COOPERATIVA DE AHORRO Y CRÉDITO 29 DE OCTUBRE LTDA.

PREGUNTAS Y RESPUESTAS SOBRE EL CONCURSO

PROCESO DE COMPRA: BPCS-COM-2022-014

“SERVICIO DE HACKING ÉTICO, PRUEBAS DE PENETRACIÓN Y ANÁLISIS DE

VULNERABILIDADES PARA LA COOPERATIVA 29 DE OCTUBRE LTDA.”

FECHA: Quito, 17 de octubre de 2022

PREGUNTAS Y RESPUESTAS

1. En el Paso 1.2 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, Se deberá adjuntar en los informes presentados
Certificado de Homologación de CVE?

Favor referirse a las bases: Para la realización de esta prueba, se deberán usar las
herramientas pertinentes y usadas para el desarrollo de las pruebas de penetración,
homologadas por el CVE (Common Vulnerabilities and Exposures), y www.mitre.org y
deben estar actualizadas a la fecha de su utilización. Para lo anterior, se deberá adjuntar
en los informes presentados certificado de homologación de CVE, o ruta de la página de
CVE donde se pueda evidenciar que la herramienta ofrecida está homologada por dicha
entidad.

2. En el Paso 1.2 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, ¿Al mencionar sobre el uso de herramientas
homologadas por el CVE, se refiere a la identificación de nuevas vulnerabilidades y
que estén descritas de acuerdo al formato de mittre?

Ej. CVE-2022-30190.

Favor referirse a las bases: Para la generación de los informes solicitados se deberá tomar
como referencia la lista de nombres de vulnerabilidades CVE publicada por la corporación
Mitre (www.mitre.org). El proponente, debe demostrar la propiedad o autorización de uso
explicita del fabricante, de las herramientas utilizadas en el desarrollo de este proyecto.
Para lo cual deberá allegar certificación o documento que soporte el requisito.

3. En el Paso 1.3 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, Se refiere al uso de exploits? ¿En caso de que la
vulnerabilidad sea explotable, se debe hacer una prueba de concepto?
Si, en ambiente controlado.

4. En el Paso 1.4 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, Se debe entregar una matriz de los riesgos
identificados más las herramientas para mitigar los riesgos?
Si por favor.
5. En el Paso 1.5 del Literal B del Alcance Contratación/Servicios o Bienes Esperados
Sección IV Especificaciones Técnicas, Las pruebas de hacking externo son de caja
negra?
Si.

6. En el Paso 1.7 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, Se debe realizarse al menos una (1) prueba de
intrusión? y en caso de ser afirmativo, ¿se contará con la debida autorización?
Si.

7. En el Paso 1.8 del Literal B del Alcance Contratación/Servicios o Bienes Esperados

Sección IV Especificaciones Técnicas, ¿Se menciona el uso de OWASP para las webs, y
Además existen pruebas a otros sistemas, nuestra pregunta se refiere a la posibilidad
de usar otros estándares de seguridad cómo NIST-800-115 y otras técnicas avanzadas
de pentesting?
Si.

8. ¿En el PUNTO 2 ¿Experiencia del Contratista Sección V, Los certificados de experiencia

se pueden utilizar los mismos para la Experiencia General como Especifica?

No, los certificados deben ser adjuntos en la propuesta de acuerdo con las bases de
concurso.

9. En el PUNTO 2 Personal Mínimo y Experiencia Sección V, Es obligatorio presentar el

mecanizado del IESS para Consultores Ecuatorianos Externos y/o Consultores de otros
países Externos.

Los documentos solicitados bajo bases de concurso, es decir se otorgará el máximo

puntaje a la o las ofertas que tengan el mejor perfil a nivel académico y experiencia
laboral, a las demás ofertas se asignará un puntaje directamente proporcional.

10. ¿Cuál es el alcance de su SGSI? Qué productos/servicios cubre y cuántos procesos

están relacionados? Indicar el número de activos de información en el inventario que
son parte del SGSI.
• El proceso a auditar es el Servicio de Canales Electrónicos.
• 60 activos.
11. Su Declaración de Aplicabilidad actual es respecto a la ISO 27002:2019?
Si.

12. ¿Es necesario realizar pruebas de penetración a las 600 PCs como indica en el
dimensionamiento? Recomendamos que sea considerado a máximo 2 por cada grupo
de sistemas operativos o imágenes de restauración, pues van a tener el mismo
resultado si todos están bajo la misma política o el mismo tratamiento de gestión de
vulnerabilidades y capacidades.
Si de acuerdo.
13. Cuáles son las ciudades donde están localizados los ATMs, ya que indican 45 en el
dimensionamiento.
EL análisis de ATMs es sobre 4 en total, 2 por marca tenemos Diebold y GRG.

14. El dimensionamiento indica: “Equipos de seguridad física configurados con direcciones

IP: 614”, se refieren a cámaras de vigilancia? Recomendamos que sea considerado a
máximo 2 por cada grupo de marca y/o modelo, pues van a tener el mismo resultado
si todos están bajo la misma política o el mismo tratamiento de gestión de
vulnerabilidades y capacidades.
Si de acuerdo.

