UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

SISTEMA DE INFORMACIÓN ERP

TAREA ACADEMICA GRUPAL TA1

Integrantes:

• Alarcón Kanematsu, Diego U201318780

• Vasquez Vivas, Jehus U201713076
• Puchoc Vega, Ysmael U201711109
• Huanca Zevallos, Gimena U202111075
• Salas Capizo, Carlos U201916928

Profesora:

Lucia Bautista Zuñiga

2022-0
 INTRODUCCIÓN

En el presente trabajo investigaremos los sistemas informáticos ya que apoya esto se

empleará en los trabajos de la administración de sus recursos, finanzas, logística entre
otras a las empresas nos estamos refiriendo al sistema SAP, que por sus siglas en inglés
significan: “Systems, Applications, Products in Data Processing”.
Este sistema sirve como una solución para los trabajos administrativos en las empresas
gracias a ello genera un entorno integrado en el cual el usuario puede tener acceso a
diversas partes de la organización.

1. ¿Qué es el SAP HANNA, SAP S/4 HANNA? ¿Qué diferencia tiene con el
SAP R3? Detalle
Es la nueva tecnología de base de datos "in-memory" creada para gestionar enormes
paquetes de información en tiempo real, que reduce a décimas de segundo lo que antes
tomaba hasta días de procesamiento, está constituida por componentes de hardware y
software, incluye herramientas Big-Data, Data-Mining, Ciencia de Datos, y ha sido el
puntapié inicial para el desarrollo de toda una nueva gama de servicios y productos
dentro de SAR con el objetivo de llevar a las empresas al próximo nivel en el mundo de
negocios (Karsz, 2020).

SAP HANA - Procesamiento in-memory

El procesamiento de datos in-memory es el corazón de esta tecnología, aunque en

realidad se parece más al motor de una fórmula 1 que a un corazón, ya que le otorga
velocidades de procesamiento miles de veces más eficientes que las actuales, lo que
permite que las aplicaciones del "SAP Business Suite" manejar miles de millones de
registros simultáneamente y ejecutar su trabajo prácticamente de manera instantánea o
mejor dicho en tiempo real . SAP HANA dispone de herramientas avanzadas para el
tratamiento de información, cuyos procesos se ejecutan normalmente de la siguiente
manera:

Ciencia de
Big Data Data Minig
Datos
Big Data
Big data; macro datos o datos gran escala son sinónimos y consisten en técnicas para la
gestión de grandes volúmenes de información provenientes de diversas fuentes y
formatos, como lo pueden ser videos; locuciones, imágenes y textos.

Data Mining
Los datos adquiridos mediante técnicas de Big-Data pueden ser de cualquier forma, ya
sea estructurados, no estructurados o semiestructurados, las técnicas de minería de datos
presentes en SAP HANA unifican el formato de la información para que pueda ser
analizado eficazmente.

Ciencia de Datos

Una vez que los datos fueron recuperados de diversas fuentes (Big-Data) y estructurados
para su análisis (Data-Mining); están disponibles para analizarlos, comprender
tendencias, ejecutar predicciones y comportamientos entre otras operaciones.

Funcionalidad
Estas herramientas presentadas y otras más incluidas en SAP HANA para el tratamiento
de datos les permite a las empresas:

• Obtener nuevos conocimientos del modelo de negocios y lograr una ventaja

competitiva en la industria
• Acceder a los datos de una manera inteligente, mediante la integración de
información y/o el procesamiento de flujo de eventos, realizando análisis
avanzados y entregando nuevas aplicaciones para impulsar el rendimiento de la
empresa
• Colaborar con la toma de decisiones efectivas procedentes de análisis de datos en
tiempo real, con resultados avanzados
• Ejecutar procesamiento de análisis espacial, predictivo y en base a ciencia de datos

Utilizar los servicios de tecnología de aplicaciones de contenidos en SAP HANA

SAP HANA - Base de Datos

SAP HANA DB se trata de las innovadoras tecnologías en el tratamiento de bases de

datos implementadas en SAP HANA el cual se basa en dos pilares:

• Almacenamiento Columnar
• Replicación de Datos
 SAP HANA BD - Almacenamiento Columnar
La tecnología de almacenamiento columnar permite trasponer las tablas almacenándolas
físicamente por columna en lugar de filas, permitiendo nuevas posibilidades de
compresión de los datos: hasta tercera parte de su tamaño actual. Por ejemplo: llevar
una base de datos de 3 Terabytes; seria reducida a 600 Gb de almacenamiento.

SAP HANA BD - Replicación de Datos

SAP HANA incluye un eficiente mecanismo de replicación de datos a través del Sybase
Replication Server, que toma los datos del ERP en tiempo-real, es decir, a medida que
van ocurriendo y los protege en medios persistentes.
S/4HANA

S/4HANA es el nuevo entorno de Bussines Suite ERP desarrollado por SAP, el cual se
ejecuta sobre la tecnología Hana para aprovechar sus beneficios de velocidad y
procesamiento, generando así un nuevo grupo de aplicaciones empresariales más
potentes, simplificadas de ejecución y análisis en tiempo real.

Existieron generaciones anteriores

• La SAP R/l y SAP R/2 desarrollada en los años 70's.

• La SAP R/3 desarrollada en 1992.

• Y la SAP ECC desarrollada en el 2004 que es la antecesora de HANA.

• "HANA" indica que la suite funciona sobre la tecnología de base de datos en

memoria

HANA.

SAP S/4HANA incorpora una cantidad masiva de innovaciones y desde el punto de vista
tecnológico supone un salto incluso mayor que el de la transición de SAP R/3 a SAP ECC,
tratándose un sistema reinventado con toda la experiencia obtenida por SAP durante más
de 40 años.

Los principales módulos de la suite de soluciones empresariales ya han migrado a

S/4HANA

• SAP FI y SAP CO Migraron a SAP S/4HANA FINANCE • SAP MM y SAP SD

Migraron a SAP S/4HANA LOGISTIC
 ➢ Diferencias entre S/4 SAP HANA y SAP R/3

Las diferencias entre ambas versiones son principalmente por las aplicaciones,
programación, base de datos, plataforma y el server. SAP R/3 utiliza base de datos en
Oracle, Sql server,

IBM DB2 y soporta el SAP HANA mientras que S/4 HANA solo utiliza base de datos
SAP HANA brindando mayor rapidez en la obtención de datos, así mismo SAP R/3
solo puede ejecutarse previa instalación en un equipo físico, no cuenta con
implementación en SAP FIORI y la integración de Business Partner es opcional;
mientras que SAP S/4 HANA puede ejecutarse en la nube o previa instalación en un
equipo físico, los datos maestros del cliente y del proveedor deben integrarse como
Busineee Partner y está basada en una plataforma avanzada en-memoria de SAP HANA
que ofrece una experiencia de usuario personalizada gracias a SAP Fiori (SAP S/4
HANA, 2021).

Versión Sap R/3 S/4 HANA

Inactiva/Sin soporte Activa y con soporte hasta 2040

Busines Suite Busines Suite

FI/CO/TR S/4 HANA FINANCE

Aplicaciones
MM/SD/PP/PM/PS S/4 HANA LOGISTIC

HCM / OTROS HCM / OTROS

BI / BW BI BW for HANA

Programación ABAP ABAP for HANA / ABAP 7.4

Base de Datos SQL Genérico SAP HANA BD

PLATAFORMA Sap Basis/Sap As Sap Netweaver 7.4

Server Mainframe genérico Sapa Hanna Appliance Mainframe Certificado

2. ¿Qué debe considerar una empresa (donde labora uno de los integrantes del
grupo) para la implementación del SAP? Explique y sustente
Del grafico se muestra siete consideraciones para implementar un SAP en la
empresa. En nuestro caso en el grupo ninguna de las empresas que actualmente
laboran, cuentan con un sistemas SAP pero se tomo como referencia una
empresa conocida por un familiar, por medio de una charla cuentan como la
implementación se dio por etapas y que consideraciones permitió la correcta
implementación de un ERP.

-Definieron los objetivos principales

-Luego buscaron los proveedores idóneos según los objetivos planteados. En

este caso el ERP elegido fue ODOO-

-Antes de elegir el proveedor, despejaron todas las dudas respecto al paquete que
ofrecían para tener un mejor control del presupuesto.

-Se formaron equipos de trabajo, para poder adaptar el sistemas al proceso de

todas las áreas

-Se realizó la capacitación de todo el personal con el nuevo ERP y forma de

utilizarlo

-Se realizó el cambio del ERP migrando los datos del antiguo al nuevo ERP

-Al comenzar el uso del nuevo ERP, surgieron algunas incidencias que el
proveedor luego lo solucionó.

