UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
AUDITORIA DE SEGURIDAD DEL SERVIDOR WEB DE LA EMPRESA PUBLYNEXT S.A. UTILIZANDO MECANISMOS BASADOS EN OWASP
PROYECTO DE TITULACIÓN Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR(ES):
BRIONES PINCAY GERSON HAMNER HERNANDEZ PEÑAHERRERA ERIKA BELÉN
TUTOR: ING. JORGE ANTONIO MAGALLANES BORBOR
GUAYAQUIL – ECUADOR 2018
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: AUDITORIA DE SEGURIDAD DEL SERVIDOR WEB DE LA EMPRESA PUBLYNEXT S.A. UTILIZANDO MECANISMOS BASADOS EN OWASP
AUTOR(ES): Briones Pincay Gerson Hamner / Hernández Peñaherrera Erika
REVISOR(
REVISOR(ES)/TUTOR(ES): Ing. Jorge Antonio Magallanes Borbor / Ing. Ximena Carolina Ácaro Chacón INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD:
y Físicas Ciencias Matemáticas y Físicas
MAESTRÍA/ESPECIALIDAD: Ingeniería en Networking y Telecomunicaciones
GRADO OBTENIDO: No. DE PÁGINAS 200
FECHA DE PUBLICACIÓN:
ÁREAS TEMÁTICAS: Redes y Telecomunicaciones
PALABRAS CLAVES: OWASP, administración, vulnerabilidades, salvaguardar análisis.
RESUMEN: El presente documento expone la realización de una auditoría de seguridad en el servidor de la empresa Publynext S.A. Para dar a conocer el nivel de vulnerabilidad utilizando mecanismos basados en OWASP (open web application security project) con el objetivo de minimizar riesgos de amenazas brindando medidas de solución y recomendaciones.
ADJUNTO PDF SI: X NO
Nombre: Carrera de Ingeniería en Networking y Telecomunicaciones
II
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación, “Auditoría De Seguridad Del Servidor Web De La Empresa Publynext S.A. Utilizando Mecanismos Basados En Owasp” elaborado por los Sres. Briones Pincay Gerson Hamner y Hernández Peñaherrera Erika Belén, Alumnos no titulados de la Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
III
DEDICATORIA
A Dios principalmente por sostenerme y darme las fuerzas necesarias para seguir cada día ya que sin él en mi vida nada soy.
IV
DEDICATORIA
Mi Dios quien me sostiene y me levanta, me anima a crecer como persona, luchar por ser un ejemplo para mis sucesores y siempre apoyo incondicional, la educación y moralidad que fomentaron en mí, me ha ayudado a superar las metas propuestas con respeto y humildad, valores que resalto en ellos. A mis hermanos, tíos, abuelos y a mi novia que siempre me brindaron su tiempo e interés a mis preocupaciones, sin ellos no hubiera podido cumplir este gran logro.
V estuvieron siempre ahí alentándome a no desmayar.
A mi hermano Josué Hernández por ayudarme en todo el cuidado de para desarrollar este proyecto.
VI
AGRADECIMIENTO
En primer lugar, a Dios por darme salud, fuerzas y sabiduría
sin él no estaría donde estoy, nunca perdí
la Fe, y gracias a ÉL, estoy por conseguir mi Título Profesional. A mi Madre Gabriela Esperanza Pincay Rodríguez, quien siempre creyó en mí, con su amor y apoyo incondicional, no lo hubiera logrado.
A mi Padre Luis Hamner Briones Zúñiga, aunque la distancia no
nos dé el tiempo necesario, siempre se
VII
TRIBUNAL DE PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M. Sc. Ing. Harry Luna Aveiga, M.Sc. DECANO DE LA FACULTAD DE DIRECTOR CINT
CIENCIAS MATEMATICAS Y FISICAS
Ximena Acaro Chacón Victoria Haz López PROFESOR REVISOR PROFESOR REVISOR DEL AREA - TRIBUNAL DEL AREA - TRIBUNAL
Ing. Jorge Antonio Magallanes Borbor PROFESOR DIRECTOR DEL PROYECTO
DE TITULACIÓN
VIII
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este Proyecto de Titulación, me corresponde exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD DE GUAYAQUIL”
_____________________________________ BRIONES PINCAY GERSON HAMNER
IX
AUTORÍA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
“AUDITORIA DE SEGURIDAD DEL SERVIDOR WEB DE LA EMPRESA PUBLYNEXT S.A. UTILIZANDO MECANISMOS
BASADOS EN OWASP”
Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y
TELECOMUNICACIONES.
Autor: Briones Pincay Gerson Hamner C.I.:092580982-4
Autor: Hernández Peñaherrera Erika Belén
C.I.: 093086145-5
Tutor: Ing. Jorge Antonio Magallanes Borbor
X
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los estudiantes BRIONES PINCAY GERSON HAMNER y HERNANDEZ PEÑAHERRERA ERIKA BELÉN, como requisito previo para optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema es:
AUDITORIA DE SEGURIDAD DEL SERVIDOR WEB DE LA EMPRESA PUBLYNEXT S.A. UTILIZANDO MECANISMOS
BASADOS EN OWASP Considero aprobado el trabajo en su totalidad.
Presentado por:
BRIONES PINCAY GERSON HAMNER C.I.: 092580982-4
HERNANDEZ PEÑAHERRERA ERIKA BELÉN C.I.: 093086145-5
Tutor: Ing. Jorge Antonio Magallanes Borbor
XI
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES AUTORIZACIÓN PARA PUBLICACIÓN
Autorización para publicación de Proyecto de Titulación en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Gerson Hamner Briones Pincay Dirección: Cdla. Socio Vivienda Mz 4D Villa 5
Teléfono: 0990329052 E-mail: [email protected]
Nombre Alumno: Hernandez Peñaherrera Erika Belén
Dirección: Callejón Amazonas entre la Av. Assad Bucaram y la 32 Ava Teléfono: 0978623840 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Proyecto de titulación al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor tutor: Jorge Antonio Magallanes Borbor
Título del Proyecto de Titulación: Auditoria De Seguridad Del Servidor Web De La Empresa Publynext S.A. Utilizando Mecanismos Basados En Owasp
XII
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación.
