AUDITORÍA DE SISTEMAS

Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

APRENDIZAJE ESPERADO

APRENDIZAJE ESPERADO

El estudiante será capaz de:

• Comprobar los procesos de auditoría de bases de datos, de aplicaciones y de sistemas operativos de
acuerdo con los estándares y marcos de trabajo internacionales en la organización como parte del
auditaje general de sistemas.

Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar, publicar,
emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier
medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de Artes y Ciencias de la Comunicación
S.A. La infracción de dichos derechos puede constituir un delito contra la propiedad intelectual.

IACC 2022 2
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

ÍNDICE
APRENDIZAJE ESPERADO ..................................................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................................................................... 4
RESUMEN ............................................................................................................................................................................ 5
PALABRAS CLAVE ................................................................................................................................................................. 5
PREGUNTAS GATILLANTES ................................................................................................................................................... 5
1. AUDITORIA DE BASES DE DATOS ...................................................................................................................................... 6
1.1 USOS ....................................................................................................................................................................................... 7
2. AUDITORIA DE APLICACIONES .......................................................................................................................................... 7
2.1 USOS ....................................................................................................................................................................................... 8
3. AUDITORIA DE SISTEMAS OPERATIVOS .......................................................................................................................... 14
3.1 USOS ..................................................................................................................................................................................... 14
REFERENCIAS ..................................................................................................................................................................... 20

IACC 2022 3
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

INTRODUCCIÓN

La auditoría, en las principales áreas de la informática, es importante aplicarla ya que abarca los elementos
tecnológicos que componen una red de datos y analiza los aspectos principales que debe tener en cuenta el auditor,
sin embargo, estos no los únicos, pues este campo es muy amplio.
En este caso, hay que considerar que la profundidad y alcance de cada componente siempre estarán regidos por el
objetivo que persiga el auditor, como se ha explicado con anterioridad, y se basarán en los requerimientos que sean
realizados por la organización que precisa de la auditoría o la naturaleza del componente auditado.
Por estas razones, se analizará qué auditar en una base de datos, aplicaciones y sistemas operativos, abarcando
aspectos como autentificación, cuentas, usuarios, roles, privilegios, contraseñas, etc.
Finalmente, se entregarán algunas herramientas de uso transversal en la evaluación de distintos componentes y las
consideraciones generales a tener en cuenta.

IACC 2022 4
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

RESUMEN
En la actualidad hay una creciente preocupación de la base de datos y la gestión de estos para la innovación de una
entidad, por ello es importante comprender sobre la seguridad de las bases de datos.
La auditoría de base de datos es importante ya que ayuda a una empresa a establecer controles que permitan
disminuir los riesgos inherentes existentes en los sistemas y las desviaciones que pueden producirse en los informes
de salida que son precisamente lo que de sebe descubrir y evitar.
La planificación y ejecución debe considerar los pasos necesarios para cubrir todo flanco que pueda convertirse en
un problema y sobre todo, que pueda resguardarse la información, su confidencialidad y todo su procesamiento
desde lo más básico incluyendo los accesos y sus niveles.

PALABRAS CLAVE
• Auditoría
• Base de Datos
• Sistemas Operativos
• HTML
• HTTP
• GET/POST

PREGUNTAS GATILLANTES
• ¿Qué es auditoría de base de datos?
• ¿Qué es la auditoría de aplicaciones?
• ¿Qué es la auditoría de sistemas operativos?

IACC 2022 5
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

1. AUDITORIA DE BASES DE DATOS

La auditoría de base de datos es un proceso para auditar los accesos de los datos evaluando los riesgos potenciales
que existen en los sistemas de la organización, midiendo y monitoreando los accesos a la información almacenada
con el objetivo garantizar la seguridad y el correcto uso de los datos almacenado en una entidad.

La Base de Datos es una colección de datos organizada de tal manera que permita la consulta y
actualización de datos en el momento en que se requiera (Rouse, 2015).

