Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
“ANALISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS
WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS
DE HACKING ETICO Y LA METODOLOGÍA OWASP.”
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR (ES):
JEAN CARLOS RENDÓN TACLE
JOSÉ STEVEN RAZA RIVAS
TUTOR:
ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs.
GUAYAQUIL – ECUADOR
2019
ii
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TRABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO:
“ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS
WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS
DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”
AUTOR(ES) (apellidos/nombres ): Rendón Tacle Jean Carlos y Raza Rivas José Steven
REVISOR(ES)/TUTOR(ES) ( apellidos/nombres ):
Ing. Padilla Gómez Renzo Rogelio
INSTITUCIÓN: UNIVERSIDAD DE GUAYAQUIL
UNIDAD/FACULTAD: FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICA
MAESTRÍA/ESPECIALIDAD: INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
GRADO OBTENIDO: INGENIERIA EN NETWORKING Y TELECOMUNICACIONES
FECHA DE PUBLICACIÓN: Agosto 2019 No. DE PÁGINAS: 118
ÁREAS TEMÁTICAS: Networking Telecomunicaciones
PALABRAS CLAVES /KEYWORDS:
Auditoría, leyes, seguridad, vulnerabilidades, sistemas informáticos
En el presente proyecto de titulación acerca de análisis de vulnerabilidades en sistemas informáticos
web desde la red de internet utilizando herramientas de hacking ético y la metodología OWASP se
estableció que a través de estos se logra rastrear y evaluar las vulnerabilidades en los sistemas de
información. El procedimiento planteado reside en realizar un levantamiento de información, luego
se procede al análisis identificando los activos que evidencia riesgos. En conclusión se obtuvo que
el planteamiento propuesto sea efectivo y permite identificar y evaluar las vulnerabilidades,
ayudando a que los que administran las pequeñas empresas (Pymes) mejoren los riegos reales que
se presentan permitiendo mitigar la vulnerabilidad de seguridad, estas herramientas son muy
prácticas.
ADJUNTO PDF:
X SI NO
CONTACTO CON AUTOR/ES: Teléfono: 0989155263 E-mail: [email protected]
CONTACTO CON LA
INSTITUCIÓN:
Nombre: Ab. Juan Chávez Atocha
Teléfono: 2307729
E-mail: [email protected]
iii
CARTA DE APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de titulación ANÁLISIS DE
VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE LA RED
DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING ÉTICO Y LA
METODOLOGÍA OWASP. Elaborados por el Señores RENDÓN TACLE JEAN
CARLOS y RAZA RIVAS JOSÉ STEVEN, Alumnos no titulados de la Carrera de
Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del
Título de Ingeniero en Networking y Telecomunicaciones, me permito declarar
que luego de haber orientado, estudiado y revisado, la apruebo en todas sus
partes.
Atentamente
ING. RENZO ROGELIO PADILLA GÓMEZ. Mgs.
TUTOR
iv
DEDICATORIA
Dedico este proyecto de titulación de manera muy
especial a mi hijo Jean Carlos Rendón Franco por ser mi
fuente de motivación e inspiración para poder superarme
cada día y así luchar para un futuro mejor, a mi esposa
María José Franco Peñafiel mi pilar fundamental ya que
con sus motivaciones pude culminar mi carrera
universitaria.
También dedico este proyecto a mis profesores que con
su ayuda adquirí conocimientos que fueron de gran
contribución para el desarrollo de esta propuesta
tecnológica.
Atentamente,
Jean Carlos Rendón Tacle
Dedico este trabajo a mis padres por haberme formado y
ser la persona que soy en la actualidad, a mis hijos y
esposa por ser mis compañeros de vida y me motivaron
constantemente para alcanzar mis anhelos y metas
Atentamente,
José Steven Raza Rivas
v
AGRADECIMEINTO
Agradezco primordialmente a Dios por regalarme el don
de la vida y guiar mis pasos día a día todos mis logros
que son el resultado de tu bondad, a mis padres Juan
Carlos Rendón del Salto y Jeysi Pilar Tacle Parra que a
través de su ayuda he logrado salir adelante. A mi esposa
por su apoyo y comprensión, a mi hijo por su gran amor.
Atentamente,
Jean Carlos Rendón Tacle
Agradezco infinitamente a Dios padre celestial por
permitirme disfrutar la vida, agradezco a mi familia por
ayudarme a llegar a esta meta.
Agradezco a los profesores y la universidad en general
por los conocimientos que me han otorgado.
