TP SEGURIDAD - Capelli - Muñoz - Nevado Part 4

2021
Trabajo práctico
Materia: Seguridad e Integridad de Sistemas
Profesora: Lapsenzon, Mirta
Integrantes:
- Capelli, Ricardo
- Muñoz, Santiago
- Nevado, Santiago
Seguridad e Integridad de Sistemas
- Visma / Visma LatAm
Índice
● Introducción
● Alcance
● Objetivo
● Metodología
● Dominio
● Subdominio
● Redes sociales
● Ubicación geográfica
● Autoridades
● Listado de mail encontrados
● Listado de posible empleados
● Herramienta FOCA
○ Usuarios
○ Software sin soporte
○ Archivos públicos
○ Sistema Operativo sin soporte
● Analisis exploratorio de tuRecibo.com
○ Portal de usuarios
○ Portal de recursos humanos
○ Usuarios vulnerables
○ Contraseñas MUY vulnerables
○ Segundo factor de autenticación
● Conclusiones
● Anexos
● Glosario de términos
● Fuentes
Introducción:
El objetivo de este informe es exponer y analizar los distintos riesgos de seguridad del sitio
https://www.turecibo.com/, (producto de la empresa VISMA Latam) realizando búsquedas y
tomando datos que se puedan encontrar de forma pública, mediante buscadores o
herramientas de análisis de información. Así mismo, haremos un análisis exploratorio del
sitio para corroborar su seguridad.
Alcance:
El trabajo de investigación que se presenta a continuación, está realizado pura y

exclusivamente con fines académicos, por lo que la información y datos relevados, no serán
utilizados para ningún fin antiético o ilegal.
Objetivo:
Detectar riesgos y vulnerabilidades de un sistema por medio de información pública que

pueda guiar a un especialista a ocasionar daños que pueden ser irreparables.
Metodología:
Emplearemos OSINT (Open Source Intelligence), un conjunto de técnicas y herramientas

para recopilar información pública, analizar los datos y convertirlos en material de utilidad.
Se utiliza por ejemplo:
- Reconocimiento de un pentesting: encontrar hosts, subdominios, DNS,
ficheros de configuración o contraseñas.
- Test de ingeniería social: buscar información sobre un usuario en redes
sociales o documentos, y ver que datos están expuestos para un posible ataque
de phishing.
- Prevención de ciberataques: Encontrar información que pueda ser usada en
contra de la empresa.
Dominio:
www.turecibo.com
Subdominios:
https://soluciones.turecibo.com.ar/
TuRecibo.com es una solución brindada por el grupo Visma Latam (pertenece a Visma)
Federico Espejo - Director de Finanzas
Gustavo Lorizzo - Chief Technology Officer

Decidimos buscar algunos empleados de Visma Latam en LinkedIn. Si bien la información

publicada en dichos perfiles no revela datos privados como dirección de email, teléfonos o
direcciones, si expone los centros de estudio, antiguos trabajos, en algunos casos otras redes
sociales y otros intereses de la persona. Esta información puede ser utilizada por un atacante
para realizar phishing o suplantar la identidad.
Listado de emails encontrados
Haciendo uso de la herramienta Hunter.io, pudimos encontrar algunos datos interesantes,

como números de teléfono de contacto, o el patrón que utilizan para los emails de los
empleados, siendo {nombre}.{apellido}@visma.com.
De hecho, utilizando la herramienta mencionada, accedimos al email corporativo de Alvaro
Capobianco, el Presidente de Visma LatAm.
Conocer el patrón que utiliza una empresa, y hacer un poco de ingeniería social (buscando
empleados en LinkedIn por ejemplo), puede ser un indicio o una base para intentar dirigir un
ataque o suplantar identidad.
Una de las cosas que se pueden hacer teniendo la lista de emails con el dominio corporativo,
es buscar si en algún momento la dirección de correo fue víctima de un filtrado de
información. Efectivamente, encontramos que entre los años 2018 y 2019, la Directora de
Marca y Comunicación de Visma (Internacional), Aase Settevik - aase.settevik@visma.com -

fue víctima de cuatro filtraciones.
Listado de posibles empleados
Herramienta FOCA
Haciendo uso de la herramienta FOCA pudimos hacer una recopilacion de
informacion de VISMA
Usuarios
Software sin soporte
Como se puede apreciar en la siguiente imagen, VISMA está haciendo uso de

aplicaciones del paquete Office 97, 2000, 2003 y XP. Todas estas aplicaciones no tienen
soporte hoy en día.
Microsoft Office
Versión Problemas de Seguridad
Office 97 ● Sin soporte desde el año 2001