La auditoría de bases de datos es importante ya que es el punto de inicio que permite realizar auditoría de las
aplicaciones que se utilizan en tecnología que tiene una entidad. Para realizar la auditoría de bases de datos de deben
seguir los siguientes pasos:
• Plantear objetivos y verificar tipo de gestión de datos.
• Recopilar información.
• Detectar incidencias irregulares.
• Consultar auditorías anteriores de las bases de datos.
• Realizar informe detallado.

La auditoría de base de datos permite:

• Conocer usuarios que accede a los datos
• Cuando se accede a los datos
• Desde que tipo de dispositivo o aplicación se accede
• Desde que ubicación en la red
• Cuál fue el efecto del acceso a la Base de Datos (Jhon Alexander López, 2013)
Hay que tener presente que, normalmente, las aplicaciones sobre las bases de datos afectan el entorno, así como el
sistema operativo subyacente. En esta oportunidad, no se revisará la seguridad del sistema operativo, ya que se
abarca más adelante, a excepción de elementos específicos que se relacionan con la base de datos en sí misma. La
capa de aplicación no va a ser tratada tampoco, pues hay muchísimas aplicaciones diferentes. Sin embargo, se deben

IACC 2022 6
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

considerar las aplicaciones que pueden afectar la seguridad de la base de datos subyacente. Por ejemplo, muchas
aplicaciones crean nombres de usuario y contraseñas por defecto a nivel de la base de datos que un auditor debe
identificar para asegurar apropiadamente esta última.

1.1 USOS
El uso de la auditoría de base de datos se puede dividir en dos tipos, que son:
• Auditoría de actividades
• Auditoría de transacciones

Auditoría de Actividades Auditoría de Transacciones

•Controlar las actividades que •Se implementa varios controles

realizan los usuarios en la base de permitiendo llevar una bitacorade
datos. las transacciones realizadas.

•Monitorear las actividades de los

usuarios permitiendo encontrar
posibles accesos a usuarios no
autorizados, conexiones en horas o
días fuera de horarios laborales.

Figura 1. Tipos de Auditoría de Datos

Fuente: basado en Villalobos (2008).

2. AUDITORIA DE APLICACIONES
Una vez que se ha revisado la base de datos propiamente tal, se puede comenzar a mirar las instancias específicas
de las aplicaciones disponibles en la base de datos. Dependiendo del riesgo de la aplicación, esta auditoría puede
contener muchos detalles, pero por ahora, solo se mostrarán algunos de los fundamentos básicos a revisar.
A continuación, se abordará la aplicación más recurrente en implementaciones tecnológicas: las aplicaciones web.
Se revisarán algunos fundamentos y se entregará una introducción al HTML y HTTP necesaria para el trabajo de
campo de un auditor.

IACC 2022 7
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

2.1 USOS
FUNDAMENTOS HTML
La revisión de una aplicación web tiende a ser más fácil que la mayoría de las auditorías a otras aplicaciones, debido
al simple hecho de que casi todo lo que se necesita para hacer las pruebas es presentado por el web server como
texto. Es común que, al mirar la página web, puede parecer absolutamente compleja en términos de disposición y
diseño, pero fundamentalmente, hay muy pocos pedazos de la aplicación realmente importantes de revisar, y todo
lo que importa es texto.
La verdadera razón de esto es que HTML, el lenguaje usado para crear la mayoría de las páginas web, es simplemente
texto. No solo eso, el código fuente para cualquier página web está disponible con solamente algunos clics y se puede
ver para cualquier página web que el browser pueda mostrar.
Esencialmente, HTML (HyperText Markup Language) es un lenguaje que se utiliza para describir cómo una página se
debe ver. Es entonces el browser el encargado de interpretar el lenguaje para desplegar la página correctamente.
Esta es la razón por la que diversos web browsers pueden mostrar la misma página con algo diferente.
Ejemplo:
La página de búsqueda de Google. En la siguiente imagen, se puede ver la página de búsqueda para el browser
Firefox.

Figura 2. Página de búsqueda de Google

Fuente: elaboración propia.

