¿ Qué es la seguridad de la

información ?

• La seguridad de la información protege la información de

una amplia gama de amenazas con el fin de asegurar la
continuidad del negocio, minimizar el daño del negocio y
maximizar el retorno de la inversión y las oportunidades de
negocio.
 ¿Cómo definir la seguridad
informática?

• Si nos atenemos a la definición de la Real Academia de la

Lengua RAE, seguridad es la “cualidad de seguro”. Buscamos
ahora seguro y obtenemos “libre y exento de todo peligro,
daño o riesgo”.

• A partir de estas definiciones no podríamos aceptar que

seguridad informática es “la cualidad de un sistema
informático exento de peligro”, por lo que habrá que buscar
una definición más apropiada.
 ¿Cómo definir la seguridad
informática?

La Seguridad es un Producto o un Proceso?

Por lo tanto, podríamos aceptar que una primera definición

más o menos aceptable de seguridad informática sería:

Un conjunto de métodos y herramientas destinados a

proteger la información y por ende los sistemas informáticos
ante cualquier amenaza, un proceso en el cual participan
además personas. Concienciarlas de su importancia en el
proceso será algo crítico
Seguridad Informática
 ¿La solución será estar
desconectado?

No podemos aceptar esa ... es aquel que está

afirmación simplista que desconectado y, por lo
dice que el computador tanto, libre de todos los
más seguro ... peligros que hay en la red.
A pesar de todas las
amenazas del entorno,
que serán muchas y de
muy distinto tipo ...

... tendremos que aplicar

políticas, metodologías y
técnicas de protección
de la información porque
la conectividad es vital.
 ¿Es atractivo el delito informático?

– Objeto pequeño: la información que se ataca está

almacenada en contenedores pequeños: no es
necesario un camión para robar un banco, llevarse las
joyas, el dinero, etc.
– Contacto físico: no existe contacto físico en la
mayoría de los casos. Se asegura el anonimato y la
integridad física del propio delincuente.

– Alto valor: el objeto codiciado tiene un alto valor. Los

datos (el contenido a robar) puede valer mucho más
que el soporte que los almacena: servidor, computador,
disco, CD, etc.
 Enfoques

• El estudio de la seguridad informática podríamos

plantearlo desde dos enfoques distintos aunque
complementarios:
– La Seguridad Física: puede asociarse a la
protección del sistema ante las amenazas físicas,
incendios, inundaciones, edificios, cables, control de
accesos de personas, etc.
– La Seguridad Lógica: protección de la información
en su propio medio, mediante el enmascaramiento de
la misma usando técnicas de criptografía. Este
enfoque de las aplicaciones criptográficas, es el que
será tratado a lo largo de los capítulos de este libro.
Triangulo fundamental de la
seguridad informática (CID)
 Triangulo fundamental de la
seguridad informática (CID)

Revelación (Disclosure): La revelación es lo opuesto a la

confidencialidad. Las organizaciones necesitan identificar sus activos y
clasificar sus datos. Esto rara vez sucede, los empleados deben ser
conscientes y así poder proteger los activos corporativos. Por ejemplo,
el Departamento de Defensa (DoD) clasifica los datos como:

• Top Security - divulgación podría causar un grave daño al país

• Secreto - su divulgación podría causar un daño significativo a los
países
• Confidencial - su divulgación podría causar vergüenza a los países
• Sin clasificar - la difusión pública
 Triangulo fundamental de la
seguridad informática (CID)

• Las empresas suelen envolver todo para arriba en las empresas

"confidencial", que da lugar a problemas. De nuevo, si usted trata de
proteger todo con el mismo nivel de seguridad, va a fracasar. Las
corporaciones necesitan al nivel de la confidencialidad de sus datos
en la misma forma que el Gobierno hace:

• Nivel Confidencial 3 - su divulgación podría causar un daño grave a

la empresa (cierre de la empresa)
• Nivel Confidencial 2 - divulgación podría causar un daño significativo
a la empresa (de tanque de derechos, despidos)
• Nivel Confidencial 1 - su divulgación podría causar vergüenza para la
empresa (mala prensa)
• Público - difusión pública
 Triangulo fundamental de la
seguridad informática (CID)

• Las empresas tienen que identificar lo que la divulgación de sus

activos significa para ellos y sus clientes. A continuación, puede
crear prioridades para aplicar la revisión, endurecimiento, etc sobre
la base de los activos que necesitan más protección.