Atentamente,
José Steven Raza Rivas
vi
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Fausto Cabrera Montes, M.Sc Ing. Abel Alarcón Salvatierra, Mgs DECANO DE LA FACULTAD DIRECTOR DE LA CARRERA DE CIENCIAS MATEMÁTICAS Y INGENIERÍA EN NETWORKING FISICAS Y TELECOMUNICACIONES
Ing. Ingrid Giraldo Martínez, Mgs Ing. Juan Manuel Chaw, Mgs PROFESOR REVISOR DEL PROFESOR DE ÁREA PROYECTO DE TITULACIÓN DESIGNADO EN EL TRIBUNAL
Ing. Renzo Rogelio Padilla Gómez, Mgs PROFESOR TUTOR DEL PROYECTO
DE TITULACIÓN
Ab. Juan Chávez Atocha, Esp. SECRETARIO (E) DE LA FACULTAD
vii
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este Proyecto de Titulación, me
corresponden exclusivamente; y el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
JEAN CARLOS RENDON TACLE y JOSÉ STEVEN RAZA RIVAS
viii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS
WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS
DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”
Proyecto de Titulación que se presenta como requisito para optar por el
título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTORES: RENDÓN TACLE JEAN CARLOS
RAZA RIVAS JOSÉ STEVEN
C.I. 0927113936
C.I. 0930294327
TUTOR: ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs.
Guayaquil, 30 de agosto de 2019
ix
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el
Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la
Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por los
estudiantes RENDÓN TACLE JEAN CARLOS y RAZA RIVAS JOSÉ
STEVEN, como requisito previo para optar por el título de Ingeniero en
Networking y Telecomunicaciones cuyo tema es:
“ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS
WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS
DE HACKING ÉTICO Y LA METODOLOGÍA OWASP.”
Considero aprobado el trabajo en su totalidad.
Presentado por:
RENDÓN TACLE JEAN CARLOS CÉDULA DE CIUDADANÍA N° 0927113936
RAZA RIVAS JOSÉ STEVEN CÉDULA DE CIUDADANÍA Nº 0930294327
TUTOR: ING. RENZO ROGELIO PADILLA GÓMEZ, Mgs.
Guayaquil, 30 de agosto de 2019
x
Título del Proyecto de Titulación: “ANÁLISIS DE
VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE
LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING
ÉTICO Y LA METODOLOGÍA OWASP.”
Tema del Proyecto de Titulación: “ANÁLISIS DE
VULNERABILIDADES EN SISTEMAS INFORMÁTICOS WEB DESDE
LA RED DE INTERNET UTILIZANDO HERRAMIENTAS DE HACKING
ÉTICO Y LA METODOLOGÍA OWASP.”
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación en Formato
Digital
1. Identificación del Proyecto de Titulación
Nombre del Alumno: Jean Carlos Rendón Tacle –José Steven Raza Rivas
Dirección: Cdla. Las Acacias Mz. D4. Villa 4
Teléfono: 0989155263 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: Ing. Renzo Rogelio Padilla Gómez
xi
2. Autorización de Publicación de Versión Electrónica del Proyecto de
Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de
Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la
versión electrónica de este Proyecto de titulación.
Publicación electrónica:
Inmediata X Después de 1 año
Firma Alumno:
3. Forma de envío:
El texto del proyecto de titulación debe ser enviado en formato Word,
como archivo .Doc. O .RTF y. Puf para PC. Las imágenes que la
acompañen pueden ser: .gif, .jpg o.TIFF.
