ALUMNA:

ALEXA ONEIDA DIAZ CASTILLO

ASIGNATURA
AUDITORIA FINANCIERA

TEMA
CONGRESO COINNOVA

CATEDRATICA
FLAVIA AZUCENA ARTEAGA BANEGAS

FECHA
AGOSTO 2022
Miguel Ángel Álvarez Martínez
 La Ciberseguridad ciudadana y los delitos informáticos

METASPLOIT
Facilita el trabajo al auditor proporcionando información sobre vulnerabilidades
de seguridad, ayudando a explotarlas en los procesos de pentesting o test de
intrusión.

Módulos
Metasploit dispone de módulos los cuales ayudan a aumentar de manera
sencilla las funcionalidades y el uso de esta herramienta.
Un módulo es una pieza o bloque de código que implementa una o varias
funcionalidades, como la ejecución de un exploit concreto o la realización de un
escaneo de máquinas remotas.

Tipos de módulos en Metasploit framework

Los módulos implementan las funcionalidades del framework.

A continuación, especificaremos cada uno de los módulos existentes en

Metasploit y los definiremos:

El módulo auxiliary proporciona herramientas externas al framerwork para la

integración y utilización con Metasploit, así el auditor podrá utilizar escáneres,
herramientas para denegación de servicio, sniffers, fuzzers, etc.

El módulo encoders proporciona codificadores para ofuscar el código de las

shellcodes y de este modo evitar que los sistemas antivirus puedan detectar al
payload.

El módulo exploits es donde se alojan los exploits. Se organizan en

categorías, por sistema operativo o tecnología.

El módulo de payloads concentra los distintos códigos maliciosos ordenados

también por categorías.

El módulo de post almacena en su interior código para ejecutar acciones

referidas a las fases de post-explotación como son la escalada de privilegios, la
personalización de tokens, captura de pruebas sobre la máquina remota.

El módulo nops contiene código capaz de generar instrucciones NOP para los

códigos maliciosos. Están organizados por arquitectura y lo más normal es
utilizarlo para máquinas x86 o x64.

Interfaces
Metasploit dispone de varias interfaces con las que interactuar con el
framework. El usuario puede interactuar mediante una interfaz gráfica, línea de
comandos o consola, además el usuario podrá disponer de la posibilidad de
acceder directamente a las funciones y módulos que componen el framework
siendo muy útil para utilizar ciertos exploits sin necesidad de lanzar todo el
entorno.
La primera interfaz que se presenta es msfconsole, esta nos muestra una
consola de comandos desde la cual se podrá acceder a todas las opciones
disponibles de Metasploit. Esta interfaz se ejecuta introduciendo el siguiente
comando msfconsole en una terminal, si se encuentra en Linux.

La segunda interfaz que se presenta es Armitage. Esta nos proporciona un

entorno gráfico para llevar a cabo el test de intrusión. Esta interfaz se lanza
ejecutando el comando Armitage en un terminal. 

La tercera interfaz es la web UI de Metasploit, con ella podremos gestionar

el test de intrusión de manera remota, sin necesidad de disponer de framework
en local, pudiendo realizar casi todas las acciones que pueden realizarse desde
la consola.
 
Herramientas del framework
Estas serán las herramientas que podremos utilizar en situaciones específicas,
sin necesidad de tener que ejecutar la consola y tener que cargar el entorno
completo:

A continuación, se definirán dichas herramientas:

Msfpayload: Herramienta que está orientada a todo lo que está relacionado
con el ámbito de las shellcodes, siendo capaz de generar shellcodes con
distintos lenguajes de programación ejecutables que inyecten código malicioso
en la máquina victima tras su ejecución, listar los shellcodes disponibles en
Metasploit, actualmente esta se encuentra en desuso en las nuevas versiones
porque se integra en Msfvenom.

Msfencode: Esta herramienta se encarga de dificultar a los sistemas de

intrusión, IDS, infección, antivirus, la detección de payload.

