Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría Informática
Guía didáctica
4 créditos
Ciclo Carrera
10 Informática
Auditoría Informática
Guía didáctica
4 Créditos
Carrera Ciclo
Informática X
Autora:
Romero González Karla Alexandra
SIST_1012
La Universidad Católica de Loja
Asesoría virtual:
www.utpl.edu.ec
Universidad Técnica Particular de Loja
Auditoría Informática
Guía didáctica
Romero González Karla Alexandra
Primera edición
ISBN digital - 978-9942-39-784-3
Reconocimiento-NoComercial-CompartirIgual
4.0 Internacional (CC BY-NC-SA 4.0)
Usted acepta y acuerda estar obligado por los términos y condiciones de esta Licencia, por lo que, si existe el
incumplimiento de algunas de estas condiciones, no se autoriza el uso de ningún contenido.
Los contenidos de este trabajo están sujetos a una licencia internacional Creative Commons Reconocimiento-
NoComercial-CompartirIgual 4.0 (CC BY-NC-SA 4.0). Usted es libre de Compartir — copiar y redistribuir el material en
cualquier medio o formato. Adaptar — remezclar, transformar y construir a partir del material citando la fuente, bajo los
siguientes términos: Reconocimiento- debe dar crédito de manera adecuada, brindar un enlace a la licencia, e indicar si
se han realizado cambios. Puede hacerlo en cualquier forma razonable, pero no de forma tal que sugiera que usted o su
uso tienen el apoyo de la licenciante. No Comercial-no puede hacer uso del material con propósitos comerciales. Compartir
igual-Si remezcla, transforma o crea a partir del material, debe distribuir su contribución bajo la misma licencia del original.
No puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otras a hacer cualquier uso
permitido por la licencia. https://creativecommons.org/licenses/by-nc-sa/4.0/
31 de marzo, 2023
2. Indice
2. Indice 4
3. Introducción 6
4. Bibliografía 8
4.1. Básica 8
4.2. Complementaria 8
PRIMER BIMESTRE
Autoevaluación 1 27
Autoevaluación 2 48
Autoevaluación 3 66
SEGUNDO BIMESTRE
Autoevaluación 4 86
Autoevaluación 5 95
Autoevaluación 6 122
7. Solucionario 125
8. Glosario 131
3. Introducción
Una vez comprendido los beneficios, le animo estimado estudiante a que explore
esta rama de la Informática mediante el estudio de este componente académico,
el mismo que se estudia en décimo ciclo de la carrera de Informática y es válido
por 4 créditos que se asignan al finalizar el ciclo académico y sus temas de
estudio están divididos de la siguiente manera:
Le auguro el mejor de los éxitos para que cumpla con el objetivo de culminar el
estudio de este componente académico, con el compromiso de que tendrá a la
mano todos los recursos y el acompañamiento del tutor necesario para hacerlo.
4. Bibliografía
4.1. Básica
4.2. Complementaria
▪ Desarrolle las Actividades Práctico Experimental APE que son las tareas o
actividades programadas y que se pide que las envíe por bimestre.
▪ Desarrolle las Actividades Autónomas AA, que son las actividades referentes
a la lectura del contenido de la guía y del texto base, la revisión del material
y recursos que son de apoyo para el aprendizaje, así como los cuestionarios
en línea propuestos por cada unidad de estudio y las autoevaluaciones.
Primer Bimestre
Figura 1.
Pilares de la seguridad de la información.
ión
mac Go
be
r
i nfo rna
nz
l a Gestión a
e
a dd de la seguridad
ri d
gu de la información
Se
Política
Nota. Adaptado de Management of information Security [Imagen], por Chegg Inc, Chegg.
con éxito los ataques, reducen el riego del robo de información, buscan
solucionar vulnerabilidades y mejorar sobre todo la seguridad de la
información de una organización. Los controles se clasifican en:
Tipos de auditoría
1. Planificación:
Finalmente, en esta fase se establece el equipo auditor que por lo general son
profesionales expertos en temas de seguridad de la información, hacking ético y
uso de herramientas técnicas de auditoría de seguridad.
Considere que dentro de esta fase es necesario que el auditor informático solicite
o tenga acceso a algunos documentos, como informes de previas auditorías,
actas de creación de políticas y controles de seguridad, normas aplicadas con
anterioridad, por ejemplo, si usaron la ISO 27001 para implantar un Sistema
de Gestión de Seguridad de la Información - SGSI, documentación de cambios
de controles de seguridad o de implantación de nuevos controles, también se
considera, los contratos con proveedores de servicios, documento de compra de
infraestructura de TI, etc.
El resultado de esta fase determina el punto exacto del tratamiento de los riesgos,
es decir, es la propuesta de los posibles controles para mitigar las vulnerabilidades
encontradas en los activos, para conseguir este resultado se utiliza la Matriz de
Riesgos, este tema se lo estudiará con más detalles en esta guía didáctica en la
unidad 2. Análisis de riesgos de los sistemas de información.
3. Desarrollo de informe
4. Monitorización o seguimiento
El hacking ético es una práctica autorizada por una organización que contrata
a un hacker ético para detectar vulnerabilidades en una aplicación, sistema o
infraestructura de dicha organización. La detección de vulnerabilidades busca
evitar la seguridad del sistema y así identificar posibles violaciones de datos y
amenazas en una red que no se ven a simple vista. Buscan puntos débiles que
los hackers (atacantes), pueden aprovechar y explotar estas vulnerabilidades y
manipular o robar datos.
