Colegio Internacional Peruano Británico Reporte de

Testing

Edmundo A. Llaza Miranda-2016246381

Luis D. Mejía Mayta – 2016246421

Jackeline D. Valdiglesias Estrada – 2016600972

Alan J. Villafuerte Perez – 2018245071

Jose Zuñiga Mayta – 2014250631

Arequipa – Perú
2021
 Índice
1. Introducción:........................................................................................................................2

2. Objetivos:.............................................................................................................................2

3. Información de la institución:...............................................................................................3

4. Footprinting:.........................................................................................................................3

4.1 Ingeniería Social:..............................................................................................................3

4.2 Sitio Web:.........................................................................................................................4

4.3 Buscadores:......................................................................................................................5

4.4 Whois:..............................................................................................................................7

4.5 Traceroute:.......................................................................................................................8

4.6 Netcraft:...........................................................................................................................9

5. Enumeracion de la red:.......................................................................................................11

5.1 Anubis:...........................................................................................................................11

5.2 Zenmap...........................................................................................................................12

5.3 Foca:...............................................................................................................................12

6. Referencias.........................................................................................................................15
 1. Introducción:
En la actualidad el uso de las tecnologías de la información es indispensable en especial en las
organizaciones son indispensables ya que estos sistemas ayudan al mejor manejo de los datos de
la organización, en este informe vamos a ver como poder encontrar vulnerabilidades o fallos en
el sistema ya que como sabemos ningún sistema esta protegido al 100%, por este motivo vamos
a realizar pentesting.

El pentesting se basa en realizar un conjunto de ataques a diferentes partes del sistema

informático, en busca de algún fallo o vulnerabilidad que nos ayude a ingresar al sistema, con
esto podemos prevenir y corregir fallos del sistema y realizar contramedidas para posibles
ataques.

2. Objetivos:
Los objetivos para el presente informe son los siguientes:
 Hacer un reconocimiento pasivo y activo de la página de la organización
 Identificar vulnerabilidades en el sistema
 Utilizar herramientas de Footprinting
 Ampliar nuestro conocimiento en seguridad de la información

3. Información de la institución:
La Institución Educativa Privada "Internacional Peruano Británico" fue creada el año de 1923
por misioneros de la Asociación Evangélica Enlace Latino, cuyos fines incluyen promover la
educación de niños y jóvenes en amor y obediencia a Dios con conocimientos académicos y
técnicos acordes al avance de la ciencia y tecnología completando su desarrollo integral con arte
y deporte.
Son una institución educativa privada e innovadora con los sólidos principios Bíblico-cristianos
sin fines de lucro en un constante esfuerzo por brindar una formación integral propiciando el
desarrollo espiritual y el equilibrio socioemocional con conocimientos técnicos y científicos de
vanguardia e interesados en la preservación del medio ambiente; tener un equipo de
profesionales y técnicos calificados, innovadores e investigadores en constante actualización.
 4. Footprinting:
La huella es la técnica utilizada para recopilar información sobre los sistemas informáticos y las
entidades a las que pertenecen. Para obtener esta información, un hacker podría usar varias
herramientas y tecnologías. Esta información es muy útil para un hacker que intenta descifrar un
sistema completo.[1]

4.1 Ingeniería Social:

La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los
usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con
malware o abran enlaces a sitios infectados [2]. En este caso procederemos a recaudar
información con algún contacto de la organización.