Msfvenom: Esta herramienta se encarga de unificar las aplicaciones

msfencode y msfpayload. La principal ventaja es que podremos disponer de
ambos comandos en una sola instancia incrementando así la velocidad en la
generación de acciones.

Msfpescan y msfelfscan: La herramienta msfpescan permite escanear

ficheros ejecutables o DLLs de Windows para encontrar instrucciones de código
máquina sobre una imagen basada en memoria. Y por otro lado la herramienta
msfelfscan permite realizar las mismas acciones, pero sobre aplicaciones ELF en
sistemas operativos Linux.

Msfrop: Esta herramienta realiza un análisis sobre el binario que se le pasa y

tras el procedimiento devolverá los gadgets utilizables.
Msfd: Esta herramienta proporciona un servicio el cual genera un listener en
un puerto. Los clientes podrán conectare a este servicio y disponer de su propia
interfaz de consola, hay que tener en cuenta que todos los clientes utilizan la
misma instancia del framerwork.
 

Arquitectura de Metasploit
En la imagen se puede observar la arquitectura de la que está compuesta
Metasploit.
Podemos observar tres librerías críticas como son rex, msf core y msf base, las
distintas interfaces y módulos ya explicados con anterioridad.

La librería rex es la básica y se encarga de la mayoría de las tareas, manejando

sockets, protocolos, por ejemplo, SSL, SMB, HTTP, y otras operaciones
interesantes como son las codificaciones, por ejemplo, XOR, Base64 o Unicode.
Las librerías msf core y msf base proporcionan APIs al framework. Las
insterfaces, módulos y plugins interactúan con las API base y core que se
encuentran en ambas librerías.
 
Versiones de Metasploit
Metasploit dispone de dos versiones muy diferenciadas entre ellas en el
mercado de la seguridad informática.

Metasploit Community Edition

Esta edición fácil de utilizar dispone de las siguientes características:
Una interfaz gráfica intuitiva y sencilla que hace mucho más fácil y ameno el
uso de esta herramienta para comenzar el proceso de verificación de
vulnerabilidades.

Identificación de equipos en una red, puertos abiertos y huella digital del

sistema operativo y servicios. Integración con escáneres de vulnerabilidades.
Importación a Metasploit de los datos obtenidos con las herramientas de
escaneo como son nmap y nessus, entre otros.

Bases de datos de exploits, para garantizar el éxito del proceso de intrusión,

cada módulo dispone de un ranking que indica la tasa de éxito y el impacto de
este en el sistema.
Verificación sobre la posible explotación de una vulnerabilidad. Metasploit
puede verificar si una vulnerabilidad es explotable o no, sin necesidad de lanzar
el ataque.
Explotación en vivo y real de los activos de las empresas demostrando a los
propietarios demostrar las vulnerabilidades críticas para las empresas.
 
Metasploit Pro
Esta versión dispone de funcionalidades extra además de las anteriormente
explicadas en la versión de la comunidad.
A continuación, citaré las opciones extra que trae la versión Pro.
Auditoría de contraseñas. Para identificar patrones para localizar contraseñas
débiles, para evitar que estas puedan ser vulneradas mediante ataques de
fuerza bruta.
Auditoría de seguridad de la infraestructura IT. Para realizar pruebas de
intrusión sobre dispositivos de red, equipos de escritorio, servidores dónde se
incluyen las bases de datos y las aplicaciones web.
Ingeniería social. Es una técnica muy potente siempre que el auditor sepa
utilizarla, con ella podremos poner a prueba la concienciación del personal de la
empresa.
Con ella podremos informar a los empresarios sobre los activos que hay en la
empresa.
 

RICARDO BARRIENTOS
POLITICA FISCAL

La transparencia fiscal esta demostrando ser una condición muy necesaria, pero
insuficiente para que Centroamérica supere la corrupción y los retrocesos en su
proceso democrático.

