Auditoria Informatica

Informática
Modalidad Abierta y a Distancia
Auditoría Informática
Guía didáctica
4 créditos
Ciclo Carrera
10  Informática
La Universidad Católica de Loja
Facultad de Ingenierías y Arquitectura

MODALIDAD ABIERTA Y A DISTANCIA
Facultad de Ingenierías y Arquitecturas

Departamento de Ciencias de la Computación y Electrónica
Guía didáctica
4 Créditos
Carrera Ciclo
 Informática X
Autora:
Romero González Karla Alexandra
SIST_1012
La Universidad Católica de Loja
Asesoría virtual:
www.utpl.edu.ec
Universidad Técnica Particular de Loja
Guía didáctica
Romero González Karla Alexandra
Diagramación y diseño digital:
Ediloja Cía. Ltda.

Telefax: 593-7-2611418.
San Cayetano Alto s/n.
www.ediloja.com.ec
edilojacialtda@ediloja.com.ec
Loja-Ecuador
Primera edición
ISBN digital - 978-9942-39-784-3
Reconocimiento-NoComercial-CompartirIgual
4.0 Internacional (CC BY-NC-SA 4.0)
Usted acepta y acuerda estar obligado por los términos y condiciones de esta Licencia, por lo que, si existe el
incumplimiento de algunas de estas condiciones, no se autoriza el uso de ningún contenido.
Los contenidos de este trabajo están sujetos a una licencia internacional Creative Commons Reconocimiento-
NoComercial-CompartirIgual 4.0 (CC BY-NC-SA 4.0). Usted es libre de Compartir — copiar y redistribuir el material en
cualquier medio o formato. Adaptar — remezclar, transformar y construir a partir del material citando la fuente, bajo los
siguientes términos: Reconocimiento- debe dar crédito de manera adecuada, brindar un enlace a la licencia, e indicar si
se han realizado cambios. Puede hacerlo en cualquier forma razonable, pero no de forma tal que sugiera que usted o su
uso tienen el apoyo de la licenciante. No Comercial-no puede hacer uso del material con propósitos comerciales. Compartir
igual-Si remezcla, transforma o crea a partir del material, debe distribuir su contribución bajo la misma licencia del original.
No puede aplicar términos legales ni medidas tecnológicas que restrinjan legalmente a otras a hacer cualquier uso
permitido por la licencia. https://creativecommons.org/licenses/by-nc-sa/4.0/
31 de marzo, 2023
2. Indice
2. Indice 4
3. Introducción 6
4. Bibliografía 8
4.1. Básica 8
4.2. Complementaria 8
5. Orientaciones generales para el estudio 10
6. Proceso de enseñanza-aprendizaje para el logro de competencias 12
PRIMER BIMESTRE
Unidad 1. Auditoría informática – Generalidades 12
1.1. Introducción a la auditoría informática 12
1.2. Fases de la auditoría informática 16
1.3. Auditoría informática basada en Hacking ético 20
1.4. Tipos de Auditoría de Hacking ético, metodología, normas y

leyes. 20
Autoevaluación 1 27
Unidad 2. Análisis de riesgos de los sistemas de información 30
2.1. Conceptos básicos de análisis de riesgos 30
2.2. Gestión de Riesgos - Parte 1 32
2.3. Gestión de riesgo - Parte 2 33
2.4. Metodologías de gestión de riesgos 40
Unidad 3. Análisis de ataques y vulnerabilidades de los sistemas de

información 51
3.1. Definición de ataque 51
3.2. Ataques a los sistemas de información 51
SEGUNDO BIMESTRE
Unidad 4. Auditoría de seguridad de sistemas y redes 69
4.1. Herramientas para auditoría técnica de la seguridad de

sistemas 69
4.2. Herramientas para auditoría técnica de la seguridad de redes 72
4.3. Herramientas de análisis de vulnerabilidades 75
4.4. Analizadores de protocolos 78
4.5. Herramientas de análisis de páginas web 80
4.6. Herramientas para ataques de diccionario y fuerza bruta 83
Unidad 5. Auditoría de la seguridad del Internet 89
5.1. Herramientas para auditoría de seguridad en Internet 89
5.2. Análisis de firewall en auditoría de sistemas informáticos 92
Unidad 6. Auditoría a la gestión de continuidad de negocio 98
6.1. Gestión de continuidad de negocio y la auditoría 98
6.2. Plan de continuidad de negocio 100
6.3. Fases del Plan de Continuidad de Negocio 102
6.4. Buenas prácticas para la continuidad de negocio 114
7. Solucionario 125
8. Glosario 131
9. Referencias bibliográficas 132
10. Anexos 135

Guía didáctica: Auditoría Informática PRELIMINARES
3. Introducción
La auditoría informática es un proceso que se enfoca en evaluar la eficiencia,

eficacia y seguridad de los sistemas de información de una organización. Esta
evaluación se realiza con el objetivo de identificar posibles áreas de mejora,
garantizar el cumplimiento de regulaciones y normativas, y proteger los tres
pilares fundamentales de la seguridad que son la confidencialidad, integridad y
disponibilidad de la información. El proceso de evaluación que hace la auditoría
informática abarca una amplia gama de tecnologías y procesos, incluyendo la
seguridad de la información, la gestión de bases de datos, la infraestructura de
red y el desarrollo de software. Es importante considerar que si las organizaciones
buscan mejorar sus procesos y operaciones, estos deben ser evaluadas mediante
un sistema riguroso basado en la auditoría informática.
El propósito de estudiar este componente académico, es que al finalizar su

estudio usted como profesional en formación estará en la capacidad de:
▪ Conocimiento íntegro sobre cómo funcionan los sistemas de información,

verificación de sus vulnerabilidades y el proceso de mejora de seguridad.
▪ Garantizar la seguridad de la información y la protección de datos en una

organización, mediante la implementación de mejores prácticas.
▪ Oportunidades de empleo ya, que algunos auditores informáticos se

especializan en el tema de hacking ético.
▪ Identificar áreas de mejora en los sistemas de información, es decir, apoyar

a mejorar la eficiencia y productividad de los procesos críticos de las
organizaciones.
6 MODALIDAD ABIERTA Y A DISTANCIA

▪ Conocimiento de normativas y regulaciones relacionadas con la seguridad

de la información, ayudando a una organización a cumplir de estas
regulaciones y prevenir posibles sanciones o multas.
Una vez comprendido los beneficios, le animo estimado estudiante a que explore
esta rama de la Informática mediante el estudio de este componente académico,
el mismo que se estudia en décimo ciclo de la carrera de Informática y es válido
por 4 créditos que se asignan al finalizar el ciclo académico y sus temas de
estudio están divididos de la siguiente manera:
▪ Primer bimestre: Auditoría informática – Generalidades, análisis de riesgos

de los sistemas de información y análisis de las vulnerabilidades de los
sistemas de información.
▪ Segundo bimestre: Auditoría de seguridad en sistemas y redes, auditoría de

la seguridad de Internet y auditoría en el proceso de gestión de continuidad
de negocio.
Le auguro el mejor de los éxitos para que cumpla con el objetivo de culminar el
estudio de este componente académico, con el compromiso de que tendrá a la
mano todos los recursos y el acompañamiento del tutor necesario para hacerlo.

4. Bibliografía
4.1. Básica
Menéndez Arantes, S. C. (2022). Auditoría de seguridad informática . Madrid,

España. RA-MA.
Es un texto donde explica que una auditoría informática es un proceso que

permite evaluar y medir si el sistema de seguridad informático implantado
realiza sus funciones adecuadamente, permitiendo poner de manifiesto y
mejorar cualquier incidencia que se pueda presentar y que afecte a la triada
CIA, confidencialidad, integridad y disponibilidad. Esto nos da la capacidad
de tomar las medidas adecuadas para minimizar el riesgo de materialización
de una amenaza, tomando medidas para eliminar esos riesgos o
minimizarlos, incluso a veces, permitiendo aceptar el riesgo.
Romero, K. (2023). Guía Auditoría Informática. Loja, Ecuador, Ediloja.
Es una guía complementaria al texto base donde se abordan explicaciones

de temas afines a la auditoría informática y donde se va guiando al
estudiante en el proceso de cómo estudiar el componente académico de
auditoría informática.
4.2. Complementaria
Romero, K. y Jaramillo, D (2021). Texto Guía Fundamentos y aplicación de

seguridad de la información. Loja, Ecuador, Ediloja.
Texto guía de apoyo en donde se conocen fundamentos básicos para la

aplicación de seguridad de la información, con un enfoque en tecnologías de
la información.

ACISSI (2018). Seguridad Informática – Hacking ético. Barcelona, España.

Ediciones ENI.
Texto orientado a explicar paso a paso el proceso de hacking ético y las

herramientas que en cada fase se utilizan, con ejemplificaciones.

5. Orientaciones generales para el estudio
Para el estudio del siguiente componente académico, usted dispone de la guía

didáctica, la cual le brinda orientación y una estructura para el aprendizaje de
esta materia, así como lineamientos específicos de ciertos temas que debe
revisarlos y estudiarlos más profundamente en el texto guía descrito en la parte
de bibliografía.
Las siguientes orientaciones serán de apoyo también para su estudio.
▪ Tenga siempre descargada la guía didáctica y el texto básico.
▪ Empiece el estudio siempre desde la guía didáctica y luego revise los

apartados del texto básico que en ella se refiere.
▪ Es importante que organice su tiempo para que siga la planificación de la

materia, la misma que se especifica en el documento subido en el Entorno
Virtual de Aprendizaje – EVA denominado Plan Académico.
▪ Desarrolle las Actividades Práctico Experimental APE que son las tareas o
actividades programadas y que se pide que las envíe por bimestre.
▪ Desarrolle las Actividades Autónomas AA, que son las actividades referentes
a la lectura del contenido de la guía y del texto base, la revisión del material
y recursos que son de apoyo para el aprendizaje, así como los cuestionarios
en línea propuestos por cada unidad de estudio y las autoevaluaciones.
▪ Las actividades de acompañamiento con el docente ACD son importantes

que las considere en tema de reforzar su aprendizaje, asistiendo a
las tutorías semanales en la hora y fecha especificada por el tutor, y
presentándose a la video colaboración o chat calificados según lo haya
programado el tutor.

▪ Las evaluaciones bimestrales son programadas en fechas específicas dadas

a conocer a los estudiantes oportunamente, es importante que considere
que el puntaje que obtendrá en estas evaluaciones es mínima y que realizar
las actividades descritas anteriormente le ayudará a obtener el puntaje
necesario para aprobar este componente académico al final del bimestre.
▪ Puede utilizar los diferentes canales de comunicación proporcionados por el

tutor para poder contactarse cuando usted lo crea necesario.

Guía didáctica: Auditoría Informática PRIMER BIMESTRE
6. Proceso de enseñanza-aprendizaje para el logro de competencias
Primer Bimestre
Unidad 1. Auditoría informática – Generalidades
En esta unidad de estudio se hace referencia a conceptos básicos sobre

auditoría informática que se aplicarán a lo largo del estudio de este componente
académico, también se comprenderá el proceso de auditoría informática desde la
descripción de las actividades que se hacen en cada una de sus fases, así como
la relación de la auditoría informática y el hacking ético. Le invito a revisar cada
uno de los temas de esta unidad y los recursos que reforzaran su aprendizaje.
¡Éxitos en el estudio de esta unidad!
1.1. Introducción a la auditoría informática
Es importante comprender el proceso de auditoría de seguridad informática,

desde la perspectiva de seguridad de la información, partiendo desde el punto
que la información es el activo más importante de una organización y, por lo tanto,
se debe aplicar todos los controles necesarios para prever la seguridad de esta
en cuanto a sus tres pilares fundamentales que son: confidencialidad, integridad
y disponibilidad, los cuales posteriormente se explicará a qué se refiere. Existen
algunos conceptos fundamentales a tomar en cuenta antes de introducirnos
completamente al tema de auditoría de seguridad informática.

Consideremos los siguientes conceptos:
▪ Seguridad: se le puede considerar como el estado de estar seguro y libre

de peligro o daño, también pueden ser las acciones tomadas para asegurar
un proceso, o cualquier elemento del sistema de información (Información,
personas, hardware, software, infraestructura de TI, etc.), de daños,
amenazas o la explotación de vulnerabilidades, estos elementos se les
considera, por lo general, como “activos”. La seguridad de la información es
un concepto relacionado con el proceso de asegurar la información, sea o
no utilizada por tecnologías de la información. (Romero & Jaramillo, 2021).
En la figura 1 se representan los diferentes componentes de un sistema de
información:
Figura 1.
Pilares de la seguridad de la información.
ión
mac Go
be
r
i nfo rna
nz
l a Gestión a
e
a dd de la seguridad
ri d
gu de la información
Se
Política
Seguridad Seguridad Seguridad

informática de datos de la red
Confidencialidad -Integridad- Disponibilidad
Nota. Adaptado de Management of information Security [Imagen], por Chegg Inc, Chegg.
a. Confidencialidad: es una característica de la información que describe

cómo se protegen los datos de la divulgación y exposición a personas
o sistemas no autorizados. Para (Whitman & Mattord, 2018), existen
algunas medidas que nos ayudan a proteger la confidencialidad, estas
pueden ser: clasificar la información, creación y aplicación de políticas

de seguridad, concienciación sobre el aseguramiento de la información,

etc.
b. Integridad: es una característica de la información que determina

si los datos que conforman esta información están completos o
incompletos. Esta característica se ve amenazada cuando se le
expone a corrupción, modificación, destrucción o daño. Para cuidar
esta característica se utiliza mucho el hashing de archivos, es decir, se
determina la integridad de un archivo comparando el calor hash que
debería tener y que una calculadora hash lo puede dar.
c. Disponibilidad: esta característica permite a los usuarios autorizados

acceder a información sin interferencias y a recibirla en el formato
requerido.
▪ Activo: es un recurso de la organización que se protege.
▪ Ataque: acto que puede dañar o poner en peligro la información de

una organización o ir en contra de uno de los principios de seguridad:
confidencialidad, integridad y disponibilidad. Puede ser intencional, como
que un hacker ataque los sistemas informáticos de la organización o
no intencional, como que una persona lea por casualidad información
confidencial de un archivo que está en la impresora. También pueden
ser directos, como que en un momento preciso un hacker está tratando
de ingresar al sistema o indirecto, como que un computador infectado o
programado por un scrip está haciendo el ataque.
▪ Acceso: para que exista un ataque debe haber un acceso, y este no es

más que la capacidad de una persona o de un evento de manipular o
modificar sobre todo la información. Para evitar accesos no autorizados a los
sistemas, se aplican los controles de acceso.
▪ Contramedida, salvaguarda o control: pueden ser un conjunto de

mecanismos, políticas o procedimientos de seguridad que contrarrestan

con éxito los ataques, reducen el riego del robo de información, buscan
solucionar vulnerabilidades y mejorar sobre todo la seguridad de la
información de una organización. Los controles se clasifican en:
a. Preventivos: son acciones que se toman en cuenta para evitar que

un evento o suceso se materialice y se produzcan daños. Cuando nos
referimos a suceso o evento pueden ser amenazas externas o internas.
b. Detectivos: son acciones que se realizan para identificar eventos que

se materializan en el momento, ya que los controles preventivos no
son suficientes; para evitar que vuelvan a producirse se aplican nuevos
controles que los contengan en el momento en que se producen.
c. Correctivos: son las acciones tomadas en cuenta para poner de vuelta

a la normalidad un proceso o actividad que fueron interrumpidos por la
ocurrencia de un evento o suceso.
▪ Exposición: cuando las vulnerabilidades de un sistema de información son

conocidas por un atacante.
▪ Riesgo: probabilidad de que ocurra algo no deseado, como un

acontecimiento adverso o una pérdida. Las organizaciones deben buscar
siempre el minimizar estos riesgos, luego de estudiarlos con un adecuado
tratamiento de riesgos, aplicando controles para eliminarlos, minimizarlos,
aceptarlos o transferirlos.
▪ Amenaza: cualquier evento o circunstancia que al materializarse por medio

de una vulnerabilidad pueda afectar negativamente a las operaciones y
activos de la empresa.
▪ Vulnerabilidad: posible debilidad intencional o no intencional de un sistema

y que puede ser utilizada por un atacante para comprometer su seguridad.

Con estos conceptos claros se logra entender que tanto la seguridad de la

información como la seguridad informática es un proceso basado en políticas y
controles para proteger el activo más importante de una organización que es la
información. Algunas organizaciones aplican esta seguridad, creando un sistema
de seguridad informático, el mismo que siempre debe estar monitorizado, es
aquí donde se aplica la denominada “auditoría informática”. (Menéndez Arantes,
2022), explica que la auditoría informática es un proceso que permite medir y
evaluar que este sistema de seguridad realiza las funciones adecuadamente, y
sobre todo mejorar alguna incidencia que de alguna u otra manera afecte los tres
pilares fundamentales de la seguridad que son la Confidencialidad - Integridad -
Disponibilidad (CID).
Los beneficios de realizar una auditoría informática a un sistema de

seguridad de la información, se pueden revisar en el texto básico de
la materia, capítulo 1. Criterios generales comúnmente
aceptados sobre Auditoría Informática.
Estimado estudiante a continuación le invito a profundizar sus conocimientos

acerca de los tipos de auditoría en la siguiente infografía
Tipos de auditoría
1.2. Fases de la auditoría informática
El objetivo principal de realizar una auditoría informática siempre será evaluar

la eficiencia y eficacia de un sistema, información o de un sistema informático y
sobre todo evaluar o monitorizar los controles implantados que corresponden a la
seguridad de la información que manejan estos sistemas a corto, mediano o largo
plazo. Esta evaluación o monitorización está enfocada en verificar la seguridad
en los tres pilares fundamentales de la seguridad de la información que son
Confidencialidad – Integridad – Disponibilidad (CID), estudiados en el apartado
anterior.

Las fases de la auditoría informática generalmente son las siguientes

independientemente del tipo de organización a la que se vaya a auditar y del
sistema objetivo a evaluar:
1. Planificación:
Se determina y planifica el alcance de la auditoría. Cuando se habla de alcance

es cuando se responde a la pregunta ¿Qué se va a auditar? Quién da respuesta
a esta pregunta es el director, jefe o CEO de la organización junto con las
orientaciones que sepa darle el auditor. La auditoría se puede basar en la
evaluación de la seguridad de los pilares CID de toda la organización o solo del
Centro de Procesamiento de Datos CDP, o simplemente de un conjunto de activos
que para la organización tienen un gran valor. También podría estar orientada
a evaluar solamente los sistemas informáticos, sin embargo, es importante
considerar siempre que cualquiera que sea el alcance de la auditoría se empieza
con el proceso de creación de un “inventario de activos”.
Crear un inventario de todos los activos de información o de lo que se va a auditar

en la organización da una perspectiva sobre todo del flujo de información que se
maneja, quién maneja esa información y sobre todo quien accede a la misma.
Finalmente, en esta fase se establece el equipo auditor que por lo general son
profesionales expertos en temas de seguridad de la información, hacking ético y
uso de herramientas técnicas de auditoría de seguridad.
2. Análisis de riesgos y amenazas
Una vez que se tiene el inventario de activos de información o

activos de TI, se determinan los riesgos y amenazas a los que están
expuestos estos activos, sobre todo a la búsqueda de posibles
vulnerabilidades. Es importante considerar que el análisis de riesgos
no es un proceso sencillo de realizar, pues se debe tomar en cuenta algunas
consideraciones que las puede revisar en el texto básico de la materia capítulo 1.