Se puede ver que en el medio de la página está una caja de texto, en la cual se puede incorporar términos de la
búsqueda y “un botón de búsqueda de Google”, entre otros elementos. Todo lo que se exhibe en esta página es el
resultado de dar formato a instrucciones escritas en HTML y transferido al browser por el web server de Google.
En la mayoría de los browsers, si se hace clic con el botón derecho, una de las opciones presentadas será “Ver código
fuente de la página”. A continuación, se muestra parte del resultado.

IACC 2022 8
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

Figura 3. lenguaje de etiquetas de HTML.

Fuente: elaboración propia.

Si se mira el contenido, se puede ver que hay marcas que describen cómo la página debe ser mostrada. Por ejemplo,
hay una marca del <title> que indica el título de la página, también se ve un <meta content que indica la ubicación
de una imagen.

REGLAS DEL HTML

Este concepto de usar marcas o “etiquetas” es fundamental en HTML. Es también importante entender que casi
todas las etiquetas requieren una cierta clase de etiqueta cerrada que identifica cuándo la instrucción termina. Por
ejemplo, si una marca <center> fue utilizada, ¿cómo el web browser sabría cuándo parar el centrado del texto? La
respuesta es que hay una etiqueta de cierre también. El “closing” marca siempre el espejo con la etiqueta de la
apertura, agregando simplemente una raya vertical delantera. Esto significa que para la etiqueta <center> habrá una
etiqueta correspondiente </center>.
También es importante saber que HTML no tiene diferenciación entre mayúsculas y minúsculas.
Una etiqueta importante de conocer es la etiqueta usada para delimitar un comentario: ¡los comentarios se marcan
con <! -- -->. Todo el texto que se encuentre dentro de las marcas se considera como comentario y no se exhibirá en
la página desplegada.

HTTP
El HTML y el HTTP no son la misma cosa. El HTTP, o el protocolo de transferencia de hipertexto, es el mecanismo de
comunicación usado para transferir documentos de hipertexto. En la realidad el protocolo también se puede utilizar
para transferir todo lo demás (como las imágenes), pero su papel primario es permitir que los browsers hablen al
web server.
Cuando un web browser envía una petición a un web server, la petición del cliente usa HTTP.

IACC 2022 9
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

Cuando responde el servidor, las respuestas envían el HTML embebido en el header HTTP. Es decir, HTTP es el
mecanismo de transporte.

GET/POST
Dentro del HTTP hay diversos tipos de petición. De los muchos que existen, hay realmente solo dos que comúnmente
son usados dentro de las aplicaciones web y serán los que se revisarán a continuación.
GET y POST son los dos métodos que se utilizan para enviar datos a un web server y para recuperar datos de este.
Aunque sirven esencialmente para la misma función, operan de manera diferente.
GET toma todos los valores y los añade a la URL. GET es muy fácil de utilizar, pero tiene algunas limitaciones y
problemas de seguridad. El principal problema es que la URL va como texto legible, por lo tanto, si se incluyen
contraseñas o usuarios, estos pueden ser capturados en el trayecto de la comunicación, y como limitación, no puede
enviar más de 255 caracteres en la URL.
El POST esencialmente realiza la misma tarea que GET, pero con dos excepciones importantes.
La primera, es que no hay límite en cuántos datos se pueden enviar con un POST, y la segunda es que los valores
enviados no están incluidos en la URL, sino que se incluyen dentro del cuerpo de la petición.

SSL/TSL
SSL (Secure Sockets Layer), que ahora es llamado TSL (Transport Layer Security), es una capa de encriptación que
puede ser utilizada con nuestros web servers y browsers. Es extremadamente importante entender que esta capa
de encriptación es esencialmente como un túnel VPN. Es decir, los datos están cifrados solamente mientras están
en tránsito.
La razón de por qué esto es importante, es que a veces los diseñadores web sienten que pueden corregir los defectos
de la aplicación usando SSL, cuando en realidad todo lo que han hecho es cifrar los defectos, haciéndolos más difíciles
de detectar a un nivel de red.
Los datos reales enviados a través de la conexión SSL siguen siendo apenas HTTP y HTML, y en el extremo final, los
datos están en texto claro.