15. El dimensionamiento indica: “Equipos de comunicación 100”. Por favor indicar qué
tipo de dispositivos son por cada grupo: Módems, antenas, radios, switchs, routers,
etc.
Respuesta: Son los dispositivos con los que cuenta la Cooperativa en su red: routers,
switches, access points.

16. ¿Cuándo indican “IPs Públicas” en el dimensionamiento, se refieren a servidores? Ya

que estas si bien es cierto podría tener un dispositivo de seguridad sin asignar a ningún
server y todas tendrían el mismo resultado pues como tal es el mismo dispositivo.

Existen casos en donde las IPs públicas pertenecen a uno o dos firewalls específicos o
también pueden ser servidor expuestos directamente al internet a través de una IP
pública.

17. En el dimensionamiento indica dos puntos “aplicaciones críticas” y “Páginas web

institucionales” basado en los objetivos del proyecto:

a) ¿Qué diferencia de resultados esperan en estos dos grupos de aplicaciones

web? Hay alguna que requiera algún análisis profundo a través de expertos en
bug bounty/pentesting avanzado, direccionado a detectar vectores de ataque
que impacten la reputación, pérdidas financieras, extorsiones, fuga de datos
personales o confidenciales, de la Cooperativa? Esto requerirá de mayor
tiempo por cada aplicación web o móvil (aprox entre 5 a 7 días por cada una),
e incluir Pentesters de mayor nivel (con 35 certificaciones cada pentester) a la
consultoría.

No se solicita el tipo de análisis descrito.

b) Cuáles de esos dos grupos o cuales de esas webapps y mobapps se realizará

con y/o sin credenciales?

Ambas con credenciales.

 c) De estos dos grupos, ¿cuáles son transaccionales que gestionan dinero de sus
clientes?
Ambas.

18. ¿En las pruebas de intrusión interna, nos permitirán implementar un servidor desde
donde se realizar las pruebas, mientras que los pentesters se conectarán desde sus
propias laptops hacia este server para realizar la consultoría o solo permitirán desde
las propias laptops de cada Pentester? Esto es debido a que un server de pentesting
tiene mayor capacidad de procesamiento y memoria que una laptop para poder
utilizar más aplicaciones concurrentes para las pruebas. De todos modos, no es
mandatorio, pero esto nos permitirá conocer que recursos contamos en este proyecto.
Si.

19. Favor confirmar si en este proceso se puede presentar la figura de consorcio.

Sí, siempre y cuando se encuentre legalmente constituido.

20. En el literal 2, Experiencia del contratista- Experiencia general, solicitan experiencia

en la prestación de servicios de hackeo ético, pruebas de penetración, análisis de
vulnerabilidades y análisis de brecha de norma ISO27001, durante los últimos 10 años
en empresa en general. Favor confirmar que la experiencia sea válida en uno de los
servicios enunciados, es decir experiencia en hackeo ético o pruebas de penetración o
análisis de vulnerabilidades o análisis de brecha de norma ISO27001.

Sí, es válido lo mencionado.

21. En el literal 2, Experiencia del contratista-Experiencia específica, solicitan experiencia

en proyectos de prestación de servicios de hackeo ético, pruebas de penetración,
análisis de vulnerabilidades y análisis de brecha de norma ISO27001, en los últimos 6
años en instituciones financieras. Favor confirmar que la experiencia sea válida en
uno de los servicios enunciados, es decir experiencia en hackeo ético o pruebas de
penetración o análisis de vulnerabilidades o análisis de brecha de norma ISO27001.

Sí, es válido lo mencionado.

22. Respecto al Pentesting.

Por favor clarificar la cantidad de hosts (direcciones IP) y webapps a auditar en el
Pentesting Externo y la cantidad de hosts (direcciones IP) a auditar en el Pentesting
Interno.
En las bases se indica lo siguiente y se enumeran 10 webapps:

Si.
23. ¿Para el Pentesting Externo solamente se auditarían las 14 direcciones IP públicas y
las 10 webapps? Es decir que dentro de esas IPs se incluyen los equipos de seguridad
perimetral y los servidores en nube, ¿o debemos sumarle algo adicional?

Si.

24. En el Pentesting Interno entenderíamos que se auditarían solamente los siguientes

equipos:

Servidores en sitio: 70
PCs: 600
ATMs: 45
Equipos de seguridad física: 614
Equipos de comunicación: 100
Equipos de seguridad perimetral: 4

TOTAL: 1,433 hosts (direcciones IP)

¿O desean también incluir la auditoría de los Servidores en Nube (10 hosts) vistos
internamente (a través de una VPN) en el Pentesting Interno? ¿O quizás incluir una
auditoría de cumplimiento de nube (Cloud Compliance)?

Por favor considerar el siguiente dimensionamiento, de acuerdo a lo indicado en las

bases:

Servidores en sitio 70*

Servidores nube en nube 10*
PCs 600*
ATMS 45*
Equipos de seguridad física configurados con direcciones
IP: 614*
Equipos de comunicación 100*
Equipos de seguridad perimetral 4*
IPS públicas 14*

25. ¿Cuántos controles del Anexo A de la norma ISO27001 ha seleccionado la Cooperativa

para su cumplimiento?