Llegando a la conclusión que la implementación de un ERP o SAP se debe tomar

en consideración los pasos mencionados para tener éxito con la implementación.
➢ Analizar los objetivos

Los principales motivo por el cual la empresa quisiera implementar un ERP son
diversas. Pero se debe tomar en cuenta que la implementación de esta no
resolverá de forma inmediata las necesidades de la empresa. Las mejoras se
conseguirán por medio del uso de la herramienta.

El proceso inicia cuando la empresa define bien los objetivos que aspira tener a
través de la implementación y como serán medidos. Considerar este primer
punto es muy importantes, si el objetivo no es claro, el ERP, la elección del
proveedor y la implementación no serán efectivas.

Ejemplo: la empresa BP Support compañía referente en marketing,

comunicación y tecnología busca a través de la implementación mejorar su nivel
de comunicación entre áreas, mejorar la eficiencia en los procesos, mayor acceso
a la información en tiempo real, visión panorámica por la facilidad de acceso de
datos.

Los objetivos de la empresa son:

- Mejorar la comunicación interna entre los colaboradores.

- Mejorar la eficiencia en los procesos.

- Mayor control sobre la cadena de valor.

- Facilidad de acceso de datos para una visión panorámica.

➢ Buscar el proveedor

La empresa debe considerar buscar el proveedor adecuado. Por ello, se debe

elegir un proveedor que no solo tenga conocimiento del software sino que
conozca las necesidades de la industria y como el SAP puede solucionarlos.

De esa manera, la empresa tendrá la seguridad de que el proveedor cuente con

la experiencia necesaria y que no es cualquier implementador con un precio
accesible.

- Se debe buscar referencias de los proveedores.

- Conocer las metodologías que utilizan.

El proveedor correcto debe cumplir con estos requisitos para dar la confianza de
realizar la inversión con ellos.

➢ Controlar el presupuesto.

Para la implementación se debe tener en cuenta el control sobre el presupuesto.

Para ello, se necesita identificar el precio de SAP en el mercado, esto en
ocasiones puede ser complicado.

Puede existir diversos proveedores con precios bajos al inicio de la

implementación pero conforme avance el proyecto pueden añadir costos por
consultoría, costos por tiempo u otros aspectos.

Para ello se debe tener claro desde un inicio las cosas que no están incluidas en
la oferta. Por ejemplo: migración de datos, trabajos de modificaciones o atención
de emergencia. De esta forma, no te sorprenderás al saber que el precio aumentó
porque no te dijeron que algo no estaba incluido en el presupuesto inicial.
➢ Integrar un equipo en tu empresa

La implementación de un equipo especializado es esencial para gestionar la

relación entre el proveedor y la empresa. El equipo debe estar conformado por
miembros de las diferentes áreas de la organización para que éstas se sientan
parte de la implementación del cambio.

Sin embargo, el proveedor también debe proveer consultores que guíen a la

empresa a través de la implementación. Se debe procurar que esto sea parte de
la oferta de tu proveedor, ya que muchos sólo realizan la instalación del software,
pero no realizan una alineación adecuada con tus procesos.

➢ Capacitación

Capacitar al proveedor sobre tu negocio y ellos deberán capacitar a la empresa

sobre las características de SAP

Para una implementación es igual de importante que la empresa consultora

comprenda cómo funciona el negocio y no que el negocio comprenda el software
que está implementando.

En primer lugar, el proveedor debe comprender los procesos detrás de tu

empresa, de manera que comprenda al 100% las necesidades que tienes como
empresa.
➢ Migrar los datos.

Analiza cuáles son los procesos clave por área y, posteriormente, determina qué
información es necesaria para operar actualmente, así podrás disminuir el
volumen de datos que se cargarán en el sistema.

También es importante verificar la migración de los datos en sí. Verificar que tu

proveedor garantice la compatibilidad y lectura correcta de tus documentos en
SAP es indispensable.

Antes de que el proyecto finalice y arranque, deberás revisar que la migración

se haya llevado a cabo adecuadamente. Muchas de las operaciones dependerán
directamente de esto, por lo que es necesario prevenir y resolver cualquier
problema antes de comenzar el uso.

➢ Una vez que arrancó el proyecto.

Es necesario revisar constantemente que todo vaya acorde a lo esperado y, si

sucede de otra forma, se debe consultar al proveedor elegido para que lo adecúe.
Igualmente, no se debe dejar de dar capacitación al personal para que pueda
hacer más efectivas sus operaciones en el software.

3. Investigue que es una solución Best of Breed

El término best of breed se refiere a un software que ha sido desarrollado para optimizar
una actividad empresarial específica. Se trata de un software de gestión empresarial que
permita una gran especialización del mismo para adaptarlo al modelo de negocio
requerido.

Lo contrario a los best of breed son los sistemas ERP, también conocidos como todo en
uno (all-in-one). Estos son paquetes generales que se pueden implementar para
gestionar todos los procesos empresariales (o al menos, una gran cantidad de ellos). Para
 cada proceso se usa otra parte del sistema, pero los datos y las actividades superpuestas
se encuentran en un mismo sistema.

La diferencia entre ERP y Best of Breed no siempre está del todo clara. Con frecuencia,
cuando alguien habla de un sistema ERP, es porque este tipo de paquetes es visto como
un software genérico.

Un punto muy importante de los Best of Breed en comparación con el software ERP es
que llega a ser menos laborioso de implantar. Esto se debe a que como es especialista
en un área en específico los tiempos de implantación llegan a ser muchos menores, así
como también el coste económico que estos sistemas tienen.

A su vez, mientras más dinámicos son los procesos que lleva a cabo una empresa, más
se incrementa la necesidad de la implementación de un sistema Best of Breed.

4. Investigue sobre la metodología SAP Actívate

SAP Activate es un entorno de trabajo (Framework) que combina las mejores prácticas
de SAP para la adopción ágil y asistida que facilita la adopción de las innovaciones
producidas por S/4 HANA (Canelli, 2016).

SAP Activate tienen tres pilares que son SAP Best Practices que reúnen los procesos de
negocio y las mejores prácticas de migración e integración de soluciones. Estas mejores
prácticas permiten acelerar los procesos de implementación ya que cuenta desde un
inicio con los procesos listos para ser utilizados. Otro pilar es la de las herramientas de
configuración que se encuentran tanto en la nube como en instalaciones On Premise
(Sistemas que corren sobre la infraestructura tecnológica propia, centros de datos o
servidores locales) estas herramientas posibilitan a los usuarios de negocio a configurar
de una forma más sencilla

Por último, la metodología SAP Activate reúne las técnicas para una implementación
ágil de las diversas soluciones de SAP, la metodología SAP Activate cuenta con cuatro
fases que es preparar, explorar, realizar y despliegue (Barriere, 2018)

La metodología está diseñada para ser utilizada para proyectos de implementación R3

(Versión tradicional de SAP), S4 HANA y soluciones SAP basada en la nube (Hybris,
SuccessFactors, Ariba, etc) SAP Activate sustituye ASAP y SAP Launche metologías
anteriores de implementación.

Ventajas

• El aprovechamiento de todo el potencial de SAP S/4 HANNA

• Acortar el valor añadido y reducir costos.
• Tiempos de entrega más cortos
 • Trabaja en un enfoque incremental y se van entregando al cliente contenido de
arranque.
• Mejor experiencia al usuario
• Se simplifican las fases y las documentaciones necesarias
• Se introducen aceleradores nuevos, propios de SCRUM como el “Product
backlog”
• Mayor flexibilidad y variedad en la elección de despliegue de soluciones ya sea
en la nube, de forma local o de manera hibrida.
Al implementar una nueva solución de SAP, como SAP SuccessFactors, los equipos de
proyecto pueden utilizar la metodología SAP Activate para seguir las mejores prácticas
y configurar las soluciones correctamente desde la primera vez.

La implementación de esta metodología en las empresas se realiza de la siguiente

manera:

Fase 1: prepare

En esta fase se inicia el proyecto, se forma tanto el equipo de trabajo del cliente como
el de consultoría, se verifica la disponibilidad y entrega de los recursos necesarios
(hardware, software, servicios cloud, etc) y los directores de proyecto realizan la
planificación detallada del mismo. Una de las tareas más importantes de esta fase es
identificar los componentes de ambos equipos y asegurarles los conocimientos y
disponibilidad durante el proyecto.

Fase 2: explore

En esta fase se definen las necesidades del cliente y se propone solución a través de las
posibilidades de la herramienta, bien con funcionalidad estándar o funcionalidad
programada (a la funcionalidad ampliada sobre el estándar se denomina gap). Para
realizar esta definición los consultores realizan demos del proceso y se identifica los
escenarios de negocio estándar necesarios para cubrir las necesidades. Si hay escenarios
que necesitan ampliaciones (deltas o gaps) se identifican, definen y estiman esfuerzos
de consultoría para su implantación. De esta fase se obtiene la lista de procesos estándar
a implantar, las ampliaciones que se tiene que realizar (Listado de GAPS).

