“Analisis de vulnerabilidades en sistemas informáticos web desde la red de internet utilizando herramientas de hacking etico y la metodología OWASP ”

121 

(1)UNIVERSIDAD DE GUAYAQUIL. FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES “ANALISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ETICO Y LA METODOLOGÍA OWASP.” PROYECTO DE TITULACIÓN Previa a la obtención del Título de:. INGENIERO EN NETWORKING Y TELECOMUNICACIONES. AUTOR (ES): JEAN CARLOS RENDÓN TACLE JOSÉ STEVEN RAZA RIVAS. TUTOR: ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs.. GUAYAQUIL – ECUADOR 2019.

(2) REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS. TÍTULO Y SUBTÍTULO:. WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”. AUTOR(ES) (apellidos/nombres ): Rendón Tacle Jean Carlos y Raza Rivas José Steven REVISOR(ES)/TUTOR(ES) ( apellidos/nombres ): INSTITUCIÓN:. Ing. Padilla Gómez Renzo Rogelio. UNIDAD/FACULTAD:. FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA. MAESTRÍA/ESPECIALIDAD:. INGENIERIA EN NETWORKING Y TELECOMUNICACIONES. GRADO OBTENIDO:. INGENIERIA EN NETWORKING Y TELECOMUNICACIONES. FECHA DE PUBLICACIÓN:. Agosto 2019. ÁREAS TEMÁTICAS:. Networking Telecomunicaciones. UNIVERSIDAD DE GUAYAQUIL. No. DE PÁGINAS:. 118. PALABRAS CLAVES Auditoría, leyes, seguridad, vulnerabilidades, sistemas /KEYWORDS: informáticos En el presente proyecto de titulación acerca de análisis de vulnerabilidades en sistemas informáticos web desde la red de internet utilizando herramientas de hacking ético y la metodología OWASP se estableció que a través de estos se logra rastrear y evaluar las vulnerabilidades en los sistemas de información. El procedimiento planteado reside en realizar un levantamiento de información, luego se procede al análisis identificando los activos que evidencia riesgos. En conclusión se obtuvo que el planteamiento propuesto sea efectivo y permite identificar y evaluar las vulnerabilidades, ayudando a que los que administran las pequeñas empresas (Pymes) mejoren los riegos reales que se presentan permitiendo mitigar la vulnerabilidad de seguridad, estas herramientas son muy prácticas. ADJUNTO PDF: CONTACTO CON AUTOR/ES: CONTACTO CON LA INSTITUCIÓN:. X SI Teléfono: 0989155263. NO E-mail: jean.rendont@ug.edu.ec. Nombre: Ab. Juan Chávez Atocha Teléfono: 2307729 E-mail: juan.chaveza@ug.edu.ec. ii.

(3) CARTA DE APROBACIÓN DEL TUTOR. En. mi. calidad. de. Tutor. del. trabajo. de. titulación. ANÁLISIS. DE. VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP. Elaborados por el Señores RENDÓN TACLE JEAN CARLOS y RAZA RIVAS JOSÉ STEVEN, Alumnos no titulados de la Carrera de Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar que luego de haber orientado, estudiado y revisado, la apruebo en todas sus partes.. Atentamente. ING. RENZO ROGELIO PADILLA GÓMEZ. Mgs. TUTOR. iii.

(4) DEDICATORIA Dedico este proyecto de titulación de manera muy especial a mi hijo Jean Carlos Rendón Franco por ser mi fuente de motivación e inspiración para poder superarme cada día y así luchar para un futuro mejor, a mi esposa María José Franco Peñafiel mi pilar fundamental ya que con. sus. motivaciones. pude. culminar. mi. carrera. universitaria. También dedico este proyecto a mis profesores que con su ayuda adquirí conocimientos que fueron de gran contribución para el desarrollo de esta propuesta tecnológica.. Atentamente,. Jean Carlos Rendón Tacle. Dedico este trabajo a mis padres por haberme formado y ser la persona que soy en la actualidad, a mis hijos y esposa por ser mis compañeros de vida y me motivaron constantemente para alcanzar mis anhelos y metas. Atentamente,. José Steven Raza Rivas. iv.

(5) AGRADECIMEINTO Agradezco primordialmente a Dios por regalarme el don de la vida y guiar mis pasos día a día todos mis logros que son el resultado de tu bondad, a mis padres Juan Carlos Rendón del Salto y Jeysi Pilar Tacle Parra que a través de su ayuda he logrado salir adelante. A mi esposa por su apoyo y comprensión, a mi hijo por su gran amor.. Atentamente,. Jean Carlos Rendón Tacle. Agradezco infinitamente a Dios padre celestial por permitirme disfrutar la vida, agradezco a mi familia por ayudarme a llegar a esta meta. Agradezco a los profesores y la universidad en general por los conocimientos que me han otorgado.. Atentamente,. José Steven Raza Rivas. v.

(6) TRIBUNAL PROYECTO DE TITULACIÓN. Ing. Fausto Cabrera Montes, M.Sc DECANO DE LA FACULTAD CIENCIAS MATEMÁTICAS Y FISICAS. Ing. Abel Alarcón Salvatierra, Mgs DIRECTOR DE LA CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES. Ing. Ingrid Giraldo Martínez, Mgs PROFESOR REVISOR DEL PROYECTO DE TITULACIÓN. Ing. Juan Manuel Chaw, Mgs PROFESOR DE ÁREA DESIGNADO EN EL TRIBUNAL. Ing. Renzo Rogelio Padilla Gómez, Mgs PROFESOR TUTOR DEL PROYECTO DE TITULACIÓN. Ab. Juan Chávez Atocha, Esp. SECRETARIO (E) DE LA FACULTAD. vi.

(7) DECLARACIÓN EXPRESA. “La responsabilidad del contenido de este Proyecto de Titulación, me corresponden exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD DE GUAYAQUIL”. JEAN CARLOS RENDON TACLE y JOSÉ STEVEN RAZA RIVAS. vii.

(8) UNIVERSIDAD DE GUAYAQUIL. FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”. Proyecto de Titulación que se presenta como requisito para optar por el título de INGENIERO EN NETWORKING Y TELECOMUNICACIONES. AUTORES: RENDÓN TACLE JEAN CARLOS RAZA RIVAS JOSÉ STEVEN C.I. 0927113936 C.I. 0930294327 TUTOR: ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs.. Guayaquil, 30 de agosto de 2019. viii.

(9) CERTIFICADO DE ACEPTACIÓN DEL TUTOR. En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.. CERTIFICO:. Que he analizado el Proyecto de Titulación presentado por los estudiantes RENDÓN TACLE JEAN CARLOS y RAZA RIVAS JOSÉ STEVEN, como requisito previo para optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo tema es:. “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”. Considero aprobado el trabajo en su totalidad.. Presentado por:. RENDÓN TACLE JEAN CARLOS RAZA RIVAS JOSÉ STEVEN. CÉDULA DE CIUDADANÍA N° 0927113936 CÉDULA DE CIUDADANÍA Nº 0930294327. TUTOR: ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs. Guayaquil, 30 de agosto de 2019 ix.

(10) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES. Autorización para Publicación de Proyecto de Titulación en Formato Digital. 1. Identificación del Proyecto de Titulación Nombre del Alumno: Jean Carlos Rendón Tacle –José Steven Raza Rivas Dirección: Cdla. Las Acacias Mz. D4. Villa 4 Teléfono: 0989155263. E-mail: jean.rendont@ug.edu.ec. Facultad: Ciencias Matemáticas y Físicas Carrera: Ingeniería en Networking y Telecomunicaciones Título al que opta: Ingeniero en Networking y Telecomunicaciones Profesor guía: Ing. Renzo Rogelio Padilla Gómez Título del Proyecto de Titulación: “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.” Tema del Proyecto de Titulación: “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”. x.

(11) 2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación.. Publicación electrónica:. Inmediata. X. Después de 1 año. Firma Alumno:. 3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o.TIFF.. DVDROM. CDROM. X. xi.

