Vulnerabilidades de sitios web gubernamentales

en Ecuador: Un estudio exploratorio pre-muestral

Juan Gutiérrez Sánchez1, Marlon Navia Mendoza1, Gustavo Molina Garzón1
juan.gutierres@espam.edu.ec , mnaviam@espam.edu.ec, gmolina@espam.edu.ec

1
Grupo de Investigación SISCOM, Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López, 130250,
Calceta, Ecuador.

Resumen: La seguridad de un sitio web es muy importante para su propietario, sobre

todo a nivel gubernamental. El propósito de este trabajo radicó en realizar un estudio
exploratorio de las vulnerabilidades más comunes presentes en portales web
gubernamentales. Para esto se utilizó el software Acunetix, que es una herramienta
automatizada de detección de vulnerabilidades de aplicaciones y sitios Web. De los sitios
gubernamentales existentes en el país, se consideró diez elegidos al azar para realizar esta
evaluación, los cuales en su mayoría manejan información sensible como datos
personales de los ciudadanos. A los resultados obtenidos se les aplicó un análisis
estadístico Al escanear los sitios con la herramienta Acunetix se denota que el 5% (153) de
las vulnerabilidades obtenidas pertenecen al nivel High, considerado de alto riesgo. El
sitio más vulnerable mostró 2905 vulnerabilidades. Se encontró una correlación positiva
entre el número de elementos escaneados y la cantidad de vulnerabilidades encontradas.
Palabras-clave: Vulnerabilidad web; amenazas; seguridad web, portales
gubernamentales.

1. Introducción
Actualmente la seguridad en sitios web es cada vez más reconocida e importante a
nivel mundial, tanto para las empresas privadas como para organismos
gubernamentales. Esto debido a que Internet es la principal fuente de acceso de
cualquier tipo de información (Guamán, 2011). En el diseño de sitios web y sus
aplicaciones se deben tener en cuenta diferentes factores, entre ellos los métodos
que puedan garantizar seguridad de los datos, para evitar problemas tales como
robos de información, suplantación y delitos informáticos (Arboleda & Sánchez,
2013).

La vulnerabilidad, desde un punto de vista tecnológico, es una debilidad existente en

algún software, hardware o procedimiento, que puede permitir, a una persona no
autorizada, realizar acciones que normalmente no tiene permitidas. De acuerdo con
estudios realizados, el 46% de los sitios web contienen vulnerabilidades consideradas
de alto riesgo, mientras que el 87% contienen vulnerabilidades de gravedad media.
Además, se recalca que, aunque las vulnerabilidades de inyección SQL están
disminuyendo ligeramente, otras amenazas se muestran en alza (Acunetix, 2019). Los
delincuentes informáticos utilizan una gran cantidad de artificios como son los
análisis de agujeros de seguridad, explotación (empleo de las vulnerabilidades
encontradas), enumeración de red, entre otros, para burlar la seguridad de muchos
sitios, entre las que están desde páginas personales hasta sitios de entidades
bancarias o gubernamentales (Arboleda & Sánchez, 2013). En este sentido, las
vulnerabilidades de sitios web son bien conocidas (Comunidad OWASP, 2017), así
como las formas de prevenirlas o combatirlas (Hernández S. & Mejía M., 2016).

Determinar las vulnerabilidades de un sitio o aplicación es un paso necesario para

poder establecer mecanismos de seguridad que permitan prevenir ataques
(Karumanchi & Squicciarini, 2015), o incluso implementar políticas más de seguridad
más globales (Sabillón & Cano, 2019).

En Ecuador, los sitios web gubernamentales no han estado libres de este tipo de
ataques. En el año 2015 fueron vulneradas las seguridades del portal web del Servicio
de Contratación Pública, donde hackers utilizaban un software para adulterar el
sistema informático en beneficio de empresas, microempresas o personas,
quienes pagaban altas sumas de dinero para resultar favorecidas en los concursos
públicos, y así obtener contratos (El Comercio, 2015). En el 2019, alrededor de 300
entidades públicas sufrieron ataques cibernéticos en el mes de abril, cuando se
produjo la detención de Julian Assange. Esto ubicó al país en el puesto 31 en el
ranking mundial de las naciones más agredidas, un promedio de 133 ataques por
segundo hacia instituciones del Estado (en total más de 40 millones), con la intención
de saturar las páginas de internet y de esta manera paralizar los servicios públicos (El
Telégrafo , 2019).