• También tenemos que salir de la mentalidad de que todos los

compromisos son fin del mundo: las brechas de seguridad deben ser
clasificados por la sensibilidad de los datos que se han
comprometido en realidad. Ha habido últimamente en las noticias
incidentes donde sitios web fueron violados, sin embargo, no había
información «no pública» (sensible o clasificada) que se hubiese
visto comprometida, por lo que el incidente no fue tan grave como
los clientes pueden haber temido durante el frenesí de los medios.
 Triangulo fundamental de la
seguridad informática (CID)

Destrucción (Destruction): La destrucción es lo opuesto a la

integridad. Ahora que usted ha identificado sus activos y su criticidad,
usted será capaz de determinar lo que sucedería si se ha alterado o
eliminado. Las organizaciones deben planificar para ambas cuestiones.
Deben preguntarse a sí mismos que los activos a un adversario lo más
probable es que quiera manipular o destruir. Esto es diferente para
cada organización: no existe un modelo de seguridad de molde.
 Triangulo fundamental de la
seguridad informática (CID)

• Negación (Denial): La negación es lo opuesto a la disponibilidad.

Obviamente, cuando alguien dice "negación" lo primero que puede
pensar es denegación de servicio (DoS). Los ataques DoS, en muchos
casos no causan daños importantes en el negocio, aunque, por
supuesto, si su negocio se basa en las ventas en línea, que tendrá un
impacto mucho mayor. El punto aquí es que usted necesita para
evaluar su situación. Obviamente, si sus clientes no pueden acceder
a su sitio web, podría ser un problema, pero en muchos casos la
divulgación de la información personal que en un segundo plano a la
negación de su uso. Este es el tema más incomprendido cuando se
trata de cobertura de la red de seguridad, ya que cualquiera puede
ser víctima de los ataques de saturación de la red.
 Bugs, Exploits, Amenazas,
Contramedidas y Riesgo

• Bugs (Error de software): Un error de software es el término

común usado para describir un error, una falla, un desperfecto, una
equivocación o falta en un programa o sistema informático que
produce un resultado incorrecto o inesperado, o hace que se
comporte de forma no intencionada.
La mayoría de los errores surgen de los errores y los errores
cometidos por las personas, ya sea en el código fuente de un
programa o de su diseño, y algunos son causados ​por los
compiladores producen código incorrecto.
Un programa que contiene un gran número de fallas, y/o errores
que pueden interferir seriamente con su funcionalidad.
 Bugs

Los informes que detallan los errores en un programa se conocen

comúnmente como bug reports, fault reports, problem reports,
trouble reports, change requests, y así sucesivamente.
Los Bugs pueden tener una gran variedad de efectos, con diferentes
niveles de molestias a los usuarios del programa. Algunos errores
sólo tienen un efecto sutil en la funcionalidad del programa, y ​por lo
tanto puede estar sin ser detectado durante mucho tiempo. Los
errores más graves pueden provocar que el programa se cuelgue o
congele. Otros califican como errores de seguridad y podrían, por
ejemplo, permitir a un usuario malicioso para eludir los controles de
acceso con el fin de obtener privilegios no autorizados.
 Bugs

Los resultados de los Bugs pueden ser muy grave.

– Errores en el código de control de la máquina de radiación
Therac-25 la terapia fueron directamente responsables de
algunas muertes de pacientes en la década de 1980.
– En junio de 1994, un Chinook de la Fuerza Aérea Real se estrelló
en el Mull of Kintyre, matando a 29 personas. Esto fue
desestimado inicialmente como un error del piloto, pero una
investigación realizada por Computer Weekly descubrió evidencia
suficiente para convencer a un House of Lords que puede haber
sido causado por un error de software en el ordenador del avión
de control del motor.
 Bugs

– En 1996, la Agencia Espacial Europea, EE.UU. $ 1 mil millones

prototipo de cohete Ariane 5 fue destruida menos de un minuto
después del lanzamiento, debido a un error en el programa de
orientación en el ordenador de a bordo.

