguna sospecha del

hurto de información que esté sufriendo la empresa de la mano de los ladrones

informáticos.

3.3.1 Gestión de seguridad de la información

Gestionar, almacenar la seguridad de la información es vital para cualquier tipo

de empresas, si quiere subsistir el mundo de los negocios ya que si no se emplea

una buena gestión la empresa podría quebrar, porque los datos quedarían al

descubierto y serian un blanco fácil para los ladrones informáticos (Conexión

Esan, 2018) (Ver figura 3).

Baud (2017) afirma que, la responsabilidad de gestión de la seguridad de

información le corresponde netamente a la organización, este sistema debe ser

estructurado de tal forma que los hackers no ingresen de una manera cómoda a

penetrar el sistema de información de la empresa.

 41

Ellos mencionan que prácticamente la gestión debe ser proporcionada por la

empresa ya que son los interesados en resguardar cualquier tipo de información

que se genere dentro de ella.

3.3.2 Comparación de las herramientas Nikto y Metasploit

3.3.2.1 La herramienta Nikto

Nikto es una herramienta muy utilizada por los hacking éticos porque permite

realizar escaneos, pruebas de penetración o test esto es muy importante y clave

para las organizaciones ya que pueden mejorar los sistemas de información

Nikto solo se puede ejecutar en plataformas que permitan el lenguaje de

programación Perl (Culoccioni, 2015 b).

Khepri (2018) indica que la herramienta Nikto también es un servidor web

proporciona una serie de evaluaciones a aplicaciones web, por esa razón

permite indicar algún tipo de problema que se pueda generar en el proceso de

la información, Nikto escanea hasta 6700 archivos o programas peligrosos que

afecten a la integridad de la empresa (Ver figura 4).

Nikto ha resultado ser una de las varias herramientas más completa que existe

en la detección de riesgos y vulnerabilidades, por defecto realiza el escaneo a

todas aplicaciones que encuentren conectadas a la red de la organización,

incluso llega a detectar indicios del uso de balanceadores de carga (Martí, 2016).

Lo que explican estos autores es que Nikto es una herramienta que todo

emprendedor o profesional de la seguridad en la información debe gestionar en una

organización pues ayuda a realizar un escaneo en todas las aplicaciones que

encuentre conectadas a la red de la empresa y verifica su integridad.

 42

3.3.2.2 La herramienta Metasploit

Culoccioni (2015 a) explica que la herramienta Metasploit es un software de

escáner y pruebas de penetración que utiliza el lenguaje de programación Perl

y Ruby, es utilizado para verificar y realizar las pruebas de seguridad informática

en los sistemas de información detectando las vulnerabilidades en el caso de

que existieran estos inconvenientes (Ver figura 5).

Metasploit tiene como principal característica las pruebas de penetración que

son importantes para una organización, ya que pueden gestionar de forma segura

la información. Singh, Jaswal, Agarwal & Teixeira (2018) manifiestan que:

Metasploit Framework: Este es framework gratuito de prueba de penetración de

codigo abierto iniciado por H. D. Moore en 2003, que mas tarde fue adquirido
por Rapid7. Las versiones estables actuales del framework estan usando el
lenguaje Ruby. Tiene la base de datos mas grande del mundo de Exploits
probados y recibe más de un millón de descargas cada año. También es uno de
los proyectos mas complejos construidos en Ruby (p. 8).
Esta aplicación de software no es solo para las organizaciones, también pueden

ser usadas por usuarios en particular. Es por eso que Kapfer, (2018) comenta que

“Metasploit es una plataforma de búsqueda de explotación de vulnerabilidades de

los sistemas operativos y aplicaciones” (p.374).

En los comentarios ya mencionado habla de como la herramienta Metasploit

ayuda a mejorar la seguridad en los sistemas de informacion de las organizaciones,

sino que los usuarios tambien las pueden manipular para así tener menos riesgos

de que presenten hurtos de los datos.

 43

3.3.2.3 Breve comparación de características de Nikto y Metasploit

Hixon & Hutchens (2017) mencionan que Nikto y Metasploit tiene como

característica que: son de línea de comandos en Kali Linux esto les permite

evaluar una extensa aplicación web que se encuentre en la red de la

organización y también pueden escanear servidores web.

Gisbert (2015) explica que, estas dos herramientas chequean y levantan

reportes de riesgos y vulnerabilidades en sistemas que se hayan escaneado, e

informan si se suscita algún inconveniente, también realizan la comprobación de

existencia de componentes en servidores obsoletos.