Estos antecedentes evidencian que en muchas instituciones estatales no se

encuentran implementados los mecanismos de seguridad adecuados para prevenir
los ataques a sus sitios y sistemas web. Esto es un riesgo no solo para la seguridad de
información de este tipo de entidades, sino también de los ciudadanos en general, ya
que, en muchos casos estas instituciones mantienen información personal de los
individuos.

Se han hecho propuestas con el propósito de mejorar la seguridad de sitios y

aplicaciones web de entidades públicas, como en los trabajos de (Acosta, 2013) o
(Salgado, 2014), incluso a nivel de todo el estado (Vargas, Recalde, & Reyes, 2017)las
redes entre computadoras y el fenómeno “Internet”, cuya expansión ha
configurado la quinta dimensión de la guerra moderna y ha afectadosensiblemente
la vida cotidiana de los diversos actores en el mundo global. De hecho, su estudio se
convierte en una tarea obligada para la conducción político-estratégica de la defensa
de las naciones. En el Ecuador, dichas temáticas (ampliamente discutidas. Las
universidades son las que más se han preocupado por evaluar las vulnerabilidades de
sus sitios o aplicaciones web (Onofa Calvopiña, 2016), (Vega & Ramos, 2017),
(Morales, Avellán, Mera, & Zambrano, 2019), sin que esto signifique
necesariamente que estén mejor protegidas.

El propósito del presente artículo es realizar un estudio exploratorio para conocer que
vulnerabilidades están presentes en portales web gubernamentales del Ecuador, con
la finalidad de obtener resultados que permitan establecer una línea base en
este tema. De esta forma se pueden desarrollar trabajos futuros que permitan
plantear estrategias para prevenir ataques cibernéticos, y por ende dar mayor
seguridad a estos sitios. El resto del artículo se estructura de la siguiente manera: En
la siguiente sección se describe la metodología de trabajo utilizada. Posteriormente
se presentan los resultados obtenidos, y por último las conclusiones a las que se llegó
en el artículo

2. Materiales y Métodos
En este trabajo se aplicó un estudio de casos, tomando como referencia 10 sitios web
de entidades del estado, escogidas aleatoriamente y nombrados con letras de la ‘A’ a
la ‘J’. A estos sitios se les aplicó un escaneo en busca de vulnerabilidades web,
empleando el escáner de vulnerabilidades Acunetix en su versión 12.0.190703137.
Esta herramienta, que es multiplataforma, ha sido utilizada previamente en varios
estudios similares, como los de Dukes, Yuan, & Akowuah (2013); Daud, Bakar, &
Hasan (2014); Karumanchi & Squicciarini (2015); Rexha, Halili, Rrmoku, & Imeraj
(2016)such as Structured Query Language (SQL o Alvarez, Correa, & Arango (2016);
por lo que su uso en este estudio queda justificado. En nuestro caso, se utilizó la
versión de escritorio.

Una vez instalado el software, se procedió a realizar el escaneo de vulnerabilidad de

cada sitio escogido. La configuración del escaneo fue de tipo completo (full
scan) a velocidad moderada. Esta herramienta utiliza la gravedad como métrica
para clasificar el nivel de riesgo, la cual emplea los criterios: High (nivel alto),
Medium (nivel medio) y Low (nivel bajo) (Acunetix, 2019). Después de terminar
todos los escaneos, se obtuvieron los respectivos reportes. Se ingresaron los datos de
estos reportes en matrices, para procesarlos y analizarlos, de acuerdo con el tipo y
nivel de vulnerabilidad.

Se determinaron las principales vulnerabilidades de los sitios escaneados,

contrastando la información con la que se tiene sobre tendencia mundial en este
aspecto, es decir, las vulnerabilidades web más comunes basadas en el listado OWASP
(Comunidad OWASP, 2017). Adicionalmente, se buscó si había alguna relación entre
el número de elementos escaneados y las vulnerabilidades encontradas, aplicando
regresión lineal a los datos obtenidos.
3. Resultados obtenidos
Se tomó una muestra piloto la cual corresponde a 10 de los sitios web
gubernamentales de Ecuador, en donde al realizar escaneos en busca de
vulnerabilidades, se encontró que el 5% (153) de las vulnerabilidades obtenidas
pertenecen al criterio High. También se obtuvo que la mayor cantidad de amenazas
se centran el en criterio Medium con el 92% (3038) del total de vulnerabilidades; y
que la menor cantidad se encuentran en criterio Low con el 3% (108).
En la figura 1 se presenta la cantidad de vulnerabilidades obtenidas por cada
sitio escaneado, donde la mayor cantidad se denota en el Sitio A con 2905 (78,93%),
y el menor número de vulnerabilidades está en el Sitio J con tan solo 1 (0,03%)
vulnerabilidad.