(12) ÍNDICE GENERAL Contenido. CARTA DE APROBACIÓN DEL TUTOR ............................................................... iii DEDICATORIA ........................................................................................................ iv AGRADECIMEINTO ................................................................................................ v TRIBUNAL PROYECTO DE TITULACIÓN ............................................................ vi CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................................... ix ÍNDICE GENERAL ................................................................................................. xii ÍNDICE DE TABLAS .............................................................................................. xv ÍNDICE DE GRÁFICOS ........................................................................................ xvi ABREVIATURAS ................................................................................................. xvii INTRODUCCIÓN .................................................................................................... 1 CAPÍTULO I ............................................................................................................ 3 EL PROBLEMA ................................................................................................... 3 PLANTEAMIENTO DEL PROBLEMA ............................................................. 3 Ubicación del problema en un contexto .......................................................... 3 Situación Conflicto Nudos Críticos .................................................................. 4 Causas y consecuencias del Problema .......................................................... 5 Delimitación del Problema ............................................................................... 6 Formulación del Problema............................................................................... 6 Evaluación del Problema ................................................................................. 6 OBJETIVOS ........................................................................................................ 8 OBJETIVO GENERAL ..................................................................................... 8 OBJETIVOS ESPECÍFICOS ........................................................................... 8 ALCANCE DEL PROBLEMA .............................................................................. 9. xii.

(13) JUSTIFICACIÓN E IMPORTANCIA ................................................................... 9 METODOLOGÍA DEL PROYECTO .................................................................. 10 CAPITULO II ......................................................................................................... 11 MARCO TEORICO ............................................................................................ 11 ANTECEDENTES DE ESTUDIO ...................................................................... 11 FUNDAMENTACIÓN TEÓRICA ....................................................................... 12 SEGURIDAD INFORMÁTICA ........................................................................... 12 Tipos de Seguridad Informática .................................................................... 14 VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS ............................ 15 Tipos de Vulnerabilidades ............................................................................. 16 Clasificación de las vulnerabilidades ............................................................ 16 AMENAZAS POR INTERNET........................................................................... 21 FASES DE UN ATAQUE INFORMÁTICO ........................................................ 22 TIPOS DE ATAQUES INFORMÁTICOS .......................................................... 24 ATAQUES A APLICACIONES WEB................................................................. 25 HACKING ÉTICO .............................................................................................. 26 Fases del Hacking Ético ................................................................................ 27 Tipos de Hacking Ético .................................................................................. 30 METODOLOGÍA OWASP ................................................................................. 33 AUDITORÍA INFORMÁTICA ............................................................................. 42 FIREWALL ......................................................................................................... 43 KALI LINUX ....................................................................................................... 46 FUNDAMENTACIÓN LEGAL............................................................................ 48 PREGUNTA CIENTIFICA A CONTESTARSE ................................................. 51 VARIABLES DE LA INVESTIGACIÓN ............................................................. 51 DEFINICIONES CONCEPTUALES .................................................................. 51 CAPITULO III ........................................................................................................ 52. xiii.

(14) METODOLOGÍA DE LA INVESTIGACIÓN .......................................................... 52 DISEÑO DE LA INVESTIGACIÓN .................................................................... 52 Tipo de Investigación ..................................................................................... 53 POBLACIÓN Y MUESTRA ............................................................................... 54 CRITERIOS DE INCLUSIÓN Y DE EXCLUSIÓN ............................................ 56 OPERACIONALIZACIÓN DE VARIABLES ...................................................... 56 Instrumentos de Recolección de Datos ........................................................ 58 Procedimiento de la Investigación................................................................. 59 Recolección de la Información ...................................................................... 61 PROCESAMIENTO Y ANÁLISIS ...................................................................... 61 DESARROLLO DE LA INVESTIGACIÓN ......................................................... 76 CAPITULO IV ........................................................................................................ 86 RESULTADOS CONCLUSIONES Y RECOMENDACIONES ............................. 86 RESULTADOS .................................................................................................. 87 CONCLUSIONES .............................................................................................. 88 RECOMENDACIONES ..................................................................................... 89 BIBLIOGRAFÍA ............................................................................................................. 90 ANEXOS........................................................................................................................ 92. xiv.

(15) ÍNDICE DE TABLAS Tabla N° 1: Causas y Consecuencias del Problema ............................................. 5 Tabla N° 2: Delimitación del Problema .................................................................. 6 Tabla N° 3: Clasificación de las Vulnerabilidades ............................................... 16 Tabla N° 4: Clasificación de las Amenazas ......................................................... 18 Tabla N° 5: Población........................................................................................... 54 Tabla N° 6: Tamaño de la muestra ...................................................................... 56 Tabla N° 7: Variables Independiente y Dependiente .......................................... 57 Tabla N° 8: Pregunta 1 ......................................................................................... 65 Tabla N° 9: Pregunta 2 ......................................................................................... 66 Tabla N° 10: Pregunta 3 ....................................................................................... 67 Tabla N° 11: Pregunta 4 ....................................................................................... 68 Tabla N° 12: Pregunta 5 ....................................................................................... 69 Tabla N° 13: Pregunta 6 ....................................................................................... 70 Tabla N° 14: Pregunta 7 ....................................................................................... 71 Tabla N° 15: Pregunta 8 ....................................................................................... 72 Tabla N° 16: Pregunta 9 ....................................................................................... 73 Tabla N° 17: Pregunta 10 ..................................................................................... 74 Tabla N° 18: Pregunta 11 ..................................................................................... 75. xv.

(16) ÍNDICE DE GRÁFICOS. Gráfico N° 1: Seguridad Informática según la norma ISO/IEC 17799 ................ 12 Gráfico N° 2: Sistema Informático ....................................................................... 15 Gráfico N° 3 Delitos informáticos ......................................................................... 19 Gráfico N° 4: Triángulo de la intrusión en la red ................................................. 22 Gráfico N° 5: Patrones de fuga de datos ............................................................ 25 Gráfico N° 6: Fases del hacking .......................................................................... 27 Gráfico N° 7: Pymes ............................................................................................ 32 Gráfico N° 8: Logo de Owasp .............................................................................. 33 Gráfico N° 9: Riesgo en la seguridad de las aplicaciones ................................. 36 Gráfico N° 10: Esquema de calificaciones de riesgo .......................................... 37 Gráfico N° 11: Comparación de Owasp Top 10 2013-2017 ............................... 38 Gráfico N° 12 Logo Owasp Zap ........................................................................... 41 Gráfico N° 13 Firewall .......................................................................................... 43 Gráfico N° 14: Logo de Kali Linux ....................................................................... 46 Gráfico N° 15: Diferencias entre Proyecto Factible y Proyecto de Investigación53 Gráfico N° 16: Porcentaje de Respuesta de la Pregunta 1 ................................ 65 Gráfico N° 17: Porcentaje de Respuesta de la Pregunta 2 ................................ 66. xvi.

(17) ABREVIATURAS UG. Universidad de Guayaquil. CC.MM.FF. Facultad de Ciencias Matemáticas y Físicas. TIC. Tecnologías de Información y Comunicación. URL. Localizador uniforme de recursos. S.O.. Sistema operativo. APIs. Interfaz de programación de aplicaciones. OWASP. Proyecto abierto de seguridad de aplicaciones. SQL. Lenguaje de consulta estructurada. PYME. Pequeña y mediana empresa. XML. Lenguaje de marcas extensibles. LDAP. Protocolo ligero/ simplificado de acceso a directorios. XSS. Secuencia de comandos de sitios cruzados. XXE. Entidades XML externas. NoSQL. No solo SQL. SSL. Capa de sockets seguros. xvii.