Publicación electrónica:
Inmediata X Después de 1 año
Firma de Alumnos:
BRIONES PINCAY GERSON HAMNER C.I.: 092580982-4
HERNANDEZ PEÑAHERRERA ERIKA BELÉN C.I.: 093086145-5
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
XIII
DICE GENERAL
ÍNDICE GENERAL
CARTA DE APROBACIÓN DEL TUTOR ... II
DEDICATORIA ... III
AGRADECIMIENTO ... V
TRIBUNAL DE PROYECTO DE TITULACIÓN ... VII
DECLARACIÓN EXPRESA ... VIII
AUTORÍA ... IX
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ... X
AUTORIZACIÓN PARA PUBLICACIÓN ... XI
ÍNDICE GENERAL ... XIII
ABREVIATURAS ... XVI
ÍNDICE DE CUADROS Y TABLAS ... XVII
ÍNDICE DE GRÁFICOS ... XIX
PLANTEAMIENTO DEL PROBLEMA ... 4
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ... 4
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS ... 6
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ... 7
XIV
FORMULACIÓN DEL PROBLEMA ... 8
EVALUACIÓN DEL PROBLEMA ... 9
ALCANCE DEL PROBLEMA ... 12
OBJETIVOS DE LA INVESTIGACIÓN ... 12
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ... 13
CAPÍTULO II... 15
MARCO TEÓRICO ... 15
ANTECEDENTES DE ESTUDIO ... 15
FUNDAMENTACIÓN TEÓRICA ... 19
Auditoria Informática ... 19
Objetivos De La Auditoría Informática ... 21
Alcance de la Auditoría Informática ... 21
Seguridad en las aplicaciones web ... 22
Test de Penetración ... 22
Vulnerabilidad de las aplicaciones web ... 22
Vulnerabilidad en el almacenamiento de información ... 25
Vulnerabilidad en los protocolos de comunicación http y https ... 26
OWASP ... 27
Caja Negra ... 28
Documentación OWASP ... 29
Guía de Desarrollo Web Seguro ... 29
Guía de Pruebas ... 30
Tops 10 de OWASP ... 30
Riesgos de seguridad en OWASP ... 31
XV
Metodología de Valoración de Riesgo OWASP ... 38
FUNDAMENTACIÓN SOCIAL ... 47
FUNDAMENTACIÓN LEGAL ... 48
IDEA A DEFENDER ... 59
DEFINICIONES CONCEPTUALES ... 59
CAPÍTULO III... 63
METODOLOGÍA DE LA INVESTIGACIÓN ... 63
CAPÍTULO IV ... 85
PROPUESTA TECNOLÓGICA ... 85
ANALISIS ... 87
INFORME DE AUDITORIA ... 92
ANÁLISIS DE FACTIBILIDAD ... 122
Factibilidad Operacional ... 122
Factibilidad Técnica ... 123
Factibilidad Legal ... 125
Factibilidad Económica ... 126
ETAPAS DE LA METODOLOGÍA DEL PROYECTO ... 128
ENTREGABLES DEL PROYECTO ... 129
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ... 129
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ... 130
CONCLUSIONES Y RECOMENDACIONES ... 131
BIBLIOGRAFÍA ... 136
XVI
ABREVIATURAS
UG Universidad de Guayaquil FTP Archivos de Transferencia
HTML Lenguaje de Marca de Salida de Híper Texto Http Protocolo de Transferencia de Híper Texto Ing. Ingeniero
URL Localizador de Fuente Uniforme WWW World Wide Web (red mundial) XIII OMS Organización Mundial de la Salud JDK Kit de Desarrollo de Java
XVII
ÍNDICE DE CUADROS Y TABLAS
Cuadro No. 1 Causas y Consecuencias ... 7
Cuadro No. 2 Principales vulnerabilidades en aplicaciones web ... 23
Cuadro No. 3 Diez factores de riesgo ... 33
Cuadro No. 4 Determinación de severidad del impacto ... 40
Cuadro No. 5 Definiciones conceptuales ... 59
Cuadro No. 6 Cuadro Distributivo de la Población ... 66
Cuadro No. 7 Tamaño de la Muestra ... 67
Cuadro No. 8 Resultado Pregunta # 1 ... 70
XVIII
Cuadro No. 10 Resultado Pregunta # 3 ... 73
Cuadro No. 11 Resultado Pregunta # 4 ... 74
Cuadro No. 12 Resultado Pregunta # 5 ... 76
Cuadro No. 13 Resultado Pregunta # 6 ... 78
Cuadro No. 14 Resultado Pregunta # 7 ... 80
Cuadro No. 15 Resultado Pregunta # 8 ... 82
Cuadro No. 16 Recursos Humanos ... 127
XIX
ÍNDICE DE GRÁFICOS
Figura No. 1 Políticas de seguridad establecidas por OWASP ... 18
Figura No. 2 Ataque Genérico ... 32
Figura No. 3 Representación de firewall en una red de computadoras ... 44
Figura No. 4 Fragilidad con los hackers ... 70
Figura No. 5 La información dentro de la empresa es segura ... 72
Figura No. 6 Robo de la información ... 73
Figura No. 7 Alertas por la herramienta OWASP ZAP ... 94
XX Niveles de Verificación de Seguridad en Aplicaciones de OWASP . 109
Figura No. 20 Arquitectura actual de Publynext .S.A. ... 111
Figura No. 21 Propuesta de solución arquitectura ... 113
Figura No. 22 Propuesta con un elemento adicional ... 117
Figura No. 23 Arquitectura de Publynext S.A con propuesta de solución ... 120
XXI
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
“AUDITORIA DE SEGURIDAD DEL SERVIDOR WEB DE LA EMPRESA PUBLYNEXT S.A. UTILIZANDO MECANISMOS BASADOS EN OWASP”
RESUMEN
Este proyecto de tesis tiene por propósito facilitar información acerca del método y técnica que permita conocer las vulnerabilidades del servidor web de la empresa Publynext S.A., donde se solicita salvaguardar información confidencial e impedir que se perpetúen ataques informáticos por usuarios maliciosos, por lo que se efectuará un análisis por medio de prueba de penetración para conocer el nivel de vulnerabilidad empleando mecanismos basados en OWASP (open web application security project) con el objetivo de minimizar riesgos de amenazas brindando medidas de solución y recomendaciones.
Palabras claves: OWASP, administración, vulnerabilidades, salvaguardar análisis.
XXII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN NETWORKING Y
TELECOMUNICACIONES
"SECURITY AUDIT IN THE WEB SERVER OF THE COMPANY PUBLYNEXT S.A. USING MECHANISMS BASED ON OWASP”
ABSTRACT
This thesis project is intended to provide information about the method and technique for knowing the vulnerabilities in the Publynext SA web server, where it is requested to safeguard confidential information and prevent the perpetuation of cyber-attacks by malicious users, so it will be carried out an analysis by means of a penetration test to know the level of vulnerability using the OWASP (open web application security project) method with the objective of minimizing threat risks by providing solution measures and recommendations.
Keywords: OWASP, administration, vulnerabilities, safeguard analysis.
Author: Briones Pincay Gerson Hamner Author: Hernandez Peñaherrera Erika Belén
1 INTRODUCCIÓN
En el presente trabajo de titulación previo a la obtención del título de
Ingeniero en Networking y Telecomunicaciones, se realizará una Auditoria
De Seguridad en el Servidor Web de la empresa Publynext S.A. utilizando
mecanismos basados en Owasp.