La técnica más utilizada por los hackers éticos para detectar estas
vulnerabilidades es la prueba de penetración o pentesting, que es
prácticamente un ciberataque simulado contra su sistema informático para
comprobar si existen vulnerabilidades explotables para poder obtener información,
por lo tanto, algunas fases de esta auditoría informática basada en hacking ético
utilizan las principales fases de una prueba de penetración (o en algunos casos
conocido como fases de un ataque cibernético), estas fases se describen a
continuación en la siguiente infografía.
Figura 2.
ISSAF Framework Methodology.
Obtención de
acceso y Enumeración
Penetración. escalada de adicional.
privilegios.
Comprometer
Sitios/ Mantener el Cubrir las
Usuarios acceso huellas
Remotos
Nota. Adaptado de ISSAF Framework Methodology [Imagen], por Sanjaya et al., 2020,
International Journal of Computer Network and Information Security
1 https://www.cloudflare.com/es-es/learning/security/threats/owasp-top-10/
Figura 3.
Análisis de riesgos desde la perspectiva de OWASP.
Nota. Adaptado de Risk analysis from the OWASP perspective [Imagen], por Sanjaya et al., 2020,
International Journal of Computer Network and Information Security
Normas y leyes
Leyes
Es una regla establecida por lo general por una autoridad y que se debe cumplir
de carácter obligatorio.
Autoevaluación 1
¡Éxitos en la autoevaluación!
a. Confidencialidad.
b. Seguridad.
c. Integridad.
a. Disponibilidad.
b. Integridad.
c. Confidencialidad.
a. Activo.
b. Ataque.
c. Acceso.
a. Planificación.
b. Análisis de riesgos y amenazas.
c. Monitorización o seguimiento.
a. Dinámico.
b. Activo.
c. Pasivo.
a. Caja gris.
b. Caja blanca.
c. Caja negra.
a. Amenazas.
b. Falsos negativos.
c. Falsos positivos.
a. OSSTMM
b. OWASP
c. ISSAF
10. Son reglas establecidas por una autoridad y que se deben cumplir de
carácter obligatorio.
a. Leyes.
b. Normas.
c. Marcos de referencia.
Figura 4.
Proceso de gestión de riesgos.
Risk Management
Risk Risk
Identification Assessment Risk Control
Determine Loss
Identify, Inventory, & Select Control
Frequency
Categorize Assets Strategies
(Likelihood)
Nota. Adaptado de Risk Management Process [Imagen], por Whitman, M. E., & Mattord, H. J,
2018, In Cengage Learning
▪ Responda con sus propias palabras ¿La ISO 27001 le ayuda a identificar
riesgos? ¿Cuáles son los principales riesgos según esta norma?
▪ El valor del riesgo está dado por el resultado del daño que puede ocasionar
una amenaza al materializarse por la probabilidad de ocurrencia de la
misma, entonces tenemos que Riesgo = Impacto x Probabilidad, cuyos
resultados se presenta incluyendo una clasificación de su criticidad riesgos
altos (rojo), riesgos medios (color amarillo), riesgo bajo (color verde). El valor
del riesgo en algunos casos se representa en una matriz de riesgos, la figura
5 muestra un ejemplo.
Figura 5.
Matriz de Riesgos
Matriz de Riesgos
Puntuación de probabilidad por impacto
Impactos
Probabilidad
Muy baja Baja Media Alta Muy alta
Muy alta 5 9 18 36 72
Alta 4 7 14 28 56
Media 3 5 10 20 40
Baja 2 3 6 12 24
Muy baja 1 1 2 4 8
Nota. Adaptado de Matriz de Riesgos [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Una matriz de riesgos empieza por medir el impacto, es decir, cuanto daño
puede hacer una amenaza a un activo de información al materializarse. Para
determinar el impacto se identifica los activos de información más críticos para
la organización, en algunos casos, se valora el impacto determinando el costo
financiero del activo de información si este se viera comprometido o se perdiera.
En la figura 6 y 7 se tiene algunos ejemplos de valor que el impacto puede tener,
el equipo auditor determina qué escala utilizar.
Figura 6.
Ejemplos de valor de impacto
Nota. Adaptado de Valor de Impacto de TI por Romero, K., & Jaramillo, D., 2021, Fundamentos y
Aplicación de Seguridad de la información - Guía didáctica.
Figura 7.
Ejemplos de valor de impacto
5 Grave
4 Medianamente grave
3 Limitado
2 Medianamente limitado
1 Ligero
Nota. Adaptado de Valor de Impacto de TI [Imagen] por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
El valor del impacto puede tener también una escala más significativa, como
ejemplo se puede observar en la figura 8.
Figura 8.
Escala de valor de impacto
Nota. Adaptado de Valor de Impacto [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
▪ Histórico de ocurrencias.
Figura 9.
Escala de valor de probabilidad
Probabilidad de Probabilidad de
Probabilidad ocurrencia % ocurrencia cuantitativa
Nota. Adaptado de Valor de Probabilidad [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Figura 10.
Escala de valor de riesgo
Nota. Adaptado de Escala de Valor de Riesgo [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
opciones que permiten tratar riesgos, es importante que revise este apartado para
luego poder comprender las posibles estrategias de mitigación que existen y que
se describen a continuación:
Monitoreo y reportes
(Romero & Jaramillo, 2021) definen que esta fase es un proceso sistemático
donde se reúne la información necesaria del proceso de gestión de riesgos, se
verifica si el plan de gestión de riesgos cumplió con los objetivos para el que fue
implementado, así como también encontrar problemas y tratar de resolverlos.
El trabajo del equipo de gestión de riesgos no termina en esta fase, aún aquí se
debe identificar nuevas amenazas y vulnerabilidades, así como la reunión de
evidencias que apoyen a la toma de decisiones.
