Tarea 2 – Evaluar Procesos, metodologías y
herramientas enfocadas a la seguridad.
Gabriel Jaime Chavarria
informática
Ronald Javier Baez
Francia Milena Montoya
Universidad Nacional Abierta y a Distancia
Bogotá D.C., Colombia
gabboska@hotmail.com ; correo2@hotmail.com

Resumen— Los procesos de seguridad en las diferentes redes
informáticas se llevan a cabo mediante el análisis de cada una de
sus capas, iniciando por la capa perimetral, y pasando por las
capas de datos, encripcion, aplicación se deben tener en cuenta los
diferentes riesgos a los que se puede exponer cada una de estas
capas, y para enfrentar cada riesgo debemos saber a que tipo de
amenaza nos estamos enfrentando virus, malwares, amenazas
persistentes, ataques debido a vulnerabilidades, y todo este
conjunto de conceptos se debe medir, calificar y cuantificar por
medio de diferentes herramientas de auditoria que nos brinden la
seguridad de que los procesos, la infraestructura y la seguridad de
nuestros datos esten funcionando de manera óptima.
Palabras clave— Sniffing, Spoofing, MITM, Trashing, Riesgo,
Vulnerabilidad, Ingeniería Social.
Abstract— The security process in diferents networks are
getting analizing each one by one the layers of the system.starting
for the network , and continuing for the next layers as data,
encryption, and application , it should be mind the different risks
on the system and the different risks in layers; in order to
confront every threa we should know everything about of them,
virus, exploits , apt, ddns, and vulnerabilities in the system, the
whole concepts should be measure with different tools that can
give us the security that the system and its components are
working ok.
Keywords— Sniffing, Spoofing, MITM, Trashing, Risk,
Vulnerability, Social engineering.
I. INTRODUCCIÓN
El presente trabajo se realiza con el fin de conocer y analizar
de forma correcta y coherente las herramientas de seguridad y
ataques informáticos teniendo como base principal los
conceptos básicos de la seguridad informática, con el fin de
Evaluar Procesos, metodologías y herramientas enfocadas a la
seguridad informática.
Para una mejor revisión de cada uno de los aportes de los
integrantes del grupo se decidió escoger colores asi: Gabriel
Jaime Chavarria color Rojo, Ronald Javier Baez color Verde,
y Francia Milena Montoya color Azul.
II. DESARROLLO INTERROGANTES
1. Argumentar porqué es importante y qué objetivo técnico
tiene las siguientes temáticas en un experto en seguridad:
Seguridad en redes.
La seguridad en redes es uno de los ítems más importantes a
nivel de seguridad informática debido a que por los diferentes
canales no solo viaja la información, sino también el programa
maligno, los virus, además de los diferentes intentos de
ataques se dan por esta capa perimetral de los sistemas,
básicamente se deben colocar políticas a los diferentes
firewalls perimetrales con el fin de proteger la red de las
diferentes vulnerabilidades existentes.
Seguridad en bases de datos.
Las bases de datos son robustos manejadores de información,
en las que encontramos tanto datos sensibles, confidenciales
entre otros, es importante entonces la seguridad en base de
datos debido a que en esta se encuentran expuestos los
diferentes datos, y la mayoría de los ataques tienden a afectar
de alguna manera nuestros gestores de datos, dentro de las
políticas y buenas prácticas a tener en cuenta se requiere
realizar resoplados periódicos, tener los datos sensibles
encriptados, y tener las bases de datos aisladas de las
aplicaciones por medio de diferentes modelos de
programación.
Seguridad en páginas web
Las páginas web Son la interconexión entre los usuarios y las
bases de datos, de su protección depende en gran parte la
reducción de amenazas hacia los diferentes sistemas.
Las páginas web se hacen seguras desde el mismo instante en
que se desarrollan, pues existen estándares y modelos que nos
permiten evitar riesgos en estas aplicaciones, como lo es el
modelo vista controlador o los otros frameworks que aíslan las
capas de datos de la capa de aplicación.
Seguridad en Sistemas Operativos
El objetivo de la seguridad en sistemas operativos es mantener
cada uno de ellos en constante vigilancia y alerta de posibles
virus y amenazas existentes, pues es los diferentes sistemas
operativos encontramos instaladas aplicaciones de bases de
datos, servidores de aplicaciones entre otras, por lo cual se
requiere que cada sistema operativo este y se mantenga libre
de vulnerabilidades.
Criptografía
La criptografía es el método que sirve para salvaguardar la
confidencialidad e integridad de la información dentro de un
sistema, de esta forma se puede saber cuando un usuario es
quien dice ser y tiene los privilegios que dice tener, los
sistemas criptográficos se basan en complejos algoritmos los
cuales inicialmente son desarrollados por los ejércitos rusos o
americanos para proteger sus sistemas, y luego son liberados al
mundo.
Existen dos tipos de criptografía
• Simétrica: en esta el remitente de un mensaje cifra los datos
con una llave la cual también posee el receptor, el cual aplica
la misma llave con algoritmo de desencripcion
• . Asimétrica: Utiliza un par de llaves publica y privada, la
publica se puede difundir sin ningún riesgo y es la que se usa
para encriptar un mensaje antes de ser enviado, luego este
mensaje es descifrado con la llave privada, de las cuales cada
receptor puede tener una diferente.
Análisis forense.
El análisis forense es aquel que nos sirve para identificar las
diferentes causas de un ataque informático, además de revelar
el historial de una determinada máquina.
Mediante el análisis forense es posible determinar la historia
de un archivo, los eventos en una línea de tiempo, las fechas
de modificación del sistema, archivos borrados, creados,
descargados, paginas web visitadas entre otras.
Riesgo y control informático
Los riesgos informáticos son mediadas cuantitativas las cuales
nos indican que posibilidades se tienen de que un sistema, red,
o infraestructura tecnología pueda ser vulnerable a un ataque
informático, con base a esos niveles de riesgo se toman
medidas de control para atenuar o eliminar las grandes
posibilidades de riesgo, por ejemplo
Un antivirus desactualizado tiene un riesgo potencial del 100%
que todas las maquinas sean infectadas, y esto a su vez pone en
riesgo la información de cada una de las maquinas.
