Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Vulnerabilidades de Sitios Web Gubernamentales en Ecuador.
Vulnerabilidades de Sitios Web Gubernamentales en Ecuador.
1
Grupo de Investigación SISCOM, Escuela Superior Politécnica Agropecuaria de Manabí Manuel Félix López, 130250,
Calceta, Ecuador.
1. Introducción
Actualmente la seguridad en sitios web es cada vez más reconocida e importante a
nivel mundial, tanto para las empresas privadas como para organismos
gubernamentales. Esto debido a que Internet es la principal fuente de acceso de
cualquier tipo de información (Guamán, 2011). En el diseño de sitios web y sus
aplicaciones se deben tener en cuenta diferentes factores, entre ellos los métodos
que puedan garantizar seguridad de los datos, para evitar problemas tales como
robos de información, suplantación y delitos informáticos (Arboleda & Sánchez,
2013).
En Ecuador, los sitios web gubernamentales no han estado libres de este tipo de
ataques. En el año 2015 fueron vulneradas las seguridades del portal web del Servicio
de Contratación Pública, donde hackers utilizaban un software para adulterar el
sistema informático en beneficio de empresas, microempresas o personas,
quienes pagaban altas sumas de dinero para resultar favorecidas en los concursos
públicos, y así obtener contratos (El Comercio, 2015). En el 2019, alrededor de 300
entidades públicas sufrieron ataques cibernéticos en el mes de abril, cuando se
produjo la detención de Julian Assange. Esto ubicó al país en el puesto 31 en el
ranking mundial de las naciones más agredidas, un promedio de 133 ataques por
segundo hacia instituciones del Estado (en total más de 40 millones), con la intención
de saturar las páginas de internet y de esta manera paralizar los servicios públicos (El
Telégrafo , 2019).
El propósito del presente artículo es realizar un estudio exploratorio para conocer que
vulnerabilidades están presentes en portales web gubernamentales del Ecuador, con
la finalidad de obtener resultados que permitan establecer una línea base en
este tema. De esta forma se pueden desarrollar trabajos futuros que permitan
plantear estrategias para prevenir ataques cibernéticos, y por ende dar mayor
seguridad a estos sitios. El resto del artículo se estructura de la siguiente manera: En
la siguiente sección se describe la metodología de trabajo utilizada. Posteriormente
se presentan los resultados obtenidos, y por último las conclusiones a las que se llegó
en el artículo
2. Materiales y Métodos
En este trabajo se aplicó un estudio de casos, tomando como referencia 10 sitios web
de entidades del estado, escogidas aleatoriamente y nombrados con letras de la ‘A’ a
la ‘J’. A estos sitios se les aplicó un escaneo en busca de vulnerabilidades web,
empleando el escáner de vulnerabilidades Acunetix en su versión 12.0.190703137.
Esta herramienta, que es multiplataforma, ha sido utilizada previamente en varios
estudios similares, como los de Dukes, Yuan, & Akowuah (2013); Daud, Bakar, &
Hasan (2014); Karumanchi & Squicciarini (2015); Rexha, Halili, Rrmoku, & Imeraj
(2016)such as Structured Query Language (SQL o Alvarez, Correa, & Arango (2016);
por lo que su uso en este estudio queda justificado. En nuestro caso, se utilizó la
versión de escritorio.
También se pudo obtener las vulnerabilidades más comunes presentes en los sitios
gubernamentales, las cuales se pueden observar en el Figura 2, donde la más
frecuente es HTML form without CSRF protection con el 86% (2823).
En la Figura 3 se pueden apreciar las vulnerabilidades de alto riesgo (High), sin tomar
en cuenta lo encontrado en el sitio A. La principal amenaza fue Cross-Site Scripting
(XSS), seguida de Drupal Core 7.x Multiple vulnerabilities. Cabe indicar que el
primer caso en este nivel se corresponde con lo que indica el reporte de OWASP, en el
que indica que el XSS es una de las principales vulnerabilidades de sitios web
(Comunidad OWASP, 2017), mientras que el segundo se debe al tipo de gestor de
contenido utilizado en ciertos sitios.
Mediante un diagrama de dispersión de los 10 sitios analizados (ver Figura 9), se pudo
observar que existe cierta relación positiva entre las vulnerabilidades obtenidas y la
cantidad de elementos escaneados dentro de un sitio. En esta figura además
también se incluye la ecuación de regresión lineal de los elementos graficados,
con un coeficiente de correlación de 0.88 considerando el análisis a todos los sitios.
Al descartar el caso especial del sitio A, se sigue teniendo una relación positiva
con un coeficiente de correlación de 0.9226, como se puede ver en la Figura 10.
Cabe indicar que estos resultados son preliminares, ya que se necesitarían más datos
para establecer si realmente hay una relación entre estos dos factores para el caso de
los sitios web estatales del Ecuador.