Criterios generales comúnmente aceptados sobre Auditoría informática

– Fases generales para una auditoría – Análisis de riesgos y amenazas.
Considere que dentro de esta fase es necesario que el auditor informático solicite
o tenga acceso a algunos documentos, como informes de previas auditorías,
actas de creación de políticas y controles de seguridad, normas aplicadas con
anterioridad, por ejemplo, si usaron la ISO 27001 para implantar un Sistema
de Gestión de Seguridad de la Información - SGSI, documentación de cambios
de controles de seguridad o de implantación de nuevos controles, también se
considera, los contratos con proveedores de servicios, documento de compra de
infraestructura de TI, etc.
El resultado de esta fase determina el punto exacto del tratamiento de los riesgos,
es decir, es la propuesta de los posibles controles para mitigar las vulnerabilidades
encontradas en los activos, para conseguir este resultado se utiliza la Matriz de
Riesgos, este tema se lo estudiará con más detalles en esta guía didáctica en la
unidad 2. Análisis de riesgos de los sistemas de información.
Con la lista de riesgos identificados, se define objetivamente algunos controles o

soluciones que nos ayudan al tratamiento de cada riesgo, luego de identificarlos,
la organización deberá implementarlos y evaluar su efectividad, caso contrario
se debe apoyar de un proceso de gestión de cambios para poder cambiar la
solución. Es importante mantener el enfoque de mejora continua para poder
realizar esta fase de la auditoría.
3. Desarrollo de informe
Todo el proceso de auditoría termina con un informe, que es un documento

donde se describe dos factores principales como son los hallazgos y las
recomendaciones. Los hallazgos son cualquier elemento dentro de la auditoría
informática que ayuda a encontrar irregularidades, pueden ser activos o procesos
de información y que no se los puede identificar a simple vista, junto con los
hallazgos se genera la evidencia necesaria que apoya y es la prueba de lo que se
ha encontrado, pueden ser, por ejemplo, controles más implementados, activos

de información sin aparentes custodios, o simplemente procesos o sistemas

informáticos que no hacen lo que deberían hacer. La evidencia siempre será por
ejemplo ese resultado de lo que se busca, podríamos pensar en el informe de
análisis de vulnerabilidades de una aplicación web donde se denota todas las
vulnerabilidades a los que está expuesta esta aplicación.
En la documentación del informe siempre deberá constar las recomendaciones

a implementarse y en lo posible el cómo se debería hacer, sin embargo, cabe
recordar que la tarea como auditor informático es simplemente recomendar, más
la implementación de los mismos sería una siguiente fase y es decisión de la
alta gerencia de la organización, su implementación, ya que en la mayoría de los
casos la implementación de controles conlleva un presupuesto y los costos varían
dependiendo de los recursos que se necesiten.
4. Monitorización o seguimiento
En caso de que los controles sugeridos en la auditoría fueran implementados,

se hace una nueva evaluación de estos, sobre todo verificando si la eficiencia y
eficacia de los sistemas de información es consistente respecto a estos controles,
si no lo es se hacen cambios y se monitorea nuevamente.
Actividades de aprendizaje recomendadas
Para reforzar sus conocimientos en los temas estudiados esta semana es

importante que usted revise los siguientes recursos y desarrolle las siguientes
actividades recomendadas.
▪ Revise el siguiente Webinar en línea: http://bit.ly/3jFC7Rc
▪ Responda la siguiente pregunta, según su criterio personal ¿Las directrices

especificadas por la ISO 9001 servirían para una auditoría informática?

1.3. Auditoría informática basada en Hacking ético
El hacking ético es una práctica autorizada por una organización que contrata
a un hacker ético para detectar vulnerabilidades en una aplicación, sistema o
infraestructura de dicha organización. La detección de vulnerabilidades busca
evitar la seguridad del sistema y así identificar posibles violaciones de datos y
amenazas en una red que no se ven a simple vista. Buscan puntos débiles que
los hackers (atacantes), pueden aprovechar y explotar estas vulnerabilidades y
manipular o robar datos.
La técnica más utilizada por los hackers éticos para detectar estas
vulnerabilidades es la prueba de penetración o pentesting, que es
prácticamente un ciberataque simulado contra su sistema informático para
comprobar si existen vulnerabilidades explotables para poder obtener información,
por lo tanto, algunas fases de esta auditoría informática basada en hacking ético
utilizan las principales fases de una prueba de penetración (o en algunos casos
conocido como fases de un ataque cibernético), estas fases se describen a
continuación en la siguiente infografía.
Fases de una prueba de penetración
En el texto básico se puede revisar este tema más resumido, en el

apartado capítulo 1. Criterios generales comúnmente aceptados
sobre auditoría informática – Fases de una auditoría de hacking
ético.
1.4. Tipos de Auditoría de Hacking ético, metodología, normas y leyes.
Existen algunos tipos de auditoría de hacking ético, (Menéndez Arantes, 2022),

menciona en el texto básico cuáles son, sin embargo, en este apartado se hará
énfasis dos tipos de auditoría en particular y algunos conceptos que se necesita
tomar en cuenta dentro de este tipo de auditoría.

Es importante entender que las fases de la prueba de penetración o pentesting

sirven como fases de auditoría, según (Hernández et al., 2019), a su vez este tipo
de auditoría puede ser de caja blanca (interna) o de caja negra (externa):
▪ Caja blanca: el auditor o hacker ético tiene información previa de la

organización y ejecuta las pruebas de penetración al sistema objetivo desde
la red interna de la organización. Algunas auditorías de caja blanca son:
auditoría de seguridad de sistemas y auditoria de seguridad de redes.
▪ Caja negra: el auditor o hacker ético no dispone de ninguna información

de la organización y ejecuta las pruebas de penetración al sistema objetivo
desde la red externa o el Internet. Algunas auditorias aquí son: auditoría de
seguridad de Internet y auditoría de seguridad de redes.
Independientemente del tipo de auditoría informática que se utilice, estas a su vez

se apoyan de herramientas que analizan las vulnerabilidades sobre el sistema
objetivo, estas herramientas en la mayoría de los casos dan resultados en
informes o reportes donde podría haber findings (resultados) erróneos, y estos
pueden ser según (Whitman & Mattord, 2018):
▪ Falsos positivos: se obtienen vulnerabilidades que realmente no existen.

▪ Falsos negativos: no se obtienen vulnerabilidades que realmente existen.
En cualquiera de los dos casos es importante que el auditor o hacker ético

verifique estos falsos positivos o negativos manualmente.
Metodologías para realizar auditoría informática de seguridad
Se debe tomar en cuenta que una metodología de auditoría de seguridad

informática consiste en una serie de pasos a seguir para una evaluación global
de la infraestructura de seguridad de la organización, incluidos los aspectos
de seguridad que se deben tomar en cuenta en cada uno de los elementos
de un sistema de información: información, personas, software, hardware e
infraestructura de TI.

A continuación, se resumen algunas de las metodologías más

utilizadas, es importante que refuerce el estudio de este apartado
junto con la revisión del texto básico en el Capítulo 1. Criterios
generales comúnmente aceptados sobre auditoría informática
– Tipos de auditorías de hacking ético, metodologías, normas y leyes.
OSSTMM (Open-source security testing methodology manual)
Es una metodología que se enfoca específicamente en el análisis de seguridad

en sistemas y redes, su objetivo principal es que se utilice una metodología
estandarizada y completa para realizar pruebas de seguridades eficaces
(González Brito & Montesino Perurena, 2018). Las fases que se distinguen es
esta metodología se resumen en la siguiente infografía:
Fases y actividades generales del OSSTM
ISSAF (Information systems security assessment framework)
Es un marco de referencia utilizado para la evaluación de la seguridad de los

sistemas de información, redes y aplicaciones, vincula las fases individuales de
las pruebas de penetración con las herramientas específicas y ofrece una guía
completa para ejecutar la prueba de penetración, pero también, permite a las
organizaciones diseñar. En la figura 2 se puede observar las fases que algunos
autores consideran en esta metodología.

Figura 2.
ISSAF Framework Methodology.
Recopilación Cartografía de Identificación de

de la red. vulnerabilidades.
información.
Obtención de
acceso y Enumeración
Penetración. escalada de adicional.
privilegios.
Comprometer
Sitios/ Mantener el Cubrir las
Usuarios acceso huellas
Remotos
Nota. Adaptado de ISSAF Framework Methodology [Imagen], por Sanjaya et al., 2020,
International Journal of Computer Network and Information Security
Es importante la revisión de esta metodología en el texto básico

Capítulo 1. Criterios generales comúnmente aceptados sobre
auditoría informática – Tipos de auditorías de hacking ético,
metodologías, normas y leyes.
OWASP (Open web application security project)
Uno de los objetivos de OWASP1 es identificar los riesgos de seguridad

más críticos para las aplicaciones web. Basándose en datos, experiencia y
conocimiento de expertos en seguridad de todo el mundo. La lista OWASP Top
10, clasifica las categorías de riesgo de las aplicaciones web basándose en datos
como el número de puntos débiles y vulnerabilidades detectados, la frecuencia
con que se producen y la magnitud del impacto. Según OWASP se deben
considerar algunos factores para estimar los riesgos a los que están expuestas
las aplicaciones, en la figura se detalla cómo se puede evaluar la probabilidad
del riesgo asociada a una amenaza y por cada vector de ataque, para así estimar
1 https://www.cloudflare.com/es-es/learning/security/threats/owasp-top-10/

el impacto técnico y empresarial de la organización. Este proceso de análisis de

riesgos propuesto por OWASP se puede observar en la figura 3.
Figura 3.
Análisis de riesgos desde la perspectiva de OWASP.
Threat Attack Security Security Technical Business

Agents Vectors Weaknesses Controls Impacts Impacts
Attack Weakness Control Impact

Asset
Attack Weakness Control Impact
Function
Attack Weakness Impact
Asset
Weakness Control
Nota. Adaptado de Risk analysis from the OWASP perspective [Imagen], por Sanjaya et al., 2020,
International Journal of Computer Network and Information Security
Es importante considerar el resto de las metodologías descritas en el

texto básico en el apartado Capítulo 1. Criterios generales
comúnmente aceptados sobre auditoría informática – Tipos de
auditorías de hacking ético, metodologías, normas y leyes con la
finalidad de que el auditor informático tenga una lista de metodologías a elegir
para hacer el proceso de auditoría, sin embargo, siempre será la metodología que
más se acople a lo que se quiere evaluar o la metodología con la que más
experiencia se ha tenido según la perspectiva del auditor.
Normas y leyes
Una norma o estándar es un documento donde están establecidas reglas y

especificaciones técnicas para la obtención o evaluación de un producto, proceso
o servicio o para cumplir con alguna especificación sobre cualquiera de ellos,
como seguridad, calidad, etc. Las normas son desarrolladas y mantenidas por
organizaciones nacionales e internacionales, y son voluntarias u obligatorias

según el contexto en el que se utilicen. Las normas o estándares más aplicados a

nivel internacional son las normas ISO.
Familia de las ISO 27000
La familia ISO 27000 de normas de gestión de la seguridad de la información, es

una serie de normas de seguridad de la información que se apoyan mutuamente y
que pueden combinarse para proporcionar un marco mundialmente reconocido de
gestión de la seguridad de la información basada en las mejores prácticas.
El pilar de la serie es la norma ISO 27001, que establece las especificaciones de

un SGSI Sistema de Gestión de la Seguridad de la Información.
Para profundizar el estudio de esta norma, revise el apartado Capítulo 1.

Criterios generales comúnmente aceptados sobre auditoría informática
– Tipos de auditorías de hacking ético, metodologías, normas y leyes –
Normas.
Leyes
Es una regla establecida por lo general por una autoridad y que se debe cumplir
de carácter obligatorio.
Las leyes incluidas en el texto básico son de España, por lo que en

este apartado se considera pertinente el estudio de las dos leyes
que se tienen en Ecuador.
▪ Proyecto de Ley Orgánica de seguridad cibernética del Ecuador, fue

aprobado el 13 de mayo de 2021 por la Asamblea Nacional de la República
del Ecuador. Revisar el documento del proyecto aquí.
▪ La Ley Orgánica de Protección de Datos Personales en Ecuador, fue

aprobada por la Asamblea Nacional el 10 de mayo de 2021 y el 26 de mayo
del mismo año se publicó. Revisar más información aquí.

Actividades de aprendizaje recomendadas.
Para reforzar sus conocimientos en los temas estudiados esta semana, es

▪ Revise los fundamentos básicos de Hacking Ético: http://bit.ly/3Xf0GlM
▪ Responda desde su reflexión ¿El proceso de hacking es el mismo para

todos los hackers éticos?
▪ Revise el siguiente Webinar respecto a técnicas de Hacking Ético: http://bit.

ly/40GaCrd
▪ Responda la siguiente pregunta ¿Qué es una instrucción avanzada? –

Enliste los pasos o actividades para desarrollar una instrucción avanzada.

Autoevaluación 1
Para evaluar el aprendizaje adquirido en el estudio de la unidad 1 de esta guía

didáctica es importante que realice la siguiente autoevaluación:
¡Éxitos en la autoevaluación!
1. Cuando deseamos que un activo de información esté libre de peligro o daño,

debemos buscar su:
a. Confidencialidad.
b. Seguridad.
c. Integridad.
2. Al proteger la información de la divulgación y acceso por personas o

sistemas no autorizados, estamos garantizando la:
a. Disponibilidad.
b. Integridad.
c. Confidencialidad.
3. Es un acto que puede dañar o poner en peligro la información, y puede ser

intencional o no intencional.
a. Activo.
b. Ataque.
c. Acceso.

4. En qué fase de la auditoría informática se define objetivamente algunos

controles o soluciones que apoyen al tratamiento de los riesgos:
a. Planificación.
b. Análisis de riesgos y amenazas.
c. Monitorización o seguimiento.
5. Cuando se hace un escaneo de información en diversas fuentes abiertas, es

un tipo de análisis:
a. Dinámico.
b. Activo.
c. Pasivo.
6. En qué fase de la auditoría basada en Hacking Ético, el hacker ético mide

las consecuencias de la violación de controles y las pérdidas que estas
generan:
a. Obtener acceso / explotación.

b. Análisis de vulnerabilidades.
c. Limpiar huellas.
7. Cuando en la auditoría, el hacker ético no se dispone de ninguna información

de la organización y se ejecuta el pentesting desde la red externa, es una
auditoria de:
a. Caja gris.
b. Caja blanca.
c. Caja negra.

8. Las herramientas para la auditoría informática que generan reportes donde

se obtienen vulnerabilidades que realmente no existen, se les conoce como:
a. Amenazas.
b. Falsos negativos.
c. Falsos positivos.
9. Es una metodología que ayuda a identificar los riesgos de seguridad más

críticos para las aplicaciones web.
a. OSSTMM
b. OWASP
c. ISSAF
10. Son reglas establecidas por una autoridad y que se deben cumplir de
carácter obligatorio.
a. Leyes.
b. Normas.
c. Marcos de referencia.
Si su puntaje no fue el esperado, es importante que vuelva a revisar los

contenidos estudiados en esta unidad y lo vuelva a intentar.
Puede revisar la solución de esta autoevaluación al final de esta guía didáctica.

Unidad 2. Análisis de riesgos de los sistemas de información
El análisis de riesgos en la auditoría informática es un proceso que identifica,

evalúa y prioriza los riesgos potenciales a la seguridad de información,
enfocándose en los tres pilares fundamentales como son la confidencialidad,
integridad y disponibilidad de la información, permitiendo a los auditores
informáticos determinar los controles necesarios para mitigar esos riesgos
y garantizar que la información y los sistemas estén protegidos de manera
adecuada. En esta unidad se estudiará el proceso de análisis de riesgo enfocado
en la auditoría informática. Le invito a analizar y profundizar en los temas y
recursos propuestos en esta unidad.
2.1. Conceptos básicos de análisis de riesgos
En el texto básico de la materia en el Capítulo 3. Análisis de riesgos de

los sistemas de información – Conceptos de análisis de riesgos se hace
referencia algunos conceptos comunes que se utiliza en temas de procesos de
análisis de riesgos, es importante revisarlos y comprenderlos. Para el estudio
de esta unidad también se va a tomar en cuenta las definiciones de ciertos
componentes dentro del proceso de gestión de riesgos, como son:
▪ Evaluación de riesgos: es determinar el grado de exposición al riesgo de

los activos de información de una organización.
▪ Control de riesgos: es el proceso de implantación de controles que reducen

los riesgos de los activos de información de una organización a un nivel
aceptable.
▪ Identificación de riesgos: es el proceso de análisis, valoración y

documentación de los riesgos de los activos de información de una
organización.

▪ Gestión de riesgos: es un proceso de identificación de riesgos, evaluación

de su magnitud relativa y adopción de medidas para reducirlos a un nivel
aceptable.
En la figura 4 se muestra el esquema desarrollado por (Whitman & Mattord, 2018),

donde se puede observar cómo se relacionan estos componentes:
Figura 4.
Proceso de gestión de riesgos.
Risk Management
Risk Risk
Identification Assessment Risk Control
Determine Loss
Identify, Inventory, & Select Control
Frequency
Categorize Assets Strategies
(Likelihood)
Classify, Value, & Evaluate Loss

Prioritize Assets Justify Controls
Magnitude (Impact)
Identify & Prioritize Implement,

Calculate Risk Monitor, & Assess
Threats
Controls
Specify Asset Assess Risk
Vulnerabilities Acceptability
Nota. Adaptado de Risk Management Process [Imagen], por Whitman, M. E., & Mattord, H. J,
2018, In Cengage Learning
▪ Inventario de activos de información: es un proceso fundamental para

determinar dónde se encuentra la información, qué proceso la manipula o
procesa, sobre qué elementos de un sistema de información incide y sobre
todo saber quién es el dueño o custodio de esta información.
▪ Valor de activos: asignar un valor financiero a cada activo de información

de una organización.
▪ Riesgo residual: es el riesgo que permanece en los activos de información

incluso después de haber aplicado los controles de seguridad.

▪ Apetito de riesgo: cantidad y naturaleza del riesgo que las organizaciones

están dispuestas a aceptar después de evaluar el riesgo.
▪ Clasificación de datos (esquema): es una metodología formal de control

de acceso utilizada para asignar un nivel de confidencialidad a un activo de
información y restringir así el número de personas que pueden acceder a él.
Los más utilizados son: secreto, privado o público.
▪ Probabilidad: la posibilidad de que una vulnerabilidad en un activo de

información sea objetivo de ataque.
▪ Frecuencia (de pérdidas): número esperado de pérdidas de un activo de

información en un intervalo de tiempo específico.
2.2. Gestión de Riesgos - Parte 1
La gestión de riesgos es el proceso de implementar todas las medidas para

controlar los riesgos en una organización y que tiene que ver con: analizarlos,
tratarlos, aceptarlos y comunicarlos a todas las partes involucradas. La gestión
de riesgos es eficaz cuando en primera instancia se identifican los riesgos y
amenazas potenciales que sean muy probables, que se materialicen por la
existencia de vulnerabilidades en los activos de información principales o críticos
de la organización y termina cuando se ha hecho un adecuado tratamiento de
estos riesgos (Romero & Jaramillo, 2021).
Establecer la gestión de riesgos en una organización es como implementar un

proceso, el mismo que tiene fases, actividades y tareas orientadas a determinar
y tratar los riesgos más potenciales que posiblemente afectaría a sus activos.
Revisemos entonces el proceso de gestión de riesgos.
Fases de la gestión de riesgos
Estas fases están explicadas de manera muy general en el texto básico en el

apartado Capítulo 3. Análisis de riesgos de los sistemas de información

– Conceptos de análisis de riesgos, es por esto que en este texto guía se

profundizará un poco más respecto a las fases de este proceso.
Una estrategia de gestión de riesgos requiere que el equipo encargado de

desarrollar este proceso conozca los activos de información de la organización,
o al menos, se familiaricen con el sistema objetivo para poder a estos riesgos
identificarlos, clasificarlos y priorizarlos para finalmente darles el tratamiento
adecuado que requieren. En la siguiente infografía se identifican los compontes
que se requieren en la identificación de los riesgos, según (Whitman & Mattord,
2018).
Componentes de identificación de riesgos

▪ Revise el siguiente recurso http://bit.ly/3DSs0iY
▪ Responda con sus propias palabras ¿La ISO 27001 le ayuda a identificar
riesgos? ¿Cuáles son los principales riesgos según esta norma?
2.3. Gestión de riesgo - Parte 2
▪ El valor del riesgo está dado por el resultado del daño que puede ocasionar
una amenaza al materializarse por la probabilidad de ocurrencia de la
misma, entonces tenemos que Riesgo = Impacto x Probabilidad, cuyos
resultados se presenta incluyendo una clasificación de su criticidad riesgos
altos (rojo), riesgos medios (color amarillo), riesgo bajo (color verde). El valor
del riesgo en algunos casos se representa en una matriz de riesgos, la figura
5 muestra un ejemplo.