El control para evitar este riesgo es actualizar los antivirus y
tener respaldos de los datos.
Aspectos éticos y legales.
Los aspectos éticos y legales comprenden todo aquello que en
informática requiere ser del conocimiento o autorización de
algún superior, en ellos encontramos como parte legal los
diferentes licenciamientos, manejo de estándares para
seguridad informática, legislación colombiana normas y
castigos.
Dentro de los aspectos éticos encontramos la honestidad que
tiene un determinado grupo de trabajo a la hora de realizar sus
diferentes labores, ya sean desde la parte técnica si un cable se
poncha con la norma correcta, hasta la revelación completa de
los resultados de un análisis de vulnerabilidades a la empresa o
superior encargado.
2. Las amenazas avanzadas se consolidan como ataques de
última generación, es importante que usted como experto tenga
la capacidad de Describir por lo menos cuatro ataques tipo
APT “Advanced Persistent Threat” que se hayan dado en el
transcurso de 2019 a nivel mundial.
Ataque 1
En enero se descubrió que en los paquetes de distribución de
actualización para bios y sistema de arranque UEFI, se
encontraba un troyano el cual por medio de las direcciones
MAC de quipos de marca AZUS, personalizaba sus ataques.
Ataque2
Para el segundo semestre de 2019 una organización de
atacantes rusos intentó sabotear las elecciones de Ucrania, por
medio de un documento de Word, que al parecer intentaba
suplantar una agencia de acompañamiento político alemán.
Ataque 3
Para el segundo trimestre de 2019, se observaron filtraciones
de códigos, infraestructura, información de grupos entre otras
atribuidas al gusano Expetr, el cual ya había afectado en un
intento de sabotaje y noticias falsas en 2018 en plenos juegos
olímpicos de invierno.
Ataque 4
Riuk
Es un tipo de Ransomware personalizado, es decir apunta a
objetivos pequeños y específicos dentro de la red, y es
manejado de manera manual por sus atacantes.
Un ataque de este virus se dio en Jerez España, ayuntamiento
en el cual ya no confían es sus ordenadores y han vuelto a la
era de papel.
El virus penetro por medio de correos electrónicos, y de
inmediato evadiendo los antivirus dejo cercada la información
de los ordenadores.
3. El ecosistema de ataques informáticos avanza en cuanto al
desarrollo de algunos ataques, por otro lado existen ataques
desarrollados años atrás, pero logran evolucionar, usted debe
Describir como podría llevar a cabo un ataque a un sistema
informático y cómo debería protegerse la organización contra
este ataque. Dentro de los ataques que se deben trabajar deben
seleccionar dos ataques por integrante, los ataques disponibles
son los siguientes:
DDoS
Partiendo del hecho que a diferencia de un ataque de
denegación de servicio o DoS, para la ejecución de un ataque
de denegación de servicio distribuido o DDoS se usan varios
ordenadores simultáneamente, el procedimiento de ataque se
podría describir de la siguiente manera:
1. Se reclutan varios ordenadores infectándolos con un mismo
tipo de malware, con el objetivo de convertirlos en bots o
zombis.
2. Una vez infectados con el mismo malware se crea una
botnet, conjunto de bots o red zombi.
3. Se toma control de forma remota a dichos ordenadores.
4. Se envía el ataque simultáneamente desde los ordenadores
de la red botnet a un objetivo específico, generando una
denegación de servicio.
Como protegerse:
• Asegurarse que el proveedor de servicios de internet (ISP)
se encargue que el router esté debidamente configurado para
que detecte IP´s inválidas que provengan de posibles
atacantes.
• Evitar dejar los usuarios ADMIN, ROOT, SUPERVISOR
en el router.
• Examinar la configuración de los firewalls y routers
• Monitorizar actividad extraña en la red y mantener el
antivirus actualizado en todos los equipos de la empresa.
• Contar con equipos de seguridad especializados.
• Contratar servicios de protección contra ataques DDoS
como Aceleración Web y Protección DDoS.
APT
El acrónimo APT significa Advanced Persistent Threat
(Amenaza Persistente Avanzada) las cuales son un tipo de
malware creado específicamente para atacar empresa,
organizaciones o entidades del gobierno con el objetivo
principal de robar su información y mantenerse oculto a la
vista del mismo el mayor tiempo posible. las APT siempre
tienen un objetivo específico, es por esto que su fin es
comprometer un equipo especifico, que contenga información
de valor y sensible. dentro las más comunes APTs conocidas
tenemos los keylogger y los backdoor.
Las APTs son diseñadas para ser silenciosas, las cuales
permanecen por largos periodos de tiempo, no haciendo nadas
que propagarse en busca del objetivo específico,
manteniéndose en silencio y lo más ocultas posibles.
¿Cómo podemos protegernos de las APTs?
En el mercado existe muchos productos o herramientas que
nos permiten protegernos de las APT, una de ellas es contar
con un buen antivirus, pero no siempre esto nos funciona ya
que los atacantes pueden antes conocer que antivirus usa el
equipo y así evitarlo.
la gran mayoría de soluciones a las para la detección de APT
se basan en una solución de red, las cuales pueden detectar una
amenaza cuando se produce dentro de la red como es el caso
de los firewalls, pero no protegen al objetivo del ataque más
vulnerable, el usuario.
Para proteger los usuarios sean víctimas de este tipo de ataque
debe contar con soluciones de seguridad que se conectan a la
red, mantener todo el software y el firmware actualizados ya
que son la puerta de entrada para los atacantes. realizar
campañas de concientización a los empleados ya que estos son
los más vulnerables a este tipo de ataques a los cuales se les
debe evitar otorgar privilegios de administrador, para esto
también podemos realizar la instalación en los equipo de los
usuarios de pequeños agentes los cuales utilizan la potencia de
procesamiento del Cloud para realizar los análisis y bloquear
la infección y propagación de APTs a otros equipos, aunque
no se encuentre conectado a la red corporativa, y sin necesidad
de tener una firma para su detección.
