Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Archivologocompendio 20226916958
Archivologocompendio 20226916958
UNIDAD 1
Introducción a la Seguridad Informática
6. Bibliografía ........................................................................................................ 36
2
Unidad 1 l Introducción a la Seguridad Informática
1. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 3: OWASP (Open Web Application Security
Project)
Objetivo
Educar sobre las consecuencias de las debilidades más comunes y más importantes de
la seguridad de las aplicaciones web, proporcionando técnicas básicas para protegerse
contra estas áreas con problemas de riesgo alto, y proporcionando orientación sobre
cómo continuar desde allí.
Introducción
No hace falta decir que no puede crear una aplicación segura sin realizarle pruebas de
seguridad. Sin embargo, muchas organizaciones de desarrollo de software no incluyen
pruebas de seguridad como parte de su proceso de desarrollo de software estándar.
© Universidad Estatal de Milagro – UNEMI
Aun así, las pruebas de seguridad, por sí solas, no son una medida particularmente
buena de qué tan segura es una aplicación, porque hay un número infinito de formas en
que un atacante podría hacer que una aplicación se rompa, y simplemente no es posible
probarlos todos. Sin embargo, las pruebas de seguridad tienen el poder único de
convencer absolutamente a los detractores de que existe un problema. Por lo tanto, las
pruebas de seguridad han demostrado ser un ingrediente clave en cualquier
organización que necesite confiar en el software que produce o usa. En conjunto, las
guías de OWASP son un excelente comienzo para crear y mantener aplicaciones seguras.
Este proyecto ha estado en desarrollo durante muchos años. Con este proyecto, se
pretende ayudar a las personas a comprender qué, por qué, cuándo, dónde y cómo
probar sus aplicaciones web, y no solo proporcionar una simple lista de verificación o
prescripción de problemas que deben abordarse. El resultado de este proyecto es un
marco de prueba completo, a partir del cual otros pueden crear sus propios programas
de prueba o calificar los procesos de otras personas. El proyecto OWASP es un conjunto
de guías que proporciona una base para probar los controles técnicos de seguridad de
las aplicaciones web y también proporciona a los desarrolladores una lista de requisitos
para un desarrollo seguro (Foundation, 2017).
abierto comercialmente viable. El estándar proporciona una base para probar los
controles técnicos de seguridad de la aplicación, así como cualquier control técnico de
seguridad en el entorno, en el que se confía para proteger contra vulnerabilidades como
Cross-Site Scripting (XSS) e inyección SQL. Este estándar se puede utilizar para establecer
un nivel de confianza en la seguridad de las aplicaciones web (Foundation, 2017).
Hay un número infinito de formas posibles en que una aplicación puede fallar, y siempre
tiene tiempo y recursos de prueba limitados. Intente concentrarse en los agujeros de
Nota: EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through 4 ed. Albuquerque: EC-Council
Es muy importante considerar que medir y probar aplicaciones web es incluso más
crítico que para otro software, ya que las aplicaciones web están expuestas a millones
de usuarios a través de Internet.
El control de acceso se refiere a cómo una aplicación web otorga acceso para crear,
actualizar y eliminar cualquier registro/contenido o función a algunos usuarios
privilegiados mientras restringe el acceso a otros usuarios. El control de acceso roto es
un método en el que un atacante identifica una falla relacionada con el control de
acceso, pasa por alto la autenticación y luego compromete la red. Las debilidades del
control de acceso son comunes debido a la falta de detección automatizada y pruebas
funcionales efectivas por parte de los desarrolladores de aplicaciones. Permiten a los
atacantes actuar como usuarios o administradores con funciones privilegiadas y crear,
acceder, actualizar o eliminar cualquier registro (EC-Council, 2020).
Cuando una aplicación utiliza un código de cifrado mal escrito para cifrar y almacenar
datos confidenciales en la base de datos, el atacante puede explotar fácilmente esta
falla y robar o modificar datos confidenciales débilmente protegidos, como números de
tarjetas de crédito, SSN y otras credenciales de autenticación. Por lo tanto, pueden
lanzar más ataques como el robo de identidad y el fraude con tarjetas de crédito (EC-
Council, 2020).
Inyección (Injection)
El 94% de las aplicaciones se probaron para alguna forma de inyección con una tasa de
incidencia máxima del 19%, una tasa de incidencia promedio del 3% y 274000
ocurrencias. Las Enumeraciones de debilidades comunes (CWE) notables incluidas son
(OWASP Top 10, 2021):
Se centra en los riesgos relacionados con los defectos de diseño y arquitectura, con un
llamado a un mayor uso del modelado de amenazas, patrones de diseño seguro y
arquitecturas de referencia. Como comunidad, debemos ir más allá de "cambiar a la
izquierda" en el espacio de codificación para precodificar actividades que son críticas
© Universidad Estatal de Milagro – UNEMI
CWE-16: Configuración
CWE-611: Restricción incorrecta de la referencia de entidad externa XML.