Figura 5.
Matriz de Riesgos
Matriz de Riesgos
Puntuación de probabilidad por impacto
Impactos
Probabilidad
Muy baja Baja Media Alta Muy alta
Muy alta 5 9 18 36 72
Alta 4 7 14 28 56
Media 3 5 10 20 40
Baja 2 3 6 12 24
Muy baja 1 1 2 4 8
Nota. Adaptado de Matriz de Riesgos [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Una matriz de riesgos empieza por medir el impacto, es decir, cuanto daño
puede hacer una amenaza a un activo de información al materializarse. Para
determinar el impacto se identifica los activos de información más críticos para
la organización, en algunos casos, se valora el impacto determinando el costo
financiero del activo de información si este se viera comprometido o se perdiera.
En la figura 6 y 7 se tiene algunos ejemplos de valor que el impacto puede tener,
el equipo auditor determina qué escala utilizar.

Figura 6.
Ejemplos de valor de impacto
Alto - medio - bajo. Costo financiero de reponer

o arreglar el activo $1500.
Insignificante - Costo de mantenimiento.

crítico - catastrófico.
Extremo - alto - medio Costo de implementación

-bajo - despreciable. de controles.
Grande - mediano Costo por sanciones

- pequeño. con proveedores.
Graves - limitados Costo por interrupción

- ligeros. de operaciones.
Nota. Adaptado de Valor de Impacto de TI por Romero, K., & Jaramillo, D., 2021, Fundamentos y
Aplicación de Seguridad de la información - Guía didáctica.
Figura 7.
Ejemplos de valor de impacto
Valor cuantitativo Valor cualitativo
5 Grave
4 Medianamente grave
3 Limitado
2 Medianamente limitado
1 Ligero
Nota. Adaptado de Valor de Impacto de TI [Imagen] por Romero, K., & Jaramillo, D., 2021,
El valor del impacto puede tener también una escala más significativa, como
ejemplo se puede observar en la figura 8.

Figura 8.
Escala de valor de impacto
Tipo de impacto Muy Alto Alto Medio Bajo Muy bajo

5 4 3 2 1
Suministros Interrupción Interrupción Interrupción Interrupción

de servicios casi total del moderada del leve del nula del
Disponibilidad
interrumpidos suministro de suministro de suministro de suministro de
totalmente. servicios. servicios. servicios. los servicios.
Información Información Información Información

Información modificada modificada modificada pero modificada no
modificada afecta afecta no afecta el afecta en nada a
afecta mucho a moderadamente parcialmente a sentido total de la gestión
Integridad
la gestión a la gestión la gestión la gestión operativa de la
operativa de la operativa de la operativa de la operativa de la organización.
organización. organización. organización. organización.
Confidencialidad Secreta Reservada Confidencial Uso interno Pública
Costo de Mayor a De $10000 De $5000 De $5000 De $2000

Recuperación $25000 a $25000 a $10000 a 2000 a $1000
Tiene el 75% de Tiene el 50% de 80% de 95% de

Calidad No pasa los rechazo en los aceptación en los aceptación de los aceptación de los
test de calidad. test de calidad. test de calidad. test de calidad. test de calidad.
Nota. Adaptado de Valor de Impacto [Imagen], por Romero, K., & Jaramillo, D., 2021,
La valoración de la probabilidad tiene que ver con cuán probable es la

ocurrencia o la materialización de la amenaza o riesgo. Para esto es importante
que el equipo de análisis de riesgos se base en información de indicadores
o variables identificados de incidentes que han pasado con anterioridad. Por
ejemplo, cuantas veces un atacante ha tratado de hackear una aplicación web por
medio de la técnica de diccionario o fuerza bruta.
Existen tres puntos a considerar para estimar la probabilidad, estos son:
▪ Histórico de ocurrencias.
▪ La frecuencia de ocurrencia de las amenazas, tomando en cuenta las

intencionales y las accidentales.
▪ Facilidad con la que las vulnerabilidades pueden ser explotadas.

El valor de las probabilidades se puede ajustar a una escala como se muestra en

la figura 9:
Figura 9.
Escala de valor de probabilidad
Probabilidad de Probabilidad de
Probabilidad ocurrencia % ocurrencia cuantitativa
Muy alta Mayor al 80% 5
Alta Entre el 51% y 80% 4
Mediana Entre el 31% y 50% 3
Baja Entre el 11% y 30% 2
Muy baja Entre el 1% y 10% 1
Nota. Adaptado de Valor de Probabilidad [Imagen], por Romero, K., & Jaramillo, D., 2021,
La matriz de riesgo se construye multiplicando el impacto por la probabilidad y

se determina los niveles de riesgo según alguna escala. En la figura 9 descrita
anteriormente hay un ejemplo de matriz con algunos colores, en cambio, en la
figura 10 se muestra un ejemplo de niveles de riesgo.
Figura 10.
Escala de valor de riesgo
Apetito de riesgo Color Valor del riesgo
Alta Mayor o igual 15
Media Mayor a 4 hasta 12
Baja Menor o igual a 4
Nota. Adaptado de Escala de Valor de Riesgo [Imagen], por Romero, K., & Jaramillo, D., 2021,
Estrategias de mitigación de riesgo
En el texto básico de la materia en el Capítulo 3. Análisis de riesgos de los

sistemas de información – Estrategias de mitigación de riesgos hay algunas

opciones que permiten tratar riesgos, es importante que revise este apartado para
luego poder comprender las posibles estrategias de mitigación que existen y que
se describen a continuación:
Estrategias de mitigación de riesgo
En el proceso de tratamiento de riesgos se identifica y diseña las opciones

para tratar el riesgo, evaluar estas opciones y sobre todo ver la viabilidad de
aplicabilidad de estas. También identifica los controles ya implementados y que
son redundantes e innecesarios, se evalúa si es necesario tomar la decisión de
removerlos o implementar por otros funcionales.
Para (Valencia-Duque & Orozco-Alzate, 2017), el análisis costo beneficio es

importante cuando se hace el plan de tratamiento de riesgos porque se debe
considerar que para implementar las medidas analizadas se van a emplear
recursos, por ejemplo, se recomienda la compra de licencia de antivirus para
todas las computadoras de la organización o se recomienda un firewall para la
comunicación entre los proveedores y los sistemas informáticos externos de la
organización.
Selección de controles apropiados
La selección de controles apropiados estará basada tanto en el análisis

de factibilidad de implementación de estas estrategias y también según la
experiencia en la utilización de buenas prácticas, marcos de referencia o
estándares, esta por ejemplo, puede tomar como referencia los del Anexo A de
la norma ISO 27001, en donde se enumera 114 controles que se dividen en 14
secciones, según la ISO 27001 son:
▪ Políticas de seguridad de la información: cómo se escriben y revisan las

políticas.
▪ Organización de la seguridad de la información: la asignación de

responsabilidades para tareas específicas.

▪ Seguridad de los recursos humanos: garantizar que los empleados

entiendan sus responsabilidades antes del empleo y una vez que han dejado
o cambiado de rol.
▪ Gestión de activos: identificación de los activos de información y definición

de las responsabilidades de protección adecuadas.
▪ Control de acceso: garantizar que los empleados solo puedan ver

información relevante para su rol laboral.
▪ Criptografía: el cifrado y la gestión de claves de información sensible.
▪ Seguridad física y ambiental: asegurar las instalaciones y el equipo de la

organización.
▪ Seguridad de las operaciones: garantizar la seguridad de las instalaciones

de procesamiento de información.
▪ Seguridad de las comunicaciones: cómo proteger la información en las

redes.
▪ Adquisición, desarrollo y mantenimiento de sistemas: garantizar que

la seguridad de la información sea una parte central de los sistemas de la
organización.
▪ Relaciones con los proveedores: los acuerdos a incluir en los contratos

con terceros y cómo medir si dichos acuerdos se mantienen.
▪ Gestión de incidentes de seguridad de la información: cómo informar de

interrupciones e infracciones y quién es responsable de ciertas actividades.
▪ Aspectos de seguridad de la información de la administración de la

continuidad del negocio: cómo abordar las interrupciones del negocio.

▪ Cumplimiento: cómo identificar las leyes y regulaciones que se aplican a su

organización.
Monitoreo y reportes
Una vez seleccionadas e implementadas las estrategias de control de riesgos en

el alcance definido al principio del proceso de análisis de riesgo, se debe medir
la eficiencia y eficacia de estas, es decir, cuál es el comportamiento de estas
medidas y si se ejecutan bien según lo planificado.
(Romero & Jaramillo, 2021) definen que esta fase es un proceso sistemático
donde se reúne la información necesaria del proceso de gestión de riesgos, se
verifica si el plan de gestión de riesgos cumplió con los objetivos para el que fue
implementado, así como también encontrar problemas y tratar de resolverlos.
El trabajo del equipo de gestión de riesgos no termina en esta fase, aún aquí se
debe identificar nuevas amenazas y vulnerabilidades, así como la reunión de
evidencias que apoyen a la toma de decisiones.
2.4. Metodologías de gestión de riesgos
En el texto básico de la materia en el Capítulo 3. Análisis de

riesgos de los Sistemas de información – Metodología NIST SP
800-30 y MAGERIT se describe dos metodologías de gestión de
riesgos, es importante la revisión y estudio de este apartado.
La gestión de riesgos en algunas organizaciones se realiza tomando en cuenta

metodologías, normas o buenas prácticas. Otras metodologías se describe en
modo resumen a continuación:

Octave
Esta metodología propone 4 fases para el análisis de riesgos, el propósito es

siempre buscar de alguna manera minimizar los riesgos identificados. Estas fases
son según (Romero & Jaramillo, 2021):
▪ Fase 1: establecimiento de controles por medio de criterios de las métricas

de riesgo.
▪ Fase 2: desarrollo del perfil de activos2 de información e identificación de

los contenedores de estos activos.
▪ Fase 3: identificación de amenazas, identificando primero, áreas de

preocupación y escenarios de amenaza.
▪ Fase 4: identificación y mitigación de riesgos mediante el análisis de riesgo y

selección de formas de mitigación.
Octave Allegro es la metodología de la línea de Octave que está siendo más

utilizada porque se centra en los activos de información en términos de uso,
almacenamiento, transferencia, procesamiento, respuesta a amenazas,
vulnerabilidades e interferencias como resultado. Según (Romero & Jaramillo,
2021), este método tiene 4 fases principales como se puede observar en la figura
11.
2 https://www.ibm.com/docs/es/qradar-on-cloud?topic=management-asset-profiles

Figura 11.
Proceso de metodología Octave Allegro
Configurar Perfil de Reconocer Reconocer y

controles activos amenazas mitigar riesgos
Fase 1: Establecer Fase 2: Ampliar el

criterios de Fase 4: Reconocer Fase 6:
perfil de activos la zona de Reconocer
evaluación de de información.
riesgos. atención. los riesgos.
Fase 3: Reconocer
Fase 5: Reconocer
el contenedor de Fase 7: Examinar
el esquema de
activos de los riesgos.
amenazas.
información.
Fase 8: Elegir la
estrategia de
mitigación.
Nota. Adaptado de Fases de Octave Allegro [Imagen], por Romero, K., & Jaramillo, D., 2021,
Fundamentos y Aplicación de Seguridad de la información - Guía didáctica..
ISO 27005
Esta norma ISO describe un proceso de gestión de riesgos de alto nivel,

su propósito es gestionar los riesgos de los activos de información que una
organización considera de valor. Forma parte de la familia de las ISO 27000 y está
basada en los conceptos específicos de la ISO 27001 y es una guía para ayudar
a la implementación de la seguridad de la información basada en el análisis de
la gestión de riesgos. La figura 12 muestra el proceso principal de la gestión de
riesgos basado en la ISO 27005.

Figura 12.
Proceso de gestión de riesgos de la ISO 27005
Establecimiento del contexto
Evaluación del riesgo
Análisis del riesgo

Identificación del riesgo
Fin de la primera
repetición de las
Estimación del riesgo repeticiones
Comunicación posteriores
del riesgo
Decisión de riesgo punto 1.

Evaluación satisfactoria.
Monitoreo y revisión del riesgo
Decisión de riesgo punto 2.

Tratamiento satisfactorio.
Aceptación del riesgo
Nota. Adaptado de Proceso de la ISO 27005 [Imagen], por Romero, K., & Jaramillo, D., 2021,
Todas las fases de esta norma son de suma importancia implementarlas, pero
se debe tomar en cuenta la diferencia principal entre el análisis de riesgo y la
evaluación del riesgo.
▪ Análisis de riesgo: se identifica el riesgo en los diferentes activos de

información que se determinen como críticos, y se estima el riesgo, es decir,
se define la probabilidad de ocurrencia, se cuantifica el impacto y se le da
una escala de valor al riesgo.
▪ Evaluación del riesgo: con el valor del riesgo ya determinado, según

el valor del riesgo se prioriza el tratamiento de este y se identifica las
estrategias de tratamiento del riesgo.

En la figura 13 se puntualiza a qué parte de este proceso se refiere esta

diferencia.
Figura 13.
Diferencias entre Análisis y Evaluación del riesgo de la ISO 27005
Análisis del riesgo
Identificación del riesgo
Estimación del riesgo
Nota. Adaptado de Evaluación y Análisis de Riesgos [Imagen], por Romero, K., & Jaramillo, D.,
2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Existe otra norma de evaluación de riesgos, es la ISO 31000. La diferencia

principal que la ISO 27005 se enfoca en establecer el análisis de los riesgos de
los activos de información de la organización en base con su confidencialidad,
integridad y disponibilidad. Por otro lado, la ISO 31000 se enfoca en el estudio
de riesgos en general de una organización. Por ejemplo, riesgos ambientales
del entorno, de infraestructura, no precisamente buscando el aseguramiento de
información.
COBIT 5 for Risk
COBIT 5 for Risk es un marco de referencia3 de gestión de riesgos

empresariales enfocado en identificar, evaluar y gestionar riesgos asociados a la
TI.
Un riesgo de TI son los eventos no deseados relacionados con TI que podrían

tener un impacto potencial en el negocio y cuya ocurrencia puede afectar a los
objetivos estratégicos del negocio.
3 Conjunto de lineamientos y directrices que se utilizan como guía y apoyan a la toma de decisiones.

Cobit 5 for risk se enfoca en dos perspectivas en relación con el riesgo de

acuerdo con la función (equipo encargado del proceso de gestión de riesgos),
y de acuerdo a su gestión (proceso de la gestión de riesgos), en la figura 14 se
muestra estas perspectivas.
Figura 14.
Perspectivas de riesgos según COBIT for Risk
Perspectiva de la Perspectiva de la
función de riesgos Habilitadores COBIT 5 gestión de riesgos
Procesos Estructuras Cultura, ética y

Describe cómo organizativas comportamiento Se focaliza en los
construir procesos del
y sostener una gobierno y la gestión
función de riesgos del riesgo, así como
en la empresa Principios, políticas y marcos de referencia los escenarios de
mediante la riesgos. Describe
utilización de los cómo se mitigan los
habilitadores de riesgos mediante el
СОВІТ 5. Servicios, Personas, uso de los
Información infraestructura habilidades y habilitadores de
y aplicaiones competencias COBIT 5.
Perspectiva de la Perspectiva de la
función de riesgos gestión del riesgos
Nota. Adaptado de Habilitadores COBIT 5 [Imagen], por COBIT 5 for Risk., 2013, Marco de
Referencia.
COBIT 5 for risk tiene dos procesos principales del riesgo. En la figura 15 se
describe a que se refiere cada uno.

Figura 15.
Procesos para la gestión de riesgos según COBIT for RISK
Procesos principales del riesgo
Procesos Razonamiento
COBIT 5
Este proceso abarca el entendimiento, la

articulación y la comunicación del apetito y
tolerancia al riesgo de la empresa, y asegura la
identificación y gestión del riesgo asociado al
valor de la empresa que está relacionado con el
uso de TI y su impacto. Las metas de este proceso
EDM03 Asegurar son:
la optimización • Definir y comunicar los umbrales de riesgo y
del riesgo asegurar que se conozcan los riesgos clave
relacionados con TI.
• Gestionar de una manera efectiva y eficiente a
los riesgos críticos de la empresa relacionados
con TI.
• Asegurar que los riesgos de la empresa
relacionados con TI no excedan su apetito de
riesgo.
Este proceso abarca la continua identificación,

evaluación y reducción del riesgo relacionado
con TI dentro de los niveles de tolerancia
establecidos por la gerencia ejecutiva de la
empresa. La gestión de riesgos de la empresa
relacionada con TI debería ser integrada al ERM
APO12 Gestionar global. Se deberían balancear los costos y
el riesgo beneficios de gestionar el riesgo de la empresa
relacionado con TI mediante:
• La recolección de datos apropiados asociados
al análisis de riesgos.
• Manteniendo el perfil de riesgo de la empresa
y articulando los riesgos.
• Definiendo el portafolio de acciones de la
gestión de riesgos y respondiendo al riesgo.
Nota. Adaptado de Habilitadores COBIT 5 [Iamgen], por COBIT 5 for Risk., 2013, Marco de
Referencia.


▪ Analice la siguiente matriz de riesgo: matriz de análisis de riesgo

▪ Aplíquela en la organización donde usted labore.
▪ Compare y comparta los resultados con sus compañeros.

Autoevaluación 2

didáctica, es importante que realice la siguiente autoevaluación:
1. Es el proceso de analizar, valorar y documentar los riesgos de los activos de

información de una organización.
a. Valor de riesgo.
b. Identificación de riesgos.
c. Riesgo residual.
2. En qué fase del proceso de gestión de riesgos se define el contexto y el

alcance de este:
a. Priorizar activos.
b. Identificar activos.
c. Planificar y organizar.
3. Para la priorización de los activos de información se puede tomar en cuenta:
a. El valor financiero del impacto que causa perder este activo de

información.
b. Las amenazas a las que está expuesta.
c. El valor de implementar controles.

4. De las siguientes amenazas, cuál es considerada el eslabón más débil de la

cadena de seguridad de la información.
a. Malware.
b. Personas.
c. Desastres naturales.
5. Puede ser un defecto o debilidad en un activo de información, puede ser

intencional o no.
a. Amenaza.
b. Impacto.
c. Vulnerabilidad.
6. El valor del riesgo está dado por:
a. Impacto por probabilidad.

b. Impacto o magnitud de daño.
c. Probabilidad de ocurrencia.
7. Es la acción de minimizar la probabilidad de que se materialice una

amenaza, al riesgo se lo está:
a. Asumiendo.
b. Transfiriendo.
c. Mitigando.
8. Cuando una organización contrata un servicio de seguro para sus activos de
información, al riesgo lo está:
a. Asumiendo.
b. Transfiriendo.
c. Mitigando.