(18) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES “ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ETICO Y LA METODOLOGÍA OWASP.”. Autores: Jean Carlos Rendón Tacle José Steven Raza Rivas Tutor: Ing. Renzo Rogelio Padilla Gómez, Mgs.. Resumen En el presente proyecto de titulación acerca de análisis de vulnerabilidades en sistemas informáticos web desde la red de internet utilizando herramientas de hacking ético y la metodología OWASP se estableció que a través de estos se logra rastrear y evaluar las vulnerabilidades en los sistemas de información. El procedimiento planteado reside en realizar un levantamiento de información, luego se procede al análisis identificando los activos que evidencia riesgos. En conclusión se obtuvo que el planteamiento propuesto sea efectivo y permite identificar y evaluar las vulnerabilidades, ayudando a que los que administran las pequeñas empresas (Pymes) mejoren los riegos reales que se presentan permitiendo mitigar la vulnerabilidad de seguridad, estas herramientas son muy prácticas. Palabras clave: Owasp, seguridad informática, servicios web, auditorias, vulnerabilidades, riesgos.. xviii.

(19) UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES “ANALYSIS OF VULNERABILITES IN WEB COMPUTER SYSTEMS FROM THE INTERNET NETWORK USING ETHICAL HACKING TOOLS AND OWASP METHODOLOGY.” Autores: Jean Carlos Rendón Tacle José Steven Raza Rivas Tutor: Ing. Renzo Rogelio Padilla Gómez, Mgs.. Abstract. In the present degree project about vulnerability, analysis in web computer systems from the internet network using ethical hacking tools and the OWASP methodology it was established that through these it is possible to track and evaluate vulnerabilities in information systems. The procedure proposed is to carry out a survey of information, then proceed to the analysis identifying the assets that show risks. In conclusion it was obtained that the proposed approaches. effective. and. allows. the. identification. and. evaluation. of. vulnerabilities, helping those who manage small businesses (Pymes) improve the real risks that arise allowing mitigating security vulnerability, these tools are very practical. Keywords: Owasp, computer security, web services, audits, vulnerabilities, risk.. xix.

(20) INTRODUCCIÓN Actualmente la información es el activo más valioso de las organizaciones, los diferentes tipos de amenazas existentes quebrantan el funcionamiento de estas, es por eso que los virus, spyware, los cibercriminales y demás, diariamente utilizan diferentes maneras que al estar conectados al internet quebranta la seguridad de la empresa.. Hoy en día los riesgos son más que un problema de seguridad de información, las amenazas y vulnerabilidades están enlazas y pueden venir de manera interna o externa ocasionando daño.. Casi todos los códigos son maliciosos y fueron creados para extraer algún tipo de información. Es por eso que los cibercriminales obtienen muchas veces acceso total a la información que se encuentra almacenada representando un serio problema a una entidad ocasionado deterioro y muchas veces hasta el cierre del negocio.. Todo organismo debe contar con una ruta base para asegurar sus equipos, realizar un análisis permite identificar los huecos de seguridad y medir el impacto sobre sus activos y a través de los hallazgos posibilita la toma de mecanismos para fortalecerlos y hacerlos confiables.. Asegurar los datos siempre estará ligado con las formas de recuperarlos en caso de que sean extraídos, robustecer los sistemas para evitar ataques así como seguir estándares para obtener un excelente esquema de seguridad para no tener ninguna falencia.. A continuación, se puntualiza el contenido de capa capitulo que permitirá el desarrollo de la propuesta del proyecto de titulación.. 1.

(21) Capítulo I: en este capítulo se detalla el planteamiento del problema y la solución planteada para el análisis de vulnerabilidades así también las causas y consecuencias, los objetivos y la justificación del proyecto.. Capítulo II: es este capítulo se detallan todos los fundamentos teóricos que se utilizaran en base a la propuesta presentada y serán base fundamental para el tema propuesto.. Capítulo III: en este capítulo se redacta como se va a desarrollar la metodología de la investigación a través del análisis de vulnerabilidades de los sistemas web aplicando la metodología Owasp y la herramienta Hacking ético.. Capítulo IV: en este capítulo se muestran los resultados, conclusiones y recomendaciones obtenidos a través del desarrollo de la propuesta de este proyecto de titulación.. 2.

(22) CAPÍTULO I EL PROBLEMA PLANTEAMIENTO DEL PROBLEMA Ubicación del problema en un contexto Actualmente las aplicaciones web han evolucionado con el transcurso del tiempo donde los usuarios pueden efectuar consultas en línea realizar transacciones bancarias, imprimir comprobantes sin la obligación de estar presente en una entidad pero son seguras las aplicaciones web, realmente los piratas informáticos han vulnerado estos sistemas con mucho éxito ejecutando ataques denegación de servicio, suplantación e inyección SQL con la intención de entrar a la información confidencial de usuarios que ingresan a las páginas web para efectuar cualquier consulta en línea. A través de una auditoria de seguridad se facilita el conocer las vulnerabilidades que prestan los servidores web y en fundamento a esto elaborar un diseño de mejoras basado en estándares de seguridad de la información con el fin de mitigar los riesgos expuestos en los aplicativos web.. Con la presencia de sistemas web los usuarios han logrado manejar la portabilidad que proporcionan estos sistemas con mucho éxito ya que su cometido no es necesario en la instalación de programas informáticos en las distintas fases de trabajo para ejecutar tareas específicas o acceder a ficheros que contienen datos confidenciales, ya que las aplicaciones que provee servicios web se ejecutan desde el navegador desde un dominio establecido por una. 3.

(23) organización. Los procedimientos de información web son los que posibilitan la digitalización de los datos en mayores cantidades de volumen reduciendo el espacio en disco duro otorgando un estudio de procesamiento eficiente para el ingreso a los registros corporativos de forma inmediata.. Es mucho más fácil entrar a la información debido a las ventajas que proveen los aplicativos como es la portabilidad es decir que con una conexión a la red de internet los usuarios pueden descargar archivos, ejecutar consultas a la base donde se encuentran los datos, así como también el ingreso de información de los clientes y demás.. Con todo lo expuesto se pretende ejecutar un análisis de las fragilidades desde la red de internet en los sistemas de información con la intención de identificar las advertencias que pongan en riesgo la información confidencial de las entidades y elaborar un proyecto de remediación que permita gestionar las vulnerabilidades o teniéndolas bajo control para de esta manera evitar accesos ilícitos a la información sensible.. La seguridad informática radica en garantizar que los procedimientos de los sistemas de una estructura se utilicen de forma correcta y que el ingreso a la información de las compañías y la modificación de la misma solo sea posible por personas acreditadas y que estén dentro de los límites de su autorización.. Situación Conflicto Nudos Críticos El problema presente en los sistemas de información web es provocado porque algunas de las organismos que pertenecen al sector público y privado poseen desactualizados sus aplicaciones web, además no poseen un doble factor de autenticación que permita salvaguardar los pases de acceso, no existe un túnel encriptado de datos para acceder al sistema o poder transmitir información frágil a otros usuarios. Cada vez se presentan vulnerabilidades y amenazas que colocan en peligro los datos sensibles, haciendo referencia a la alta gerencia este siempre alerta para impedir que se efectúen intrusiones maliciosas por. 4.

(24) piratas cibernéticos. Sin embargo en la mayoría de las sociedades el pensamiento de los directivos, con respecto al aseguramiento de los activos lógicos no es considerado tan importante lo que conlleva a que exista poca financiación en seguridad informática generándose nuevos riesgos que produzcan ataques informáticos violentando la confidencialidad e integridad de la información. Una compañía que sufre una infracción informática genera pérdidas en sus activos y produce daños permanentes.. El proveer servicios web en redes públicas sin tomar en consideración las disposiciones de seguridad correspondientes compromete la confidencialidad, integridad y disponibilidad de la información. Siempre las compañías deben de tener implementada una norma de seguridad que crea políticas y definir controles que garanticen la conservación de los datos.. Causas y consecuencias del Problema A continuación se muestran las siguientes causas y consecuencias del problema: Tabla N°1: Causas y Consecuencias del Problema. Causas. Consecuencias. Información confidencial expuesta en el aplicativo web públicamente.. Provoca la sustracción sensible de información desde los usuarios internos.. Falta. de. conocimiento. sobre. las. Se produce que piratas. amenazas que desencadenan daños a los. informáticos realcen instrucciones. sistemas web.. maliciosas a las aplicaciones web interrumpiendo los servicios.. Poca. inversión. en. seguridad informática.. dispositivos. de. Sistemas de aplicación web vulnerable.. Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle-José Steven Raza Rivas. 5.