Las aplicaciones Nikto y Metasploit trabajan con lenguaje de programación Perl

esto les permite realizar pruebas exhaustivas en servidores web o de red

arrojando resultados para conocer cómo se encuentras dichas redes y poder

tomar una decisión para reducir los peligros en los sistemas de información

(Audit, conseil, installation et sécurisation des systèmes d'information France,

2018).

Caballero (2014) meciona que, estas aplicaciones de software organizan los

temas de configuraciones en los servidores web y tienen la similitud de realizar

exhaustivas pruebas de penetración en los sistemas de información, también

verifican servidores web desactualizados y por medio de los plugins es que

detectan algún tipo de vulnerabilidad.

Nikto y Metasploit son escáner de tipo Open Source que evalúan los servidores

web en el tiempo más rápido posible, también realizan simulaciones de ataques

 44

del mundo real permitiendo a las organizaciones observar cómo funciona dichas

aplicaciones sobre las detecciones de vulnerabilidades (Caballero, 2017).

De acuerdo con lo mencionado las aplicaciones Nikto y Metasploit pueden ser

muy importantes dentro de una organización. Pueden ayudar a resguardar la

información, que es lo más significativo que puede existir dentro de una empresa

por lo tanto estas aplicaciones permitirán estar alerta ante delincuentes

informáticos y ataques de vulnerabilidades que buscan el hurto de la información;

entre las similitudes que existen entre Nikto y Mestasploit están el hecho de trabajar

bajo un mismo lenguaje de programación, en este caso Perl; además las dos

aplicaciones son Open Source, siendo esta una gran ventaja, pues se las obtiene

de forma gratuita. Otra de las características importantes que existen entre estas

dos herramientas es que realizan pruebas exhaustivas de penetración y que

verifican la actualización de servidores (Ver tabla 2).

.
 45

4. Conclusiones

Por medio del estudio realizado se podrán percatar de las muchas

funcionalidades que ofrecen las herramientas Nikto y Metasploit como son los

escaneos y pruebas de pentesting, para pruebas de detección de vulnerabilidades

en los sistemas información para las organizaciones, conociendo sus

características, estructura funcional y modo en la que operan estas herramientas.

El análisis obtenido describe que estas herramientas de software para la

seguridad de la información Nikto y Metasploit, trabajan como escáner y

explotación de las vulnerabilidades dentro de los sistemas informáticos de las

organizaciones, arrojando las posibles amenazas que puedan existir dentro

mencionados sistemas.

Estas herramientas fueron comparadas dando como resultados que ambas

herramientas de software para la seguridad son dúctiles para ser utilizadas por las

organizaciones, ya ofrecen múltiples opciones como el lenguaje de programación

Perl y Ruby para gestionar de manera correcta los sistemas de información y

pueden advertir por medios de códigos sencillos a las organizaciones los riesgos

que pueden llegar a tener.

 46

5. Recomendaciones

Que las organizaciones tengan presente que los sistemas de información deben

contar con herramientas como Nikto y Metasploit que les permitan mejorar en la

detección de vulnerabilidades dentro de la seguridad de sus sistemas, para que no

se produzcan los robos de información de parte de los hackers que buscan denigrar

a la organización.

Se recomienda a las organizaciones que realicen indagaciones en otras

empresas sobre cómo han trabajado estas herramientas Nikto y Metasploit en el

escaneo de vulnerabilidades, para que a su vez la puedan efectuar en sus

organizaciones y puedan observar los resultados inmediatos que ofrecen estas

aplicaciones de software para la seguridad de la información.

Que las organizaciones realicen comparaciones sobre las herramientas que

ofrezcan el servicio de pentesting para la seguridad de la información, y observar

cual convendría utilizar para llevar a cabos dichas pruebas dentro del sistema de

información que se maneje dentro de la empresa.

 47

6. Bibliografía

Asamblea Nacional Republica del Ecuador. (2014). Còdigo Orgànico Integral

Penal. Registro Oficial del Organo del Gobierno del Ecuador.

Audit, conseil, installation et sécurisation des systèmes d'information France.

(2018). Seguridad informática - Hacking ético. Conocer el ataque para una

mejor defensa. Ediciones ENI, 2018.

Baca, G. (2015). Proyectos de Sistemas de Información. Grupo Editorial Patria.