Octave
2 https://www.ibm.com/docs/es/qradar-on-cloud?topic=management-asset-profiles
Figura 11.
Proceso de metodología Octave Allegro
Fase 3: Reconocer
Fase 5: Reconocer
el contenedor de Fase 7: Examinar
el esquema de
activos de los riesgos.
amenazas.
información.
Fase 8: Elegir la
estrategia de
mitigación.
Nota. Adaptado de Fases de Octave Allegro [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica..
ISO 27005
Figura 12.
Proceso de gestión de riesgos de la ISO 27005
Nota. Adaptado de Proceso de la ISO 27005 [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Todas las fases de esta norma son de suma importancia implementarlas, pero
se debe tomar en cuenta la diferencia principal entre el análisis de riesgo y la
evaluación del riesgo.
Figura 13.
Diferencias entre Análisis y Evaluación del riesgo de la ISO 27005
Nota. Adaptado de Evaluación y Análisis de Riesgos [Imagen], por Romero, K., & Jaramillo, D.,
2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
3 Conjunto de lineamientos y directrices que se utilizan como guía y apoyan a la toma de decisiones.
Figura 14.
Perspectivas de riesgos según COBIT for Risk
Perspectiva de la Perspectiva de la
función de riesgos Habilitadores COBIT 5 gestión de riesgos
Perspectiva de la Perspectiva de la
función de riesgos gestión del riesgos
Nota. Adaptado de Habilitadores COBIT 5 [Imagen], por COBIT 5 for Risk., 2013, Marco de
Referencia.
COBIT 5 for risk tiene dos procesos principales del riesgo. En la figura 15 se
describe a que se refiere cada uno.
Figura 15.
Procesos para la gestión de riesgos según COBIT for RISK
Procesos Razonamiento
COBIT 5
Nota. Adaptado de Habilitadores COBIT 5 [Iamgen], por COBIT 5 for Risk., 2013, Marco de
Referencia.
Autoevaluación 2
¡Éxitos en la autoevaluación!
a. Valor de riesgo.
b. Identificación de riesgos.
c. Riesgo residual.
a. Priorizar activos.
b. Identificar activos.
c. Planificar y organizar.
a. Malware.
b. Personas.
c. Desastres naturales.
a. Amenaza.
b. Impacto.
c. Vulnerabilidad.
a. Asumiendo.
b. Transfiriendo.
c. Mitigando.
8. Cuando una organización contrata un servicio de seguro para sus activos de
información, al riesgo lo está:
a. Asumiendo.
b. Transfiriendo.
c. Mitigando.
9. Cuál de los siguientes estándares nos ayuda a gestionar los riesgos de los
activos de información:
a. ISO 34000
b. ISO 27001
c. ISO 27005
a. ISO 27005
b. COBIT for Risk
c. ISO 27001
sistema informático, redes y/o sus datos, realizado por un hacker o personas mal
intencionadas que con la utilización de herramientas y técnicas logran su objetivo.
Ingeniería social
La ingeniería social tiene un ciclo de vida con sus fases y cada uno con sus
actividades, este ciclo de vida se puede observar en la figura 16.
Figura 16.
Fases de la Ingeniería social
Nota. Adaptado de Cycle of Social Engineering [Imagen], por Cybersecurity Exchange, 2020, EC-
Council. CC BY 2.0
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa
en el error humano, más que en las vulnerabilidades del software y los sistemas
operativos. Es por eso por lo que se considera que las personas son el eslabón
más débil de la cadena de seguridad de información.
Ataques de red
▪ Ataques de red pasivos: los hackers acceden sin autorización a las redes,
las vigilan y roban datos privados sin realizar ninguna alteración.
Independientemente del tipo de ataque que sea, existen algunos ataques de red
muy conocidos, como:
Figura 17.
Funcionamiento del ataque DoS o DDoS.
Nota. Adaptado de Ataque DoS o DDoS [Imagen], por Whitman, M. E., & Mattord, H. J, 2018, In
Cengage Learning.
Figura 18.
Funcionamiento de Man in the Middle Attack.
Conexión original
X
WWW
El atacante
Hombre en el medio
Nota. Adaptado de Man in the Middle Attack [Imagen], por Wallarm, 2022.
Figura 19.
Funcionamiento de ataque por diccionario y fuerza bruta.
▪ Man in the middle password attacks, este tipo de ataque tiene la lógica
de intercepción del tráfico de MitM estudiado anteriormente, es decir, aquí
intervienen tres partes: un usuario, un hacker y una plataforma a la que el
usuario intenta acceder. Los atacantes se sitúan entre las dos, disfrazados
de sitio web legítimo, pero redirigiendo a los usuarios a uno fraudulento,
aquí los usuarios introducen sus contraseñas en este sitio web falso y sus
cuentas son pirateadas.
Figura 20.
Ataques por contraseña.
Nota. Adaptado de Common Types of Password Attacks [Imagen], por NORTON, 2022.
Ataques a aplicaciones
Consideremos siempre que los hackers buscan atacar a los sistemas principales
de una organización y lo hacen de manera escalada, es decir, buscan
vulnerabilidades, sea en la red o en aplicaciones alojadas en sus servidores, y las
explotan para llegar al sistema central de un servidor por lo general. Los ataques
a las aplicaciones web son los más comunes y los más “hackeados”.
Los atacantes pueden utilizarla para obtener acceso no autorizado a sus datos
confidenciales, como: información de clientes, datos personales, secretos
comerciales, propiedad intelectual, etc. En la figura 21 se puede observar cómo
interviene el atacante en SQLi.