● Vulnerabilidades Excel 97
● Vulnerabilidades Word 97

● Vulnerabilidades Office 2000

● Vulnerabilidades Office 2003
Office XP ● Sin soporte desde el año 2014

● Vulnerabilidades Office XP
Archivos públicos
Sistema operativo sin soporte
Por otro lado encontramos que utilizan Windows Server 2000, el mismo no tiene soporte
desde el año 2010.
Consultamos las vulnerabilidades de este sistema operativo en la pagina CVE Details

(https://www.cvedetails.com/) y encontramos algunas metricas que nos dan indicios de la
cantidad y tipos de vulnerabilidades que tiene Windows Server 2000
Análisis exploratorio de TuRecibo.com

Antes de empezar, queremos aclarar que los tres autores de este trabajo recibimos
nuestros haberes por la aplicación Tu Recibo y las pruebas que hicimos fueron solo con
nuestras credenciales.
Portal de Usuarios expuesto
Primeramente en el portal están expuestas las empresas que utilizan esta aplicación:
También notamos que las empresas en las que trabajamos tienen su propia url. Y al parecer,
pasa lo mismo con cada empresa que utiliza esta aplicación. Por ejemplo Mercado Libre tiene
como url https://mercadolibre.turecibo.com/e/login
Comprobamos que esto sirve nada más para cuestiones estéticas del portal, ya que
pudimos ingresar con nuestras credenciales desde la pantalla anteriormente expuesta, y
ninguno de nosotros trabaja en Mercado Libre, lo cual denota una falta de coherencia y
porque no, de seguridad también, ya que los portales de las empresas que trabajan con Tu
Recibo están expuestos.
Por otro lado, probamos el funcionamiento del recupero de contraseña, el cual pide
los datos de email y usuario registrado (dni), ambos obligatorios.
Ingresando cualquier dato podemos ver que tiene un mensaje por defecto indicando
que el mail y el usuario registrado es incorrecto.
Probamos con nuestras credenciales (dni y email corporativo) y nos arroja el siguiente
mensaje.
Podríamos concluir diciendo que a través del recupero de contraseña podemos

confirmar si un usuario existe o no, con tener el mail corporativo y el dni de la persona.
Portal de Recursos Humanos expuesto.
Revisando la consola del navegador encontramos una IP expuesta en el Header de la

API de login:
Ingresamos esta IP en https://es.infobyip.com/ para tener un poco más de información

de la misma:
Nos devolvio varios datos, entre ellos el dominio “ec2-46-51-129-159.eu-west-

1.compute.amazonaws.com”, el cual ingresamos en un explorador y nos llevó a una
página de login, pero diferente estéticamente al anterior:
Intentamos ingresar con nuestras credenciales y nos llevamos la siguiente sorpresa:
Al parecer la pantalla en la que nos encontramos no es nada más que el Portal de

Recursos Humanos, es decir, por donde ingresan los usuarios que cargan los recibos de los
empleados, es decir, empleados trabajan en el área de Recursos Humanos de, por ejemplo,
Mercado Libre. Por lo que podemos afirmar que los portales de Recursos Humanos de Tu
Recibo están expuestos.
Usuarios vulnerables
Los usuarios del sitio tienen por defecto el valor del DNI, lo cual es una
vulnerabilidad importantísima, ya que el DNI de cualquier persona en Internet es público. Por
ejemplo, podemos buscar en Linkedin cualquier empleado de Mercado Libre y buscar su DNI
en Internet con solo el nombre y el apellido, ya que toda esta información es pública.
Aunque no podamos afirmar al 100% si este es un usuario de Tu Recibo, lo más

probable es que lo sea.
Contraseñas MUY vulnerables
Uno de los motivos por los cuales elegimos analizar la aplicación Tu Recibo, fue
porque uno de nosotros utilizaba una contraseña sin carácter especial para ingresar a la
aplicación, y esto nos llevó a hacer las siguientes pruebas y elegir finalmente esta aplicación
para analizar en este trabajo, ya que hoy en dia cualquier contraseña segura exige un carácter
especial. Ingresamos con nuestras credenciales y probamos cambiar nuestras contraseñas a
ver que tan seguro es el campo y también nos llevamos varias sorpresas:
1) Según lo indicado en el sitio, son obligatorios en la contraseña un mínimo de

ocho caracteres y un máximo de treinta y dos caracteres. Corroboramos que
esta validación funciona de forma correcta
2) Probamos cambiar varias veces la contraseña y la 2da validación también
funciona bien, ya que no se pueden repetir las últimas 3 contraseñas
ingresadas, aunque consideramos que no se debería poder elegir ninguna
contraseña anteriormente utilizada.
3) Utilizamos esta aplicación hace más de 10 meses y nunca expiraron nuestras
contraseñas. Por un lado cumple con lo que se menciona en el portal, pero por
otro lado opinamos que se debería cambiar la contraseña cada un determinado

