S

B
Informe de Auditoría: HON.BAC.2022.22

N
Tegucigalpa, 15 julio de 2022

C
Para : Juan Sagastume – Vicepresidente Adjunto de Tecnología de Información

De : Vicepresidencia Adjunta Auditoría Interna

O
Ref. : Ciberseguridad

IV
Se remite el informe de la auditoría practicada en Banco de América Central Honduras, S.A.
(BAC|CREDOMATIC); referente al proceso de ciberseguridad; lo anterior, de acuerdo con lo

S
mencionado en nuestra comunicación de inicio de auditoría.

LU
En la revisión se aplicaron normas de auditoría generalmente aceptadas; para la auditoría de
aseguramiento se evaluaron los procesos relacionados a ciberseguridad mediante la efectividad de
las herramientas que brindad seguridad perimetral a la red interna, así como a la Zona
Desmilitarizada (DMZ), verificando la seguridad a nivel de servidores y computadoras mediante

C
Sophos Central, validación de escaneo en la red para la detección de amenazas, cambios en
herramientas de seguridad, línea base del DLP, conexión a la red interna, entre otros; por lo anterior,

X
los resultados obtenidos se limitan solamente al alcance de las pruebas efectuadas. Solo el
cumplimiento del control interno de manera sistemática y permanente representa la principal
fortaleza para prevenir y detectar errores o irregularidades del proceso.
E
I. Objetivo general:
O

Evaluar la gestión de los procesos de ciberseguridad para mitigar los riesgos inherentes relacionados
a la confidencialidad, integridad y disponibilidad de la información crítica de la Entidad
S

II. Alcance:
-U

Nuestra revisión se aplicó a la ejecución de pruebas sobre las operaciones y eventos que
corresponden al periodo comprendido del 1 de junio 2021 al 30 de mayo de 2022 para las plataformas
que brindan seguridad a la red y vulnerabilidades identificadas en las pruebas de penetración.
L

Se consideraron los siguientes aspectos dentro del alcance:

IA

 Normativa:
o Resolución No. 1301/22-11-2005. Normas para Regular la Administración de las
C

Tecnologías de Información y Comunicaciones en las Instituciones del Sistema Financiero.

Circular CNBS No. 119/2005

N

Lineamientos:
o L-BACLAT-0000261 - Política de Seguridad de la Información del Grupo Financiero BAC
Credomatic
E

o L-BACLAT-0000283 Estándar de Seguridad de la Información del Grupo Financiero BAC

D

Credomatic.
o L-BACLAT-0000143 • Estándar Para Análisis y mitigación de vulnerabilidades del GFBC
o L-BACLAT-0000458 • Lineamiento para controles de seguridad en Nube
FI

o L-BACLAT-0000435 • Lineamiento Estándar para el Tratamiento de la Información.

o L-BACLAT-0000094 Estándar de Seguridad de configuración de contraseñas Grupo
N

Financiero BAC Credomatic

o L-BACLAT-0000143 • Estándar de Seguridad para puertos Seguros
o L-BACLAT-0000097 • De Seguridad de Información para Filtrado de Contenido
O

Navegación WEB
C
 S
 Manuales:

B
o MO-CORP-0000003 Manual Operativo DLP.
o MO-BACLAT-0000242 Seguridad en EndUser (Endpoint) - Herramienta Sophos EndUser

N
Protection
o P-BACLAT-0000273 • Administration de Eventos de Ciberseguridad

C
 La evaluación de los riesgos incluye:
1. Los riesgos definidos por la administración en la matriz de riesgos, la cual es elaborada

O
conforme a la metodología del área de Riesgo Integral.
2. Los considerados como inherentes al proceso para el período en revisión y definidos como

IV
de mayor impacto por Auditoría Interna.
3. Los identificados por Auditoría Interna durante la ejecución de la revisión.

S
Seguimiento a los hallazgos emitidos en informes de los entes de control internos y externos
que se encuentren con estado “en proceso” o “implementado” y que estén asociadas a la

LU
auditoría realizada para validar la efectividad y continuidad de las acciones propuestas.

 A continuación, se plantea el resumen de las pruebas desarrolladas con los resultados

obtenidos para cada una de ellas.

C
Resultados
No. Detalle de la prueba de Auditoría
Validación de fuga de información sensibles de clientes
mediante correo electrónico de Service Now, generar reporte de
X
Satisfactorio Insatisfactorio Requiere mejora

X
E
1
colas de servicio, luego enviar información para correo externo y Hallazgo 1
posteriormente se validará la alerta del DLP
Validación de la extracción de información sensible a sitios de X
O

2
almacenamiento en la nube. Hallazgos 5
Comprobación de desconexión de los usuarios conectados a la
3 X
S

VPN después de una inactividad de 60 minutos.

