UNIDAD – FASE 2 LEVANTAMIENTO DE INFORMACIÓN DE ACTIVOS,

VULNERABILIDADES Y AMENAZAS

JOHANN SEBASTIAN CARDOSO ALFONSO

LUIS CARLOS CALDERON ANACONA
BRAYAN ANDRES GOMEZ LIZARAZO
JUAN MANUEL LEIVA ORJUELA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2024

1
UNIDAD – 4 FASE 2 LEVANTAMIENTO DE INFORMACIÓN DE ACTIVOS,
VULNERABILIDADES Y AMENAZAS

JOHANN SEBASTIAN CARDOSO ALFONSO

LUIS CARLOS CALDERON ANACONA
BRAYAN ANDRES GOMEZ LIZARAZO
JUAN MANUEL LEIVA ORJUELA

HERNANDO JOSÉ PEÑA HIDALGO

Director de Curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
CIUDAD
2024

2
 CONTENIDO

Tabla de Ilustraciones.....................................................................................................4
INTRODUCCIÓN...............................................................................................................5
JUSTIFICACIÓN................................................................................................................6
OBJETIVOS......................................................................................................................7
OBJETIVOS GENERAL...............................................................................................................7
OBJETIVOS ESPECÍFICOS..........................................................................................................7
1. PANORAMA GENERAL CASO PROBLÉMATICO..........................................................8
2. ¿PORQUE ELEGI EL MARCO NIST SP 800-30 EN EL CONTEXTO DE TECNOSYS INC?.....8
3. MARCO NIST SP 800-30 ¿Qué es? ¿Para qué sirve? ¿Ciclo de vida?.........................10
4. VENTAJAS Y DESVENTAJAS DE NIST SP 800-30 VS OSSTMM, OWASP, PTES, WASC-
TC, E ISSAF....................................................................................................................12
5. ¿CUÁNDO ES COHERENTE UTILIZAR EL NIST SP 800-30?.........................................16
6. ¿CUÁNDO NO ES COHERENTE UTILIZAR EL NIST SP 800-30?...................................16
7. RECONOCIMIENTO, CASO PROBLÉMATICO............................................................17
8. DESARROLLO PRACTICO.........................................................................................20
8.1 DESCARGA E INSTALACIÓN DE NESSUS....................................................................20
8.2 Identificación de riesgos..........................................................................................25
BIBLIOGRAFÍA...............................................................................................................33

3
 TABLA DE ILUSTRACIONES

Ilustración 1. Ambiente ASS-TecnoSYS y Kali.......................................................20

Ilustración 2. Instalación desde comando de Nessus............................................21
Ilustración 3. Start Up de Nessus...........................................................................21
Ilustración 4. Navegar sobre la web page https://kali:8834/...................................22
Ilustración 5. Selección de licenciamiento Essentials............................................22
Ilustración 6. Registro de usuario...........................................................................23
Ilustración 7. Registro de código de licencia..........................................................23
Ilustración 8. Creación usuario administrador........................................................24
Ilustración 9. Descarga de Plugins.........................................................................24
Ilustración 10. Instalación finalizada de Plugins.....................................................24
Ilustración 11. MAC e IP del ambiente TecnoSYS.................................................25
Ilustración 12. Escaneo Host Discovery.................................................................25

4
 INTRODUCCIÓN

En la actualidad, las aplicaciones y servicios web juegan un rol crítico en el

funcionamiento de las organizaciones, siendo fundamentales para la gestión de
datos, la prestación de servicios y la interacción con usuarios. Sin embargo, esta
dependencia creciente también ha intensificado el riesgo de sufrir ataques
cibernéticos, donde vulnerabilidades no identificadas pueden comprometer la
integridad, confidencialidad y disponibilidad de la información.

El objetivo de esta actividad es poner en práctica los conocimientos adquiridos en

el campo de la auditoría de seguridad, mediante la identificación de
vulnerabilidades en un entorno informático controlado que simula un escenario
real. Para lograrlo, se hará uso de metodologías reconocidas y herramientas
especializadas para el descubrimiento de fallos de seguridad, abordando cada
etapa con un enfoque estructurado que permita no solo identificar las debilidades,
sino también evaluar el impacto de las mismas en los servicios ofrecidos.

Esta auditoría implica la implementación de dos entornos simulados, el análisis

exhaustivo de reportes de herramientas como Nmap, y la presentación de
recomendaciones de mitigación basadas en estándares de seguridad
internacionalmente aceptados. El trabajo colaborativo será esencial en la
consolidación de los resultados, garantizando una visión integral de la seguridad
en aplicaciones y servicios.

5
 JUSTIFICACIÓN

En un entorno cada vez más dependiente de aplicaciones y servicios web, la

seguridad informática se ha convertido en un pilar esencial para garantizar la
continuidad operativa y la protección de la información. Las vulnerabilidades en
estos sistemas pueden ser explotadas por atacantes, provocando graves
consecuencias que afectan tanto la privacidad de los datos como la reputación de
las organizaciones. Esta actividad tiene como objetivo realizar una auditoría de
seguridad completa que nos permita identificar fallos críticos en un entorno virtual
simulado.

La inclusión de herramientas como Nessus y Nmap en esta auditoría es

fundamental debido a su relevancia en la identificación y análisis de
vulnerabilidades. Nessus, ampliamente reconocido por su capacidad para realizar
escaneos de vulnerabilidades detallados, proporciona una visión completa de las
posibles fallas de seguridad dentro de un sistema. Esta herramienta es
especialmente útil en la detección de configuraciones inseguras, vulnerabilidades
conocidas con asignación de CVE (Common Vulnerabilities and Exposures), y en
la generación de reportes con recomendaciones específicas para su mitigación.
Nessus no solo es eficiente en su capacidad de escaneo, sino que también es fácil
de usar, lo que permite obtener resultados precisos en un tiempo relativamente
corto, optimizando el proceso de auditoría.