Baca, G. (2016). Introducción a la seguridad informática. Grupo Editorial Patria,

2016.

Baud, J. (2017). ITIL V3 preparación a la certificación ITIL foundation. Ediciones

ENI.

Beltov, M. (19 de Julio de 2017). Las herramientas más populares de hacking 2017.

Obtenido de Sensors tech forum: https://sensorstechforum.com/es/popular-

hacking-tools-2017/

Business School. (09 de Octubre de 2017). Seguridad de la información, un

conocimiento imprescindible. Obtenido de Business School:

https://www.obs-edu.com/int/blog-investigacion/sistemas/seguridad-de-la-

informacion-un-conocimiento-imprescindible

Caballero, A. (27 de Enero de 2014). Nikto 2. Obtenido de Reydes:

http://www.reydes.com/d/?q=Nikto2

Caballero, A. (5 de Abril de 2017). Metasploit Framework. Obtenido de Reydes:

http://www.reydes.com/d/?q=Curso_de_Metasploit_Framework
 48

Castañeda, A. (2015). Identificación y explotación de vulnerabilidades en

aplicaciones web de un entorno academico. Bogotá: Universidad Militar

Nueva Granada.

CE. (2008). Constitución de la República del Ecuador. Quito: Asamblea Nacional.

Charles SCHWAB. (15 de Mayo de 2018). ¿Por qué invertir en los Estados Unidos

con Schwab? Obtenido de Charles SCHWAB Internacional:

https://international.schwab.com/public/international/nn/why_invest_in_the_

us_with_schwab_spanish.html?gclid=EAIaIQobChMI0_D75t2u5QIVAoiGC

h0dtwGVEAAYASAAEgIj4_D_BwE&src=PQL&ef_id=EAIaIQobChMI0_D75

t2u5QIVAoiGCh0dtwGVEAAYASAAEgIj4_D_BwE:G:s&s_kwcid=AL!5158!

Cima´s. (17 de Julio de 2018). Estudia Computación en Cima´s. Obtenido de

Cima´s: https://www.cimas.edu.pe/computacion-e-informatica

Cirt.net. (12 de Mayo de 2017). Nikto2. Obtenido de Cirt.net: https://cirt.net/Nikto2

Conexión Esan. (10 de Agosto de 2018). Sistema de Gestión de Seguridad

Informática: ¿por qué es útil y cómo se aplica? Obtenido de Conexión Esan:

https://www.esan.edu.pe/apuntes-empresariales/2018/08/sistema-de-

gestion-de-seguridad-informatica-por-que-es-util-y-como-se-aplica/

CSO. (24 de Agosto de 2018). El mejor software de seguridad de 2018. Obtenido

de Computer world: https://cso.computerworld.es/tendencias/el-mejor-

software-de-seguridad-de-2018

Culoccioni, S. (07 de Febrero de 2015 a). Metasploit herramienta de testeo

seguridad y hacking etico. Obtenido de Solvetic: https:// www.solvetic.com/

 49

tutoriales/article/1440-metasploit-herramienta-de-testeo-de-seguridad-y-

hacking-etico/

Culoccioni, S. (21 de Diciembre de 2015 b). Escanear vulnerabilidades en

servidores web con Nikto. Obtenido de Solvetic: https:// www.solvetic.com/

tutoriales/article/2273-escanear-vulnerabilidades-en-servidores-web-con-

nikto/

Econectia. (|13 de Junio de 2017). ¿Cómo pueden ayudarte las herramientas de

seguridad informática? Obtenido de Econectia: https:// www.econectia.com/

blog/herramientas-seguridad-informatica

El Binario. net. (16 de Septiembre de 2016). Nikto: Escáner de vulnerabilidades

web. Obtenido de El Binario. net: https:// elbinario.net/ 2016/09/16/

niktoescaner-de-vulnerabilidades-web/

Febos. (18 de Junio de 2018). Herramientas para garantizar la seguridad y

confidencialidad de la información. Obtenido de Febos:

http://www.febos.cl/2018/06/18/herramientas-para-garantizar-la-seguridad-

y-confidencialidad-de-la-informacion/

Gisbert, B. (2015). UF1272 - Administración y auditoría de los servicios web.

Editorial Elearning, S.L., 2015.

González, E. (2015). Generación de reportes de vulnerabilidades y amenazas para

aplicaciones web. Barcelona: Universidad Abierta de Cataluña.