DVDROM CDROM X
xii
ÍNDICE GENERAL
Contenido
CARTA DE APROBACIÓN DEL TUTOR ............................................................... iii
DEDICATORIA ........................................................................................................ iv
AGRADECIMEINTO ................................................................................................ v
TRIBUNAL PROYECTO DE TITULACIÓN ............................................................ vi
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................................... ix
ÍNDICE GENERAL ................................................................................................. xii
ÍNDICE DE TABLAS .............................................................................................. xv
ÍNDICE DE GRÁFICOS ........................................................................................ xvi
ABREVIATURAS ................................................................................................. xvii
INTRODUCCIÓN .................................................................................................... 1
CAPÍTULO I ............................................................................................................ 3
EL PROBLEMA ................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA ............................................................. 3
Ubicación del problema en un contexto .......................................................... 3
Situación Conflicto Nudos Críticos .................................................................. 4
Causas y consecuencias del Problema .......................................................... 5
Delimitación del Problema ............................................................................... 6
Formulación del Problema ............................................................................... 6
Evaluación del Problema ................................................................................. 6
OBJETIVOS ........................................................................................................ 8
OBJETIVO GENERAL ..................................................................................... 8
OBJETIVOS ESPECÍFICOS ........................................................................... 8
ALCANCE DEL PROBLEMA .............................................................................. 9
xiii
JUSTIFICACIÓN E IMPORTANCIA ................................................................... 9
METODOLOGÍA DEL PROYECTO .................................................................. 10
CAPITULO II ......................................................................................................... 11
MARCO TEORICO ............................................................................................ 11
ANTECEDENTES DE ESTUDIO ...................................................................... 11
FUNDAMENTACIÓN TEÓRICA ....................................................................... 12
SEGURIDAD INFORMÁTICA ........................................................................... 12
Tipos de Seguridad Informática .................................................................... 14
VULNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS ............................ 15
Tipos de Vulnerabilidades ............................................................................. 16
Clasificación de las vulnerabilidades ............................................................ 16
AMENAZAS POR INTERNET ........................................................................... 21
FASES DE UN ATAQUE INFORMÁTICO ........................................................ 22
TIPOS DE ATAQUES INFORMÁTICOS .......................................................... 24
ATAQUES A APLICACIONES WEB ................................................................. 25
HACKING ÉTICO .............................................................................................. 26
Fases del Hacking Ético ................................................................................ 27
Tipos de Hacking Ético .................................................................................. 30
METODOLOGÍA OWASP ................................................................................. 33
AUDITORÍA INFORMÁTICA ............................................................................. 42
FIREWALL ......................................................................................................... 43
KALI LINUX ....................................................................................................... 46
FUNDAMENTACIÓN LEGAL ............................................................................ 48
PREGUNTA CIENTIFICA A CONTESTARSE ................................................. 51
VARIABLES DE LA INVESTIGACIÓN ............................................................. 51
DEFINICIONES CONCEPTUALES .................................................................. 51
CAPITULO III ........................................................................................................ 52
xiv
METODOLOGÍA DE LA INVESTIGACIÓN .......................................................... 52
DISEÑO DE LA INVESTIGACIÓN .................................................................... 52
Tipo de Investigación ..................................................................................... 53
POBLACIÓN Y MUESTRA ............................................................................... 54
CRITERIOS DE INCLUSIÓN Y DE EXCLUSIÓN ............................................ 56
OPERACIONALIZACIÓN DE VARIABLES ...................................................... 56
Instrumentos de Recolección de Datos ........................................................ 58
Procedimiento de la Investigación ................................................................. 59
Recolección de la Información ...................................................................... 61
PROCESAMIENTO Y ANÁLISIS ...................................................................... 61
DESARROLLO DE LA INVESTIGACIÓN ......................................................... 76
CAPITULO IV ........................................................................................................ 86
RESULTADOS CONCLUSIONES Y RECOMENDACIONES ............................. 86
RESULTADOS .................................................................................................. 87
CONCLUSIONES .............................................................................................. 88
RECOMENDACIONES ..................................................................................... 89
BIBLIOGRAFÍA ............................................................................................................. 90