Fase 3: realize

Esta fase es la más extensa del proyecto. Se realizarán tareas propias de la construcción
de la solución, como puede ser la configuración de los procesos, la creación de
interfases, migración y carga de datos, instalación de la solución, o tareas con el usuario
final bien de validación de la solución a través de los procesos o de formación en el
manejo de la solución.
 Una vez que cada uno de los procesos están validados, se validan de forma
interrelacionada en el denominado “Test de Integración”. Es interesante previo a la
realización del test de integración haber realizado una carga de datos reales con el
objetivo de que este test se realice con los datos lo más fidedignos posible.

Fase 4: deploy

En esta fase se realizan tres tareas fundamentales. La formación a los usuarios finales,
las cargas de datos final y el plan de corte.

La formación a usuarios finales debe promover la independencia y autosuficiencia del

usuario cuando se arranca el sistema y empieza a utilizarlo.

5. ¿Qué módulos de SAP existen y que centros educativos existen que

capacitan? Detalle los cursos, niveles, tipos de usuarios

El sistema ECC o S/4Hana está formado por al menos unos 10 componentes básicos
funcionales y 2 componentes técnicos. Los principales componentes que la mayoría de
empresas implementan al usar SAP son:
 SAP PP
CONTROL Y PLANIFICACION DE LA SAP SD
PRODUCCION VENTA Y DISTRIBUCION

BF (funciones básicas y datos maestros en

BD (workbench de ingeniería)
el tratamiento SD)
WRKC (centro de trabajo)
PR (determinación de precio y condiciones)
RTG (hojas de ruta) EC (costes adicionales)
MRP (planificación de necesidades de
CM (gestión de créditos y riesgos)
material)
AS (clasificación de materiales)
REM (fabricación repetitiva)
OC (determinación de mensajes)
KAB (kanban)
SLS (ventas)
SFC (órdenes de fabricación) OA (planes de entregas para proveedores y
PI (procesos industriales) gestión de servicios al cliente)
FT (comercio exterior/aduanas)
BIL (facturación)
SAP QM EDI (intercambio electrónico de
GESTION DE CALIDAD datos/interfase IDOC)
LE (envíos)
PT (planificación de calidad) TRA (transporte)
IM (inspección de calidad)
QC (control de calidad)
SAP MM
CA (certificación de calidad)
GESTION DE MATERIALES
QN (notificación de calidad)
IT (gestión de instrumentos de
PUR (compras)
inspección)
IM (gestión del inventario)
RP (controles en logística)
IV (verificación de facturas de
CR (funciones generales)
logística)
IF (interfaces)
 SAP PM
MANTENIMIENTO DEL CENTRO
SAP HCM
GESTION DE RECURSOS
HUMANOS EQM (objetos técnicos)
WOC (procesos de mantenimiento)
PA (gestión de la organización) PRM (mantenimiento preventivo)
OP (control de tiempo y cálculo de nómina) IS (sistema de información)
WCM (gestión de lugar de trabajo)

SAP CS SAP Técnicos

SERVICIOS AL CLIENTE
ABAP (Advanced Business Application
Programming)
IB (gestión de objetos de servicio)
MCB (planificación de presupuesto para NetWeaver
mantenimiento y servicio al cliente)

A continuación, se muestro los centros educativos que se encargan de capacitar:

Existen cinco tipos de usuario SAP para elegir según el uso que se le quiera dar. Las
características principales para escoger entre uno o los otros son: Entrada al sistema de
diálogo (SAP GUI), Acceso múltiple, Entrada al sistema RFC, Ejecución de job de fondo,
Modificación de clave de acceso y Crear ticket de acceso.

Diálogo (A)

Este tipo de usuario de SAP consiste en un acceso interactivo individual. Con él, una misma
persona puede llevar a cabo distintos tipos de acceso. El usuario de diálogo es el que deben
utilizar los usuarios finales para acceder de manera normal si lo que necesitan es interactuar
con el sistema por medio del SAP GUI (interfaz gráfica del usuario).

Sistema (B)

El usuario Sistema se utiliza para llevar a cabo operaciones internas del sistema, como
ejecución de proceso de fondo; y operaciones condicionales del sistema, como procesos
ALE, workflow, TMS o Gestión de Usuarios. Con este usuario no se puede acceder al sistema
de diálogo por medio del SAP GUI, pero sí permite el acceso múltiple. Es, por tanto, un
usuario no interactivo.

Además, un usuario Sistema no está incluido en las parametrizaciones generales del período
de validez de una clave de acceso. Solamente puede cambiar una clave de acceso un
administrador de usuarios.

Comunicación (C)

El usuario Comunicación no es un usuario interactivo, es decir, no permite la entrada al

sistema de diálogo a través de SAP GUI. Se utiliza para la comunicación libre de diálogo
con los sistemas (RFC o CPI-C). Por lo general, este tipo de usuario está sujeto a regulaciones
de periodos de validez de la clave de acceso. Al igual que el usuario de Diálogo, el usuario
de Comunicación puede cambiar su clave de acceso.

Servicio (S)

Este usuario es el ideal para cuando se necesita un acceso anónimo. No respeta las normas
de expiración de contraseña. Dicha contraseña solamente puede ser modificada por el
administrador del sistema. No se recomienda su uso a no ser que sea de manera puntual y
para cubrir una necesidad muy concreta. Las autorizaciones otorgadas a este usuario deben
ser mínimas y restringidas a necesidad para la cual se creó.

Se utilizan, por ejemplo, para entradas anónimas al sistema a través de un servicio Web
público o de un servicio ITS. Después de iniciar una sesión anónima con este tipo de usuario
con autentificación individual, se puede seguir la sesión personalizada con un usuario de
Diálogo.

Referencia (L)

El usuario Referencia es un usuario general no asociado a personas particulares (igual que el

usuario Servicio). Con este tipo de usuario no se puede acceder al sistema, tan solo sirve para
la asignación adicional de autorizaciones. Se usan para proveer a los usuarios de internet de
autorizaciones idénticas.
6. Paper relacionado a implementación de ERP en empresas

Título del artículo: Undertaking an ERP: Evaluating the Security of Apex 5 Developed
Software. 2017 International Conference on Information Systems and Computer
Science (INCISCOS). (Acometiendo un ERP: Evaluando la seguridad de un software
desarrollado en APEX 5).

Año de publicación: 2017

Nombre y apellido de los autores: Esteban Crespo, Catalina Astudillo y Marcos

Orellana. (LIDI, Escuela de Sistemas y Telemática, Universidad del Azuay, Cuenca,
Ecuador).

Resumen del artículo de investigación: La seguridad de la información es una

preocupación creciente en empresas y organizaciones, siendo más alta aun cuando se
vincula a plataformas financieras donde existe información sensible. El presente trabajo
resume las técnicas utilizadas en el pentesting realizado tanto al servidor que aloja al
producto informático, como al software ERP desarrollado en la herramienta APEX 5
por la Universidad del Azuay. Se han contemplado seis etapas que sugiere una prueba
de penetración:

➢ La conceptualización, que es la etapa que permite definir el alcance de las pruebas

a realizar.
➢ La preparación del laboratorio en la que se definen algunas de las herramientas
que servirán para el inicio de las pruebas de seguridad.
➢ La obtención de información que hace referencia a las etapas de reconocimiento
y escaneo en la que se identifican posibles objetivos para luego explorar con
mayor profundidad algunas características intrínsecas que puedan ser
aprovechadas.
➢ El análisis de las vulnerabilidades encontradas en la etapa anterior
➢ La explotación de esas vulnerabilidades mediante la selección de herramientas
➢ La post explotación, etapa en la que se contempla la destrucción de evidencias
del ataque y la conservación de la conexión y los accesos logrados para extraer
información.

Todas estas pruebas fueron efectuadas dentro de las instalaciones de la Universidad del
Azuay, considerando el ambiente de desarrollo en el que actualmente se encuentra el
proyecto ERP.

Resultados: La seguridad informática no consiste únicamente en la implementación de

herramientas tecnológicas como firewalls o antivirus. Las contramedidas que aporten a
la mitigación de riesgos y amenazas son parte de una adecuada cultura en el manejo de
información, las técnicas de desarrollo de software, el lenguaje de programación y la
configuración de la infraestructura computacional.

Uno de los puntos más críticos de exposición a la web son los servidores web, que son
las herramientas con las que los usuarios interactúan, y que, además, la mayoría de los
problemas provocados no son por fallas de los servidores o lenguajes utilizados, sino
por malas prácticas de programación.

Una sola herramienta de análisis no es suficiente. Un pentesting efectivo requiere de la

combinación de estrategias y herramientas para cada una de las etapas que conforma un
análisis. Se han identificado como herramientas importantes al distro Kali Linux
(NMAP, Sparta, HPING3, Wireshark, Hydra, Metasploit Framework y Cookie Cadger),
Mantra Linux (Nikto, OWASP (Wapiti, W3AF), APEX-SERT, Web Developer Plug In
y VEGA.