Heredero, C., López, J., Romo, S., & Medina, S. (2019). Organización y

transformación de los sistemas de información en la empresa. ESIC.

 50

Hernandez, A., & Mejia, J. (2015). Guía de ataques, vulnerabilidades, tècnicas y

herramientas para la aplicaciones web. Guadalajara: Universidad de

Guadalajara.

Hixon, M., & Hutchens, J. (2017). Kali Linux Network Scanning Cookbook. Packt

Publishing Ltd, 2017.

Incibe. (20 de Marzo de 2017). Amenaza vs Vulnerabilidades. Obtenido de Incibe

Instituto Nacional de Ciberseguridad: https://www.incibe.es/protege-tu-

empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian

Isotools. (26 de Marzo de 2017). Alinear la estrategia y la seguridad de la

información de acuerdo a ISO 27001. Obtenido de Isotools: https://

www.isotools.org/2017/03/26/como-alinear-la-estrategia-y-la-seguridad-de-

la-informacion-de-acuerdo-a-iso-27001/

Kapfer, P. (2018). Internal Hacking y contramedidas en entorno Windows: Pirateo

interno, medidas de protección, desarrollo de herramientas (2da edición).

Ediciones ENI, 2018.

Khepri, W. (28 de Mayo de 2018). Las 25 mejores herramientas de Kali Linux.

Obtenido de Medium: https://medium.com/@williamkhepri/las-25-mejores-

herramientas-de-kali-linux-b8c2a92f2ab4

López de Jiménez, R. (2017). Pruebas de penetración en aplicaciones web usando

hackeo ético. Revista Tecnològica N° 10, 13.

 51

López, D., y Ramírez, A. (2018). Pruebas de seguridad utilizando herramientas

para la detección de vulnerabilidades. Habana: Universidad de las Ciencias

Informáticas.

Martí, R. (2016). Desarrollo e Implementación práctica de un pentest. Valencia:

Universidad Politècnica de Valencia.

Melo, S. (2019). Exploração de Vulnerabilidades em Redes TCP/IP - 3ª Edição

Revisada e Ampliada. Alta Books Editora, 2019.

Mendoza, M. (16 de Junio de 2015). Ciberseguridad o seguridad de la información.

Obtenido de Welivesecurity: https://www.welivesecurity.com/la-

es/2015/06/16/ciberseguridad-seguridad-informacion-diferencia/

Mendoza, M. (27 de Mayo de 2016). 5 factores clave que determinan el desarrollo

de amenazas informáticas. Obtenido de Welivesecurity:

https://www.welivesecurity.com/la-es/2016/05/27/factores-desarrollo-

amenazas-informaticas/

Middoweb. (7 de Febrero de 2019). Escaneando servidores web con Nikto en busca

de vulnerabilidades. Obtenido de Middoweb: https:/ /www.middoweb.com/

foro/threads/escaneando-servidores-web-con-nikto-en-busca-de-

vulnerabilidades.259/

Nova Sec. (1 de Septiembre de 2018). ISO 27001 Gestión Integral de la Seguridad

de la Información SGSI. Obtenido de Nova Sec: http:// www.novasec.co/

en/blog/62-gestion-integral-de-la-seguridad-de-la-informacion
 52

NP. (18 de Noviembre de 2017). Tecnología. Obtenido de La nueva Provincia:

https://www.lanueva.com/nota/2017-11-18-8-19-0-si-aprendes-a-

programar-es-probable-que-tu-vida-cambie-para-siempre

Paths, E. (24 de Abril de 2017). Un recorrido por el “metasploit” de la NSA y sus

exploits para Windows. Obtenido de Telefonia: https://

empresas.blogthinkbig.com/un-recorrido-por-el-metasploit-de-la/

Pinzón, N. (2018). Generación de un procedimiento para realizar pruebas de

pentest en redes inalámbrica utilizando dispositivos mòviles con sistema

operativo Android mediante software libre. Bogotá: Universidad Nacional

Abierta y a Distancia.

Prakmatic. (6 de Febrero de 2018). Principales amenazas de un sistema

informático. Obtenido de Prakmatic: https:// www.prakmatic.com/

uncategorized/principales-amenazas-de-un-sistema-informatico/

Rault, R., Schalkwijk, L., Acissi, Agé, M., Crocfer, N., Crocfer, R., . . . Lasson, S.