(25) Delimitación del Problema Tabla N°2: Delimitación del Problema Campo. Hacking ético. Área. Auditoría de Servidores Web. Aspecto. Sistemas de Información Web. Tema. Análisis de vulnerabilidades en sistemas informáticos web desde la red de internet utilizando el mecanismo de hacking ético y la metodología OWASP.. Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle –José Steven Raza Rivas. Formulación del Problema ¿Cómo contribuye el no uso del hacking ético al aumento de las vulnerabilidades en sistemas informáticos web de las pyme en la ciudad de Guayaquil actualmente?. Evaluación del Problema La forma de controlar las intrusiones maliciosas que pueden realizar los piratas cibernéticos alrededor de los sistemas de aplicación web, no es el adecuado y para resolver el problema se propone la elaboración de una auditoría de servidores web mediante el uso de la metodología de testeo de aplicaciones web OWASP.. A continuación se mencionan 6 propuestas de la evaluación del problema:. 6.

(26) •. Delimitado:. El. problema. presente. solamente. se. enfoca. a. vulnerabilidades presentes en las aplicaciones web de los sistemas tales como: fallos de seguridad de inyección SQL, XSS, denegación de servicio, puertas traseras para aplicaciones web y la falta de una configuración robusta en los servidores web. •. Claro: Los métodos para el análisis de vulnerabilidades en los sistemas web, enfocados en la metodología OWASP son: WEBACCO, OWASP ZAP, WPScan, FOCA y demás que se utilizaran en el concurrente proyecto de titulación a desarrollar. Conjuntamente se realizaran auditorías de seguridad informática con los S.O., Kali, Linux y Samurái.. •. Evidente: Se logrará detectar el comportamiento de cada vulnerabilidad expuesta en los sistemas de información web al ser explotada mediante ataques informáticos enfocados en las aplicaciones web. Además se identificaran los riesgos que perjudiquen a los sistemas de la entidad dando a conocer las fragilidades más peligrosas que provocan daños en los activos lógicos.. •. Original: El proyecto demuestra la originalidad debido a que se realizará un análisis de vulnerabilidades en los aplicativos web desde la red de internet aplicando la metodología OWASP.. •. Factible: Los mecanismos basados en OWASP a utilizar, está enfocada en la utilización de herramientas no licenciadas, es decir que no requerirán de gastos monetarios para la implementación; lo que permitirá el progreso de la auditoría de seguridad informática en las aplicaciones web con el fin de diagnosticar las posibles vulnerabilidades ya se trabajará con los sistemas operativos Kali Linux y Samurái.. •. Identifica los productos esperados: Los resultados que se irán obteniendo durante el desarrollo de auditoría de seguridad informática en los sistemas web será de gran ayuda para las organizaciones ya que. 7.

(27) tendrán evidencias de todas las vulnerabilidades y riesgos detectados en sus aplicaciones web.. OBJETIVOS OBJETIVO GENERAL. Establecer la contribución de la no aplicación del hacking ético al aumento de las vulnerabilidades en sistemas informáticos web mediante una investigación documental y de campo de las pymes en la ciudad de Guayaquil en la actualidad.. OBJETIVOS ESPECÍFICOS. 1. Determinar cuáles son las herramientas del hacking ético que nos permite evaluar las vulnerabilidades de los sistemas web por medio de indagación bibliográfica.. 2. Explorar cuales son los pasos a seguir para poder realizar un correcto y funcional análisis de las vulnerabilidades para las empresas pymes de (Agencias de Viaje) de la ciudad de Guayaquil que no poseen los recursos necesarios para proteger la información.. 3. Especificar los pasos en la aplicación de metodología OWASP en la búsqueda de vulnerabilidades en las pymes.. 4. Establecer recomendaciones basados en estándares de seguridad informática para mitigar los riesgos latentes.. 8.

(28) ALCANCE DEL PROBLEMA En este proyecto se definen los alcances que serán cumplidos con el desarrollo del mismo y que serán indicados de la siguiente manera: Análisis y detección de vulnerabilidades en los sistemas de información web desde la red de internet utilizando mecanismos basados en la metodología OWASP. Evaluación de los riesgos por medio de herramientas de test de intrusión enfocadas en OWASP. Elaboración de informes de auditoría detallando los resultados obtenidos mediante la evaluación de las aplicaciones empleando las fases de un hacker ético y definición de recomendaciones basados en el estándar de seguridad de la norma ISO 27001 para evitar intrusiones maliciosas en los sistemas de aplicación web.. JUSTIFICACIÓN E IMPORTANCIA La importancia de este proyecto comprender las vulnerabilidades en los sistemas de información web para poder elaborar un plan de mejoras y recomendaciones basada en. normas de seguridad informática con el propósito de mantener. protegida la información del usuario y que esta se mantenga disponible las 24 horas del día y los 7 días de la semana.. Debido a la confidencialidad de la información que manejan los sistemas de aplicación web es de suma importancia de ejecutar una auditoría de seguridad informática con el fin de que empresas de carácter gubernamental, de salud, financieras, académicas y demás puedan tomar acción ante cualquier incidente de seguridad que se pueda presentar en momentos determinados. Con esta auditoría damos anotar también las amenazas informáticas presentes en las aplicaciones web para poder tener los riesgos identificados y en base a estándares de seguridad de la información poder efectuar el respectivo tratamiento.. Para este trabajo de titulación se utiliza la herramienta de auditoría llamada OWASP, con el único fin de que la organización pueda tomar los planes de 9.

(29) prevención y de contingencia para el respectivo tratamiento de los riesgos detectados mediante auditoría, y así evitar que piratas informáticos accedan ilícitamente a los sistemas de aplicación web de la empresa con el propósito de atentar a la confidencialidad de la información.. METODOLOGÍA DEL PROYECTO Para el desarrollo del actual proyecto de titulación se ha empleado la metodología de Proyecto AGILE donde se detallan las siguientes fases:. ANÁLISIS Y DIAGNÓSTICO: Consiste en verificar el análisis y diagnóstico de los sistemas de información web inicialmente para comprobar si es vulnerable a intrusiones cibernéticas que pongan en peligro los procesos que se ejecutan en las aplicaciones web y fortalecimiento de las brechas de seguridad existentes.. DISEÑO: Después del análisis y diagnóstico ejecutado se procede a verificar lo que concierne al diseño a desarrollarse, respetando la disposición cronológica de cómo se va a ir efectuando el análisis y generando los respectivos informes.. IMPLEMENTACIÓN: Respetando el diseño perfilado, y como indica el orden cronológico proporcionado, se va a estar implementado OWASP junto con más herramientas de testeo con la finalidad de detectar riesgos, amenazas y vulnerabilidades en las aplicaciones web.. REALIZACIÓN DE PRUEBAS: Se desarrollaron las pruebas adecuadas en un ambiente de simulación controlado, para consecutivamente reafirmar que consecuencia puede causar las vulnerabilidades detectadas en dicho ambiente.. 10.

(30) CAPITULO II MARCO TEORICO ANTECEDENTES DE ESTUDIO Hoy en día la cantidad de información que se comparte en internet con lleva a riesgos y responsabilidades, cuando alguna organización experimenta un incidente de seguridad muy serio, referente a su inestabilidad que estos poseen, es necesario tratar este problema de manera urgente para su recuperación inminente. La seguridad informática juega un rol crucial en la coyuntura empresarial ganando relevancia con el objetivo de asegurar la integridad, disponibilidad y confidencialidad de la información.. Por medio de un estudio realizado por la Ingeniera en Sistemas Informáticos Rina Elizabeth López de Jiménez docente de la Escuela de Ingeniería en Computación ITCA-FEPADE sede central en el Salvador en el año 2017 en su apartado científico de pruebas de penetración en aplicaciones web usado hackeo ético, ella analizo las principales pruebas de intrusión en aplicaciones web con un breve prefacio de Pentesting, así como también los esenciales ataques que pueden sufrir las aplicaciones así como también indica que la 11.