DESARROLLO DE APLICACIONES Y OWASP

OWASP (Open Web Application Security Project) (http://www.owasp.org) es un grupo de profesionales de la
seguridad y aplicaciones web que se han reunido desde hace algunos años para ayudar a remediar algunos de los
innumerables problemas dentro del campo del desarrollo de aplicaciones web.
Entre otras cosas, OWASP proporciona las guías para el desarrollo de aplicaciones, recomendaciones de las mejores
prácticas y entrega información actualizada sobre las vulnerabilidades de las aplicaciones web. Lo más importante
para el auditor es el desarrollo y el lanzamiento de WebScarab (Next Generation), una herramienta ofrecida
gratuitamente para la revisión y auditoría de aplicaciones web.

IACC 2022 10
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

WebScarab (Next Generation) está diseñada para actuar como un proxy local para el web browser. En un sentido
práctico, WebScarab actúa como “hombre en el medio”. Cuando viene una petición, WebScarab la remite hacia el
web server, y cuando el servidor web responde, la respuesta se envía a WebScarab, el cual pasa la respuesta al
cliente; de esta forma, se está en una posición para interceptar y modificar cualquier cosa que esté siendo enviada
del cliente al servidor. Por supuesto, se puede también modificar los valores enviados del servidor al cliente, pero
para los propósitos del auditor, esto tiene un valor muy pequeño.

VULNERABILIDADES COMUNES DEL SERVIDOR WEB

A continuación, se examinarán algunos problemas de la configuración del servidor y otros que existen en el mundo
de la seguridad web.
Cabe destacar que no hay ninguna intención de hablar de todas las opciones posibles de la seguridad del servidor
para un web server. Tampoco se mencionará cómo implementar un web server con seguridad en una red, ni de
asegurar el sistema operativo subyacente (se mencionará más adelante, en los tópicos más relevantes a auditar de
los sistemas operativos).
El foco primario está en las aplicaciones web. Esto es donde se encuentran las debilidades más grandes de las
organizaciones, especialmente desde que sus implementaciones se realizan para el acceso público.
Algunas de las principales y más comunes vulnerabilidades que un auditor debe validar, son las siguientes (IACC,
Auditoría de Sistemas, 2016, p.21):
• Directory Indexing.
• Directory Traversals.
• Contenido por defecto.
La lista de problemas presentados es universal a todo el web server. Los detalles de cómo remediarlos variarán según
el servidor, así que solo se darán indicaciones generales para solucionarlos. A continuación, se revisará en qué
consiste cada uno de estos problemas.

DIRECTORY INDEXING
El primero en la lista es Directory Indexing. Todos los web server permiten que se configure una página por defecto
que se cargará cuando alguien envía una petición al sitio, pero no pide una página específica. Por ejemplo, hay que
considerar que lo que se escribe para ir al sitio web de IACC es:
http://online.iacc.cl/. Dado que no se especificó el nombre de la página que se quería visitar, el servidor web busca
automáticamente lo que se ha configurado como la página por defecto. En este caso, busca un archivo nombrado
“index.php” y muestra esta página.
¿Qué sucede si no existe el archivo “index.php”? Es aquí donde la indexación de directorio opera, ya que si no hay
un “index.php”, el servidor web muestra el contenido del directorio en su lugar.

IACC 2022 11
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

DIRECTORY TRAVERSALS
Otro problema común que aparece en los servidores y aplicaciones web es el concepto de directory traversals. La
idea básica es que, a través de un cierto error en la codificación web, el servidor en sí mismo o la aplicación web
puede cruzar la raíz del directorio (el directorio donde residen las páginas web) y mostrar elementos que no estaban
pensados ser accesibles públicamente.

