Post- implementación de

aplicaciones web de afiliado y

administrador  Identificación de Tipo y Versión de
Servidor Web
HALLAZGO DE LA
AUDITORÍA 
Condición 

Durante la evaluación manual de ambas aplicaciones web, se observó que

incluyen en sus respuestas la cabecera Server, en la cual divulga el tipo y
versión de servidor web.
Esta cabecera informa a un potencial atacante detalles sobre la tecnología
que soporta la aplicación, así como la versión, esto puede ser utilizado para
realizar ataques más específicos sobre dicha versión, mientras que esta
información no le ofrece ningún valor al usuario final.

Criterio 

Causa 

Efecto 

Recomendación 
Post- implementación de
aplicaciones web de afiliado y
administrador  Soporte de Suites de Cifrado Débiles
HALLAZGO DE LA
AUDITORÍA 
Condición 
Durante la evaluación de ambas aplicaciones web se observó que el
servidor que soporta la aplicación web soporta suites de cifrado no
seguros como parte de la implementación de TLS, esto podría
desencadenar en que un atacante que sea capaz de interceptar una gran
cantidad de tráfico encriptado de la aplicación, podría descifrar
parcialmente el tráfico capturado y obtener información sensible de la
aplicación.
De manera específica, se encontró soporte de suites de cifrado que
utilizan el modo de encriptación simétrica CBC (CipherBlockChaining), el
cual es considerado no seguro debido a que cuenta con vulnerabilidades
en el proceso de rellenado.
Criterio 
Dado la norma FIPS 140-2 que describe el cifrado y los requisitos de
seguridad relacionados que los productos de TI deben cumplir para el uso
con datos sensibles. Asimismo, esta garantiza el uso de prácticas de
seguridad sólida, tales como métodos y algoritmos de cifrado aprobados y
de alta seguridad. También, especifica como otros procesos deben estar
autorizados para utilizar el producto y cómo se deben diseñar los módulos
o componentes para interactuar de manera segura con otros sistemas de
la organización que manejen información sensible.
Causa 

Falta de configuración de cabecera de seguridad Strict-Transport Security por

parte del área de infraestructura de TI en la organización. 

Efecto 

El uso HTTP en la página actual de los afiliados puede generar que uno o varios
atacantes intercepten la información no cifrada. 

Recomendación 
Se recomienda implementar otro tipo de cifrado, en este caso, se deberá seguir
los siguientes pasos para implementar Apache:
 En Debian y en Ubuntu, el archivo a modificar se encuentra en
/etc/apache2/sites-available/, mientras que en RHEL, CentOS, y Fedora,
el archivo a modificar puede encontrarse en httpd -S”
 Abrir el archivo de configuración y asegurarse de que las suites de
cifrados habilitados sean considerados criptográficamente seguros.
 Reiniciar el servicio de servidor web.