Sql Injection
Conociendo que un ataque SQL Injection se origina cuando un
atacante inyecta y logra ejecutar un código SQL malicioso
(sentencia) en una base de datos, con el fin de destruir,
modificar tablas de la base de datos o extraer información, se
realiza la descripción de un ataque SQL Injection para extraer
información de una base de datos.
1. Buscar sitios vulnerables a inyección SQL. Una forma es
utilizando palabras claves o dorks en el buscador. Ejemplo
de un Dork.
INURL:PHOTO.PHP?ID=6
2. Verificar si la página web es vulnerable a inyección SQL,
esto se realiza colocando un apostrofe simple (´) al final de
la URL o su equivalente %27. Si al cargar la página se
genera algún aviso de error SQL, significa que es
vulnerable. Ejemplo:
URL original:
www.ejemplo.com/noticias.php?id=6
URL con el apóstrofe al final o su equivalente %27:
www.ejemplo.com/noticias.php?id=6%27
Generación del error al cargar la página.
“You have an error in your SQL syntax; check the manual
that corresponds to your MYSQL server version for the
right syntax to user near “6”LIMIT 1´at line 1”
3. A través de la herramienta sqlmap se realizará el ataque.
Ejecutar el sqlmap por línea de comando.
C:\Users\Documents\Tools\sqlmap>
4. Se identifican cuáles son las bases de datos del sitio web
utilizando la siguiente sintaxis:
C:\Users\Documents\Tools\sqlmap>sqlmap.py –u
http://www.ejemplo.com/noticias.php?id=6 --dbs
Resultado Ejemplo:
basedatos1
basedatos2
5. Una vez conocidos los nombres de las bases de datos
existentes se procede a identificar las tablas de la base de
datos seleccionada utilizando la siguiente sintaxis:
C:\Users\Documents\Tools\sqlmap>sqlmap.py –u
http://www.ejemplo.com/noticias.php?id=6 –D basedatos1
--tables
Resultado Ejemplo:
Users
directorio
temp
6. Luego se identifica las columnas o campos de la tabla
seleccionada utilizando la siguiente sintaxis:
C:\Users\Documents\Tools\sqlmap>sqlmap.py –u
http://www.ejemplo.com/noticias.php?id=6 –D basedatos1
–T directorio --column
Resultado Ejemplo:
7. Se extrae la información de la tabla seleccionada utilizando
la siguiente sintaxis:
C:\Users\Documents\Tools\sqlmap>sqlmap.py –u
http://www.ejemplo.com/noticias.php?id=6 –D basedatos1
–T directorio –dump
Sqlmap crea de forma automática un archivo.cvs con toda
la información de la tabla seleccionada, descargándolo en
la ruta donde esté instalado sqlmap en la supcarpeta output.
Ejemplo:
c:\sqlmap\output\www.ejemplo.com\dump\basedatos1\arc
hivo.csv
Como protegerse:
 Filtrar la entrada del usuario de caracteres SQL para
limitar los caracteres involucrados en un SQL
Injection.
 Proteger las instrucciones de búsqueda de modelos
coincidentes (LIKE)
 Verificar el tipo y tamaño de los datos de las entradas
de usuario, evitando caracteres peligrosos como
punto y coma [;], comilla sencilla o apostrofe („),
guion doble (–) ó aceptando solo caracteres
inofensivos.
 Comprobar todos los tipos de entrada incluyendo las
que no son visibles como campos tipo hidden de las
páginas web.
 En lo posible utilizar procedimientos almacenados,
utilizando parámetros para llamar dichos
procedimientos.
 Utilizar cuentas con mínimos privilegios para invocar
procedimientos almacenados o ejecutar sentencias
SQL. Para el caso de SQL Server jamás emplear „sa‟.
 No brindar información que sea útil para los atacantes,
como mensajes de error devueltos por los gestores de
base de datos.
Ransomware
El ransomware o también conocido como secuestrador de
información, es un programa de software malicioso que los
equipos de informáticos el cual encripta la información
contenida en este, y muestra mensajes que exigen el pago de
dinero para restablecer el funcionamiento del sistema o la
desencriptación de la información
Normalmente, el atacante o secuestrador solicita una
transferencia en dinero electrónico (bitcoins), para evitar el
rastreo y localización. Cada día este tipo de ataque va en
aumento y es uno de los más temidos en la actualidad.
¿Cómo podemos protegernos de las Ransomware?
para protegernos de los Ransomware debemos tener
actualizado el sistema operativo y todas las soluciones de
seguridad, mantener actualizados los antivirus y el firewall del
equipo habilitado; se deben activar la visualización de las
extensiones de los ficheros con el fin de evitar la ejecución de
código dañino camuflado como ficheros legítimos no
ejecutables, si es posible, deshabilitar servicio RDP,
bloqueando el puerto TCP/3389 o el configurado para el
servicio de RDP, concientizar y capacitar a los usuarios para
que reconozcan las amenazas antes de abrir archivos adjuntos
enviados por correo electrónico.
Phishing
Es una modalidad mediante la cual por medio de ingeniería
social un atacante simula ser una entidad de confianza para
engañar al usuario y obtener datos importantes como
contraseñas, números de tarjetas o demás datos que puedan
servir para realizar fraudes, o generar errores.

Por lo general el phishing se caracteriza por un Email con una
historia, o una amenaza, o prevención por parte de una
supuesta entidad, en este correo se dan algunas indicaciones y
se sugiere ingresar a un link el cual enruta a una página falsa
de la entidad la cual tiene cuadros de texto que grabaran la
información que el atacante requiere obtener.
Para atacar una compañía por medio de phishing la forma
como llevaría un ataque informático la llevaría por fases.
• Primero se requiere saber que aplicaciones maneja la
empresa, con que bancos interactúa, sus rutinas, frecuencias.
No dice la amenaza que necesariamente se tenga que simular
ser un banco, se puede realizar incluso con algún sistema de
gestión interno.
