Archivologocompendio 20226916958

SEGURIDAD INFORMÁTICA
UNIDAD 1
Introducción a la Seguridad Informática
Autor: Arevalo Cordovilla Felipe Emiliano

ÍNDICE
1. Unidad 1: Introducción a la Seguridad Informática .............................................. 3

Tema 3: OWASP (Open Web Application Security Project) .......................................... 3
Objetivo ......................................................................................................................... 3
Introducción .................................................................................................................. 3
2. Información de los subtemas............................................................................... 4

2.1 Subtema 1: Introducción .................................................................................... 4
2.2 Subtema 2: Principales Vulnerabilidades ........................................................... 6
2.3 Subtema 3: Metodología de Ataque ................................................................ 12
2.4 Subtema 4: Problemas de Seguridad ............................................................... 18
3. Unidad 1: Introducción a la Seguridad Informática ............................................ 21

Tema 4: Hacking Ético................................................................................................. 21
Objetivo ....................................................................................................................... 21
Introducción ................................................................................................................ 21
4. Información de los subtemas............................................................................. 22

4.1 Subtema 1: Introducción .................................................................................. 22
4.2 Subtema 2: Fases ............................................................................................. 25
4.3 Subtema 3: Gestión de Riesgos ........................................................................ 31
4.4 Subtema 4: Leyes y Estándares de Seguridad de la Información .................... 32
5. Preguntas de Comprensión de la Unidad 1 ........................................................ 34
6. Bibliografía ........................................................................................................ 36
2
Unidad 1 l Introducción a la Seguridad Informática
1. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 3: OWASP (Open Web Application Security
Project)
Objetivo
Educar sobre las consecuencias de las debilidades más comunes y más importantes de
la seguridad de las aplicaciones web, proporcionando técnicas básicas para protegerse
contra estas áreas con problemas de riesgo alto, y proporcionando orientación sobre
cómo continuar desde allí.
Introducción
El problema del software inseguro es quizás el desafío técnico más importante de

nuestro tiempo. La seguridad es ahora el factor limitante clave de lo que podemos crear
con la tecnología de la información. Open Web Application Security Project (OWASP),
trata de hacer del mundo un lugar donde el software inseguro sea la anomalía, no la
norma, y la Guía de prueba de OWASP es una pieza importante del rompecabezas.
No hace falta decir que no puede crear una aplicación segura sin realizarle pruebas de
seguridad. Sin embargo, muchas organizaciones de desarrollo de software no incluyen
pruebas de seguridad como parte de su proceso de desarrollo de software estándar.
© Universidad Estatal de Milagro – UNEMI
Aun así, las pruebas de seguridad, por sí solas, no son una medida particularmente
buena de qué tan segura es una aplicación, porque hay un número infinito de formas en
que un atacante podría hacer que una aplicación se rompa, y simplemente no es posible
probarlos todos. Sin embargo, las pruebas de seguridad tienen el poder único de
convencer absolutamente a los detractores de que existe un problema. Por lo tanto, las
pruebas de seguridad han demostrado ser un ingrediente clave en cualquier
organización que necesite confiar en el software que produce o usa. En conjunto, las
guías de OWASP son un excelente comienzo para crear y mantener aplicaciones seguras.
FORMATO CONTROLADO: FR0018/ v3.01 3

2. Informacion de los subtemas

2.1 Subtema 1: Introducción
El Proyecto OWASP es una comunidad abierta dedicada a permitir que las
organizaciones desarrollen, compren y mantengan aplicaciones en las que se puede
confiar. Todas las herramientas, documentos, foros y capítulos de OWASP son gratuitos
y están abiertos a cualquier persona interesada en mejorar la seguridad de las
aplicaciones. Es importante poder abordar la seguridad de las aplicaciones como un
problema de personas, procesos y tecnología porque los enfoques más efectivos para la
seguridad de las aplicaciones incluyen mejoras en todas estas áreas (Foundation, 2017).
Este proyecto ha estado en desarrollo durante muchos años. Con este proyecto, se
pretende ayudar a las personas a comprender qué, por qué, cuándo, dónde y cómo
probar sus aplicaciones web, y no solo proporcionar una simple lista de verificación o
prescripción de problemas que deben abordarse. El resultado de este proyecto es un
marco de prueba completo, a partir del cual otros pueden crear sus propios programas
de prueba o calificar los procesos de otras personas. El proyecto OWASP es un conjunto
de guías que proporciona una base para probar los controles técnicos de seguridad de
las aplicaciones web y también proporciona a los desarrolladores una lista de requisitos
para un desarrollo seguro (Foundation, 2017).
El objetivo principal del proyecto OWASP Application Security Verification Standard

(ASVS) es normalizar el rango de cobertura y nivel de rigor disponible en el mercado a la
hora de realizar la verificación de seguridad de aplicaciones web utilizando un estándar
abierto comercialmente viable. El estándar proporciona una base para probar los
controles técnicos de seguridad de la aplicación, así como cualquier control técnico de
seguridad en el entorno, en el que se confía para proteger contra vulnerabilidades como
Cross-Site Scripting (XSS) e inyección SQL. Este estándar se puede utilizar para establecer
un nivel de confianza en la seguridad de las aplicaciones web (Foundation, 2017).
Hay un número infinito de formas posibles en que una aplicación puede fallar, y siempre
tiene tiempo y recursos de prueba limitados. Intente concentrarse en los agujeros de

seguridad que tienen más probabilidades de ser descubiertos y explotados por un

atacante, y que conducirán a la no disponibilidad del software causando daños más
graves. EL proyecto OWASP recopila un conjunto de técnicas que puede usar para
encontrar diferentes vulnerabilidades. Existen tres grandes grupos en un proceso de
desarrollo de software: los desarrolladores, los evaluadores de software y los
especialistas en seguridad. Muy importante que el primer grupo use estas técnicas para
asegurarse de que están produciendo un código seguro desde la etapa inicial del
desarrollo de software.

2.2 Subtema 2: Principales Vulnerabilidades

El proyecto OWASP define los 10 principales riesgos de seguridad de las aplicaciones
web. En la Figura 1, se puede observar las diez vulnerabilidades más importantes y su
evolución entre el año 2017 al 2021.
Figura 1. Cambios de los 10 principales riesgos de seguridad de las aplicaciones web
Nota: EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through 4 ed. Albuquerque: EC-Council
Es muy importante considerar que medir y probar aplicaciones web es incluso más
crítico que para otro software, ya que las aplicaciones web están expuestas a millones
de usuarios a través de Internet.
Control de acceso roto (Broken Access Control)
El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto

con una tasa de incidencia promedio de 3,81 %, y tiene la mayor cantidad de ocurrencias
en el conjunto de datos contribuido con más de 318k. Las Enumeraciones de debilidades
comunes (CWE) notables incluidas son (OWASP Top 10, 2021):
 CWE-200: Exposición de información confidencial a un actor no autorizado