(31) metodología OWASP está basada en dos fases: pasiva y activa y que su enfoque es “caja negra” preferiblemente poca o ninguna información conocida incluso en el contexto donde se realizaran las pruebas. Después realizar el análisis se confirma que ninguna aplicación web es perfectamente segura y libre de ataques pero con la práctica de las herramientas y metodologías necesarias las vulnerabilidades pueden ser superadas dando integridad y fiabilidad de la información que se manejan. (Lopez, 2017). A través de un estudio realizado en el año 2016 por el estudiante Oswaldo Tamayo Veintimilla que el objetivo es analizar la situación actual sobre el manejo y control de la información en las empresas medianas y pequeñas, realizando un análisis comparativo de las principales herramientas para aplicar Ethical Hacking e identificar los privilegios, ventajas, desventajas de las mismas. (Tamayo, 2016) Actualmente existen muchas herramientas que tienen como finalidad detectar las vulnerabilidades informáticas en plataformas diferentes, estas permiten evaluar las posibles roturas de información que un equipo o sistema pueden tener dentro de una organización.. El propósito de este trabajo de investigación es detectar cuales son las vulnerabilidades existentes, aplicando la metodología OWASP y Hacking ético permitiendo demostrar las brechas de información existentes y que deben ser mitigadas con la finalidad de que la información se proteja y no sea sensible a los posibles ataques.. FUNDAMENTACIÓN TEÓRICA SEGURIDAD INFORMÁTICA Gráfico N° 1: Seguridad Informática según la norma ISO/IEC 17799. 12.

(32) Elaboración: Álvaro Gómez Vieites Fuente: Gómez Vieites, A. (2014). Enciclopedia de la Seguridad Informática.2° edición Es el procedimiento de informar y detectar el uso no autorizado de un sistema informático. Este consiste en proteger el uso de cualquier recurso informático con intenciones maliciosas así como también la probabilidad de acceder por accidente a ellos.. La seguridad informática es la disciplina que con base en políticas y normas internas y externas de la empresa, se encarga de proteger la integridad y privacidad de la información que se encuentra almacenada en un sistema informático, contra cualquier tipo de amenazas, minimizando los riesgos tantos físicos como lógicos, a los que está expuesta.(Baca , 2016, p. 12). Actualmente la seguridad informática es importante para cualquier tipo de empresa sea publica o privada ya que a traves del internet como fuente principal de acceso se han implementado un sinnumero de aplicaciones que sirven para todas las areas permitiendo que se automaticen los procesos Esta se caracteriza por la protección de la información por lo cual existen tres principios basicos:. Integridad de los datos.- es la modificacion de la informacion este debe ser conocido y autorizado por la organización.. Disponibilidad del sistema.- es la operacion inintrrumpida para mantener la productividad y la credibilidad de la organización.. Confidencialidad.- es la divulgacion de la información esta debe ser autorizado y los datos protegifos contra cualquier ataque que violen este principio.. 13.

(33) Tipos de Seguridad Informática La seguridad informática se divide en tres clases:. •. Seguridad de hardware: implica tanto la protección fisica como el control del trafico de una red ademas del constante escaner de un sistema.. •. Seguridad de software: se dedida a bloquear e impedir ataques maliciosos de hackers.. •. Seguridad de red: se aplica a traves del hardware y el software del sistema, protegiendo el uso, la integridad, la fiabilidad y los datos.. Como afirma Gómez(2014) “Una organización debe entender la Seguridad Informática como un proceso y no como un producto que se puede “comprar” o “instalar”. Se trata, de un ciclo iterativo, en el que se involucran actividades como valoración de riesgos, prevención, detección y respuesta ante incidentes de seguridad” (p. 5). Mantener mecanimos y tácticas para mitigar los riesgos de una organización es el valor fundamental para una adecuada seguridad de la información.. Las empresas actualmente se preocupan y valoran la seguridad. para ello. establecen normas o protocolos tales como limitar el uso y acceso a la red e internet, autorización o restricciones de funciones de software, creación de perfiles de usuarios, protección a redes inalambricas. En las compañías siempre debe haber un protocolo que actue ante amenazas o robos, fallos, falla de suministros, asi como evitar el uso no autorizado de intrusos, pero los autenticos protagonistas de la seguridad en las empresas son los empleados ya que son los que utilizan los dispositivos tecnologicos.. 14.

(34) VU Gráfico N° 2: Sistema Informático. LNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS. Fuente: Purificación Aguilera (2010). Seguridad Informática Autor: Purificación Aguilera López La vulnerabilidad es el punto débil que pone en riesgo la confidencialidad y la integridad de la información.. Probabilidades que existen de una amenaza se materialice contra un activo. No todos los activos son vulnerables a las mismas amenazas. Por ejemplo, los datos son vulnerables a la acción de los hackers, mientras que una instalación eléctrica es vulnerable a un cortocircuito. Al hacer el análisis de riesgos hay que tener en cuenta la vulnerabilidad de cada activo.(Aguilera, 2010, p. 14). Una vulnerabilidades la debilidad o el producto de una falla producida por el mal de diseño de un software, también puede ser las propias delimitaciones de la tecnología para la que fue diseñado. 15.

(35) En el enunciado escrito Baca (2016) define: “una vulnerabilidad constituye un hecho o una actividad que permite concretar una amenaza. Se es vulnerable en la medida en que no hay suficiente protección como para evitar que llegue a suceder una amenaza” (p. 31).Es tan importante tenerlas en cuenta; ya que podrían ser aprovechas, es por ello que las empresas deben tener un departamento de seguridad que se encargue de frenar el impacto de las amenazas o riesgos, solo así se puede asegurar que una vulnerabilidad informática no ocasione problema en los negocios.. Tipos de Vulnerabilidades Existen dos tipos de vulnerabilidades el primero conocido como vulnerabilidad teórica y el segundo y el que interesa al usuario conocido como vulnerabilidad real o “Exploit”. •. Vulnerabilidades que afectan equipos: módems, routers, cámaras web y de. video,. agendas. electrónicas,. faxes,. impresoras,. escáneres,. fotocopiadoras, teléfonos móviles. •. Vulnerabilidades que afectan programas y aplicaciones: sistemas operativos, servidores, bases de datos, navegadores, aplicaciones de oficina (word, excel), utilerías (winamp, wmp, flash).. Clasificación de las vulnerabilidades. En la siguiente tabla, se detalla la clasificación de las vulnerabilidades en los sistemas informáticos.. Tabla N°3: Clasificación de las Vulnerabilidades Calificación. Definición. Crítica. Permite la divulgación de amenazas sin que sea imprescindible la participación del usuario.. 16.

(36) Importante. Es capaz de poner en peligro la confidencialidad, integridad o disponibilidad de la información así como también de los recursos de procesamiento.. Moderada. Es el más sencillo de combatir ya que el peligro se puede reducir.. Baja. Su impacto es mínimo y no afecta a una gran masa de usuarios. Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle-José Steven Raza Rivas. Cada una de estas vulnerabilidades indica los peligros que están expuestas deben ser tomado con la mayor seriedad posible, para prevenir cualquier tipo de incidentes en la seguridad de los datos, documentos que tengamos almacenados.. Causas: •. Políticas de seguridad deficiente o inexistente.. •. Desconocimiento y falta de los responsables de informática.. •. Errores de programación.. •. Configuración inadecuada de sistemas informáticos.. •. Disponibilidad de herramientas que facilitan los ataques.. •. Limitación de las claves criptográficas.. •. Inadvertencia de los fabricantes.. •. Debilidad de los protocolos utilizados en el diseño de redes.. Amenazas: Es la acción para atentar contra la seguridad de la información de un sistema, estas pueden proceder de ataques internos como externos. “En sistemas de información se entiende por amenaza la presencia de uno o más factores de diversa índole (personas, maquinas o sucesos) que de tener la oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad”. (Aguilera, 2010, p. 13). 17.