Figura 1 – Cantidad de Vulnerabilidades Encontradas por Sitio

También se pudo obtener las vulnerabilidades más comunes presentes en los sitios
gubernamentales, las cuales se pueden observar en el Figura 2, donde la más
frecuente es HTML form without CSRF protection con el 86% (2823).

Figura 2 – Vulnerabilidades encontradas más comunes

Tomando en cuenta los criterios de gravedad de Acunetix, se logró obtener las
principales amenazas que afectan actualmente a los sitios gubernamentales, las
cuales se presentan a continuación ordenados según el tipo de criterio. En la
investigación se presentó un caso especial para el sitio A, dado que una amenaza de
tipo High se encontraba en su totalidad y abarcaba una cantidad importante de
vulnerabilidades, por lo que se analizó este sitio de manera separada.

En la Figura 3 se pueden apreciar las vulnerabilidades de alto riesgo (High), sin tomar
en cuenta lo encontrado en el sitio A. La principal amenaza fue Cross-Site Scripting
(XSS), seguida de Drupal Core 7.x Multiple vulnerabilities. Cabe indicar que el
primer caso en este nivel se corresponde con lo que indica el reporte de OWASP, en el
que indica que el XSS es una de las principales vulnerabilidades de sitios web
(Comunidad OWASP, 2017), mientras que el segundo se debe al tipo de gestor de
contenido utilizado en ciertos sitios.

En el caso del sitio A, las principales amenazas de tipo High se representan en la

Figura 4, donde la más frecuente es Unicode Transformatión Issues (UTI),
seguido de Cross-Site Scripting (XSS) y SQL Injection, siendo estas últimas dos de
las principales vulnerabilidades de sitios web según el reporte de OWASP (Comunidad
OWASP, 2017). Aquí queda claro que el principal problema de este sitio se debe a una
inadecuada configuración o programación del mismo.

Figura 3 – Principales Amenazas de alto riesgo

Las vulnerabilidades de nivel Medium se presentan en la Figura 5, donde la principal

amenaza fue HTML form without CSRF protection. Los frameworks de desarrollo
de sitios web hoy en día ya implementan protección contra el CSRF, por lo que esta
vulnerabilidad podría resolverse fácilmente.
 Figura 4 – Principales Amenazas de alto riesgo. Caso: Sitio A

Figura 5 – Principales Amenazas Medium

Para el caso del sitio A, las vulnerabilidades de categoría Medium se detallan en la

Figura 6, donde también la principal amenaza fue HTML form without CSRF
protection, siendo esta común en la mayoría de los sitios analizados.

En el caso de la vulnerabilidad de tipo Low, la más común fue la transición insegura

ente HTTPS y HTTP después de un Form Post, seguida de Clickjacking: X-Frame-
Options header missing (Figura 7).
 Figura 6 – Principales Amenazas Medium. Caso: Sitio A

Figura 7 – Principales Amenazas Low

Para el caso del sitio A la vulnerabilidad de tipo Low se muestran en la Figura 8,

donde la más común fue Possible sensitive directories, seguido de la transición
insegura ente HTTPS y HTTP después de un form post.
 Figura 8 – Principales Amenazas Low. Caso: Sitio A

Mediante un diagrama de dispersión de los 10 sitios analizados (ver Figura 9), se pudo
observar que existe cierta relación positiva entre las vulnerabilidades obtenidas y la
cantidad de elementos escaneados dentro de un sitio. En esta figura además
también se incluye la ecuación de regresión lineal de los elementos graficados,
con un coeficiente de correlación de 0.88 considerando el análisis a todos los sitios.
Al descartar el caso especial del sitio A, se sigue teniendo una relación positiva
con un coeficiente de correlación de 0.9226, como se puede ver en la Figura 10.