Por otro lado, Nmap, aunque conocido principalmente como una herramienta de
exploración de redes, es igualmente valioso en el contexto de la auditoría de
seguridad. Nmap permite identificar hosts activos, puertos abiertos y servicios que
se ejecutan en una red, proporcionando información crítica sobre las superficies
de ataque que podrían ser aprovechadas por actores malintencionados. En esta
actividad, Nmap será utilizado para explorar el escenario simulado, ayudando a
detectar puntos vulnerables que posteriormente se analizarán más a fondo con
herramientas como Nessus.

Ambas herramientas complementan el ejercicio de auditoría al cubrir diferentes

aspectos del análisis de vulnerabilidades: mientras Nessus ofrece un análisis
profundo de vulnerabilidades internas en los servicios y aplicaciones, Nmap
proporciona una evaluación preliminar del estado de la red y sus posibles puertas
de entrada.

6
 OBJETIVOS

OBJETIVOS GENERAL

Aplicación de estrategias blue team en entornos controlados

OBJETIVOS ESPECÍFICOS

 Montar y configurar el entorno base de virtualización propuesto en el

escenario del caso problémico, utilizando VirtualBox, para replicar un
ambiente controlado y realizar las pruebas de auditoría.

 Investigar y aplicar una metodología o técnica de auditoría de seguridad

para el descubrimiento de vulnerabilidades en sistemas que ofrecen
servicios web, seleccionando la más adecuada para el entorno simulado.

 Implementar una herramienta de descubrimiento de vulnerabilidades, como

Nessus o una alternativa distinta, para identificar las principales debilidades
en el entorno simulado, documentando las vulnerabilidades encontradas y
evaluando su impacto.

 Realizar un escaneo de red utilizando Nmap, analizando los servicios y

puertos abiertos en el entorno de pruebas, para identificar posibles vectores
de ataque.

 Documentar y analizar los resultados obtenidos de los escaneos de

vulnerabilidades y de red, incluyendo detalles sobre las vulnerabilidades
encontradas, su severidad, las bases de datos CVE asociadas, y
propuestas de remediación.

 Consolidar los hallazgos y recomendaciones en un informe grupal,

utilizando la normativa APA, que incluya la evaluación de la seguridad del
entorno y las acciones a tomar para fortalecer la protección de los servicios
web.

7
 1. PANORAMA GENERAL CASO PROBLÉMATICO

El escenario planteado en el archivo adjunto gira en torno a la empresa TecnoSYS

Inc., una organización tecnológica con sede en Bogotá, Colombia, que está en
proceso de digitalizar sus operaciones para mejorar su eficiencia y competitividad.
Este crecimiento y expansión trae consigo la necesidad de asegurar la nueva
infraestructura tecnológica que incluye servidores DMZ, firewalls, servidores web,
bases de datos y aplicaciones.

El objetivo principal de la tarea es desarrollar una propuesta de aseguramiento de

la infraestructura, abordando varios desafíos clave, como:

 Protección de datos confidenciales.

 Prevención de accesos no autorizados.
 Detección y respuesta ante incidentes de seguridad.
 Aseguramiento de las aplicaciones y servicios.

Entre las tecnologías que se sugieren para la implementación están:

 Docker para contenerizar aplicaciones y servicios.

 Firewall para restringir accesos.
 Servidor DMZ para aislar los sistemas críticos.

Además, el escenario incluye un entorno controlado ejecutado en el sistema de

virtualización VM VirtualBox. La propuesta debe cubrir desde la configuración de
seguridad de la red, aplicaciones, datos, hasta la infraestructura, demostrando la
capacidad de asegurar una arquitectura tecnológica robusta para la empresa

2. ¿PORQUE ELEGI EL MARCO NIST SP 800-30 EN EL CONTEXTO DE

TECNOSYS INC?

En el caso expuesto para TecnoSYS Inc., el framework NIST SP 800-30 es una

opción coherente y recomendable por varias razones, relacionadas con las
necesidades de seguridad de la empresa, el alcance de su infraestructura, y los
desafíos específicos que enfrenta al digitalizar sus operaciones1.

a. Enfoque Integral de Gestión de Riesgos

El NIST SP 800-30 es un framework que se enfoca en la gestión integral del
riesgo, lo que lo hace ideal para un entorno como el de TecnoSYS, donde el
objetivo es proteger datos sensibles, prevenir el acceso no autorizado y responder
a incidentes de seguridad. Este marco permite a la organización:
1
Centro de Ciberseguridad Industrial (CCI). (s.f.). Gestión de riesgos de ciberseguridad industrial:
Metodologías. https://www.cci-es.org/gestion-de-riesgos-de-ciberseguridad-industrial-metodologias/

8
  Identificar activos (servidores DMZ, firewall, aplicaciones y bases de datos),
 Evaluar vulnerabilidades (riesgos asociados con infraestructura
desactualizada o configuraciones incorrectas), y
 Desarrollar estrategias de mitigación (como controles de acceso, cifrado de
datos y monitoreo continuo).