(37) Una amenaza es una advertencia o un indicador que produce daño o se está produciendo a algún activo de la información de una organización. Las amenazas se incrementan a medida que las tecnologías avanzan, existen amenazas conocidas como malware (virus, gusanos, cookies, troyanos entre otros) que ponen en riesgo el funcionamiento de nuestros equipos, sistemas y redes.. Lo ideal es que hagamos uso de buenas normas de seguridad en las organizaciones colocando las barreras posibles y evitar que los enemigos de lo ajeno se adueñen del sistema.. Según su origen las amenazas se clasifican en: •. Accidentales: estos son desastres naturales, inundaciones, incendios, fallas en los ordenadores, en las redes, en los SO, software, redes, errores humanos.. •. Intencionadas: estas son hechas por el humano como el ingreso de software malicioso, robos, etc. Estas amenazas también pueden tener su origen fuera de la compañía o incluso en el mismo personal.. Tabla N°4: Clasificación de las Amenazas Tipo de ataque Interrupción. Daño que produce Obtener que un recurso de la red deje de estar disponible para sus usuarios.. Intercepción. Permite que el atacante acceda a la información almacenada en el sistema o que se esté transmitiendo por la conexión de red a otros usuarios de la misma.. Modificación. Interrumpir y manejar la información sin estar. 18.

(38) autorizado para hacerlo, lo que produce enorme daños. Fabricación. Es el más peligroso, ha sido diseñado para engañar al usuario cuando accede a una url que se supone que es legítimo.. Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle -José Steven Raza Rivas Desde cualquier punto de vista somos conscientes de que el mundo actual, los riesgos de ser víctimas de un incidente informático son muy probables, para lograr protegernos lo primero que debemos tomar en cuenta es conocer la manera más eficaz para activar una defensa ante ellas.. Gráfico N° 3 Delitos informáticos. Fuente: www.delitosinformaticos.com Autor: J. Alfocea Ataques: Es la intención organizada o preparado causado por una o más personas que causan daño o problemas a un sistema o una red. Los ataques se producen a partir de alguna debilidad o falencia existente en el hardware o software. “Un ataque informático es la forma más intensa de lo que puede ser considerado como una guerra cibernética, esto es, el uso de medios técnicos para pelear una guerra contra un enemigo en el ciberespacio” (Ambos, 2015, p. 12).. 19.

(39) Un ataque informático aparece de la propagación de un virus informático causando daños o eliminando datos, este ataque se produce de alguna falencia existente impidiendo el correcto funcionamiento de los sistemas. En gran parte los ataques actúan de manera silenciosa y las victimas no se dan cuenta del mismo hasta que esto no haya pasado.. Tal como las tecnologías se actualizan, las amenazas también evolucionan convirtiéndose en una preocupación para cualquier empresa o persona que necesita tener su información protegida. Es por eso que los riesgos existentes se han convertido en una prioridad para mitigar, por ello que las Pymes suelen ser las más afectadas a los ataques.. A continuación mencionamos los cuatro principales ataques:. 1. Malware El malware o software malicioso es una categoría de software diseñado para infiltrarse y dañar para infiltrase y dañar un sistema sin ser detectado. También conocidos como gusanos, troyanos, spyware y los ransomware todos estos secuestran la información de valor de un dispositivo con el propósito de solicitar transferencia en criptomoneda o moneda digitales como medio de rescate.. 2. Ataque DDOs Conocido como la prohibición del servicio distribuida, consiste en bloquear el acceso de una url y, en simultáneo, el ataque al servidor mediante la admisión de información a gran volumen (por ejemplo, falso envío de solicitudes. 3. Phishing Es un procedimiento usado por los agresores para robar la identidad de un usuario o de una empresa esto se realiza mediante correos electrónica, para obtener datos personales o bancarios.. 4. Baiting Dirigido a infectar equipos y redes a partir de almacenamiento extraíbles tales como pen-drivers, tarjetas SD o discos duros externos. Software malicioso que. 20.

(40) ingresa de forma externa al ordenador, su estrategia es que el delincuente coloque dispositivos de almacenamiento externos en los alrededores de la compañía (Estefan, 2015).. AMENAZAS POR INTERNET Actualmente los peligros por internet son más inminentes, por el mismo hecho de la modernización por la cual las personas tienen más conocimientos de esta índole.. Entre los principales internautas que amenazan la seguridad de la información tenemos:. Hackers Es un sujeto con grandes conocimientos en el área informática, teniendo la inteligencia de dominar muchas actividades desafiantes desempeñándose de manera extraordinaria para causar daño o por otras razones.. Crackers Es considerado como un individuo vandálico virtual, es el que ataca a los sistemas para conseguir beneficios de forma ilegal o, simplemente, para causar algún daño a las empresas.. Sniffers Son sujetos que se dedican a rastrear, descomponer y descifrar mensajes que se difundes a través de las redes.. Phreakers Son sujetos especialistas en sistemas telefónicos, que confunden a las compañías telefónicas; estos se orientan al hacking.. Spammers. 21.

(41) Son los que se dedican a hacer Spam en internet, los hacen con diversos fines para bombardear a cientos de usuarios ocasionando la caída de los servidores y el exceso de correo electrónico en los buzones .Muchos de estos mensajes contienen código malicioso para hacer estafas.. Lamers ("wannabes"): Script-kiddies o Click-kiddies Son personas que han adquirido herramientas o programas con el fin de realizar ataques informáticos generalmente desde los servidores de Internet.. Piratas Son los que se especializan en la falsificación de aplicaciones o programas, incumpliendo la ley de propiedad intelectual.. Gráfico N° 4: Triángulo de la intrusión en la red. FASES DE UN ATAQUE INFORMÁTICO. 22.

(42) Autor: Álvaro Gómez Vieties Fuente: Álvaro Gómez (2016). Seguridad en Equipos Informáticos. 1. Reconocimiento.- consiste en obtener información, en este proceso se utiliza varias técnicas.. 2. Escaneo.- es el proceso de escanear y examinar la información que se encuentra recopilada para encontrar las falencias existentes de seguridad.. 3. Acceso.- en esta fase el ataque se lo realiza a través de las falencias de las vulnerabilidades y falles que tenga el sistema.. 4. Mantenimiento.-se busca mantener el acceso del sistema, adicional se colocan mecanismos que permitan acceder a Internet las veces que sean necesarias.. 5. Borrar huellas.- durante este evento se procede a eliminar totalmente las huellas que el intruso coloco cuando accedió al sistema.. 6. Reconocimiento.- consiste en obtener información, en este proceso se utiliza varias técnicas.. 7. Escaneo.- es el proceso de escanear y examinar la información que se encuentra recopilada para encontrar las falencias existentes de seguridad.. 8. Acceso.- en esta fase el ataque se lo realiza a través de las falencias de las vulnerabilidades y falles que tenga el sistema.. 9. Mantenimiento.-se busca mantener el acceso del sistema, adicional se colocan mecanismos que permitan acceder a Internet las veces que sean necesarias.. 23.

(43) 10. Borrar huellas.- durante este evento se procede a eliminar totalmente las huellas que el intruso coloco cuando accedió al sistema.. TIPOS DE ATAQUES INFORMÁTICOS •. Malware: Software maligno que busca infiltrarse en un sistema con el fin de dañarlo.. •. Virus: Es la acción de infectar la información que se encuentra en el sistema con códigos maliciosos.. •. Gusanos: Es la ejecución de un programa que una vez que infecta el ordenador realiza la creación de copias iguales difundiéndolas en la red.. •. Troyanos: Es parecido a los virus pero no son iguales, este consiste en abrir las denominadas puertas traseras para que ingresen otros programas para dañar los archivos.. •. Spyware: Conocido como programa espía que tiene como finalidad la obtención de información.. •. Adware: Su función es la de exhibir publicidad, cabe indicar que su intención no es maliciosa ni tampoco dañar los ordenadores.. •. Ransomware:. 24.