CONTENIDO POR DEFECTO

El contenido por defecto es otro problema muy común. Un ejemplo de esto serían páginas y manuales por defecto
instalados en los servidores Apache o el sitio web por defecto instalado por Visual Studio .NET

SCANNERS DE VULNERABILIDADES WEB

Uno de los métodos más utilizados para la auditoría de aplicaciones web es el uso de herramientas de pruebas de
vulnerabilidades, las cuales tienen a menudo la capacidad de evaluar centenares o miles de vulnerabilidades.
Los vendedores de estas herramientas generalmente están centrados en la velocidad (considerando la cantidad de
pruebas que deben realizar), y no tanto en los resultados. Sin embargo, mientras más rápido se revisa, la cantidad
de falsos positivos aumenta también.
Algunos scanners a considerar:
• Weblnspect
• ScanDo
• AppScan
• NStealth
• Nikto
• Acunetix
Hay muchas herramientas posibles de elegir para realizar test de vulnerabilidades web, y la mayoría de ellas cumple
con las siguientes características:
• Realizan análisis automatizados.
• Rápidas y fáciles de utilizar y configurar.
• Generan informes amigables o fáciles de interpretar o leer.
Entre las limitaciones, tenemos las siguientes:
• Las herramientas automatizadas pueden encontrar solamente vulnerabilidades conocidas.
• Las herramientas automatizadas pueden utilizar solamente técnicas conocidas y buscar patrones conocidos.
• Todavía no hay mejor evaluador de la aplicación web que una persona bien entrenada.

IACC 2022 12
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

CHEKLIST BÁSICO DE AUDITORÍAS DE APLICACIONES WEB

Para finalizar con las auditorías de aplicaciones web, se proporciona un resumen de los aspectos que se deben tener
en cuenta en el proceso de evaluación; para tal efecto, se entrega un checklist de verificación de cada punto.
Configuración Básica
• ¿Existe contenido por defecto instalado en el servidor web? Si es así ¿por qué este es necesario?
• Comprobar que se ha inhabilitado la indexación de directorio.
• Comprobar configuración del servidor con las recomendaciones de seguridad del fabricante o de las
comunidades de seguridad. ¿Se han configurado los controles y las opciones apropiados?
• Utilizar por los menos una herramienta automatizada para evaluar el sitio web.
Autentificación
¿Se requiere la autentificación?
Si es así:
• ¿Qué autentificación se necesita?
• ¿Si se utiliza la autentificación básica, es apropiado para el nivel de sensibilidad de los datos?
• Si se utilizan Web Forms, ¿se utiliza el método POST?
• Se utilizan certificados, ¿cómo se controlan estos?
Entradas
• ¿La información sensible se envía siempre usando POST en lugar de GET?
• ¿Qué tan robusta es la aplicación cuando se introduce datos ilegales o con los cuales podría tener una
respuesta no espera el servidor?
Salidas
• ¿Cómo se manejan las condiciones de errores?
• ¿Es posible generar un error no- manejado (unhandled)?
• ¿La encriptación se utiliza en todos los casos donde se devuelve información sensible?

IACC 2022 13
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

3. AUDITORIA DE SISTEMAS OPERATIVOS

Como se mencionó en varias oportunidades en el trascurso de este documento, la auditoría de bases de datos y
aplicaciones tiene un componente base que es el servidor donde estas se encuentran instaladas o configuradas. Este
servidor también contiene vulnerabilidades y elementos a auditar que son complementarios a los ya mencionados,
los cuales dependen del sistema operativo instalado.

3.1 USOS
A continuación, se expondrán los aspectos básicos para ambientes Unix y Windows que los auditores deben incluir
en las auditorías.

UNIX LOGGING
Antes de evaluar un sistema Unix y realizar acciones de auditoría, primero es necesario identificar las medidas de
auditoría existentes por defecto, revisar el contenido de cada una y dónde se pueden encontrar. A continuación, se
revisarán las características de logging (registros) de Unix.
Varios archivos de log del sistema operativo son proporcionados como “logs de auditoría”, por lo que la primera
tarea es verificar que todos los eventos importantes estén siendo registrados apropiadamente. La siguiente tabla
muestra una lista de los logs que son registrados en el directorio /var/log. La única excepción es el archivo utmp que
se ubica en el directorio /var/run.