Para la identificación y valoración de amenazas y riesgos se utilizó la herramienta de

modelamiento de amenazas de Microsoft, y la metodología para gestión de riesgos de
información ECU@Risk.

Mantener un equilibrio entre la funcionalidad y la seguridad.

El filtrar los datos de entrada reduce el riesgo de contar con información errónea en la
plataforma.

La importancia del cifrado de datos es inminente. Por tal razón, es necesario utilizar un
protocolo de cifrado de información y la adopción de certificados digitales que validen,
no solo el sitio web sino además la organización, son obligatorios.

El ataque de fuerza bruta es otro factor que debe ser considerado en la protección del
servidor. Una contraseña simple puede ser fácilmente vulnerada, por cuanto se
recomienda el uso de contraseñas complejas, las mismas que deben incluir caracteres
alfabéticos en mayúsculas y minúsculas, caracteres numéricos y caracteres especiales.

Una sesión APEX genera identificadores de sesión aleatorios cuyas cookies expiran al
momento de cerrar el navegador, lo que reduce notablemente la posibilidad de ataques
de fuerza bruta efectivos.

Si bien una aplicación web puede estar bien desarrollada, la infraestructura

computacional que apoya a sus actividades también puede verse afectadas si las mismas
no son aseguradas de la forma correcta. Por lo tanto, el uso de un IDS/IPS es
recomendado.
7. Conclusiones
• El sistema modular o por componentes de SAP permite que se pueda utilizar en
departamentos concretos de la empresa o bien a nivel global, aplicando más
componentes al software, en función de las necesidades y especificaciones de cada
compañía.
• Los costos de implementar SAP ERP son altos, sin embargo, las grandes empresas
prefieren en gran medida la implementación de este sistema ya que han validado el
aumento considerable de la productividad en sus organizaciones.
• Se pudo evidenciar que existen muchos ERP en el mercado, pero quien ofrece un
mejor performance completo por la variedad de módulos con los que trabaja es el
SAP.
• Ante una implementación, se debe tomar en cuenta los objetivos al que se quiere
llegar con el SAP, los proveedores idóneos, control de presupuesto, formación de
equipos, capacitación, migración de datos y revisión constante. Estas
consideraciones permitirán cumplir de la mejor forma los objetivos planteados al
inicio con la implementación del SAP.
• Se determino que el SAP HANA es la nueva tecnología de base de datos "in-
memory" o "en memoria", ya que la misma se aloja en la memoria RAM de los
servidores que la contienen y no en sus discos rígidos cómo era antes, por lo que
es extremadamente rápida y soporta el procesamiento de enormes paquetes de
 información facilitando la toma de decisiones y procesos de las aplicaciones que
sobre ella corren utilizando datos tomados en tiempo real.
• Es una gran ventaja el utilizar SAP gracias a que se logra integrar áreas de la
empresa y ver en cuales se puede mejorar u optimizar. Asi mismo se puede
trabajar mas eficientemente a nivel de sistemas.
• El sistema SAP está compuesto de una serie de áreas funcionales o módulos, que
responden de forma completa, y en tiempo real, a los procesos operativos de las
compañías. Aunque pueden ser agrupados en tres grandes áreas
(financiera, logística y de recursos humanos), funcionan de un modo integrado, dado
que existe una conexión natural entre los diferentes procesos.
• El sistema SAP es muy flexible, ya que permite agilizar las tareas diarias de cualquier
empresa independientemente del sector y del país en que trabaje, de su tamaño (si
bien es cierto que parece estar dirigido más bien a grandes empresas) y de otros
factores que pueden suponer un problema con otro software.

8. Recomendaciones

• Al momento de llevar los cursos de los módulos SAP, uno se debe informar bien si
el instituto se emite certificación SAP, se recomienda tomar los cursos en estos
institutos una vez se tenga una base o experiencia trabajando con los diferentes
módulos de SAP.
• Se recomienda almacenar la información empresarial en un repositorio de datos
persistentes y recuperarla fácilmente en caso de que el sistema presente una avería.
• Es recomendable que las empresas adopten esta tecnología debido a que es perfecto
para la toma de decisiones en tiempo real.
• Se debe tener claro toda la información, oferta o servicio que nos ofrece el
proveedor para poder tener el control de los costos.
• Para dominar la tecnología HANA en alguna de las áreas se recomienda
primero manejar los procesos de SAP en la versión anterior es decir en SAP
ECC/ERP.
• Es recomendable este sistema porque junto con internet y nuevas tecnologías,
conforman una estrategia de e-business, donde la implantación de dichas tecnologías
mejora la rentabilidad de la empresa y le otorga una ventaja competitiva.
• Se recomienda que en el alcance de futuras automatizaciones se incluyan áreas como
compras, logística y abastecimientos, porque así ya podremos establecer la conexión
de todas las áreas involucradas en el flujo de la “Cadena de Suministros”
9. Referencias
➢ https://www.sistemasuni.edu.pe/index.php/workshops/323-erp-sap
➢ https://www.senati.edu.pe/cursos/integracion-de-procesos-de-negocio-en-sap-erp
➢ Blogs SAP. (19 de octubre de 2021). Obtenido de https://blogs.sap.com:
https://blogs.sap.com/2016/09/15/sap-activate/
➢ SoThis. (18 de octubre de 2021). Obtenido de https://www.sothis.tech:
https://www.sothis.tech/sap-activate-la-metodologia-agile-de-sap/
➢ https://centro.edu.pe/programacion.html
➢ https://itsystems.pe/
➢ https://www.primeinstitute.com/cursos/cursos-sap
➢ https://www.nbtel.com.pe/nbtel-institute/
➢ Calatayud Valero, G. (8 de Julio de 2018) Análisis funcional, implementación y
propuesta de mejora de un sistema ERP SAP S4/HANNA en una empresa
regasificadora española obtenido de https://riunet.upv.es/handle/10251/109098
➢ Avila Cifuentes, Oscar Javier (2021) Configuración del proceso de ventas y el
módulo de contabilidad financiera sobre SAP S/4 Hanna Obtenido de
https://repositorio.uniandes.edu.co/handle/1992/51494
➢ Universidad Piloto de Colombia (18 de Octubre de 2021) http://repository.com
Obtenido. de http://repository.unipiloto.edu.co/handle/20.500.12277/8737
➢ Canelli, S. (1 de noviembre de 2016). SAP Actívate”, la innovadora metodología de
S/4HANA. Obtenido de https://sergiofabiancannel.wixsite.com/sergio-
cannelli/post/2016/11/01/-sap-activate-la-innovadora-metodolog%C3%ADa-de-
s4hana
➢ Karsz, E. (2020). CVOSOFT IT ACADEMY . Obtenido de SAP HANA:
https://www.cvosoft.com/sistemas_sap_abap/recursos_tecnicos_abap/que-es-
saphana.php#sap-hana-que-es-sap
➢ SAP S/4 HANA. (17 de 09 de 2021). Obtenido de SAP S/4 HANA:
https://www.profesionalonline.com/blog/sap/sap-s-4hana-que-es-y-para-que-sirve/

10. Anexo
 2017 International Conference on Information Systems and Computer Science

Acometiendo un ERP
Evaluando la seguridad de un software desarrollado en APEX 5

Undertaking an ERP
Evaluating the security of APEX 5 developed software

Esteban Crespo 1, 2, Catalina Astudillo 1, 2, Marcos Orellana 1, 2

1
LIDI, 2 Escuela de Sistemas y Telemática
Universidad del Azuay
Cuenca, Ecuador
ecrespo@uazuay.edu.ec, cvastudillo@uazuay.edu.ec, marore@uazuay.edu.ec