En la actualidad los sistemas de información han logrado facilitar de una u
otra forma las actividades de los usuarios, almacenan grandes cantidades
de información y es prioridad de cada organización el brindar a sus
usuarios servicios que estén disponibles así como que la información que
se maneja tenga confidencialidad e integridad.
Por tal motivo un requisito muy importante en las organizaciones es que
los sistemas de información cuenten con una implementación de políticas
y técnicas de seguridad que permita que la información este segura. Los
administradores de redes/sistemas deben hacer uso de un constante
monitoreo de los servicios brindados por la organización y más si se
2 amenazas mediante pruebas de detección de vulnerabilidades y plantear
métodos o planes para la mitigación de las mismas.
El proyecto contiene los capítulos que se indican a continuación:
En el capítulo I se hace mención a la identificación y planteamiento del
problema, las causas y consecuencias, los objetivos y alcance del
proyecto, el mismo que conforman un marco referencial para la
investigación.
En el capítulo II se detalla los conceptos que debemos conocer sobre el
tema para el estudio del caso, este proyecto de tesis va dedicado para
personas con un grado de conocimiento en los conocimientos de
servidores webs, programadores e instalaciones de red.
Se enfoca en presentar la metodología OWASP para el uso de nuestra
auditoria, utilizando las herramientas y documentos que caracterizan a
3 En el capítulo III, se detalla las encuestas realizadas a la empresa
Publynext con su debido formulario, para el análisis en términos de
población o conocimiento del proyecto de tesis.
En el capítulo IV expondremos la propuesta o solución de la auditoria,
detallaremos las conclusiones y recomendaciones sobre el análisis que
4 CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La aparición de los sistemas de información web han logrado que
los usuarios puedan manejar la portabilidad sin la necesidad de que
instalen programas en otras estaciones de trabajo para acceder a los
archivos confidenciales de la organización, estas aplicaciones web
5 reduciendo el espacio en disco de los ordenadores y dando un análisis y
procesamiento rápido para el acceso a los mismos de manera eficiente.
Con este método es más fácil el acceso a la información ya que
genera portabilidad es decir que los usuarios con una conexión a la red de
internet ellos podrán obtener el ingreso a los activos lógicos desde el
sistema de aplicación web.
La empresa Publynext S.A. es una compañía dedicada a prestar
servicios a fábricas, organizaciones corporativas y demás corporaciones
referente a promocionar sus productos mediante campañas publicitarias y
cortes comerciales, además de realizar gestiones en línea. Esta empresa
se ha visto envuelta por anomalías de seguridad, en las cuales, atacantes
maliciosos han afectado la productividad de los servicios de Publynext
S.A. llegando a producir un caos en el rendimiento de los sistemas de
aplicación web.
Actualmente la empresa Publynext que presta servicios de
Marketing Y Comercialización Integral (MCI desea conocer las amenazas
6 finalidad de asegurar la información confidencial almacenada en la base
de datos conectada al servidor web.
SITUACIÓN CONFLICTO. NUDOS CRÍTICOS
Algunas de las organizaciones de nivel público y privado no toman
en consideración la debida importancia de la confidencialidad de la
información representada en cada uno de los activos de gran importancia
para las empresas. Cada vez se presentan más vulnerabilidades y
amenazas en los sistemas de aplicación web, esto hace que la alta
gerencia esté alerta para impedir que se efectúen intrusiones maliciosas
por parte de los piratas informáticos. Sin embargo, en la mayoría de
empresas el pensamiento de los directivos, con respecto al
aseguramiento de la información de la empresa, no es considerado como
importante lo que conlleva a la falta de medidas de seguridad que puedan
impedir la perpetuación de delitos cibernéticos. Una empresa que sufre un
delito informático genera pérdidas de datos y produce daños permanentes
en las compañías.
El proveer servicios web en redes públicas sin las medidas de
7 información y la expone ante cualquier atacante malicioso que pueda
manipularla y modificarla en beneficio propio causando daños en los
activos lógicos de las organizaciones.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA Cuadro No. 1Causas y Consecuencias
Causas Consecuencias
• Información confidencial expuesta en el sistema de aplicación web de manera pública.
• Sustracción de información sensible por parte de usuarios internos.
• Falta de conocimiento sobre las amenazas
informáticos por la no toma de consideraciones a las
amenazas.
• Poca inversión en
dispositivos de seguridad informática.
• Sistemas de aplicación web vulnerables.
8 DELIMITACIÓN DEL PROBLEMA
Campo: Hacking Ético.
Área: AuditoríadeSeguridad Informática. Aspecto: Servidores Web.
Tema: Auditoria De Seguridad Del Servidor Web De La Empresa Publynext S.A. Utilizando Mecanismos Basados En Owasp.
FORMULACIÓN DEL PROBLEMA
¿Cuáles son las amenazas informáticas que posee el sistema de aplicaciones web en la empresa Publynext S.A.?
En los sistemas de aplicaciones web, las amenazas comunes
pueden ser: (1) modificaciones en la configuración de páginas web que
esté administrando la empresa, (2) robo de información, (3) modificación o
ataque por inyección en la base de datos; todas estas amenazas dan
apertura a que los crackers puedan hacer uso de la información
confidencial y dejar vulnerable el sistema de aplicaciones web de la
9 EVALUACIÓN DEL PROBLEMA
La manera de controlar los ataques informáticos que pueden
realizar los piratas cibernéticos hacia los sistemas de aplicación web, no
es el correcto y para resolver el problema se propone la realización de
una auditoría de servidores web mediante el uso de la herramienta de
auditoria OWASP.
Los 6 aspectos generales de evaluación son los siguientes:
Delimitado: El problema presente solo se enfoca en las vulnerabilidades de los sistemas de aplicación WEB tales como:
vulnerabilidades de SQL INJECTION, XSS, DoS (Denegación de
Servicio), la falta de una configuración robusta en los servidores WEB y
puertas traseras para aplicaciones WEB.
Claro: Las herramientas de test de intrusión enfocadas a OWASP tales como: OWASP ZAP, MALTEGO, WEBACOO y demás que se
utilizarán en el presente proyecto definirán claramente las
vulnerabilidades y amenazas en el sistema web de la empresa Publynext
10 Conjuntamente se realizarán auditorías de seguridad web
utilizando el sistema operativo Kali Linux, en la cual se aplicarán las fases
del proyecto de OWASP.
Evidente: Se logrará detectar el comportamiento de cada vulnerabilidad en el sistema de aplicación web al ser explotada por medio
del uso de ataques informáticos orientados a las aplicaciones web.
Además, se identificarán los riesgos que afectan a los sistemas
web de la empresa, y se dará a conocer cuáles son las vulnerabilidades
más peligrosas y que pueden producir daños en los activos de
información confidencial.
Original: El análisis de vulnerabilidades en los sistemas de aplicación web de Publynext S.A. por medio de OWASP demuestra la
originalidad del proyecto debido a que las organizaciones no poseen
11 Factible: Los mecanismos basados en OWASP a utilizar, está enfocada en el uso de herramientas no licenciadas, es decir que no
requerirán de gastos monetarios para la implementación; lo que permitirá
el desarrollo de la auditoría en la empresa Publynext S.A. ubicada en la
ciudad de Guayaquil.