• Segundo una vez identificados los primeros datos diseñar
una estrategia de engaño, por ejemplo, su contraseña ha
vencido, o el sistema debe actualizar sus datos, o su cuenta
será embargada, aunque estos últimos hoy en día son poco
creíbles.
• Una vez diseñada la estrategia crearía un sitio similar al que
se va a suplantar y con una lógica que almacene los datos de la
víctima, enviar un email con un link que redirija hacia el sitio
falso y esperar a que el ataque tenga éxito.
Prevención.
• Como este tipo de ataques son en un 80% por correo
electrónico se debe tener los antispam activos.
• capacitar al personal de la compañía sobre todo a los de las
áreas contables que son los que más interactúan con los bancos
para que aprendan a identificar este tipo de ataques.
o Una manera de capacitación optima es enseñarle a la
persona a distinguir si un sitio es seguro, esto se hace por
medio del encabezado HTTPS el cual no es sencillo de
suplantar debido a que se maneja por medio de certificados
criptográficos que se deben renovar frecuentemente, un sitio
fraudulento no luce https.
Fuente:
• Tener los antivirus activos es también una buena opción.
• Denunciar inmediatamente los sitios fraudulentos con el fin
de que no puedan realizar más ataques.
Pharming
El Pharming es similar al phishing con la diferencia de que es
un malware optimizado el cual redirige a sitios falsos sin
necesidad de engaños o ingeniería social.
Existen dos tipos de Pharming.
• Los atacantes instalan programa maligno en los equipos los
cuales redireccionaran a sitios falsos.
• Los atacantes infectan todo un servidor DNS, de esta
manera todas las peticiones serán redirigidas al sitio falso.
Para llevar a cabo un ataque de Pharming básicamente la
lógica va en el sitio WEB mediante la sentencia de código
“REDIRECT” muy utilizada en Servet y paginas JSP y con un
logo del sitio a falsificar es posible realizar el programa que
realizar el ataque, esto hablando a nivel de ataque desde un
sitio WEB.
Prevención
Verificar que las cabeceras sean HTTPS. En los sitios web
visitados.
Tener buenos antivirus actualizados.
Navegar de forma segura y restringir mediante políticas de
dominio el acceso a sitios Web que por lo general infectan los
equipos.
4. Los indicadores de compromiso son escenciales dentro de
los procesos de seguridad informática, por lo que usted como
experto en Seguridad Informática debe: Describa y genere
ejemplos sobre el concepto de IoC´s “Indicadores de
Compromiso”, ¿por qué es tan importante este concepto en el
campo de acción de la seguridad informática?
Los indicadores de compromiso son modelos de herramientas
modernas los cuales permites analizar, clasificar y prever las
diferentes vulnerabilidades encontradas en la última
cronología
Existen algunos modelos como son:
OASIS: gestiona y estandariza las diferentes amenazas
encontradas para luego compartirlas.
IODEF: mediante formatos XML establece diferentes
variables y modelos de ataque y permite automatizar
herramientas de análisis de vulnerabilidades.
THE OPEN LOC: bajo la plataforma de apache, permite
reconocer como es técnicamente una amenaza, modalidades de
ataque y previsiones y administración de brechas de seguridad.
Los indicares de compromiso son importantes en el campo de
la ciberseguridad debido a que son herramientas que nos
ahorran tiempo de análisis e investigación, pues sus bases de
datos mantienen actualizadas, y sus herramientas ya están
optimizadas para detección de amenazas lo que nos evita tener
que crear la rueda.
Estar al día en indicadores de compromiso nos sirve para
enfrentar las diferentes amenazas y tomar medidas de acción
oportunas, debido a que sus grandes bancos de bases de datos
tienen las diferentes amenazas al día reduciendo la brecha que
existe o que se tarda un analizador en descubrir una amenaza.
5. Las auditorías son indispensables dentro de cualquier
organización, así que como experto en Seguridad Informática
usted debe definir los diversos procesos de auditoría como:
Auditoría caja negra, auditoría caja blanca, auditoría caja gris;
anexo a las definiciones debe generar un ejemplo para cada
tipo de auditoría.
Auditoría caja negra
En este tipo de auditoria la organización no le comparte
ningún tipo de información al profesional que realizara las
pruebas, por tal motivo la persona que simula ser el atacante
no tiene ningún tipo de conocimiento de sistema al cual
auditara y debe averiguar por sus propios medios todos los
datos necesarios del sistema o infraestructura que va analizar.
este tipo de auditoria es el más cercano a la realidad ya que los
atacantes deben pasar por obtener toda información necesaria
de los sistemas de información al cual va a atacar.
Este tipo de pruebas está encaminado a obtener el listado de
los usuarios con sus respetivos hash, para posteriormente
realizar explotaciones mediante diferentes técnicas y
aplicaciones, cuyo procesos consta de dos partes, la primera es
realizar una intrusión al sistema bien sea mediante cuentas con
contraseñas por defecto o mediante un exploit que permita
aprovechar alguna vulnerabilidad den el sistema y la segunda
es la extracción de usuario y hashes del sistema lo cual se
puede ser a través de la obtención de una cuenta con
privilegios o por escalamiento de privilegios , pero no siempre
ya que si el sistema no tiene la seguridad con un mínimo de
privilegios se tendría acceso a la información.
Ejemplo:
Un profesional le realizara auditoria mediante pentest a la
empresa X, para esto la empresa autoriza previamente al
profesional y le permite ingresar, a lo cual el profesional
realiza un pentesting mediante diferentes herramientas de
kalylinux donde obtiene gran cantidad de información como la
seguridad de su infraestructura, de su sitio web, software
utilizados, servidores conectados, sistemas operativos y
servicios de cada uno.
Auditoría caja blanca
En este tipo de auditoria la organización le comparte gran
cantidad de datos por no decirlo su totalidad, con el
profesional acerca de la infraestructura o sistemas de
información con los que cuenta como podría ser direcciones
IP, servicios con los que cuenta, versión de software,
servidores entre otros, lo cual es una gran ventaja para la
persona que va a realizar la auditoria ya que ahorrara gran
parte de tiempo lo que le permitirá realizar unas pruebas
específicas.