Figura 21.
Ataques por inyección SQL.
Figura 22.
Ataque Buffer Overflow Attack.
Function Function
Parameters Parameters
Buffer Buffer
Figura 23.
Ataque XSS.
Sitio web
La cookie de sesión
4 del visitante se
envía al atacante. www
Figura 24.
Ataque Cross-Site Request Forgery.
2
El banco asigna a la víctima
un token de validación. Sitio web
Víctima bancario
3 5
4
El banco ejecuta la
El hacker envía una solicitud solicitud falsificada
falsificada, disfrazada como utilizando el token de
una comunicación legítima validación previamente
del banco. asignado.
Hacker
Amenazas físicas
Este tipo de ataque está orientado a las diferentes acciones que las personas
hacen cuando interactúan con otras personas o en el entorno donde van a llevar a
cabo el ataque, con la finalidad de obtener algún tipo de información.
Software malicioso
Figura 25.
Tipos de Malware
Amenazas al hardware
Según (Moein et al., 2017) las amenazas al hardware tienen como objetivo
acceder físicamente a un sistema para obtener información almacenada,
determinar la estructura interna del hardware o inyectar un fallo. Un ataque de
hardware puede dar a un atacante el control total sobre un sistema, lo que le
permite acceder a datos sensibles y plantar código malicioso que no puede ser
detectado o eliminado por las medidas de seguridad tradicionales.
▪ Revise los videos de las tutorías para poder reforzar el aprendizaje de los
temas que se estudiaron este bimestre.
Autoevaluación 3
¡Éxitos en la autoevaluación!
a. Ataque.
b. Riesgo.
c. Vulnerabilidad.
a. Interrupción.
b. Intercepción.
c. Modificación.
a. XSS.
b. Malware.
c. Ingeniería social.
a. Vishing.
b. Suplantación de identidad.
c. Phishing.
5. Cuando un hacker accede sin autorización a las redes, roban los datos, pero
no los alteran, es un ataque de red:
a. Pasivo.
b. Activo.
c. DoS.
a. XSS
b. MitM
c. DoS
7. En este tipo de ataque el hacker utiliza una lista de palabras cuya intención
es descubrir una contraseña.
a. MitM.
b. Diccionario y fuerza bruta.
c. Keylogger attack.
a. XSS.
b. Buffer Overflow.
c. SQLi.
a. Malware.
b. XSS.
c. SQLi.
Segundo Bimestre
Algunas actividades como las descritas a continuación son las principales que se
deben cumplir en este tipo de auditoría.
Figura 26.
Ejemplo de reporte Angry Ip Scanner
Tabla 1.
Fases de una auditoría seguridad de sistemas o redes
Fase 1. Obtención de
Fase 2. Ataque Fase 3. Resultados
Información
Recolección de información Con la información Redacción del informe
como listado de servidores obtenida, se selecciona técnico y ejecutivo con los
físicos o servicios Cloud las técnicas y hallazgos encontrados,
contratados, verificación herramientas que más vulnerabilidades
de puertos abiertos de los se adapten para llevar enlistadas y posibles
mismos y toda la información a cabo el ataque. Se soluciones a considerar,
de los sistemas operativos debe considerar que este basadas en controles.
y aplicaciones, versiones, ataque es siempre bajo
parches, etc. un ambiente controlado.
El hacker ético o auditor informático debe también tener conocimiento acerca del
manejo de herramientas y ciertas técnicas para obtener información básica del
sistema operativo como, por ejemplo: Ping, Tracert, Pathping, Netstat, Whois,
Nslookup, Ipconfig, Getmac, Arp -a, Netsh, Hostname, Route, Nbtstat. Cada una
de las técnicas tiene su propósito específico en la obtención de la información del
sistema objetivo que se está evaluando.
Las fases de la auditoría técnica para la seguridad de redes son idénticas a las
fases estudiadas en el apartado 4.1 de esta unidad, lo que difiere en sí, es en
el uso de técnicas y herramientas que estarían más orientadas a verificar los
controles establecidos en la red de datos y comunicación de una organización.
Figura 27.
Ataque ARP Spoofing
Bob Mary
IP: 192.168.0.1 Router IP: 192.168.0.5
MAC: [aa.aa] MAC: [bb.bb]
Attacker
IP: 192.168.0.3
MAC: [cc:cc]
Tabla 2.
Fases de una auditoría seguridad de sistemas o redes
Fase 1. Obtención de
Fase 2. Ataque Fase 3. Resultados
información
Obtención del esquema Con la información Redacción del informe
de red y direcciones IP, obtenida, se selecciona las técnico y ejecutivo con los
escucha y captura del técnicas y herramientas hallazgos encontrados,
tráfico de la red, verificación que más se adapten para vulnerabilidades enlistadas
de puertos y servicios llevar a cabo el ataque. Se y posibles soluciones a
habilitados para el tráfico de debe considerar que este considerar, basadas en
paquetes. ataque es siempre bajo un controles.
ambiente controlado.
Nota. Elaboración Propia
Figura 28.
Top 10 OWASP 2021
Figura 29.
Ejemplo de reporte OpenVas
Nota. Adaptado de Reporte OpenVas [Imagen], por Networks and Servers, 2017.