• En 2002, un estudio encargado por los EE.UU. Departamento de

Nacional de Comercio Instituto Nacional de Estándares y Tecnología
concluyo que "los errores de software, o bugs, son muy frecuentes y
perjudiciales para que costó a la economía de los EE.UU. un
estimado de $ 59 mil millones al año, o el porcentaje de
aproximadamente 0,6 del producto interno bruto ". [2]
 Bugs

Defectos de diseño de programas

• Diseños con colores inapropiados para las personas que padecen 
daltonismo
• Diseños que usan textos con tipografías de difícil lectura por su
tamaño o diseño.
• Diseños que fuerzan el uso del ratón o mouse sin dejar alternativas
de teclado para personas con disfunciones motrices.
• Diseños con implicaciones culturales, por ejemplo usando partes del
cuerpo que en una determinada cultura sean objeto de vergüenza o
burla o símbolos con características de identidad cultural o religiosa.
• Estimar que el equipo donde se instalará tiene determinadas
características (como la resolución de la pantalla, la velocidad del
procesador, la cantidad de memoria o conectividad a internet)
propias de un equipo de gama alta, en vez de diseñar el software
para su ejecución en equipos.
 Bugs

Errores de programación comunes

• División por cero
• Ciclo infinito
• Problemas aritméticos como desbordamientos (overflow) o
subdesbordamientos (underflow).
• Exceder el tamaño del array
• Utilizar una variable no inicializada
• Acceder a memoria no permitida (access violation)
• Pérdida de memoria (memory leak)
• Desbordamiento o subdesbordamiento de la 
pila (estructura de datos)
• Desbordamiento de búfer (buffer overflow)
• Bloqueo mutuo (deadlock)
• Indizado inadecuado de tablas en bases de datos.
 Bugs

Defectos de instalación o programación

• Eliminación o sustitución de bibliotecas comunes a más de un

programa o del sistema (DLL Hell).
• Reiniciar arbitrariamente la sesión de un usuario para que la
instalación tenga efecto.
• Presuponer que el usuario tiene una conexión permanente a 
internet.
• Utilizar como fuente de datos enlaces simbólicos a ficheros que
pueden cambiar de ubicación.
 Bugs

Códigos de errores de lenguajes de programación

• La mayor parte de los lenguajes de programación presentan al

menos dos tipos de errores que permiten a los programadores
manejar las fallas de los programas de una manera eficiente y que
no resulte agresiva con el usuario final. Dichos errores son de 
compilación y errores en tiempo de ejecución.
• Los errores de compilación normalmente inhiben que el código
fuente derive en un programa ejecutable, mientras que los errores
en tiempo de ejecución son situaciones específicas en las que un
evento externo al programa impide su ejecución.
 Exploits

• Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de 

software, o una secuencia de comandos con el fin de causar un error
o un fallo en alguna aplicación, a fin de causar un comportamiento
no deseado o imprevisto en los programas informáticos, hardware, o
componente electrónico (por lo general computarizado). Con
frecuencia, esto incluye cosas tales como la toma de control de un
sistema de cómputo o permitir la escalada de privilegios o un ataque
de denegación de servicio.

• El fin del Exploit puede ser violar las medidas de seguridad para
poder acceder al mismo de forma no autorizada y emplearlo en
beneficio propio o como origen de otros ataques a terceros.
 Exploits

• Los Exploits pueden ser escritos empleando una diversidad de

lenguajes de programación, aunque mayoritariamente se suele
utilizar lenguaje C. También puede aprovecharse de distintos tipos
de ataques tales como desbordamiento de búfer, Cross Site Scripting
, Format Strings, Inyección SQL, entre otros.

• Una de las herramientas más utilizadas para trabajar con este tipo
de software es Metasploit Framework, una plataforma de test de
penetración escrita en lenguaje de programación Ruby, como así
también otros frameworks como Core Impact, Canvas, entre otros.
 Exploits

Clasificación
• Existen varios métodos de clasificación de vulnerabilidades. El más
común es por la forma en que el exploit entra en contacto con el
software vulnerable. Un «exploit remoto» funciona a través de una
red y explota la vulnerabilidad de la seguridad sin ningún tipo de
privilegio de acceso previo de que el sistema sea vulnerado. Un
«exploit local» requiere acceso previo al sistema vulnerable y por lo
general aumenta los privilegios de la persona que ejecuta el exploit
pasando a ser administrador del sistema. También existen los
ataques contra las aplicaciones cliente, por lo general consta de los
servidores modificados que envían un exploit, si se accede a la
aplicación cliente. Otra clasificación es por la acción contra el
sistema vulnerable: el acceso no autorizado a datos, la ejecución de
código arbitrario, denegación de servicio.
 Exploits