(2015). Seguridad informática - Hacking Ético: Conocer el ataque para una

mejor defensa (3ª edición). Ediciones ENI, 2015.

Rizaldos, H. (22 de Octubre de 2018). Qué es Metasploit framework. Obtenido de

Open Webinars: https://openwebinars.net/blog/que-es-metasploit/

Rojas, A. (2018). Hacking ético para analizar y evaluar la seguridad informatica en

la infraestructura de la empresa Plasticaucho Industrial S.A. Ambato :

Universidad Tecnica de Ambato.

 53

Romero, M., Figueroa, G., Vera, D., Álava, J., Parrales, G., Álava, C., . . . Miriam,

C. (2018). Introducción a la seguridad informàtica y ataques a

vulnerabilidades. Jipijapa: Universidad Estatal del Sur de Manabí.

Ruiz, E. (2017). Nuevas tendencias en los sistemas de información. Editorial Centro

de Estudios Ramon Areces SA.

Sánchez, M., y Martínez, A. (2018). Informática biomédica. Elsevier Health

Sciences.

Security Twins. (18 de Noviembre de 2018). Interfas de Metasploit. Obtenido de

Security Twins: https://securitytwins.com/index.php/2018/11/18/echandole-

un-vistazo-a-metasploit/

Semymas. (20 de Marzo de 2018). Riesgos de compartir información personal en

redes sociales. Obtenido de Semymas: https://semymas.com/riesgos-

informacion-personal/

SGSI. (21 de Mayo de 2015). ISO 27001: ¿Qué significa la Seguridad de la

Información? Obtenido de Sistemas de Gestión de Seguridad de la

Información: https:// www.pmg-ssi.com/ 2015 /05 /iso-27001-que-significa-

la-seguridad-de-lainformacion/#targetText=La%20Seguridad

%20de%20la%20Informaci%C3%B3n%20consiste%20en%20asegurar%

20que% 20los,los20l%C3%ADmites%20de%20la%20autorizaci%C3%B3n.

SICE. (20 de 06 de 2016). Derecho a la propiedad Intelectual. Obtenido de Ley de

Propiedad intelectual: http:// www.sice.oas.org /int_prop/ nat_leg/ Ecuador /

L320a.asp
 54

Singh, A., Jaswal, N., Agarwal, M., & Teixeira, D. (2018). Metasploit penetration

testing cookbook: Evade antiviruses, bypass firewalls. Packt Publishing Ltd,

2018.

Solarte, F., Rosero, E., y Benavidez, M. (2015). Metodología de análisis y

evaluación de riesgos aplicados a la seguridad informática y de información

bajo la norma ISO/IEC 27001. Guayaquil: Escuela Superior Politécnica del

Litoral.

Solis, Á. (30 de Marzo de 2016). Las 7 acciones que mejorarán la seguridad

informática de tu empresa. Obtenido de Servidores dedicados:

https://www.servidores-dedicados.com.mx/blog/seguridad-informatica/

Talledo, J. (2015). MF0493_3 - Implantación de aplicaciones web en entorno

internet, intranet y extranet. Ediciones Paraninfo, S.A., 2015.

Tecnología Informática. (2 de Octubre de 2018). ¿Qué es una vulnerabilidad?

Obtenido de Tecnología Informática: https://tecnologia-

informatica.com/vulnerabilidades-informaticas/

Tejada, E. (2015). Auditoría de seguridad informática. IFCT0109. IC Editorial, 2015.

VIU. (21 de Marzo de 2018 a). Tres tipos de seguridad informática que debes

conocer. Obtenido de Universidad Internacional de Valencia:

https://www.universidadviu.com/tres-tipos-seguridad-informatica-debes-

conocer/
 55

VIU. (24 de Abril de 2018 b). Las 4 claves de la seguridad de la información.

Obtenido de Universidad Internacional de Valencia: https://

www.universidadviu.com/las-4-claves-la-seguridad-la-informacion/

Zeta, J. (2017). Detectar Vulneravilidades Web con Nikto. Hackinglive, 15.

 56

7. Glosario

Aplicaciones de Software: El Software de Aplicación son los programas

diseñados para o por los usuarios para facilitar la realización de tareas específicas

en la computadora.

Sistema de información: Es un conjunto de elementos orientados al tratamiento

y administración de datos e información, organizados y listos para su uso posterior,

generados para cubrir una necesidad o un objetivo.