▪ Cain y Abel es una herramienta que se usa para evaluar la seguridad de los
sistemas y generalmente sistemas Windows, se utiliza comúnmente como
una herramienta de cracking de contraseñas. Puede recuperar contraseñas
de múltiples fuentes, incluyendo sistemas de archivos, sniffing de red,
descifrado de hashes y ataques de diccionario. Sin embargo, debido a su
naturaleza potente y peligrosa, es importante tener en cuenta que su uso
ilegal está prohibido en muchos países y su uso ético está restringido a fines
de prueba y evaluación de seguridad. Es importante utilizar esta herramienta
en entornos controlados y autorizados.
Figura 30.
Ejemplo de uso de TCPDUMP
Figura 31.
Ejemplo de reporte de Nessus
Figura 32.
Interfaz de Burp Suite
Nota. Adaptado de Burp Suite Preofessional Scan [Imagen], por IGET INTO PC, 2019.
Estas herramientas son utilizadas por los atacantes para acceder a sistemas y
aplicaciones restringidas mediante la probabilidad y la repetitividad. Estos ataques
tienen como objetivo descubrir contraseñas y otros secretos mediante el uso de
combinaciones de palabras y números hasta que se encuentra una combinación
que funcione (Menéndez Arantes, 2022).
Figura 33.
Módulos instalados con Medusa
▪ ¿Cuáles son las diferencias entre las tres herramientas? ¿En qué
sistema operativo funcionan? ¿Son de código libre? ¿Qué datos se
obtienen en el reporte?
Autoevaluación 4
¡Éxitos en la autoevaluación!
a. Escaner de puertos.
b. Footprinting.
c. Fingerprint.
2. Es una técnica que sirve para recolectar información pública del sistema a
auditar:
a. Escaner de puertos.
b. Footprinting.
c. Fingerprint.
a. ARP Poisoning.
b. MitM.
c. Sniffing.
a. Escaner de puertos.
b. Análisis estático.
c. Análisis dinámico.
a. OpenVas.
b. Ping.
c. TcpDump.
a. TcpDump.
b. Burp Suite.
c. Nessus.
a. Nessus.
b. Burp Suite.
c. TcpDump.
8. Cuál de las siguientes es una herramienta para ataques de fuerza bruta y
diccionario:
a. Nessus.
b. Burp suite.
c. Ncrack.
a. Nessus.
b. Medusa.
c. Ncrack.
a. Hydra.
b. Nessus.
c. Ncrack.
nte que vuelva a revisar los contenidos estudiados en esta unidad y lo vuelva a
intentar.
Tabla 3.
Fases de una auditoría seguridad de internet
Fase 1. Obtención de
Fase 2. Ataque Fase 3. Resultados
información pública
Obtención de toda la Con la información Redacción del informe
información pública obtenida, se selecciona las técnico y ejecutivo con los
disponible, sobre todo técnicas y herramientas que hallazgos encontrados,
utilizando herramientas más se adapten para llevar vulnerabilidades enlistadas
como navegadores. a cabo el ataque. y posibles soluciones a
considerar, basadas en
controles.
Nota. Elaboración Propia
▪ Google Dorks, según (Globa et al., 2021) es una técnica que hace uso
de los servicios avanzados de búsqueda de Google para localizar datos
valiosos y públicos. Realiza la búsqueda de información usando operadores
específicos que ayudan a encontrar información en: bases de datos, páginas
web, imágenes y en todo el contenido que se encuentra en Internet. Esta
herramienta puede ser utilizada tanto para hacking ético como para fines
delictivos, lamentablemente contra este tipo de técnica no se puede hacer
muchos controles exhaustivos, pues toda la información se encuentra en
Internet.
Los operadores Google Dorks más utilizados según (Globa et al., 2021) son:
• Intitle: se utiliza para buscar varias palabras clave dentro del título.
Filetype: sirve para buscar cualquier tipo de extensión de archivo.
• Directory Listing :es una función del servidor web que muestra el
contenido del directorio cuando no hay ningún archivo de índice en
un directorio específico del sitio web. Es peligroso dejar esta función
activada para el servidor web porque conduce a la divulgación de
información (Invicti, 2023). En la figura 34 se puede revisar cómo se
enlistan los directorios de un servidor si la opción de directory listing no
está deshabilitada.
Figura 34.
Ejemplo de la lista de un directorio en un servidor.
Nota. Adaptado de Directory Listing [Imagen], por White OAK Security, 2020.
Figura 35.
Funcionamiento de un Firewall
Internet
Red local
Firewall Router
Para (Whitman & Mattord, 2018), las reglas del cortafuegos funcionan según
el principio de “lo que no está permitido está prohibido”, también conocido
como reglas expresamente permitidas. En otras palabras, a menos que una
regla permita explícitamente una acción, esta es denegada. En la figura 36
se puede observar un ejemplo de configuración de reglas.
Figura 36.
Funcionamiento de un Firewall
▪ Recuerde las opciones que activa para que al finalizar la práctica regrese a
la configuración inicial del sistema.
Autoevaluación 5
¡Éxitos en la autoevaluación!
a. SQLi.
b. Google Dorks.
c. Firewall.
a. SQLi.
b. Google Dorks.
c. Firewall.
3. Ayuda a filtrar la información que circula entre la red exterior y la red interior
de una organización:
a. Google Dorks.
b. Firewall.
c. IpTables.
a. Controles correctivos.
b. Antivirus.
c. Reglas de firewall.
a. Proxy.
b. Satateful inspection.
c. UTM.
a. UTM.
b. Paket-Filtering.
c. Circuit-Level.
a. Stateful inspection.
b. UTM.
a. Stateful inspection.
b. Última generación NGFW.
c. Circuit-level.
a. Stateful inspection.
b. Última generación NGFW.
c. Application level.
a. Multilayer inspection.
b. Última generación NGFW.
c. Stateful inspection.
Figura 37.