(44) Esta técnica es utilizada con el fin de bloquear los dispositivos, exigiendo que paguen para recuperar la información robada.. Gráfico N° 5: Patrones de fuga de datos. ATAQUES A APLICACIONES WEB. Fuente: ictsecuritymagazine.com Autor: Verizon Frecuentemente las vulnerabilidades a las que están expuestas los servidores web son por malas prácticas desarrolladas a nivel de la infraestructura de la aplicación web, es de gran importancia entender que los sistemas de información web no solo deben estar diseñados para desarrollar en cumplir puntos planteados específicamente. sino que también deban salvaguardar la. información o datos producidos por ellos.. Los ataques en las aplicaciones web, son ahora el patrón más frecuente en las infracciones confirmadas, según la investigación realizada por Verizon “2017 Data Breach Investigations Report”, el 25.

(45) 88% de los casos de fuga de datos confirmados en el mundo cae dentro de alguno de los siguientes patrones.(Verizon, 2017). El ambiente de las amenazas para la seguridad en aplicaciones web avanza de un modo exuberante donde los elementos críticos son los avances tecnológicos ejecutados por los malos usuarios.. HACKING ÉTICO Es la forma en la que una persona usa sus conocimientos adquiridos en informática y seguridad con el propósito de ejecutar pruebas en la red así como también localizar las debilidades.. La acción de efectuar pruebas de intrusión controladas sobre sistemas informáticos; es decir que el consultor o pentester, actuara desde el punto de vista de un cracker, para tratar de encontrar vulnerabilidades en los equipos auditados que puedan ser explotadas, brindándole – en algunos casos – acceso al sistema afectado inclusive; pero siempre en un ambiente supervisado, en el que no se ponga en riesgo la operatividad de los servicios informáticos de la organización cliente. (Astudillo, 2016, pág. 6). Actualmente se sugiere a las empresas que contraten la asistencia de una empresa que ofrezca la función de hacking ético, esta debe estar certificada por organismos de reconocimiento mundial.. Objetivos: •. Preparar a una empresa para ser evaluada, permitiendo que sea accedida para detectar ataques y fortalecer la seguridad de sus sistemas.. 26.

(46) •. Acceder a los equipos de la organización con el correspondiente consentimiento de sus propietarios.. •. Detecta vulnerabilidades y debilidades en la infraestructura de las tecnologías de una compañía.. •. Elaborar informes de la problemática existente en la detección de falencias.. •. Facilita una mejor protección. a los sistemas de información de una. compañía.. Ventajas: •. Permite conocer las vulnerabilidades para la toma de los respectivos correctivos, antes de ser víctimas de un posible ataque.. •. Ahorro de costos y tiempo previniendo perdidas de información que pueden ocasionar gastos en la inversión de una empresa.. •. Proporciona el mantenimiento de la imagen de una entidad dando la confianza a los clientes.. Fases del Hacking Ético Gráfico N° 6: Fases del hacking. 27.

(47) Fuente: Karina Astudillo (2016). Hacking Ético 101 Autor: Karina Astudillo B. Las fases del hacking ético son:. 1. Reconocimiento:. Implica la recopilación de información de alguna compañía se lo puede realizar sin el consentimiento de la misma, normalmente se efectúa una búsqueda en internet para obtener información.. Las herramientas que se utilizan son los sniffing que fáciles de usar y generar la información valiosa que se necesita.. 1. Escaneo. Radica en tomar la información que se descubrió en la fase de reconocimiento y se utiliza para examinar la red. En esta fase se busca cualquier información que sirva para penetrar un ataque contra un objetivo ya determinado, las herramientas que se pueden usar en esta etapa son: •. Escaneo de puertos. •. Escáner de ICMP (Protocolo de mensajes de control de internet). •. Barrido de Ping. •. Barrido de SNMP. •. Mapeadores de red. 2. Obtener acceso:. En esta fase ya tiene acceso real al sitio, el ataque ahora es explotado y se obtiene el acceso al sistema destinado.. 28.

(48) La explotación ocurre de la siguiente forma: •. LAN (Local Área Network). •. Internet. •. Offline (sin estar conectado). Y se incluye las técnicas tales como: •. DoS (Denial of Service). •. DDoS (Distributed Denial of Service). •. Password Cracking (Romper o adivinar claves usando métodos como: Brute Force Attack o Dictionary Attack). •. Buffer Overflows (Desbordamiento de buffer). •. Sesión Hijacking (Secuestro de sesión). •. Ataques Man-in-the-middle. Este tipo de ataque puede ser a: •. Aplicaciones web. •. Sistema Operativo. •. Aplicativos de escritorio. •. Se puede aprovechar de configuraciones mal configuradas o por defecto. •. Nivel de destrezas que puede poseer ingenieros, profesionales de seguridad informática.. 3. Escribir informe. Esta fase se realiza una vez que finaliza con éxito la etapa de obtener acceso del sistema que se vulnero, la importante de esta fase en mantener el acceso al sistema. En este ciclo se puede lanzar nuevos ataques y vulnerando otros sistemas que se pretenda atacar sean estos que se encuentren dentro o fuera de la red pudiendo modificar cualquier. 29.

(49) tipo de información o archivos alterando el funcionamiento de las aplicaciones.. 4. Presentar Informe. En este estado se trata de destruir cualquier tipo de evidencia manteniendo el acceso al sistema que se encuentra comprometido evitando ser detectado.. Se utilizan las siguientes técnicas para ocultamiento de huellas: •. Tunneling. •. ELSave. •. Steganography. •. RootKits. •. Navegación Anónima: VPN, Tor, Prxys Anónimos. •. Eliminación de todas las cuentas de usuario que se creó.. •. Eliminar todos los registros donde se obtuvo el acceso.. Tipos de Hacking Ético. Existen dos tipos de hacking estos son: •. Hacking ético externo: Es el que actúa directamente desde el internet a una red pública; son los equipos que se encuentran expuestos a internet brindando sus servicios de manera abierta. Por ejemplo: servidor web, firewall, etc.. •. Hacking ético interno: Estese efectúa desde una red interna, permitiendo que se evalúe el estado actual de la seguridad de una empresa.. ¿Por qué contratar el servicio de hacking ético?. 30.

(50) Una de las razones es la de potenciar las capacidades de la seguridad informática dentro de una transacción; esto debe llevarse a cabo por un equipo profesional especializado con el propósito de identificar las fallas existentes.. La gran mayoría de estos ataques ayudar a identificar los accesos más frágiles de los sistemas informáticos y con la intención de fortalecer la integridad de la información de una organización.. Es esencial que se planifique para que este tipo de simulación sea eficaz, es por eso que los responsables deben definir los objetivos que desean conseguir y cuáles son las proporciones eficientes.. El propósito de este proceso es establecer las amenazas comunes dentro de un sistema, esto ayudará a reconocer las vulnerabilidades así como también la antelación de los posibles ataques, podemos obtener una gran ventaja a este tipo de riesgos. Es recomendable utilizar el hacking ético como un recurso habitual ayudándonos a prevenir las carencias que surgen en los sistemas. Es necesario contar con los recursos para dirigir una auditoría informática donde se diseñe las estrategias y prevenciones necesarias.. ¿El Hacking Ético es legal?. El hacking es legal siempre que pongamos a prueba nuestros sistemas con la intención de protegernos de los ataques latentes. La mayor parte de las empresas indican que permitir a un hacker ético para verificar las defensas de la organización es más que suficiente; es necesario que para esta acción se proporcione las actividades a las cuales se va a proteger.. Es muy común obtener acceso a los sistemas de una compañía porque se ingresa a través de sus socios, por otra parte las grandes corporaciones poseen. 31.