Identifica los productos esperados: Los resultados que se generarán durante el proceso de auditoría de servidores web en la
empresa Publynext S.A. Será de gran ayuda para la misma ya que
tendrán evidencias de todas las vulnerabilidades y riesgos detectados en
el sistema de aplicación web.
Además estos resultados que se obtendrán en el desarrollo del
proyecto servirán como evidencia a la empresa para la toma de los
controles adecuados que ayudarán a proteger la información confidencial
almacenada en los sistemas de aplicación web de la compañía en
12 ALCANCE DEL PROBLEMA
En el presente proyecto se detallan los alcances que serán
cumplidos con el desarrollo del mismo y que serán indicados de la
siguiente manera: Análisis y detección de vulnerabilidades en el servidor
web de la empresa Publynext S.A. utilizando mecanismos basados en
OWASP, Evaluación de los riesgos por medio de herramientas de test de
intrusión enfocadas en OWASP, Elaboración de informes donde se
detallarán los resultados obtenidos de la auditoría de seguridad en el
servidor web en la empresa Publynext S.A. y definición de
recomendaciones basados en el estándar de seguridad de la información
ISO 27001 para evitar intrusiones maliciosas en los sistemas de
aplicación web.
OBJETIVOS DE LA INVESTIGACIÓN
OBJETIVO GENERAL
• Auditar la seguridad en el servidor web de la empresa PUBLINEXT
13 OBJETIVOS ESPECÍFICOS
• Evaluar las vulnerabilidades detectadas en el servidor web de la
empresa Publynext S.A. posterior al uso de la herramienta OWASP
ZAP.
• Proponer un plan de contingencia para la mitigación de riesgos y
amenazas presentes en el servidor web de la empresa Publynext
S.A. fundamentados en la Norma ISO 27001.
• Presentar un informe de los resultados generados en la auditoría
de seguridad en el servidor web de la empresa Publynext S.A.
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
Debido a la confidencialidad de la información que maneja el
servidor web es de vital importancia la realización de una auditoría de
seguridad. Con esta auditoría se dará a conocer las amenazas
informáticas presentes en los sistemas de aplicaciones web para poder
tener los riesgos identificados.
Cabe resaltar, que este proceso de auditoría se realizará dentro de
las instalaciones de la empresa y no en un ambiente de pruebas, lo cual
14 Para este trabajo se usará la herramienta de auditoría llamada
OWASP, con la finalidad de que la organización pueda tomar los planes
de prevención y de contingencia para el tratamiento de los riesgos
detectados en la auditoría, y así evitar que piratas informáticos accedan
ilícitamente a los sistemas de aplicación web de la empresa con el
15 CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DE ESTUDIO
Según el estudio realizado por (Jiménez, 2017) indica que:
El crecimiento y la evolución de la red de internet ha obtenido un
impacto de vital importancia en la forma de establecer canales de
comunicación por los usuarios para comunicarse con personas a través
de redes sociales, sistemas de video conferencia y demás por medio de
una aplicación web y la manera de realizar operaciones en línea,
16 incorporación de un sin número de sitios de comercio electrónico,
servicios web, bancos y redes sociales han ganado popularidad en el
mercado tecnológico donde podemos ver millones de usuarios
conectados a estos sitios web de servicios con el objetivo de efectuar
gestiones y/o procesos en línea, todo esto conlleva a que la información
pueda ser robada y/o alterada sino se utilizan las medidas de seguridad
necesarias para su manejo adecuado. (Jiménez, 2017)
Las computadoras conectadas a la red de internet son susceptibles
a intrusiones maliciosas ejecutadas por piratas informáticos que posee la
capacidad de poner en riesgos los sistemas de información con la
finalidad de tener el acceso ilícito a los datos de mayor validez de
organizaciones de un alto nivel corporativo, o causar daños a una gran
parte de los activos lógicos. Esta situación es fundamental para saber si
estos sistemas y redes de datos están protegidos contra cualquier tipo de
ataque cibernético. (Jiménez, 2017)
Generalmente las vulnerabilidades expuestas en servidores
web son producidas por las malas prácticas de los desarrolladores de
17 comprender que los sistemas de información web no solo deben
diseñarse y desarrollarse para cumplir los objetivos específicos
planteados por las organizaciones para los que se crean, sino que
también deben salvaguardar los datos e información generados en ellos.
Los ataques en las aplicaciones web son ahora el patrón más frecuente en las infracciones confirmadas, según un informe publicado por la compañía de investigaciones Verizon en el año 2016, detalla que algunas de las organizaciones desean implementar un programa de seguridad enfocado en proteger las aplicaciones web con el objetivo de establecer políticas basadas en la disminución de las 10 principales vulnerabilidades de OWASP, estos fallos de seguridad son ampliamente aceptadas como las más probables de ser explotados, y remediarlas disminuirá en gran medida su riesgo de incumplimiento. (VERACODE, 2017)
18 Figura No. 1Políticas de seguridad establecidas por OWASP
Fuente: https://www.veracode.com/directory/owasp-top-10 Autor: Veracode
En la figura N°1 se muestra a través de porcentajes como las
aplicaciones al pasar por un escaneo continúan fallando en el Top 10 de
19 La investigación realizada por (Security, 2013) manifiesta que:
El escenario de amenazas para la seguridad en aplicaciones web
se ha desarrollado de un modo inquebrantable donde los elementos
críticos de dicho progreso son los avances tecnológicos ejecutados por
los usuarios maliciosos, la liberación de nuevas tecnologías con nuevas
vulnerabilidades y seguridades agregadas, así como la extensión de
sistemas de información web cada vez más complicados. OWASP indica
que los sitios web con más debilidades presentes son los programados en
Joomla y WordPress donde con el uso de herramientas como WPSCAN y
JOOMSCAN se escanean todos las falencias de seguridad en la cual
muestran que tipo de ataque se puede establecer. (Security, 2013)
FUNDAMENTACIÓN TEÓRICA
Auditoria Informática
20 Según la auditoria en sistema de la información es un examen
realizado con carácter crítico objetivo y sistemático selectivo, con la
finalidad de evaluar la eficiencia y eficacia de los usos que se
pueden dar en los medios informáticos, con la finalidad de ver si
están brindando el soporte adecuado usado para el negocio y
metas.
La auditoría informática está enfocada en llevar a cabo la
valoración de reglas, inspecciones, metodologías e instrucciones que se
han implantado en una compañía para obtener confidencialidad,
congruencia, seguridad y privacidad de la información. La auditoría de
sistemas es un área concentrada en la auditoría que se origina y emplea
concepciones de auditoría en la rama de sistemas de información.