Dado que TecnoSYS busca digitalizar su operación, NIST SP 800-30 les ayudará
a gestionar de forma efectiva los riesgos asociados a este cambio, alineando la
seguridad de la red, sistemas, aplicaciones y datos, tal como lo requiere el caso

b. Priorización Basada en el Impacto y la Probabilidad

El caso menciona la implementación de una infraestructura con servidores web,

bases de datos y aplicaciones en Docker, lo que introduce múltiples puntos de
riesgo. El NIST SP 800-30 permite realizar un análisis profundo sobre el impacto y
la probabilidad de riesgos, lo que permite priorizar qué vulnerabilidades deben ser
abordadas primero. Por ejemplo, puede ayudar a TecnoSYS a determinar que el
servidor DMZ, al estar accesible desde la red pública, requiere controles de
seguridad más estrictos que los servidores internos2.

c. Adaptabilidad a Infraestructuras Complejas

TecnoSYS Inc. está implementando una infraestructura con múltiples

componentes, incluyendo un firewall, servidores web y aplicaciones en
contenedores. El NIST SP 800-30 está diseñado para entornos complejos y
dinámicos, por lo que puede adaptarse fácilmente a la diversidad de tecnologías
en uso (servidores DMZ, Docker, y control de acceso a sistemas). El framework
ayudará a la empresa a identificar los riesgos no solo en términos de tecnologías
aisladas, sino también en la interacción entre estas, garantizando una cobertura
integral.

d. Cumplimiento Normativo

El NIST SP 800-30 está alineado con normativas de cumplimiento como FISMA y

ISO 27001, lo que es esencial si TecnoSYS Inc. opera en sectores regulados o
trabaja con clientes que requieren altos estándares de seguridad. Este marco
ayuda a la empresa a estar preparada para auditorías de seguridad, asegurando
que las políticas de seguridad sean robustas y cumplidoras con estándares
internacionales.

2
Organización de los Estados Americanos (OEA). (2009). Seguridad en redes y servicios de
telecomunicaciones. https://www.oas.org/en/citel/infocitel/2009/septiembre/seguridad_e.asp

9
El framework NIST SP 800-30 es altamente recomendable para el caso de
TecnoSYS Inc. debido a su enfoque en la gestión de riesgos a nivel
organizacional, su adaptabilidad a entornos complejos, y su capacidad para
priorizar los riesgos basados en el impacto para la organización. Esto permitirá a
la empresa no solo proteger sus activos, sino también garantizar la continuidad de
sus operaciones al gestionar de manera efectiva los riesgos asociados a su nueva
infraestructura digital.

3. MARCO NIST SP 800-30 ¿Qué es? ¿Para qué sirve? ¿Ciclo de vida?

¿Qué es?
El NIST SP 800-30, titulado “Guía para la Realización de Evaluaciones de
Riesgos”, es un marco integral desarrollado por el Instituto Nacional de Estándares
y Tecnología (NIST) de los Estados Unidos. Este documento proporciona
directrices detalladas para llevar a cabo evaluaciones de riesgos en sistemas de
información y organizaciones federales, estableciendo un enfoque estructurado
para identificar, estimar y priorizar riesgos en sistemas de información. Su objetivo
principal es proporcionar a los líderes y ejecutivos la información necesaria para
tomar decisiones informadas sobre la gestión de riesgos3.

¿Para qué sirve?

El propósito del NIST SP 800-30 es apoyar a las organizaciones en la
identificación y mitigación de riesgos que puedan afectar la operación de sus
sistemas de información. Esto incluye la evaluación de amenazas y
vulnerabilidades, así como la implementación de controles de seguridad
adecuados para reducir o eliminar dichos riesgos4.

¿Cuál es el ciclo de vida?

El enfoque principal del NIST SP 800-30 se centra en la gestión integral de riesgos
en sistemas de información. Este enfoque se basa en varios pilares
fundamentales5:

a. Identificación de Riesgos: El primer paso es identificar las amenazas y

vulnerabilidades que pueden afectar los sistemas de información. Esto
3
National Institute of Standards and Technology (NIST). (2012). Guide for conducting risk
assessments (SP 800-30 Rev. 1). https://csrc.nist.gov/pubs/sp/800/30/r1/final
4
PMG Seguridad de la Información. (2021, 8 de agosto). Metodología NIST SP 800-30 para el
análisis de riesgos en SGSI. https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-30-para-el-
analisis-de-riesgos-en-sgsi/
5
IPKeys Technologies. (2021, 3 de diciembre). NIST SP 800-30: A guide for conducting risk
assessments. https://ipkeys.com/blog/nist-800-30/

10
 incluye tanto amenazas internas como externas, así como vulnerabilidades
técnicas y organizacionales.
Ejemplo:
Para el servidor de correo, las amenazas incluyen ataques de ransomware,
robo de credenciales mediante phishing o ataques de denegación de servicio
(DoS).

b. Evaluación del Impacto: Una vez identificados los riesgos y

vulnerabilidades, se evalúa el impacto potencial que estos podrían tener en
la organización. Esto implica analizar las consecuencias de posibles
incidentes de seguridad y su efecto en la confidencialidad, integridad y
disponibilidad de la información.
Ejemplo:
Se descubre que el servidor de correo utiliza un protocolo obsoleto sin
cifrado adecuado, lo que lo hace vulnerable a ataques de interceptación (man-in-
the-middle).

c. Análisis de Probabilidad: El NIST SP 800-30 6 también se enfoca en

determinar la probabilidad de que ocurran los riesgos identificados. Este
análisis ayuda a priorizar los riesgos en función de su probabilidad e
impacto.
Ejemplo:
Al evaluar el riesgo del ataque de phishing, se determina que la
probabilidad de que los empleados caigan en ataques de phishing es alta, y el
impacto de la pérdida de credenciales es significativo. Esto genera una
clasificación de riesgo “alto”.

d. Desarrollo de Estrategias de Mitigación: Con la información obtenida, se

desarrollan estrategias y controles de seguridad para mitigar los riesgos.
Esto puede incluir la implementación de medidas técnicas, políticas de
seguridad y procedimientos operativos.
Ejemplo:
La organización decide mitigar el riesgo actualizando el servidor de correo
para que utilice cifrado robusto y capacitando a los empleados en la detección de
correos de phishing. También implementa autenticación multifactor (MFA) para
reducir el riesgo de robo de credenciales.