9. Cuál de los siguientes estándares nos ayuda a gestionar los riesgos de los
activos de información:
a. ISO 34000
b. ISO 27001
c. ISO 27005
10. Es un marco de gestión de riesgos asociados a la TI.
a. ISO 27005
b. COBIT for Risk
c. ISO 27001


Unidad 3. Análisis de ataques y vulnerabilidades de los sistemas de

información
En la unidad 2 se estudió el análisis de riesgos como un proceso donde se incluye

el análisis de vulnerabilidades, es importante profundizar un poco más en este
tema, ya que como auditores informáticos se puede hacer una auditoría basada
en hacking ético, por lo tanto, se hará un análisis de vulnerabilidades enfocado en
los ataques que podría sufrir los sistemas informáticos. En esta unidad se aborda
a más profundidad el tema de vulnerabilidades orientado al análisis de ataques y
vulnerabilidades en de los sistemas de información.
3.1. Definición de ataque
Un ataque es la acción de interrumpir, dañar o controlar un sistema informático

o una red de computadores, su propósito es obtener información confidencial o
sensible de una organización. Si una amenaza explota una vulnerabilidad de un
sistema se denomina ataque y existen algunos tipos de ataque del propósito que
tenga el atacante, en la siguiente infografía, se categorizan cuatro tipos generales
de ataques.
Tipos de ataque de sistemas de información
3.2. Ataques a los sistemas de información
Hoy en día el objetivo principal de un ataque siempre serán los sistemas

informáticos, pues la mayoría de las organizaciones usan sus sistemas para
el procesamiento y transferencia de datos utilizando el Internet como medio
de comunicación y en algunos casos utiliza servicios de proveedores Cloud
donde almacena sus datos. Como la información de la empresa es comunicada
utilizando el Internet es propensa a los denominados Ciberataques. Un
ciberataque es un intento de interrupción, intercepción o destrucción de un

sistema informático, redes y/o sus datos, realizado por un hacker o personas mal
intencionadas que con la utilización de herramientas y técnicas logran su objetivo.

riesgos de los sistemas de información – Vulnerabilidades,
malware, ataques, fallos de programa, programas maliciosos y
criterios de programación segura hace referencia a los ataques y
vulnerabilidades más comunes que existen, en esta guía didáctica se explicara un
poco más sobre este tema.
Ingeniería social
Ingeniería social es el término utilizado para un conjunto de actividades maliciosas

realizadas a través de interacciones humanas. Utiliza la manipulación psicológica
para engañar a los usuarios para que cometan errores de seguridad o faciliten
información sensible.
La ingeniería social tiene un ciclo de vida con sus fases y cada uno con sus
actividades, este ciclo de vida se puede observar en la figura 16.
Figura 16.
Fases de la Ingeniería social
What is the cycle of SOCIAL ENGINEERING?
Gathering Relationship Exploitation Execution

information development
In-person tactics that Develop a Utilizing the collected Identifying social

can be used to collect relationship information and engineering
information about the with the target. relationships to break strategies that
targeted systems to down the target. can be utilized in
help identify attacks cybersecurity.
vectors and targets.
Nota. Adaptado de Cycle of Social Engineering [Imagen], por Cybersecurity Exchange, 2020, EC-
Council. CC BY 2.0

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa
en el error humano, más que en las vulnerabilidades del software y los sistemas
operativos. Es por eso por lo que se considera que las personas son el eslabón
más débil de la cadena de seguridad de información.
Los ataques más comunes de ingeniería social son:
Ataques más comunes de ingeniería social
Ataques de red
Los ataques a la red son acciones no autorizadas en destruir o acceder a la

información de la red de una organización. Los atacantes suelen ejecutar ataques
de red para alterar, destruir o robar datos privados. Lo primero que hacen los
hackers es atacar los perímetros de la red para acceder a los sistemas internos.

criterios de programación segura hace referencia a los ataques de
red más comunes que se debe revisar. En esta guía didáctica se explicará un
poco más sobre este tema.
Existen dos tipos principales de ataques a la red: pasivos y activos.
▪ Ataques de red pasivos: los hackers acceden sin autorización a las redes,
las vigilan y roban datos privados sin realizar ninguna alteración.
▪ Ataques de red activos: implican modificar, cifrar o dañar los datos.
Independientemente del tipo de ataque que sea, existen algunos ataques de red
muy conocidos, como:

▪ Ataques DoS: un atacante envía un gran número de solicitudes de conexión

o de información por lo general a un servidor. Se hacen tantas peticiones
que el sistema del servidor se sobrecarga y no puede responder a las
peticiones legítimas de servicio. El sistema puede bloquearse o simplemente
volverse incapaz de realizar funciones ordinarias (Whitman & Mattord, 2018).
▪ Ataques DDoS: al igual que el ataque DoS lanza un flujo coordinado de

peticiones contra un objetivo (sistema de un servidor), desde muchas
ubicaciones al mismo tiempo. La mayoría de los ataques DDoS van
precedidos de una fase de preparación en la que muchos sistemas se
ven comprometidos. Las máquinas comprometidas se convierten en bots
o zombis, máquinas que son dirigidas remotamente por el atacante. Los
ataques DDoS son más difíciles de defender, y actualmente no existen
controles que una sola organización pueda aplicar (Whitman & Mattord,
2018).
En la figura 17 podemos ver cómo es el funcionamiento del DoS o DDoS.
Figura 17.
Funcionamiento del ataque DoS o DDoS.
Nota. Adaptado de Ataque DoS o DDoS [Imagen], por Whitman, M. E., & Mattord, H. J, 2018, In
Cengage Learning.
▪ Man in the Middle Attack (MitM): en este ataque, un atacante intercepta de

forma encubierta una comunicación entre dos partes, es decir, el atacante
secuestra la sesión entre un cliente y un host. De este modo, los hackers
roban contraseñas o datos sensibles, interrumpir conexiones o distorsionar

contenido. En la figura 18 se puede observar generalmente cómo funciona

un ataque de este tipo.
Figura 18.
Funcionamiento de Man in the Middle Attack.
Conexión original
X
WWW
Usuario Aplicación Web

Nueva conexión
El atacante
Hombre en el medio
Nota. Adaptado de Man in the Middle Attack [Imagen], por Wallarm, 2022.

▪ Revise el siguiente recurso http://bit.ly/3lsKtwh

▪ Identifique de algún caso real de este tipo de ciberdelincuencia en época de
pandemia COVID-19.
▪ Comparta sus ideas reflexivas con sus compañeros.
Ataques por contraseña
Este tipo de ataque se da cuando el hacker trata de conocer la contraseña de

acceso a cualquier sistema que el usuario utilice, existen muchos ataques de este
tipo, en este apartado se describirán algunos.


riesgos de los Sistemas de información – Vulnerabilidades,
criterios de programación segura hace referencia a los ataques
por contraseña más comunes que se debe revisar. En esta guía didáctica se
explicará un poco más sobre este tema.
▪ Ataque por diccionario y fuerza bruta, en este tipo de ataque el hacker

utiliza una lista de palabras con la esperanza de que la contraseña del
usuario sea una palabra de uso común. Utiliza por lo general herramientas
donde se carga un archivo con la lista de las posibles contraseñas, se
configura el sitio en donde se quiere probar el acceso y es aquí cuando este
ataque se combina con el ataque de fuerza bruta. Este tipo de ataque puede
llevar mucho tiempo hasta que la herramienta logre establecer la contraseña
correcta y acceder, sin embargo, la posibilidad existe. La figura 19 indica el
funcionamiento de este tipo de ataques.
Figura 19.
Funcionamiento de ataque por diccionario y fuerza bruta.
Un atacante utiliza La herramienta de El sistema

una herramienta de hacking intenta devuelve una
hacking. varios inicios de respuesta válida
sesión. o inválida.
Nota. Adaptado de Brute force attack [Imagen], por NORTON, 2021.
▪ Man in the middle password attacks, este tipo de ataque tiene la lógica
de intercepción del tráfico de MitM estudiado anteriormente, es decir, aquí
intervienen tres partes: un usuario, un hacker y una plataforma a la que el
usuario intenta acceder. Los atacantes se sitúan entre las dos, disfrazados
de sitio web legítimo, pero redirigiendo a los usuarios a uno fraudulento,

aquí los usuarios introducen sus contraseñas en este sitio web falso y sus
cuentas son pirateadas.
▪ Keylogger attack, un keylogger es un programa espía que se utiliza para

rastrear y grabar lo que se escribe en el teclado. Los hackers se aprovechan
de este software infectando intencionadamente dispositivos vulnerables y
grabando información privada sin su conocimiento.
En la figura 20 se enlista más tipos de ataque de contraseña, es importante

que considere hacer su propia investigación si uno de esos ataques no están
explicados en esta guía didáctica.
Figura 20.
Ataques por contraseña.
Nota. Adaptado de Common Types of Password Attacks [Imagen], por NORTON, 2022.
Ataques a aplicaciones
Consideremos siempre que los hackers buscan atacar a los sistemas principales
de una organización y lo hacen de manera escalada, es decir, buscan
vulnerabilidades, sea en la red o en aplicaciones alojadas en sus servidores, y las
explotan para llegar al sistema central de un servidor por lo general. Los ataques
a las aplicaciones web son los más comunes y los más “hackeados”.


riesgos de los Sistemas de Información – Vulnerabilidades,
criterios de programación segura hace referencia a los ataques a
aplicaciones. En esta guía didáctica se explicará un poco más sobre este tema.
A continuación, se describen algunos tipos de ataques a aplicaciones web:
▪ SQL Injection es un tipo de ataque de inyección que permite ejecutar

sentencias SQL maliciosas, por lo general en las páginas de las aplicaciones
que manejen formularios, o en el formulario de inicio de sesión de la
aplicación web. Estas sentencias controlan un servidor de base de
datos detrás de una aplicación web. Los atacantes pueden utilizar las
vulnerabilidades de inyección SQL para eludir las medidas de seguridad de
la aplicación, también puede recuperar el contenido de toda la base de datos
SQL, añadir, modificar y eliminar registros en la base de datos.
Los atacantes pueden utilizarla para obtener acceso no autorizado a sus datos
confidenciales, como: información de clientes, datos personales, secretos
comerciales, propiedad intelectual, etc. En la figura 21 se puede observar cómo
interviene el atacante en SQLi.

Figura 21.
Ataques por inyección SQL.
Ataque de Inyección SQL (SQLi)
El hacker identifica un sitio La consulta SQL

username
web vulnerable impulsado maliciosa es validada
por SQL e inyecta una consulta password
y la orden es ejecutada
SQL maliciosa a través de los 2 por la base de datos.
datos de entrada.
1 Campos de entrada
del sitio web
El hacker obtiene acceso

para ver y alterar registros
o posiblemente actuar como
Base de datos
Hacker administrador de la base de datos.
Nota. Adaptado de SQL Injection Attack [Imagen], por SPANNING, 2019.
▪ Buffer Overflow (Desbordamiento de búfer), es cuando un programa intenta

poner más datos en un búfer (en memoria) de los que puede contener o
cuando un programa intenta poner datos en un área de memoria más allá de
un búfer. Si este programa intenta escribir fuera de los límites de un bloque
de memoria asignado, puede corromper datos, bloquear el programa o
provocar la ejecución de código malicioso. La figura 22 describe este ataque.

Figura 22.
Ataque Buffer Overflow Attack.
Buffer Overflow Attack
Function Function
Parameters Parameters
Return Function Return Function
Base Pointer Base Pointer Malicious

Code
Buffer Buffer
Before Attack After Attack

Nota. Adaptado de Buffer Overflow Attack [Imagen], por AVI Networks, 2020.
▪ Cross-site scripting XSS funciona manipulando un sitio web vulnerable

para que devuelva un JavaScript malicioso a los usuarios. Cuando el código
malicioso se ejecuta dentro del navegador de la víctima, el atacante puede
comprometer completamente su interacción con la aplicación. En la figura 23
se describe el funcionamiento de este ataque

Figura 23.
Ataque XSS.
El atacante inyecta en el En cada visita al sitio

sitio web un script web, se activa el script
malicioso que roba las malicioso.
cookies de sesión de cada
visitante.
2 WWW
3
Sitio web
La cookie de sesión
4 del visitante se
envía al atacante. www
1 El atacante Visitante del

sitio web
El atacante descubre un sitio
web con una vulnerabilidad
que permite la inyección de
scripts.
Nota. Adaptado de XSS Attack [Imagen], por IMPERVA, 2019.
▪ Cross-site Request Forgery es un ataque que busca engañar a un usuario

final para que ejecute acciones no deseadas en una aplicación web en la
que están actualmente autenticados. El impacto del ataque depende del
nivel de permisos que la víctima tenga en la aplicación. Estos ataques se
aprovechan del hecho de que un sitio web confía completamente en un
usuario una vez que puede confirmar que el usuario es realmente quien dice
ser. En la figura 24 se describe este tipo de ataque.

Figura 24.
Ataque Cross-Site Request Forgery.
Cross-Site Request Forgery

Falsificación de Petición en Sitios Cruzados
La víctima inicia sesión

en su cuenta bancaria.
1
2
El banco asigna a la víctima
un token de validación. Sitio web
Víctima bancario
3 5
4
El banco ejecuta la
El hacker envía una solicitud solicitud falsificada
falsificada, disfrazada como utilizando el token de
una comunicación legítima validación previamente
del banco. asignado.
Hacker
La víctima, sin saberlo, reenvía la solicitud al banco.
Nota. Adaptado de Cross-site request forgery [Imagen], por PortSwigger, 2019.

▪ Revise el siguiente recurso http://bit.ly/3JXVpMw

▪ Lea comprensivamente el tema respecto al funcionamiento del ataque tipo
Cross-Site Request Forgery.
▪ Ejemplifique con un caso real cuando podría suceder este tipo de ataque.
Amenazas físicas
Este tipo de ataque está orientado a las diferentes acciones que las personas
hacen cuando interactúan con otras personas o en el entorno donde van a llevar a
cabo el ataque, con la finalidad de obtener algún tipo de información.


criterios de programación segura hace referencia a algunas
amenazas físicas, es importante revisar este apartado.
Software malicioso
Más conocidos como malware es el problema más común al que se enfrenta el

sistema informático de una organización y son programas informáticos diseñados
específicamente para realizar acciones maliciosas o no deseadas. En la figura 25
se puede observar algunos tipos de malware que existen.
Figura 25.
Tipos de Malware
Nota. Adaptado de Tipos de Malware [Imagen], por AVAST, 2019.

criterios de programación segura hace referencia a los tipos de
software malicioso que hay, es importante revisar este apartado.

Amenazas al hardware
Según (Moein et al., 2017) las amenazas al hardware tienen como objetivo
acceder físicamente a un sistema para obtener información almacenada,
determinar la estructura interna del hardware o inyectar un fallo. Un ataque de
hardware puede dar a un atacante el control total sobre un sistema, lo que le
permite acceder a datos sensibles y plantar código malicioso que no puede ser
detectado o eliminado por las medidas de seguridad tradicionales.

criterios de programación segura hace referencia a las amenazas
al hardware, es importante revisar este apartado.

▪ Revise el siguiente recurso http://bit.ly/3RPQEX1
▪ Responda las siguientes interrogantes ¿Qué es un ataque tipo

Ransomware? ¿En Ecuador ha habido este tipo de ataque? ¿Cómo
cree que sucedió?
Estimado estudiante, según la planificación de este componente

académico en esta semana 8 de estudio, es importante que usted
realice algunas actividades.
▪ Haga una lectura comprensiva de las unidades 1, 2 y 3 del primer bimestre

de la guía didáctica y de los capítulos del texto básico que allí se refiere.

▪ Revise los videos de las tutorías para poder reforzar el aprendizaje de los
temas que se estudiaron este bimestre.
▪ Realice las autoevaluaciones de las unidades antes descritas.
▪ Esté atento al día y hora de la evaluación bimestral correspondiente.
▪ Comuníquese con el tutor si necesita despejar dudas.

Autoevaluación 3

1. Es la acción de interrumpir, dañar o controlar un sistema informático o una

red de computadoras:
a. Ataque.
b. Riesgo.
c. Vulnerabilidad.
2. Es un tipo de ataque en el que se ve afectada la confidencialidad de la

información:
a. Interrupción.
b. Intercepción.
c. Modificación.
3. Es un tipo de ataque que por lo general se hace mediante la interacción

humana y manipulación psicológica:
a. XSS.
b. Malware.
c. Ingeniería social.

4. Es un tipo de ataque donde el atacante estudia por mucho tiempo a la

víctima, requiere de mucho esfuerzo, tiene siempre éxito y es difícil de
detectar:
a. Vishing.
b. Suplantación de identidad.
c. Phishing.
5. Cuando un hacker accede sin autorización a las redes, roban los datos, pero
no los alteran, es un ataque de red:
a. Pasivo.
b. Activo.
c. DoS.
6. Es un ataque que sobre carga las solicitudes al servidor, por lo general un

servidor web y el sistema se bloquea:
a. XSS
b. MitM
c. DoS
7. En este tipo de ataque el hacker utiliza una lista de palabras cuya intención
es descubrir una contraseña.
a. Diccionario y fuerza bruta.

b. MitM.
c. XSS.
8. Es un programa espía que graba lo que se escribe en el teclado:
a. MitM.
b. Diccionario y fuerza bruta.
c. Keylogger attack.

9. El hacker inyecta un código malicioso de tal manera que puede obtener

datos de la base de datos:
a. XSS.
b. Buffer Overflow.
c. SQLi.
10. Son programas informáticos diseñados para realizar acciones maliciosas o

no deseados dentro de un sistema informático:
a. Malware.
b. XSS.
c. SQLi.


Guía didáctica: Auditoría Informática SEGUNDO BIMESTRE
Segundo Bimestre
Unidad 4. Auditoría de seguridad de sistemas y redes
El proceso de auditoría informática es el mismo generalmente en sus fases

y actividades, pero difiere en la utilización de herramientas que apoyan el
análisis de vulnerabilidades, es decir depende de enfoque o del objetivo que
se va a auditar, en esta unidad se estudiaran las herramientas que apoyan a
la auditoria técnica de la seguridad de sistemas como sistemas operativos,
sistemas desarrollados, aplicaciones web y también herramientas enfocadas a
la auditoría técnica de seguridad en redes sobre todo en buscar vulnerabilidades
en la transferencia de paquetes de información. Es importante saber el propósito
de cada una de las herramientas con la finalidad de determinar en qué casos
utilizarlas, le invito a analizar y profundizar en los temas y recursos propuestos en
esta unidad, recuerde que en ciertos temas se solicitará la revisión en el texto.
4.1. Herramientas para auditoría técnica de la seguridad de sistemas
Es importante recordar que en el primer bimestre estudiamos las fases de la

auditoría informática tanto de forma general, como las fases de una auditoría
basada en hacking ético, cada una de las fases de auditoría son importantes
y en algunas de ellas se tendrá que emplear en cada una de estas fases las
herramientas necesarias. Existen herramientas que se pueden usar en las
diferentes fases y en otros casos, será necesario la combinación de algunas
herramientas y técnicas.
Algunas actividades como las descritas a continuación son las principales que se
deben cumplir en este tipo de auditoría.

▪ Obtener toda la información necesaria del sistema a auditar y analizar las

vulnerabilidades.
▪ Ataque a las vulnerabilidades detectadas.
▪ Elaboración del informe.
Las herramientas y técnicas más utilizadas en la auditoría de la seguridad de

sistemas son:
▪ Escáner de puertos: estas herramientas son aplicaciones diseñadas para

escanear servidores y hosts con el fin de comprobar qué puertos disponibles
se están utilizando para las comunicaciones de red. Una vez finalizado el
escaneado, se puede ejecutar otras pruebas de penetración de seguridad y
de exploits para comprobar la eficacia de los controles de seguridad actuales
en el sistema. En la figura 26 se puede observar un ejemplo de reporte de la
herramienta Angry IP Scanner
Figura 26.
Ejemplo de reporte Angry Ip Scanner
Nota. Adaptado de Agry IP Scanner [Imagen], por GEEKFLARE, 2021.
▪ Footprinting: es una técnica que sirve para recolectar información pública

del sistema a auditar que está expuesta en el Internet.