El objetivo final de un auditor de sistemas es proporcionar
recomendaciones al área de gerencia con el fin de optimizar o alcanzar
una apropiada inspección interna en ambientes de tecnología informática
21 Objetivos De La Auditoría Informática
(PINILLA, 2012) Es importante para un correcto desempeño en los
sistemas de información porque otorga los controles necesarios
para que los sistemas sean confiables y tengan un nivel alto de
seguridad, la evaluación implica a toda informática, tanto software
como hardware.
Alcance de la Auditoría Informática
Según (PINILLA, 2012) Los alcances en la auditoria informática se
definen con la necesidad del entorno a desarrollarse y viendo los
limites, donde se complementa con los objetivos de la misma.
Los alcances figuran al final de los informes, donde se determinan
perfectamente los puntos que se trataron y los que no lograron
22 Seguridad en las aplicaciones web
Con el proceso de pruebas que se realizan en el sistema web lo
que se intenta es investigar en el algún tipo de falencia por los servicios y
aplicativos, para no poner en riesgo la entidad de la empresa.
(MOSQUERA, 2015)
Test de Penetración
Es una prueba para sistemas informáticos, aplicaciones web o redes que permite descubrir las vulnerabilidades de la entidad que se esté
haciendo la prueba, el test es usado para revelar las vulnerabilidades así
poder evitar cualquier ataque o intento malicioso de parte de usuarios
externos o internos. (OWASP, 2017)
Vulnerabilidad de las aplicaciones web
23 En el siguiente cuadro se plasman las principales vulnerabilidades
en aplicaciones web:
Cuadro No. 2Principales vulnerabilidades en aplicaciones web
Vulnerabilidades Descripción
Cross-Site Scripting (XSS)
Ésta es una vulnerabilidad o,
mejor dicho, un conjunto de
vulnerabilidades que permiten,
utilizando los parámetros de
entrada de la aplicación, modificar
y añadir código a la misma. Son
vulnerabilidades que se
encuentran en el servidor, pero
caso, se va a explotar la confianza
en el servidor sobre el cliente. Es
24 cliente legítimo, utilizando datos
parciales del mismo. Esta
vulnerabilidad está presente en
formularios. Cuando estos se
envían al servidor, es necesario
asegurarse que la petición es
legítima y debemos asegurarnos
que el cliente ha realizado la
petición realizando los pasos
previos necesarios.
SQL INJECTION
Si los ataques XXS son peligrosos,
ya que pueden provocar un robo
de sesión, los SQL son aún más
porque permiten acceder y
manipular la BBDD. La idea es
modificar las consultas que hace la
aplicación a la base de datos,
aprovechando las entradas de
25 Fuente:
https://hacking-etico.com/2017/04/04/las-principales-vulnerabilidades-web/
Autores: Erika Hernández-Gerson Pincay
Los sistemas de información web deben obtener los resguardos
idóneos ante envestidas informáticas que se muestran diariamente,
tratando de eludir la seguridad de los sistemas, el propósito primordial es
conservar la privacidad, integridad y reserva de los datos recopilados.
Vulnerabilidad en el almacenamiento de información
(MOSQUERA, 2015) “El activo más significativo para una compañía son los datos que almacenan en sus sistemas, y deben continuar con una estrategia de copias de seguridad y consumar el calendario determinado para efectuar las copias de seguridad”.
La información es la parte substancial y principal para una
26 las actividades ejecutantes que consienten el progreso eficaz de la
compañía.
Vulnerabilidad en los protocolos de comunicación http y https
(MOSQUERA, 2015) “Una vulnerabilidad generalmente consiente que el atacante pueda adulterar a la aplicación, por ejemplo, evadiendo las inspecciones de acceso o ejecutando instrucciones en el sistema donde alberga la aplicación”.
El propósito del intruso o usuario malicioso una vez que ha eludido
la seguridad de los protocolos mediante técnicas de cifrados incluso
llegando a la base de datos, el cual contiene información de los métodos
de una estructura, el usuario malicioso ejecutará procesos de ataques
para examinar la debilidad de los procesos de cifrado de la seguridad de
la base de datos y poder ingresar a través de códigos-secuencias de
instrucciones de Inyección SQL, logrando adquirir la certificación del
acceso a los registros primordiales de la información recopilada.
27 Con el fin de evitar las amenazas de los potenciales ataques en los
sistemas de información web, se requiere examinar y reconocer las
estrategias, limitaciones y distribución de los procesos, comprobando que
las seguridades sean las adecuadas. (MOSQUERA, 2015)
OWASP
OWASP (Proyecto de seguridad de aplicaciones web abiertas) Es
un proyecto de seguridad en aplicaciones web open source que se
encarga de identificar y lidiar con las fragilidades presentadas en un
servidor web impidiendo que los usuarios maliciosos accedan a la
información privada recopilada en los sistemas de información web.
OWASP Foundation es una organización sin interés de ganancia que
apoya y maneja proyectos e infraestructura de OWASP. (Jiménez, 2017)
Los informes de estos proyectos contienen un manual de buenas
prácticas de OWASP considerablemente argumentada y autoevaluada
para que las instituciones se fundamenten en dicho manual con el
propósito de resguardar los datos que se acoplan en los sistemas web. El
28 fases que son las siguientes: pasivo y activo empleando la auditoría de
caja negra.(OWASP, 2017)
Caja Negra
El termino caja negra es usado en la auditoria para identificar el
tipo de test que se empleará.
Caja Negra hace referencia al análisis del sistema de información
web que se ejecutará remotamente sin conocer como está diseñado el
sitio web para hallar puertas vulnerables a un ataque. (OWASP, 2017)
Se comienza con la perspectiva de un usuario que desconoce de la
infraestructura del sistema web y se procede al ataque solo con la
información pública que brinda el sitio web como el nombre del domino.
La ventaja de esto, es que el auditor tiene la exclusividad de
encontrar lo mismo que podría encontrar el “hacker” porque el ataque es
29 Documentación OWASP
OWASP es un proyecto de código abierto en el cual enfatiza a la
comunidad a participar de manera voluntaria en los proyectos de testeo
en aplicaciones web, pruebas de intrusión o pruebas en el desarrollo de
software web seguro, con el afán de trabajar localmente para así abarcar
la mayor parte declarando proyectos globales.
OWASP es muy conocida por su documentación, a continuación
las más emblemáticas:
Guía de Desarrollo Web Seguro
Ø Es uno de los primeros documentos que publicó, año 2005, sigue
vigente.
Ø Habla de las buenas prácticas en el desarrollo de aplicaciones web.
Ø Explica la parte de desarrollo en la infraestructura y puntos de
30 Guía de Pruebas
Ø Se extiende a una explicación de más de 80 puntos de control en
11 categorías distintas, a tener en cuenta, tanto en el desarrollo
como en la revisión de seguridad.
Ø Está enfocado más en las pruebas de seguridad, el mismo usuario
aplique su test en su aplicativo web.