La seguridad de la información: Es el conjunto de medidas preventivas y

reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y

proteger la información buscando mantener la confidencialidad, la disponibilidad e

integridad de datos.

Pruebas de Penetración: Las pruebas de penetración (también llamadas “pen

testing”) son una práctica para poner a prueba un sistema informático, red o

aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Hackers: Es una persona que descubre las debilidades de un computador o un

sistema de comunicación e información.

Violación de la seguridad: Toda violación de la seguridad que ocasione la

destrucción, pérdida o alteración accidental o ilícita de datos personales

transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no

autorizados a dichos datos.

Medidas preventivas: Se refiere a la preparación con la que se busca evitar, de

manera anticipada, un riesgo, un evento desfavorable o un acontecimiento dañoso.

 57

Virus informático: Es un software que tiene por objetivo de alterar el

funcionamiento normal de cualquier tipo de dispositivo informático, sin el permiso o

el conocimiento del usuario principalmente para lograr fines maliciosos sobre el

dispositivo.

Open Source: Es una expresión de la lengua inglesa que pertenece al ámbito de

la informática. Aunque puede traducirse como “fuente abierta”, suele emplearse en

nuestro idioma directamente en su versión original, sin su traducción

correspondiente.

Perl: Es un lenguaje de programación diseñado por Larry Wall en 1987. Perl toma

características del lenguaje C, del lenguaje interpretado bourne shell (sh), AWK,

sed, Lisp y, en un grado inferior, de muchos otros lenguajes de programación.

GPL: La Licencia Pública General es una licencia de derecho de autor ampliamente

usada en el mundo del software libre y código abierto.

Plugin: Un plugin es una aplicación informática que añade funcionalidades

específicas a un programa principal. Su nombre procede del inglés (plug-in significa

“enchufable”).

Payloads: En informática y telecomunicaciones la carga útil (payload en inglés) es

el conjunto de datos transmitidos que es en realidad el mensaje enviado. La carga

útil excluye las cabeceras o metadatos, que son enviados simplemente para facilitar

la entrega del mensaje.

 58

Framework: Es un entorno de trabajo estandarizado de conceptos, prácticas y

criterios para enfocar un tipo de problemática particular que sirve como referencia,

para enfrentar y resolver nuevos problemas de índole similar.

Exploit: Es una palabra inglesa que significa explotar o aprovechar, y que en el

ámbito de la informática es un fragmento de software, fragmento de datos o

secuencia de comandos o acciones, utilizada con el fin de aprovechar una

vulnerabilidad de seguridad de un sistema de información

 59

8. Anexos

Tabla 1. Característica de Nikto y Metasploit.

Características

Nikto Metasploit

Soporte SSL (Unix con OpenSSL o quizás Es una herramienta muy completa que tiene
Windows con Perl / NetSSL de Atiéstate). muchísimos exploits.

Soporte completo de proxy HTTP. Tienen también unos módulos, llamados

payloads.
Comprueba los componentes del servidor
obsoletos Se encuentran disponibles otro tipo de módulo
como encoders.
Guarde los informes en texto plano, XML,
HTML, NBE o CSV. Permite interactuar también con herramientas
externas, como Nmap o Nessus.

Ofrece la posibilidad de exportar nuestro

Motor de plantillas para personalizar malware a cualquier formato, ya sea en
fácilmente los informes. sistemas Unix o Windows.

En ello se mencionan algunas características de la herramienta Nikto y Metasploit.

(Cirt.net, 2017), (Rizaldos, 2018)

Tabla 2. Comparación entre las herramientas Nikto y Metasploit

Comparación

Nikto Metasploit

Lenguaje Ruby NO SI
Lenguaje Perl
SI SI

Pruebas de penetración SI SI

Sistemas Kali Linux SI SI

Escáner de vulnerabilidades SI SI

Herramientas Open Source SI SI

Explotación de exploits NO SI

Se pueden observar ciertas características en forma de comparación

Elaboración Propia
 60

Figura 1. Claves de la seguridad de la información

Fuente: (VIU, 2018 b)

Figura 2. Estrategias para la seguridad de la información

Fuente: (Solis, 2016)}
 61

Figura 3. Gestión de la seguridad de la información

Fuente: (Nova Sec, 2018)

Figura 4. Herramienta Nikto

Fuente: (Culoccioni, 2015 b)
 62

Figura 5. Herramienta Metasploit

Fuente: (Beltov, 2017)