 CWE-201: Inserción de información confidencial en datos enviados
 CWE-352: Falsificación de solicitud entre sitios
El control de acceso se refiere a cómo una aplicación web otorga acceso para crear,
actualizar y eliminar cualquier registro/contenido o función a algunos usuarios
privilegiados mientras restringe el acceso a otros usuarios. El control de acceso roto es
un método en el que un atacante identifica una falla relacionada con el control de

acceso, pasa por alto la autenticación y luego compromete la red. Las debilidades del
control de acceso son comunes debido a la falta de detección automatizada y pruebas
funcionales efectivas por parte de los desarrolladores de aplicaciones. Permiten a los
atacantes actuar como usuarios o administradores con funciones privilegiadas y crear,
acceder, actualizar o eliminar cualquier registro (EC-Council, 2020).
Fallas criptográficas (Cryptographic Failures)
Anteriormente conocido como Exposición de datos confidenciales, que es más un

síntoma amplio que una causa raíz, el enfoque se centra en las fallas relacionadas con la
criptografía (o la falta de esta). Lo que a menudo conduce a la exposición de datos
confidenciales. Las enumeraciones de debilidades comunes (CWE) notables incluidas
son (OWASP Top 10, 2021):
 CWE-259: Uso de contraseña codificada

 CWE-327: Algoritmo criptográfico roto o riesgoso
 CWE-331 Entropía insuficiente
Muchas aplicaciones web no protegen adecuadamente sus datos confidenciales de

usuarios no autorizados. Las aplicaciones web utilizan algoritmos criptográficos para
cifrar sus datos y otra información confidencial que necesitan transferir del servidor al
cliente o viceversa. La exposición de datos confidenciales ocurre debido a fallas como el
almacenamiento criptográfico inseguro y la fuga de información (EC-Council, 2020).
Aunque los datos están encriptados, algunos métodos de encriptación criptográfica

tienen debilidades inherentes que permiten a los atacantes explotar y robar los datos.
Cuando una aplicación utiliza un código de cifrado mal escrito para cifrar y almacenar
datos confidenciales en la base de datos, el atacante puede explotar fácilmente esta
falla y robar o modificar datos confidenciales débilmente protegidos, como números de
tarjetas de crédito, SSN y otras credenciales de autenticación. Por lo tanto, pueden
lanzar más ataques como el robo de identidad y el fraude con tarjetas de crédito (EC-
Council, 2020).

Inyección (Injection)
El 94% de las aplicaciones se probaron para alguna forma de inyección con una tasa de
incidencia máxima del 19%, una tasa de incidencia promedio del 3% y 274000
ocurrencias. Las Enumeraciones de debilidades comunes (CWE) notables incluidas son
(OWASP Top 10, 2021):
 CWE-79: Cross-site Scripting

 CWE-89: SQL Injection
 CWE-73: External Control of File Name or Path
Las fallas de inyección son vulnerabilidades de aplicaciones web que permiten

interpretar y ejecutar datos que no son de confianza como parte de un comando o
consulta. Los atacantes aprovechan las fallas de inyección mediante la construcción de
comandos o consultas maliciosos que dan como resultado la pérdida o corrupción de
datos, la falta de responsabilidad o la denegación de acceso. Tales fallas prevalecen en
el código heredado y, a menudo, se encuentran en consultas SQL, LDAP y XPath. Se
pueden descubrir fácilmente mediante escáneres de vulnerabilidades de aplicaciones y
fuzzers (EC-Council, 2020).
Diseño inseguro (Insecure Design)
Se centra en los riesgos relacionados con los defectos de diseño y arquitectura, con un
llamado a un mayor uso del modelado de amenazas, patrones de diseño seguro y
arquitecturas de referencia. Como comunidad, debemos ir más allá de "cambiar a la
izquierda" en el espacio de codificación para precodificar actividades que son críticas
para los principios de Secure by Design. Las Enumeraciones de debilidades comunes

(CWE) notables incluyen (OWASP Top 10, 2021):
 CWE-209: Generación de mensaje de error que contiene información

confidencial
 CWE-256: Almacenamiento desprotegido de credenciales
 CWE-501: Violación de límites de confianza y CWE-522: Credenciales
insuficientemente protegidas.

Configuración incorrecta de seguridad (Security Misconfiguration)
el 90 % de las aplicaciones se probaron en busca de algún tipo de configuración

incorrecta, con una tasa de incidencia promedio del 4. % y más de 208000 ocurrencias
de una Enumeración de debilidad común (CWE) en esta categoría de riesgo. Con más
cambios hacia software altamente configurable, no sorprende ver que esta categoría
sube. Los CWE notables incluidos son (OWASP Top 10, 2021):
 CWE-16: Configuración
 CWE-611: Restricción incorrecta de la referencia de entidad externa XML.
Componentes vulnerables y obsoletos (Vulnerable and Outdated Components)
Los componentes vulnerables son un problema conocido que luchamos para probar y
evaluar el riesgo y es la única categoría que no tiene vulnerabilidades y exposiciones
comunes (CVE) asignadas a los CWE incluidos, por lo que se utiliza un peso de
vulnerabilidad/impacto predeterminado de 5.0. Los CWE notables incluidos son
(OWASP Top 10, 2021):
 CWE-1104: uso de componentes de terceros no mantenidos

 CWE de Top 10 2013 y 2017.
Los componentes como las bibliotecas y los marcos que se utilizan en la mayoría de las
aplicaciones web siempre se ejecutan con todos los privilegios, y las fallas en cualquier
componente pueden tener graves consecuencias. Los atacantes pueden identificar
componentes débiles o dependencias escaneando o realizando un análisis manual. Los
atacantes buscan vulnerabilidades en sitios de exploits como:
 Exploit Database (https://www.exploit-db.com)

 BugTraq (https://bugtraq.securityfocus.com/archive)
 Zero Day Initiative (https://www.zerodayinitiative.com)
Si se identifica un componente vulnerable, el atacante personaliza el exploit según sea

necesario y ejecuta el ataque. La explotación exitosa permite que el atacante provoque
una pérdida grave de datos o tome el control de los servidores. Un atacante

generalmente usa sitios de explotación para identificar las aplicaciones web o realiza un
análisis de vulnerabilidades utilizando herramientas como Nessus y GFI LanGuard para
identificar los componentes vulnerables existentes (EC-Council, 2020).
Fallas de identificación y autenticación (Identification and Authentication Failures)
Anteriormente conocida como Autenticación rota, y ahora incluye Enumeraciones de

debilidades comunes (CWE) relacionadas con fallas de identificación. Los CWE notables
incluidos son (OWASP Top 10, 2021):
 CWE-297: Validación incorrecta del certificado con discrepancia de host

 CWE-287: Autenticación incorrecta y CWE-384: Fijación de sesión
En la actualidad, las aplicaciones web que implementan autenticaciones sólidas fallan

debido a funciones de credenciales débiles, como "cambiar mi contraseña", "olvidé mi
contraseña", "recordar mi contraseña", "actualización de cuenta", etc. Por lo tanto, los
desarrolladores deben tener el máximo cuidado para implementar la autenticación de
usuarios de forma segura. Siempre es mejor utilizar métodos de autenticación sólidos a
través de fichas criptográficas o biométricas especiales basadas en software y hardware.
Un atacante aprovecha las vulnerabilidades en las funciones de autenticación o
administración de sesión, como cuentas expuestas, ID de sesión, cierre de sesión,
administración de contraseñas, tiempos de espera, recordarme, pregunta secreta,
actualización de cuenta y otros para hacerse pasar por los usuarios (EC-Council, 2020).
Fallas de integridad de software y datos (Software and Data Integrity Failures)

