TAREA 1 DEL CASO PRÁCTICO

*PROPUESTA RAZONADA SOBRE LA IDONEIDAD DE REALIZAR AUDITORÍA Y TEST DE

PENETRACIÓN PARA LA EMPRESA BABYLINE.

Estamos inmersos en una era tecnológica donde se necesitan, cada vez más, sistemas
informáticos para establecer y mantener cualquier estructura empresarial acorde a los
objetivos del mercado, más aún si la base de su actividad se relaciona con soportes de
acceso generalizado, como es el caso que nos ocupa. Estos recursos tecnológicos
suelen ser cada vez más sofisticados y aportan a las organizaciones nuevas
funcionalidades, aunque, por otra parte, las hacen cada vez más vulnerables a posibles
ciberataques.

Todas las empresas, independientemente de su tamaño están expuestas. Por ello,

cada vez es más necesario apostar por un mejor sistema de ciberseguridad que evite
recibir un ciberataque que haga perder datos esenciales a la compañía, con las
consecuencias que puede ocasionar.

Por esta razón, proponemos para la empresa Babyline la realización de dos pruebas
que consideramos se complementan entre sí:

- En primer lugar una auditoría a fin de comprobar el estado de seguridad de los

sistemas y conocer las posibles brechas de seguridad y vulnerabilidades
existentes. Sería conveniente la realización de auditorías tanto interna como
externas, e incluso de forma periódica para aportar información al respecto en
periodos de tiempo no demasiado extensos, dado los constantes cambios y
renovaciones tecnológicas a las que estamos acostumbrados.
- En segundo lugar un test de penetración que trata de simular la acción de un
ciberataque, en sentido estricto del término, con la idéntica intención de
romper los controles y medidas de seguridad cibernética y acceder a la
información, pero de forma autorizada y controlada para no producir daños y
obtener datos precisos sobre agujeros de seguridad de los sistemas y sus
vulnerabilidades.

Por todo ello, se trata de pruebas diferentes pero complementarias para asegurar la
protección y la capacidad de reacción frente a riesgos cibernéticos, ya que si bien es
importante identificar y evaluar las posibles vulnerabilidades, también lo es hacer una
comprobación real sobre la eficacia de las medidas de seguridad y controles existentes,
pudiendo, a su vez, corregirlos o actualizarlos a fin de asegurarnos de un
funcionamiento eficaz de los mismos.

*PROPUESTA DE REALIZACIÓN DE UNA AUDITORÍA

- Constitución del equipo auditor incluyendo roles o responsabilidades

Auditor (director y coordinador del equipo): Gabriel Sáez Peñalver
Experto Técnico Informático
Experto Técnico en Marketing
Experto Técnico en TIC

- Objetivos a alcanzar:
Estudio y exposición de un análisis de vulnerabilidades y potenciales amenazas
que pueda asistir la implementación de técnicas, programas y rutinas en
materia de ciberseguridad, así como la planificación para la obtención y el
fomento de la cultura de seguridad adaptada a las peculiaridades de todos y
cada uno de los empleados y su adecuación a las características de Babyline.

- Áreas a auditar:
Se pretende hacer una auditoría completa de ciberseguridad en relación a los
diversos departamentos y teniendo en cuenta el objeto y las características de
la empresa, mediante:
. La evaluación sobre el gobierno de la ciberseguridad.
. La existencia y eficacia de las medidas de protección de activos (personas,
sistemas, equipos, redes, datos, etc.).
. Cumplimiento de la legislación, normas y estándares relativos a la
organización.
. Existencia y eficacia en relación a Controles de acceso, gestión de perfiles y
privilegios.
. Seguridad sobre los equipos, comunicaciones y redes, cifrado de la
información, firma electrónica, etc.
. Medidas de protección y detección de código malicioso y sobre Gestión de
incidencias.
. Implicación del personal en materia de ciberseguridad, así como su formación
y concienciación.
- Criterios de auditoría:
. Eficacia, rentabilidad y economía.
. Capacitación y corrección en la prestación de servicios.
. Calidad de los procedimientos.
. Transparencia hacia la organización y discreción respecto a la relación laboral,
con sometimiento al principio de secreto profesional.
. Compromiso de supeditación a buenas prácticas en ciberseguridad
. Sometimiento al principio de legalidad.

