Auditoría de Seguridad

en redes
Tabla de contenidos

Nombre del/los estudiantes/s:

Desarrollo............................................................................................................4
Nombre del módulo: CIB401-212-223081
Nombre del docente: Paulo Berrios Ramírez
Semana: 6 y 7
Fecha: 10/3/2023

2
3
Desarrollo
Los resultados de la auditoría arrojaron lo siguiente:
Durante la auditoría de seguridad en redes, se identificaron los siguientes
hallazgos clave:
1. Vulnerabilidades en el firewall que permitían tráfico no autorizado.
2. Debilidades en la gestión de contraseñas, incluyendo contraseñas débiles
y falta de autenticación multifactor.
3. Falta de cifrado adecuado en la transferencia de datos confidenciales.
4. Registros de eventos insuficientes y falta de seguimiento de incidentes de
seguridad.
Primero nos centraremos en el firewall, se nos menciona que el firewall dejó
pasar el tráfico emitido para el fin de la auditoría, dejando clara una mal
configuración que podría aprovechar un actor malintencionado, la propuesta de
mejora se centra en implementar en su red corporativa, políticas de firewall que
mitiguen este problema, dentro de las más efectivas es hacer una whitelist con
todas las IPs autorizadas a conectarse, por ende cualquier tráfico que no
provengan de esas direcciones IPs será bloqueado, esto nos sirve muchísimo
para la red corporativa y en el caso de los servicios en la nube, una
configuración por firewall basado en el filtrado de paquetes nos ayudaría a
evitar ataques DDoS.

Por la parte de la gestión de contraseñas, hay dos errores fundamentales a

corregir, primero que nada el uso de contraseñas fáciles es un problema ya que
estás son susceptibles a ataques de fuerza bruta o incluso comparación de
hashes, que al ser una clave sencilla, un computador no tardaría demasiado en

4
adivinar la clave probando combinaciones de las claves más sencillas en forma
de diccionario, si bien está mejora evitaría ese tipo de ataques, no evita que un
actor con acceso a la contraseña pueda ingresar a los sistemas haciendo uso de
únicamente esta, para mitigar este aspecto es necesaria la implementación de
autenticación de doble factor, existen muchas alternativas como el autenticador
de Google sin ir más lejos.

La auditoría arrojó que no existe cifrado en la transferencia de archivos

confidenciales, lo cual es un problema grave, ya que en un caso donde se esté
transfiriendo información confidencial, un atacante infiltrado en la red podría
interceptar los paquetes y leerlos en texto plano, si información de clientes
como datos de tarjetas de crédito y de identificación, sería un problema mayor,
para mitigar este escenario, vamos a implementar GnuPG, para lograr crear
certificados para que al momento de enviar información, está esté encriptada
para evitar que un atacante acceda a esta, ya que si lo logra no podrá ver los
contenidos, vamos a mostrar un ejemplo de como se realizaría en Gpg4win

5
6
7
8
9
10
11
12
La gestión de inccidentes es parte vital de una buena organización, ya que esta
plantea una manera formal de organizar los incidentes y protocolos ante estos,
para proponer un seguimiento de inccidentes vamos a implementar los
principios de gestión de inccidentes de ITIL, este método propone el siguiente
flujo en caso de incidente:
Paso 1 : Registro del incidente.
Paso 2 : Categorización del incidente.
Paso 3 : Priorización del incidente.
Paso 4 : Asignación del incidente.
Paso 5 : Creación y gestión de tareas.
Paso 6 : Gestión y escalamiento del SLA.
Paso 7 : Resolución del incidente.
Paso 8 : Cierre del incidente.
De esta forma, una vez sucedido el inciddente este se registra para la creación
de un ticket de seguimiento, luego se categoriza el incidente, por lo general esto

13
se evalúa en función a la infraestructura que se comprometío, luego se le asigna
la urgencia a este, lo que ayuda a establecer los plazos en función a la gravedad
del compromiso, luego se establecen las tareas a realizar para mitigar y
documentar el incidente, luego este se escala a la base de incidentes de ITIL,
con plazos previamente establecidos, esto se hace para tener un seguimiento
globalizado de incidentes con la finalidad de documentar estos y proponer una
solución lo antes posible para la continuidad de negocios, una vez finalizado
ese paso, se procede a ejecutar la resolución del incidente para dar por
terminado el caso, gracias a ITIL y esta gestión métodica de incidentes, permite
a las empresas seguir un conducto regular eficaz en caso de brechas de
seguridad.