El auditor debe tomarse el tiempo de examinar cada uno de estos archivos.

Figura 4. rutas archivos log respecto a tipo de auditoría

Fuente: basado en Villalobos (2008).

Algunas consideraciones que se deben tener presentes es que los logs típicamente van rotando de manera
automática, y para que existan registros, los archivos deben existir; adicionalmente, estos archivos almacenan una
cantidad importante de información, por lo que deben ser filtrados y revisar lo concerniente al alcance y objetivo de
auditoría.

IACC 2022 14
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

INFORMACIÓN DEL SISTEMA UNIX

Cuando un atacante compromete o intenta comprometer un sistema, una de las cosas más importantes que
intentará hacer es ejecutar la herramienta “uname”. Esta herramienta proporciona información sobre el kernel, el
procesador del sistema, etc. Especialmente en la fase de reconocimiento, esta herramienta es invaluable para los
atacantes, ya que permite establecer la base de los posibles exploits que podrían ser efectivos en el sistema, dada
su arquitectura.
Para un auditor, esta herramienta es provechosa, ya que permite generar la línea base de información sobre la
máquina. En el proceso de creación de la línea base, siempre se debe obtener la mayor cantidad de información
posible del sistema; uno de esos elementos es el sistema de archivos montado, la herramienta “mount” usada sin
argumentos describe todos los sistemas de archivos montados, los permisos y dispositivos en uso.
Otra herramienta que proporciona información es “free”, que permite identificar varios elementos para la auditoría:
primero, entrega información sobre cuánta memoria física está instalada en el sistema y segundo, permite revisar
qué tan grande es la partición de swap.
Finalmente, indica cuánto espacio es utilizado por las dos variables anteriores.
La herramienta “netstat” entrega una lista de todas las conexiones activas en conjunto con los puertos donde los
programas están escuchando por conexiones. Un buen motivo para utilizar esta herramienta es determinar o ver si
existe algún programa no conocido o permitido que se esté ejecutando en el sistema. Una segunda utilidad es
determinar si existen servicios activos en el sistema que podrían ser consecuencia de una instalación por defecto,
por ejemplo, si uno de los puertos de escucha es el TCP/25 o existe un servidor SMTP ejecutándose; si no es parte
de la funcionalidad de la máquina, entonces se trasforma en una excepción de auditoría.

ACLS EN UNIX
Los archivos o listas de control de acceso (ACL) permiten negar el acceso a todos los computadores que intenten
conectarse al sistema que se está auditando, y permitírselo solo a aquellos que efectivamente lo requieran.
Los archivos que permiten la funcionalidad descrita son los siguientes:
• /etc/hosts.deny Debe incluir ALL: ALL en su contenido para bloquear a cualquier host.
• /etc/hosts.allow Debe enumerar los hosts individualmente (los confiables) en base a los servicios
disponibles.

El auditor debe validar el contenido de ambos archivos para determinar si su configuración se ajusta a las políticas
de conexión definidas, por ejemplo, en la política corporativa de seguridad.

UNIX USUARIOS Y GRUPOS

En forma muy cercana con el listado de accesos autorizados y no-autorizados, se encuentra la administración de
usuarios y grupos. Se debe asegurar que todos los usuarios tengan una cuenta identificadora única y sus niveles de
acceso se encuentren restringidos, como también que solo se utilicen contraseñas robustas y que el control de
políticas de contraseñas se ajuste a la política corporativa. Para lo anterior, se debe revisar diferentes archivos:

IACC 2022 15
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

El archivo “passwd” es la ubicación estándar de toda la información referente a las credenciales de los usuarios. Este
archivo se encuentra ubicado en /etc/ y posee una sintaxis como la siguiente:
• root:x:0:0:root:/root:/bin/bash
• bin:x:1:1:bin:/bin:/bin/sh
El primer campo es el nombre de usuario (login), el segundo es la contraseña, el tercero es un identificador único, el
cuarto es el identificador del grupo al que pertenece el usuario, el quinto es el nombre del usuario (descriptivo), el
sexto campo corresponde a la carpeta raíz del usuario, y el último es la shell que adquirirá.
Otro archivo relevante de revisar es “/etc/shadow”, el cual contiene información relativa a las contraseñas,
almacenándolas en forma encriptada mediante un hash MD5. Adicionalmente, incluye información respecto a la
política de contraseñas: la edad mínima de la contraseña, la edad máxima, advertencia de expiración y un registro
de cuántos días una cuenta ha sido deshabilitada.

INFORMACIÓN BÁSICA DE SISTEMAS WINDOWS

Existen muchas utilidades que se pueden utilizar para encontrar qué versión de sistema operativo está en uso, cuál
de esas usar depende de las preferencias personales y las posibilidades de acuerdo con el nivel de acceso (local vs.
remoto, acceso de usuario vs. acceso de administrador, etc.).
Las dos utilidades básicas incluidas en el sistema operativo Windows son “ver” y “winver”, las que pueden ser
ejecutadas de la línea de comandos. La información provista por estas utilidades es limitada, y si se requiere
información adicional, existen otras herramientas como systeminfo.exe, que es incluida desde Windows XP,
entregando información extensiva sobre el sistema operativo, versión, host, usuarios registrados, uptime del
sistema, memoria, e incluso, información de parches.
Windows también incluye la utilidad “System Information” (msinfo32.exe) que puede ser ejecutada desde la línea
de comandos o mediante el menú “Inicio”. Esta es una utilidad gráfica que muestra desde todo lo referente a la
versión del sistema operativo hasta variables de ambiente, servicios, dispositivos, etc. En la mayoría de los casos, la
información desplegada en el “resumen” será suficiente para los propósitos de un auditor.

WINDOWA LOGS
La herramienta primaria para auditar y realizar seguimiento a un sistema Windows es “Windows Event Viewer”.
Windows puede generar una extensiva y altamente detallada cantidad de logs y auditoría. Lo importante es saber
sobre qué generar log, cuánto log y cómo manejar e interpretar
la información recolectada. (IACC. Auditoría de Sistemas, 2016, p.27), actualmente se mantienen al menos tres
archivos de log:
• System log: que registra los eventos del sistema.
• Application log: que registra eventos relativos a las aplicaciones que se ejecutan sobre el sistema operativo.
• Security log: este archivo registra los eventos relativos a la seguridad del sistema.

IACC 2022 16
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

Algunos servidores, como Windows 2003 o superior, también llevan registros separados para monitorear DNS, Active
Directory y actividad de replicación, respectivamente, si estos servicios están instalados.
Otros servicios y aplicaciones en Windows pueden tener sus propios logs que son almacenados en diferentes
ubicaciones, por ejemplo, Internet Information Server mantiene sus propios sets de logs para registrar las conexiones
o intentos de conexión al servidor web.
Para que los logs sean útiles, deben estar configurados apropiadamente. (IACC, Auditoría de Sistemas, 2016, p.27),
los elementos a considerar en su configuración son:
• Ubicación: por defecto, los archivos de logs están ubicados en el directorio %systemroot%\system32\config
y su extensión es *.evt.
La ubicación puede ser modificada mediante la edición del registro de Windows.
• Tamaño de los archivos: es configurable y dependerá del espacio disponible.
• Opciones de sobreescritura: por defecto, los archivos son sobreescritos después de 7 días. Esta configuración
se recomienda modificarla para que no se sobrescriban y la rotación sea realizada manualmente, ya que para
un auditor es relevante manejar todos los registros disponibles.