- Proceso de auditoria incluyendo fases, resumen de actividades a llevar a cabo

en cada una, calendario estimado, etc.
Para elaborar la auditoría es necesario planificar y aplicar un conjunto de
actividades, que se han de realizar de forma secuencial y ordenada, tendentes
a la optimización de recursos y facilitadoras de las tareas a realizar. Al no existir
consenso sobre los métodos a seguir, se propone un modelo bastante utilizado
en el dominio de la seguridad de la información, con connotaciones adaptadas
al caso concreto. En cuanto al calendario se estima que dicho proceso se puede
llevar a cabo en una franja de entre 20 y 30 días, que se concretará en la
planificación, siendo la ejecución la fase que llevará la mayor parte de dicha
franja de tiempo estimada. De esta forma, dicho proceso conlleva la realización
de las siguientes fases:
. Planificación. – Estableciendo las condiciones del proceso y el sentido de
proceder a la realización del mismo. Incluyendo una serie de actividades como:
elaborar el plan o programa a desarrollar, contemplar áreas y criterios ya
mencionados con antelación, asignación de recursos para su elaboración,
establecimiento de herramientas y procedimientos a utilizar, definir el
calendario para su ejecución, …
. Ejecución de la Auditoría. - Obteniendo evidencias y su comparación con los
criterios establecidos a fin de obtener las conclusiones pertinentes. Esta fase se
puede subdividir en dos o más fases (una que se puede denominar como
recopilación de información y obtención de evidencias, otra como análisis y
evaluación de resultados, .. ). Esta fase a su vez incluye actividades como:
realización de las acciones programadas en el plan, identificación de fuentes de
información y realización de pruebas, comprobación de documentos y
registros, obtención de evidencias de auditoría objetivas, comparación de
dichas evidencias con los criterios a fin de controlar el cumplimiento de
objetivos, evaluación y documentación de resultados, obtención de
conclusiones, …
. Información y recomendaciones. - Tras haber realizado el análisis que se
deriva de las fases anteriores y con un conocimiento del estado real de la
empresa se realiza un informe detallado de los resultados extraídos, en el que
se explicarán las vulnerabilidades localizadas en materia de ciberseguridad y se
propondrán soluciones y recomendaciones. Se incluirían actividades como: la
 elaboración y redacción del informe de auditoría, inclusión de conclusiones y
recomendaciones, actuaciones frente a puntos críticos como fallos informáticos
o ciberataques, presentación del informe, ..
. Seguimiento. – Es conveniente establecer un plan de seguimiento de los
resultados y en particular de las recomendaciones contempladas en el informa.
Incluye actividades: acciones para eliminar las no conformidades, proposición
de actividades para introducir correcciones, seguimiento de resultados, .

- Cualquier otro aspecto que considere necesario incluir en la propuesta o

comentar previamente al CEO:

Trasladar la conveniencia de que se realicen periódicamente por parte de la

empresa Babyline auditorías internas, bien planificadas para que contribuyan a
la consecución de objetivos.

*PROPUESTA DE REALIZACIÓN DE UN TEST DE PENETRACIÓN

- Objetivos a alcanzar:

Estudio de la seguridad de sistemas y redes mediante métodos y

procedimientos utilizados en el marco del hacking ético; así como poner a
prueba la dimensión de ciberseguridad de la empresa y sus vulnerabilidades,
tratando de medir la capacidad de detección y respuesta frente a ataques para
obtener información, accesos no autorizados, etc.

- Áreas a probar:

Se quiere realizar un test de penetración acorde a las características de

Babyline, a fin de dimensionar con este método de prueba la seguridad y las
vulnerabilidades frente a posibles ataques externos a la organización, mediante
pruebas a realizar en las siguiente áreas:
. Sistemas de protección, cifrado, firma electrónica y otros, utilizados tanto por
y para las personas que integran la organización como para sistemas, equipos,
redes, datos, etc..
. Existencia y seguridad de privilegios.
. Medidas de detección y protección (cortafuegos, sistemas de detección de
intrusos, etc.)
. Formación y concienciación del personal de la empresa en materia de
ciberseguridad.
. Cumplimiento de normativas y estándares en ciberseguridad
- Tipo de prueba a realizar:

Entendemos que lo mejor para el caso que nos ocupa es la realización de un

test o prueba de caja gris a fin de lograr resultados aceptables para este tipo de
empresa sin invertir un tiempo excesivo ni utilizar demasiados recursos. Sin
embargo, y en cuanto a la amplitud de objetivos que se pretenden debemos
incluir pruebas en todos los ámbitos posibles, mediante pruebas de
penetración de red, de sitios y aplicaciones web, de aplicaciones móviles, de
ingeniería social y de correo electrónico.

- Proceso del test de penetración incluyendo fases, resumen de actividades a

llevar a cabo en cada una, duración, calendario y horarios estimados,
estimación de recursos en particular en las posibles herramientas a utilizar,
etc.