Los componentes vulnerables son un problema conocido que luchamos para probar y
evaluar el riesgo y es la única categoría que no tiene vulnerabilidades y exposiciones
comunes (CVE) asignadas a los CWE incluidos, por lo que se utiliza un peso de
vulnerabilidad/impacto predeterminado de 5.0. Los CWE notables incluidos son
(OWASP Top 10, 2021):
Los componentes como las bibliotecas y los marcos que se utilizan en la mayoría de las
aplicaciones web siempre se ejecutan con todos los privilegios, y las fallas en cualquier
componente pueden tener graves consecuencias. Los atacantes pueden identificar
componentes débiles o dependencias escaneando o realizando un análisis manual. Los
© Universidad Estatal de Milagro – UNEMI
generalmente usa sitios de explotación para identificar las aplicaciones web o realiza un
análisis de vulnerabilidades utilizando herramientas como Nessus y GFI LanGuard para
identificar los componentes vulnerables existentes (EC-Council, 2020).
Una nueva categoría para 2021 se enfoca en hacer suposiciones relacionadas con
actualizaciones de software, datos críticos y canalizaciones de CI/CD sin verificar la
integridad. Uno de los impactos ponderados más altos de los datos de Common
Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS). Las
enumeraciones de debilidades comunes (CWE) notables incluyen (OWASP Top 10,
2021):
Falsificación de solicitud del lado del servidor (Server-Side Request Forgery (SSRF))
El control de acceso aplica una política tal que los usuarios no pueden actuar fuera de
sus permisos previstos. Las fallas generalmente conducen a la divulgación, modificación
o destrucción no autorizada de todos los datos. Las vulnerabilidades comunes de control
de acceso incluyen (OWASP Top 10, 2021):
¿Cómo prevenir?
¿Se transmite algún dato en texto claro? Esto se refiere a protocolos como HTTP,
SMTP, FTP que también usan actualizaciones de TLS como STARTTLS. El tráfico
de Internet externo es peligroso. Verifique todo el tráfico interno, por ejemplo,
entre balanceadores de carga, servidores web o sistemas back-end.
¿Se utilizan protocolos o algoritmos criptográficos antiguos o débiles de forma
predeterminada o en código antiguo?
¿Están en uso las claves criptográficas predeterminadas, se generan o reutilizan
© Universidad Estatal de Milagro – UNEMI
¿Cómo prevenir?
Inyección (Injection)
(EC-Council, 2020):
¿Cómo prevenir?
La opción preferida es usar una API segura, que evita usar el intérprete por
completo, proporciona una interfaz parametrizada o migra a herramientas de
mapeo relacional de objetos (ORM).
Utilice una validación de entrada positiva del lado del servidor. Esta no es una
defensa completa ya que muchas aplicaciones requieren caracteres especiales,
como áreas de texto o API para aplicaciones móviles.
Para cualquier consulta dinámica residual, escape los caracteres especiales
© Universidad Estatal de Milagro – UNEMI
¿Cómo prevenir?
Las amenazas de aplicaciones web no se limitan a ataques basados en URL y puerto 80.
A pesar de usar puertos, protocolos y capas OSI, los proveedores deben proteger la
integridad de las aplicaciones de misión crítica de posibles ataques futuros al poder lidiar
con todos los métodos de ataque. Los diversos tipos de amenazas de aplicaciones web
son los siguientes (EC-Council, 2020):
Los atacantes explotan HTTP mediante el cruce de directorios, lo que les da acceso a
directorios restringidos; ejecutan comandos fuera del directorio raíz del servidor web
(EC-Council, 2020).
Los atacantes atraen a las víctimas para que hagan clic en enlaces no validados que
parecen ser legítimos. Dichos redireccionamientos pueden intentar instalar malware o
engañar a las víctimas para que revelen contraseñas u otra información confidencial. Los
reenvíos inseguros pueden permitir la omisión del control de acceso, lo que lleva a (EC-
Council, 2020):
Los atacantes utilizan la indagación de cookies en los sistemas de las víctimas para
analizar los hábitos de navegación de los usuarios y vender esa información a otros
atacantes o para lanzar varios ataques a las aplicaciones web de las víctimas (EC-Council,
© Universidad Estatal de Milagro – UNEMI
2020).
Los atacantes que intentan comprometer los sitios web de comercio electrónico realizan
principalmente este tipo de ataques. Manipulan campos ocultos y cambian los datos
almacenados en ellos. Varias tiendas en línea enfrentan este tipo de problemas todos
los días. Los atacantes pueden alterar los precios y concluir transacciones, designando
precios de su elección (EC-Council, 2020).