4. Conclusiones
De acuerdo a los resultados obtenidos en el escaneo de los diez sitios web
gubernamentales analizados, se pudo observar que hay sitios con un alto nivel de
vulnerabilidad, y en la mayoría de ellos se encontraron vulnerabilidades consideradas
de gravedad alta. Mediante la herramienta Acunetix se obtuvo que la mayor cantidad
de amenazas se centran el en criterio Medium con el 92% (3038) del total de
vulnerabilidades, el segundo lugar lo ocupa el criterio High con el 5% (153) y la menor
cantidad se encuentran en criterio Low con el 3% (108).
En base a los escaneos realizados se pudo identificar las principales
vulnerabilidades que afectan actualmente a los sitios web de las entidades del
estado, donde la más común es HTML form without CSRF protection, seguida de
Directory listing, Unicode transformation y Cross-Site Scripting. Además, se
observó que el sitio más vulnerable obtuvo 2905, el 78,93% del total de
vulnerabilidades detectadas y el sitio con menos vulnerabilidades solo obtuvo 1, la
cual equivale al 0,03% de estas vulnerabilidades.
Con los datos obtenidos se logró identificar que existe una correlación positiva
entre la cantidad de vulnerabilidades encontradas y la cantidad de elementos
escaneados dentro de un sitio, donde la cantidad de vulnerabilidades aumenta
ligeramente a medida que aumenta el número de elementos. Este último
resultado no es definitivo, puesto que habría que hacer un estudio más amplio y
profundo para corroborarlo.
Como trabajo futuro se sugiere expandir este tipo de estudio a la mayoría de sitios y
portales web del estado, especialmente a aquellos que mantienen información de los
ciudadanos. También se puede complementar el estudio con otras herramientas de
análisis.
Referencias
Acosta, O. (2013). Análisis de Riesgos y Vulnerabilidades de la Infraestructura
Tecnológica de la Secretaría Nacional de Gestión de Riesgos utilizando
Metodologías de Ethical Hacking (Escuela Politénica Nacional). Retrieved
from https://bit.ly/2MbpAig
Acunetix. (2019). Informe de vulnerabilidad de aplicación web Acunetix 2019.
Retrieved August 15, 2019, from
https://www.acunetix.com/blog/articles/acunetix-webapplication-vulnerability-
report-2019/
Alvarez, D. E., Correa, D. B., & Arango, F. I. (2016). An analysis of XSS, CSRF and SQL
injection in colombian software and web site development. 2016 8th Euro
American Conference on Telematics and Information Systems (EATIS),
1–5. https://doi. org/10.1109/EATIS.2016.7520140
Comunidad OWASP. (2017). Los diez riesgos más críticos en Aplicaciones Web.
Retrieved from https://github.com/OWASP/Top10/issues
Daud, N. I., Bakar, K. A. A., & Hasan, M. S. M. (2014). A case study on web application
vulnerability scanning tools. 2014 Science and Information Conference, 595–
600. https://doi.org/10.1109/SAI.2014.6918247
Dukes, L., Yuan, X., & Akowuah, F. (2013). A case study on web application security
testing with tools and manual testing. Conference Proceedings - IEEE
SOUTHEASTCON. https://doi.org/10.1109/SECON.2013.6567420
Hernández S., A. L., & Mejía M., J. (2016). Guía de ataques, vulnerabilidades, técnicas
y herramientas para aplicaciones Web. ReCIBE, 4(1).
Karumanchi, S., & Squicciarini, A. (2015). A Large Scale Study of Web Service
Vulnerabilities. Journal of Internet Services and Information Security
(JISIS), 5(1), 53–69.
Morales, J., Avellán, N., Mera, S., & Zambrano, M. (2019). Ciberseguridad y su
aplicación en las Instituciones de Educación Superior. Revista Ibérica de
Sistemas e Tecnologias de Informação, (E20), 438–448.
Onofa Calvopiña, F. (2016). Análisis y Evaluación de Riesgos y Vulnerabilidades
del Nuevo Portal Web de la Escuela Politécnica Nacional, Utilizando
Metodologías de Hackeo ético (Escuela Politénica Nacional).
https://doi.org/10.1103/ PhysRevX.7.041008
Rexha, B., Halili, A., Rrmoku, K., & Imeraj, D. (2016). Impact of secure programming on
web application vulnerabilities. 2015 IEEE International Conference on
Computer Graphics, Vision and Information Security, CGVIS 2015, 61–66.
https://doi. org/10.1109/CGVIS.2015.7449894
Vargas Borbúa, R., Recalde Herrera, L., & Reyes Chicango, R. P. (2017). Ciberdefensa y
ciberseguridad, más allá del mundo virtual: modelo ecuatoriano de gobernanza
en ciberdefensa. URVIO - Revista Latinoamericana de Estudios de
Seguridad, (20), 31–45. https://doi.org/10.17141/urvio.20.2017.2571
Vega Villacís, G., & Ramos Morocho, R. (2017). Vulnerabilidades y amenazas a los
servicios web de la Intranet de la Universidad de Babahoyo. 3C Tecnología,
6(1),
53–66. https://doi.org/10.17993/3ctecno.2017.v6n1e21.53-5