tiempo, para aumentar la seguridad de la aplicación.
4) Probamos ingresar una contraseña sin números y nos encontramos con la
sorpresa de que nos acepto el valor ingresado, por lo que esta validación no
está andando. y esto nos dispuso a seguir intentando con otras posibles
vulnerabilidades
5) Ingresamos una contraseña sin mayúsculas y nos la acepto. A esta altura la
seguridad de la contraseña es casi nula, ya que se puede elegir como valor una
contraseña simple de solo caracteres en minúscula, por ejemplo, “holamundo”.
6) Probamos ingresar una contraseña de solo números y en un principio no nos
permitió ya que ingresamos números consecutivos (12345678), pero luego
intentamos con un número desordenado, por ejemplo, un numero de telefono
(45448171) y como si todo lo anterior hubiese sido poco, nos lo acepto la
contraseña sin ningún problema.
7) Para completar nuestras pruebas, probamos si el mismísimo DNI se podía
ingresar, lo cual ya sería absurdo. Por suerte existe una validación para que no
se pueda ingresar como contraseña datos del usuario
Segundo factor de autenticación

El sitio posee un segundo factor de autenticación, pero el mismo no es el
comportamiento del sistema por default, sino que cada usuario debe activarlo. Si bien está la
posibilidad de activarla en cualquier momento, notamos que hay un problema con la
experiencia al usuario, ya que no lo informan en ningún lado ni incentivan a hacerlo.
Al hacer click en Ajustes de seguridad, aparece el siguiente mensaje:
Conclusi
ones
Luego de analizar lo anterior expuesto, podemos concluir en que el sitio (por lo

menos el Login) es muy inseguro. Para el usuario, basta con elegir alguna de las empresas
que aparecen en el portal, buscar esta empresa en Linkedin, capturar el nombre y el apellido
de cualquier empleado y hacer una búsqueda simple en Internet para conseguir el DNI. Para
la contraseña, si bien no exponemos alguna forma explícita de saberla, si sabemos que puede
no tener caracteres especiales, mayúsculas o números, por lo cual es muy insegura. Así
mismo, están expuestos los portales tanto para los usuarios que quieran consultar sus recibos
de sueldo o los que quieren cargar los recibos de sueldo de otros empleados. Por último, para
loguearse por defecto no hace falta un segundo método de autenticación, aunque este se
puede configurar una vez dentro del portal.
Podemos concluir que cualquier persona con malas intenciones está muy cerca de
poder loguearse con un usuario que no le pertenece, para ello podrá utilizar técnicas de
phishing, ingeniería social o alguna otra para conseguir la contraseña.
Con la búsqueda realizada de Visma y Visma LatAm, pudimos conocer y poner en

práctica algunas herramientas para obtener información pública que puede llegar a
comprometer a la empresa. Vimos que es muy sencillo, partiendo de un dato arrojado por una
herramienta o encontrado en internet, ir relacionándolo con otras para ampliar la búsqueda
(ya sea un mail, un dni o una dirección ip)
Anexos
Links a LinkedIn de algunos empleados:

Álvaro Capobianco: https://www.linkedin.com/in/alvaro-capobianco/
Federico Espejo: https://www.linkedin.com/in/federico-espejo-66267011/
Gustavo Lorizzo: https://www.linkedin.com/in/gustavo-lorizzo-8828a4123/
Diego Freire: https://www.linkedin.com/in/diegofreire/
Romina Szleifer: https://www.linkedin.com/in/romina-szleifer/
Patrón de direcciones de email coorporativos (hunter.io)
Link a Vulnerabilidades Windows Server 2000

Microsoft Windows 2000 : CVE security vulnerabilities, versions and detailed reports
(cvedetails.com)
Link a Vulnerabilidades Microsoft Office 2000

Microsoft Office version 2000 : Security vulnerabilities (cvedetails.com)
Glosario de términos
IP: Una dirección IP es una dirección única que identifica a un dispositivo en