Ejemplo:
La empresa X la cual va ser auditada por un profesional le
entrega la siguiente documentación: segmentos de red, mapa
de red, firewall, impresora en red, sistemas operativos
utilizados, tipo de autenticación, usuarios, tecnología del sitio
web.
Auditoría de Caja gris
Este tipo de auditoria es común que las organizaciones
comparten cierta información básica con el profesional que
realizará la auditoria, lo que le servirá a este para tener un
punto de partida en sus test. este tipo de auditorio mescla las
dos anteriores. Ejemplo:
La empresa x comparte una información básica al auditor, al
cual le piden que a intente escalar al resto del sistema además
el cual inicia su test desde diferentes puntos iniciando con las
redes interna y externa, posteriormente pasa al wifi, a través de
un puesto de uno de los empleados.
6. Identificar alertas de seguridad que logren comprometer los
datos dentro de la red de una organización es vital e
indispensables para reaccionar ante posibles ataques
informáticos, usted como experto en seguridad informática
debe generar contenido para una organización que solicitó su
conepto: ¿Qué es un IDS? ¿Qué función tiene un IDS?
Mencione un IDS free, no olviden mencionar las plataformas
sobre las cuales trabajan estos IDS al igual que sus
características técnicas.
Un IDS (Sistema de Detección de Intrusiones) es un software
o herramienta de seguridad cuya función es monitorear el
tráfico de una red informática o eventos en un sistema, con el
objetivo de detectar actividad inusual que pueda llegar a
afectar la seguridad de nuestra red o sistema.
Para que un IDS pueda determinar si un tráfico es ilegítimo se
basa en patrones previamente definidos, que, de cumplirsen, le
indican presencia de actividad maliciosa activando las alertas.
IDS free.
Los IDS free trabajan sobre plataformas Windows y
UNIX/Linux, uno de los más utilizados y populares es el IDS
Snort, que a pesar de no contar con una interfaz de
administración fácil, ha tenido buena aceptación gracias a sus
casos de uso. Esta herramienta utiliza las firmas de las bases
de datos de Amenazas persistentes para su proceso de
detección de intrusiones, permite la creación de reglas para la
monitorización del sistema, cuenta con una gran cantidad de
patrones predefinidos y constantes actualizaciones. Algunas de
sus características técnicas son:
• Funciona sobre plataformas Windows y UNIX/Linux.
• Procesamiento multinúcleo y multihilo, compatible con
Multithread y Multi-core lo que permite aprovechar al
máximo la capacidad del hardware.
• Cuenta con un subsistema flexible de firmas de ataques.
• FlexResp lo que le permite dar de baja las conexiones de
tráfico ilegítimo.
7. Las organizaciones constantemente requieren herramientas
para visualizar el tráfico de red; como experto en seguridad
informática la organización requiere que usted defina un
sniffer que funcione en sistemas operativos Linux y Windows.
En este orden de ideas consulte qué herramienta podría ser la
adecuada y argumente porqué esa herramienta y no otra, lo que
llevaría a qué plantee los requerimientos técnicos para la
instalación de la herramientas, y genera una matriz DOFA con
los aspectos positivos y negativos de la herramienta.

8. En las técnicas de auditoría de caja negra Qué función
tendría el programa Nmap? ¿Qué resultados se obtiene al
hacer uso de esta aplicación? Mencione los comandos
principales y básicos para nmap; deben describir que comando
se puede utilizar en nmap para hacer uso de los scripts
programados para análisis de vulnerabilidades ya que es un
tema avanzado.
Nmap
NMAP es una aplicación utilizada para explorar las redes y así
determinar gran información de la infraestructura analizada, es
por esto que dentro de las técnicas de auditoria de caja negra
podemos utilizar NMAP para poder identificar que equipos se
encuentran conectados a la red, sistemas operativos que estos
están utilizando, servicios que ofrecen, firewall que están en
uso, puertos abiertos de servicios que no se están utilizando,
información de cada uno de los servidores (usuarios, IPs,
directorios, servicios, puertos entre otros).
Comandos principales y básicos para NMAP
nmap -sS <IP>
Mediante este comando se envía un único paquete SYN al cual
se espera respuesta, si esta es correspondida, el auditor podrá
marcar los puertos que se están escuchando y saber si están
abiertos o cerrados.
nmap -O <IP>
Mediante este comando se puede a marcar el tipo de
dispositivo, sistema operativo y MAC, entre algunos otros
datos básicos.
nmap –A <IP>
Mediante este código se puede escanear el sistema operativo
utilizado y sus servicios.
nmap -sV <IP>
Mediante este código se puede escanear los puertos comunes
utilizados como SSH (22), DNS (53) o HTTP (80) los cuales
aparecerán listados.
nmap -sV --version-intensity 0 <IP>
Mediante este código se puede obtener gran cantidad de
información de forma silenciosa y detrás de la sombra lo cual
es una ventaja.
nmap -sP <ip/máscara de red>
Mediante este código se puede realizar un escaneo de toda la
red, si necesitamos descubrir equipos vivos o activos en toda
la red pero no queremos saber mucha información sobre estos.
nmap -F/-f <ip/máscara de red>
mediante este código se puede realizar un escaneo de red más
puertos en toda una red en busca de hosts.
nmap -sS -O <IP/máscara>
Mediante este código se puede realizar un escaneo de red
completa sigiloso con detección de SO.
Scripts NMAP para el escaneo de vulnerabilidades
Auth: mediante este script se ejecuta todos los scripts
disponibles para autenticación podremos ver si existen
usuarios con contraseñas vacías o la existencia de usuarios y
contraseñas por defecto.
Default: mediante este script se realizará la ejecución de los
scripts básicos por defecto de la herramienta para hacer
escaneo.
Discovery: mediante este script se recupera información del
target o víctima
External: mediante este script se ejecuta el script para utilizar
recursos externos
Intrusive: mediante este script se utilizan los scripts que son
considerados intrusivos para la víctima o target
Malware: mediante este script se revisa si hay conexiones
abiertas por códigos maliciosos o backdoors (puertas traseras)
Safe: mediante este script se ejecutan los scripts que no son
intrusivos para la víctima, y no causaremos la interrupción de
algunas aplicaciones.