Resumen — La seguridad de la información es una preocupación
creciente en empresas y organizaciones, siendo más alta aun
cuando se vincula a plataformas financieras donde existe
información sensible. El presente trabajo resume las técnicas
utilizadas en el pentesting realizado tanto al servidor que aloja al
producto informático, como al software ERP desarrollado en la
herramienta APEX 5 por la Universidad del Azuay. Se han
contemplado seis etapas que sugiere una prueba de penetración: i)
la conceptualización, que es la etapa que permite definir el alcance
de las pruebas a realizar; ii) la preparación del laboratorio en la
que se definen algunas de las herramientas que servirán para el
inicio de las pruebas de seguridad; iii) la obtención de información
que hace referencia a las etapas de reconocimiento y escaneo en la
que se identifican posibles objetivos para luego explorar con
mayor profundidad algunas características intrínsecas que
puedan ser aprovechadas; iv) el análisis de las vulnerabilidades
encontradas en la etapa anterior; v) la explotación de esas
vulnerabilidades mediante la selección de herramientas; y vi) la
post explotación, etapa en la que se contempla la destrucción de
evidencias del ataque y la conservación de la conexión y los accesos
logrados para extraer información. Todas estas pruebas fueron
efectuadas dentro de las instalaciones de la Universidad del Azuay,
considerando el ambiente de desarrollo en el que actualmente se
encuentra el proyecto ERP.
Palabras clave: Pentesting, Seguridad Informática, APEX, ERP,
Hacking.
Abstract — Actually, information security is an increasing concern
in organizations and enterprises, higher even in financial
platforms, where resides a big amount of sensible data. In this
paper, we contemplate the different techniques used in the
pentesting performed into the server that hosts the software and
the ERP software, developed by Universidad del Azuay, using
APEX 5 as development platform, including the six penetration
test stages: I) conceptualization, stage that allows defining the
scope of the tests to be performed. II) Preparation of the
laboratory, which defines some of the tools that we used to initiate
security tests. (III) Obtaining information, that refers to the stages
of recognition and scanning, in which possible objectives will be
identified and then to explore in greater depth some intrinsic
characteristics that can be exploited. (IV) Analysis of the
vulnerabilities encountered in the previous stage. (V) Exploitation
of those vulnerabilities through the selection of appropriate tools
to achieve this purpose. And vi) The post-exploitation stage, where
the destruction of evidence of attack, the conservation of the
connection and the accesses obtained to extract information are
contemplated; tests explained here were carried out within the
facilities of the Universidad del Azuay, considering the
development environment in which the ERP project is currently
located.
Keywords: Pentesting, Information Security, APEX, ERP,
Hacking
I. INTRODUCCIÓN
La seguridad de la información y la seguridad informática se
basan en tres principios fundamentales: i) la disponibilidad, que
hace referencia a que la información debe estar dispuesta en el
momento que se la requiera, ii) la confidencialidad que se refiere
al acceso autorizado a la misma, y iii) la integridad, que hace
relación a que la información debe ser alterada bajo
conocimiento. Además, se debe considerar que la información
es el recurso más valioso para una organización, y es más valioso
para quien la tenga en el momento oportuno, además de que
tenga conocimiento de cómo utilizarla; por lo tanto, como
propone Francis Bacon la “información es poder” [1], que para
una empresa u organización es sinónimo de ventaja competitiva.
Las empresas están obligadas a anticiparse a los diversos
escenarios de riesgo de información, debido a una vertiginosa
evolución de la informática, el constante cambio tecnológico, y
el rápido crecimiento de las múltiples transacciones de negocio,
en los que la información y los dispositivos computacionales
están inmersos en escenarios como ataques de hackers, usuarios
del sistema, amenazas lógicas, y una gran variedad adicional.
Pero, debido a la falta de conocimiento sobre cómo protegerla
adecuadamente o a la complejidad exigida por muchas normas
internacionales y mejores prácticas de desarrollo, múltiples
organizaciones descuidan asegurarla tal como lo determinó

978-1-5386-2644-3/17 $31.00 © 2017 IEEE 174

DOI 10.1109/INCISCOS.2017.24
Crespo [1] en su estudio para la propuesta de la metodología
ECU@Risk.
Una de las técnicas de evaluación que apoyan al análisis de
brechas de seguridad es el pentesting, análisis que debe ser
realizado por una persona con conocimientos técnicos, pero con
principios éticos. Esta última característica diferencia a un
atacante común, conocido en esta época como un “hacker de
sombrero negro”, que es una persona que irrumpe la seguridad
de la organización con el fin de beneficiarse de la información
en ella almacenada.
Este trabajo resume la experiencia de las pruebas de
penetración aplicadas a un software ERP desarrollado en Oracle
APEX 5 por la Universidad del Azuay, considerando tanto la
técnica de caja negra como la de caja blanca y la de caja gris. La
primera etapa del ataque consistió en hacer un escaneo a ciegas
(caja negra), solamente contando con la dirección IP del servidor
que aloja a este software, la misma que fue provista por la
directora del proyecto UDA ERP.
El trabajo realizado se limita a cinco pruebas, sugeridas por
[2] y [3]: i) identificación del contexto; ii) identificación de las
vulnerabilidades en el código; iii) evaluación cross-site
scripting XSS; iv) inyección SQL y v) denegación de servicios
DDoS.
Con la información obtenida en el ataque, se pudieron
identificar servicios y puertos de escucha que posiblemente no
serían revelados en una prueba de caja blanca; comprobando que
la lista no contenía únicamente al TCP 8080. Por otro lado, la
información entregada en la técnica de caja blanca ha servido
para confirmar los resultados obtenidos en la técnica de caja
negra.
El proyecto ERP es una iniciativa de la Universidad del
Azuay que se viene desarrollando desde el año 2015 como una
solución a las MPYMES del sector manufacturero, quienes por
lo general no cuentan con los recursos económicos suficientes
como para adquirir un software de estas características.
Este trabajo se enfoca a: i) establecer una guía de pruebas de
penetración basada en herramientas para este efecto; y ii)
documentar las pruebas de penetración realizadas al software
ERP que se viene desarrollando en la Universidad del Azuay. El
documento logrado se clasifica de la siguiente manera: i) el
método utilizado; ii) la conceptualización del escenario de
pruebas; iii) la definición del laboratorio de pruebas; iv) los
resultados obtenidos en las diversas fases del pentesting; y v) las
conclusiones obtenidas en las pruebas de evaluación a una
aplicación desarrollada en Oracle APEX 5.
II. MÉTODO UTILIZADO
Como trabajos relacionados a esta evaluación de seguridad
se puede citar al realizado por Viera y Serrao con título “Web
security in the finance sector [4]”, que analiza la seguridad web
en aplicaciones del sector financiero; por otro lado está el trabajo
de López [5] con título “Pentesting on web applications using
ethical - hacking“, que hace referencia al pentesting en
aplicaciones web utilizando hacking ético; y al de Väli y
175
Lopensky [6], que explica la manera de implementar un
analizador de vulnerabilidades y evaluar aplicaciones
desarrolladas con APEX.
En base a la experiencia adquirida por los autores
anteriormente mencionados, para estas pruebas de penetración
se han aplicado los métodos de caja negra (black box), de caja
blanca (white box) y de caja gris (gray box). Según Caballero
[7], la prueba de caja negra consiste en realizar los ataques sin
conocer la estructura interna de la organización, y es realizada
solo con el conocimiento de una dirección IP o la URL provista
por el personal del proyecto o el personal de TI.
La prueba de caja blanca consiste en realizar las pruebas de
ataque considerando toda la información proporcionada, esto es,
diagramas, detalles sobre el hardware, software, sistemas
operativos, firewalls, etc. Esto ayuda a que los ataques sean
objetivos, sin embargo, pueden quedar algunos detalles sueltos
debido a que no se consideran otros elementos que podrían ser
descubiertos con la técnica de ataque de caja negra [7].
Para Caballero [7], la prueba de caja gris simula a un ataque
realizado por un empleado descontento, el cual tiene un nivel de
privilegios adecuado, además de contar con permisos de acceso
a la red interna. La información obtenida en el ataque permitió
identificar servicios y puertos de escucha que posiblemente no
serían revelados en una prueba de caja blanca.
La información provista por esta última técnica permitió
confirmar los resultados obtenidos con la técnica de caja negra.
En relación con la prueba de caja gris, se puede considerar a las
pruebas internas con un usuario que tenga acceso a la aplicación,
el mismo que utilizará los privilegios con los que cuenta, pero
con sentido malicioso.
Como parte de la metodología se incluye también un estudio
descriptivo cuantitativo con la cual se ejecutará un experimento
de interrelaciones, comparando los resultados de las diferentes
herramientas utilizadas en cada una de las etapas del ataque,
además de la aplicación de la metodología explicativa y
concluyente, donde se evidenciarán los resultados de la causa y
el efecto que tiene la prueba de penetración.
III. ETAPA DE CONCEPTUALIZACIÓN
La etapa de conceptualización es sumamente importante
porque aquí se definen los objetivos de la prueba de penetración
[8]. Ha sido importante preguntar al equipo de desarrollo del
ERP: ¿Qué le preocupa? ¿Qué parte de la infraestructura o del
sistema es de la que sospecha vulnerabilidades? ¿Existen
dispositivos delicados que deban ser considerados mientras se
realiza el pentesting?
Además de lo señalado anteriormente, es importante conocer
el ámbito de direcciones IP que se van a analizar y vulnerar, el
horario de pruebas, la información del contacto que monitoreará
las actividades constantemente, y, sobre todo, contar con la
autorización escrita. Si el objetivo no forma parte de la
organización contratante, es importante que este tercero conozca
formalmente las pruebas a las que será sometido [8].
Se define, por lo tanto, realizar las pruebas al servidor de
desarrollo que mantiene la Universidad del Azuay para el
proyecto UDA ERP, equipo que mantiene una dirección IP Resultados obtenidos
privada en la red 172.16.x.x, permitiendo el acceso al aplicativo NMAP Sparta
mediante el puerto 80, únicamente dentro de los predios de la 22, 25, 1521, 3700,
institución. Además, se ha indicado que el software está 3820, 3920, 4848,
Puertos 22, 25, 1521, 4848, 7676,
desarrollado en la herramienta Oracle APEX. abiertos 8080, 8181
7676, 7776, 8080,
8181, 8686, 13335,
IV. PREPARACIÓN DEL LABORATORIO 17210, 29573
Tipo de
TCP TCP
puertos
La preparación del laboratorio exige la identificación de las Sistema Virtualizado en Oracle Virtualizado en Oracle
herramientas que serán utilizadas para la ejecución del Operativo Virtual Box Virtual Box
pentesting. Para esta validación de seguridad se ha considerado
el uso de herramientas Open Source, incluyendo a KALI Linux,
distro que contiene más de 300 herramientas para pentesting [9].
Topología n/a
Por otro lado, se ha considerado el uso de VEGA, una
herramienta que permite el escaneo de vulnerabilidades y que
otorga una plataforma para pruebas de seguridad de entornos
web, que permite la ejecución automatizada de scripts de análisis
Servidor
de inyección SQL (SQL Injection) o scripts cruzados (Cross-Site web
Glassfish 4.1.1 Glassfish 4.1.1
Scripting). Se suma el análisis del contexto con Nikto, que es un Métodos
escáner actualizable para la detección de vulnerabilidades de HTTP POST, GET POST, GET
servidores web. aceptados
Acepta
En relación con las pruebas al código fuente, se ha utilizado solicitudes Si Si
OWASP ZAP, APEX SERT y Web Developer Plug In. OWASP ICMP
ZAP es una suite que permite realizar pruebas de seguridad en
aplicaciones y servicios WEB, APEX SERT (Security
Evaluation and Recomendation Tool) es una herramienta que VI. IDENTIFICACIÓN DE VULNERABILIDADES
sirve para evaluar las aplicaciones desarrolladas específicamente
en APEX, y Web Developer Plug In, desarrollada por Chris
Pederik, que sirve para la evaluación de un sitio web, que, para En base a la información obtenida, se procedió con la
este trabajo, será aplicado específicamente en el análisis de identificación de las vulnerabilidades para los escenarios
cookies. propuestos, los mismos que se detallan a continuación.