e. Monitoreo y Revisión Continua: El enfoque del NIST SP 800-30 no termina

con la implementación de controles. Es crucial monitorear continuamente la
efectividad de las medidas de seguridad y realizar revisiones periódicas
para ajustar y mejorar las estrategias de mitigación según sea necesario.
Ejemplo:

6
National Institute of Standards and Technology. (2012). Guide for conducting risk assessments
(NIST SP 800-30 Rev. 1). https://csrc.nist.gov/pubs/sp/800/30/r1/final

11
 Después de implementar las medidas, la organización monitorea el tráfico
de red y los intentos de phishing para evaluar si han disminuido los incidentes.
También realiza auditorías periódicas para verificar que las actualizaciones de
seguridad se mantengan vigentes

4. VENTAJAS Y DESVENTAJAS DE NIST SP 800-30 VS OSSTMM,

OWASP, PTES, WASC-TC, E ISSAF

NIST SP 800-30:

Ventajas:
Enfoque integral en la gestión de riesgos:
El NIST SP 800-30 ofrece una visión general y amplia de la gestión de riesgos de
TI, centrándose no solo en la identificación de vulnerabilidades, sino también en la
identificación de activos, amenazas y análisis de impacto. Esto es ideal para
organizaciones que buscan gestionar riesgos a nivel empresarial7.

a. Enfoque normativo:
Es ampliamente aceptado en sectores regulados, como el gobierno y la industria
financiera en los EE.UU., y está alineado con otros marcos de cumplimiento, como
FISMA (Federal Information Security Management Act) y FedRAMP, lo que lo
hace útil para entornos altamente regulados.

b. Ciclo de vida completo:

Cubre todo el ciclo de vida de la gestión de riesgos, desde la identificación de
activos hasta la mitigación y el monitoreo continuo, lo que lo hace adaptable a
cambios en el entorno de amenazas.

c. Flexibilidad y adaptabilidad:
Aunque tiene una estructura definida, se puede ajustar a distintos tamaños de
organizaciones y niveles de riesgo, lo que lo hace flexible para diferentes
industrias.

Desventajas:
a. No está específicamente diseñado para pruebas de penetración:
A diferencia de frameworks como PTES o OSSTMM, el NIST SP 800-30 no se
centra específicamente en las técnicas y procesos de pruebas de penetración. Su
enfoque es mucho más amplio y no aborda en detalle las técnicas ofensivas o
metodologías de ataque.
7
National Institute of Standards and Technology. (2018). Framework for improving critical
infrastructure cybersecurity (NIST Special Publication 800-53 Rev. 5).
https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev_20181102mn_clean.
pdf

12
 b. Menos técnico y más orientado a la gestión:
Para equipos técnicos o profesionales que desean un enfoque altamente práctico,
el NIST SP 800-30 puede ser demasiado teórico y orientado a la gestión en lugar
de a la ejecución directa de pruebas de seguridad.
OSSTMM (Open Source Security Testing Methodology Manual):

Ventajas:
a. Enfoque en pruebas de seguridad técnica:
OSSTMM está específicamente diseñado para realizar pruebas de penetración y
auditorías de seguridad técnica. Proporciona métodos claros para evaluar la
seguridad de los sistemas desde una perspectiva técnica, con un enfoque en la
validación de controles de seguridad8.

b. Estándar muy detallado:

OSSTMM cubre múltiples áreas, incluyendo la seguridad física, wireless,
telecomunicaciones y la interacción humana, brindando un análisis muy detallado
de la seguridad técnica.

Desventajas:
a. Menos enfoque en la gestión de riesgos:
Comparado con NIST SP 800-30, OSSTMM tiene menos cobertura en áreas como
el análisis de impacto y la gestión de riesgos desde una perspectiva
organizacional. Es más técnico, pero menos útil para organizaciones que desean
un enfoque integral de riesgos.

OWASP (Open Web Application Security Project):

Ventajas:
a. Especializado en seguridad web:
OWASP es un marco específico para seguridad de aplicaciones web,
proporcionando una lista bien reconocida de las principales vulnerabilidades
(OWASP Top Ten) y guías detalladas para la prueba de seguridad de
aplicaciones9.

b. Extensivamente adoptado:
Es uno de los marcos más usados en el mundo para la evaluación de seguridad
de aplicaciones, y es útil para desarrolladores y testers de aplicaciones web que
necesitan identificar vulnerabilidades.
8
CyberPlural. (2023, 25 de septiembre). OSSTMM, PTES, and OWASP methodology for security
testing assessment. https://blog.cyberplural.com/osstmm-ptes-and-owasp-methodology-for-
security-testing-assessment/
9
Open Source Security Testing Methodology Manual (OSSTMM). (2019). OSSTMM version 3.
https://www.isecom.org/OSSTMM.3.pdf

13
Desventajas:
a. Foco limitado en aplicaciones web:
A diferencia del NIST SP 800-30, OWASP es un framework especializado que no
cubre otros aspectos importantes de la seguridad, como la infraestructura, redes o
la gestión de riesgos empresariales.

PTES (Penetration Testing Execution Standard):

Ventajas:
a. Estructura clara para pruebas de penetración:
PTES ofrece una guía detallada sobre cómo realizar pruebas de penetración,
desde la planificación hasta la ejecución, proporcionando una metodología
estándar para evaluar la seguridad ofensiva de sistemas y redes10.

b. Gran profundidad técnica:

Es ideal para consultores de seguridad y equipos internos que buscan realizar
pruebas de penetración exhaustivas, con pasos claros sobre la recolección de
información, identificación de vulnerabilidades y explotación.