La totalidad.

26. En Septiembre de 2017 fue archivado el programa de "Compatibilidad con CVE" (CVE
compatibility program), como se aprecia en
https://cve.mitre.org/compatible/index.html Por tanto, CVE no ofrece
homologaciones, por tanto, se solicita que dicho requerimiento sea retirado (Pág. 12
sección 1.2)

De acuerdo.
27. Los "Términos de uso" de CVE, actualizados en Diciembre de 2017
(https://www.cve.org/Legal/TermsOfUse), establecen que MITRE otorga una licencia
perpetua, no-exclusiva, gratuita e irrevocable, para reproducir, desplegar, preparar
trabajos derivados, exhibir públicamente, sub-licenciar y distribuir el material de CVE.
Por esta razón, no se podrá obtener una autorización de uso de los nombres de las
vulnerabilidades de CVE, se solicita que dicho requerimiento sea retirado (Pag 12
sección
De acuerdo.

28. Favor establecer la cantidad de transacciones o pantallas de interacción que serán

objeto de las pruebas de la aplicación Denarius.
90.

29. Favor establecer la cantidad de transacciones o pantallas de interacción que serán

objeto de las pruebas de la página web transaccional.
30.

30. Favor establecer la cantidad de transacciones o pantallas de interacción que serán

objeto de las pruebas de la aplicación móvil.
30.

31. Favor establecer la cantidad de llamadas que serán objeto de las pruebas del Bus
Transaccional, y la cantidad de sistemas o servicios con los que el bus interactúa.
5.

32. Favor confirmar si existe conectividad interna (red interna) no restringida de la casa
matriz con cada uno de los equipos enumerados en la sección 1.6 como objetos de las
pruebas.

La Cooperativa cuenta con una red segmentada.

33. Favor confirmar la cantidad de localidades y su ubicación para la realización de

pruebas de los equipos de comunicación.

Las pruebas se realizarán en la ciudad de Quito en una agencia y la Administración

Central y una agencia en la ciudad de Portoviejo.

34. Favor determinar la cantidad de equipos inalámbricos (WiFi) que serían objetos de la
prueba y sus ubicaciones (localidades).
Los equipos WiFi se encuentran ubicados en la Ciudad de Quito 10 y 2 en Portoviejo.

35. La cantidad de dispositivos objeto de las pruebas implica un esfuerzo conjunto de la

Cooperativa y el proveedor del servicio para coordinar acciones para mejorar la
efectividad de las pruebas. Particularmente esto es más complejo en el caso de
dispositivos ATM, ya que, para la realización de las pruebas, cada uno de éstos deberá
ser sacado de producción para la realización de pruebas en una ventana de
mantenimiento, con la presencia/supervisión de la Cooperativa. Favor confirmar si se
ha considerado estas condiciones o si es factible realizar las pruebas completas sobre
un subconjunto de los dispositivos.
 En el caso de equipos ATMs las pruebas se las realizará en equipos que se encuentran
en el laboratorio que dispone la Cooperativa.

36. Etapa 1: Diagnóstico ISO 27001: es posible solicitar a la organización conocer datos de
procesos, estructura orgánica, estructura del área de IT, número de activos a nivel
cuantitativa para dimensionar el GAP ANÁLISIS.

El número de activos que soporta el Servicio de Canales Electrónicos de la Cooperativa

es de 60.

37. Validar si es posible desarrollar las pruebas de vulnerabilidades y pentesting desde

conexiones VPN.

Las pruebas de vulnerabilidades internas se las debe realizar en sitio (edificio

administración Central de la Cooperativa 29 de Octubre de la ciudad de Quito).

38. Participación de compañías extrajeras: ¿Es posible que una empresa extranjera pueda
ofrecer los servicios sea de forma directa o a través de un aliado local? En cuyo caso,
¿cuáles serán los requisitos para poder hacerlo?

Deberá ser mediante un aliado local y los requisitos serán los aplicables a la normativa
ecuatoriana y aquellos que constan en las bases de concurso.

39. Presupuesto Referencial: Es posible conocer el presupuesto referencial

No, por política interna no es posible revelar ese tipo de información, los proveedores
deberán presentar su mejor oferta.

40. Condiciones del pago: ¿Es posible cambiar las condiciones de pago de lo solicitado ?,
pues para la Fase 2, es decir la fase de volver a probar todos los elementos
dependemos de que la Cooperativa 29 de octubre haya remediado las
vulnerabilidades durante los 8 meses que trascurrirán hasta que se ejecute la fase de
pruebas nuevamente sobre la misma infraestructura. Este tiempo no depende del
proveedor.

No, los proveedores que oferten deben ajustarse estrictamente a las bases de concurso.

41. Las pólizas o garantías también entrarían en una extensión de tiempo de ocho meses
¿solicitamos se pueda revisar este aspecto?

Favor ajustarse a las bases de concurso, existen vigencias para cada una de las garantías
a solicitar. Favor remitirse a la página 17 de las bases.