FASE 3.

INSTALACIÓN DE HERRAMIENTA DE ANALISIS Y VULNERABILIDADES

JESSICA ROSALES GAMBOA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE

CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

2022
FASE 3. INSTALACIÓN DE HERRAMIENTA DE ANALISIS Y VULNERABILIDADES

JESSICA ROSALES GAMBOA

TIPO DE TRABAJO
Evidencias de Trabajo Independiente

NOMBRE
DANIEL FELIPE PALOMO LUNA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD ESCUELA DE

CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

2022
 CONTENIDO

1. INTRODUCCIÓN .......................................................................................................... 5
2. OBJETIVOS.................................................................................................................. 6
OBJETIVO GENERAL .................................................................................................. 6
OBJETIVOS ESPECIFICOS ......................................................................................... 6
3. DESARROLLO DEL TRABAJO................................................................................... 7
3.1 HERRAMIENTA DE ANALISIS Y DETECCIÓN DE VULNERABILIDADES .......... 7
3.2 NESSUS .................................................................................................................. 7
3.3 EJECUCIÓN DEL ESCANEO DE VULNERABILIDADES ...................................... 8
Escaneo De S.O Afitrion ........................................................................................ 14
Escaneo Del Sitio Web Acunetix Art ..................................................................... 17
3.4 ENLACE DEL VIDEO DE SUSTENTACIÓN ......................................................... 19
4. CONCLUSIONES ....................................................................................................... 20
5. BIBLIOGRAFIA .......................................................................................................... 21
 LISTA DE FIGURAS

Figura 1. ...............................................…………………………………………………
Figura 2. ...............................................…………………………………………………
Figura 3. ...............................................…………………………………………………
Figura 4. ...............................................…………………………………………………
Figura 5. ...............................................…………………………………………………
Figura 6. ...............................................…………………………………………………
Figura 7. ...............................................…………………………………………………
Figura 8. ...............................................…………………………………………………
Figura 9. ...............................................…………………………………………………
Figura 10. ...............................................…………………………………………………
Figura 11...............................................…………………………………………………
Figura 12...............................................…………………………………………………
Figura 13...............................................…………………………………………………
Figura 14...............................................…………………………………………………
Figura 15 ...............................................…………………………………………………
Figura 16...............................................…………………………………………………
Figura 17...............................................…………………………………………………
Figura 18...............................................…………………………………………………
Figura 19...............................................…………………………………………………
Figura 20...............................................…………………………………………………
Figura 21...............................................…………………………………………………
Figura 22...............................................…………………………………………………
Figura 23...............................................…………………………………………………
Figura 24...............................................…………………………………………………
 1. INTRODUCCIÓN

La seguridad de la información se ha vuelto muy importante para las empresas en la

actualidad, pues garantizar la confidencialidad de los datos transmitidos, almacenados y
procesados permite a la organización tomar ventajas competitivas y al mismo tiempo
garantizar la continuidad del negocio y la fidelidad de los clientes.
Una empresa responsable con la seguridad de la información, la seguridad informática,
comprometida con sus clientes y sus procesos garantiza de manera efectiva el
cumplimiento de sus objetivos misionales, pues disminuye de forma potencial la
probabilidad de vulnerabilidades a sus sistema y ataques cibernéticos.
La ejecución de esquemas de detección, gestión e identificación de ataques a partir de
metodologías y técnicas de intrusión, testing e ingeniería social permiten que los procesos
enfocados a la seguridad de la información y la seguridad informática se realicen de la
mejor manera, además de mitigar los riesgos por medio de la prevención.
Por lo anterior, en el presente trabajo se ejecutará una herramienta automatizada con el
objetivo de detectar de manera preventiva los riesgos de seguridad de la información y
que además permitan generar de manera correcta un análisis a las vulnerabilidades.
 2. OBJETIVOS

OBJETIVO GENERAL

Proponer esquemas de detección, gestión e identificación de ataques a partir de

metodologías y técnicas de intrusión, Testing e ingeniería social.

OBJETIVOS ESPECIFICOS

• Instalar la herramienta Nessus en el sistema operativo anfitrión

• Configurar la herramienta Nessus en el sistema operativo anfitrión
• Realizar escaneo de vulnerabilidades al S.O anfitrión y al sitio web designado
• Generar un informe detallado de la practica ejecutada
 3. DESARROLLO DEL TRABAJO

3.1 HERRAMIENTA DE ANALISIS Y DETECCIÓN DE VULNERABILIDADES

Con el fin de ejecutar un análisis y detección de diversas vulnerabilidades en el sistema

operativo anfitrión y en el sitio web designado, se ha optado por la herramienta NESSUS
para realizar estas pruebas.

3.2 NESSUS

Es un software que se instala en los equipos informáticos y que permite escanear

vulnerabilidades, permitiendo visualizar de forma inmediata por medio de informes los
resultados de la prueba.
Aunque NESSUS no es un software gratuito y sus costos de licencia van desde los 14
millones de pesos por año, si es posible obtener una prueba gratuita para ejecutar durante
7 días, y así verificar sus funcionamiento y efectividad.