Componentes del plan de contingencia
Plan de
contingencia
Planificación de la
reanudación de negocio
Nota. Adaptado de Business resumption planning [Imagen] , por Whitman, M. E., & Mattord, H. J,
2018, Principles of Information Security
Tabla 4.
Fases de un BCN con base en la ISO 22301:2019
Inicio y dirección
Para definir el alcance del BCP, es importante identificar los procesos críticos
de la organización, y son aquellos que son esenciales para el funcionamiento
continuo de la organización. Como referencia de identificación de procesos para
la continuidad de negocio en la figura 38 muestra una categorización de procesos.
Figura 38.
Categoría de procesos en una organización
Misión crítica
Importantes
Menores
Nota. Adaptado de Categoría de procesos en una organización [Imagen], por Romero, K., &
Jaramillo, D., 2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Análisis de impacto
Una vez que se tienen identificados los procesos críticos en los que se basará el
BCP, se evalúan las vulnerabilidades, determinando el valor de los riesgos con
base en la probabilidad e impacto potencial de un evento no deseado. Cuando
se tiene la lista de estos riesgos identificados y priorizados se debe hacer un
análisis de impacto financiero y operativo en caso de una amenaza o evento se
materialice.
Otra de las actividades primordiales en esta fase del BCP es que se evalúe la
capacidad que tiene la organización de responder a un evento no deseado,
en este caso se puede hacer uso de análisis de riesgos basado en escenarios
(Whitman & Mattord, 2018).
Desarrollo de estrategias
En esta fase es donde se desarrollan las soluciones para poder mantener los
procesos críticos y minimizar los impactos de un evento no deseado. Parte del
análisis del impacto donde se evalúa estos resultados y se determina aceptar, las
soluciones en términos de evitar, reducir o transferir los riesgos relacionados con
posibles interrupciones del negocio.
Figura 39.
Elementos para definir la estrategia de continuidad
Nota. Adaptado de Elementos de una estrategia de continuidad [Imagen], por INCIBE., 2017.
Figura 40.
Tiempos de recuperación
Tiempo de recuperación
Nota. Adaptado de Tiempos de Recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Figura 41.
Línea de tiempo de recuperación de la organización.
Pruebas y
Inicio Recuperación Recuperar Recuperar verificación Reanudar
Último Sistemas Recuperación del sistema datos trabajo de datos y operaciones
backup inhabilitados del sistema completo perdidos perdido sistemas normales
MTD
1 2 3 4
Nota. Adaptado de Línea de tiempo de recuperación de la organización [Imagen], por Romero, K.,
& Jaramillo, D., 2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Figura 42.
Costo que asume la organización por tipo de tratamiento.
Evitar el riesgo
Distribución del
negocio
Costo
Mitigación del riesgo
Transferencia
del riesgo
Aceptación
del riesgo
Nota. Adaptado de Costo de recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Según (Romero & Jaramillo, 2021), se pueden considerar tres opciones básicas
de recuperación, estas están descritas en la figura 43.
Figura 43.
Opciones de recuperación
Nota. Adaptado de Opciones de recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Al igual que toda la familia de los estándares ISO, su proceso operativo está
basado en el ciclo de mejora continua, o ciclo de Demming (Planificar, hacer,
verificar y actuar - PDCA). En la figura 44 se define cómo se agrupan las 10
cláusulas de la ISO 22301 y cómo se relacionan con el PDCA.
Figura 44.
Relación PDCA y ISO 22301
Gestión de la continuidad
Organización del negocio(4)
y su contexto
Operación
y Soporte
(7,8)
Evaluación de Resultados
Planificación Liderazgo esperados
desempeño
(6) (5)
(9)
Necesidades
de las partes
interesadas Mejora
(10)
Nota. Adaptado de Relación PDCA e ISO 22301 [Gráfico], por BSI GROUP., 2016.
Como todas las normas de la familia ISO, la ISO 22301 necesita del compromiso
de la alta dirección denominado “liderazgo” con el fin de procurar alcanzar
los objetivos planteados del SGCN y que estos sean afines a las estrategias
de dirección organizacional, es por esto que es necesario la creación de
políticas que respalden el SGCN y que a su vez cumpla con requisitos legales
y reglamentarios. También como se estudió en las fases de BSC, cuando se
desarrolla e implementa el BSC es necesario de recursos para implantar las
estrategias, y quiénes deben estar de acuerdo o no en la obtención de los mismos
es la alta dirección.
El alcance y objetivos del SGCN deben ser medibles y alcanzables y para esto en
la cláusula de planificación se requiere que la organización o el equipo a cargo
identifique los riesgos por los que estos objetivos no se llegarían a cumplir. Por lo
que es importante verificar todo el entorno de la organización y los factores que
inciden en esos objetivos.
Como todo sistema de gestión se debe hacer una evaluación del desempeño
del SGCN establecido por medio de auditoría con base en métricas de
desempeño, en caso de que al evaluar las métricas, exista un cambio, se hace y
se implementan las medidas correctivas y se determina una mejora del SGCN.
Tabla 5.
Procesos y prácticas ITIL que apoyan a la gestión de continuidad
Proceso Prácticas
Continuidad del Planificación, diseño, implementación y prueba de la continuidad
servicio: del servicio para asegurar que los servicios críticos se mantengan
operativos durante interrupciones.
Gestión de la Planificación, diseño, implementación y monitoreo de la
disponibilidad: disponibilidad de los servicios de TI para asegurar que se cumplan
los acuerdos de nivel de servicio con los usuarios, sobre todo a
nivel de proveedores.