Validación de los accesos creados en el VPN para el periodo de
4 X
-U

alcance que cuenten con la aprobación correspondiente.

Validación del proceso de configuración de las listas blancas y
5 X
negras mediante recorrido.
Validar la configuración de los escaneos continuos en los
equipos de la red y servidores, en donde se detecten virus y
6 malware, adicionalmente validar si la administración cuenta con X
L

un proceso definido de acciones a seguir en caso de detectar

IA

una infección positiva.

Validación de la eficacia del NAC ejecutando el bloqueo al
dispositivo no autorizado, ya que se realizará conexión a la red
X
7 del banco mediante una computadora externa a la Entidad sin
C

Hallazgo 3
los controles permitidos por el NAC "Agente NAC, Antivirus, HHD
Cifrados, Agente del DLP.
N

Realización de escaneo dentro de la red para identificar host y

X
8 verificar la existencia de puertos abiertos, así mismo monitoreo
Hallazgo 9
del tráfico de la red para confirmar el cifrado.
E

Validación Fuga de información mediante conexión a servidor

X
9 externo alojado en AWS, mediante el servidor del auditor se
D

Hallazgo 2
realizará la prueba de extracción de información.
Comprobación de los eventos reportados de seguridad de la
FI

10 X
información y Ciberseguridad.
Validación de los servidores que se encuentran en la DMZ, "No
X
11 debe de haber servidores de bases de datos y direcciones IP
Hallazgo 8
N

internas.
X
12 Validar los accesos lógicos del directorio activo de la DMZ
Hallazgo 4
O

13 Validación de la atención a las vulnerabilidades 0-Day X

C
 S
Validación mediante recorridos la existencia de un control de
X
14 cambios en herramientas de seguridad y su segregación de

B
Hallazgo 7
funciones
Validación de tecnología obsoleta o antigua en el desarrollo de X
15

N
la sucursal electrónica. Hallazgo 6

III. Fecha de ejecución de la auditoría:

C
La auditoría se realizó entre el 01 de junio y el 13 de julio 2022

O
IV. Equipo de trabajo:

IV
Victor Figueroa / Oscar Flores

V. Resultado de la auditoría:

S
 Se muestran buenas prácticas en la administración de los
procesos y la gestión de los riesgos asociados.

LU
Sobresaliente  Se cumple con las políticas y normas establecidas de forma
(86-100) sobresaliente
 No se detectó ninguna debilidad de control importante
durante la auditoría.

C
 Los procesos y riesgos han mostrado que requieren algunas
mejoras, pero que son administrables.

Satisfactorio
(76-85)

razonable X
Se cumple con las políticas y normas establecidas de forma

Las debilidades de control identificadas durante la auditoría

E
requieren un nivel de atención moderado
 Se evidencia un conjunto importante de deficiencias, que
requieren mayor atención por parte de las áreas.
O

Necesita
 No se está cumpliendo adecuadamente con las políticas y
Mejorar
normas establecidas
S

(60-75)  Se observaron debilidades de control que requieren un nivel

de atención importante.
-U

 Los procesos estratégicos requieren mejoras sustanciales,

los controles clave son insuficientes y necesitan ser
atendidos de forma inmediata.
Deficiente
 Se identificaron graves incumplimientos con las políticas y
(menor a 60) normas establecidas.

L

Las debilidades de control identificadas requieren un nivel de

atención prioritario.
IA
C
N
E
D
FI
N
O
C
 S
VI. Principales conclusiones

B
La Entidad, mediante la Vicepresidencia Adjunta de Tecnología de Información, ha definido controles
para el proceso de ciberseguridad, que conlleva la implementación de herramientas que protegen la

N
red interna, asimismo tiene establecidas e implementadas las diferentes etapas y mecanismos de
control interno para el cumplimiento de las funciones propias a través de políticas y procedimientos

C
que aseguran la confidencialidad, integridad y disponibilidad de la información en los procesos de la
Entidad. Al respecto se evaluaron cuatro riesgos, los cuales tienen asociados diversos controles,
dichos riesgos fueron valorados con probabilidad e impacto entre el nivel 1 (Bajo) y el nivel 5 (Muy

O
Alto), considerados relevantes para la auditoría.