Aunque algunos círculos tecnocráticos han aceptado a regañadientes que la

transparencia sea un componente fundamental de la política fiscal, es común
que se le entienda relegada a publicar información en plataformas informáticas
en línea. Estas visiones suelen pretender que la fiscal sea una suerte de política
ajena a los vaivenes políticos y sociales, esterilizada de la realidad cotidiana, y
con ello, también los esfuerzos por transparentarla.

Desde esta perspectiva, un gobierno de corte autoritario y antidemocrático que

ataca a la prensa independiente y viola el derecho fundamental a la expresión
libre del pensamiento, podría calificar bien en términos de cuán transparente
sea su política fiscal, toda vez se cuide de que sus plataformas en línea
publiquen estadísticas de las finanzas públicas, y los sistemas informáticos de la
contabilidad del Estado y del presupuesto tengan accesos públicos. Esta visión
es tan equivocada como pretender que la política fiscal debe ser ajena a los
desafíos del desarrollo humano, que la forma en que se configuran los sistemas
tributarios no tiene que tomar en cuenta aspectos de justicia y redistribución de
la riqueza, o que el gasto público no juega un rol fundamental en la reducción
de la pobreza, en la igualdad de género o en el cumplimiento de agendas como
la de 2030 de desarrollo sostenible de las Naciones Unidas.

Toda visión moderna, integral y responsable de la política fiscal debe concebirla

como uno de los componentes principales de las agendas de desarrollo
democrático e incluyente, y los esfuerzos por transparentarla no deben ser
ajenos al contexto político y social general. Los teóricos y científicos sociales
han identificado a la tributación y el gasto público como dos de los canales
principales a través de los cuales el Gobierno se relaciona con la ciudadanía.
Visiones más modernas e integrales ven además que la forma en que el
Gobierno comunica al rendir cuentas de cómo usa los recursos públicos, en
general lo que se entiende por transparencia fiscal, es también uno de estos
canales de interacción entre el Estado y la sociedad.

Un gobierno legítimo, democrático y verdaderamente transparente, no solo se

limita a informar publicando datos y estadísticas a través de plataformas
informáticas en línea, sino que además es efectivo en comunicar todo lo relativo
a su gestión. Se preocupa y ocupa por explicar lo que está haciendo. Crea y
mantiene canales efectivos de comunicación, espacios legítimos de participación
ciudadana, sin incurrir en el denominado open wash, es decir, manipular los
espacios de gobierno o presupuesto abierto para aparentar transparencia y
lavarse la cara para distraer la atención de actos de corrupción y otros abusos
de recursos públicos.
Para esta forma democrática de comunicar, la prensa independiente es
indispensable, fundamental en los momentos críticos del ciclo presupuestario, o
la discusión de cambios en los componentes de la política fiscal. La
transparencia de un gobierno y el rol de la prensa independiente son necesarios
para que la ciudadanía se informe y se motive a demandar espacios para
participar en discusiones como la del presupuesto público, o de una reforma
tributaria.

Las mediciones y estándares internacionales sobre transparencia fiscal actuales

no recogen esta dimensión, lo que evidencia que es un área aún en desarrollo,
y que estamos aprendiendo cómo ser fiscalmente transparentes.  Estos
estándares deben evolucionar para insistir que la transparencia fiscal debe
profundizar en aspectos como la participación ciudadana, y las garantías y
respeto a derechos fundamentales como el de acceso a la información pública o
la libertad de prensa o expresión libre del pensamiento.

Los deterioros antidemocráticos recientes en Centroamérica ofrecen ejemplos

de esta falencia. Por ejemplo, en países como Nicaragua, El Salvador o
Guatemala, se están produciendo violaciones a estos derechos fundamentales,
y con casos cada vez más graves de persecución y acoso a periodistas y medios
independientes de comunicación. Existen brechas importantes entre el ejercicio
del derecho a la expresión libre del pensamiento en una de las ciudades
capitales, y en un municipio alejado y aislado. En estos países, existen pueblos
en los que hacer periodismo de investigación y denunciar actos de corrupción
en una municipalidad, implican el encarcelamiento de quien hace el reporte, y
en algunos casos, por desgracia, incluso la muerte violenta.