Ø Cubre todas las fases de desarrollo de aplicación web brindando
recomendaciones a los desarrolladores.
Tops 10 de OWASP
Ø Los tops son pequeños documentos donde se enumeran los
problemas más frecuentes en aplicaciones web.
Ø Es un proyecto muy reconocido en OWASP porque son bastante
concisos, directos y resumidos en la explicación de los problemas o
31 Riesgos de seguridad en OWASP
Los usuarios maliciosos pueden usar diferentes rutas del sitio web
para dañar la integridad del negocio u organización. Cada uno de estos
caminos que llegue a tomar el atacante puede no tener ninguna
consecuencia o podría ser potencialmente riesgoso tanto como para
dejarlo fuera del negocio.
La figura N°2 muestra los caminos en que un atacante informático
puede acceder a la aplicación y causar perjuicios a la empresa. El
atacante puede valerse de varias rutas para llegar a una debilidad,
invadiendo los controles de seguridad para acceder a las funciones o
recursos de la organización, de esa manera causa un impacto técnico y
32 Figura No. 2
Ataque Genérico
Elaborado por: (OWASP-CISO, 2015)
Fuente: https://www.owasp.org/images/1/19/Owasp-ciso-guide_es.pdf
Factores de Riesgo por OWASP
OWASP tiene un top 10 de los riesgos más propensos a ser
empleados contra las organizaciones. Para cada riesgo tiene información
relevante y genérica sobre la probabilidad y el impacto que puede llegar a
tener.
El siguiente cuadro muestra una sinopsis de los Riesgos más
33 que determinan a cada uno. Dichos elementos se establecieron en
relación a los inventarios disponibles y a la práctica del equipo Top 10 de
OWASP. Con el fin de entender estos riesgos para un aplicativo u
organización en particular, debe tomar en cuenta sus propios agentes de
amenaza y las consecuencias que podrían ser hacia la compañía;
entendiéndose por agente de amenaza a todo factor, suceso, y/o persona
que puede provocar algún daño. Inclusive las vulnerabilidades del
software son importantes, logran mostrar un riesgo grave si no se cuenta
con agentes de amenaza definidos.
Cuadro No. 3
Diez factores de riesgo
Elaborado por: (OWASP, 2017)
34 1. A1: Injection – Inyección
Las inyecciones pueden ser de tipo SQL, SO, LDAP y otras que
ocurren cuando los datos ingresados a la aplicación web no son
validados adecuadamente y son interpretados como parte de un
comando consulta. Un atacante hostil puede realizar una
inyección para ejecutar comandos peligrosos o acceder a datos
sin la autorización requerida. (OWASP, 2017)
2. A2: Broken Authentication – Inadecuada Autenticación
Las funciones de la aplicación que regulan la autenticación y la
gestión de sesiones son muy frecuentemente implementadas de
forma incorrecta. Un atacante puede comprometer las
contraseñas, llave y token, y explotar otros fallos para asumir la
identidad de otro usuario de la aplicación de forma permanente
o temporal. (OWASP, 2017)
35 Muchas aplicaciones web o APIs no protegen apropiadamente
la información sensible y privada de sus usuarios como
información financiera, de estado de salud y datos de
identificación personal. Un atacante puede robar o modificar los
datos que se encuentren débilmente protegidos para llevar a
cabo operaciones fraudulentas con tarjetas de crédito, robo de
identidad y otros crímenes. (OWASP, 2017)
4. A4: XML External Entity - XML External Entity
Muchos procesadores de XML antiguos y débilmente
configurados evalúan y procesan entidades externas dentro de
documentos XML. Estas entidades externas añadidas pueden
ser usadas para mostrar archivos internos, archivos
compartidos en la red, escaneo de puertos, ejecución de código
remoto, denegación de servicios y billion laughs attack.
36 5. A5: Broken Accces Control – Inadecuado Control de
Acceso
Muchas veces las restricciones de lo que lo usuarios están
permitidos a hacer no son apropiadamente aplicadas. Los
atacantes pueden explotar estas debilidades para acceder a
funcionalidades o datos de forma no autorizada como acceder a
cuentas de usuarios, ver archivos sensibles, modificar permisos
de 0061cceso, y mucho más. (OWASP, 2017)
6. A6: Security misconfiguration - configuración de seguridad incorrecta
La inadecuada configuración de seguridad es un problema
increíblemente común que ocurre cuando se realizan las
configuraciones mínimas funcionales o por defecto, S3 buckets
abiertos, cabeceras HTTP mal configuradas, mensajes de error
con información sensible y sistemas, frameworks, dependencias
y componentes no actualizados de forma oportuna. (OWASP,
37 7. A7: Cross-Site Scripting – Cross-Site Scripting
La vulnerabilidad a XSS ocurre siempre que una aplicación
incluye datos no validados al actualizar o re direccionar la
página web para ser procesados como parte de código
JavaScript. Un atacante podría ejecutar scripts en el navegador
de la víctima para robar sesiones, modificar el contenido en las
páginas web, y generar redirecciones a sitios maliciosos.
(OWASP, 2017)
8. A8: Insecure Deserialization - Deserialización Insegura
La des-serialización insegura ocurre cuando una aplicación
vulnerable recibe objetos maliciosos serializados. Esto puede
conducir a ejecución de código remoto, a instar a los usuarios a
realizar acciones peligrosas, inyecciones y elevación de
privilegios. (OWASP, 2017)
38 Muchos componentes como librerías, frameworks, y otros
módulos de software se ejecutan con los mismos privilegios que
la aplicación. Un atacante puede explotar un componente
vulnerable para ocasionar perdida de datos y tomar el control
del servidor. (OWASP, 2017)
10. A10: Insufficient Logging and Monitoring – Registro y Monitoreo Insuficiente
El registro y monitoreo insuficiente ocasiona que no exista
respuesta ante incidentes y permite a los atacantes penetrar los
sistemas, mantener un control persistente, ganar acceso a otros
sistemas y modificar, extraer y destruir datos. Muchos estudios
de este tipo de brechas muestras que el tiempo de detección de
estos ataques ronda los 200 días y son detectados por
procesos externos al de monitoreo. (OWASP, 2017)
Metodología de Valoración de Riesgo OWASP
OWASP propone una metodología para evaluar la severidad que
podrían tener las vulnerabilidades detectadas y la posible toma de
39 OWASP se basa en un modelo estándar de valoración de riesgo:
Riesgo = Probabilidad de Ocurrencia * Impacto
Según el estudio realizado por (Navarro Edison, 2016):
Esta metodología se basa en 6 pasos los cuales se detallan a
continuación:
1. Identificación de un Riesgo
Paso donde se identifican los agentes de amenazas, las
debilidades que pueden ser explotadas, mediante la
recopilación de información, y el impacto que causa en el
negocio.