Vuln: mediante este script se identifican las vulnerabilidades
más conocidas en el equipo.
All: mediante este script se ejecuta absolutamente todos los
scripts con extensión NSE disponibles, no es recomendable
utilizarlo debido al ruido
9. Los expertos en seguridad informática suelen utilizar
herramientas, scripts, y sistemas operativos que sean
funcionales a su actividad; Usted debe Consultar información
técnica acerca de Kali Linux 2.0 y describir el objetivo
principal de este Sistema Operativo; además debe describir y
mencionar por lo menos 15 herramientas incorporadas en el
sistema operativo Kali Linux, de tal manera, que pueda
construir grupos para identificarlas, ejemplo: Kali Linux
contiene un grupo de herramientas destinadas al análisis de
vulnerabilidades en páginas web dentro de las que
encontramos: Beef, Nikto, posteriormente definen la función
de cada herramienta, ejemplo: Nikto funciona para X, o Y;
Beef funciona para Y o Z.
10. La diversidad en tools orientadas a seguridad y sistemas
operativos crecen cada día, es importante tener conocimiento
sobre múltiples sistemas operativos y herramientas para ser
más productivos, usted como experto deberá mencionar por lo
menos dos sistemas operativos diferentes a Kali Linux los
cuales estén orientados a la seguridad informática, una vez
identifique dichos sistemas operativos debe hacer una
introducción de cada uno con sus características específicas
como requerimiento de hardware.
BackBox
BackBox es una distribución de Linux orientada al hacking
ético y está basada en Ubuntu, el cual nos proporciona la
realización de pruebas de penetración y evaluación de
seguridad orientadas, el cual nos brinda un conjunto de
herramientas de análisis de redes y sistemas informáticos junto
con un conjunto completo de otras herramientas necesarias
para la piratería ética y las pruebas de seguridad. También
incluye algunas de las herramientas de Linux con las que
podremos realizar pruebas de estrés hasta sniffing, incluida la
evaluación de vulnerabilidades, el análisis forense de equipos
y medios y la explotación. Parte del poder de esta distribución
proviene de su núcleo de repositorios Launchpad,
constantemente actualizado a la última versión estable de las
herramientas de hacking ético más conocidas y usadas, lo que
hace que Backbox sea una de las distribuciones de Linux
favoritas de los hackers para realizar ataques.
Parrot Security OS
Parrot Security OS es una distribución GNU / LINUX basada
en Debian, en la cual podremos realizar pruebas de
penetración, evaluación y mitigación de vulnerabilidad,
análisis forense de equipos y medios y navegación anónima.
Ha sido desarrollado por el equipo de Frozenbox. Esta
distribución hace uso principalmente de los repositorios
oficiales de Kali Linux, aunque también cuenta con sus
propios repositorios para que los usuarios puedan disponer de
las versiones más actualizadas de las herramientas que, por
defecto, no se incluyen en la suite de Kali Linux.
11. Los procesos de seguridad se ejecutan para encontrar
falencias en los sistemas, las organizaciones son
particularmente importantes dentro del plan de seguridad, así
que como experto en seguridad usted debe definir: ¿Qué es
Pentesting? Describa y mencione los pasos para ejecutar un
pentesting adecuado.
Pentesting o test de penetración, es la práctica o prueba que
simula un ataque real a un sistema o una red informática, para
identificar vulnerabilidades y errores de seguridad, realizada
por hackers éticos, con el fin de ser corregidas y prevenir
ataques reales.
Estas pruebas son solicitadas por empresas que desean conocer
el estado de sus sistemas, con respecto a la seguridad para
tomar medidas al respecto.
Pasos para ejecutar un pentesting.
Para efectuar un pentesting adecuado, se deben seguir unos
pasos o fases determinadas, generalmente son las siguientes:
Contacto o Fase Inicial
En esta fase se acuerda con la empresa que solicita el
pentesting cual será el objetivo y alcance del pentest, así como
la obtención por escrito de la autorización para la ejecución de
dicho procedimiento.
Fase de recolección de información.
En esta fase se obtiene la mayor cantidad de información
posible de los programas y sistemas en funcionamiento que
serán objeto de la prueba de penetración.
Fase de modelado de amenaza
A partir de la información obtenida previamente y pensando
como lo harían los atacantes, se planea la estrategia de
penetración que se utilizará, cuáles serán los objetivos y como
llegar a ellos.
Fase de Análisis de vulnerabilidades
En esta fase se realiza la identificación de vulnerabilidades con
las herramientas adecuadas y diseñadas para dicho fin.
Fase de Explotación.
En este paso se debe conseguir acceso al sistema o sistemas
objetivo del pentesting, mediante la ejecución de exploits
contra las vulnerabilidades identificadas previamente.
Fase de Post-Explotación.
Una vez se haya logrado la explotación de vulnerabilidades,
en esta fase se debe conseguir el acceso al mayor número de
sistemas e información, servicios, y nivel de privilegios
posibles.
Fase de Informe.
En esa fase se debe presentar el resultado de la auditoria por
medio de un informe, el cual debe ser redactado de forma
clara, dando conocer los riesgos de las vulnerabilidades
encontradas, así como los puntos donde la seguridad está
implementada correctamente y los que se deben corregir
indicando de qué manera.
Como generalmente este tipo de informes son leídos tanto por
personal del área tecnológica como por personal sin
conocimientos técnicos, se recomienda dividir el informe en 2
partes, una de explicación general y otra técnica.
12. Las vulnerabilidades son explotadas con frecuencia por
medio de una serie herramientas, usted debe Definir con sus
palabras qué es un exploit?, qué utilidad tiene en el mundo de
la seguridad informática? y qué componentes conforman el
exploit?.
Un exploit es un programa que se aprovecha de una
vulnerabilidad presente en un sistema o aplicación, con el fin
de acceder a él y dar entrada a un malware, es decir un exploit
no es un malware o software malicioso en sí mismo, pero si el
medio para entregar el malware.