Una nueva categoría para 2021 se enfoca en hacer suposiciones relacionadas con
actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la
integridad. Uno de los impactos ponderados más altos de los datos de Common
Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS). Las
enumeraciones de debilidades comunes (CWE) notables incluyen (OWASP Top 10,
2021):
 CWE-829: Inclusión de funcionalidad de esfera de control no confiable

 CWE-494: Descarga de código sin verificación de integridad

 CWE-502: Deserialización de datos no confiables
Registro de seguridad y fallas de monitoreo (Security Logging and Monitoring Failures)
El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando

entrevistas o preguntando si se detectaron ataques durante una prueba de penetración.
No hay muchos datos CVE/CVSS para esta categoría, pero es fundamental detectar y
responder a las infracciones. Aun así, puede tener un gran impacto para la rendición de
cuentas, la visibilidad, las alertas de incidentes y el análisis forense. Esta categoría se
expande más allá (OWASP Top 10, 2021):
 CWE-778 Registro insuficiente para incluir

 CWE-117 Neutralización de salida inadecuada para registros
 CWE-223 Omisión de información relevante para la seguridad
 CWE-532 Inserción de información confidencial en el archivo de registro
Falsificación de solicitud del lado del servidor (Server-Side Request Forgery (SSRF))
El atacante puede abusar de la funcionalidad en el servidor para leer o actualizar los

recursos internos. El atacante puede proporcionar o modificar una URL a la que el código
que se ejecuta en el servidor leerá o enviará datos y, al seleccionar cuidadosamente las
URL, el atacante puede leer la configuración del servidor, como los metadatos de AWS,
conectarse a servicios internos como http habilitado. bases de datos o realizar
solicitudes de correos hacia servicios internos que no están destinados a ser expuestos
(Foundation, 2017).

2.3 Subtema 3: Metodología de Ataque

Control de acceso roto (Broken Access Control)
El control de acceso aplica una política tal que los usuarios no pueden actuar fuera de
sus permisos previstos. Las fallas generalmente conducen a la divulgación, modificación
o destrucción no autorizada de todos los datos. Las vulnerabilidades comunes de control
de acceso incluyen (OWASP Top 10, 2021):
 Violación del principio de privilegio mínimo o denegación predeterminada,

donde el acceso solo debe otorgarse para capacidades, roles o usuarios
particulares, pero está disponible para cualquier persona.
 Eludir las comprobaciones de control de acceso mediante la modificación de la
URL (alteración de parámetros o navegación forzada), el estado interno de la
aplicación o la página HTML, o mediante el uso de una herramienta de ataque
que modifica las solicitudes de API.
 Permitir ver o editar la cuenta de otra persona, al proporcionar su identificador
único (referencias de objetos directos inseguros)
 Elevación de privilegio. Actuar como usuario sin haber iniciado sesión o actuar
como administrador cuando se ha iniciado sesión como usuario.
 Manipulación de metadatos, como la reproducción o manipulación de un token
de control de acceso JSON Web Token (JWT), o una cookie o un campo oculto
manipulado para elevar los privilegios o abusar de la invalidación de JWT.
 Forzar la navegación a páginas autenticadas como usuario no autenticado o a
páginas privilegiadas como usuario estándar.
¿Cómo prevenir?
 Los controles de acceso al modelo deben imponer la propiedad de los registros

en lugar de aceptar que el usuario pueda crear, leer, actualizar o eliminar
cualquier registro.
 Los modelos de dominio deben hacer cumplir los requisitos de límite comercial
de aplicaciones únicas.

 Deshabilite la lista de directorios del servidor web y asegúrese de que los

metadatos de los archivos de copia de seguridad no estén presentes en las raíces
web.
 Registrar fallas de control de acceso, alertar a los administradores cuando sea
apropiado (por ejemplo, fallas repetidas).
 Los identificadores de sesión con estado deben invalidarse en el servidor
después de cerrar la sesión.
Fallas criptográficas (Cryptographic Failures)
Lo primero es determinar las necesidades de protección de los datos en tránsito y en

reposo. Por ejemplo, las contraseñas, los números de tarjetas de crédito, los registros
médicos, la información personal y los secretos comerciales requieren protección
adicional, principalmente si esos datos están sujetos a las leyes de privacidad, por
ejemplo, el Reglamento General de Protección de Datos (GDPR) de la UE, o regulaciones,
por ejemplo, la protección de datos financieros. como el estándar de seguridad de datos
PCI (PCI DSS). Para todos estos datos (OWASP Top 10, 2021):
 ¿Se transmite algún dato en texto claro? Esto se refiere a protocolos como HTTP,
SMTP, FTP que también usan actualizaciones de TLS como STARTTLS. El tráfico
de Internet externo es peligroso. Verifique todo el tráfico interno, por ejemplo,
entre balanceadores de carga, servidores web o sistemas back-end.
 ¿Se utilizan protocolos o algoritmos criptográficos antiguos o débiles de forma
predeterminada o en código antiguo?
 ¿Están en uso las claves criptográficas predeterminadas, se generan o reutilizan
claves criptográficas débiles, o falta una gestión o rotación de claves adecuada?

¿Se registran las claves criptográficas en los repositorios de código fuente?
 ¿No se aplica el cifrado, por ejemplo, faltan directivas de seguridad o
encabezados de encabezados HTTP (navegador)?
 ¿El certificado del servidor recibido y la cadena de confianza están debidamente
validados?
 ¿Se utilizan funciones hash en desuso, como MD5 o SHA1, o se utilizan funciones
hash no criptográficas cuando se necesitan funciones hash criptográficas?

¿Cómo prevenir?
 Clasificar los datos procesados, almacenados o transmitidos por una aplicación.