3. Unidad 1: Introduccion a la
Seguridad Informatica
Tema 4: Hacking Ético
Objetivo
Proporcionar una descripción general del hacking ético, por qué el hacking ético es
necesario, el alcance y las limitaciones del hacking ético y las habilidades de un hacker
ético.
Introducción
Realizan piratería de manera ética, con el permiso del propietario de la red o del sistema
y sin la intención de causar daño. Los piratas informáticos éticos informan todas las
vulnerabilidades al sistema y al propietario de la red para su reparación, lo que aumenta
© Universidad Estatal de Milagro – UNEMI
Un hacker ético sigue procesos similares a los de un hacker malicioso. Los pasos para
obtener y mantener el acceso a un sistema informático son similares,
independientemente de las intenciones del hacker.
Los activos más valiosos que poseen las empresas son los activos intelectuales y, por
lo tanto, deben protegerse de amenazas externas y fortalecerse para eliminar todas
las vulnerabilidades potenciales que pueden causar ataques a las redes de la
empresa.
¿Quién es un hacker?
Un hacker es una persona que irrumpe en un sistema o red sin autorización para
destruir, robar datos confidenciales o realizar ataques maliciosos. Un hacker es una
persona inteligente con excelentes habilidades informáticas, junto con la capacidad
de crear y explorar el software y el hardware de la computadora. Por lo general, un
hacker es un ingeniero o programador calificado con suficiente conocimiento para
descubrir vulnerabilidades en un sistema de destino. Por lo general, tienen
© Universidad Estatal de Milagro – UNEMI
Clases de hackers
Los hackers suelen pertenecer a una de las siguientes categorías, según sus
actividades:
Sombreros negros (Black Hats): son personas que utilizan sus extraordinarias
habilidades informáticas con fines ilegales o maliciosos. Esta categoría de piratas
informáticos suele estar involucrada en actividades delictivas. También se conocen
como galletas saladas (EC-Council, 2020).
Sombreros blancos (White Hats): son personas que usan sus habilidades de piratería
con fines defensivos. En estos días, casi todas las organizaciones tienen analistas de
seguridad que conocen las contramedidas de piratería, lo que puede proteger su red
y sus sistemas de información contra ataques maliciosos. Tienen permiso del
propietario del sistema (EC-Council, 2020).
Sombreros grises (Gray Hats): son las personas que trabajan tanto a la ofensiva
como a la defensiva en varios momentos. Los sombreros grises pueden ayudar a los
piratas informáticos a encontrar varias vulnerabilidades en un sistema o red y, al
mismo tiempo, ayudar a los proveedores a mejorar los productos (software o
hardware) comprobando las limitaciones y haciéndolos más seguros (EC-Council,
2020).
Hackers suicidas (Suicide Hackers): son personas que tienen como objetivo derribar
infraestructura crítica por una "causa" y no les preocupa enfrentar penas de cárcel
o cualquier otro tipo de castigo. Los hackers suicidas son similares a los terroristas
© Universidad Estatal de Milagro – UNEMI
suicidas que sacrifican su vida por un ataque y, por lo tanto, no les preocupan las
consecuencias de sus acciones (EC-Council, 2020).
Script Kiddies: son hackers no calificados que comprometen los sistemas al ejecutar
scripts, herramientas y software desarrollados por piratas informáticos reales.
Suelen centrarse en la cantidad más que en la calidad de los ataques que inician (EC-
Council, 2020).
Reconocimiento
Escaneo y
enumeración
Fases
Obtener acceso
Hacking Ético
Mantener
acceso
Limpiar rastro
FASE 1: Reconocimiento
Esta fase permite a los atacantes planificar el ataque. Puede llevar algo de tiempo
mientras el atacante recopila la mayor cantidad de información posible. Parte de
este reconocimiento puede implicar ingeniería social. Un ingeniero social es una
persona que convence a las personas para que revelen información como números
de teléfono no listados, contraseñas y otra información confidencial. Por ejemplo, el
Tipos de reconocimiento
Las técnicas de reconocimiento activo, por otro lado, implican interacciones directas
con el sistema de destino mediante el uso de herramientas para detectar puertos
abiertos, hosts accesibles, ubicaciones de enrutadores, mapeo de redes, detalles de
sistemas operativos y aplicaciones. Los atacantes utilizan el reconocimiento activo
cuando existe una baja probabilidad de detección de estas actividades (EC-Council,
2020).
Como hacker ético, es importante poder distinguir entre los diversos métodos de
reconocimiento y recomendar medidas preventivas a la luz de las amenazas
potenciales. Las empresas, por su parte, deben abordar la seguridad como parte
integral de sus estrategias comerciales y operativas, y estar equipadas con las
políticas y procedimientos adecuados para detectar posibles vulnerabilidades (EC-
© Universidad Estatal de Milagro – UNEMI
Council, 2020).