Los componentes más importantes que conforman un exploit
son:
Payload: Parte del código malicioso dentro del exploit,
encargado de explotar las vulnerabilidades.
Shellcode: Programa dentro del exploit con instrucciones
autocontenidas, para lograr la ejecución por parte del
procesador en el sistema vulnerable.
NOP sled: Serie de instrucciones NOP (opcode: 0x90) de un
que se agrega antes de la shellcode.
Su utilidad en el mundo de la seguridad informática.
Al estudiar los exploits conocidos, se puede fortalecer la
seguridad en las empresas corrigiendo las vulnerabilidades
aprovechadas por estos, antes que los delincuentes
informáticos realicen un ataque.
13. Dentro de los procesos de pentesting se encuentra la
acción de encontrar fallos de seguridad, es importante que
usted como experto comente cuál sería la utilidad de Nessus y
que diferencia tiene con Openvas.
14. Como expertos en seguridad y al analizar el ataque que
sufrió UNADHACK genere una serie de recomendaciones
para poder mitigar y reducir este tipo de ataque informático.
Como recomendaciones para mitigar este tipo de ataques
vamos a ir por cada capa generando las políticas de seguridad
adecuadas para mitigar este tipo de ataque.
Desde el punto de vista de la red se deben generar reglas de
tráfico de red tales como no permitir el acceso a servicios de
base de datos desde afuera ya que esto se puede manejar por
medio de la aplicación web y la capa de base de datos debe
estar aislada.
Para el mejoramiento de la base de datos se deben aplicar una
seria de políticas o benmarks los cuales consisten en :
 Políticas de contraseña robusta, combinación de
caracteres, letras, números y longitud adecuada.
 Contraseñas que caduquen con un periodo de tiempo
no mayor a 30 días y que obliguen al usuario a
cambiarla y que no pueda repetir una contrasella
anterior.
 Eliminar esquemas de bases de datos tipo demo que
vienen normalmente con los motores de bases de
datos.
 No permitir el indexado de los diferentes comandos
generados en las bases de datos, pues un atacante podría
tener fácil acceso.
 Verificar que las contraseñas no queden registradas en
historiales y archivos de configuración del motor de base
de datos.
 Manejar los datos sensibles de la base de datos con algún
tipo de encripcion en el cual solamente la aplicación puede
codificarlos y decodificarlos.
Para manejar la aplicación se recomienda un manejador de
Apis el cual pueda mantener aislado el motor de base de datos
de la aplicación.
Se recomienda realizar pruebas de pentest o etical hacking y
pasar herramientas tales como Nexus u openvas las cuales la
segunda es free y fácilmente puede detectar cuando una
contraseña es débil o es default.
15. Definir con sus palabras qué es un CSIRT, alcance y tipos
de CSIRT´s; además debe identificar los CSIRT´s “Computer
Security Incident Response Team” establecidos en Colombia
mencionando si es sectorial o privado para posteriormente
describir el objetivo de cada
uno.
16. Mencione los diversos perfiles y funciones que se debería
ejecutar por cada perfil para la contratación de personal de un
CSIRT. (Elabore un diagrama donde se especifique cada perfil
y sus funciones a ejecutar)
17. Cada integrante debe realizar un vídeo para explicar y
sustentar cada uno de los puntos asignados, este vídeo debe ser
publicado en youtube, además que no se acepta música de
fondo y el estudiante deberá salir en el vídeo y su voz es
fundamental para la explicación, las URL‟s de los vídeos
deben ser anexadas al documento consolidado.
Link video Gabriel Jaime Chavarria:
https://youtu.be/qYgwfdd66ho
Link video Ronald Javier Baez:
https://www.youtube.com/watch?v=emp09g44ky4
Link video Francia Milena Montoya
https://youtu.be/NkoVTCdPoQk
III. CONCLUSIONES
El conocer cada uno de los tipos de auditoria de pentesting nos
da una idea en lo que nos podremos enfrentar a la hora de
realizar estas auditorias en el mundo laboral lo cual será una
gran ventaja cuando no enfrentemos a ello. Así mismo la
utilización de herramientas con su diferente código sabremos
como obtener información a la hora de realizar un test de caja
negra.
No solo existe Kali Linux a la hora de realizar pruebas de
étical hacking, también existen muchas más de código abierto
las cuales nos ofrecen otras herramientas con las cuales
podremos trabajar a la hora de auditar la infraestructura
tecnológica obteniendo grandes logros y así proteger la
entidad u organización.
La identificación de vulnerabilidades por medio de una
metodología de intrusión y las herramientas correctas, permite
a las organizaciones evaluar el nivel de criticidad e impacto de
las mismas, con el fin de tomar medidas para evitar incidencias
relacionadas con la explotación de las mismas.
Los delincuentes informáticos utilizan las diferentes
vulnerabilidades presentadas en los sistemas para explotarlas y
ejecutar sus ataques.
Los IDS no fueron creados para detener ataques, por lo que
cumplen una función de carácter preventivo generando alertas
o log, para posteriormente ser gestionados.
 [13] Vulnerabilidad SQL Injection, Recuperado de:
Para ejecutar pruebas de pentesting es importante contar con la
https://willyxoft.wordpress.com/articulos/sql-injection/
autorización escrita de la empresa que solicita dicho
procedimiento en sus sistemas de información. [14] Ataques SQL Injection en PHP, Recuperado de:
https://diego.com.es/ataques-sql-injection-en-php
IV. AGRADECIMIENTOS
[15] Sistemas de Detección de intrusos y Snort, Recuperado de:
Agradecemos al ingeniero John Freddy Quintero, por http://www.maestrosdelweb.com/snort/ ¿Qué es un IDS? Tipos,
aportarnos su experiencia y motivación a la seguridad Técnica
informática, corrigiendo cada aporte y además aportándonos
[16] IDS Evasión y cómo Evitarla, Recuperado de:
información de cada aporte realizado por el grupo https://siemlab.com/que-es-un-ids-intrusion-detection-system/
colaborativo.