Para la elaboración del test de penetración se realizarán una serie de fases o

etapas similares a las que se suelen realizar en un ataque malicioso, salvo al
final, donde tiene lugar la realización del informe sobre los resultados de este
ataque simulado, ético y legal. En cuanto a la duración, calendario y horarios se
estima que dicho proceso se puede llevar a cabo en una franja de entre 15 y 20
días desde la fecha en que el CEO de Babyline acepte la realización y se lleve a
cabo la contratación del pentesting; en cuanto a horarios posiblemente sea
conveniente llevar a cabo las fases de reconocimiento, exploración y obtención
de acceso en horarios coincidentes con los de los trabajadores de la empresa,
mientras antes y durante el borrado de huellas habría que tener cuidado en no
ser detectado hasta que quede todo reestablecido, y por tanto debería hacerse
fuera del horario de trabajo habitual en la empresa. Por todo ello, en dicho
proceso, se va a proceder a la realización de las siguientes fases:

. Reconocimiento. – constituye la etapa previa o de preparación de cualquier

ciberataque, y suele requerir un esfuerzo importante. Se trata de encontrar el
objetivo a atacar y de obtener la mayor información posible, para tratar de
identificar el perfil y la estructura de la capacidad de ciberseguridad del mismo,
en aras de la planificación del ataque (identificar el objetivo, sus redes y medios
de transmisión y recepción de la información, su arquitectura organizativa,
lógica y de seguridad, el personal que lo integra, identificando roles,
ubicaciones y responsabilidades, etc). Para realizarlo se realizarán actividades
utilizando técnicas de reconocimiento pasivo (tratando de obtener información
de registros de dominio público, sin interactuar de manera directa con el
objetivo. En cuanto a recursos hay que disponer de herramientas de rastreo en
internet como motores de búsqueda -Google, Yahoo o Binf-, y posiblemente
haya que echar mano de herramientas más especializadas – Whois, Nslookup,
Traceroute o Google Hacking- ) y técnicas de reconocimiento activo
(interactuando directamente con el objetivo a través de llamadas telefónicas,
comunicaciones vía email, técnicas de ingeniería social o utilizando
herramientas especializadas en el reconocimiento de recursos tecnológicos).
. Escaneado o exploración. – que constituye una fase activa dirigida a detectar
equipos accesibles, puertos abiertos y otros dispositivos a través de los cuales
podamos identificar sus sistemas críticos y contrastarlos para determinar
potenciales vulnerabilidades o fallos de ciberseguridad a fin de explotarlos y,
en consecuencia, obtener información sensible. Para ello se realizarán
actividades mediante métodos de adquisición pasiva de información (realizar
análisis de campos que circulan en una red, teniendo que disponer de un
rastreador de puertos; actividades que requieren bastante tiempo, pero son
muy difícil de detectar) y métodos de adquisición activa de información (enviar
paquetes a través de la red y analizar respuestas)
. Obtención de acceso. – Una vez adquirida la información necesaria a fin de
obtener acceso a un equipo, dispositivo, red o servicio, el atacante puede
escalar en privilegios a fin de obtener mayor control sobre el sistema,
comprometiendo, igualmente, los sistemas intermedios que se encuentren
conectados. La actividad es realizada directamente por el hacker o empleando
recursos como herramientas tipo scripts o diferentes métodos de ataques;
también se puede necesitar programas o aplicaciones de acceso remoto para
observar las actividades de usuarios, o del tipo keyloggers, usadas para
capturar secuencias de los teclados y conseguir contraseñas.
. Mantenimiento del acceso. – Se trata de mantener el acceso de cara a futuros
ataques, subir y bajar información, controlar los equipos y servicios, mantener
o incrementar los privilegios asegurando el acceso, incluso utilizar el sistema
comprometido para el lanzamiento de ataques adicionales. La actividad se
realiza utilizando técnicas del tipo de puertas traseras, troyanos o rootkits.
. Borrado de huellas. - Como su nombre indica se procede a borrar u ocultar las
huellas dejadas, para evitar ser descubierto y, de esta forma, seguir pudiendo
acceder al objeto en este o siguientes ataques; impidiendo, a su vez, la
posibilidad del ejercicio de acciones legales contra el atacante, en el caso en
que no se tratara de un hacker ético. Según el tipo de ataque las actividades
pueden consistir en la modificación de archivos de registro, la ocultación de
archivos o el uso de protocolos o redes de anonimización. En cuanto a recursos
se puede necesitar según los casos herramientas de esteganografía, proxies,
etc.
. Informe. – En el que se reflejan los resultados del test de penetración,
detallando hallazgos, pruebas realizadas y métodos utilizados, incluyendo las
conclusiones obtenidas por el hacker y recomendaciones de mejora que se
estimen. Su formato puede ser variado dependiendo de las características,
objetivo, alcance y del receptor de dicho test; pero en general se sugiere
utilizar un formato que plasme las siguientes actividades o extremos: resumen
ejecutivo, objetivo y alcance, autorización con sus restricciones y limitaciones,
metodología utilizada, herramientas empleadas, hallazgos, vulnerabilidades e
 intrusiones, conclusiones, recomendaciones y propuestas, informe técnico y
anexos, además de otras cuestiones complementarias (clasificación del
informe, autores, fecha y control de versiones y revisiones, etc.).

- Cualquier otro aspecto que considere necesario incluir en la propuesta o

comentar previamente al CEO:

En las distintas fases citadas con anterioridad se citan técnicas y recursos que
quizás no se utilicen sino que se nombran como alternativas posibles.