Esta es la fase en la que se produce el verdadero hackeo. Los atacantes utilizan las
vulnerabilidades identificadas durante las fases de reconocimiento y exploración
para obtener acceso al sistema y la red de destino. Obtener acceso se refiere al
punto en el que el atacante obtiene acceso al sistema operativo o a las aplicaciones
en la computadora o la red. El atacante puede obtener acceso al sistema operativo,
la aplicación o el nivel de red. Aunque los atacantes pueden causar muchos daños
sin tener acceso al sistema, el impacto del acceso no autorizado es catastrófico. Por
ejemplo, los ataques externos de denegación de servicio pueden agotar los recursos
© Universidad Estatal de Milagro – UNEMI
capturar todo el tráfico de la red, incluidas las sesiones de Telnet y FTP (protocolo
de transferencia de archivos) con otros sistemas, y luego transmitir esos datos donde
quiera (EC-Council, 2020).
Los atacantes que eligen permanecer sin ser detectados eliminan la evidencia de su
entrada e instalan una puerta trasera o un troyano para obtener acceso repetido.
También pueden instalar rootkits a nivel de kernel para obtener acceso
administrativo completo a la computadora de destino. Los rootkits obtienen acceso
al nivel del sistema operativo, mientras que los troyanos obtienen acceso al nivel de
la aplicación. Tanto los rootkits como los troyanos requieren que los usuarios los
instalen localmente. En los sistemas Windows, la mayoría de los troyanos se instalan
como un servicio y se ejecutan como parte del sistema local con acceso
administrativo (EC-Council, 2020).
Por razones obvias, como evitar problemas legales y mantener el acceso, los
atacantes generalmente intentarán borrar todas las pruebas de sus acciones. Borrar
pistas se refiere a las actividades realizadas por un atacante para ocultar actos
maliciosos. Las intenciones del atacante incluyen el acceso continuo al sistema de la
víctima, pasar desapercibido y sin ser detectado, y eliminar evidencia que podría
conducir a su propio enjuiciamiento. Utilizan utilidades como PsTools
(https://docs.microsoft.com), Netcat o troyanos para borrar sus huellas de los
archivos de registro del sistema. Una vez que los troyanos están en su lugar, lo más
probable es que el atacante haya obtenido el control total del sistema y pueda
© Universidad Estatal de Milagro – UNEMI
Los cuatro pasos clave comúnmente denominados como fases de gestión de riesgos son:
1. Identificación de riesgo
2. Evaluación de riesgos
3. Tratamiento de riesgos
4. Seguimiento y revisión de riesgos
ISO/CEI 27001
El reglamento está destinado a ser adecuado para varios usos diferentes, que incluyen:
Úselo dentro de las organizaciones como una forma de garantizar que los riesgos
de seguridad se gestionen de manera rentable. Úselo dentro de las
organizaciones para garantizar el cumplimiento de las leyes y los reglamentos.
Definición de nuevos procesos de gestión de la seguridad de la información
Identificar y aclarar los procesos de gestión de la seguridad de la información
existentes
Uso por parte de la dirección de las organizaciones para determinar el estado de las
actividades de gestión de la seguridad de la información Implementación de la
seguridad de la información que facilita el negocio.
© Universidad Estatal de Milagro – UNEMI
5. Preguntas de Comprension de la
Unidad 1
1. Pregunta de comprensión Nro. 1
¿En qué fase dentro del marco de hacking ético se modifica o elimina la información
de registro?
A. Escaneo y enumeración
B. Obtener acceso
C. Mantener acceso
D. Limpiar rastro
A. clavesegura
B. pass123!
C. Cl@v3
D. M1Cl@v3s3gur4*!
C. FreeBSD
D. Security Onion
© Universidad Estatal de Milagro – UNEMI
6. Bibliografía
» Conklin, A. y otros, 2022. Principles of Computer Security: CompTIA Security and
Beyond. Sixth Edition ed. New York: McGraw Hill.
» EC-Council, 2020. Certified Ethical Hacker (CEH) Version 11. Volumes 1 through
4 ed. Albuquerque: EC-Council.
» Foundation, O., 2017. OWASP: The Open Web Application Security Project.
s.l.:OWASP Foundation.
» Gupta, B. B., Agrawal, . D. P. & Wang, H., 2019. Computer and Cyber Security
Principles, Algorithm, Applications, and Perspectives. Boca Raton: Taylor &
Francis Group, LLC.
» Rasner, G. C., 2021. Cybersecurity and Third-Party Risk. Third Party Threat
Hunting ed. New Jersey: John Wiley & Sons, Inc..
» Stallings, W. & Brown, L., 2018. Computer Security: Principles and Practice. New
Jersey: Pearson Education, Inc..