• Muchos exploits están diseñados para proporcionar acceso a nivel

de superusuario a un sistema informático. Sin embargo, también es
posible usar varios exploits, primero para ganar acceso de bajo nivel,
a continuación, para escalar privilegios varias veces hasta que
alcanza una raíz.
• Normalmente, una hazaña única sólo puede tomar ventaja de una
vulnerabilidad de software específico. A menudo, cuando un exploit
se publica, la vulnerabilidad se fija a través de un parche y el exploit
se convierte en obsoleto para las nuevas versiones del software. Esta
es la razón por la cual algunos hackers blackhat no publican sus
exploits, sino que los mantienen privados para sí mismos u otros
hackers. Tales exploits se conocen como "Zero day exploits«.
 Exploits

• Los ataques son comúnmente clasificados y nombrados por los

siguientes criterios:
• El tipo de vulnerabilidad que explotan:
Memory safety violations, such as: Race conditions, such as:
Buffer overflows Time-of-check-to-time-of-use bugs
Dangling pointers Symlink races
Input validation errors, such as:
Format string attacks Privilege-confusion bugs, such as:
Improperly handling shell metacharacters so Cross-site request forgery in web
they are interpreted applications
SQL injection Clickjacking
Code injection FTP bounce attack
E-mail injection Privilege escalation
Directory traversal
Cross-site scripting in web applications User interface failures, such as:
HTTP header injection Warning fatigue or user conditioning 
HTTP response splitting Blaming the Victim Prompting a user to
make a security decision without giving the
user enough information to answer it
Race Conditions 
 Exploits

• Ya sea que se necesita para ser ejecutado en la misma máquina que

el programa que tiene la vulnerabilidad (local) o se puede ejecutar
en una máquina de atacar a un programa que se ejecuta en otra
máquina (remota).
• El resultado de ejecutar el exploit (EOP, DoS, suplantación de
identidad, etc)
 Exploits

Pivoting (Pivotante)
• Pivotante se refiere al método utilizado por los probadores de
penetración que utiliza el sistema comprometido para atacar otros
sistemas en la misma red para evitar las restricciones tales como las
configuraciones de firewall, que puede prohibir el acceso directo a
todas las máquinas. Por ejemplo, un atacante comprometer un
servidor web en una red corporativa, el atacante puede utilizar el
servidor web comprometido para atacar otros sistemas en la red.
Este tipo de ataques son a menudo llamados «multi-layered attacks»
(ataques de varias capas). Pivotante también se conoce como las
«island hopping» (islas griegas).
 Exploits

Pivotante, también se pueden distinguir en “proxy pivoting” y “VPN

pivoting”
• proxy pivoting describe en general el tráfico de canalizar la práctica
a través de una meta comprometida con una carga útil de proxy en
la máquina y lanzar ataques de este equipo. Este tipo de pivotante
se limita a ciertos puertos TCP y UDP que son apoyados por el proxy.
• VPN pivoting permite al atacante crear túneles cifrados capa dos
entre el ordenador afectado y la máquina de destino, por ejemplo,
para ejecutar un escaneo de vulnerabilidades en la red interna a
través de la máquina comprometida, que equivale a dar al atacante
acceso completo a la red como si fueran detrás del firewall.
• Por lo general, las aplicaciones de proxy o VPN que permiten pivotar
se ejecutan en el equipo de destino como «payload» (software) de
un exploit.
Amenazas
 Amenazas

Usuarios:
Debilidades de Autenticación.
Cross Site script. (si existe la vulnerabilidad en las aplicaciones WEB)
Keylogger.
Red:
Comprobación de password y protocolos de cifrado débiles.
Reconocimiento de la red.
Sniffing.
Ataques man-in-the-middle.
Spoof de DNS.
Reenrutamiento.
Enumeración y Explotación de Wi-Fi.
 