IV
Como parte de la revisión efectuada, a través de las pruebas de auditoría, se pudo evidenciar
situaciones que requieren atención por parte de las áreas involucradas en el proceso, relacionadas
con lo siguiente:

S
RESUMEN DE RESULTADOS

LU
Nivel de prioridad
No. Situaciones identificadas
Alto Medio Bajo
Salida de información sensible de Service Now mediante
1 Si
correo.

C
2 Conexión a servidor externo desde la red interna Si
3 Conexión a la red interna mediante una computadora
externa
Si
X
E
Usuarios activos de ex colaboradores en el dominio de la
4 Si
DMZ.
5 Extracción de información en sitios de almacenamiento. Si
O

6 Biblioteca vulnerable y obsoleto en la sucursal Electrónica Si

7 Cambios de configuración en Sophos Central sin la
Si
S

respectiva documentación
8 Servidores con IP de la red interna en la Zona
Si
-U

Desmilitarizada (DMZ).
9 Servidores con puertos abiertos de comunicación
Si
inseguros

1. La Vicepresidencia Adjunta de Tecnología de la Información utiliza la herramienta Service

L

Now para atender y dar trazabilidad a los requerimientos de negocio, cada área de TI cuenta
con diferentes colas de atención. Durante nuestra revisión se observó lo siguiente:
IA

Mediante una prueba contralada de extracción de información desde el módulo de Informes

de Service Now, se logró extraer más 19 mil registros de diferentes colas de servicio de TI,
C

que contienen información sensible de clientes como ser: cuentas, TC, nombre de clientes,
ID, CIF, bines, así como información de tablas del Core Bancario con sus respectivos
N

parámetros. Mediante el correo personal del auditor, cabe mencionar que la información
extraída no genero alertas de fuga de información en la plataforma de Data Loss Prevention
E

(DLP).
D

2. Durante pruebas controladas se creó una instancia con Windows Server 2019 en Amazon
Web Services (AWS), plataforma de servicios de Cloud Computing que ofrece servidores,
FI

almacenamiento, bases de datos, creación de redes virtuales, entre otras. En la cual se

realizó conexión desde la red interna de BAC Credomatic mediante el Protocolo de Escritorio
Remoto (RDP), logrando extraer información sensible de clientes como ser: N° de cuentas,
N

N° de TC, CIF, transacciones, entre otras. Situación que incumple con el lineamiento L-
BACLAT-0000283 Estándar de Seguridad de la Información del Grupo Financiero BAC
O

Credomatic, N° 4.12.2 “Debe restringirse a través del firewall que toda conexión (entrada y
salida) sea denegada excepto aquellas que el servicio lo requiera”.
C
 S
3. La Vicepresidencia Adjunto de Tecnología de la Información utiliza la herramienta NAC
(Network Acces Control) con la finalidad de control de seguridad de acceso a la red interna,

B
en el cual se deben de bloquear durante la inspección los dispositivos no autorizados que
se conecten a la red y que no presenten la línea base como ser: agente NAC, servicio DLP,

N
antivirus, cifrado de disco duro, entre otros. Durante nuestra revisión se identificó lo
siguiente:

C
Mediante una prueba controlada se realizó conexión a través de VPN a la red interna con
una computadora ajena a la Entidad que no cumple con la línea base, la conexión duro 57
minutos, donde se ejecutaron diferentes actividades como ser: identificación de host dentro

O
de un segmento de red, verificación de puertos de comunicación abiertos en servidores,
capturar tráfico de red, identificación de carpetas compartidas y extracción de información,

IV
entre otros. Lo anterior incumplimiento con los tiempos de detección y bloqueos de
dispositivos no autorizados. Adicionalmente se realizaron pruebas con el Proveedor
TAUTENET donde se logró evidenciar que algunos dispositivos se quedan en la regla “Policy
HON - 2.1.5 - VPN Clarification”, con un estado “PENDING BAC Secure Connector Manage”,

S
siendo estos los equipos que se van encolando y el NAC no realiza el bloqueo automático.