4.2 Sitio Web:

La organización cuenta con su propio sitio web con el dominio “colegiointer.edu.pe” como
podemos ver “.edu” nos indica que es un sitio web relacionado a la educación, como se puede
observar la pagina cuenta con varias ventanas, como las de “Inscripciones”, “Adminision”,
“Quienes somos”, “Galeria de arte”, “Contacto”, “Carpeta de recuperación”, “RRHH” y las más
resaltantes serian las de “Aula virtual”, “Intranet” y “Comunicados”. [3]
 4.3 Buscadores:
Como primer punto se hizo una búsqueda de la razón social de la empresa utilizando la página:
https://www.universidadperu.com/empresas

Seguidamente se realizó una consulta a través de las consultas en la página de la SUNAT. Realizada esta
búsqueda se pudo obtener la siguiente información.
 4.4 Whois:
Whois es un protocolo basado en petición y respuesta que se utiliza para efectuar consultas en una base de
datos, la cual nos permite determinar el propietario de un nombre de dominio o una dirección IP en
Internet.[4]
Se recolectó información sobre la página como la ubicación de la ip, el contacto y su email, el
cambio de hosting en los últimos 8 años, nombre del registrante, entre otros.
 4.5 Traceroute:
Los traceroute son comandos de diagnóstico de red de computadoras para mostrar posibles rutas y medir
los retrasos de tránsito de los paquetes a través de una red de Protocolo de Internet(IP). El historial de la
ruta se registra como los tiempos de ida y vuelta de los paquetes recibidos de cada host sucesivo (nodo
remoto) en la ruta (ruta); la suma de los tiempos medios en cada salto es una medida del tiempo total
empleado para establecer la conexión. Traceroute procede a menos que todos (generalmente tres)
paquetes enviados se pierdan más de dos veces; entonces se pierde la conexión y no se puede evaluar la
ruta. Ping, por otro lado, solo calcula los tiempos finales de ida y vuelta desde el punto de destino. [5]

Ahora primero utilizamos el software de Anubis donde con solo colocar la URL o el ip el software nos
muestra como resultado el número de saltos antes de llegar al servidor, cabe resaltar que tiene un máximo
de 30 saltos

Y en segundo lugar, con Zenmap se puede ver una versión gráfica de los saltos que se realizaron hasta
llegar al destino.
Además se utilizó un servicio de Traceroute online para trazar la distancia del servidor del hosting, donde
pudimos verificar efectivamente que el hosting se encuentra en Chicago, Illinois.

4.6 Netcraft:
Netcraft Site Report es una herramienta de informes de sitios en línea gratuita, que permite saber la
dirección de correo electrónico detrás de un sitio web, qué sistema operativo, servidor web, y tecnologías
web se están utilizando. Tras proveer el dominio a la herramienta se nos muestra un reporte extenso con
varios detalles. Como primer punto tenemos los datos relevantes de la institución, su nombre, la
descripción y un rating de acuerdo a la comparativa general respecto a otros sitios [6]
Así también, se nos dan algunos datos más específicos de la red, así como el proveedor del servidor, que
en este caso es banahosting, el país donde se encuentra el hosting que es Estados Unidos, el administrador
DNS del mismo, el nombre del dominio, etc.

Por otro lado, se nos muestra la información de la red, las subredes y el rango de la IP

En cuanto a la seguridad del certificado Secure Socket Layer (SSL), este nos informa que efectivamente
se tiene una conexión segura a la página web. Por otro lado se nos muestran algunos subdominios de
acceso directo al backend del host y más datos.
Seguidamente se nos detalla información del hosting, brindándonos la dirección ip del mismo, el cual nos
muestra la ip del servidor, y el sistema operativo del mismo que es un sistema linux.
 5. Enumeracion de la red:
Gracias a la herramienta de Netrack podemos identificar la red en la que la página web se encuentra, sin
embargo, al ser de un hosting alquilado no nos sirve mucho para realizar un análisis de la topología local
de la institución. Los resultados se pueden ver en la siguiente imagen:

5.1 Anubis:
Anubis integra herramientas para realizar dos técnicas de búsqueda de información en auditorías
de seguridad: el Footprinting y el Fingerprinting. El Footprinting, para la búsqueda de
información pública, o publicada descuidadamente, como direcciones IP, servidores internos,
cuentas de correo de los usuarios, y el Fingerprinting, para averiguar el sistema operativo de los
servidores de la organización a la que se está realizando la auditoría. [7]