2. Factores de Riesgo Estimación
Paso donde se estima la probabilidad de que la
vulnerabilidad sea descubierta y explotada por un atacante,
se puede medir en términos cualitativos y para una medida
40 3.- Estimación del Impacto
Paso donde se logra reflejar con mayor exactitud la
magnitud del impacto que tendría la materialización de la
vulnerabilidad tanto en el aspecto técnico como para el
negocio y se puede medir de 0-9. Donde el rango de 0 a 3
corresponde a un nivel bajo; de 3 – 6 corresponde a un nivel
medio; y de 6 – 9 corresponde un nivel alto.
4.- Determinación de la severidad del impacto
Paso donde se calcula la magnitud del riesgo, se usan dos
valores: la estimación de la probabilidad y la estimación del
impacto.
El siguiente cuadro hace referencia a los rangos de 0-9 para
determinar la magnitud del impacto.
Cuadro No. 4 Determinación de severidad del impacto Probabilidad de ocurrencia Niveles de impacto
0 a < 3 BAJO
41
6 a < 9 BAJO
Elaborado por: (OWASP, 2017)
Fuente: https://www.owasp.org/index.php/Top_10_2017-Top_10
5.- Resultados
Paso donde se detalla que vulnerabilidades tendrían más
impactos y que deberían ser corregidas inmediatamente.
6- Recomendaciones
Paso donde se sugiere que medidas deberían tomarse para
mitigar y poder dar una solución inmediata a la
vulnerabilidad identificada.
HERRAMIENTA DE OWASP
OWASP Zed Attack proxy (ZAP)
(OWASP, 2017) La página oficial de OWASP puntualizó
42 ZAP es una de las herramientas de resguardo de seguridad sin
costo más popular en el orbe y es sustentado activamente por centenas
de voluntarios en todo el mundo. Logra ayudarle a encontrar
automáticamente amenazas de seguridad en sus aplicativos web mientras
desarrolla y prueba sus aplicaciones. Asimismo es una gran herramienta
para testers con experiencia para emplear pruebas de seguridad
manuales.(Proxy, 2017)
Está diseñado para ser empleado por personas con un amplio
grado de experiencia en seguridad por lo cual es apto para los
programadores y testers que apenas inician en el mundo de las pruebas
funcionales. ZAP provee escáneres automáticos, así como un conjunto de
componentes que facilitan a encontrar vulnerabilidades de seguridad de
forma manual.
Según (Proxy, 2017) algunas de las especialidades de ZAP se
puntualizan seguidamente:
• Escáner automatizado
43 • Escáner de fuerza brusca
• Fuzzer
• Escaneo de puertos
• Autenticados SSL eficientes
• Proxy de expropiación
• De fácil instalación(sólo necesita java 1.6)
• Destreza de uso una preferencia
• Páginas de ayuda completas
• Totalmente difundido
• Bajo progreso activo
• Código abierta
• Open Source
• Plataforma liberada
Firewall
El firewall es un componente que facilita el monitoreo del tráfico de
red entre las conexiones entrantes y salientes, con el fin de limitar
accesos no esperados que logren infringir a dispositivos de la red. Existen
44 equipos y sistemas informáticos centralmente de una red y los de host
protegen a los dispositivos de computación o servidores brevemente a
partir de un centro de conexiones.
La figura N°3 muestra una representación gráfica de cómo actúa un
firewall dentro de una red de computadoras.
Figura No. 3
Representación de firewall en una red de computadoras
45 KALI LINUX
Kali es una distribución Linux delineada para la seguridad
informática. Mayormente las versiones de Linux son de código abierto y
sin ningún costo, así como la mayor parte de sus herramientas. Este
sistema operativo abarca una gran colección de instrumentos
consagrados a la auditoría informática entre las que se hallan las más
notorias son: nmap, metasploit, waf o john the ripper. Las aplicaciones se
encuentran separadas por secciones, las mismas que obedecen a la rama
de seguridad por las cuales están comprendidas. (Benito, 2014)
Según (Benito, 2014) el sistema Kali Linux posee las siguientes
características:
ü Robusto: tiene mayores números de herramientas para pentesting,
de las cuales se fueron optimizando.
ü Gratuito: los ensayos no son alterados por los autores en el tiempo,
así mismo tiene un sin números de código abiertos e intercesoras
que a pesar de no ser gratis por medio de algunas autorizaciones y
acuerdos con los proveedores la comercialización.
ü Open Source: tiene un repositorio donde podemos hallar el código
46
ü FHS: crea una distribución de los registros y la creación de los
mismos.
ü Tiene la finalidad de soportar un sin números de dispositivos
inalámbricos, donde consiste en circular apropiadamente sobre
gran variedad de hardware, las concurrencias usb las soportas y
dispositivos móviles.
ü Instaurado bajo un ambiente seguro: las seguridades en los
paquetes son efectuadas en Kali Linux donde se generan un sin
números de formas de seguridad, con la composición de las
plataformas.
ü Soporta múltiples idiomas, a pesar que la mayoría de sus
elementos fueron encriptados en inglés.
ü Personalizable: Es factible descargar una adaptación
completamente caracterizada de Kali en que solo abarque envíos
47 FUNDAMENTACIÓN SOCIAL
Con el progreso de los sistemas informáticos en diversas áreas es
necesario la seguridad, debido a que la información que viaja en la red
puede verse expuesta a ataques cibernéticos, uno de los recursos más
valiosos para las compañías es la información, es por ello que para lograr
validar y examinar la seguridad de un servidor web es necesario realizar
una auditoria en los servidores web de la compañía con el fin de detectar
posibles amenazas y mitigarlas a tiempo.
Los sistemas de información web tienen la necesidad de
salvaguardar la información de envestidas informáticas. Al tratar de eludir
la seguridad de los sistemas y obtener el registro de los procedimientos
pueden acceder a la información privada a través de las brechas de
seguridad. Auditar los servidores web mediante el uso de la herramienta
OWASP facilitará la identificación de vulnerabilidades, realizando análisis
al sistema de información que consiente examinar si cumplen las
48 Se propone minimizar las inseguridades brindando soluciones a
través de instrumentos y procedimientos especializados que permitan
realizar la auditoria en los servidores web de la empresa Publynext S.A.
detectando vulnerabilidades que existen y demostrando las soluciones en
el sistema de información web.
FUNDAMENTACIÓN LEGAL
El presente trabajo de tesis se administra en bases legales
legislativas que señala la Asamblea Nacional del Ecuador compendiada
en los siguientes artículos:
Art. 229.-
Ø Revelación ilegal de base de datos.- La persona que, en provecho propio o de un tercero, revele información registrada,
contenida en ficheros, archivos, bases de datos o medios
semejantes, a través o dirigidas a un sistema electrónico,
informático, telemático o de telecomunicaciones; materializando
voluntaria e intencionalmente la violación del secreto, la intimidad y
49 de libertad de uno a tres años. Si esta conducta se comete por una
o un servidor público, empleadas o empleados bancarios internos
o de instituciones de la economía popular y solidaria que realicen
intermediación financiera o contratistas, será sancionada con pena
privativa de libertad de tres a cinco años.