Gestión de Planificación y control de la capacidad de los servicios de TI para
capacidades: asegurar que se cumplan los acuerdos de nivel de servicio entre
usuarios y proveedores.
Gestión de Planificación, implementación y monitoreo de la seguridad de los
seguridad: servicios de TI para asegurar la continuidad y la integridad de los
datos.
Nota. Elaboración Propia.
Figura 45.
Objetivos de un ITSCM
Objetivos de un ITSCM
Algunas métricas para medir la efectividad del ITSCM de ITIL según (Van Bon et
al., 2017) son:
COBIT
Según (ISACA, 2018), COBIT 5 incluye una guía para la gestión de continuidad y
recuperación de desastres, que se integra con la gestión de riesgos y la seguridad
de la información. La integración de COBIT 5 en la gestión de continuidad
permite a las organizaciones evaluar y mejorar sus capacidades de continuidad
de negocios, lo que a su vez ayuda a garantizar la continuidad de la entrega de
servicios y productos.
Figura 46.
Proceso DSS04
NIST SP 800-34
Figura 47.
Proceso de planificación de contingencias según NIST SP 800-34
Mantenimiento
del Plan.
Nota. Adaptado de Proceso de NIST SP 800-34 [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Autoevaluación 6
¡Éxitos en la autoevaluación!
a. BCM.
b. BCC.
c. BIM.
a. Riesgo.
b. Vulnerabilidad.
c. Interrupción.
a. Plan de negocio.
b. FODA.
c. Plan de contingencia.
a. Inicio y dirección.
b. Análisis de impacto.
c. Implementación.
a. Inicio y dirección.
b. Análisis de impacto.
c. Implementación.
a. Análisis de impacto.
b. Preparación y planificación.
c. Implementación.
a. Procesos menores.
b. Procesos Importantes.
c. Procesos de misión crítica.
7. Solucionario
Autoevaluación 1
Pregunta Respuesta Retroalimentación
1 b Cuando deseamos que un activo de información esté libre de
peligro o daño, debemos buscar su seguridad.
2 c Al proteger la información de la divulgación y acceso por
personas o sistemas no autorizados, estamos garantizando la
confidencialidad.
3 b Un ataque es un acto que puede dañar o poner en peligro la
información, y puede ser intencional o no intencional.
4 b En la fase de análisis de riesgos y amenazas de la auditoría
informática se define objetivamente algunos controles o
soluciones que apoyen al tratamiento de los riesgos.
5 c Cuando se hace un escaneo de información en diversas
fuentes abiertas, es un tipo de análisis pasivo.
6 a En la fase obtener acceso y explotación de la auditoría
basada en hacking ético , el hacker ético mide las
consecuencias de la violación de controles y las pérdidas que
estas generan.
7 c Cuando en la auditoría el hacker ético no se dispone de
ninguna información de la organización y se ejecuta el
pentesting desde la red externa, es una auditoria de caja
negra.
8 c Las herramientas para la auditoría informática que generan
reportes donde se obtienen vulnerabilidades que realmente no
existen, se los conoce como falsos positivos.
9 b OWASP es una metodología que ayuda a identificar los
riesgos de seguridad más críticos para las aplicaciones web.
10 a Las leyes son reglas establecidas por una autoridad y que se
deben cumplir de carácter obligatorio.
Autoevaluación 2
Pregunta Respuesta Retroalimentación
1 b Identificación de riesgos es el proceso de analizar, valorar y
documentar los riesgos de los activos de información de una
organización.
2 c En qué fase del proceso de gestión de riesgos se define el
contexto y el alcance de este, planificar y organizar.
3 a Para la priorización de los activos de información se puede
tomar en cuenta el valor financiero del impacto que causa
perder este activo de información.
4 b De las siguientes amenazas, cuál es considerada el eslabón
más débil de la cadena de seguridad de la información,
personas.
5 c Una vulnerabilidad puede ser un defecto o debilidad en un
activo de información, puede ser intencional o no.
6 a El valor del riesgo está dado por impacto por probabilidad.
7 c Es la acción de minimizar la probabilidad de que se materialice
una amenaza, al riesgo se lo está mitigando.
8 b Cuando una organización contrata un servicio de seguro para
sus activos de información, al riesgo lo está transfiriendo.
9 c La ISO 27005 nos ayuda a gestionar los riesgos de los activos
de información.
10 b COBIT for Risk es un marco de gestión de riesgos asociados
con la TI.
Autoevaluación 3
Pregunta Respuesta Retroalimentación
1 a Un ataque es la acción de interrumpir, dañar o controlar un
sistema informático o una red de computadoras.
2 b La intercepción es un tipo de ataque en el que se ve afectada
la confidencialidad de la información.
3 c Es un tipo de ataque que por lo general se hace mediante la
interacción humana y manipulación psicológica, ingeniería
social.
4 b La suplantación de identidad es un tipo de ataque donde el
atacante estudia por mucho tiempo a la víctima, requiere de
mucho esfuerzo, tiene siempre éxito y es difícil de detectar.
5 a Cuando un hacker accede sin autorización a las redes, roban
los datos, pero no los alteran, es un ataque de red pasivo.
6 c DoS es un ataque que sobre carga las solicitudes al servidor,
por lo general un servidor web y el sistema se bloquea.
7 a Diccionario y fuerza bruta en este tipo de ataque el hacker
utiliza una lista de palabras cuya intención es descubrir una
contraseña.
8 c Keylogger attack es un programa espía que graba lo que se
escribe en el teclado.
9 c SQLi el hacker inyecta un código malicioso de tal manera que
puede obtener datos de la base de datos.