USUARIOS Y GRUPOS EN WINDOWS

El próximo paso en la auditoría de sistemas Windows es evaluar los usuarios y grupos presentes en el sistema. (IACC,
Auditoría de Sistema, 2016, p.28) los siguientes problemas asociados a usuarios y grupos deben ser auditados:

SOLO USUARIOS VÁLIDOS DEBEN ESTAR PRESENTES EN EL SISTEMA

Las cuentas de usuario deben ser enumeradas y revisadas para asegurarse que todas las cuentas presentes están
efectivamente asociadas a usuarios válidos. Esto incluye cuentas para “usos especiales”, como las creadas por
“templates” (plantillas o imágenes base), o para uso por servicios o aplicaciones.

LOS GRUPOS DEBEN TENER LOS MIEMBROS APROPIADOS

Usar los grupos de Windows para reunir usuarios de características o permisos similares es bastante común como
práctica por los administradores de sistemas, ya que simplifica la administración de permisos. Sin embargo, en el día
a día no siempre se mantienen actualizados los grupos con los usuarios que realmente deben contener, o bien, se le
asignan privilegios al grupo que no todos los usuarios deberían poseer. El auditor debe validar que los usuarios
pertenecientes a cada grupo sean efectivamente los que deben estar.

CONTRASEÑAS EN BLANCO
A pesar de toda la información y educación respecto a la importancia de configurar una contraseña, cambiarla
periódicamente, usar contraseñas robustas, etc., es posible encontrar cuentas que no tengan contraseña y,
consecuentemente, tener una vulnerabilidad de seguridad.

IACC 2022 17
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

POLÍTICA DE CONTRASEÑA RAZONABLE

No es suficiente con solo requerir el uso de contraseñas por parte de los usuarios, sino que además se debe realizar
un control respecto a la aplicación de una política razonable de contraseñas, cubriendo aspectos como qué tan
seguido se debe cambiar la contraseña, cuánto tiempo o veces el sistema recordará las contraseñas para evitar que
sean reutilizadas y cuántos intentos fallidos de login pueden ocurrir antes de que la cuenta se bloquee.

CONTRASEÑAS ROBUSTAS
Finalmente, las contraseñas siempre están expuestas a ser atacadas. Si un atacante puede adivinar una contraseña
o robar un archivo de contraseñas para desencriptarlas, podría tener acceso al sistema enmascarado como un
usuario legítimo; es por esto por lo que las contraseñas deben ser lo suficientemente robustas, para que resistan ser
adivinadas, ataques de diccionario o ataques de fuerza bruta.

IACC 2022 18
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

COMENTARIO FINAL

La auditoría de base de datos es una herramienta básica para el levantamiento de información que permite
identificar los posibles riesgos de las bases de datos.
Es importante conocer los lineamientos y conceptos básicos para entender las aplicaciones web y cómo sobrellevar
una auditoría sobre estas desde una visión técnica, que debe complementarse con las auditorías de los sistemas
operativos, que son la base sobre la cual se montan bases de datos y aplicaciones, desarrollando los elementos
críticos que se deben tener en cuenta al revisar los niveles de seguridad de cada sistema.
Aunque el tema es muy técnico, el auditor informático debe tratar, además, de explicar en su informe, todos los
aspectos y hallazgos encontrados en el desarrollo de la auditoría.

IACC 2022 19
 Semana 7
Auditoría de bases de datos, aplicaciones y sistemas operativos

REFERENCIAS
Echenique, J. (2001). Auditoría en Informática (2da ed.). México: Interamericana McGraw-Hill.

IACC (2016). Principales áreas de la auditoría informática. Parte I. Auditoría Informática. Semana 7

López, A. (2013). Desarrollo de una metodología para el control de riesgos para auditoría a Bases de Datos. Pereira.

Rouse, M. (2015). Search Datacenter. https://searchdatacenter.techtarget.com/es/definicion

/Base-de-datos.

Villalobos, J. (2008). Auditando en las bases de datos. Facultad de Ciencias Exactas y Naturales, Escuela de
Informática, Universidad Nacional de Costa Rica.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2022). Auditoría de base de datos, de aplicaciones y de sistemas operativos. Auditoría de Sistemas.
Semana 7.

IACC 2022 20