Ø Análisis del artículo 229.- El presente artículo indica la sanción correspondiente si una persona revela información de carácter
confidencial de los usuarios contenida en la base de datos de los
sistemas informáticos.
Art 230.-
Ø Interceptación ilegal de datos.- La persona que sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche,
desvíe, grave u observe, en cualquier forma un dato informático en
su origen, destino o en el interior de un sistema informático, una
señal o una transmisión de datos o señales con la finalidad de
obtener información registrada o disponible.
50 respaldo de alguna orden judicial, la misma contempla sanción con
prisión de tres a cinco años.
Art 232.-
Ø Ataque a la integridad de sistemas informáticos.- La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause
mal funcionamiento, comportamiento no deseado o suprima datos
informáticos, mensajes de correo electrónico, de sistemas de
tratamiento de información, telemático o de telecomunicaciones a
todo o parte de sus componentes lógicos que lo rigen, será
sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será sancionada la persona que:
1.- Diseñe, desarrolle, programe, adquiera, envíe,
introduzca, ejecute, venda o distribuya de cualquier manera,
dispositivos o programas informáticos maliciosos o
programas destinados a causar los efectos señalados en el
primer inciso de este artículo.
2.- Destruya o altere sin la autorización de su titular, la
infraestructura tecnológica necesaria para la transmisión,
51 la infracción se comete sobre bienes informáticos destinados
a la prestación de un servicio público o vinculado con la
seguridad ciudadana, la pena será de cinco a siete años de
privación de libertad.
Ø Análisis del artículo 232.- Este artículo manifiesta los tipos de incursiones que puede ocasionar una personar a un sistema
informático, las mismas que están penadas por el código orgánico
integral penal.
Art 233.-
Ø Delitos contra la información pública reservada legalmente.- La persona que destruya o inutilice información clasificada de
conformidad con la ley, será sancionada con pena privativa de
libertad de cinco a siete años. La o el servidor público que,
utilizando cualquier medio electrónico o informático, obtenga este
tipo de información, será sancionado con pena privativa de libertad
de tres a cinco años. Cuando se trate de información reservada,
cuya revelación pueda comprometer gravemente la seguridad del
52 utilización legítima de la información que sin la autorización
correspondiente revele dicha información, será sancionado con
pena privativa de libertad de siete a diez años y la inhabilitación
para ejercer un cargo o función pública por seis meses, siempre
que no se configure otra infracción de mayor gravedad.
Ø Análisis del artículo 233.- La utilización incorrecta de información clasificada considerada por el Estado como tal, es sancionada con
prisión a cualquier ciudadano que viole la seguridad de los
sistemas informáticos.
Art 234.-
Ø Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.- La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o
de telecomunicaciones o se mantenga dentro del mismo en contra
de la voluntad de quien tenga el legítimo derecho, para explotar
ilegítimamente el acceso logrado, modificar un portal web, desviar
o re direccionar de tráfico de datos o voz u ofrecer servicios que
53 de servicios legítimos, será sancionada con la pena privativa de la
libertad de tres a cinco años.
Ø Análisis del artículo 234.- Este artículo trata de la incursión a los sistemas de información de personas no autorizadas, la misma
que está catalogada como ilegal sancionada con privación de
libertad de tres a cinco años.
Sección Octava
Ciencia, tecnología, innovación y saberes ancestrales
Art. 385.- El sistema nacional de ciencia, tecnología, Innovación y saberes ancestrales, en el marco del respeto al ambiente, la naturaleza, la
vida, las culturas y la soberanía, tendrá como finalidad:
a. Generar, adaptar y difundir conocimientos científicos y
tecnológicos.
b. Desarrollar tecnologías e innovaciones que impulsen la
producción nacional, eleven la eficiencia y productividad,
mejoren la calidad de vida y contribuyan a la realización del
54 Art. 386.- El sistema comprenderá programas, políticas, recursos, acciones, e incorporará a instituciones del Estado, universidades y
escuelas politécnicas, institutos de investigación públicos y privados,
empresas públicas y privadas, organismos no gubernamentales y
personas naturales o jurídicas, en tanto realizan actividades de
investigación, desarrollo tecnológico, innovación.
El Estado, a través del organismo competente, coordinará el sistema,
establecerá los objetivos y políticas, de conformidad con el Plan Nacional
de Desarrollo, con la participación de los actores que lo conforman.
Art. 387.- Será responsabilidad del Estado:
a. Facilitar e impulsar la incorporación a la sociedad del conocimiento
para alcanzar los objetivos del régimen de desarrollo.
b. Promover la generación y producción de conocimiento, fomentar la
investigación científica y tecnológica.
c. Asegurar la difusión y el acceso a los conocimientos científicos y
tecnológicos, el usufructo de sus descubrimientos y hallazgos en el
55 d. Garantizar la libertad de creación e investigación en el marco del
respeto a la ética, la naturaleza, el ambiente.
e. Reconocer la condición de investigador de acuerdo con la Ley.
Art. 388.- El Estado destinará los recursos necesarios para la investigación científica, el desarrollo tecnológico, la innovación, la
formación científica, y la difusión del conocimiento. Un porcentaje de
estos recursos se destinará a financiar proyectos mediante fondos
concursables. Las organizaciones que reciban fondos públicos estarán
sujetas a la rendición de cuentas y al control estatal respectivo.
La fundamentación legal para los estudios según la nueva ley de
educación superior se refleja en los artículos:
Art. 8.- Serán Fines de la Educación Superior. - La educación superior tendrá los siguientes fines:
a. Aportar al desarrollo del pensamiento universal, al despliegue de la
producción científica y a la promoción de las transferencias e
innovaciones tecnológicas;
b. Fortalecer en las y los estudiantes un espíritu reflexivo orientado al
logro de la autonomía personal, en un marco de libertad de
56 c. Contribuir al conocimiento.
d. Formar académicos y profesionales responsables, con conciencia
ética y solidaria, capaces de contribuir al desarrollo de las
instituciones de la República, a la vigencia del orden democrático, y
a estimular la participación social;
e. Aportar con el cumplimiento de los objetivos del régimen de
desarrollo previsto en la Constitución y en el Plan Nacional de
Desarrollo;
f. Fomentar y ejecutar programas de investigación de carácter
científico, tecnológico y pedagógico que coadyuven al
mejoramiento y protección del ambiente y promuevan el desarrollo
sustentable nacional;
g. Constituir espacios para el fortalecimiento del Estado
Constitucional, soberano, independiente, unitario, intercultural,
plurinacional y laico;
h. Contribuir en el desarrollo local y nacional de manera permanente,
a través del trabajo comunitario o extensión universitaria.
Art. 71.- Principio de igualdad de oportunidades. - El principio de igualdad de oportunidades consiste en garantizar a todos los actores del