Desventajas:
a. Enfoque limitado en la gestión de riesgos:
Al igual que OSSTMM, PTES no tiene un enfoque profundo en la gestión global de
riesgos o análisis de impacto, por lo que no es ideal para organizaciones que
buscan una evaluación integral de riesgos y medidas de mitigación más allá de la
penetración técnica.

WASC-TC (Web Application Security Consortium Threat Classification):

Ventajas:
a. Clasificación clara de amenazas web:
WASC-TC proporciona un marco detallado para clasificar amenazas web, lo que
es muy útil para auditores que necesitan centrarse en evaluar aplicaciones web
desde una perspectiva de amenazas11.

b. Complementa otros frameworks:

Puede usarse en combinación con OWASP o NIST para enriquecer el análisis de
amenazas específicas a nivel de aplicación web.

10
IT Global. (2022, 21 de diciembre). 5 pentest methodologies. https://itglobal.com/company/blog/5-
pentest-metodologies/
11
Web Application Security Consortium. (n.d.). Threat classification.
http://projects.webappsec.org/w/page/13246978/Threat%20Classification

14
Desventajas:
a. Enfoque estrecho:
Similar a OWASP, el enfoque de WASC-TC está limitado a la seguridad web y no
ofrece un enfoque holístico o integral para la gestión de riesgos de TI a nivel
empresarial.

ISSAF (Information Systems Security Assessment Framework):

Ventajas:
a. Marco completo para la evaluación de seguridad:
ISSAF ofrece un marco más completo que combina elementos técnicos de
pruebas de penetración con evaluaciones de políticas y gestión de riesgos12.

b. Amplia cobertura:
Abarca desde la evaluación de riesgos hasta la auditoría de políticas, por lo que es
útil para auditorías globales de seguridad.

Desventajas:
a. Menos flexible:
En comparación con NIST SP 800-30, ISSAF puede ser menos flexible en
términos de adaptación a diferentes tipos de organizaciones o sectores
específicos, debido a su enfoque más rígido.

Conclusión: NIST SP 800-30 Vs otros Frameworks

NIST SP 800-30 es mejor en contextos donde se necesita un enfoque integral de
gestión de riesgos, especialmente para organizaciones que deben cumplir con
normativas o regulaciones específicas. Es ideal para asegurar que el riesgo se
gestione de manera formal y continua, pero carece de profundidad técnica para
pruebas ofensivas.

OSSTMM, PTES y OWASP son más adecuados para evaluaciones técnicas

detalladas como pruebas de penetración y análisis de vulnerabilidades en
sistemas o aplicaciones web, pero son menos útiles para la gestión completa del
ciclo de vida del riesgo.

La elección del framework depende del contexto y las necesidades: si el objetivo

es gestionar riesgos a nivel estratégico, el NIST SP 800-30 es una excelente
opción. Si la organización busca realizar pruebas técnicas en profundidad,
frameworks como OSSTMM, OWASP o PTES son más apropiados.
12
EC-Council. (2023). Penetration testing methodology: Improve pen testing ROI.
https://www.eccouncil.org/cybersecurity-exchange/penetration-testing/penetration-testing-
methodology-improve-pen-testing-roi/

15
5. ¿CUÁNDO ES COHERENTE UTILIZAR EL NIST SP 800-30?

a. Organizaciones con entornos regulados o críticos:

El NIST SP 800-30 es especialmente valioso en sectores altamente regulados,
como el financiero, gubernamental y de infraestructuras críticas. Estos sectores
suelen tener requisitos estrictos de cumplimiento, y el marco del NIST está
alineado con normativas como FISMA (Federal Information Security Management
Act) y FedRAMP (Federal Risk and Authorization Management Program). Dado
que proporciona un enfoque metodológico para la gestión de riesgos, ayuda a
garantizar que las evaluaciones de seguridad no solo se centren en identificar
vulnerabilidades técnicas, sino también en comprender el impacto organizacional
de dichas vulnerabilidades13

b. Enfoque basado en la gestión de riesgos:

Cuando una organización busca implementar una evaluación continua de riesgos,
el NIST SP 800-30 es la opción ideal. Se enfoca no solo en identificar riesgos, sino
también en evaluar su impacto, probabilidad y las contramedidas necesarias. Este
enfoque holístico es vital para aquellas empresas que desean priorizar recursos
según el riesgo general en lugar de centrarse únicamente en la mitigación de
vulnerabilidades técnicas.

c. Entornos de múltiples activos o complejos:

El NIST es especialmente útil en entornos grandes y diversos con múltiples tipos
de activos, desde hardware y software hasta procesos y personas. Su capacidad
para evaluar riesgos de manera exhaustiva permite que las organizaciones con
estructuras complejas gestionen de manera efectiva la interacción de riesgos entre
diferentes áreas de negocio y tecnologías

6. ¿CUÁNDO NO ES COHERENTE UTILIZAR EL NIST SP 800-30?

a. Cuando se requiere un enfoque ofensivo especializado (pruebas de

penetración):

13
Redscan. (2023, 28 de marzo). Top five penetration testing methodologies.
https://www.redscan.com/news/top-five-penetration-testing-methodologies/

16
Si el objetivo de una organización es realizar pruebas ofensivas detalladas, como
pentesting (pruebas de penetración), frameworks como PTES o OSSTMM son
más adecuados. Estos marcos están específicamente diseñados para guiar las
pruebas técnicas, explorando las vulnerabilidades de una manera profunda y
enfocada en la explotación de fallos de seguridad. El NIST SP 800-30, por otro
lado, no está centrado en metodologías ofensivas y técnicas de hacking ético, lo
que lo hace menos útil en estos escenarios

b. Pequeñas organizaciones con recursos limitados:

En empresas más pequeñas o con recursos de seguridad limitados, la complejidad

y amplitud del enfoque de NIST puede ser excesiva. Dado que este marco abarca
todo el ciclo de vida de la gestión de riesgos, su implementación puede requerir
más recursos de los que una organización pequeña tiene disponibles. En estos
casos, un marco más simple o específico como OWASP (para aplicaciones web) o
ISSAF (para pruebas de seguridad generales) puede ser más fácil de adoptar14

c. Proyectos de seguridad rápida o a corto plazo:

El NIST SP 800-30 es ideal para organizaciones que buscan implementar un
enfoque continuo y a largo plazo de la gestión de riesgos. Sin embargo, en
proyectos donde se necesita una respuesta rápida o en evaluaciones de seguridad
a corto plazo, el enfoque sistemático y meticuloso del NIST puede ser demasiado
lento. En estos escenarios, un enfoque más ágil y enfocado, como el
proporcionado por OWASP o WASC-TC para aplicaciones web, sería más
adecuado

Conclusión

El NIST SP 800-30 es una herramienta poderosa cuando se necesita un enfoque

amplio y normativo para la gestión integral de riesgos, especialmente en
organizaciones grandes y reguladas. Sin embargo, cuando se requiere un análisis
técnico profundo o se trata de proyectos específicos de corto plazo, otros marcos
como OSSTMM, PTES o OWASP pueden ofrecer soluciones más específicas y
técnicas.

7. RECONOCIMIENTO, CASO PROBLÉMATICO

En el caso de TecnoSYS Inc., el escenario presentado plantea un reto claro de

aseguramiento de la infraestructura tecnológica mientras la empresa digitaliza sus
operaciones. Desde un punto de vista de seguridad informática, este escenario
refleja varios desafíos clave que deben abordarse de manera estratégica y
14
EC-Council. (2023). Penetration testing methodology: Improve pen testing ROI.
https://www.eccouncil.org/cybersecurity-exchange/penetration-testing/penetration-testing-
methodology-improve-pen-testing-roi/

17
técnica, especialmente cuando la empresa pretende adoptar una nueva
infraestructura con un servidor DMZ, un firewall, servidores web, bases de datos y
aplicaciones en contenedores.

Reconocimiento del Escenario

Crecimiento y Digitalización: TecnoSYS Inc. ha experimentado un

crecimiento significativo en los últimos años, lo que ha impulsado la necesidad de
digitalizar sus operaciones. Esta digitalización incluye la implementación de una
infraestructura nueva que no solo soporte las operaciones comerciales y de
gestión, sino que además garantice la seguridad de la información en todas las
etapas. El hecho de que la empresa haya expandido su base de clientes y
portafolio de servicios también implica que hay más puntos de ataque potenciales,
lo que aumenta la superficie de riesgo.

Infraestructura de Seguridad: El entorno técnico que se describe incluye

varios componentes clave que requieren atención desde el punto de vista de la
seguridad informática:

 Servidor DMZ: Este servidor juega un rol crucial al permitir el acceso

externo a ciertos servicios sin comprometer la red interna. Sin embargo,
cualquier servidor accesible desde Internet introduce riesgos. La correcta
configuración del firewall es crítica para asegurar que el acceso al DMZ
esté adecuadamente restringido.
 Contenedores con Docker: Docker es una solución eficiente para desplegar
aplicaciones, pero los contenedores también traen consigo desafíos de
aislamiento y gestión de vulnerabilidades. Un mal uso de Docker puede dar
lugar a vulnerabilidades si no se gestionan correctamente los permisos y las
dependencias.
 Seguridad de Aplicaciones y Sistemas: Los servidores web, de bases de
datos y de aplicaciones deben configurarse con reglas de acceso y
autenticación estrictas para minimizar el riesgo de ataques como la
escalación de privilegios, el secuestro de sesiones o las inyecciones SQL.

Amenazas y Riesgos Identificados: El hecho de que TecnoSYS esté migrando

a una infraestructura más digital la expone a riesgos relacionados con:

 Acceso no autorizado a sistemas críticos.

 Exposición de datos sensibles, si no se implementan controles de cifrado
adecuados.
 Ataques basados en aplicaciones web, como inyecciones SQL, cross-site
scripting (XSS) o desbordamientos de búfer.

Estos riesgos destacan la necesidad de una gestión proactiva de vulnerabilidades

y un monitoreo constante de la infraestructura.

18
Desafíos Por Enfrentar:

Protección de Datos Confidenciales:

La información confidencial debe ser protegida mediante controles sólidos
como el cifrado en reposo y en tránsito, así como la implementación de políticas
de acceso basadas en roles (RBAC). Además, deben desplegarse soluciones de
detección de intrusos para identificar accesos no autorizados y responder de
manera efectiva a posibles incidentes de seguridad.

Prevención de Accesos No Autorizados:

El firewall debe configurarse para limitar estrictamente el tráfico hacia y
desde la red DMZ, permitiendo solo lo necesario para el negocio. Además, el uso
de tecnologías como VPN o redes segmentadas garantizaría que solo usuarios
autenticados y autorizados puedan acceder a los sistemas internos.

Detección y Respuesta a Incidentes:

Implementar mecanismos como el registro y monitoreo centralizado de
eventos de seguridad mediante SIEM (Security Information and Event
Management) es crucial para detectar anomalías en tiempo real y responder
rápidamente a incidentes antes de que escalen.

Actualización y Mantenimiento de la Infraestructura:

Mantener la infraestructura actualizada es clave para mitigar
vulnerabilidades. La gestión de parches y actualizaciones debe ser un proceso
continuo, y la empresa debe emplear herramientas automatizadas para auditorías
de seguridad y monitoreo de vulnerabilidades.