VENTAJAS
• La creación de políticas para la interfaz es simple, hace falta únicamente algunos
clics para el escáner de una red empresarial completa.
• Nessus identifica mas vulnerabilidades y escanea más tecnologías que cualquier
otro tipo de software del mismo tipo.
• Los precios de en relación con empresas del sector de pruebas de vulnerabilidad
son competentes y Nessus proporciona el mismo nivel de detección de
vulnerabilidades.
• Nessus permite identificar vulnerabilidades que requieren de atención inmediata y
su porcentaje de falsos positivos es mínimo
3.3 EJECUCIÓN DEL ESCANEO DE VULNERABILIDADES

Descarga e instalación de la herramienta automatizada

Figura 1. Ingreso a la plataforma tenable

Se realiza la búsqueda en la plataforma tenable, la cual es la proveedora de esta

herramienta de escaneo y análisis de vulnerabilidades.

Figura 2. Registro de los datos para la obtención del código de activación

Se necesita un código de activación, el cual se usará posteriormente para poder ingresar
a la herramienta. Esto se realiza por medio del correo institucional.

Figura 3. Ingreso de los datos necesarios para generar el código que es enviado al
correo.

Figura 4. Instalación de Nessus en el S.O.

Se ejecuta el archivo de descarga que contiende el ejecutable en esta ocasión para el

S.O Windows
Figura 5. Primer pantallazo para configurar Nessus en el sistema

Figura 6. Inicializando Nessus

Figura 7. Elección de Nessus Essentials

Esta versión es la que podemos tener la posibilidad de utilizar ya que contiene lo
necesario para realizar la practica que deseamos hacer, además de que contamos con
la opción de tener 7 días de gratuidad.

Figura 8. Ingreso de código de activación

Se hace uso del código de activación, el cual fue enviado a nuestro correo.
 Figura 9. Ingreso de los datos de acceso

Se ha de configurar unos datos de acceso para el ingreso de la herramienta.

Figura 10. Descarga de complementos

 Figura 11. Compilación de complementos

Este proceso suele demorar un cierto tiempo, mientras descarga y compila todos los
complementos que necesita Nessus para su correcto funcionamiento.

Figura 12. Entorno de Nessus

Escaneo De S.O Afitrion
Figura 13. Opciones de escáner de vulnerabilidades de Nessus

Se hace la elección del tipo de escaneo que deseamos realizar, en este caso hemos
elegido el escáner de red básico.

Figura 14. IP del S.O objetivo de escaneo

Como vamos a realizar un escáner de red, necesitamos saber la ip de nuestro objetivo,

que en este caso es nuestro sistema operativo. Para esto, vamos al símbolo de sistema,
lo ejecutamos como administrador y posteriormente digitamos el comando ipconfig.
 Figura 15. Ingreso de los datos para configurar objetivo

Figura 16. Objetivo configurado listo para comenzar escaneo de vulnerabilidades

Una vez configurado el objetivo, ya está listo para comenzar el escaneo. Para comenzar
el proceso se selecciona el objetivo y luego se presiona el icono de play o lanzar.
 Figura 17. Resultado obtenido del escaneo

La herramienta automatizada a arrojado el numero y el tipo de vulnerabilidades

encontradas durante el proceso. Esta nos indica el nivel de gravedad y una serie de
datos que nos han de servir para el análisis.

Figura 18. Lista de vulnerabilidades encontradas

Se observan las diferentes vulnerabilidades halladas a detalle. Cada una de estas

podemos expandirla y analizarla de manera individual.
 Figura 19. Ejemplo de una de las vulnerabilidades obtenidas

Aquí observamos todo lo relacionado con una vulnerabilidad en específico, y nos fijamos
en todos los detalles que nos ofrece Nessus para facilitarnos el trabajo de análisis.

Escaneo Del Sitio Web Acunetix Art

Figura 20. IP del sitio web designado para escaneo

Con el fin de realizarle un escaneo de red al sitio, necesitamos saber cuál es su

dirección ip. Para ello, le hacemos un ping a la dirección, con lo cual podremos saber su
dirección.

Figura 21. Configuración del escaneo para el sitio web

 Figura 22. Resultado obtenido del escaneo al sitio web

Para este sitio web, no se hallaron vulnerabilidades de niveles de gravedad a considerar.

Todos los hallazgos han sido en la parte de información.
 Figura 23. Lista de vulnerabilidades encontradas al sitio web

Figura 24. Ejemplo de una de las vulnerabilidades halladas en el sitio web

3.4 ENLACE DEL VIDEO DE SUSTENTACIÓN

https://web.microsoftstream.com/video/43bef075-a0c7-4bbb-85a7-34981ca5ff79
 4. CONCLUSIONES

Se identificó que en la red existen multiples herramientas para la realización de pruebas

de vulnerabilidades a los sitemas, en estas NESSUS, que tienen una interfaz sencilla y de
facil entendimiento. Asi mismo, s elogro sumistrar un informe detallado de la correcta
utilización de esta herramienta y que será de gran ayuda a toda persona o empresa que
desea realizar un escaner y analisis de vulnerabilidades con el fin de fortalecer su
seguridad informatica. En ese sentido, no cabe duda que los cambios que sirvan para
mejor la seguridad de la información en cualquier empresa deber ser acogidos, por lo cual
el aprovechamiento de estas herramientas debe ser explotado lo maximo posible.
 5. BIBLIOGRAFIA

Nessus professional. Tenable. [En línea] https://es-

la.tenable.com/products/nessus/nessus-professional.
SEAQ. Nessus® es el escáner de vulnerabilidad web más utilizado de la industria. [En
línea] https://www.seaq.co/nessus.html.