 Amenazas

Gateway:
IP-email-Spoof.
Explotación de vulnerabilidades.
Filtering bypass.
Sniffing.
 Sistemas operativos:
Identificación del sistema operativo objetivo de análisis.
Identificación de los puertos abiertos en los objetivos (TCP, UDP).
Identificación de los servicios que se están ejecutando en los objetivos.
Identificación de vulnerabilidades del SO.
Negación de Servicios
Búsqueda de información sensible accesible por la red, como la
existente en las carpetas compartidas.
Sniffing
 
 Amenazas

Servidores Web:
Identificación del sistema operativo objeto de análisis, vulnerabilidades
asociadas a malas prácticas de programación.
Identificación de los servicios que se están ejecutando en los objetivos.
Explotación de vulnerabilidades
Búfer Overflow
Configuración por defecto
Negación de Servicios.
 Aplicaciones:
Directory Traversal
Meta-caracteres
Session Hijacking
Códigos de error
Búfer Overflow
Rompimiento de claves
 
 Amenazas

Base de datos:
SQL Injection
Queries estructurados
Claves por defecto
Autenticación de base de datos
Extracción de información confidencial
 Contramedidas

• Seguridad perimetral: Firewall, IDS/IPS, WAF, UTM, VPN, DMZ

• WSUS

• Hardening

• SGSI: Sistema de Gestión de la seguridad de la Información

• Políticas, normas y procedimientos de seguridad

• CIO: Oficial de Seguridad

• Certificaciones Internacionales de Seguridad

 EVALUACIÓN DEL RIESGO

OBJETIVOS

• Definir lo que es un Análisis de Riesgos (RA) y la

necesidad de realizarlo en las organizaciones.

• Identificar el riesgo y los componentes que lo

constituyen

• Definir algunas variables que se tienen en cuenta al

desarrollar un análisis de riesgos
 CALCULANDO EL RIESGO

• Seguridad es Reducir los riesgos

• Se puede definir el Riesgo como:

Riesgo = Amenaza * Vulnerabilidad * Impacto

• La Relación de Vulnerabilidad y Amenazas ->

FACTOR DE OCURRENCIA
 CALCULANDO EL RIESGO

• Amenaza: Es la frecuencia de potenciales eventos

adversos. Puede ser medido -> Probabilidad

• Vulnerabilidad: Factor que posibilita. Es el grado o

capacidad de éxito de una determinada amenaza

• Impacto: Es el costo total del impacto de una amenaza

particular en un bien/activo vulnerable. También se puede
definir como el Valor del Activo.
 CALCULANDO EL RIESGO

• Riesgo: NO es una amenaza, vulnerabilidad o costo por

separado … es la relación de las tres variables

• Para cualquier riesgo, debe existir al menos alguna

amenaza, alguna vulnerabilidad y los costos asociados

“Medir cada componente del Riesgo”

 GESTIÓN DE RIESGOS

• GESTIÓN: Actividades coordinadas para DIRIGIR y

CONTROLAR una organización con respecto a alguna cosa.

• ORGANIZACIÓN: Conjunto de Instalaciones y personas

con un arreglo de responsabilidades, autoridades y
relaciones.

GESTIÓN DE RIESGOS:
Actividades coordinadas para DIRIGIR y CONTROLAR un
Conjunto de Instalaciones y personas con un arreglo de
responsabilidades, autoridades y relaciones con respecto a
los riesgos en los negocios influenciados por la seguridad.
 ANÁLISIS DE RIESGOS

• El Análisis de Riesgos (Risk Assessment) debe ser un

método de evaluación conocido y seguro – Metodología ->
Sistemática

≠ Existe una tendencia a confundir análisis de riesgos de

seguridad con análisis de riesgos del negocio

• Los riesgos de seguridad son difíciles de manejar ya que no

conocemos o controlamos a quienes pueden causar el riego y
sus planes
 ANÁLISIS DE RIESGOS

• Preguntas más frecuentes

•Por qué debo realizar un Análisis de Riesgos?