El escenario expuesto para TecnoSYS Inc. resalta la importancia de un enfoque

integral en la seguridad de la infraestructura. La digitalización trae consigo
múltiples beneficios operativos, pero también eleva el riesgo de exposición a
amenazas. El uso de tecnologías como Docker, el servidor DMZ y la
infraestructura en contenedores requiere controles estrictos en cada capa, desde
la red hasta las aplicaciones. Para mitigar estos riesgos, es fundamental
establecer políticas robustas de seguridad, configurar adecuadamente el firewall,
gestionar vulnerabilidades de manera continua, y garantizar que todos los
sistemas sean auditados regularmente para prevenir accesos no autorizados y
proteger los datos confidenciales de la empresa

19
 8. DESARROLLO PRACTICO

Basado en el Framework NIST SP 800-30, se realizará los siguientes pasos:

a. Descarga e Instalación de software.

b. Identificación de riesgos.
c. Análisis de probabilidad.
d. Desarrollo de estrategias de mitigación.
e. Monitoreo y revisión continua.

La máquina virtual ASS-TecnoSYS se ha ejecutado correctamente en nuestro

ambiente VM VirtualBox, de igual manera se ha ejecutado al mismo tiempo la
última versión de Kali desde donde realizaremos la investigación pertinente.

Ilustración 1. Ambiente ASS-TecnoSYS y Kali

Fuente: Propia

8.1 DESCARGA E INSTALACIÓN DE NESSUS

Se debe realizar la descarga desde la pagina oficial en nuestro equipo Kali, una
vez en descargas, descomprimimos y desde una ventana de comando, se realiza
la búsqueda de la ruta de la carpeta Download.

20
 Ilustración 2. Instalación desde comando de Nessus

Fuente Propia

Se realiza la instalación con el siguiente comando y se inicializa el servicio con

otro adicional:
sudo dpkgi -i Nessus-10.8.3-ubuntu1604_amd64.deb
sudo service nessusd start

Ilustración 3. Start Up de Nessus

Fuente Propia

Inicializado el servicio podremos ingresar a la pagina https://kali:8834/ y empezar a

realizar configuraciones principales de la herramienta Nessus, damos en
continuar.15

15
SEGURIDAD CERO. (2023, 7 de julio). ¿Cómo hacer auditoría de WiFi con Kali Linux y vulnerar
WPA3? [Video]. YouTube. https://www.youtube.com/watch?v=zokMghq9-
3Y&ab_channel=SEGURIDADCERO

21
 Ilustración 4. Navegar sobre la web page https://kali:8834/

Fuente: Propia

Se realiza la selección de Nessus Essentials debido a que es una versión para

estudiantes y aplica para nuestra necesidad.

Ilustración 5. Selección de licenciamiento Essentials

Fuente: Propia

Me regristro con mis datos personales y genera un correo electrónico con una
llave de activación V4V4-RKFJ-D8Y6-TKEA-6X9E

22
 Ilustración 6. Registro de usuario

Fuente: Propia

Ilustración 7. Registro de código de licencia

Fuente: Propia

Debe crearse una cuenta con usuario y contraseña, seguido a ello Nessus realiza
la descarga de todos sus pluging y complementos.

23
 Ilustración 8. Creación usuario administrador

Fuente: Propia

Ilustración 9. Descarga de Plugins

Fuente: Propia

La actualización de los plugins se debe realizar previo a realizar cualquier acción.

Ilustración 10. Instalación finalizada de Plugins

Fuente: Propia

24
 8.2 IDENTIFICACIÓN DE RIESGOS

Desde el ambiente virtual de TecnoSYS se identifica la IP y la MAC, información

relevante para poder generar lecturas de vulnerabilidades desde Nessus, esta
información se evidencia al realizar el código ip a identificando, MAC:
08:00:27:23:d2:4b y su IP 192.168.10.11/24.

Ilustración 11. MAC e IP del ambiente TecnoSYS

Fuente: Propia

Realizaremos un escaneo profundo a través del Host Discovery ya que

conocemos la IP del ambiente de TecnoSYS16.

Ilustración 12. Escaneo Host Discovery

Fuente: Propia

16
https://www.youtube.com/watch?v=Vj3BpreFsR8&ab_channel=ElPing%C3%BCinodeMario

25
JUAN MANUEL LEIVA ORJUELA

26
27
28
29
CONCLUSION

El escenario que se plantea en el documento adjunto describe la situación de

TecnoSYS Inc., una empresa en proceso de digitalización de sus operaciones.
Esta expansión implica el uso de una infraestructura tecnológica avanzada que
incluye servidores DMZ, firewalls, servidores web, bases de datos y aplicaciones,
lo que introduce varios posibles puntos vulnerables.

Posibles Vulnerabilidades:
Ataques de red:

Acceso no autorizado: La red puede ser vulnerable a intentos de acceso desde

actores maliciosos externos que busquen explotar vulnerabilidades en los
servicios expuestos (como servidores web o de aplicaciones).
Solución: Implementar un firewall correctamente configurado para limitar el acceso
basado en políticas estrictas de control de tráfico y crear una zona desmilitarizada
(DMZ) para aislar los servicios expuestos de la red interna crítica.
Vulnerabilidades en los servidores web y de aplicaciones:

Explotación de vulnerabilidades: Las aplicaciones web pueden estar expuestas a

ataques como inyecciones SQL, Cross-Site Scripting (XSS) o Cross-Site Request
Forgery (CSRF).
Solución: Utilizar desarrollo seguro para prevenir estas vulnerabilidades,
implementar soluciones como WAF (Web Application Firewall) para monitorear y
bloquear tráfico malicioso, y realizar pruebas continuas de pen testing y escaneo
de vulnerabilidades en las aplicaciones.
Fuga de información confidencial:

Pérdida o filtración de datos sensibles: Sin controles adecuados de seguridad, los

datos confidenciales almacenados en bases de datos pueden estar en riesgo de
ser comprometidos.
Solución: Usar cifrado tanto en tránsito como en reposo, junto con mecanismos de
autenticación fuertes (como multi-factor authentication, MFA) y controles de
acceso para limitar quién puede visualizar y manipular los datos.
Falta de monitoreo y respuesta ante incidentes:

Dificultad para detectar ataques en tiempo real: Sin un monitoreo continuo, es

posible que los ataques no se detecten hasta que los daños ya hayan ocurrido.
Solución: Implementar un sistema de detección y respuesta ante intrusiones
(IDS/IPS) y centralizar los registros de eventos para detectar comportamientos
anómalos rápidamente mediante SIEM (Security Information and Event
Management).
Seguridad en la infraestructura y contenedores (Docker):

30
Vulnerabilidades en los contenedores: Si los contenedores Docker no se gestionan
adecuadamente, pueden introducir vulnerabilidades por medio de imágenes
inseguras o configuraciones incorrectas.
Solución: Utilizar imágenes de contenedores seguras y actualizadas desde fuentes
confiables, implementar la separación de privilegios en los contenedores, y aplicar
políticas de seguridad que restrinjan los permisos para minimizar el impacto en
caso de compromisos.
Desactualización de software y parches:

Explotación de vulnerabilidades conocidas: Si los sistemas no se mantienen

actualizados, pueden estar expuestos a ataques que aprovechen vulnerabilidades
conocidas en el software.
Solución: Implementar un sistema de gestión de parches eficiente para asegurar
que todos los sistemas estén al día con las últimas actualizaciones de seguridad y
realizar evaluaciones periódicas de vulnerabilidades.
Propuesta de Soluciones Generales:
Seguridad de red:

Configurar el firewall para restringir accesos según roles y necesidades

específicas.
Implementar una DMZ para aislar servicios expuestos (servidores web,
aplicaciones) y evitar que estos se comuniquen directamente con los sistemas
internos más críticos.
Aseguramiento de aplicaciones:

Desarrollar siguiendo principios de seguridad por diseño, aplicando controles

como validación de entradas para prevenir inyecciones y otros tipos de ataques.
Realizar auditorías de código y escaneo de vulnerabilidades de manera regular.
Protección de datos:

Aplicar cifrado en las comunicaciones internas (usando TLS) y en el

almacenamiento de datos críticos.
Implementar un sistema de control de accesos basado en roles (RBAC) para
limitar el acceso a los datos según la necesidad.
Monitoreo y detección:

Utilizar un IDS/IPS para monitorear el tráfico de red y detectar comportamientos

sospechosos.
Implementar un SIEM que recopile y analice los registros de los servidores y
dispositivos de red para detectar patrones de ataque.
Gestión de contenedores:

Asegurarse de usar imágenes de contenedores oficiales o de confianza.

31
Aplicar políticas de seguridad en Docker para limitar los permisos y asegurar que
los contenedores no puedan acceder a la infraestructura subyacente sin controles.
Con este enfoque integral, TecnoSYS Inc. podrá digitalizar sus operaciones de
manera segura, protegiendo sus datos y sistemas críticos de las amenazas que
enfrenta en su nueva infraestructura digital.

32
 BIBLIOGRAFÍA

Centro de Ciberseguridad Industrial (CCI). (s.f.). Gestión de riesgos de

ciberseguridad industrial: Metodologías. https://www.cci-es.org/gestion-de-riesgos-
de-ciberseguridad-industrial-metodologias/

Organización de los Estados Americanos (OEA). (2009). Seguridad en redes y

servicios de telecomunicaciones.
https://www.oas.org/en/citel/infocitel/2009/septiembre/seguridad_e.asp

National Institute of Standards and Technology (NIST). (2012). Guide for

conducting risk assessments (SP 800-30 Rev. 1).
https://csrc.nist.gov/pubs/sp/800/30/r1/final

PMG Seguridad de la Información. (2021, 8 de agosto). Metodología NIST SP 800-

30 para el análisis de riesgos en SGSI.
https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-800-30-para-el-analisis-de-
riesgos-en-sgsi/

IPKeys Technologies. (2021, 3 de diciembre). NIST SP 800-30: A guide for

conducting risk assessments. https://ipkeys.com/blog/nist-800-30/

National Institute of Standards and Technology. (2018). Framework for improving

critical infrastructure cybersecurity (NIST Special Publication 800-53 Rev. 5).
https://www.nist.gov/system/files/documents/2018/12/10/frameworkesmellrev_201
81102mn_clean.pdf

CyberPlural. (2023, 25 de septiembre). OSSTMM, PTES, and OWASP

methodology for security testing assessment. https://blog.cyberplural.com/osstmm-
ptes-and-owasp-methodology-for-security-testing-assessment/

Open Source Security Testing Methodology Manual (OSSTMM). (2019). OSSTMM

version 3. https://www.isecom.org/OSSTMM.3.pdf

IT Global. (2022, 21 de diciembre). 5 pentest methodologies.

https://itglobal.com/company/blog/5-pentest-metodologies/

Web Application Security Consortium. (n.d.). Threat classification.

http://projects.webappsec.org/w/page/13246978/Threat%20Classification

EC-Council. (2023). Penetration testing methodology: Improve pen testing ROI.

https://www.eccouncil.org/cybersecurity-exchange/penetration-testing/penetration-
testing-methodology-improve-pen-testing-roi/

33