V. OBTENCIÓN DE INFORMACIÓN
A. Identificación de vulnerabilidades en el código fuente

Para las pruebas de Pentesting al software ERP de la

Universidad del Azuay, se han considerado cinco escenarios: i)
identificación del contexto, ii) identificación de las
vulnerabilidades en el código fuente, iii) análisis de
vulnerabilidades mediante la técnica Cross-Site Scripting –
XSS, iv) análisis de vulnerabilidades mediante la técnica de
inyección SQL, y v) pruebas de denegación de servicio o DDoS.
A. Identificación del contexto
Para la identificación del contexto se ha utilizado la técnica
de caja negra, y los resultados obtenidos se han comparado con
la técnica de caja blanca y caja gris. Con la aplicación de las
herramientas NMAP y SPARTA, incluidas en el distro Kali, se
han obtenidos los siguientes resultados:
Tabla 1: Identificación del Contexto
Resultados obtenidos
NMAP Sparta
Puertos
7 17
encontrados
Generalmente los desarrolladores realizan pruebas de
seguridad software una vez que el mismo ha sido creado, otros
cuando se encuentra en etapa de despliegue; sin embargo, puede
terminar como una práctica ineficaz y restrictiva debido a su
costo. Una de las mejores alternativas para evitar problemas con
los “bugs” o fallos que aparecen en el software de producción,
es el de mejorar su ciclo de vida de desarrollo de software
(SDLC), perfeccionando los niveles de seguridad en cada una de
las etapas que sugiere el proyecto OWASP [3]: i) Definir, ii)
Diseñar, iii) Desarrollar, iv) Implementar, y v) Mantener.
En esta etapa se realizó una indagación al objetivo, aplicando
inicialmente la herramienta “Nikto”, que ha arrojado las posibles
vulnerabilidades de código fuente que tiene el objetivo.
Posteriormente se utilizó OWASP Zed Attack Proxy, con
métodos GET y POST, cuyos resultados fueron cabeceras de
contenido X-Content-Type-Options y cabeceras X-Frame-
Options no establecidas, lo que podría facilitar ataques de
secuestro ClickJacking o exponer información de la aplicación
de forma involuntaria [3].
En cuanto a la validación de datos, se tomó como ejemplo la
validación de un número de cédula de identidad ecuatoriana, en
el cual se detectó la omisión en la validación del número de
cédula, aceptando sin inconvenientes el número 1212121212,