(51) medidas de seguridad fuertes; mientras que las pequeñas empresas su protección es débil o demasiado limitada.. ¿Por qué el hacking ético es un recurso fundamental para una pyme? Es primordial resguardar el mayor activo de una compañía que es su información, es de gran importancia que los datos estén asegurados más aún que los métodos para vulnerarlos son cada vez más letales; incluso llega hasta la. destrucción.. Gráfico N° 7: Pymes. Fuente: www.pied.mx/blog/ Autor: PIED La falta de conocimiento en este asunto genera un riesgo y una colisión económica que conlleva muchas veces a la quiebra de una empresa.. Es por ello que los expertos recomienda organizar una infraestructura de procesos dirigidos al negocio y que estos sean manejados por el personal calificado así como también que sus recursos tecnológicos sean especializados y que garanticen la confianza de los gerentes o altos mandos de la organización. Es necesario adoptar buenas prácticas para disminuir riesgos, a continuación detallamos algunas: •. Activar un firewall.. 32.

(52) •. Capacitar al personal de la empresa acerca de la seguridad de la información.. •. Efectuar pruebas para descubrir amenazas y vulnerabilidades en los sistemas.. •. Elaborar planes de contingencia sobre futuros que puedan suceder.. •. Realizar de manera constante copias de seguridad a los datos.. Gráfico N° 8: Logo de Owasp. METODOLOGÍA OWASP. Fuente: www.owasp.org Autor: OWASP. Es una técnica que realiza auditoría web de manera libre y práctica, orientada en el estudio de aplicaciones Web referentes a su seguridad, es utilizado en auditorías de seguridad. “El proyecto abierto de seguridad en aplicaciones web (OWASP por sus siglas en inglés) es una comunidad abierta dedicada a permitir que las organizaciones desarrollen, adquieran y mantengan aplicaciones y Apis en las que se pueda confiar”(The OWASP Foundation, 2017).. 33.

(53) OWASP proporciona información imparcial y práctica sobre la seguridad en las aplicaciones informáticas, esta metodología no está asociada a ningún tipo de compañía tecnología pero favorece el uso informático de tecnologías que se relaciones con seguridad, cabe indicar que OWASP recomienda que se debe orientar la aplicación de normas de seguridad de la información destacando fundamentando destacando: procesos, tecnologías y personas.. Los proyectos OWASP se dividen en dos considerables categorías:. Proyectos de documentación:. Guía OWASP.- es un documento enorme que facilita un manual minucioso sobre seguridad de aplicaciones en la web.. OWASP Top 10.- es un documento que se concentra en las fallas que poseen de manera crítica las aplicaciones.. Métricas.- es un plan que sirve para definir métricas ajustables de garantizando las aplicaciones.. Legal.- es un esquema para asistir a los compradores y vendedores de software para que negocien favorablemente sus contratos.. Guía de pruebas.- guía centrada en realizar una prueba efectiva en los programas web.. ISO 17799.- son documentos de apoyo para sociedades que se ejecutan bajo la norma ISO 17799.. AppSec FAQ.- son preguntas y respuestas usuales sobre normas de seguridad en la web.. Proyectos de desarrollo:. 34.

(54) WebScarab.- es una norma de exploración para vulnerabilidades incorporando herramientas proxy en los aplicativos.. Filtros de validación. - filtros genéricos para seguridad perimetral que pueden usar los desarrolladores particularmente en los sistemas.. WebGoat.- es una herramienta de forma segura y legal que interactúa de formación y benchmarking para que aprendan los clientes acerca de seguridad.. DotNet.- es un grupo de herramientas para securizar los entornos .NET.. En OWASP podemos encontrar: •. Controles de seguridad estándar y librerías.. •. Herramientas y patrones de seguridad en los programas.. •. Elaboración de código fuente seguro y las revisiones de las mismas. •. Libros de revisión de aplicativos en seguridad.. Riesgos en seguridad de aplicativos web. Los agresores usan diferentes segmentos de ataque a través de los aplicativos para hacer daño a cualquier entidad, cada vector es diferente, o no, suficientemente grave como para atender el problema.. 35.

(55) Muchas veces estas vías son sencillas de encontrar y explotar y difíciles, del mismo modo pueden no tener consecuencia en la red o dejarlo fuera de servicio.. Gráfico N° 9: Riesgo en la seguridad de las aplicaciones. Fuente: www.owasp.org Autor: Creative Commons Sin embargo las grandes y pequeñas corporaciones disponen de gran cantidad de servicios web que son publicados en Internet con el deseo de aumentar su producción entre los portales que son visitados por clientes, proveedores y empleados para impulsar sus beneficios y servicios.. ¿Cómo se calcula el riesgo?. 36.

(56) Owasp Top 10 se concentra en identificar los riesgos más severos para una amplia variedad de organizaciones. Estos riesgos se han determinado en un bosquejo de calificaciones.. Gráfico N° 10: Esquema de calificaciones de riesgo. Fuente: www.owasp.org Autor: Creative Commons Cada empresa es única así como también los agentes de amenaza por eso es fundamental comprender el riesgo y las impresiones que posean para tratar a la medida posible solucionarlos.. Para mejorar los aplicativos de seguridad se creó OWASP Top 10 versión 2017 este se enfoca en educar a los desarrolladores, arquitectos, diseñadores, gerentes y compañías en cuáles son sus debilidades más usuales e importantes en relación a las aplicaciones.. Cabe indicar que la verificación que los registros permiten al grupo de auditores garantizando una verificación de manera organizada en la plataforma para que todos las secciones de ataques sean analizados y detectando las falencias que existan.. Este procedimiento ayuda a renovar la protección y la seguridad de los aplicativos de nuestros clientes, existen dos tipos de modalidades de verificación de seguridad basado en OWASP 2017.. 37.

Show more

Nuevo documento

2.1 ARQUITECTURA DEL SISTEMA El sistema de polarización de cerámicas ferroeléctricas se compone de circuitos de potencia para generar el alto voltaje, un microcontrolador que se encarga

Requerimientos del proyecto Una vez realizado el análisis de las áreas a monitorear se pudo establecer los siguientes requerimientos: se necesita una cámara por cada área, esto debido a

Como un caso que merece un comentario aparte, se observó que en el proceso de soldado del acrílico negro y transparente a una potencia de salida fija a 1 W, con 1 ciclo de soldadura,

7 Extensible Markup Language Lenguaje de Marcado Extensible Meta-lenguaje que permite definir lenguajes de marcas desarrollado por el World Wide Web Consortium utilizado para almacenar

El presente proyecto tiene como propósito la implementación de calidad de servicio en una red convergente video, voz, datos usando el protocolo IPv6, para una empresa PYME tipo, para

De los 68 trabajadores encuestados, el 9% 6 personas está muy de acuerdo con la manera de dirigir el trabajo para lograr eficacia, el 18% 12 personas está de acuerdo, el 53% 36 personas

Para la realización de este objetivo se ha dividido en cuatro capítulos, en el primero se ha recopilado la parte teórica en el cual comprende la definición el funcionamiento del proceso

EVALUACIÓN DEL POTENCIAL TÉCNICO – ECONÓMICO DE LA TECNOLOGÍA DE CONCENTRACIÓN SOLAR FRESNEL PARA LA GENERACIÓN DE VAPOR EN LA INDUSTRIA AGROALIMENTARIA EN EL ECUADOR INTRODUCCIÓN El

Para la Tabla 3-9 y la Figura 3-79 se toma en cuenta todas las simulaciones para el escenario “A” y para el escenario “B”, entonces se suman los paquetes fallidos debido al ruido

Figura 84 - Coordinación de la entrega de producto terminado al cliente final Elaborado por: Saúl Guevara Fuente: Investigación propia.. D 3.1: Atender requerimientos de