•Cuando debo realizar un Análisis de Riesgos?
•Quien debe realizar un Análisis de Riesgos?
•Que puede “analizar” un Análisis de Riesgos?
•Quien debe revisar los resultados de un Análisis de
Riesgos?
•Resultados y utilidad del proceso?
•Es un proceso sostenible y repetible?
 ANÁLISIS DE RIESGOS

• Identificación de los activos

• Valoración de los activos

• Identificación y Valoración de los requerimientos de

seguridad (Amenazas y Vulnerabilidades)

• Factor de ocurrencia

LA METODOLOGÍA DEL ANÁLISIS DE RIESGO QUE VAMOS A

REVISAR ES CUALITATIVO
 ANÁLISIS DE RIESGOS

Definiciones

• Cuantitativo: Valoración económica $$$. Mas preciso y

menos sujeto a subjetividad

• Cualitativo: Valoración en niveles o escalas. Sujeto a la

percepción de los evaluadores – Menos preciso
 ANÁLISIS DE RIESGOS

• Calculo del riesgo

RIESGO = Factor de ocurrencia x Impacto

Amenazar y Vulnerabilidades

• Definición del riesgo aceptable

• Plan de tratamiento de Riesgos

• Riesgo residual
 Tipos de Atacantes

Black hat: Un hacker de sombrero negro es un hacker que viola la seguridad

informática por razones más allá de la malicia o para beneficio personal. Los
hackers de sombrero negro son la personificación de todo lo que el público teme de
un criminal informático. Los hackers de sombrero negro entran a redes seguras
para destruir los datos o hacerlas inutilizables para aquellos que tengan acceso
autorizado.
 Tipos de Atacantes

White Hat: Un hacker de sombrero blanco rompe la seguridad por razones no

maliciosas; por ejemplo, para poner a prueba la seguridad de su propio sistema. El
término sombrero blanco en la jerga de Internet se refiere a un hacker ético. Esta
clasificación también incluye a personas que llevan a cabo pruebas de penetración
y evaluaciones de vulnerabilidad dentro de un acuerdo contractual. El Consejo
Internacional de Consultores de Comercio Electrónico, también conocido como EC-
Council, ha desarrollado certificaciones, cursos, clases y capacitaciones en línea
cubriendo toda la esfera del hacker ético
 Tipos de Atacantes

Grey hat: Un hacker de sombrero gris es una combinación de un hacker de

sombrero negro con uno de sombrero blanco. Un hacker de sombrero gris puede
navegar por la Internet y haquear un sistema informático con el único propósito de
notificar al administrador que su sistema ha sido hackeado, por ejemplo. Luego se
puede ofrecer para reparar su sistema por un módico precio.
 Pruebas de Seguridad Informática

ó n
ci
t ra
n e
P e
d e V S d e s
t i s d e
es l is d a
T á i l i
n
A ra b
n e
u l
V
Ambientes de Testeo
 Metodología Básica del Hacking

Reunión inicial: Para discutir lo concerniente al alcance y el objetivo de la prueba

de penetración, así como las partes involucradas. Así mismo se acordaran el
momento y la duración de las pruebas, la forma en cómo se presentaran los
resultados de las pruebas.

Recopilación de información y análisis: Proceso de investigación, examinando y

analizando los objetivos en orden de obtener información acerca de los mismos a
través de fuentes accesibles o públicas como: Nombres de Dominio, Sitios WEB,
Nombres de Servidores, Direcciones IP, Mapa de Red, Información ISP / ASP,
Propietarios del Sistema y del Servicio y así sucesivamente.
En esta fase también se obtiene información a través de técnicas como la ingeniería
social y el dumpster diving.
 Metodología Básica del Hacking

Detección de vulnerabilidades: Proceso de encontrar Puntos de acceso, Puertos

abiertos, cerrados y filtrados, Servicios activos, Tipos de Servicios, Tipo y nivel de
parcheado de las Aplicaciones de los Servicios, Tipo de Sistema Operativo, Listado
de vulnerabilidades, etc.

Pruebas de penetración: Es la etapa donde el auditor utiliza las vulnerabilidades

del sistema para comprometerlo, ponerlo en riesgo, tomar el control, obtener
información sensible o inducir una denegación de servicios a través técnicas de
hacking como exploids, ataques por diccionario, ataques por fuerza bruta, Hijacking,
etc.
Al igual que en la fase de recopilación de información, la ingeniería social puede ser
usada para capitalizar las debilidades del elemento humano de la organización.
 Metodología Básica del Hacking

Análisis y reporte: Del análisis de los resultados de la pruebas se plasmara en un

reporte el resumen de los escenarios de penetración con éxito, lista detallada de
toda la información recopilada durante las pruebas, lista detallada de todas las
vulnerabilidades encontradas con su respectiva descripción, y recomendaciones y
técnicas para resolver las vulnerabilidades encontradas.