Identifique qué datos son confidenciales de acuerdo con las leyes de privacidad,
los requisitos reglamentarios o las necesidades comerciales.
 Asegúrese de que se implementen algoritmos, protocolos y claves estándar
sólidos y actualizados; utilizar una gestión de claves adecuada.
 Deshabilite el almacenamiento en caché para las respuestas que contienen datos
confidenciales.
 No utilice protocolos heredados como FTP y SMTP para transportar datos
confidenciales.
 Almacene contraseñas utilizando funciones de hashing con un factor de trabajo
(factor de demora), como Argon2, scrypt, bcrypt o PBKDF2.
 Evite las funciones criptográficas obsoletas y los esquemas de relleno, como
MD5, SHA1, PKCS número 1 v1.5.
Inyección (Injection)
Los atacantes inyectan códigos, comandos o secuencias de comandos maliciosos en las

puertas de entrada de las aplicaciones web defectuosas, de modo que las aplicaciones
interpretan y ejecutan la entrada maliciosa recién suministrada, lo que a su vez les
permite extraer información confidencial. Al explotar las fallas de inyección en las
aplicaciones web, los atacantes pueden leer, escribir, eliminar y actualizar fácilmente
cualquier dato (es decir, relevante o irrelevante para esa aplicación en particular). Hay
muchos tipos de defectos de inyección, algunos de los cuales se analizan a continuación
(EC-Council, 2020):
 Inyección SQL: la inyección SQL es la vulnerabilidad de sitios web más común en

Internet y se utiliza para aprovechar las vulnerabilidades de entrada no validadas
para pasar comandos SQL a través de una aplicación web para que los ejecute
una base de datos de back-end. En esta técnica, el atacante inyecta consultas
SQL maliciosas en el formulario de entrada del usuario para obtener acceso no

autorizado a una base de datos o para recuperar información directamente de la

base de datos (EC-Council, 2020).
 Inyección de comandos: los atacantes identifican una falla de validación de
entrada en una aplicación y aprovechan la vulnerabilidad inyectando un
comando malicioso en la aplicación para ejecutar comandos arbitrarios
proporcionados en el sistema operativo host. Por lo tanto, tales fallas son
extremadamente peligrosas (EC-Council, 2020).
 Inyección LDAP: la inyección LDAP es un método de ataque en el que los sitios
web que construyen declaraciones LDAP a partir de la entrada proporcionada
por el usuario se explotan para lanzar ataques. Cuando una aplicación no puede
desinfectar la entrada del usuario, el atacante modifica la declaración LDAP con
la ayuda de un proxy local. Esto, a su vez, da como resultado la ejecución de
comandos arbitrarios, como otorgar acceso a consultas no autorizadas y alterar
el contenido dentro del árbol LDAP (EC-Council, 2020).
¿Cómo prevenir?
 La opción preferida es usar una API segura, que evita usar el intérprete por
completo, proporciona una interfaz parametrizada o migra a herramientas de
mapeo relacional de objetos (ORM).
 Utilice una validación de entrada positiva del lado del servidor. Esta no es una
defensa completa ya que muchas aplicaciones requieren caracteres especiales,
como áreas de texto o API para aplicaciones móviles.
 Para cualquier consulta dinámica residual, escape los caracteres especiales
usando la sintaxis de escape específica para ese intérprete.

 Utilice LIMIT y otros controles de SQL dentro de las consultas para evitar la
divulgación masiva de registros en caso de inyección de SQL.
Configuración incorrecta de seguridad (Security Misconfiguration)
Los desarrolladores y administradores de red deben asegurarse de que toda la pila de

aplicaciones esté configurada correctamente; de lo contrario, la configuración
incorrecta de la seguridad puede ocurrir en cualquier nivel de la pila, incluida su

plataforma, servidor web, servidor de aplicaciones, marco y código personalizado. Por

ejemplo, si el administrador no configura el servidor correctamente, podría generar
varios problemas que pueden afectar la seguridad del sitio. Los problemas que conducen
a tales instancias incluyen entradas no validadas, alteración de parámetros/formularios,
manejo inadecuado de errores, protección insuficiente de la capa de transporte, etc (EC-
Council, 2020).
La aplicación podría ser vulnerable si no se tiene en cuenta lo siguiente:
 Se habilitan o instalan funciones innecesarias (p. ej., puertos, servicios, páginas,

cuentas o privilegios innecesarios).
 Las cuentas predeterminadas y sus contraseñas aún están habilitadas y sin
cambios.
 El manejo de errores revela rastros de pila u otros mensajes de error demasiado
informativos para los usuarios.
 Para los sistemas actualizados, las funciones de seguridad más recientes están
deshabilitadas o no configuradas de forma segura.
 El servidor no envía encabezados o directivas de seguridad, o no están
configurados en valores seguros.
 El software está desactualizado o es vulnerable.
¿Cómo prevenir?
 Un proceso de endurecimiento repetible hace que sea rápido y fácil

implementar otro entorno que esté debidamente bloqueado. Los entornos
de desarrollo, control de calidad y producción deben configurarse de manera

idéntica, con diferentes credenciales utilizadas en cada entorno. Este
proceso debe automatizarse para minimizar el esfuerzo requerido para
configurar un nuevo entorno seguro.
 Una plataforma mínima sin características, componentes, documentación ni
muestras innecesarias. Elimine o no instale características y marcos no
utilizados.

 Una tarea para revisar y actualizar las configuraciones correspondientes a

todas las notas de seguridad, actualizaciones y parches como parte del
proceso de administración de parches.
 Envío de directivas de seguridad a los clientes, por ejemplo, encabezados de
seguridad.
 Un proceso automatizado para verificar la eficacia de las configuraciones y ajustes
en todos los entornos.

2.4 Subtema 4: Problemas de Seguridad

Otras amenazas de aplicaciones web
Las amenazas de aplicaciones web no se limitan a ataques basados en URL y puerto 80.
A pesar de usar puertos, protocolos y capas OSI, los proveedores deben proteger la
integridad de las aplicaciones de misión crítica de posibles ataques futuros al poder lidiar
con todos los métodos de ataque. Los diversos tipos de amenazas de aplicaciones web
son los siguientes (EC-Council, 2020):
Recorrido de directorio (Directory Traversal)
Los atacantes explotan HTTP mediante el cruce de directorios, lo que les da acceso a
directorios restringidos; ejecutan comandos fuera del directorio raíz del servidor web
(EC-Council, 2020).
Redireccionamientos y reenvíos no validados (Unvalidated Redirects and Forwards)
Los atacantes atraen a las víctimas para que hagan clic en enlaces no validados que
parecen ser legítimos. Dichos redireccionamientos pueden intentar instalar malware o
engañar a las víctimas para que revelen contraseñas u otra información confidencial. Los
reenvíos inseguros pueden permitir la omisión del control de acceso, lo que lleva a (EC-
Council, 2020):
1. Ataque de fijación de sesión

2. Exploits de gestión de seguridad
3. Error al restringir el acceso a la URL
4. Ejecución de archivos maliciosos
Watering Hole Attack
Es un tipo de ataque de redireccionamiento no validado en el que el atacante primero

identifica el sitio web más visitado del objetivo, determina las vulnerabilidades en el sitio
web, inyecta código malicioso en la aplicación web vulnerable y luego espera a que la
víctima navegue por el sitio web. Una vez que la víctima intenta acceder al sitio web, el
código malicioso se ejecuta e infecta a la víctima (EC-Council, 2020).