Figura 9 – Relación entre vulnerabilidades encontradas y cantidad de elementos escaneados

Figura 10 – Relación entre vulnerabilidades encontradas y cantidad de elementos escaneados sin incluir
al Sitio A

Si bien es cierto que muchas de las principales vulnerabilidades encontradas

coinciden con las más frecuentes a nivel mundial, de acuerdo al reporte de la
Comunidad OWASP (2017), no se encontraron muchas de tipo SQL Injection, que se
considera la vulnerabilidad más común. Sin embargo, preocupa que ciertas
vulnerabilidades encontradas son de fácil resolución, pero no se han tomado las
medidas necesarias para el caso.

A pesar de que el estado ecuatoriano ha dictado resoluciones al respecto de la

seguridad en Internet, como lo menciona el trabajo de Vargas, Recalde, & Reyes
(2017)las redes entre computadoras y el fenómeno “Internet”, cuya expansión
ha configurado la quinta dimensión de la guerra moderna y ha
afectadosensiblemente la vida cotidiana de los diversos actores en el mundo global.
De hecho, su estudio se convierte en una tarea obligada para la conducción político-
estratégica de la defensa de las naciones. En el Ecuador, dichas temáticas
(ampliamente discutidas, es evidente que no todas las instituciones las han aplicado.
Eso constituye no solo un riesgo para la continuidad del servicio en línea que ofrecen
estas instituciones, sino también para la privacidad de la información que mantienen
de los ciudadanos.

Cabe indicar que estos resultados son preliminares, ya que se necesitarían más datos
para establecer si realmente hay una relación entre estos dos factores para el caso de
los sitios web estatales del Ecuador.
4. Conclusiones
De acuerdo a los resultados obtenidos en el escaneo de los diez sitios web
gubernamentales analizados, se pudo observar que hay sitios con un alto nivel de
vulnerabilidad, y en la mayoría de ellos se encontraron vulnerabilidades consideradas
de gravedad alta. Mediante la herramienta Acunetix se obtuvo que la mayor cantidad
de amenazas se centran el en criterio Medium con el 92% (3038) del total de
vulnerabilidades, el segundo lugar lo ocupa el criterio High con el 5% (153) y la menor
cantidad se encuentran en criterio Low con el 3% (108).
En base a los escaneos realizados se pudo identificar las principales
vulnerabilidades que afectan actualmente a los sitios web de las entidades del
estado, donde la más común es HTML form without CSRF protection, seguida de
Directory listing, Unicode transformation y Cross-Site Scripting. Además, se
observó que el sitio más vulnerable obtuvo 2905, el 78,93% del total de
vulnerabilidades detectadas y el sitio con menos vulnerabilidades solo obtuvo 1, la
cual equivale al 0,03% de estas vulnerabilidades.
Con los datos obtenidos se logró identificar que existe una correlación positiva
entre la cantidad de vulnerabilidades encontradas y la cantidad de elementos
escaneados dentro de un sitio, donde la cantidad de vulnerabilidades aumenta
ligeramente a medida que aumenta el número de elementos. Este último
resultado no es definitivo, puesto que habría que hacer un estudio más amplio y
profundo para corroborarlo.

Como trabajo futuro se sugiere expandir este tipo de estudio a la mayoría de sitios y
portales web del estado, especialmente a aquellos que mantienen información de los
ciudadanos. También se puede complementar el estudio con otras herramientas de
análisis.

Referencias
Acosta, O. (2013). Análisis de Riesgos y Vulnerabilidades de la Infraestructura
Tecnológica de la Secretaría Nacional de Gestión de Riesgos utilizando
Metodologías de Ethical Hacking (Escuela Politénica Nacional). Retrieved
from https://bit.ly/2MbpAig
Acunetix. (2019). Informe de vulnerabilidad de aplicación web Acunetix 2019.
Retrieved August 15, 2019, from
https://www.acunetix.com/blog/articles/acunetix-webapplication-vulnerability-
report-2019/
Alvarez, D. E., Correa, D. B., & Arango, F. I. (2016). An analysis of XSS, CSRF and SQL
injection in colombian software and web site development. 2016 8th Euro
American Conference on Telematics and Information Systems (EATIS),
1–5. https://doi. org/10.1109/EATIS.2016.7520140