▪ Fingerprint: es una técnica sirve para recolectar información directamente

del sistema a auditar para obtener, por ejemplo, la versión del sistema
operativo, parches, etc.
▪ Fuerza bruta y diccionario: pruebas de intento de penetración al sistema

para comprobar controles de autenticación.
En la tabla 2 se describe como resumen las fases de este tipo de auditoría:
Tabla 1.
Fases de una auditoría seguridad de sistemas o redes
Fase 1. Obtención de
Fase 2. Ataque Fase 3. Resultados
Información
Recolección de información Con la información Redacción del informe
como listado de servidores obtenida, se selecciona técnico y ejecutivo con los
físicos o servicios Cloud las técnicas y hallazgos encontrados,
contratados, verificación herramientas que más vulnerabilidades
de puertos abiertos de los se adapten para llevar enlistadas y posibles
mismos y toda la información a cabo el ataque. Se soluciones a considerar,
de los sistemas operativos debe considerar que este basadas en controles.
y aplicaciones, versiones, ataque es siempre bajo
parches, etc. un ambiente controlado.
Si se trata de una auditoría de

un sistema informático, aquí
se verifica por ejemplo en qué
lenguaje de programación
está desarrollado, cuál es la
arquitectura de la aplicación,
el patrón de diseño, que bases
de datos utiliza, qué servicios
presta, módulos desarrollados,
configuración de privilegios a
los usuarios, etc.
Nota. Elaboración Propia.

El hacker ético o auditor informático debe también tener conocimiento acerca del
manejo de herramientas y ciertas técnicas para obtener información básica del
sistema operativo como, por ejemplo: Ping, Tracert, Pathping, Netstat, Whois,
Nslookup, Ipconfig, Getmac, Arp -a, Netsh, Hostname, Route, Nbtstat. Cada una
de las técnicas tiene su propósito específico en la obtención de la información del
sistema objetivo que se está evaluando.
En el texto básico de la materia en el Capítulo 4. Uso de

herramientas para la auditoría de sistemas – Herramientas de
sistema operativo tipo ping, traceroute, etc. hace referencia a las
herramientas enlistadas en el párrafo anterior, es importante la
revisión completa de esta temática como parte del estudio de esta semana.

▪ Revise el siguiente el Capítulo 4. Uso de herramientas para la auditoría

de sistemas – Herramientas de sistema operativo tipo ping, traceroute,
etc. – Ping.
▪ Realice pruebas en su computador utilizando los diferentes comandos de la

herramienta ping.
4.2. Herramientas para auditoría técnica de la seguridad de redes
Las fases de la auditoría técnica para la seguridad de redes son idénticas a las
fases estudiadas en el apartado 4.1 de esta unidad, lo que difiere en sí, es en
el uso de técnicas y herramientas que estarían más orientadas a verificar los
controles establecidos en la red de datos y comunicación de una organización.

Algunas técnicas o herramientas utilizadas en este tipo de auditoría son:
▪ Sniffing: esta técnica sirve para escuchar paquetes de datos en la red,

existen herramientas técnicas que nos ayudan a llevar a cabo esta técnica
de manera pasiva.
▪ Man in the midle: cuya definición ya fue explicada en el primer bimestre de

esta guía didáctica en la Unidad 3.
▪ ARP poisoning: se le conoce como ARP Spoofing aunque es considerado

como un ciberataque, se usa en auditoría para verificar los controles de
seguridad a nivel del área local LAN y consiste en enviar paquetes ARP1
maliciosos a una puerta de enlace predeterminada en una LAN, son
extremadamente fáciles de llevar a cabo siempre y cuando el atacante tenga
el control de una máquina dentro de la LAN objetivo o esté directamente
conectado a ella. En la figura 27 se detalla cómo funciona este ataque.
Figura 27.
Ataque ARP Spoofing
ARP Spoofing Attack
Bob Mary
IP: 192.168.0.1 Router IP: 192.168.0.5
MAC: [aa.aa] MAC: [bb.bb]
ARP Cache Modified to ARP Cache Modified to

Point 192.168.0.5 to [cc:cc] Point 192.168.0.1 to [cc:cc]
Attacker
IP: 192.168.0.3
MAC: [cc:cc]
Nota. Adaptado de ARP Spoofing Attack [Imagen], por THESSLSTORE, 2021.
En la tabla 3 se describe las fases de este tipo de auditoría:
1 Protocolo de resolución de direcciones

Tabla 2.
Fases de una auditoría seguridad de sistemas o redes
información
Obtención del esquema Con la información Redacción del informe
de red y direcciones IP, obtenida, se selecciona las técnico y ejecutivo con los
escucha y captura del técnicas y herramientas hallazgos encontrados,
tráfico de la red, verificación que más se adapten para vulnerabilidades enlistadas
de puertos y servicios llevar a cabo el ataque. Se y posibles soluciones a
habilitados para el tráfico de debe considerar que este considerar, basadas en
paquetes. ataque es siempre bajo un controles.
ambiente controlado.
Nota. Elaboración Propia
El hacker ético o auditor informático debe también tener conocimiento acerca

del manejo de herramientas de análisis de red, puertos y servicios, como NMAP,
Netcat, Advanced Port Scanner, NetScanTools, Angry IP Scanner, etc.
Es momento de revisar cuanto haz aprendio, le invito a realizar la siguiente

actividad.
Unir con líneas
En el texto básico de la materia, en el Capítulo 4. Uso de

análisis de red, puertos y servicios: Nmap hace referencia a las
herramientas enlistadas en el párrafo anterior, es importante la
revisión completa de esta temática como parte del estudio de esta semana.


▪ Revise el siguiente el capítulo 4. Uso de herramientas para la auditoría de

sistemas – Herramientas de análisis de red, puertos y servicios: Nmap.
▪ Descargue NMAP https://nmap.org/download
▪ Haga pruebas con la herramienta instalada según se explica en el texto
básico.
4.3. Herramientas de análisis de vulnerabilidades
Generalmente, el utilizar herramientas de análisis de vulnerabilidades facilita

mucho el proceso de auditoría, aunque no solo el hacker ético o auditor debe
regirse a los informes que estas herramientas generan, sino, al interpretar cada
vulnerabilidad e incluso cada control sugerido para mitigar la vulnerabilidad
encontrada.
Una evaluación de vulnerabilidades puede ayudar a proteger la integridad de los

activos de información en caso de que se oculte algún código malicioso en alguno
de dichos activos, por ejemplo, una aplicación web. En la figura 28 se muestra los
10 riesgos de seguridad más importantes en aplicaciones web, según (OWASP,
2021).

Figura 28.
Top 10 OWASP 2021
Nota. Adaptado de OWASP TOp 10 - 2021 [Imagen], por OWASP, 2021.
Las herramientas de análisis de vulnerabilidades se basan en dos tipos de análisis

a las aplicaciones web, según (OWASP,2021) son:
▪ Análisis estático: es un tipo de análisis que se lleva a cabo sin ejecutar la

aplicación web. En su lugar, se analiza el código fuente o la documentación
de la aplicación para identificar posibles vulnerabilidades. Se lo utiliza para
detectar problemas de seguridad que están presentes en el código, pero no
son evidentes cuando la aplicación se ejecuta.
▪ Análisis dinámico: es un tipo de análisis que se lleva a cabo mientras la

aplicación web se está ejecutando, se envían solicitudes a la aplicación y
se analizan las respuestas para identificar posibles vulnerabilidades. Se
lo utiliza para detectar problemas de seguridad que solo surgen cuando la
aplicación se ejecuta, como errores de autenticación o problemas de acceso
a la base de datos.

Ambos tipos de análisis son importantes para una evaluación completa de la

seguridad de la aplicación web, ya que cada uno proporciona una visión diferente
del comportamiento y la seguridad de la aplicación. Por lo tanto, se recomienda
combinar los dos tipos de análisis para una evaluación de la seguridad más
completa y precisa.

análisis de vulnerabilidades hace referencia a las herramientas
que son frecuentemente usadas para el análisis de estas
vulnerabilidades como: Nessus, CVSS, MBSA, OpenVas, etc. Es importante
revisar estas temáticas y entender el propósito, similitudes y diferencias de cada
una para poder saber en qué casos o cuándo las puedo utilizar dentro de una
auditoría. En el siguiente apartado se explicará un poco más la herramienta
OpenVAs.
▪ OpenVas es un sistema de detección de vulnerabilidades de código abierto

que permite a los usuarios escanear sus sistemas y aplicaciones en busca
de debilidades y exploits conocidos. Sirve para identificar posibles problemas
de seguridad en redes y sistemas informáticos, brindando información
detallada sobre las vulnerabilidades encontradas y su gravedad.
Para utilizar OpenVAS, se debe instalar en un sistema operativo compatible

y configurarlo. Luego, se puede ejecutar un escaneo completo o específico
para buscar vulnerabilidades específicas. Los resultados del escaneo se
pueden visualizar en un informe detallado que incluye información sobre
las vulnerabilidades encontradas, su gravedad y recomendaciones para
solucionarlas. Uno de los sistemas operativos más compatibles con este tipo
de herramienta es Kali Linux. En la figura 29 se muestra un ejemplo de un
reporte de análisis de esta herramienta.

Figura 29.
Ejemplo de reporte OpenVas
Nota. Adaptado de Reporte OpenVas [Imagen], por Networks and Servers, 2017.
Kali Linux es una distribución de sistema operativo basada en Debian

diseñada para el pentesting y la seguridad informática. Incluye una amplia
variedad de herramientas para la investigación de seguridad, como escaneo
de vulnerabilidades, intrusión y análisis forense. Se utiliza comúnmente por
profesionales de seguridad para probar la seguridad de redes y sistemas y para
desarrollar y mejorar técnicas de seguridad. Esta distribución se la puede instalar
en máquinas virtuales.
4.4. Analizadores de protocolos
Los analizadores de protocolos son herramientas de software cuyo propósito

principal es monitorear y analizar el tráfico de red en tiempo real. Permiten a los
auditores informáticos ver los detalles de las comunicaciones en la red, incluyendo
la dirección IP, el puerto, el protocolo y los datos transferidos. También ayudan a
detectar cualquier actividad sospechosa o malintencionada. Algunos ejemplos de
analizadores de protocolos son Wireshark, Cain y Abel y TCPDUMP.


herramientas para la auditoría de sistemas – Analizadores de
protocolos explica de manera más puntual la herramienta
Wireshark. A continuación, se describe un poco más las otras dos
herramientas.
▪ Cain y Abel es una herramienta que se usa para evaluar la seguridad de los
sistemas y generalmente sistemas Windows, se utiliza comúnmente como
una herramienta de cracking de contraseñas. Puede recuperar contraseñas
de múltiples fuentes, incluyendo sistemas de archivos, sniffing de red,
descifrado de hashes y ataques de diccionario. Sin embargo, debido a su
naturaleza potente y peligrosa, es importante tener en cuenta que su uso
ilegal está prohibido en muchos países y su uso ético está restringido a fines
de prueba y evaluación de seguridad. Es importante utilizar esta herramienta
en entornos controlados y autorizados.
▪ TCPDUMP es una herramienta de línea de comandos que permite a los

usuarios capturar y analizar paquetes de red en tiempo real. Analiza los
protocolos de red que se utiliza para monitorear y diagnosticar problemas de
red, ayudar a la optimización de rendimiento y mejoramiento de la seguridad.
Con esta herramienta, los auditores pueden filtrar y capturar basados en

criterios como la dirección IP, el puerto, el protocolo y la dirección MAC. Los
paquetes capturados se pueden guardar en un archivo para su posterior
análisis con otras herramientas de análisis de red.
En muchas distribuciones Linux esta herramienta ya está instalada, de no

ser así existen algunas formas para instalarla en este sistema operativo
a través de un gestor de paquetes de distribución. En la figura 30 se
ejemplifica el uso de esta herramienta examinando paquetes en tiempo real.

Figura 30.
Ejemplo de uso de TCPDUMP
Nota. Adaptado de TCDUMP [Imagen], por CiberSecurity Memo, 2017.

▪ Revise la siguiente guía de instalación de OPENVAS en Kali Linux: https://

www.spainclouds.com/blog/guia-de-instalacion-de-openvas-en-kali-linux
▪ Instale esta herramienta según lo indicado en la guía.
▪ Reconozca el entorno de esta herramienta.
4.5. Herramientas de análisis de páginas web
Estas herramientas, posibles puntos débiles en aplicaciones web para ayudar a

protegerlas contra ataques y violaciones de seguridad. El propósito general de
estas herramientas es el análisis de código y la estructura de una aplicación web
buscando patrones y comportamientos que puedan ser explotados por hackers.

La información que generan este tipo de herramientas es usada para identificar y

corregir vulnerabilidades antes de que un hacker las pueda aprovechar.

herramientas para la auditoría de sistemas – Analizadores de
páginas web, describen las herramientas más utilizadas para el
análisis de vulnerabilidades OWASP ZAP y Acunetix, sin embargo,
existen muchas más y cada una con un diferente propósito, estas pueden ser:
▪ Nessus es un escáner de vulnerabilidades que funciona verificando si

existen vulnerabilidades en los sistemas y aplicaciones en una red. El
proceso de escaneo en Nessus se divide en tres fases:
• Discovery: descubre los sistemas y aplicaciones que se encuentran en

la red.
• Escaneo: una vez descubierto los sistemas y aplicaciones, se lleva a

cabo un escaneo detallado de cada uno de los sistemas y aplicaciones
para identificar las posibles vulnerabilidades.
• Reporte: es un informe detallado con los resultados y las

vulnerabilidades identificadas, incluyendo información sobre la
gravedad de cada vulnerabilidad y cómo resolverla.
Esta herramienta utiliza reglas de escaneo para determinar si existen

vulnerabilidades o configuraciones inseguras que deban ser abordadas.
Es importante tener en cuenta que la eficacia de las reglas de escaneo
depende de su precisión y actualización. Un ejemplo de regla de escaneo
es una definición que busca sistemas que ejecutan una versión antigua o
desactualizada de un software específico, o una definición que busca la
presencia de una vulnerabilidad conocida en un protocolo de red específico
(Menéndez Arantes, 2022). En la figura 31 se muestra un reporte de
ejemmplo usando este tipo de herramienta.

Figura 31.
Ejemplo de reporte de Nessus
Nota. Adaptado de NESSUS Scan [Imagen], por Hácking Ético, 2020.
▪ Burp suite es una herramienta de seguridad de software utilizada en

el análisis de vulnerabilidades de aplicaciones web (PortSwigger, s.f.).
Funciona como un proxy interactivo que permite monitorear, modificar y
manipular el tráfico de datos entrante y saliente de una aplicación web.
También incluye el escaneo de vulnerabilidades, pruebas manuales,
detección automática de vulnerabilidades y personalización a través de
plugins y extensibilidad como se puede visualizar en la figura 32.

Figura 32.
Interfaz de Burp Suite
Nota. Adaptado de Burp Suite Preofessional Scan [Imagen], por IGET INTO PC, 2019.
4.6. Herramientas para ataques de diccionario y fuerza bruta
Estas herramientas son utilizadas por los atacantes para acceder a sistemas y
aplicaciones restringidas mediante la probabilidad y la repetitividad. Estos ataques
tienen como objetivo descubrir contraseñas y otros secretos mediante el uso de
combinaciones de palabras y números hasta que se encuentra una combinación
que funcione (Menéndez Arantes, 2022).
El propósito de un auditor o hacker ético al utilizar este tipo de herramientas es

comprobar lo controles de seguridad de las aplicaciones a nivel de acceso, es
decir, podrían comprobar si a la aplicación web soporta este tipo de ataque.
En el texto básico de la materia en el Capítulo 4. Uso de herramientas para

la auditoría de sistemas – Ataques de diccionario y fuerza bruta, describen
las herramientas más utilizadas para este tipo de ataque y de las cuales es
importante su estudio. Este tipo de ataques se pueden realizar tanto con
aplicaciones que se instalan con un sistema operativo de base, o simplemente
usando algunas aplicaciones online como: Ncrack, Medusa o Hydra las mismas
que son parte de sistemas Kali Linux o Parrot.

▪ Ncrack es una herramienta de seguridad de código abierto que se utiliza

para realizar pruebas de penetración en sistemas y aplicaciones con el fin
de detectar vulnerabilidades. Funciona mediante la ejecución de ataques por
fuerza bruta y diccionario en protocolos como SSH, RDP, Telnet, entre otros,
con el objetivo de adivinar las contraseñas de los usuarios y obtener acceso
no autorizado a los sistemas (Ncrack, s.f.).
▪ Medusa es una herramienta de software libre utilizada para realizar ataques

de fuerza bruta en sistemas y aplicaciones. Es capaz de probar una gran
cantidad de combinaciones de contraseñas y nombres de usuario en un
corto período de tiempo, lo que lo hace efectivo para descubrir contraseñas
débiles. Según (Vermeulen, 2017) es una herramienta de fuerza bruta
multiproceso que permite realizar ataques de fuerza bruta en diferentes
protocolos, como: HTTP, FTP, SMB, entre otros, simultáneamente. Esto
significa que se pueden realizar varios ataques al mismo tiempo, lo que
aumenta la eficiencia y reduce el tiempo necesario para descubrir una
contraseña. En la figura 33 se muestra los módulos que se instalan con la
herramienta Medusa en el sistema operativo Parrot.
Figura 33.
Módulos instalados con Medusa
Nota. Adaptado de Parrot Terminal [Imagen], por MUNDOHACKERS, 2017.

▪ Hydra es una herramienta de software libre que es capaz de probar una

gran cantidad de combinaciones de contraseñas y nombres de usuario en un
corto período de tiempo, lo que lo hace efectivo para descubrir contraseñas
débiles. Es una de las herramientas de fuerza bruta más populares y
ampliamente utilizadas en la comunidad de seguridad informática. Se puede
utilizar para atacar diferentes protocolos, incluidos: SSH, FTP, Telnet, HTTP,
etc. (Vermeulen, 2017).
Los ataques de fuerza bruta o de diccionario también se pueden realizar de

manera offline, es decir, que el atacante descarga una copia de la base de datos
o del sistema a ser atacado y luego realiza el ataque en su computadora local, sin
necesidad de acceder a la red o al sistema original.

▪ Investigue el funcionamiento técnico de las herramientas: Ncrack, Medusa e

Hydra.
▪ ¿Cuáles son las diferencias entre las tres herramientas? ¿En qué
sistema operativo funcionan? ¿Son de código libre? ¿Qué datos se
obtienen en el reporte?
▪ Comparta sus ideas con sus compañeros.

Autoevaluación 4

1. Son herramientas diseñadas para comprobar qué puertos están disponibles

y se están usando para las comunicaciones:
a. Escaner de puertos.
b. Footprinting.
c. Fingerprint.
2. Es una técnica que sirve para recolectar información pública del sistema a
auditar:
b. Footprinting.
c. Fingerprint.
3. Es una técnica que sirve para escuchar paquetes de datos en la red.
a. ARP Poisoning.
b. MitM.
c. Sniffing.
4. Es un tipo de análisis que se lleva a cabo sin ejecutar la aplicación web.
b. Análisis estático.
c. Análisis dinámico.

5. Es una herramienta de línea de comandos que permite a los usuarios

capturar y analizar paquetes en tiempo real.
a. OpenVas.
b. Ping.
c. TcpDump.
6. Es una herramienta que funciona como un proxy interactivo que permite

monitorear, modificar y manipular el tráfico de datos.
a. TcpDump.
b. Burp Suite.
c. Nessus.
7. Es una herramienta que utiliza reglas de escaneo:
a. Nessus.
b. Burp Suite.
c. TcpDump.
8. Cuál de las siguientes es una herramienta para ataques de fuerza bruta y
diccionario:
a. Nessus.
b. Burp suite.
c. Ncrack.
9. Es una herramienta para ataques de fuerza bruta y diccionario en diferentes

protocolos, como: HTTP, FTP, SMS, etc.
a. Nessus.
b. Medusa.
c. Ncrack.