Falsificación de solicitud entre sitios (Cross-Site Request Forgery)
El método de falsificación de solicitudes entre sitios es un tipo de ataque en el que se

hace que un usuario autenticado realice ciertas tareas en la aplicación web que elige un
atacante, por ejemplo, un usuario que hace clic en un enlace particular enviado a través
de un correo electrónico o chat (EC-Council, 2020).
Envenenamiento por cookies/sesión (Cookie/Session Poisoning)
Al cambiar la información dentro de una cookie, los atacantes eluden el proceso de

autenticación. Una vez que obtienen el control de una red, pueden modificar su
contenido, usar el sistema para un ataque malicioso o robar información de los sistemas
de los usuarios (EC-Council, 2020).
Ataques a servicios web (Web Service Attacks)
Un atacante puede ingresar a la aplicación web de destino explotando una aplicación

integrada con servicios web vulnerables. Un atacante inyecta un script malicioso en un
servicio web y luego puede revelar y modificar los datos de la aplicación (EC-Council,
2020).
Espionaje de cookies (Cookie Snooping)
Los atacantes utilizan la indagación de cookies en los sistemas de las víctimas para
analizar los hábitos de navegación de los usuarios y vender esa información a otros
atacantes o para lanzar varios ataques a las aplicaciones web de las víctimas (EC-Council,
2020).
Manipulación de campos ocultos (Hidden Field Manipulation)
Los atacantes que intentan comprometer los sitios web de comercio electrónico realizan
principalmente este tipo de ataques. Manipulan campos ocultos y cambian los datos
almacenados en ellos. Varias tiendas en línea enfrentan este tipo de problemas todos
los días. Los atacantes pueden alterar los precios y concluir transacciones, designando
precios de su elección (EC-Council, 2020).

Secuestro de autenticación (Authentication Hijacking)
Para autenticar a un usuario, cada aplicación web emplea un método de identificación

de usuario, como una identificación y una contraseña. Sin embargo, una vez que los
atacantes comprometen un sistema, pueden realizar varias actividades maliciosas,
como el secuestro de sesiones y la suplantación de identidad del usuario (EC-Council,
2020).
Denegación de servicio (DoS) (Denial-of-Service)
Un ataque DoS es un ataque a la disponibilidad de un servicio, que reduce, restringe o

impide el acceso a los recursos del sistema por parte de sus usuarios legítimos. Por
ejemplo, es posible que un sitio web relacionado con un servicio bancario o de correo
electrónico no funcione durante algunas horas o incluso días, lo que resulta en una
pérdida de tiempo y dinero (EC-Council, 2020).

3. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 4: Hacking Ético
Objetivo
Proporcionar una descripción general del hacking ético, por qué el hacking ético es
necesario, el alcance y las limitaciones del hacking ético y las habilidades de un hacker
ético.
Introducción
El hacking ético es la práctica de emplear habilidades informáticas y de redes para

ayudar a las organizaciones a probar la seguridad de su red en busca de posibles lagunas
y vulnerabilidades. White Hats (también conocidos como analistas de seguridad o
hackers éticos) son las personas o expertos que realizan hacking ético. Hoy en día, la
mayoría de las organizaciones (como empresas privadas, universidades y organizaciones
gubernamentales) están contratando a White Hats para que les ayuden a mejorar su
ciberseguridad (EC-Council, 2020).
Realizan piratería de manera ética, con el permiso del propietario de la red o del sistema
y sin la intención de causar daño. Los piratas informáticos éticos informan todas las
vulnerabilidades al sistema y al propietario de la red para su reparación, lo que aumenta
la seguridad del sistema de información de una organización. La piratería ética implica

el uso de herramientas, trucos y técnicas de piratería que suele utilizar un atacante para
verificar la existencia de vulnerabilidades explotables en la seguridad del sistema (EC-
Council, 2020).
Un hacker ético sigue procesos similares a los de un hacker malicioso. Los pasos para
obtener y mantener el acceso a un sistema informático son similares,
independientemente de las intenciones del hacker.

4. Informacion de los subtemas

4.1 Subtema 1: Introducción
Las empresas recurren a hacker éticos para identificar vulnerabilidades en sus
sistemas. Desde el punto de vista del probador de penetración, no hay
inconveniente: si piratea más allá de las defensas actuales, le ha dado al cliente la
oportunidad de cerrar el agujero antes de que un atacante lo descubra. Si no
encuentra nada, su cliente está aún más feliz porque ahora puede declarar que sus
sistemas son "lo suficientemente seguros como para que ni siquiera los piratas
informáticos pagados puedan acceder a ellos" (Conteh, 2021).
Los activos más valiosos que poseen las empresas son los activos intelectuales y, por
lo tanto, deben protegerse de amenazas externas y fortalecerse para eliminar todas
las vulnerabilidades potenciales que pueden causar ataques a las redes de la
empresa.
¿Quién es un hacker?
Un hacker es una persona que irrumpe en un sistema o red sin autorización para
destruir, robar datos confidenciales o realizar ataques maliciosos. Un hacker es una
persona inteligente con excelentes habilidades informáticas, junto con la capacidad
de crear y explorar el software y el hardware de la computadora. Por lo general, un
hacker es un ingeniero o programador calificado con suficiente conocimiento para
descubrir vulnerabilidades en un sistema de destino. Por lo general, tienen
experiencia en la materia y disfrutan aprendiendo los detalles de varios lenguajes de

programación y sistemas informáticos (EC-Council, 2020).
Para algunos hackers, piratear es un pasatiempo para ver cuántas computadoras o

redes pueden comprometer. Su intención puede ser obtener conocimiento o hurgar
para hacer cosas ilegales. Algunos piratean con intenciones maliciosas detrás de sus
escapadas, como robar datos comerciales, información de tarjetas de crédito,
números de seguro social y contraseñas de correo electrónico (EC-Council, 2020).

Clases de hackers
Los hackers suelen pertenecer a una de las siguientes categorías, según sus
actividades:
Sombreros negros (Black Hats): son personas que utilizan sus extraordinarias
habilidades informáticas con fines ilegales o maliciosos. Esta categoría de piratas
informáticos suele estar involucrada en actividades delictivas. También se conocen
como galletas saladas (EC-Council, 2020).
Sombreros blancos (White Hats): son personas que usan sus habilidades de piratería
con fines defensivos. En estos días, casi todas las organizaciones tienen analistas de
seguridad que conocen las contramedidas de piratería, lo que puede proteger su red
y sus sistemas de información contra ataques maliciosos. Tienen permiso del
propietario del sistema (EC-Council, 2020).
Sombreros grises (Gray Hats): son las personas que trabajan tanto a la ofensiva
como a la defensiva en varios momentos. Los sombreros grises pueden ayudar a los
piratas informáticos a encontrar varias vulnerabilidades en un sistema o red y, al
mismo tiempo, ayudar a los proveedores a mejorar los productos (software o
hardware) comprobando las limitaciones y haciéndolos más seguros (EC-Council,
2020).
Hackers suicidas (Suicide Hackers): son personas que tienen como objetivo derribar
infraestructura crítica por una "causa" y no les preocupa enfrentar penas de cárcel
o cualquier otro tipo de castigo. Los hackers suicidas son similares a los terroristas
suicidas que sacrifican su vida por un ataque y, por lo tanto, no les preocupan las
consecuencias de sus acciones (EC-Council, 2020).
Script Kiddies: son hackers no calificados que comprometen los sistemas al ejecutar
scripts, herramientas y software desarrollados por piratas informáticos reales.
Suelen centrarse en la cantidad más que en la calidad de los ataques que inician (EC-
Council, 2020).