LU
4. Al momento de nuestra revisión 24 de junio del año en curso se identificaron 2 usuarios de
ex colaboradores habilitados en directorio activo de la Zona Desmilitarizada (DMZ). Situación
anterior incumple con el lineamiento L-BACLAT-0000283 Estándar de Seguridad de la
Información del Grupo Financiero BAC Credomatic, N° 2.6 “Finalización de

C
responsabilidades: Es responsabilidad de la jefatura inmediata o encargado, a más tardar el

X
día anterior a la salida del colaborador o tercero, el solicitar el bloqueo de las cuentas de
usuario”. Adicionalmente no se observaron accesos y/o actividades de los usuarios en la
herramienta posterior a su salida y dichos usuarios fueron desactivados durante la auditoria.
E
A continuación, se detallan los usuarios:
O

Nombre Área Fecha de salida

S

Seguridad de Sistemas 1/11/2021

Dennis Jose Mejia Carbajal
Seguridad de Sistemas
-U

Julio Fabricio Escober Lopez 26/4/2022

5. Mediante pruebas de seguridad de la información realizadas con el Administrador de Base

de Datos, los cuales se encargan de administrar las bases de datos de negocio donde se
L

almacena información confidencial de los clientes, se logró extraer información en dos (2)
sitios de almacenamiento en la nube (Google Drive y OpenDrive). Situación que incumple
IA

con el lineamiento L-BACLAT-0000283 Estándar de Seguridad de la Información del Grupo

Financiero BAC Credomatic, N° 4.12.2 “Debe restringirse el uso de navegación internet
únicamente a las páginas requeridas por sus funciones a través de una herramienta de
C

filtrado de contenido”.
N

6. Se identificó por medio de herramientas de análisis un componente vulnerable y obsoleto

que se utiliza en la Sucursal Electrónica, verificando que la biblioteca jQuery se encuentra
E

en la versión 1.7.2, siendo esta obsoleta debido a que ya no tiene soporte por parte del
fabricante y presenta vulnerabilidades y exposiciones comunes. Cabe mencionar que la
D

administración identificado el punto de la obsolescencia y se encuentran planificando el plan

de trabajo a realizar.
FI
N

6.
O

A continuación, se detallan las vulnerabilidades que presenta:

C
 S
Puntuación
N° CVE ID Descripción
CVSS

B
jQuery antes de la versión 1.9.0 es vulnerable a los ataques de
secuencias de comandos entre sitios (XSS). La función
jQuery(strInput) no diferencia los selectores de HTML de forma

N
CVE-2012-6708
1 6.1 fiable. En las versiones vulnerables, jQuery determinó si la
entrada era HTML buscando el carácter '<' en cualquier parte de

C
la cadena, lo que brinda a los atacantes más flexibilidad al intentar
construir una carga útil maliciosa.
jQuery antes de 3.0.0 es vulnerable a los ataques de Cross-site
Scripting (XSS) cuando se realiza una solicitud Ajax entre

O
2 CVE-2015-9251 6.1
dominios sin la opción dataType, lo que hace que se ejecuten
respuestas de texto/javascript.
jQuery antes de 3.4.0, como se usa en Drupal, Backdrop CMS y

CVE-2019-11358
3 4.3
IV
otros productos, maneja mal jQuery.extend(true, {}, ...) debido a la
contaminación de Object.prototype. Si un objeto de origen no
sanitado contenía una propiedad __proto__ enumerable, podría
extender el objeto Object.prototype nativo.

S
En las versiones de jQuery mayores o iguales a 1.2 y anteriores a Con formato: Fuente: (Predeterminada) Arial, 8 pto, Español
3.5.0, pasar HTML de fuentes que no son de confianza, incluso (España), Diseño: Claro

LU
después de desinfectarlo, a uno de los métodos de manipulación
4 CVE-2020-11022 6.5
DOM de jQuery (es decir, .html(), .append() y otros) puede Con formato: Fuente: (Predeterminada) Times New Roman
ejecutar código que no es de confianza. Este problema se corrige
en jQuery 3.5.0. Tabla con formato
Con formato: Español (México)

C
7. Evidenciamos que los cambios en la configuración de la herramienta Sophos Central no se
están documentando mediante una solicitud de cambio (CHG), ya que en nuestra revisión
X
se verifico que el 7 de julio del año en curso el Administrador de Seguridad de Sistemas
había realizado cambios en la hora y día de la ejecución del escaneo programado en
E
estaciones de trabado. Dicha situación permitiría realizar cambios no autorizados en la
herramienta.
O

A continuación, se detallan los cambios:

S

Fecha Modificado Item de Item modificado

Configuración
-U

7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Política Antivirus - ThreatProtection; Con formato: Justificado
Scaning schedule time-Updated from 02:00 to 15:00
7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Base Policy - ThreatProtection; Scaning Con formato: Justificado
schedule time-Updated from 03:00 to 15:00
7/7/2022 tcordova@baccredomatic.hn Policies Endpoint Protection - Base Policy - ThreatProtection; Scaning Con formato: Justificado
schedule days-Updated from [5, 1] to [5, 2]
L