[17] Los 5 mejores programas gratuitos de sistemas de detección de
V. REFERENCIAS intrusiones en red (NIDS) en 2019, Recuperado de:
https://www.upguard.com/articles/top-free-network-based-
intrusion-detection-systems-ids-for-the-enterprise
[1] COLOMBIA. SUPERINTENDENCIA FINANCIERA DE
COLOMBIA. Norma externa 052. (25, octubre, 2007). [18] Snort 3.0: Conoce las características de la nueva versión de este
Requerimientos mínimos de seguridad y calidad en el manejo de popular IDS, Recuperado
información a través de medios y canales de distribución de de:https://www.redeszone.net/2014/12/14/snort-3-0-conoce-las-
productos y servicios. Superintendencia Financiera de Colombia. caracteristicas-de-la-nueva-version-de-este-popular-ids/+
Bogotá, D.C.: 2007, 10 p.

[2] Lopes Ilya (2014). Guía definitiva para entender y protegerte de las [19] Snort, Recuperado de: https://www.ecured.cu/Snort
APT. Recuperado de: https://www.welivesecurity.com/la-
es/2014/08/29/guia-definitiva-entender-protegerte-apt/2 [20] Las fases de un test de penetración (Pentest) (Pentesting I),
Recuperado de: https://cyberseguridad.net/index.php/455-las-fases-
[3] B2b Consultore (2019). Amenazas y vulnerabilidades de los de-un-test-de-penetracion-pentest-pentesting-i
sistemas informáticos. Recuperado de:
http://btob.com.mx/ciberseguridad/amenazas-y-vulnerabilidades- [21] PENTESTING: ¿QUÉ ES Y CÓMO SE REALIZA?, Recuperado
de-los-sistemas-informaticos/ de: https://hardtech.co/blog/pentesting-que-es-y-como-se-realiza/

[4] 10 Sistemas Operativos Más usados por Hackers 2018 | Rincon del [22] ¿Qué son las hazañas? (Y por qué debería importarle), Recuperado
Geek. recuperado de: de: https://blog.malwarebytes.com/101/2017/03/what-are-exploits-
https://rincondelgeek.com/sistemas+operativos+usados+por+hacker and-why-you-should-care/
s.
[23] Shellcode & syscalls, Recuperado de: https://fundacion-
[5] Velasco Rubén (2015). Las 10 mejores distribuciones para hacking sadosky.github.io/guia-escritura-exploits/buffer-overflow/2-
ético y auditorías de seguridad. Recuperado de: shellcode.html
https://www.redeszone.net/2015/12/05/las-10-mejores-
distribuciones-para-hacking-etico-y-auditorias-de-seguridad/ [24] Que es un Exploit, Recuperado de:
https://underc0de.org/foro/hacking/que-es-un-exploit/
[6] CrossWaller. (2019). ¿Qué es una auditoría de caja negra, caja
blanca y caja gris? - CrossWaller. [online] Disponible en:: [25] AMENAZAS PERSISTENTES AVANZADAS EN SEGUNDO
http://crosswaller.com/2019/05/01/tipos-de-auditorias-de- TRIMESTRE 2019. (s. f.). Recuperado 25 de octubre de 2019, de
seguridad/ [Accessed 24 Nov. 2019]. http://www.zonavirus.com/noticias/2019/amenazas-persistentes-
avanzadas-en-segundo-trimestre-2019.asp
[7] Pérez, I. (2015). Auditando con Nmap y sus scripts para escanear
vulnerabilidades. WeLiveSecurity. Disponible en: [26] APT trends report Q1 2019. (s. f.). Recuperado 25 de octubre de
https://www.welivesecurity.com/la-es/2015/02/12/auditando-nmap- 2019, de https://securelist.com/apt-trends-report-q1-2019/90643/
scripts-escanear-vulnerabilidades/
[27] Cómo reconocer y evitar las estafas de phishing | FTC Información
[8] Portantier Fabian (2012). Seguridad informática. para consumidores. (s. f.). Recuperado 4 de noviembre de 2019, de
https://www.consumidor.ftc.gov/articulos/como-reconocer-y-
[9] IpAudita. (2013). Top 30 de Nmap ejemplos de comandos para evitar-las-estafas-de-phishing
SYS / Red Admins. Resdupera de:
https://ipaudita.wordpress.com/2013/02/13/top-30-de-nmap- [28] Criptografía simétrica y asimétrica | Seguridad Informática. (s. f.).
ejemplos-de-comandos-para-sys-red-admins/ Recuperado 4 de noviembre de 2019, de
https://infosegur.wordpress.com/unidad-4/criptografia-simetrica-y-
asimetrica/
[10] ¿Qué son los ataques DoS y DDoS?, Recuperado de:
https://www.osi.es/es/actualidad/blog/2018/08/21/que-son-los- [29] El papel de los indicadores de compromiso (indicators of
ataques-dos-y-ddos compromise – ioc) en la respuesta a incidentes de seguridad y la
investigación forense | Blog de Internet Security Auditors. (s. f.).
[11] Protección contra ataques DDoS: cómo parar la bala, Recuperado Recuperado 4 de noviembre de 2019, de
de: https://www.claranet.es/blog/proteccion-contra-ataques-dos- https://blog.isecauditors.com/2015/09/papel-de-los-ioc-en-
ddos-proveedor-servicio.html respuesta-incidentes-seguridad-investigacion-forense.html

[12] MUNDOHACKERS, Recuperado de: [30] Group, I. D. M. (2019, septiembre 12). Ning&uacute;n sector es
https://mundohackers.weebly.com/dorks.html inmune a las amenazas persistentes avanzadas | Seguridad.
 Recuperado 25 de octubre de 2019, de IT Reseller website:
https://www.itreseller.es/seguridad/2019/09/ningun-sector-es-
inmune-a-las-amenazas-persistentes-avanzadas.

[31] Qué es el pharming y cómo defenderse contra él | Avast. (s. f.).

Recuperado 4 de noviembre de 2019, de
https://www.avast.com/es-es/c-pharming