Ciberterroristas (Cyber Terrorists): son individuos con una amplia gama de

habilidades, motivados por creencias religiosas o políticas, para generar temor a una
interrupción a gran escala de las redes informáticas (EC-Council, 2020).
Piratas informáticos patrocinados por el estado (State-Sponsored Hackers): son

individuos empleados por el gobierno para penetrar, obtener información
ultrasecreta y dañar los sistemas de información de otros gobiernos (EC-Council,
2020).
Hacktivist: Hacktivismo es cuando los hackers irrumpen en los sistemas informáticos

gubernamentales o corporativos como un acto de protesta. Los hacktivistas utilizan
la piratería para aumentar la conciencia de sus agendas sociales o políticas, así como
para impulsar su propia reputación tanto en el ámbito en línea como fuera de línea.
Son personas que usan la piratería para promover una agenda política,
especialmente al desfigurar o deshabilitar sitios web (EC-Council, 2020).
Los objetivos comunes de los hacktivistas incluyen agencias gubernamentales,

corporaciones multinacionales y cualquier otra entidad que perciban como una
amenaza. Independientemente de las intenciones de los hacktivistas, obtener
acceso no autorizado es un delito (EC-Council, 2020).

4.2 Subtema 2: Fases

En general hay cinco fases:
Figura 2. Fases del Hacking Ético
Reconocimiento
Escaneo y
enumeración
Fases
Obtener acceso
Hacking Ético
Mantener
acceso
Limpiar rastro
Nota: Elaboración propia.
FASE 1: Reconocimiento
El reconocimiento se refiere a la fase preparatoria en la que un atacante recopila la

mayor cantidad de información posible sobre el objetivo antes de lanzar el ataque.
En esta fase, el atacante recurre a la inteligencia competitiva para aprender más
sobre el objetivo. Podría ser el futuro punto de retorno, conocido por la facilidad de
entrada para un ataque cuando se conoce más sobre el objetivo a gran escala. El
rango objetivo de reconocimiento puede incluir los clientes, empleados,

operaciones, redes y sistemas de la organización objetivo (EC-Council, 2020).
Esta fase permite a los atacantes planificar el ataque. Puede llevar algo de tiempo
mientras el atacante recopila la mayor cantidad de información posible. Parte de
este reconocimiento puede implicar ingeniería social. Un ingeniero social es una
persona que convence a las personas para que revelen información como números
de teléfono no listados, contraseñas y otra información confidencial. Por ejemplo, el

hacker podría llamar al proveedor de servicios de Internet del objetivo y, utilizando

la información personal obtenida previamente, convencer al representante de
servicio al cliente de que el hacker es realmente el objetivo y, al hacerlo, obtener
aún más información sobre el objetivo (EC-Council, 2020).
Tipos de reconocimiento
Las técnicas de reconocimiento se clasifican ampliamente en activas y pasivas.

Cuando un atacante utiliza técnicas de reconocimiento pasivo, no interactúa
directamente con el objetivo. En cambio, el atacante se basa en información
disponible públicamente, comunicados de prensa u otros métodos sin contacto (EC-
Council, 2020).
Las técnicas de reconocimiento activo, por otro lado, implican interacciones directas
con el sistema de destino mediante el uso de herramientas para detectar puertos
abiertos, hosts accesibles, ubicaciones de enrutadores, mapeo de redes, detalles de
sistemas operativos y aplicaciones. Los atacantes utilizan el reconocimiento activo
cuando existe una baja probabilidad de detección de estas actividades (EC-Council,
2020).
Como hacker ético, es importante poder distinguir entre los diversos métodos de
reconocimiento y recomendar medidas preventivas a la luz de las amenazas
potenciales. Las empresas, por su parte, deben abordar la seguridad como parte
integral de sus estrategias comerciales y operativas, y estar equipadas con las
políticas y procedimientos adecuados para detectar posibles vulnerabilidades (EC-
Council, 2020).
FASE 2: Escaneo y enumeración
Es la fase inmediatamente anterior al ataque. Aquí, el atacante usa los detalles

recopilados durante el reconocimiento para escanear la red en busca de información
específica. El escaneo es una extensión lógica del reconocimiento activo y, de hecho,
algunos expertos no diferencian el escaneo del reconocimiento activo. Sin embargo,
existe una ligera diferencia, ya que el análisis implica un sondeo más profundo por

parte del atacante. A menudo, las fases de reconocimiento y exploración se

superponen y no siempre es posible separarlas. Un atacante puede recopilar
información crítica de la red, como el mapeo de sistemas, enrutadores y firewalls,
utilizando herramientas simples como la utilidad estándar de Windows Traceroute.
Alternativamente, pueden usar herramientas como Cheops para agregar
información adicional a los resultados de Traceroute (EC-Council, 2020).
El escaneo puede incluir el uso de marcadores, escáneres de puertos, mapeadores

de red, herramientas de ping, escáneres de vulnerabilidades u otras herramientas.
Los atacantes extraen información como máquinas en vivo, puerto, estado del
puerto, detalles del sistema operativo, tipo de dispositivo y tiempo de actividad del
sistema para lanzar un ataque. Las organizaciones que utilizan sistemas de detección
de intrusos aún deben permanecer alerta porque los atacantes pueden y utilizarán
técnicas de evasión siempre que sea posible (EC-Council, 2020).
FASE 3: Obtener acceso
Esta es la fase en la que se produce el verdadero hackeo. Los atacantes utilizan las
vulnerabilidades identificadas durante las fases de reconocimiento y exploración
para obtener acceso al sistema y la red de destino. Obtener acceso se refiere al
punto en el que el atacante obtiene acceso al sistema operativo o a las aplicaciones
en la computadora o la red. El atacante puede obtener acceso al sistema operativo,
la aplicación o el nivel de red. Aunque los atacantes pueden causar muchos daños
sin tener acceso al sistema, el impacto del acceso no autorizado es catastrófico. Por
ejemplo, los ataques externos de denegación de servicio pueden agotar los recursos
o impedir que los servicios se ejecuten en el sistema de destino. Los procesos de

finalización pueden detener un servicio, usando una bomba lógica o una bomba de
tiempo, o incluso reconfigurar y bloquear el sistema. Además, los atacantes pueden
agotar los recursos del sistema y de la red al consumir todos los enlaces de
comunicación salientes (EC-Council, 2020).
Los atacantes obtienen acceso al sistema de destino localmente (fuera de línea), a

través de una LAN o Internet. Los ejemplos incluyen descifrado de contraseñas,
desbordamientos de búfer basados en pilas, denegación de servicio y secuestro de

sesiones. Usando una técnica llamada suplantación de identidad para explotar el

sistema haciéndose pasar por un usuario legítimo o un sistema diferente, los
atacantes pueden enviar un paquete de datos que contiene un error al sistema de
destino para explotar una vulnerabilidad. La inundación de paquetes también
interrumpe la disponibilidad de los servicios esenciales. Los ataques Smurf intentan
hacer que los usuarios de una red se inunden entre sí con datos, haciendo que
parezca que todos se están atacando entre sí y dejando al hacker en el anonimato
(EC-Council, 2020).
Las posibilidades de que un hacker obtenga acceso a un sistema de destino