En la primera imagen muestra que por banner attack no se puede accesar porque está el
servidor esta protegido.
 Luego, tenemos dentro de Anubis una opción para realizar un tracert, de manera que
podemos ver todos los saltos que realiza la solicitud antes de llegar al servidor:

NOTA: No todas las herramientas de Anubis llegaron a funcionar adecuadamente, debido a que
están desactualizadas o el servidor bloqueaba las solicitudes.
 5.2 Zenmap
Zenmap es una herramienta gratuita que podemos utilizar para escanear los puertos. Podemos
saber cuáles tenemos abiertos, para evitar problemas a la hora de usar algunos programas o
acceder a un servidor. [8]
Puertos/Servidores
El análisis del nmap da como resultado que la página tiene 14 puertos
abiertos, es una cantidad considerable por lo que es susceptible a
ataques a través de los mismos.
 5.3 Foca:
FOCA es un software de código abierto con el que podremos extraer los metadatos de cualquier
tipo de documento (documentos de texto, imágenes, vídeos, etc.). Creado por ElevenPaths,
podemos descargarlo de manera gratuita en su página oficial.[9]

Primero se crea el proyecto y se ingresa el dominio que se desea escanear:

Tras realizar el escaneo inicial se puede ver que no existe ningún documento asociado al
dominio de la institución educativa, por lo que no es posible obtener información.

Para poder comparar resultados se creó otro proyecto asociado al dominio de la

Universidad Católica de Santa María.

Y como se puede ver, los resultados nos muestran algunos documentos encontrados,
añadido a esto para poder obtener más información se descargo un documento para
poder evaluar la metadata.
Al analizar la metadata nos da los siguientes datos del dominio con un total de 42
archivos de documentación encontrados, y algunos usuarios asociados.
Esto sucedió porque la institución educativa a diferencia de la universidad no tiene
ningún documento como tal publicado a través de su pagina, sino que usan un enlace
externo de Google Drive para presentar todos sus documentos a los usuarios, por ello es
difícil detectar archivos y poder hacer el análisis completo.

6. Referencias:
[1] Wikipedia (30-Augut-2022), Footprinting [Online]. Available: 
https://en.wikipedia.org/wiki/Footprinting

[2] Kasperky (2022), Ingenieria Social definicion [Online].Available:

https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering

[3] Colegio Internacional Arequipa (2022), Historia, [Online].Available:

https://colegiointer.edu.pe/historia.html

[4] Redezone (2022), ¿ Qué es y para que sirve Whois?, [Online].Available:

https://www.redeszone.net/tutoriales/internet/que-es-whois/

[5] Wikipedia(30-August-2022), Tracerouter [Online]. Available:

https://es.wikipedia.org/wiki/Traceroute

[6] Alonso Caballero, Reydes (2022), Netcraft, [Online]. Available:

https://www.reydes.com/d/?q=Netcraft

[7] Javier Garzas (2022), Anubis herramienta de ayuda en auditorias de seguridad, [Online].
Available: https://www.javiergarzas.com/2010/02/anubis-footprinting-
fingerprinting.html#:~:text=El%20Footprinting%2C%20para%20la%20b%C3%BAsqueda,se
%20est%C3%A1%20realizando%20la%20auditor%C3%ADa.
[8] Redeszone (2022), Conoce Zenmap, la interfaz grafic de Nmap para escaner puert,
[Online]. Available: https://www.redeszone.net/tutoriales/configuracion-puertos/zenmap-
interfaz-grafica-escanear-puertos/

[9] Ayudaley (2022), ¿Cómo extraer metadatos con FOCA?, [Online] Available:
https://ayudaleyprotecciondatos.es/metadatos/foca/#:~:text=FOCA%20es%20un%20software
%20de,gratuita%20en%20su%20p%C3%A1gina%20oficial.