10. Es una herramienta para ataques de fuerza bruta y diccionario en diferentes

protocolos, como: SSH, FTP, Telnet, etc.
a. Hydra.
b. Nessus.
c. Ncrack.
nte que vuelva a revisar los contenidos estudiados en esta unidad y lo vuelva a
intentar.

Unidad 5. Auditoría de la seguridad del Internet
En la unidad 4 se estudiaron las diferentes herramientas que apoyan la auditoría

de seguridad de sistemas y redes, en esta unidad se estudiaran las herramientas
que apoyan a la auditoría de seguridad en Internet, lo que significa que con
ciertas herramientas se examina que información está disponible en Internet de la
organización o del sistema objetivo. También se conceptualiza respecto al firewall
como medida de seguridad en la transferencia de datos entre el sistema interno
de la organización y el Internet. Le invito a estudiar los temas propuestos en esta
unidad y a profundizar su estudio en el texto básico.
5.1. Herramientas para auditoría de seguridad en Internet
Recordemos que en el apartado de esta guía didáctica punto 1.4.

Tipos de Auditoría de hacking Ético, metodología, normas y
leyes, se estudió que existen dos tipos de auditoria técnica de
seguridad, las de caja blanca y las de caja negra. Una auditoria
técnica de seguridad del Internet es un tipo de auditoría de caja negra, puesto que
el auditor obtiene la información pública del sistema objetivo desde el Internet.
Las fases de este tipo de auditoría se detallan en la tabla 4.

Tabla 3.
Fases de una auditoría seguridad de internet
información pública
Obtención de toda la Con la información Redacción del informe
información pública obtenida, se selecciona las técnico y ejecutivo con los
disponible, sobre todo técnicas y herramientas que hallazgos encontrados,
utilizando herramientas más se adapten para llevar vulnerabilidades enlistadas
como navegadores. a cabo el ataque. y posibles soluciones a
considerar, basadas en
controles.
En la Fase 1. Obtención de información pública, se pueden usar herramientas

o técnicas como Google Dorks, Directory listing o Sql injection para la búsqueda
de información, el propósito de cada una se muestra a continuación:
▪ Google Dorks, según (Globa et al., 2021) es una técnica que hace uso
de los servicios avanzados de búsqueda de Google para localizar datos
valiosos y públicos. Realiza la búsqueda de información usando operadores
específicos que ayudan a encontrar información en: bases de datos, páginas
web, imágenes y en todo el contenido que se encuentra en Internet. Esta
herramienta puede ser utilizada tanto para hacking ético como para fines
delictivos, lamentablemente contra este tipo de técnica no se puede hacer
muchos controles exhaustivos, pues toda la información se encuentra en
Internet.
Los operadores Google Dorks más utilizados según (Globa et al., 2021) son:
• Intitle: se utiliza para buscar varias palabras clave dentro del título.
Filetype: sirve para buscar cualquier tipo de extensión de archivo.
• Intext: útil para localizar páginas que contienen ciertos caracteres o

cadenas dentro de su texto.

• Site: le mostrará la lista completa de todas las URL indexadas para el

dominio y subdominio especificados.
• Cache: esta opción le mostrará la versión en caché de cualquier sitio

web.
• Directory Listing :es una función del servidor web que muestra el
contenido del directorio cuando no hay ningún archivo de índice en
un directorio específico del sitio web. Es peligroso dejar esta función
activada para el servidor web porque conduce a la divulgación de
información (Invicti, 2023). En la figura 34 se puede revisar cómo se
enlistan los directorios de un servidor si la opción de directory listing no
está deshabilitada.
Figura 34.
Ejemplo de la lista de un directorio en un servidor.
Nota. Adaptado de Directory Listing [Imagen], por White OAK Security, 2020.
▪ SQL Injection: recuerde que en la Unidad 3. Análisis y vulnerabilidades

de los sistemas de información se estudió a qué se refiere esta técnica,
cuyo principal propósito es que el auditor, hacker ético o hacker inyecta
un tipo de código malicioso en una consulta SQL para acceder a los datos
sensibles y sobre todo controlar una base de datos. La inyección del código

se hace aprovechando una vulnerabilidad en la validación de los datos de

entrada de un formulario por lo general.
5.2. Análisis de firewall en auditoría de sistemas informáticos
En el texto básico de la materia en el Capítulo 5. Descripción de los Aspectos

sobre cortafuegos en auditorias de sistemas informáticos – Tipos de
firewall, describe un tema muy importante a tomar en cuenta cuando se realiza
auditorías a sistemas informáticos y este es el firewall. Es importante la revisión
de este apartado como parte de estudio de este tema.
Para entender qué es el firewall piense en la siguiente analogía: se construye

un muro de hormigón desde la planta baja hasta la última parte superior de un
edificio o casa para evitar que un incendio se propague de una construcción a otra
en caso de haberlo, o quizá para evitar una inundación, etc. Cualquiera que sea la
razón por la que este muro fue construido, este muro es un firewall que previene
tipos específicos de amenazas. En la figura 35 se muestra el funcionamiento de
un firewall.
Figura 35.
Funcionamiento de un Firewall
Internet
Red local
Firewall Router
Nota. Adaptado de Firewall [Imagen], por INCIBE, 2019.

(Whitman & Mattord, 2018), especifican que un firewall es la combinación de

hardware y software que filtra o impide que determinada información circule entre
la red exterior y la red interior de una organización. Existen algunos tipos de
firewalls a tomar en cuenta como son: firewall de filtrado de paquetes, firewalls
proxy de capa de aplicación, firewalls de capa de control de acceso a medios e
híbridos.
▪ Reglas de firewall: el funcionamiento básico de un firewall es examinar un

paquete de datos y compararlo con algunas reglas lógicas predeterminadas.
Estas reglas son lógicas y se basa en un conjunto de directrices
configuradas o programadas por un administrador de firewall o también,
según (Whitman & Mattord, 2018) pueden ser creadas dinámicamente
basado en las solicitudes de información salientes.
La mayoría de los cortafuegos utilizan la información de la cabecera del

paquete para determinar si un paquete específico debe ser permitido o
descartado. La información de cabecera de un paquete es un conjunto de
datos que se encuentran en la parte superior de un paquete de datos en una
red de computadoras. Esta información incluye detalles como la dirección IP
de origen y destino, el tipo de protocolo de red utilizado (por ejemplo, TCP o
UDP) y otros detalles relacionados con el envío de los datos (Kurose, 2017).
Para (Whitman & Mattord, 2018), las reglas del cortafuegos funcionan según
el principio de “lo que no está permitido está prohibido”, también conocido
como reglas expresamente permitidas. En otras palabras, a menos que una
regla permita explícitamente una acción, esta es denegada. En la figura 36
se puede observar un ejemplo de configuración de reglas.

Figura 36.
Funcionamiento de un Firewall
Nota. Adaptado de Firewall rule examples , por Keenetic , 2022.

▪ Revise el apartado Capítulo 5. Descripción de los aspectos sobre

cortafuegos en auditorias de sistemas informáticos – El cortafuegos de
Windows.
▪ Realice pruebas de verificación de firewall en su computador personal.
▪ Recuerde las opciones que activa para que al finalizar la práctica regrese a
la configuración inicial del sistema.

Autoevaluación 5

1. Es una técnica que hace uso de los servicios avanzados de búsqueda de

Google.
a. SQLi.
b. Google Dorks.
c. Firewall.
2. Es un ataque que inyecta código aprovechando una vulnerabilidad en la

validación de los datos de entrada de un formulario.
a. SQLi.
b. Google Dorks.
c. Firewall.
3. Ayuda a filtrar la información que circula entre la red exterior y la red interior
de una organización:
a. Google Dorks.
b. Firewall.
c. IpTables.

4. Son un conjunto de directrices configuradas por un administrador de firewall:
a. Controles correctivos.
b. Antivirus.
c. Reglas de firewall.
5. Es un firewall que hace función de Gateway entre dos redes para

aplicaciones concretas.
a. Proxy.
b. Satateful inspection.
c. UTM.
6. Son firewalls que funcionan como un router comparando cada paquete

recibido con unos criterios establecidos antes de que sean reenviados o
eliminados.
a. UTM.
b. Paket-Filtering.
c. Circuit-Level.
7. Es un tipo de firewall que se implementa para detener amenazas como

malwares, ramsonwares y ataques en la capa de aplicación.
a. Stateful inspection.
b. UTM.
c. Última generación NGFW.

8. Este firewall examina los paquetes de dato y hace seguimiento para verificar
si este paquete es parte de una sesión TCP.
b. Última generación NGFW.
c. Circuit-level.

9. Es un firewall que filtran paquetes en función del servicio al que están

destinados (puerto destino):
c. Application level.
10. Es un firewall que combinan el filtrado de paquetes y monitorización de

circuitos, permiten conexiones entre hosts locales y remotos de forma
directa:
a. Multilayer inspection.
c. Stateful inspection.


Unidad 6. Auditoría a la gestión de continuidad de negocio
Estimado estudiante, el tema de auditoria en el proceso de gestión de continuidad

de negocio no está contemplado como un tema de estudio dentro del texto
básico, sin embargo, debido a su importancia, se ha visto la necesidad de incluir y
explicar el proceso en este apartado de la guía didáctica.
Para finalizar el estudio de este componente académico, esta unidad se

centrará en el estudio del proceso de gestión de continuidad de negocio y es
su auditoría. Hasta el momento ya se puede definir lo que es un ataque, una
vulnerabilidad o un riesgo y cualquiera de ellos pueden paralizar e interrumpir
el funcionamiento normal de un proceso crítico de una organización, por lo que
algunas organizaciones optan por desarrollar un plan de continuidad de negocio
en caso de que algún evento no deseado suceda. Le invito a estudiar esta unidad
y a revisar cada uno de los recursos colocados en la misma.
6.1. Gestión de continuidad de negocio y la auditoría
La gestión de continuidad de negocio (BCM, por sus siglas en inglés), es un

proceso sistemático de planificación, implementación, ejecución, monitoreo
y actualización de medidas destinadas a garantizar la capacidad de una
organización para continuar con sus operaciones críticas ante una interrupción
imprevista. (READY, 2021) .
Una interrupción se puede dar porque un hacker o un atacante logra de alguna

manera sobrepasar todos los controles de seguridad previstos en un sistema y
de alguna manera este dejó de funcionar. Por lo que es de vital importancia que
todas las organizaciones en algún momento realicen el proceso de gestión de
continuidad de negocio, de tal manera que puedan tener un plan que les ayude a
recuperarse del desastre, si es que no se pudo contener un ataque.

Este proceso de gestión de continuidad de negocio puede hacerse con base en

cubrir toda la organización, a sus procesos vitales o críticos o a los activos de
información más valiosos, quien decide sobre cuál de estas opciones planificar
la continuidad del negocio es el CEO, Junta directiva o Jefe principal de la
organización.
Particularmente para esas organizaciones que, si tienen un proceso de gestión de

continuidad de negocio o al menos un plan establecido, les viene bien realizar una
auditoría, sobre todo para chequear si este proceso hace lo que debe hacer con
los recursos y actividades que debe hacerlo.
Es entonces que se debe entender que la auditoría en el proceso de gestión

de continuidad de negocio es un proceso sistemático y objetivo que se realiza
para evaluar la efectividad de la planificación, implementación y gestión de la
continuidad del negocio (BSIGROUP, 2018). Esta auditoría se lleva a cabo para
determinar si la organización ha cumplido con los requisitos establecidos en sus
políticas y planes de BCM, así como para identificar áreas de mejora y corregir
cualquier desviación o incumplimiento.
La auditoría de BCM también es útil para:
▪ Verificar la integridad de los planes de BCM y su capacidad para responder a

desastres.
▪ Evaluar el desempeño de los equipos encargados de la gestión de la

continuidad del negocio.
▪ Identificar y corregir los errores y las debilidades en la implementación de los

planes de BCM.
▪ Mejorar la confianza del personal de la organización en la capacidad para

continuar con sus operaciones críticas en caso de una interrupción.

Está claro que al auditar verificamos el cumplimiento con base en análisis de

hallazgos y evidencias, entonces debemos entender algunos puntos claves del
proceso de continuidad de negocio.
6.2. Plan de continuidad de negocio
Antes de estudiar el plan de continuidad de negocio, se debe tomar en cuenta

que este es un componente del plan de contingencia global de una organización
según (Whitman & Mattord, 2018), como podemos observar en la figura 37.
Figura 37.
Componentes del plan de contingencia
Plan de
contingencia
Análisis del impacto

en el negocio
Respuesta a Recuperación Continuidad

incidentes de desastres de negocio
Planificación de la
reanudación de negocio
Nota. Adaptado de Business resumption planning [Imagen] , por Whitman, M. E., & Mattord, H. J,
2018, Principles of Information Security
Un plan de contingencia es un documento de planificación que describe las

acciones que se deben tomar para prevenir o mitigar los efectos de un evento
inesperado o desastre que pueda interrumpir las operaciones normales de una
organización. El objetivo principal del plan de contingencia es asegurar que la
organización pueda continuar sus operaciones críticas en el caso de un evento
no deseado, como una interrupción de la electricidad, un desastre natural o un
ataque informático. Los componentes que lo conforman son:

▪ Plan de Respuesta a Incidentes (plan RI), es la respuesta inmediata a un

tipo de ataque o amenaza, pero si el ataque se intensifica o es desastroso
(por ejemplo, un incendio, una inundación, un terremoto o un apagón total,
un hackeo total de un servidor), el proceso pasa a la recuperación de
desastres y al plan continuidad de negocios.
▪ Plan de Recuperación de Desastres (plan RD), suele centrarse en

restaurar o recuperar los sistemas a su estado original después de que
la amenaza se materializa o se produce el desastre, por lo que está
estrechamente asociado al plan de continuidad de negocio.
▪ Plan de Continuidad de Negocio (BCN) se lleva a cabo simultáneamente

con el plan de RD cuando los daños son importantes o continuos, y requiere
algo más que el simple restablecimiento de la información y los recursos
informáticos. El BCP establece las funciones críticas de la empresa en un
lugar alternativo.
Entonces, comprendemos que el plan de continuidad de negocios (BCP, por

sus siglas en inglés) es un proceso sistemático de planificación y preparación
destinado a garantizar que una organización pueda continuar sus operaciones
críticas en el caso de un evento no deseado, como una interrupción de la
electricidad, un desastre natural o un ataque informático. El objetivo principal del
BCP es asegurar que la organización pueda responder y recuperarse de manera
efectiva ante cualquier evento que pueda interrumpir sus operaciones normales.
Establecer un BCP en una organización no es un proceso sencillo, sin embargo,

se le debe considerar como un plan integral que cubre todos los aspectos críticos
de la organización, y que desde el inicio se lo debe establecer como un proyecto
que tiene una fase de inicio y dirección. Según la ISO 22301:2019, un plan de
continuidad de negocios debe incluir lo descrito en la tabla 4:

Tabla 4.
Fases de un BCN con base en la ISO 22301:2019
Fases Actividades en las fases

Inicio y dirección Identificar las personas y responsables de la planificación y
ejecución de del BCN, se asignan roles y responsabilidades.
Definición del alcance y objetivos del plan de continuidad de

negocio.
Análisis de impacto Identificar los riesgos potenciales que puedan afectar el negocio,
sobre todo a sus procesos o sistemas críticos y evaluar el
impacto que tendrían en la continuidad de las operaciones.
Desarrollo de Establecer estrategias y medidas para el tratamiento de los
estrategias riesgos.
Preparación y Desarrollar los procedimientos e identificar los recursos
planificación necesarios para implementar las estrategias de continuidad del
negocio.
Implementación Implementar las medidas y los recursos previstos en el plan de
continuidad del negocio.
Pruebas, revisión y Verificar la efectividad del plan de continuidad de negocio, en
mantenimiento caso de que alguna estrategia no funcione se debe cambiar,
mejorar, y nuevamente analizar.
6.3. Fases del Plan de Continuidad de Negocio
Inicio y dirección
Para desarrollar un BCP se lo debe concebir como el desarrollo de un proyecto,

la primera actividad antes de determinar el alcance o los objetivos del mismo,
se debe establecer el grupo de trabajo que llevará a cabo el BCP y también los
directivos o representantes de la organización, así como personal de operaciones
y todos los involucrados. El primer paso, según (Whitman & Mattord, 2018),
es crear una política de planificación de contingencia, misma que guiará los

esfuerzos del equipo establecido en el desarrollo de sus actividades, y que de

alguna manera les dé toda la autonomía de la información que necesitan obtener.
Para definir el alcance del BCP, es importante identificar los procesos críticos
de la organización, y son aquellos que son esenciales para el funcionamiento
continuo de la organización. Como referencia de identificación de procesos para
la continuidad de negocio en la figura 38 muestra una categorización de procesos.
Figura 38.
Categoría de procesos en una organización
Misión crítica
- Procesos críticos que tienen el mayor impacto de las

operaciones de la organización y la necesidad de
recuperación.
- Este tipo de interrupción puede poner en peligro la
existencia de la organización, esta interrupción tiene
serias ramificaciones de seguridad, legales,
operativas y financieras.
- La tolerancia para tal interrupción es muy baja y el
tiempo de recuperación requerido a menudo se
describe en términos de horas.
Importantes
- Procesos importantes que si son interrumpidos su

impacto es a largo plazo. Por ejemplo, el acceso a
Internet, bases de datos, sistemas de soporte que
ayudan con reportes.
- El tiempo de recuperación requerido se mide en días
o semanas.
Menores
- Procesos creados para tratar problemas menores y

recurrentes.
- Se pueden recuperar a largo plazo.
- El identificarlos nos pueden ayudar a terminar con
procesos obsoletos.
- El tiempo de recuperación requeridas se mide en
semanas o meses.
Nota. Adaptado de Categoría de procesos en una organización [Imagen], por Romero, K., &
Jaramillo, D., 2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
Luego de identificar estos procesos críticos y de priorizarlos, de identificar los

involucrados de dicho proceso, qué recursos utiliza (por ejemplo, a nivel de

datos), que infraestructura de TI lo soporta, etc. La siguiente actividad es evaluar

los impactos potenciales que podrían afectar la continuidad de estos procesos.
Es decir, se puede especificar las situaciones en las que se puede encontrar
la organización al materializarse una amenaza y que afecte el proceso crítico
identificado. Cuando llegamos a este punto dentro de esta fase, ya podemos
establecer los objetivos que tendrá el BCP y estos debe ser claros y alcanzables.
Análisis de impacto
Para hacer el proceso de análisis de impacto es importante que recuerde el

proceso de análisis del riesgo que se estudió en la Unidad 2. Análisis de riesgos
de los sistemas de información en el primer bimestre.
Una vez que se tienen identificados los procesos críticos en los que se basará el
BCP, se evalúan las vulnerabilidades, determinando el valor de los riesgos con
base en la probabilidad e impacto potencial de un evento no deseado. Cuando
se tiene la lista de estos riesgos identificados y priorizados se debe hacer un
análisis de impacto financiero y operativo en caso de una amenaza o evento se
materialice.
Otra de las actividades primordiales en esta fase del BCP es que se evalúe la
capacidad que tiene la organización de responder a un evento no deseado,
en este caso se puede hacer uso de análisis de riesgos basado en escenarios
(Whitman & Mattord, 2018).
No solo basta con identificar el impacto a nivel de los procesos críticos de

una organización, recuerde que los procesos críticos de una organización
tienen procesos o subprocesos derivados o de los que estos dependen, como,
proveedores de servicios, contratistas u otras partes interesadas.
En esta fase se evalúa también el costo de las interrupciones, es decir, cuánto en

manera de costo le cuesta a la organización ciertos eventos en el tiempo. El costo
varía, (Romero & Jaramillo, 2021) especifican ejemplos para comprender:

▪ Si una aplicación Web está inactiva durante 5 minutos mientras se reinicia

debido a una actualización de este, el costo es insignificante.
▪ Si la aplicación Web deja de funcionar por varios días por el ataque de un
hacker quién afecto a la base de datos, el costo es elevado totalmente.
Desarrollo de estrategias
En esta fase es donde se desarrollan las soluciones para poder mantener los
procesos críticos y minimizar los impactos de un evento no deseado. Parte del
análisis del impacto donde se evalúa estos resultados y se determina aceptar, las
soluciones en términos de evitar, reducir o transferir los riesgos relacionados con
posibles interrupciones del negocio.
Al hacer un proceso de tratamiento de riesgos como resultado se tiene la solución

o la identificación de la estrategia que apoyará para poder hacer un proceso de
continuidad solvente. Junto con la identificación de estas soluciones también se
debe identificar los recursos necesarios y las personas involucradas o equipos
que participan en ella, es una buena práctica identificar soluciones de respaldo
por si la solución identificada no funciona cuando un evento no deseado se
materialice.
En la figura 39 (INCIBE, 2017), describe en resumen los elementos que se

consideran para establecer una estrategia de continuidad y que ya se estudiaron
en los apartados anteriores.