dependen de varios factores, como la arquitectura y la configuración del sistema de
destino, el nivel de habilidad del perpetrador y el nivel inicial de acceso obtenido.
Una vez que un atacante obtiene acceso al sistema de destino, intenta aumentar los
privilegios para tomar el control completo. En el proceso, también comprometen los
sistemas intermedios que están conectados a él (EC-Council, 2020).
FASE 4: Mantener acceso
Se refiere a la fase en la que el atacante intenta conservar su propiedad sobre el

sistema. Una vez que un atacante obtiene acceso al sistema de destino con
privilegios de administrador o root (por lo tanto, posee el sistema), puede usar tanto
el sistema como sus recursos a voluntad. El atacante puede usar el sistema como
plataforma de lanzamiento para escanear y explotar otros sistemas o para mantener
un perfil bajo y continuar con su explotación. Ambas acciones pueden causar una
gran cantidad de daño. Por ejemplo, el hacker podría implementar un sniffer para
capturar todo el tráfico de la red, incluidas las sesiones de Telnet y FTP (protocolo
de transferencia de archivos) con otros sistemas, y luego transmitir esos datos donde
quiera (EC-Council, 2020).
Los atacantes que eligen permanecer sin ser detectados eliminan la evidencia de su
entrada e instalan una puerta trasera o un troyano para obtener acceso repetido.
También pueden instalar rootkits a nivel de kernel para obtener acceso
administrativo completo a la computadora de destino. Los rootkits obtienen acceso
al nivel del sistema operativo, mientras que los troyanos obtienen acceso al nivel de

la aplicación. Tanto los rootkits como los troyanos requieren que los usuarios los
instalen localmente. En los sistemas Windows, la mayoría de los troyanos se instalan
como un servicio y se ejecutan como parte del sistema local con acceso
administrativo (EC-Council, 2020).
Los atacantes pueden cargar, descargar o manipular datos, aplicaciones y

configuraciones en el sistema de su propiedad y también pueden usar troyanos para
transferir nombres de usuario, contraseñas y cualquier otra información almacenada
en el sistema. Pueden mantener el control sobre el sistema durante mucho tiempo
cerrando las vulnerabilidades para evitar que otros hackers tomen el control de ellos
y, a veces, en el proceso, brindan cierto grado de protección al sistema contra otros
ataques. Los atacantes usan el sistema comprometido para lanzar más ataques (EC-
Council, 2020).
FASE 5: Limpiar rastro
Por razones obvias, como evitar problemas legales y mantener el acceso, los
atacantes generalmente intentarán borrar todas las pruebas de sus acciones. Borrar
pistas se refiere a las actividades realizadas por un atacante para ocultar actos
maliciosos. Las intenciones del atacante incluyen el acceso continuo al sistema de la
víctima, pasar desapercibido y sin ser detectado, y eliminar evidencia que podría
conducir a su propio enjuiciamiento. Utilizan utilidades como PsTools
(https://docs.microsoft.com), Netcat o troyanos para borrar sus huellas de los
archivos de registro del sistema. Una vez que los troyanos están en su lugar, lo más
probable es que el atacante haya obtenido el control total del sistema y pueda
ejecutar secuencias de comandos en el troyano o rootkit para reemplazar el sistema

crítico y los archivos de registro para ocultar su presencia en el sistema. Los
atacantes siempre cubren sus huellas para ocultar su identidad (EC-Council, 2020).
Los administradores de sistemas pueden implementar IDS (sistemas de detección de

intrusos) basados en host y software antivirus para detectar troyanos y otros
archivos y directorios aparentemente comprometidos. Un hacker ético debe
conocer las herramientas y técnicas que implementan los atacantes para que

puedan defender e implementar las contramedidas que se detallan en los módulos

posteriores (EC-Council, 2020).

4.3 Subtema 3: Gestión de Riesgos

La gestión de riesgos es el proceso de identificar, evaluar, responder e implementar las
actividades que controlan cómo la organización gestiona los efectos potenciales del
riesgo. Tiene un lugar destacado en todo el ciclo de vida de la seguridad y es un proceso
complejo continuo y cada vez mayor. Los tipos de riesgos varían de una organización a
otra, pero el acto de preparar un plan de gestión de riesgos es común a todas las
organizaciones (EC-Council, 2020).
Objetivos de gestión de riesgos
 Identificar riesgos potenciales: este es el principal objetivo de la gestión de

riesgos.
 Identificar el impacto de los riesgos y ayudar a la organización a desarrollar
mejores estrategias y planes de gestión de riesgos Priorizar los riesgos, según el
impacto o la gravedad del riesgo, y utilizar métodos, herramientas y técnicas de
gestión de riesgos establecidos para ayudar en esta tarea Comprender y analizar
los riesgos y reportar los eventos de riesgo identificados.
 Controlar el riesgo y mitigar su efecto.
 Crear conciencia entre el personal de seguridad y desarrollar estrategias y planes
para estrategias duraderas de gestión de riesgos.
La gestión de riesgos es un proceso continúo realizado mediante el logro de objetivos

en cada fase. Ayuda a reducir y mantener el riesgo a un nivel aceptable utilizando un
programa de seguridad bien definido y empleado activamente. Este proceso se aplica
en todas las etapas de la organización, por ejemplo, en ubicaciones específicas de la red,

tanto en contextos estratégicos como operativos (EC-Council, 2020).
Los cuatro pasos clave comúnmente denominados como fases de gestión de riesgos son:
1. Identificación de riesgo
2. Evaluación de riesgos
3. Tratamiento de riesgos
4. Seguimiento y revisión de riesgos

4.4 Subtema 4: Leyes y Estándares de Seguridad de la

Información
Las leyes son un sistema de reglas y pautas que un país o una comunidad en particular
aplican para gobernar el comportamiento. Una norma es un “documento establecido
por consenso y aprobado por un organismo reconocido que establece, para uso común
y reiterado, reglas, lineamientos o características para las actividades o sus resultados,
encaminadas a lograr el grado óptimo de orden en un contexto determinado.” (EC-
Council, 2020)
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un

estándar de seguridad de la información patentado para organizaciones que manejan
información de titulares de tarjetas para las principales tarjetas de débito, crédito,
prepago, monedero electrónico, cajero automático y POS. Este estándar ofrece
estándares sólidos y completos y materiales de apoyo para mejorar la seguridad de los
datos de las tarjetas de pago. Estos materiales incluyen un marco de especificaciones,
herramientas, medidas y recursos de soporte para ayudar a las organizaciones a
garantizar el manejo seguro de la información del titular de la tarjeta. (PCI Security,
2020).
ISO/CEI 27001
Especifica los requisitos para establecer, implementar, mantener y mejorar

continuamente un sistema de gestión de seguridad de la información dentro del
contexto de una organización. Incluye requisitos para la evaluación y el tratamiento de

los riesgos de seguridad de la información adaptados a las necesidades de la
organización (ISO, 2021).
El reglamento está destinado a ser adecuado para varios usos diferentes, que incluyen:
 Uso dentro de las organizaciones para formular requisitos y objetivos de

seguridad.