Arboleda, J., & Sánchez, J. (2013). Análisis de los factores de seguridad de un

sitio Web (UNIVERSIDAD TECNOLÓGICA DE PEREIRA). Retrieved from http://
repositorio.utp.edu.co/dspace/bitstream/handle/11059/4118/0058A666.
pdf?sequence=1&isAllowed=y

Comunidad OWASP. (2017). Los diez riesgos más críticos en Aplicaciones Web.
Retrieved from https://github.com/OWASP/Top10/issues

Daud, N. I., Bakar, K. A. A., & Hasan, M. S. M. (2014). A case study on web application
vulnerability scanning tools. 2014 Science and Information Conference, 595–
600. https://doi.org/10.1109/SAI.2014.6918247
Dukes, L., Yuan, X., & Akowuah, F. (2013). A case study on web application security
testing with tools and manual testing. Conference Proceedings - IEEE
SOUTHEASTCON. https://doi.org/10.1109/SECON.2013.6567420

El Comercio. (2015). Ecuador se muestra vulnerable a ciberataques. Retrieved August

15, 2019, from https://www.elcomercio.com/actualidad/ecuador-muestra-
vulnerableciberataques.html
El Telégrafo. (2019). Los ataques cibernéticos intentan desconectar al Ecuador del
mundo. Retrieved August 10, 2019, from
https://www.eltelegrafo.com.ec/noticias/ politica/3/ataques-ciberneticos-
desconeccion-ecuador

Guamán, R. (2011). Seguridad en Entornos Web para Sistemas de Gestión Académica.

Retrieved August 15, 2019, from http://repositorio.educacionsuperior.gob.ec/
bitstream/28000/120/1/Seguridad de entornos web.pdf

Hernández S., A. L., & Mejía M., J. (2016). Guía de ataques, vulnerabilidades, técnicas
y herramientas para aplicaciones Web. ReCIBE, 4(1).

Karumanchi, S., & Squicciarini, A. (2015). A Large Scale Study of Web Service
Vulnerabilities. Journal of Internet Services and Information Security
(JISIS), 5(1), 53–69.

Morales, J., Avellán, N., Mera, S., & Zambrano, M. (2019). Ciberseguridad y su
aplicación en las Instituciones de Educación Superior. Revista Ibérica de
Sistemas e Tecnologias de Informação, (E20), 438–448.
Onofa Calvopiña, F. (2016). Análisis y Evaluación de Riesgos y Vulnerabilidades
del Nuevo Portal Web de la Escuela Politécnica Nacional, Utilizando
Metodologías de Hackeo ético (Escuela Politénica Nacional).
https://doi.org/10.1103/ PhysRevX.7.041008
Rexha, B., Halili, A., Rrmoku, K., & Imeraj, D. (2016). Impact of secure programming on
web application vulnerabilities. 2015 IEEE International Conference on
Computer Graphics, Vision and Information Security, CGVIS 2015, 61–66.
https://doi. org/10.1109/CGVIS.2015.7449894

Sabillón, R., & Cano M., J. J. (2019). Auditorías en Ciberseguridad: Un modelo de

aplicación general para empresas y naciones. RISTI - Revista Ibérica de
Sistemas e Tecnologias de Informação, (32), 33–48.
https://doi.org/10.17013/risti.32.33-48

Salgado, L. (2014). Análisis de riesgos de las aplicaciones web de la

Superintendencia de Bancos y Seguros, utilizando las recomendaciones
Top Ten de OWASP (Universidad de las Fuerzas Armadas ESPE). Retrieved from
http://repositorio. espe.edu.ec/bitstream/21000/8246/1/AC-SI-ESPE-047920.pdf

Vargas Borbúa, R., Recalde Herrera, L., & Reyes Chicango, R. P. (2017). Ciberdefensa y
ciberseguridad, más allá del mundo virtual: modelo ecuatoriano de gobernanza
en ciberdefensa. URVIO - Revista Latinoamericana de Estudios de
Seguridad, (20), 31–45. https://doi.org/10.17141/urvio.20.2017.2571

Vega Villacís, G., & Ramos Morocho, R. (2017). Vulnerabilidades y amenazas a los
servicios web de la Intranet de la Universidad de Babahoyo. 3C Tecnología,
6(1),
53–66. https://doi.org/10.17993/3ctecno.2017.v6n1e21.53-5