176
número resultante del algoritmo de Luhn conocido también
como módulo 10, y que es utilizado en el cálculo del código de
control, utilizado en la validación de números de cédula o
tarjetas de crédito [10].
En cuanto a la validación de contraseñas, la fortaleza de las
mismas puede ser un impedimento para el atacante, debido a la
cantidad de transacciones que le tomaría realizar. Así, según
Spendolini [11], una contraseña con solo 5 caracteres de
longitud, y solo con letras minúsculas del alfabeto (por ejemplo,
la contraseña por omisión de un enrutador: “admin”), puede ser
vulnerada en 0.000124 segundos utilizando fuerza bruta si se
trata de un escenario fuera de línea, y en un escenario en línea,
en 3.43 horas la contraseña estaría vulnerada.
Una característica interesante propia de APEX es la
generación de tokens aleatorios para cada sesión de usuario. Así
por ejemplo, la URL de la aplicación
“http://localhost:8080/apex/f?p=101:2:9342982341417:::::”
indica que f?p=101 es el ID de aplicación, 2 hace referencia al
ID de la página, y 9342982341417 que en este caso es el valor
aleatorio generado como único para una sesión establecida,
número que no se genera si no se utiliza el asistente de desarrollo
[11].
B. Identificación de vulnerabilidades de código cruzado
Se aplicó la herramienta VEGA considerando los módulos
de inyección “XSS injection checks” a fin de determinar si el
sitio es vunerable a ataques XSS, así como también se utilizaron
los módulos “HTTP trace probes” para solicitar al servidor la
repetición de la solicitud TRACE de nuevo al cliente, situación
usada comúnmente por las cookies de sesión. “HTTP Header
Checks” fue usado para validación de vulnerabilidades de
cabecera, “HTTP Authentication Over Unencrypted HTTP” y
“Cleartext password over HTTP” para identificar
vulnerabilidades sobre protocolos no cifrados.
Además, ha dado como resultado la alerta de que se no se ha
especificado un conjunto de caracteres para las respuestas del
servidor, lo que puede generar un problema de seguridad si el
recurso afectado contiene contenido generado dinámicamente
por los usuarios.
C. Identificación de vulnerabilidades de inyección SQL
Utilizando VEGA, y seleccionando los módulos “Blind SQL
Injection Timing”, “Blind SQL Text Injection Differential
Checks” y “Blind SQL Injection Arithmetic Evaluation
Differential Checks”.
Posteriormente se aplicó SQLMAP, asignando los
parámetros “--technique=BEUS” y un nivel de agresividad de
ataque elevado “--level 3”.
Como resultados, la aplicación desarrollada en APEX no ha
presentado vulnerabilidades ante ataques de inyección SQL.
177
D. Identificación de vulnerabilidades de denegación de
servicio.
Para comprobar el nivel de seguridad ante ataques de
denegación de servicio, en base a la información obtenida, se
aplicaron las técnicas de ataque “ICMP Flooding”, “SYN
Flooding” y “Ping of death”.
La herramienta hping3 generó paquetes a discreción, es
decir, crear y analizar paquetes TCP/IP. Para evadir al firewall,
será necesario generar peticiones aleatorias que terminarán en la
dirección 8080, puerto de escucha de la aplicación. Para generar
dichas peticiones, se ha ejecutado el comando con la opción “--
rand-source”. De acuerdo a lo que se puede observar en la figura
1, el tráfico capturado visualiza las direcciones aleatorias, las
mismas que el firewall las considerará como normales.
Figura 1: Tráfico capturado de las direcciones aleatorias generadas
Así, se realizó el primer ataque de denegación de servicio.
Para ello, se aplica el parámetro “--flood” para la inundación
ICMP. Como resultado, el equipo objetivo deja de responder.
A continuación, se atacó utilizando inundación SYN (SYN
Flood). Este tipo de ataque acciona un número elevado de inicios
de conexión que nunca son finalizados, dejando al servidor a la
espera del ACK final, de esta manera, se consume recursos de
forma inesperada y el usuario ya no puede acceder a la
información [12].
Utilizando el Metasploit Framework de Kali, con la
herramienta “use /auxiliary/dos/tcp/synflood”, se aumenta el
parámetro snaplen a 65535 bytes, y se reduce el tiempo de
emisión de paquetes a 100 ms. De esta manera, al ejecutar el
exploit, el servidor quedó nuevamente fuera de servicio.
Finalmente se procede con la prueba del “Ping de la muerte”.
Si bien se trata de una técnica antigua, puede darse el caso de
que el equipo objetivo no esté preparado para soportar el ataque.
Se hace la prueba enviando un ping constante al objetivo, con un
tamaño de paquete de 65535 bytes. En este caso no se produjo
una denegación de servicio.
E. Simulación de un ataque de fuerza bruta
Simulando un ataque de diccionario en la que se incluyen
todas las letras minúsculas del alfabeto y los números del 0 al 9,
es decir una combinación de 36 caracteres posibles, con la
aplicación Crunch disponible en el distro Kali, se ha generado
un total de 2.176’782.336 entradas de contraseñas posibles, que
posteriormente fueron utilizadas en el ataque de fuerza bruta
realizada con la aplicación Hydra. Hay que considerar que, para
esta prueba, se requiere un espacio de disco considerable, pues Puerto TCP 22 Abierto El puerto 22 no es cifrado y por 4 4
el archivo que contiene estas entradas fue superior a los 14Gb. lo tanto es propenso a ataques
MITM
Puerto TCP 25 Abierto El puerto 25 no es cifrado y por 3 3
lo tanto es propenso a ataques de
fuerza bruta
VII. MODELAMIENTO DE AMENAZAS Puerto TCP 25 Abierto El puerto 25 no es cifrado y por 3 3
lo tanto es propenso a ataques
MITM
Puerto TCP 8080 Abierto Reemplazo de un recurso 4 3 4 4
Según el Proyecto OWASP [3], el modelamiento de específico mediante el método
amenazas es una representación estructurada de toda la POST.
información que afecta a la seguridad de una aplicación, y que Puerto TCP 8080 Abierto Eliminación de un recurso 3 3 4 4
específico mediante el método
se ha vuelto bastante popular en los últimos años. Menciona que DELETE.
Microsoft ha publicado un libro sobre su proceso y que incluye Puerto TCP 8080 Abierto HTTP Method (‘Allow’ Header) 3 3
a este proceso como una actividad clave en su Ciclo de vida de Métodos de riesgo potencial:
PUT, DELETE
desarrollo seguro (S-SLDC).
Puerto TCP 8181 Reemplazo de un recurso 4 3 4 4
Microsoft [13], en su análisis de modelo de amenazas sugiere Abierto específico mediante el método
POST.
realizar 7 pasos: i) Recopilar información básica, ii) crear y Puerto TCP 8181 Abierto Eliminación de un recurso 3 3 4 4
analizar el modelo de amenazas, iii) analizar las amenazas, iv) específico mediante el método
identificar las técnicas y tecnologías de mitigación, v) DELETE.
Puerto TCP 8181 Abierto HTTP Method (‘Allow’ Header) 3 3
desarrollar el modelo de seguridad y las consideraciones de Métodos de riesgo potencial:
implementación, vi) implementar y probar las mitigaciones y PUT, DELETE
vii) mantener el modelo de amenazas sincronizado con el diseño. La cabecera anti secuestro Ataques clickjacking 2 2 2 2
de clic (anti-clickjacking
Según Alcides [14], el riesgo informático es “un conjunto de X-Frame-Options header)
no está presente
normas y procedimientos que son aplicados para salvaguardar El servidor presenta WebBrowsing Fingerprinting 2 2 2 2
un sistema informático, cuya finalidad es garantizar que todos posibilidades de fuga
los recursos que conforman el sistema informático sean mediante ETags
La cabecera de protección Ataques XSS 3 3 3 3
utilizados para el fin que fueron creados sin ninguna contra ataques Cross Site
intromisión” Scripting XSS no está
definida
Para la creación y el modelamiento de amenazas, se han Puerto TCP 1521 Abierto Envenenamiento TNS [16] 3 3 3 3
utilizado las herramientas sugeridas en la metodología Puerto TCP 3700 Abierto Portal of Doom. Usado 3 3 3 3
comúnmente por troyanos [17]
ECU@Risk [15], las mismas que permitieron valorar los riesgos El sitio utiliza SSL y la Denegación de servicios 3 1 3 3
en base a las amenazas identificadas y valoradas. Aplicando la cabecera de transporte
matriz de impacto (Figura 2) sugerida por la metodología, seguro estricto (Strict-
Transport-Security HTTP
Matriz de Impacto Valoración Header) no está definida.
La cabecera de opciones Denegación de servicios 3 1 3 3
E – Extremo 5 de tipo de contenido X-
Content-Type-Options no
A – Alto 4 está establecida
El nombre de host Suplantación de identidad 4 1 3 4
M – Moderado 3 ‘172.16.1.87’ no
B – Menor 2 concuerda con el nombre
del certificado
L – Leve 1 Servidor acepta Saturación ICMP 3 3 3 3
solicitudes ICMP
Figura 2: Matriz de impacto. Fuente: [15] Acepta Métodos POST y Inundación HTTP 3 3 3 3
GET
se pudo llegar a la tabla de valoración de amenazas (tabla 2), en TCP utiliza un Syn Flood 3 3 3 3
mecanismo de
las que se incluye la vulnerabilidad identificada, la amenaza que negociación de tres vías.
puede presentarse, y su impacto en términos de Servidor acepta Ping de la muerte 1 3 1 3
solicitudes ICMP
confidencialidad, disponibilidad e integridad. La última Servidor acepta Inundación IP 1 3 1 3
columna hace referencia al valor absoluto de la amenaza, que en solicitudes ICMP
resumen es el valor más alto obtenido de las tres perspectivas. Contraseñas débiles Fuerza bruta 4 2 2 4
Así también, de acuerdo a lo que sugiere la norma, no todas las Contraseñas débiles Ataque de diccionario 4 2 2 4
Cookies Predicción de credenciales 3 2 2 3
perspectivas son afectadas, según el tipo de activo de Interesting Meta Tags Revelación no intencionada de 2 1 1 1
información y la amenaza identificada. Detected información

Tabla 2: Identificación y valoración de amenazas VIII. CONTRAMEDIDAS

Vulnerabilidad Amenaza C D I V
Puerto TCP 22 Abierto El puerto 22 no es cifrado y por 4 4 En base a las vulnerabilidades y amenazas identificadas, se
lo tanto es propenso a ataques de
fuerza bruta.
sugiere priorizar las que mayor impacto pueden ocasionar a la
organización, en este caso, al software ERP y la infraestructura