 Úselo dentro de las organizaciones como una forma de garantizar que los riesgos
de seguridad se gestionen de manera rentable. Úselo dentro de las
organizaciones para garantizar el cumplimiento de las leyes y los reglamentos.
 Definición de nuevos procesos de gestión de la seguridad de la información
 Identificar y aclarar los procesos de gestión de la seguridad de la información
existentes
Uso por parte de la dirección de las organizaciones para determinar el estado de las
actividades de gestión de la seguridad de la información Implementación de la
seguridad de la información que facilita el negocio.

5. Preguntas de Comprension de la
Unidad 1
1. Pregunta de comprensión Nro. 1
¿En qué fase dentro del marco de hacking ético se modifica o elimina la información
de registro?
A. Escaneo y enumeración
B. Obtener acceso
C. Mantener acceso
D. Limpiar rastro

Un atacante está realizando lo siguiente en una máquina destino: nmap -sT
192.168.100.5 ¿En qué fase está el atacante?
A. Limpiar rastro
B. Mantener acceso
C. Escaneo y enumeración
D. Obtener acceso

¿Cuál es el valor TTL predeterminado para el sistema operativo Microsoft Windows
10?
A. 64
B. 128
C. 255
D. 256

¿Cuál de las siguientes contraseñas es más segura?
A. clavesegura
B. pass123!
C. Cl@v3
D. M1Cl@v3s3gur4*!

¿Qué compilación de sistema operativo proporciona un conjunto de herramientas para fines
ofensivos en la red (atacar a su objetivo)?
A. Kali Linux
B. Windows Server 2012 R2

C. FreeBSD
D. Security Onion

6. Bibliografía
» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and
Beyond. Sixth Edition ed. New York: McGraw Hill.
» Conteh, N. Y., 2021. Ethical Hacking Techniques and Countermeasures for

Cybercrime Prevention. Hershey: IGI Global.
» EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
» Foundation, O., 2017. OWASP: The Open Web Application Security Project.
s.l.:OWASP Foundation.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security
Principles, Algorithm, Applications, and Perspectives. Boca Raton: Taylor &
Francis Group, LLC.
» ISO, 2021. ISO Estándares. [En línea]

Available at: https://www.iso.org/isoiec-27001-information-security.html
[Último acceso: 15 05 2022].
» OWASP Top 10, 2021. OWASP Top 10:2021. [En línea]

Available at: https://owasp.org/Top10/A01_2021-Broken_Access_Control/
» PCI Security, 2020. PCI Security Standards Council. [En línea]

Available at: https://www.pcisecuritystandards.org/privacy
» Rains, T., 2020. Cybersecurity Threats, Malware Trends, and Strategies.

Birmingham: Packt Publishing.
» Rasner, G. C., 2021. Cybersecurity and Third-Party Risk. Third Party Threat
Hunting ed. New Jersey: John Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New
Jersey: Pearson Education, Inc..


Archivologocompendio 20226916958

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Archivologocompendio 20226916958

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD INFORMÁTICA

Autor: Arevalo Cordovilla Felipe Emiliano

1. Unidad 1: Introducción a la Seguridad Informática .............................................. 3

2. Información de los subtemas............................................................................... 4

3. Unidad 1: Introducción a la Seguridad Informática ............................................ 21

4. Información de los subtemas............................................................................. 22

5. Preguntas de Comprensión de la Unidad 1 ........................................................ 34

El problema del software inseguro es quizás el desafío técnico más importante de

FORMATO CONTROLADO: FR0018/ v3.01 3

2. Informacion de los subtemas

El objetivo principal del proyecto OWASP Application Security Verification Standard

FORMATO CONTROLADO: FR0018/ v3.01 4

seguridad que tienen más probabilidades de ser descubiertos y explotados por un

FORMATO CONTROLADO: FR0018/ v3.01 5

2.2 Subtema 2: Principales Vulnerabilidades

Figura 1. Cambios de los 10 principales riesgos de seguridad de las aplicaciones web

Control de acceso roto (Broken Access Control)

El 94 % de las aplicaciones se probaron en busca de algún tipo de control de acceso roto

 CWE-200: Exposición de información confidencial a un actor no autorizado

FORMATO CONTROLADO: FR0018/ v3.01 6

Fallas criptográficas (Cryptographic Failures)

Anteriormente conocido como Exposición de datos confidenciales, que es más un

 CWE-259: Uso de contraseña codificada

Muchas aplicaciones web no protegen adecuadamente sus datos confidenciales de

Aunque los datos están encriptados, algunos métodos de encriptación criptográfica

FORMATO CONTROLADO: FR0018/ v3.01 7

 CWE-79: Cross-site Scripting

Las fallas de inyección son vulnerabilidades de aplicaciones web que permiten

Diseño inseguro (Insecure Design)

para los principios de Secure by Design. Las Enumeraciones de debilidades comunes

 CWE-209: Generación de mensaje de error que contiene información

FORMATO CONTROLADO: FR0018/ v3.01 8

Configuración incorrecta de seguridad (Security Misconfiguration)

el 90 % de las aplicaciones se probaron en busca de algún tipo de configuración

Componentes vulnerables y obsoletos (Vulnerable and Outdated Components)

 CWE-1104: uso de componentes de terceros no mantenidos

atacantes buscan vulnerabilidades en sitios de exploits como:

 Exploit Database (https://www.exploit-db.com)

Si se identifica un componente vulnerable, el atacante personaliza el exploit según sea

FORMATO CONTROLADO: FR0018/ v3.01 9

Fallas de identificación y autenticación (Identification and Authentication Failures)

Anteriormente conocida como Autenticación rota, y ahora incluye Enumeraciones de

 CWE-297: Validación incorrecta del certificado con discrepancia de host

En la actualidad, las aplicaciones web que implementan autenticaciones sólidas fallan

Fallas de integridad de software y datos (Software and Data Integrity Failures)

 CWE-829: Inclusión de funcionalidad de esfera de control no confiable

FORMATO CONTROLADO: FR0018/ v3.01 10

 CWE-502: Deserialización de datos no confiables

Registro de seguridad y fallas de monitoreo (Security Logging and Monitoring Failures)

El registro y el monitoreo pueden ser difíciles de probar, a menudo involucrando

 CWE-778 Registro insuficiente para incluir

El atacante puede abusar de la funcionalidad en el servidor para leer o actualizar los

FORMATO CONTROLADO: FR0018/ v3.01 11

2.3 Subtema 3: Metodología de Ataque

 Violación del principio de privilegio mínimo o denegación predeterminada,

 Los controles de acceso al modelo deben imponer la propiedad de los registros

FORMATO CONTROLADO: FR0018/ v3.01 12

 Deshabilite la lista de directorios del servidor web y asegúrese de que los

Fallas criptográficas (Cryptographic Failures)

Lo primero es determinar las necesidades de protección de los datos en tránsito y en

claves criptográficas débiles, o falta una gestión o rotación de claves adecuada?

FORMATO CONTROLADO: FR0018/ v3.01 13

 Clasificar los datos procesados, almacenados o transmitidos por una aplicación.