10 a El malware son programas informáticos diseñados para
realizar acciones maliciosas o no deseados dentro de un
sistema informático.
Autoevaluación 4
Pregunta Respuesta Retroalimentación
1 a Escaner de puertos: Son herramientas diseñadas para
comprobar qué puertos están disponibles y se están usando
para las comunicaciones.
2 b Footprinting: es una técnica que sirve para recolectar
información pública del sistema a auditar.
3 c Snnifing :es una técnica que sirve para escuchar paquetes de
datos en la red.
4 b Es un tipo de análisis que se lleva a cabo sin ejecutar la
aplicación web, análisis estático.
5 c Es una herramienta de línea de comandos que permite a
los usuarios capturar y analizar paquetes en tiempo real,
TcpDump.
6 b Burp Suite es una herramienta que funciona como un proxy
interactivo que permite monitorear, modificar y manipular el
tráfico de dato.
7 a Nessus es una herramienta que utiliza reglas de escaneo.
8 c Cuál de las siguientes es una herramienta para ataques de
fuerza bruta y diccionario, Ncrack.
9 b Medusa es una herramienta para ataques de fuerza bruta y
diccionario en diferentes protocolos, como: HTTP, FTP, SMS,
etc.
10 a Hydra es una herramienta para ataques de fuerza bruta y
diccionario en diferentes protocolos, como: SSH, FTP, Telnet,
etc.
Autoevaluación 5
Pregunta Respuesta Retroalimentación
1 b Google Dorks es una técnica que hace uso de los servicios
avanzados de búsqueda de Google.
2 a SQLi es un ataque que inyecta código aprovechando una
vulnerabilidad en la validación de los datos de entrada de un
formulario.
3 b Un firewall ayuda a filtrar la información que circula entre la
red exterior y la red interior de una organización.
4 c Son un conjunto de directrices configuradas por un
administrador de firewall, reglas de firewall.
5 a Es un firewall que hace función de Gateway entre dos redes
para aplicaciones concretas, Proxy.
6 b Firewall Paket-Filtering funcionan como un router
comparando cada paquete recibido con unos criterios
establecidos antes de que sean reenviados o eliminados.
7 c Es un tipo de firewall que se implementa para detener
amenazas como malwares, ramsonwares y ataques en la capa
de aplicación, última generación NGFW.
8 a Stateful inspection , este firewall examina los paquetes de
datos y hace seguimiento para verificar si este paquete es
parte de una sesión TCP.
9 c Application level es un firewall que filtran paquetes en función
del servicio al que están destinados (puerto destino).
10 a Es un firewall que combinan el filtrado de paquetes y
monitorización de circuitos, permiten conexiones entre hosts
locales y remotos de forma directa. Multilayer inspection
Autoevaluación 6
Pregunta Respuesta Retroalimentación
1 a La gestión de continuidad de negocio es conocida por sus
siglas en inglés BCM.
2 c Si un hacker sobre pasa los controles de seguridad de un
sistema informático y estos dejaron de funcionar, estamos
hablando de un/una interrupción.
3 b La auditoría en el proceso de gestión de continuidad de
negoción es un proceso sistemático y objetivo que se realiza
para evaluar la efectividad de la planificación, implementación
y gestión de la continuidad del negocio.
4 c El plan de contingencia es un documento de planificación
que describe las acciones que se deben tomar para prevenir
o mitigar los efectos de un evento inesperado o desastre
que pueda interrumpir las operaciones normales de una
organización.
5 c El plan de continuidad de negocio es un proceso sistemático
de planificación y preparación destinado a garantizar que una
organización pueda continuar sus operaciones críticas.
6 a La fase de BCP en donde se identifica el equipo responsable
de la planificación y ejecución del BCP, es inicio y dirección.
7 b La fase de BCP, en donde se identifican los riesgos potenciales
que estén afectando a la organización y se evalúa su impacto,
es análisis de impacto.
8 b La fase del BCP, en donde se desarrollan los procedimientos
para implementar las estrategias de continuidad de negocio, es
preparación y planificación.
9 c Los procesos de misión crítica son procesos de la
organización que al ser interrumpidos puede poner en peligro
la existencia de la organización y necesitan su recuperación
inmediata.
10 b Es el tiempo en que un proceso o sistema se paraliza antes de
que sea puesto en funcionamiento nuevamente, es el tiempo
de recuperación.
8. Glosario
9. Referencias bibliográficas
DeWall, B. (2020). Simple Security Fails (part 1) – The Directory Listing. https://
www.whiteoaksecurity.com/blog/2020-3-24-simple-security-fails-part-1-the-
directory-listing/
Hernández, G., Ramírez, T., & Mar, O. (2019). Sistema para la auditoría y control
de los activos fijos tangibles. Universidad y Sociedad, 11(1), 128–134. http://
scielo.sld.cu/pdf/rus/v11n3/2218-3620-rus-11-03-186.pdf
Moein, S., Gulliver, T. A., Gebali, F., & Alkandari, A. (2017). Hardware Attack
Mitigation Techniques Analysis. International Journal on Cryptography and
Information Security, 7(1), 9–28. https://doi.org/10.5121/ijcis.2017.7102
Romero Castro, M. I., Figueroa Morán, G. L., Vera Navarrete, D. S., Álava
Cruzatty, J. E., Parrales Anzúles, G. R., Álava Mero, C. J., Murillo Quimiz, Á.
L. & Castillo Merino, M. A. (2018). Introducción a la seguridad informática y
Vermeulen, A. (2017). Web Penetration Testing with Kali Linux. Packt Publishing
Ltd.
10. Anexos