178
que lo soporta; sin descuidar los correctivos que puedan
realizarse de una forma rápida, como, por ejemplo, denegar las
solicitudes ICMP en el firewall.
Como contramedidas, se han podido establecer las
siguientes:
• Cifrar el puerto de escucha del aplicativo (uso de
HTTPS), y agregar un certificado digital del tipo
Organization SSL, el mismo que permite evaluar la
autenticidad del sitio y la organización que lo respalda.
• Cifrar las bases de datos. Al habilitar esta opción, APEX
utilizará el TDE (Transparent Data Encryption) para
cifrar los archivos de datos asociados. TDE podría cifrar
todos los archivos de bases de datos que son escritos en
el disco, haciéndolos ilegibles a cualquiera que trate de
acceder a los mismos [11].
• Obligar el uso de contraseñas robustas, tanto en la
aplicación ERP como en las diferentes herramientas que
permiten la gestión de la infraestructura tecnológica que
lo soporta, como es el SSH o la base de datos. Según
[11], una contraseña similar a “Pa5sw0rD.!”, le tomará
al atacante 1.83 billón de siglos vulnerarla en modo
online, 18.28 siglos en modo offline y 1.83 años en un
escenario de arreglo de cracking masivo.
• Uso de un segundo factor de autenticación, como por
ejemplo el de envío de código de autorización por SMS,
con el fin de detener los ataques de repetición.
• Cerrar los puertos no utilizados
• Limitar las conexiones SSH al servidor, restringiendo a
los equipos remotos por dirección IP y MAC.
• Deshabilitar la opción de autocompletamiento de
campos en el código fuente del aplicativo.
• Evaluar y limitar el uso de los meta-tags y el tipo de
información que se está entregando en los mismos.
• Establecer el encabezado de respuesta HTTP X-Frame-
Options. Esto sirve para prevenir que la página pueda
ser abierta en un frame, o iframe, lo que evita los ataques
de clickjacking sobre el sitio web
• Establecer los parámetros de X-Frame de acuerdo a las
necesidades del negocio. Los parámetros son: i) DENY,
ii) SAMEORIGIN y iii) ALLOW-FROM URI.
• Para evadir los ataques XSS, se sugiere incluir la
siguiente cabecera: “header('X-XSS-Protection:
1;mode=block' );”.
• Es importante establecer un conjunto de caracteres
válidos para respuesta, como, por ejemplo: AddCharset
utf-8 .html.
• Asegurarse que el servidor de aplicaciones / web
establezca la cabecera Content-Type de forma
apropiada y que establezca el encabezado X-Content-
Type-Options en 'nosniff' para todas las páginas web. En
lo posible, se debe asegurar que el usuario final utilice
un navegador web moderno compatible con los
179
estándares, que no realice MIME-sniffing o que pueda
ser dirigido por la aplicación web / servidor web para
que no realice MIME-sniffing.
• Implementar un IDS/IPS para el análisis de tráfico
malicioso, esto permitirá alertar y bloquear los ataques
de inundación, a los cuales el servidor es vulnerable.
IX. CONCLUSIONES
La seguridad informática no consiste únicamente en la
implementación de herramientas tecnológicas como firewalls o
antivirus. Las contramedidas que aporten a la mitigación de
riesgos y amenazas son parte de una adecuada cultura en el
manejo de información, las técnicas de desarrollo de software,
el lenguaje de programación y la configuración de la
infraestructura computacional.
Según [2], uno de los puntos más críticos de exposición a la
web son los servidores web, que son las herramientas con las que
los usuarios interactúan, y que, además, la mayoría de los
problemas provocados no son por fallas de los servidores o
lenguajes utilizados, sino por malas prácticas de programación.
Una sola herramienta de análisis no es suficiente. Un
pentesting efectivo requiere de la combinación de estrategias y
herramientas para cada una de las etapas que conforma un
análisis. Se han identificado como herramientas importantes al
distro Kali Linux (NMAP, Sparta, HPING3, Wireshark, Hydra,
Metasploit Framework y Cookie Cadger), Mantra Linux (Nikto,
OWASP (Wapiti, W3AF), APEX-SERT, Web Developer Plug
In y VEGA.
Para la identificación y valoración de amenazas y riesgos se
utilizó la herramienta de modelamiento de amenazas de
Microsoft [13], y la metodología para gestión de riesgos de
información ECU@Risk [1].
Las buenas prácticas de seguridad Web no recaen
únicamente en la tecnología que se está utilizando. Muchas
veces al pensar solamente en la usabilidad, se deja de lado
muchos aspectos de seguridad; y cuando se incluyen muchos
aspectos de seguridad, obviamente la complejidad en el uso de
la aplicación para el usuario es elevada. Por esta razón, una
conclusión que puede rescatarse de [2], es el mantener un
equilibrio entre la funcionalidad y la seguridad.
Otra de las buenas prácticas es la de filtrar los datos. Como
se había visto, un número de cédula 1212121212 fue aceptado.
El filtrar los datos de entrada reduce el riesgo de contar con
información errónea en la plataforma.
La importancia del cifrado de datos es inminente. Se pudo
comprobar mediante el uso de un sniffer, y de acuerdo con [2],
cuando un atacante tiene la facilidad de realizar un ataque de
hombre en el medio, se debe preocupar por la exposición de los
datos durante el envío, transmisión y recepción de los mismos.
Por tal razón, es necesario utilizar un protocolo de cifrado de
información. Adicionando a esto, se ha podido ver que un sitio
web es susceptible a ser descargado completamente para luego
ser utilizado en ataques de tipo phishing; por tal razón, la
adopción de certificados digitales que validen, no solo el sitio
web sino además la organización, son obligatorios.
El ataque de fuerza bruta es otro factor que debe ser
considerado en la protección del servidor. Como se había visto,
el puerto SSH (utilizado para la administración remota) acepta
conexiones con las cuales se pudo ejecutar un ataque de este
tipo. Una contraseña simple puede ser fácilmente vulnerada, por
cuanto se recomienda el uso de contraseñas complejas, las
mismas que deben incluir caracteres alfabéticos en mayúsculas
y minúsculas, caracteres numéricos y caracteres especiales.
Una sesión APEX genera identificadores de sesión aleatorios
cuyas cookies expiran al momento de cerrar el navegador, lo que
reduce notablemente la posibilidad de ataques de fuerza bruta
efectivos. Si bien estas cookies no pudieron ser identificadas con
la herramienta Cookie Cadger, han logrado ser encontradas con
el plugin Web Developer de Chrome.
Con el uso de las herramientas VEGA, OWASP ZAP, se han
revelado el uso de los métodos GET, POST, PUT, DELETE
provistos por un sistema web para el acceso a la información. De
los anteriores, los dos últimos deben ser manejados con mucho
cuidado, pues PUT permite cargar contenidos y DELETE
eliminarlos. Estos métodos deben ser analizados y evaluados
antes de su puesta en producción.
Las dos herramientas indicadas anteriormente también han
permitido identificar las cabeceras HTTP expuestas. De estas, se
puede indicar que “Anti-MIME-Sniffing header X-Content-
Type-Options” aún no ha sido establecida a “no sniff”,
permitiendo que navegadores antiguos interpreten el contenido
de una forma diferente a la declarada originalmente.
Si bien una aplicación web puede estar bien desarrollada, la
infraestructura computacional que apoya a sus actividades
también puede verse afectadas si las mismas no son aseguradas
de la forma correcta. En las pruebas realizadas para este
escenario, se ha podido ver que el servidor es susceptible a
ataques de denegación de servicio. En estas pruebas, los ataques
de inundación SYN Flood y TCP Flood resultaron exitosas, por
lo tanto, el uso de un IDS/IPS es recomendado tal como lo
sugieren [18] y [19].
AGRADECIMIENTOS
Se agradece al Ing. Fernando Balarezo, coordinador del
departamento de Tecnologías de Información de la Universidad
del Azuay por el acceso dado para la ejecución de las pruebas
indicadas en este documento.
X. REFERENCIAS
[1] E. Crespo, «Ecu@Risk, Una metodología para la
gestión de Riesgos,» Enfoque UTE, pp. 107-121,
2017.
[2] UNAM-CERT, «Aspectos Básicos de la Seguridad en
Aplicaciones Web,» 25 Mayo 2016. [En línea].
180
Available:
https://www.seguridad.unam.mx/historico/documento/
index.html-id=17. [Último acceso: 14 07 2017].
[3] The OWASP Project, OWASP Testing Guide 4.0,
N/E: The OWASP Project, 2017.
[4] T. Vieira y C. Serrao, «Web security in the finance
sector,» de 11th International Conference for Internet
Technology and Secured Transactions, ICITST 2016,
Barcelona, 2017.
[5] R. López, «Pentesting on web applications using
ethical - hacking,» de Central American and Panama
Convention (CONCAPAN XXXVI), 2016 IEEE 36th,
Panamá, 2016.
[6] S. Väli y S. Lopienski, «Deploying APEX
Vulnerability Scanner,» CERN Student Report, 2016.
[7] A. Caballero, Hacking con Kali Linux, Lima, 2015.
[8] G. Weidman, Penetration Testing, A Hands-On
Introduction to Hacking (1), EEUU: No Starch Press,
2014.
[9] O. Security, «Kali Tools,» 2017. [En línea]. Available:
https://tools.kali.org/tools-listing. [Último acceso: 31
07 2017].
[10] K. Hussein, N. Sani, R. Mahmod y T. Abdullah,
«Enhance Luhn Algorithm for Validation of Credit
Cards Numbers,» de International Journal of
Computer Science and Mobile Computing, n/a, 2013.
[11] S. Spendolini, Expert Oracle Application Express
Security, Apress, 2016.
[12] J. Lemon, «Resisting SYN flood DoS attacks with a
SYN cache,» USENIX, pp. 89-98, 2001.
[13] Microsoft, «SDL Threat Modeling Tool,» 2017. [En
línea]. Available: https://www.microsoft.com/en-
us/sdl/adopt/threatmodeling.aspx.
[14] G. Alcides, Seguridad informática, Antioquía,
Colombia: Universidad de Antioquía, 2009.
[15] E. Crespo, Artist, Metodología de Seguridad de la
Información para la gestión del Riesgo Informático
aplicable a MPYMES. [Art]. Universidad de Cuenca,
2016.
[16] L. Rocha, «Count Upon Security,» 29 Mayo 2014. [En
línea]. Available:
https://countuponsecurity.com/2014/05/29/simple-
and-practical-attack-part-2/.
[17] F. Gallo, Inseguridad Informática, España, 2011.
[18] S. Chakrabarti, M. Chakraborty y I. Mukhopadhyay,
«Study of snort-based IDS,» ACM, pp. 43-47, 2010.
[19] A. Mansoor, M. Muthuprasanna y K. Vijay, «High
Speed Pattern Matching for Network IDS/IPS,» IEEE
Xplore, 2006.