Figura 39.
Elementos para definir la estrategia de continuidad
Los procesos críticos del negocio, sus

tiempos necesarios de recuperación y
sus requisitos de pérdida de datos.
Los recursos implicados en cada uno de

los procesos: aplicaciones, etc...
Los tiempos de recuperación de cada

uno de los recursos que puede
garantizar nuestro personal técnico.
Los riesgos a los que se encuentra

sometida la infraestructura TI.
Nota. Adaptado de Elementos de una estrategia de continuidad [Imagen], por INCIBE., 2017.
Con respecto al elemento de tiempos de recuperación significa que se debe

determinar los tiempos de respuesta y objetivos de recuperación para cada
proceso crítico frente a un evento no deseado. En la figura 40 se describen los
tiempos de recuperación que se deben considerar en un BCP.

Figura 40.
Tiempos de recuperación
Tiempo de recuperación
Tiempo de recuperación RTO

Recursos implicados
Es el tiempo en que un proceso
en el proceso
se paraliza (puede ser por
consecuencia de un ataque,
fallo o desastre) antes de que Se refiere a todos los recursos
sea puesto en funcionamiento tecnológicos implicados en el
nuevamente. Lo determina el proceso, software, hardware,
personal técnico. información, recursos
humanos, infraestructura, etc.
Que sirven de apoyo para el
Tiempo Máximo Tolerable proceso.
de Caída MTD
Tiempo de recuperación
Es el tiempo en que el proceso
puede permanecer paralizado del trabajo WRT
antes de que haya Se necesita tiempo para que
consecuencias en la los procesos críticos vuelvan a
organización. funcionar una vez que los
sistemas o IaTI son
Determinar dependencias de restaurados, por ejemplo, los
otros procesos o proveedores datos deben probarse para que
los backups sean correctos.
Existen procesos con
dependencias en otros RPO (Recovery Point
proveedores de los que deben Objective)
tener un plan de
recuperación, esto con el Qué cantidad pérdida de datos
propósito de verificar que los está la organización dispuesta
proveedores pueden apoyar si a tolerar, por ejemplo, desde
el proceso se paraliza. que el proceso se paralizó y el
último backup del mismo.
¿Cuántos datos se pierden?
Nota. Adaptado de Tiempos de Recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Para comprender cómo funcionan estos tiempos de recuperación en la figura 41,

se puede ver la línea de tiempo de recuperación de organización.

Figura 41.
Línea de tiempo de recuperación de la organización.
Pruebas y
Inicio Recuperación Recuperar Recuperar verificación Reanudar
Último Sistemas Recuperación del sistema datos trabajo de datos y operaciones
backup inhabilitados del sistema completo perdidos perdido sistemas normales
Operaciones Marco de tiempo de Operaciones

normales recuperación normales
Evento
disruptivo
RPO RTO WRT
MTD
1 2 3 4
Nota. Adaptado de Línea de tiempo de recuperación de la organización [Imagen], por Romero, K.,
& Jaramillo, D., 2021, Fundamentos y Aplicación de Seguridad de la información - Guía didáctica.
En términos de costos, el equipo responsable de establecer el BCP debe tomar en

cuenta que hay una relación directa entre el tiempo de tratamiento de riesgo y el
costo que cubre la organización dependiendo del tipo de tratamiento que se le dé
al riesgo identificado. En la figura 42 se indica esta relación:

Figura 42.
Costo que asume la organización por tipo de tratamiento.
Evitar el riesgo
Distribución del
negocio
Costo
Mitigación del riesgo
Transferencia
del riesgo
Aceptación
del riesgo
Nota. Adaptado de Costo de recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Otra actividad primordial en esta fase es establecer los requisitos de recuperación,

los mismos que son prácticamente las necesidades específicas que una
organización debe tener o cumplir para volver a la normalidad sus procesos
críticos en caso de que hayan sido interrumpidos.
Estos requisitos pueden incluir el tiempo de recuperación objetivo, los requisitos

de infraestructura y tecnología necesarios para el restablecimiento, los
procedimientos y las políticas que deben seguirse, y los recursos humanos y
financieros necesarios para la recuperación (FEMA, 2018).
Según (Romero & Jaramillo, 2021), se pueden considerar tres opciones básicas
de recuperación, estas están descritas en la figura 43.

Figura 43.
Opciones de recuperación
Adquirir los recursos en el momento de la

interrupción. Es el caso por ejemplo si la
interrupción se da por algún desastre natural,
Según sea en ese caso podría ser aceptable por parte de la
necesario organización pagar los costos. Hay que tomar
en cuenta, que no siempre habrá recursos
disponibles, el costo puede ser elevado y hay un
alto riesgo en la implementación. Una solución
viable es tener a la mano siempre el contacto de
proveedores y archivado de alguna manera las
especificaciones técnicas de los activos.
Se refiere a buscar un proveedor para que haga

el suministro de sistemas, productos o servicios
requeridos después de una interrupción de
Acordado de negocio. Lo importante aquí es tener SLA bien
antemano especificados para garantizar que las
necesidades se cumplan y lo que se acepta por
adelantado incluyendo el contrato.
Son opciones de recuperación que se compran,

configuran e implementan antes de una
interrupción y se utilizan solo para recuperarse
de esta interrupción. La ventaja es que cuando
Preestablecido la organización sufre una interrupción esta
puede recuperarse con algún tipo de sistema de
recuperación previamente implementado, sin
embargo, puede suceder que quizá no sufra una
interrupción por lo que con el tiempo estos
sistemas se vuelven obsoletos.
Nota. Adaptado de Opciones de recuperación [Imagen], por Romero, K., & Jaramillo, D., 2021,
Una vez establecidas las estrategias de recuperación se evaluará el costo de

cada una de las opciones. En la mayoría de los casos, cuanto mayor sea la
capacidad, mayor será el costo, es decir, mientras más la organización necesite
recursos humanos, materiales y financieros para mitigar los riesgos, mayor será el
costo de aplicar la estrategia definida.
Preparación y planificación hasta el momento ya se ha obtenido toda la

información suficiente como para empezar a desarrollar los procedimientos de
recuperación, es decir, el conjunto de acciones específicas y tareas necesarias

para garantizar la capacidad de la organización para responder a una interrupción

imprevista.
Cada actividad y tarea, tendrá sus responsables y sus tiempos de ejecución y es

una buena práctica realizar estos procedimientos por proceso crítico identificado.
Dentro de estos procedimientos se puede considerar según la ISO 22301:2012.
▪ Evaluación de los activos claves para los procesos críticos identificados.
▪ Evaluación de los riesgos por proceso crítico identificado, se estudió este

apartado con más detalle anteriormente.
▪ Definir escenarios de respuesta a escenarios donde las amenazas previstas

en los procesos críticos se materializan e identificar los requisitos de
recuperación necesarios.
▪ Establecer equipos de respuesta, quienes estarán a cargo de la contingencia

y de qué serán responsables.
▪ Definir cómo se desarrollarán las pruebas y entrenamiento a los equipos

de respuesta para que estén en capacidad de responder a un evento no
deseado.
En parte de esta fase, que se refiere a la planificación, se orienta a los planes de

acción que son necesarios, ya que describen las acciones que se van a realizar
para mitigar los riesgos o aplicar la estrategia definida. En los planes se definen
algunos elementos según la ISO 22301:2012.
▪ Identificación de los responsables: designación de los quipos

responsables de la implementación de la estrategia definida.
▪ Acciones específicas: descripción detallada de las acciones que deben

realizarse para abordar un evento específico. Procedimientos identificados.

▪ Plazos: definición de los plazos para la realización de cada acción para

lograr la implementación de la estrategia.
▪ Recursos necesarios: identificación de los recursos necesarios para

la implementación de cada acción, incluyendo personal, materiales y
financieros.
▪ Monitoreo y revisión: describir cómo se monitoreará y revisará el progreso

de la implementación de cada acción para lograr la estrategia definida.
En esta fase se debe establecer también los mecanismos de monitoreo o

evaluación de los planes de acción o procedimientos desarrollados, si estos
planes no son eficaces se debe revisar el motivo del porqué no puede proceder,
se actualiza en caso de ser necesario estos planes.
Implementación: se implementan los planes de acción y los procedimientos

necesarios que permiten asegurar la continuidad del negocio de los procesos
críticos identificados. Las actividades que comúnmente se realizan en esta fase
son según la ISO 22301:2019:
▪ Reunir y asignar las responsabilidades al equipo de personas establecido.
▪ Si es necesario se capacita e involucra al personal que se crea necesario

sobre los procedimientos y planes de acción a implementar.
▪ Se implementa los procedimientos y planes de acción desarrollados en la

fase anterior, incluyendo la asignación de los recursos necesarios para su
desarrollo.
▪ Es sumamente importante desarrollar las pruebas necesarias para evaluar la

eficiencia y eficacia de estos planes de acción y procedimientos.
▪ Documentar los resultados de los procedimientos y planes implementados.

Pruebas, revisión y mantenimiento esta fase ayuda a asegurar la efectividad y

actualización del BCP ante cualquier cambio. Las actividades que se realizan en
esta etapa según la ISO 22301:2019 son:
▪ Realizar las pruebas y simulaciones necesarias para evaluar la eficacia del

BCP, sobre todo enfocarse en las estrategias definidas.
▪ Revisar y actualizar el BCP para incorporar cambios en la organización,

puede ser a nivel de políticas de continuidad establecidas o de recursos, o
en las operaciones.
▪ Mantener los procedimientos y recursos necesarios para implementar el

BCP, incluyendo la capacitación a todos los involucrados.
▪ Documentar los resultados de las pruebas, las simulaciones y las revisiones

y guardar un registro actualizado del BCP.
▪ Si dentro de la estrategia de mitigación están las alianzas con proveedores,

se debe evaluar y revisar periódicamente los acuerdos de nivel de servicio
para asegurarse de que sigan siendo los adecuados.
Si se tiene más claro cómo se establece un BCP en una organización, es mucho

más sencillo comprender cómo es el proceso de auditoría del BCN. Para (Romero
& Jaramillo, 2021), los objetivos de las auditorías enfocadas al BCP son:
▪ Asegurar que las estrategias de mitigación de riesgos de TI estén

implementadas y correctamente implementadas/configuradas.
▪ Asegurar que los sistemas identificados por el plan de continuidad de

negocio aún estén en su lugar y funcionando.
▪ Identificar áreas donde se ha implementado nueva tecnología y es posible

que no se incorporen al plan de continuidad de negocios.

▪ Identificar áreas donde la tecnología ha sido retirada o modificada,

resultando en la necesidad de revisar el plan continuación de negocio.
▪ Revisar los procesos identificados en el plan de continuidad de negocio con

respecto a los sistemas de TI para garantizar que los pasos y procesos aún
sean correctos, completos y relevantes.
▪ Verificar que el equipo de respuesta a incidentes de TI (CSIRT, CERT o

cualquier término que use), está intacto y tiene una comprensión clara de los
roles, responsabilidades y cómo implementar los segmentos específicos de
TI del plan de continuidad de negocio.
6.4. Buenas prácticas para la continuidad de negocio
La auditoría de un BCP es más sencilla de realizarla si la organización utilizó

un marco de referencia o estándar para hacerlo. Estos marcos de referencia
o estándares no son más que un conjunto de pautas y directrices que aplican
para mejorar la planificación, preparación, respuesta y recuperación de una
organización ante las interrupciones inesperadas. Entre los marcos de referencia
o estándares más conocidos tenemos:
ISO 22301:2019 Gestión de la Continuidad del Negocio
Este estándar de la amplia familia de las ISO, proporciona directrices para la

planificación, implementación, monitoreo y mejor de la continuidad de negocios,
en el apartado de esta guía didáctica donde se estudió las fases de BCP, se
basaron estas fases en este estándar.
Al igual que toda la familia de los estándares ISO, su proceso operativo está
basado en el ciclo de mejora continua, o ciclo de Demming (Planificar, hacer,
verificar y actuar - PDCA). En la figura 44 se define cómo se agrupan las 10
cláusulas de la ISO 22301 y cómo se relacionan con el PDCA.

Figura 44.
Relación PDCA y ISO 22301
Gestión de la continuidad
Organización del negocio(4)
y su contexto
Operación
y Soporte
(7,8)
Evaluación de Resultados
Planificación Liderazgo esperados
desempeño
(6) (5)
(9)
Necesidades
de las partes
interesadas Mejora
(10)
Nota. Adaptado de Relación PDCA e ISO 22301 [Gráfico], por BSI GROUP., 2016.
La Gestión de la Continuidad del Negocio empieza por un análisis de la

organización y su contexto, entender cuál es la misión, visión, objetivos
estratégicos de la organización en la que se va a gestionar la continuidad
es el punto de partida, y es mucho más fácil comprender las necesidades y
expectativas de las partes interesadas, así se define el alcance y los objetivos
que se quieren alcanzar del Sistema de Gestión de Continuidad de Negocio
SGCN dando como resultado final el cumplimiento de los resultados esperados.
Como todas las normas de la familia ISO, la ISO 22301 necesita del compromiso
de la alta dirección denominado “liderazgo” con el fin de procurar alcanzar
los objetivos planteados del SGCN y que estos sean afines a las estrategias
de dirección organizacional, es por esto que es necesario la creación de
políticas que respalden el SGCN y que a su vez cumpla con requisitos legales
y reglamentarios. También como se estudió en las fases de BSC, cuando se
desarrolla e implementa el BSC es necesario de recursos para implantar las
estrategias, y quiénes deben estar de acuerdo o no en la obtención de los mismos
es la alta dirección.

El alcance y objetivos del SGCN deben ser medibles y alcanzables y para esto en
la cláusula de planificación se requiere que la organización o el equipo a cargo
identifique los riesgos por los que estos objetivos no se llegarían a cumplir. Por lo
que es importante verificar todo el entorno de la organización y los factores que
inciden en esos objetivos.
La cláusula de soporte y operación trata sobre los recursos que se van a

necesitar para establecer, implementar y mantener un efectivo SGCN y también
de todas las actividades operativas que el quipo responsable de establecer
el SGCN debe realizar como, por ejemplo: gestión de la comunicación entre
los involucrados, gestión de la documentación, identificación de respuesta a
incidentes, etc. También involucra la verificación de la eficiencia de los procesos
de gestión de riesgos del SGCN. Los tiempos de recuperación para las
actividades críticas se definen aquí.
Como todo sistema de gestión se debe hacer una evaluación del desempeño
del SGCN establecido por medio de auditoría con base en métricas de
desempeño, en caso de que al evaluar las métricas, exista un cambio, se hace y
se implementan las medidas correctivas y se determina una mejora del SGCN.
ITIL Information Technology Infraestructure Library
Es un marco de trabajo que proporciona un enfoque estructurado para la gestión

de servicios de TI, pero incluye prácticas de la gestión de continuidad del negocio,
que como ya se ha estudiado, se refiere a la capacidad de una organización para
mantener el funcionamiento continuo de sus procesos críticos, a pesar de las
interrupciones.
ITIL incluye varios procesos y prácticas que apoyan la gestión de continuidad, y

que se describen en la tabla 5 según (ITIL, 2021):

Tabla 5.
Procesos y prácticas ITIL que apoyan a la gestión de continuidad
Proceso Prácticas
Continuidad del Planificación, diseño, implementación y prueba de la continuidad
servicio: del servicio para asegurar que los servicios críticos se mantengan
operativos durante interrupciones.
Gestión de la Planificación, diseño, implementación y monitoreo de la
disponibilidad: disponibilidad de los servicios de TI para asegurar que se cumplan
los acuerdos de nivel de servicio con los usuarios, sobre todo a
nivel de proveedores.
Gestión de Planificación y control de la capacidad de los servicios de TI para
capacidades: asegurar que se cumplan los acuerdos de nivel de servicio entre
usuarios y proveedores.
Gestión de Planificación, implementación y monitoreo de la seguridad de los
seguridad: servicios de TI para asegurar la continuidad y la integridad de los
datos.
Nota. Elaboración Propia.
El proceso de gestión de continuidad de servicio de TI de ITIL más conocido por

sus siglas (ITSCM), tiene algunos objetivos que se deben cumplir para que este
proceso sea eficaz. En la figura 45 se enlistan estos objetivos.

Figura 45.
Objetivos de un ITSCM
Objetivos de un ITSCM
Mantener un conjunto de planes de continuidad y recuperación.
Realizar periódicamente Análisis de Impacto sobre el Negocio

(BIA).
Realizar periódicamente estimaciones de riesgo y ejercicios de

gestión.
Asesorar y guiar a todas las áreas de negocio y de TI en todos los

temas relacionados con la continuidad y la recuperación.
Garantizar que los mecanismos adecuados de continuidad y

recuperación están listos para poder cumplir o superar los
objetivos particulares de continuidad acordados con el negocio.
Evaluar el impacto de todos los cambios sobre los planes de

continuidad y recuperación.
Implementar medidas proactivas para mejorar la disponibilidad

de los servicios (cuando sea justificable en costes).
Negociar acuerdos con otros proveedores de servicios de TI en
lo relativo a capacidad de recuperación requerida para soportar
los planes de continuidad.
Nota. Adaptado de Objetivos de un ITSCM [Imagen], por ITIL., 2021.
Algunas métricas para medir la efectividad del ITSCM de ITIL según (Van Bon et
al., 2017) son:
▪ Documentos de los Informes de auditorías periódicas de los planes del

ITSCM.
▪ SLA - Niveles de acuerdo de servicio.
▪ Resultados de las pruebas del ITSCM.
▪ Revisión periódica de los planes de ITSCM.

COBIT
Control Objectives for Information and related Technology es un marco de

referencia ampliamente utilizado para la gestión de tecnología de la información
con base en la implementación de objetivos de control.
Según (ISACA, 2018), COBIT 5 incluye una guía para la gestión de continuidad y
recuperación de desastres, que se integra con la gestión de riesgos y la seguridad
de la información. La integración de COBIT 5 en la gestión de continuidad
permite a las organizaciones evaluar y mejorar sus capacidades de continuidad
de negocios, lo que a su vez ayuda a garantizar la continuidad de la entrega de
servicios y productos.
El proceso DSS04 de COBIT está enfocado a la “gestión de continuidad” y

pertenece al dominio: entrega, servicio y soporte. En la figura 46 se describe este
proceso más detenidamente.