Proponer un plan de mejora de seguridad para activos de información, vamos a

regirnos por el Sistema de Gestion de la Ciberseguridad Industrial (SGCI), la
cual se basa en las normativas ISO 27001, ISO 27002, ISA99, entre otras, el
objetivo de un SGCI es mantener en el tiempo una gestión eficiente y continua
a lo que integridad, disponibilidad y confidencialidad refiere, podemos armar
un plan de SGCI siguiendo estos pasos:
Definición de estrategia de ciberseguridad:
Se refiere a integrar dentro los lineamientos de la empresa, una estrategia de
ciberseguridad, lo cual ayuda a identificar cual es el alcance del SGCI y
establecer políticas de seguridad de manera que congenien con el resto de
objetivos de la empresa

14
Gestión de los riesgos para la ciberseguridad:
Aquí es donde se hace un análisis de riesgo, primero hay que reconocer los
activos de la empresa en forma de información, evaluando las vulnerabilidades
que podrían comprometer estos y contrastarlo con las actuales amenazas
Promoción de una cultura de la ciberseguridad:
Parte clave del proceso es brindar educación con respecto a la ciberseguridad a
los colaboradores de la empresa, sobre todo los que manipulan datos
Establecimiento de normas de ciberseguridad:
Creación de protocolos generales de ciberseguridad, estos son lineamientos a
seguir que deben ser conscientes tanto los colaboradores de otras aréas en
buenas prácticas, como a los encargados de TI realizando las correspondientes
implementaciones/mejoras a la infraestructura de la red
Garantía de resiliencia y continuidad de los sistemas:
Es de vital importancia establecer un plan de continuidad de producción para
que esta no se vea comprometida en caso de incidente de seguridad, o poder
reponerla en el menor tiempo posible, además de las medidas que se toman para
prevenir estos ataques, es correcto tener un plan de continuidad para garantizar
la resiliencia de los equipos que componen la red y sus activos
Gestión, revisión, mejora y sostenibilidad del SGCI:
La implementación del SGCI contempla constante revisión a su
documentación, la documentación generada a partir del seguimiento de

15
incidentes, tambíen se tiene en cuenta la mejora activa y constante, esto se
realiza mediante audítorias de seguridad, así pudiendo garantizar la
sostenibilidad del SGCI.

Además, con los puntos planteados en la primera parte de este informe,

tenemos una mejora tanto en la seguridad de los activos como en la gestión de
estos, utilizando encriptación, mejorando las políticas del firewall, y
implementando autenticación doble factor, la infraestructura de red es más
segura, y gracias al plan de seguimiento y gestión de incidentes es posible
mantener orden al momento de proceder ante ataques de la manera más eficaz
posible, mencionamos que realizar auditorias de manera periódica es una buena
forma de garantizar la mejora constante, una herramienta que ayuda
fuertemente a probar la seguridad de una red es la herramienta de escaneo de
redes Nessus, se nos pide realizar un escaneo con esta herramienta, en las
siguientes imagines vamos a ver el proceso de escaneo a una red que tiene un
servidor web, para tomarlo como referencia en el caso de escaneo de redes

16
17
18
19
20
Una vez realizado el análisis a la red, Nessus nos proporciona un informe
acerca de las vulnerabilidades que encontró y las categoriza de acuerdo al
CVSS (Common Vulnerability Score System), dentro de esas vulnerabilidades
vamos a tomar las dos más críticas

La primera es una vulnerabilidad que contempla el uso de una versión de PHP

vulnerable a múltiples exploits, una vulnerabilidad que se podría mitigar
actualizando la versión de PHP que utiliza el servidor web.

21
La otra vulnerabilidad más grave contempla el uso de certificado SSL
vulnerable, esto se debe que Nessus detectó un certificado con un algoritmo de
encriptación obsoleto/débil, lo que un actor malintencionado podría aprovechar
creando un certificado con la misma firma digital, esto se puede mitigar
utilizando un algoritmo de encriptación más moderno, como lo es SHA-256 O
SHA-512

22