8. BAC Credomatic cuenta con una Zona Desmilitarizada o Zona Media de Seguridad (DMZ)
IA

en la cual se alojan los servicios públicos que serán accesados desde redes externas, al
momento de nuestra revisión se identificaron 2 servidores con direcciones IP de la red
interna en la VLAN de la DMZ, cabe mencionar que dicha situación ya está siendo atendida
C

por la VPA de TI. Lo anterior expone segmento de red interna en redes externas.
A continuación, se detallan los servidores:
N

Nombre del IP Aplicación

E

Servidor
HNBACVDEPAPP 10.89.2.248 Virtual Deposit
D

HNCORUAGSPS 10.89.2.221 UAG

9. Esta auditoria evidencio que existen servidores con puerto de comunicación abiertos con
FI

protocolos inseguros como ser: 21 (FTP), 23 (Telnet), 80 (Http) y 389 (LDAP) en diferentes
segmentos de red, incumpliendo con el lineamiento L-BACLAT-0000309 Estándar de
Seguridad para Puertos Seguros, N° 3: “Deshabilite los servicios que no protegen la
N

información restringida o sensible. En donde sea Posible debe deshabilitarse la

comunicación a los protocolos inseguros (FTP, Telnet, Http, LDAP o cualquier otro protocolo
O
C
 S
que no ofrezca un nivel de protección adecuado de los datos.)”. Situación anterior permitiría
transmitir información clasificada como restringida o sensible en un protocolo inseguro.

B
A continuación, se detallan:

N
N° IP Nombre FTP Telnet HTTP LDAP
Servidor

C
1 10.89.2.133 HNCORSABWEB ✔
2 10.89.2.88 HNCORBI ✔
3 10.89.2.246 HNCORVSHIELD ✔ ✔ ✔
✔

O
4 10.89.1.225 HNCORDPS01
5 10.89.1.15 HNCOMAESNICE1 ✔ ✔ ✔
6 10.89.100.20 HON400N ✔ ✔

IV
7 10.89.100.36 - ✔ ✔ ✔
* 7 muestras de 130 servidores con puertos abiertos

S
Como resultado de la evaluación de riesgos y controles se obtuvo el mapa de calor que se puede
observar en el Anexo 1; el cual muestra la calificación de los riesgos inherente y residual realizada

LU
por la Administración y la calificación obtenida por la Auditoría Interna.

Seguimiento a la implementación de los planes de acción

C
Como resultado del seguimiento efectuado sobre 2 oportunidades de mejora que al momento de
nuestra revisión se encontraban implementadas, correspondiente al informe 2021-
X
“HON.GFBC.TI.2021.13 – Seguridad de Red y Cifrado de datos” para el proceso relacionado, se
pudo observar un nivel de cumplimiento satisfactorio.
E
Estado No. de Planes Calificación %
En proceso 1 Satisfactorio 76 – 100
O

Implementados 0 Necesita Mejorar 60 – 75

Total 1 Deficiente 0 – 59
Nivel de cumplimiento 100%
S
-U

Atentamente,
L

Santiago Aguirre
Vicepresidente Adjunto de Auditoría Interna
IA

CC: Rafael Aguirre – Vicepresidente de Operaciones

Rubén Emilio Gálvez – Gerente Tecnología e Infraestructura Tecnológica
C

José Armando Cardona – Subgerente de Gobierno Tecnológico

Wanda Ortiz – Vicepresidente Adjunto de Riesgo Integral
N

Auditoría Interna
E
D
FI
N
O
C
 S
B
N
C
Anexo 1 – Mapa de calor

O
IV
S
LU
C
X
E
O
S

Nota: La valoración del riesgo según la auditoría se presentan dentro de un círculo en el

mapa de calor.
-U

Riesgos evaluados
No. Cód. riesgo Riesgo
Afectación de la Confidencialidad de la información debido a debilidades en las
1 RSK-HON1462
L

capas de control de Seguridad Informática.

Afectación de servicios de negocio debido a ataques que vulneran debilidades en
IA

2 RSK-HON1463 las capas de control de Seguridad Informática.

Afectación de servicios de negocio debido a cambios en herramientas de

C

3 RSK-HON3738: seguridad.

Incumplimiento en regulaciones.
N

4 RSK-HON941
E

RSK = Riesgo Operativo.

D
FI
N
O
C