Internet o en una red local. IP significa “protocolo de Internet”, que es el conjunto
de reglas que rigen el formato de los datos enviados a través de Internet o la red
local.
API: El término API es una abreviatura de Application Programming Interfaces, que
en español significa interfaz de programación de aplicaciones.
FOCA: FOCA tool es una herramienta gratuita de pentesting para los sistemas
operativos Windows, utilizada principalmente en la búsqueda de información
contenida en metadatos de ficheros y de esta forma obtener datos relevantes
asociados a una organización o página web. FOCA significa Fingerprinting
Organizations with Collected Archives por sus iniciales en inglés.
DNS: El sistema de nombres de dominio (Domain Name System o DNS, por sus
siglas en inglés) es un sistema de nomenclatura jerárquico descentralizado para
dispositivos conectados a redes IP como Internet o una red privada. Este sistema
asocia información variada con nombres de dominio asignados a cada uno de los
participantes. Su función más importante es "traducir" nombres inteligibles para las
personas en identificadores binarios asociados con los equipos conectados a la red,
esto con el propósito de poder localizar y direccionar estos equipos mundialmente.
Phishing: Estafa que tiene como objetivo obtener a través de internet datos privados
de los usuarios, especialmente para acceder a sus cuentas o datos bancarios.Estafa
que tiene como objetivo obtener a través de internet datos privados de los usuarios,
especialmente para acceder a sus cuentas o datos bancarios
Ingeniería social: La ingeniería social es un conjunto de técnicas que usan los
cibercriminales para engañar a los usuarios incautos para que les envíen datos
confidenciales, infecten sus computadoras con malware o abran enlaces a sitios
infectados.
Url: Es el mecanismo usado por los navegadores para obtener cualquier recurso
publicado en la web. URL significa Uniform Resource Locator (Localizador de
Recursos Uniforme). Una URL no es más que una dirección que es dada a un recurso
único en la Web.
Login: El Login se encarga de la autenticación de usuarios (comprobando que el
nombre de usuario y contraseña sean correctos), y establece un entorno inicial para
el usuario dándole permiso a determinadas funcionalidades
Fuentes
https://www.turecibo.com/
https://osintframework.com/
https://latam.visma.com/
https://hunter.io/
https://linkedin.com/
https://www.cvedetails.com/
https://elevenpaths.com/es/innovacion-laboratorio/tecnologias/foca
https://.haveibeenpwned.com
https://es.infobyip.com/

TP SEGURIDAD - Capelli - Muñoz - Nevado Part 4

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TP SEGURIDAD - Capelli - Muñoz - Nevado Part 4

Cargado por

Copyright:

Formatos disponibles

2021

Materia: Seguridad e Integridad de Sistemas

Profesora: Lapsenzon, Mirta

El trabajo de investigación que se presenta a continuación, está realizado pura y

Detectar riesgos y vulnerabilidades de un sistema por medio de información pública que

Emplearemos OSINT (Open Source Intelligence), un conjunto de técnicas y herramientas

Federico Espejo - Director de Finanzas

Gustavo Lorizzo - Chief Technology Officer

Decidimos buscar algunos empleados de Visma Latam en LinkedIn. Si bien la información

Listado de emails encontrados

Haciendo uso de la herramienta Hunter.io, pudimos encontrar algunos datos interesantes,

Marca y Comunicación de Visma (Internacional), Aase Settevik - aase.settevik@visma.com -

Listado de posibles empleados

Software sin soporte

Como se puede apreciar en la siguiente imagen, VISMA está haciendo uso de

Versión Problemas de Seguridad

Office 97 ● Sin soporte desde el año 2001

Office 2000 ● Sin soporte desde el año 2004

Office 2003 ● Sin soporte desde el año 2014

Office XP ● Sin soporte desde el año 2014

Sistema operativo sin soporte

Consultamos las vulnerabilidades de este sistema operativo en la pagina CVE Details

Análisis exploratorio de TuRecibo.com

Portal de Usuarios expuesto

Podríamos concluir diciendo que a través del recupero de contraseña podemos

Portal de Recursos Humanos expuesto.

Revisando la consola del navegador encontramos una IP expuesta en el Header de la

Ingresamos esta IP en https://es.infobyip.com/ para tener un poco más de información

Nos devolvio varios datos, entre ellos el dominio “ec2-46-51-129-159.eu-west-

Intentamos ingresar con nuestras credenciales y nos llevamos la siguiente sorpresa:

Al parecer la pantalla en la que nos encontramos no es nada más que el Portal de

Aunque no podamos afirmar al 100% si este es un usuario de Tu Recibo, lo más

Contraseñas MUY vulnerables

1) Según lo indicado en el sitio, son obligatorios en la contraseña un mínimo de

otro lado opinamos que se debería cambiar la contraseña cada un determinado

Segundo factor de autenticación

Al hacer click en Ajustes de seguridad, aparece el siguiente mensaje:

Luego de analizar lo anterior expuesto, podemos concluir en que el sitio (por lo

Con la búsqueda realizada de Visma y Visma LatAm, pudimos conocer y poner en

Links a LinkedIn de algunos empleados:

Patrón de direcciones de email coorporativos (hunter.io)

Link a Vulnerabilidades Windows Server 2000

Link a Vulnerabilidades Microsoft Office 2000

IP: Una dirección IP es una dirección única que identifica a un dispositivo en

También podría gustarte