Figura 46.
Proceso DSS04
Nota. Adaptado de Proceso DSS04 por COBIT 5., 2019.
NIST SP 800-34
Es una guía publicada por el Instituto Nacional de Normas y Tecnología (NIST)

de los Estados Unidos, que proporciona recomendaciones para la planificación
y ejecución de la continuidad del negocio en sistemas de información federales.
Incluye un enfoque integral para la planificación de contingencia, que incluye
la identificación de riesgos, la evaluación de impacto y la planificación de

recuperación. La guía también incluye la descripción de las tareas y actividades

necesarias para implementar un plan de continuidad del negocio efectivo. En la
siguiente figura 47 se describe el proceso de planificación de contingencias según
NIST SP 800-34.
Figura 47.
Proceso de planificación de contingencias según NIST SP 800-34
Desarrollar una Realizar Identificar

política de análisis controles
planificación de del impacto preventivos.
contingencias. empresarial.
Crear Desarrollar el Planificar

estrategias de plan de pruebas,
contingencia. contingencia. entrenamientos
y ejercicios.
Mantenimiento
del Plan.
Nota. Adaptado de Proceso de NIST SP 800-34 [Imagen], por Romero, K., & Jaramillo, D., 2021,

▪ Revise el siguiente recurso http://bit.ly/3jPENvy

▪ Haga una planificación general de como serían las fases de realizar un BCP
para la empresa donde usted labora o una empresa que pueda tomar como
referente.
▪ Compare su propuesta con la de sus compañeros.

Autoevaluación 6

didáctica, es importante que realice la siguiente autoevaluación:
1. La gestión de continuidad de negocio es conocida por sus siglas en inglés:
a. BCM.
b. BCC.
c. BIM.
2. Si un hacker sobre pasa los controles de seguridad de un sistema

informático y estos dejaron de funcionar, estamos hablando de un/una:
a. Riesgo.
b. Vulnerabilidad.
c. Interrupción.
3. Es un proceso sistemático y objetivo que se realiza para evaluar la

efectividad de la planificación, implementación y gestión de la continuidad
del negocio.
a. Sistema de gestión de seguridad de la información.

b. Auditoría en el proceso de gestión de continuidad de negoción.
c. Controles de riesgos orientados a TI.

4. Es un documento de planificación que describe las acciones que se deben

tomar para prevenir o mitigar los efectos de un evento inesperado o desastre
que pueda interrumpir las operaciones normales de una organización:
a. Plan de negocio.
b. FODA.
c. Plan de contingencia.
5. Es un proceso sistemático de planificación y preparación destinado a

garantizar que una organización pueda continuar sus operaciones críticas:
a. Plan de recuperación de desastres.

b. Plan de respuesta a incidentes.
c. Plan de continuidad de negocio.
6. La fase de BCP en donde se identifica el equipo responsable de la

planificación y ejecución del BCP, es:
a. Inicio y dirección.
b. Análisis de impacto.
c. Implementación.
7. La fase de BCP en donde se identifican los riesgos potenciales que estén

afectando a la organización y se evalúa su impacto, es:
a. Inicio y dirección.
b. Análisis de impacto.
c. Implementación.

8. La fase del BCP, en donde se desarrollan los procedimientos para

implementar las estrategias de continuidad de negocio, es:
a. Análisis de impacto.
b. Preparación y planificación.
c. Implementación.
9. Son procesos de la organización que al ser interrumpidos puede poner

en peligro la existencia de la organización y necesitan su recuperación
inmediata:
a. Procesos menores.
b. Procesos Importantes.
c. Procesos de misión crítica.
10. Es el tiempo en que un proceso o sistema se paraliza antes de que sea

puesto en funcionamiento nuevamente:
a. Tiempo máximo de caída.

b. Tiempo de recuperación.
c. Tiempo de recuperación del trabajo.


Guía didáctica: Auditoría Informática SOLUCIONARIO
7. Solucionario
Autoevaluación 1
Pregunta Respuesta Retroalimentación
1 b Cuando deseamos que un activo de información esté libre de
peligro o daño, debemos buscar su seguridad.
2 c Al proteger la información de la divulgación y acceso por
personas o sistemas no autorizados, estamos garantizando la
confidencialidad.
3 b Un ataque es un acto que puede dañar o poner en peligro la
información, y puede ser intencional o no intencional.
4 b En la fase de análisis de riesgos y amenazas de la auditoría
informática se define objetivamente algunos controles o
soluciones que apoyen al tratamiento de los riesgos.
5 c Cuando se hace un escaneo de información en diversas
fuentes abiertas, es un tipo de análisis pasivo.
6 a En la fase obtener acceso y explotación de la auditoría
basada en hacking ético , el hacker ético mide las
consecuencias de la violación de controles y las pérdidas que
estas generan.
7 c Cuando en la auditoría el hacker ético no se dispone de
ninguna información de la organización y se ejecuta el
pentesting desde la red externa, es una auditoria de caja
negra.
8 c Las herramientas para la auditoría informática que generan
reportes donde se obtienen vulnerabilidades que realmente no
existen, se los conoce como falsos positivos.
9 b OWASP es una metodología que ayuda a identificar los
riesgos de seguridad más críticos para las aplicaciones web.
10 a Las leyes son reglas establecidas por una autoridad y que se
deben cumplir de carácter obligatorio.

Autoevaluación 2
1 b Identificación de riesgos es el proceso de analizar, valorar y
documentar los riesgos de los activos de información de una
organización.
2 c En qué fase del proceso de gestión de riesgos se define el
contexto y el alcance de este, planificar y organizar.
3 a Para la priorización de los activos de información se puede
tomar en cuenta el valor financiero del impacto que causa
perder este activo de información.
4 b De las siguientes amenazas, cuál es considerada el eslabón
más débil de la cadena de seguridad de la información,
personas.
5 c Una vulnerabilidad puede ser un defecto o debilidad en un
activo de información, puede ser intencional o no.
6 a El valor del riesgo está dado por impacto por probabilidad.
7 c Es la acción de minimizar la probabilidad de que se materialice
una amenaza, al riesgo se lo está mitigando.
8 b Cuando una organización contrata un servicio de seguro para
sus activos de información, al riesgo lo está transfiriendo.
9 c La ISO 27005 nos ayuda a gestionar los riesgos de los activos
de información.
10 b COBIT for Risk es un marco de gestión de riesgos asociados
con la TI.

Autoevaluación 3
1 a Un ataque es la acción de interrumpir, dañar o controlar un
sistema informático o una red de computadoras.
2 b La intercepción es un tipo de ataque en el que se ve afectada
la confidencialidad de la información.
3 c Es un tipo de ataque que por lo general se hace mediante la
interacción humana y manipulación psicológica, ingeniería
social.
4 b La suplantación de identidad es un tipo de ataque donde el
atacante estudia por mucho tiempo a la víctima, requiere de
mucho esfuerzo, tiene siempre éxito y es difícil de detectar.
5 a Cuando un hacker accede sin autorización a las redes, roban
los datos, pero no los alteran, es un ataque de red pasivo.
6 c DoS es un ataque que sobre carga las solicitudes al servidor,
por lo general un servidor web y el sistema se bloquea.
7 a Diccionario y fuerza bruta en este tipo de ataque el hacker
utiliza una lista de palabras cuya intención es descubrir una
contraseña.
8 c Keylogger attack es un programa espía que graba lo que se
escribe en el teclado.
9 c SQLi el hacker inyecta un código malicioso de tal manera que
puede obtener datos de la base de datos.
10 a El malware son programas informáticos diseñados para
realizar acciones maliciosas o no deseados dentro de un
sistema informático.

Autoevaluación 4
1 a Escaner de puertos: Son herramientas diseñadas para
comprobar qué puertos están disponibles y se están usando
para las comunicaciones.
2 b Footprinting: es una técnica que sirve para recolectar
información pública del sistema a auditar.
3 c Snnifing :es una técnica que sirve para escuchar paquetes de
datos en la red.
4 b Es un tipo de análisis que se lleva a cabo sin ejecutar la
aplicación web, análisis estático.
5 c Es una herramienta de línea de comandos que permite a
los usuarios capturar y analizar paquetes en tiempo real,
TcpDump.
6 b Burp Suite es una herramienta que funciona como un proxy
interactivo que permite monitorear, modificar y manipular el
tráfico de dato.
7 a Nessus es una herramienta que utiliza reglas de escaneo.
8 c Cuál de las siguientes es una herramienta para ataques de
fuerza bruta y diccionario, Ncrack.
9 b Medusa es una herramienta para ataques de fuerza bruta y
diccionario en diferentes protocolos, como: HTTP, FTP, SMS,
etc.
10 a Hydra es una herramienta para ataques de fuerza bruta y
diccionario en diferentes protocolos, como: SSH, FTP, Telnet,
etc.

Autoevaluación 5
1 b Google Dorks es una técnica que hace uso de los servicios
avanzados de búsqueda de Google.
2 a SQLi es un ataque que inyecta código aprovechando una
vulnerabilidad en la validación de los datos de entrada de un
formulario.
3 b Un firewall ayuda a filtrar la información que circula entre la
red exterior y la red interior de una organización.
4 c Son un conjunto de directrices configuradas por un
administrador de firewall, reglas de firewall.
5 a Es un firewall que hace función de Gateway entre dos redes
para aplicaciones concretas, Proxy.
6 b Firewall Paket-Filtering funcionan como un router
comparando cada paquete recibido con unos criterios
establecidos antes de que sean reenviados o eliminados.
7 c Es un tipo de firewall que se implementa para detener
amenazas como malwares, ramsonwares y ataques en la capa
de aplicación, última generación NGFW.
8 a Stateful inspection , este firewall examina los paquetes de
datos y hace seguimiento para verificar si este paquete es
parte de una sesión TCP.
9 c Application level es un firewall que filtran paquetes en función
del servicio al que están destinados (puerto destino).
10 a Es un firewall que combinan el filtrado de paquetes y
monitorización de circuitos, permiten conexiones entre hosts
locales y remotos de forma directa. Multilayer inspection

Autoevaluación 6
1 a La gestión de continuidad de negocio es conocida por sus
siglas en inglés BCM.
2 c Si un hacker sobre pasa los controles de seguridad de un
sistema informático y estos dejaron de funcionar, estamos
hablando de un/una interrupción.
3 b La auditoría en el proceso de gestión de continuidad de
negoción es un proceso sistemático y objetivo que se realiza
para evaluar la efectividad de la planificación, implementación
y gestión de la continuidad del negocio.
4 c El plan de contingencia es un documento de planificación
que describe las acciones que se deben tomar para prevenir
o mitigar los efectos de un evento inesperado o desastre
que pueda interrumpir las operaciones normales de una
organización.
5 c El plan de continuidad de negocio es un proceso sistemático
de planificación y preparación destinado a garantizar que una
organización pueda continuar sus operaciones críticas.
6 a La fase de BCP en donde se identifica el equipo responsable
de la planificación y ejecución del BCP, es inicio y dirección.
7 b La fase de BCP, en donde se identifican los riesgos potenciales
que estén afectando a la organización y se evalúa su impacto,
es análisis de impacto.
8 b La fase del BCP, en donde se desarrollan los procedimientos
para implementar las estrategias de continuidad de negocio, es
preparación y planificación.
9 c Los procesos de misión crítica son procesos de la
organización que al ser interrumpidos puede poner en peligro
la existencia de la organización y necesitan su recuperación
inmediata.
10 b Es el tiempo en que un proceso o sistema se paraliza antes de
que sea puesto en funcionamiento nuevamente, es el tiempo
de recuperación.

Guía didáctica: Auditoría Informática GLOSARIO
8. Glosario
▪ CID: Confidencialidad, Integridad y Disponibilidad.
▪ CPD: Centro de Procesamiento de Datos.
▪ CVE: Common Vulnerabilities and Exposures
▪ ISO: International Organización for Standarization.
▪ HTTP: Hypertext Transfer Protocol – protocolo de transferencia de

hipertextos.
▪ FTP: File Transfer Protocol – protocolo de transferencia de archivos.
▪ SMS: Short Message Service – Servicio de mensajes cortos.
▪ SSH: Secure Shell – protocolo de administración remota.
▪ SGSI: Sistema de Gestión de la Seguridad de la Información.
▪ TELNET: Telecomunication Network.
▪ TI: Tecnologías de la Información.

Guía didáctica: Auditoría Informática REFERENCIAS BIBLIOGRÁFICAS
9. Referencias bibliográficas
BSIGROUP. (2018). ISO 22301 Business Continuity Management. ISO 22301

Business Continuity Management
DeWall, B. (2020). Simple Security Fails (part 1) – The Directory Listing. https://
www.whiteoaksecurity.com/blog/2020-3-24-simple-security-fails-part-1-the-
directory-listing/
Globa, L. S., Novogrudska, R. L., Zadoienko, B. O., & Junfeng, Y. (2021).

Ontology-Based Approach To Scientific Institutions Information
Representation. Перспективи Телекомунікацій, 235–239.
González Brito, H. R., & Montesino Perurena, R. (2018). Capacidades de las

metodologías de pruebas de penetración para detectar vulnerabilidades
frecuentes en aplicaciones web. Revista Cubana de Ciencias Informáticas,
12(4), 52–65. http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-
18992018000400005&lang=es
Hernández, G., Ramírez, T., & Mar, O. (2019). Sistema para la auditoría y control
de los activos fijos tangibles. Universidad y Sociedad, 11(1), 128–134. http://
scielo.sld.cu/pdf/rus/v11n3/2218-3620-rus-11-03-186.pdf
Invicti. (2023). Directory listings. https://www.acunetix.com/vulnerabilities/web/

directory-listings/
ITIL. (2021). ITIL official website. Recuperado de https://www.axelos.com/best-

practice-solutions/itil
Pastorino, C. (2019). Técnicas y herramientas OSINT para la investigación en

Internet. Recuperado de enlace web

Keenetic. (2022). Firewall rule examples. https://help.keenetic.com/hc/en-us/

articles/360000991640-Firewall-rule-examples
Kurose, J. (2017). Computer Networking: A Top-Down Approach (Pearson (ed.);

Septima).
Menéndez Arantes, S. C. (2022). Auditoría de Seguridad Informática (RA-MA

(ed.)).
Moein, S., Gulliver, T. A., Gebali, F., & Alkandari, A. (2017). Hardware Attack
Mitigation Techniques Analysis. International Journal on Cryptography and
Information Security, 7(1), 9–28. https://doi.org/10.5121/ijcis.2017.7102
Ncrack [Software]. (s.f.). SourceForge.net. Recuperado el 4 de febrero de 2023,

de https://sourceforge.net/directory/
NETSECURE. (2018). 20 controles Ciberseguridad NIST. Recuperado de enlace

webNarayan Dash, S. (2020). MPUG - Where Project Managers and
Microsoft Meet. A Deep Dive into Risk Matrix Reporting. Recuperado de
enlace web
OWASP. (2021). Static Application Security Testing. Recuperado de https://owasp.

org/www-project-devsecops-guideline/latest/02a-Static-Application-Security-
Testing
PortSwigger. (s.f.). Burp Suite. Recuperado de https://portswigger.net/burp
READY. (2021). Business Continuity Plan. https://www.ready.gov/business-

continuity-plan
Romero Castro, M. I., Figueroa Morán, G. L., Vera Navarrete, D. S., Álava
Cruzatty, J. E., Parrales Anzúles, G. R., Álava Mero, C. J., Murillo Quimiz, Á.
L. & Castillo Merino, M. A. (2018). Introducción a la seguridad informática y

el análisis de vulnerabilidades. In Introducción a la seguridad informática y el

análisis de vulnerabilidades. Recuperado de enlace web.
Romero, K., & Jaramillo, D. (2021). Fundamentos y Aplicación de Seguridad de la

Información - Guía didáctica. www.utpl.edu.ec
Sanjaya, I. G. A. S., Sasmita, G. M. A., & Sri Arsa, D. M. (2020). Information

technology risk management using ISO 31000 based on issaf framework
penetration testing (Case study: Election commission of x city). International
Journal of Computer Network and Information Security, 12(4), 30–40. https://
doi.org/10.5815/ijcnis.2020.04.03
Vermeulen, A. (2017). Web Penetration Testing with Kali Linux. Packt Publishing
Ltd.
Whitman, M. E., & Mattord, H. J. (2018). Principles of Information Security. In

Cengage Learning. www.cengage.com.

Guía didáctica: Auditoría Informática ANEXOS
10. Anexos
El presente material ha sido reproducido con fines netamente

didácticos, cuyo objetivo es brindar al estudiante mayores
elementos de juicio para la comprensión de la materia, por lo tanto
no tiene fin comercial.

SIST_1012

Auditoria Informatica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoria Informatica

Cargado por

Copyright:

Formatos disponibles

Informática

Modalidad Abierta y a Distancia

La Universidad Católica de Loja

Facultad de Ingenierías y Arquitectura

Facultad de Ingenierías y Arquitecturas

Diagramación y diseño digital:

Ediloja Cía. Ltda.

5. Orientaciones generales para el estudio 10

6. Proceso de enseñanza-aprendizaje para el logro de competencias 12

Unidad 1. Auditoría informática – Generalidades 12

1.1. Introducción a la auditoría informática 12

1.2. Fases de la auditoría informática 16

1.3. Auditoría informática basada en Hacking ético 20

1.4. Tipos de Auditoría de Hacking ético, metodología, normas y

Unidad 2. Análisis de riesgos de los sistemas de información 30

2.1. Conceptos básicos de análisis de riesgos 30

2.2. Gestión de Riesgos - Parte 1 32

2.3. Gestión de riesgo - Parte 2 33

2.4. Metodologías de gestión de riesgos 40

Unidad 3. Análisis de ataques y vulnerabilidades de los sistemas de

3.1. Definición de ataque 51

3.2. Ataques a los sistemas de información 51

Unidad 4. Auditoría de seguridad de sistemas y redes 69

4.1. Herramientas para auditoría técnica de la seguridad de

4.2. Herramientas para auditoría técnica de la seguridad de redes 72

4.3. Herramientas de análisis de vulnerabilidades 75

4.4. Analizadores de protocolos 78

4.5. Herramientas de análisis de páginas web 80

4.6. Herramientas para ataques de diccionario y fuerza bruta 83

Unidad 5. Auditoría de la seguridad del Internet 89

5.1. Herramientas para auditoría de seguridad en Internet 89

5.2. Análisis de firewall en auditoría de sistemas informáticos 92

Unidad 6. Auditoría a la gestión de continuidad de negocio 98

6.1. Gestión de continuidad de negocio y la auditoría 98

6.2. Plan de continuidad de negocio 100

6.3. Fases del Plan de Continuidad de Negocio 102

6.4. Buenas prácticas para la continuidad de negocio 114

9. Referencias bibliográficas 132

10. Anexos 135

La auditoría informática es un proceso que se enfoca en evaluar la eficiencia,

El propósito de estudiar este componente académico, es que al finalizar su

▪ Conocimiento íntegro sobre cómo funcionan los sistemas de información,

▪ Garantizar la seguridad de la información y la protección de datos en una

▪ Oportunidades de empleo ya, que algunos auditores informáticos se

▪ Identificar áreas de mejora en los sistemas de información, es decir, apoyar

6 MODALIDAD ABIERTA Y A DISTANCIA

▪ Conocimiento de normativas y regulaciones relacionadas con la seguridad

▪ Primer bimestre: Auditoría informática – Generalidades, análisis de riesgos

▪ Segundo bimestre: Auditoría de seguridad en sistemas y redes, auditoría de

7 MODALIDAD ABIERTA Y A DISTANCIA

Menéndez Arantes, S. C. (2022). Auditoría de seguridad informática . Madrid,

Es un texto donde explica que una auditoría informática es un proceso que

Romero, K. (2023). Guía Auditoría Informática. Loja, Ecuador, Ediloja.

Es una guía complementaria al texto base donde se abordan explicaciones

Romero, K. y Jaramillo, D (2021). Texto Guía Fundamentos y aplicación de

Texto guía de apoyo en donde se conocen fundamentos básicos para la

8 MODALIDAD ABIERTA Y A DISTANCIA

ACISSI (2018). Seguridad Informática – Hacking ético. Barcelona, España.

Texto orientado a explicar paso a paso el proceso de hacking ético y las

9 MODALIDAD ABIERTA Y A DISTANCIA

5. Orientaciones generales para el estudio

Para el estudio del siguiente componente académico, usted dispone de la guía

Las siguientes orientaciones serán de apoyo también para su estudio.