ANEXOS ........................................................................................................................ 92
xv
ÍNDICE DE TABLAS
Tabla N° 1: Causas y Consecuencias del Problema ............................................. 5
Tabla N° 2: Delimitación del Problema .................................................................. 6
Tabla N° 3: Clasificación de las Vulnerabilidades ............................................... 16
Tabla N° 4: Clasificación de las Amenazas ......................................................... 18
Tabla N° 5: Población ........................................................................................... 54
Tabla N° 6: Tamaño de la muestra ...................................................................... 56
Tabla N° 7: Variables Independiente y Dependiente .......................................... 57
Tabla N° 8: Pregunta 1 ......................................................................................... 65
Tabla N° 9: Pregunta 2 ......................................................................................... 66
Tabla N° 10: Pregunta 3 ....................................................................................... 67
Tabla N° 11: Pregunta 4 ....................................................................................... 68
Tabla N° 12: Pregunta 5 ....................................................................................... 69
Tabla N° 13: Pregunta 6 ....................................................................................... 70
Tabla N° 14: Pregunta 7 ....................................................................................... 71
Tabla N° 15: Pregunta 8 ....................................................................................... 72
Tabla N° 16: Pregunta 9 ....................................................................................... 73
Tabla N° 17: Pregunta 10 ..................................................................................... 74
Tabla N° 18: Pregunta 11 ..................................................................................... 75
xvi
ÍNDICE DE GRÁFICOS
Gráfico N° 1: Seguridad Informática según la norma ISO/IEC 17799 ................ 12
Gráfico N° 2: Sistema Informático ....................................................................... 15
Gráfico N° 3 Delitos informáticos ......................................................................... 19
Gráfico N° 4: Triángulo de la intrusión en la red ................................................. 22
Gráfico N° 5: Patrones de fuga de datos ............................................................ 25
Gráfico N° 6: Fases del hacking .......................................................................... 27
Gráfico N° 7: Pymes ............................................................................................ 32
Gráfico N° 8: Logo de Owasp .............................................................................. 33
Gráfico N° 9: Riesgo en la seguridad de las aplicaciones ................................. 36
Gráfico N° 10: Esquema de calificaciones de riesgo .......................................... 37
Gráfico N° 11: Comparación de Owasp Top 10 2013-2017 ............................... 38
Gráfico N° 12 Logo Owasp Zap ........................................................................... 41
Gráfico N° 13 Firewall .......................................................................................... 43
Gráfico N° 14: Logo de Kali Linux ....................................................................... 46
Gráfico N° 15: Diferencias entre Proyecto Factible y Proyecto de Investigación53
Gráfico N° 16: Porcentaje de Respuesta de la Pregunta 1 ................................ 65
Gráfico N° 17: Porcentaje de Respuesta de la Pregunta 2 ................................ 66
xvii
ABREVIATURAS
UG Universidad de Guayaquil
CC.MM.FF Facultad de Ciencias Matemáticas y Físicas TIC Tecnologías de Información y Comunicación URL Localizador uniforme de recursos S.O. Sistema operativo APIs Interfaz de programación de aplicaciones OWASP Proyecto abierto de seguridad de aplicaciones SQL Lenguaje de consulta estructurada PYME Pequeña y mediana empresa XML Lenguaje de marcas extensibles LDAP Protocolo ligero/ simplificado de acceso a
directorios XSS Secuencia de comandos de sitios cruzados XXE Entidades XML externas NoSQL No solo SQL SSL Capa de sockets seguros
xviii
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS
MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANÁLISIS DE VULNERABILIDADES EN SISTEMAS INFORMÁTICOS
WEB DESDE LA RED DE INTERNET UTILIZANDO HERRAMIENTAS
DE HACKING ETICO Y LA METODOLOGÍA OWASP.”
Autores: Jean Carlos Rendón Tacle
José Steven Raza Rivas
Tutor: Ing. Renzo Rogelio Padilla Gómez, Mgs.
Resumen
En el presente proyecto de titulación acerca de análisis de vulnerabilidades en
sistemas informáticos web desde la red de internet utilizando herramientas de
hacking ético y la metodología OWASP se estableció que a través de estos se
logra rastrear y evaluar las vulnerabilidades en los sistemas de información. El
procedimiento planteado reside en realizar un levantamiento de información,
luego se procede al análisis identificando los activos que evidencia riesgos. En
conclusión se obtuvo que el planteamiento propuesto sea efectivo y permite
identificar y evaluar las vulnerabilidades, ayudando a que los que administran las
pequeñas empresas (Pymes) mejoren los riegos reales que se presentan
permitiendo mitigar la vulnerabilidad de seguridad, estas herramientas son muy
prácticas.
Palabras clave: Owasp, seguridad informática, servicios web, auditorias,
vulnerabilidades, riesgos.
xix
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS
MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
“ANALYSIS OF VULNERABILITES IN WEB COMPUTER SYSTEMS
FROM THE INTERNET NETWORK USING ETHICAL HACKING TOOLS
AND OWASP METHODOLOGY.”
Autores: Jean Carlos Rendón Tacle
José Steven Raza Rivas
Tutor: Ing. Renzo Rogelio Padilla Gómez, Mgs.
Abstract
In the present degree project about vulnerability, analysis in web computer
systems from the internet network using ethical hacking tools and the OWASP
methodology it was established that through these it is possible to track and
evaluate vulnerabilities in information systems. The procedure proposed is to
carry out a survey of information, then proceed to the analysis identifying the
assets that show risks. In conclusion it was obtained that the proposed
approaches effective and allows the identification and evaluation of
vulnerabilities, helping those who manage small businesses (Pymes) improve the
real risks that arise allowing mitigating security vulnerability, these tools are very
practical.
Keywords: Owasp, computer security, web services, audits, vulnerabilities, risk.
1
INTRODUCCIÓN
Actualmente la información es el activo más valioso de las organizaciones, los
diferentes tipos de amenazas existentes quebrantan el funcionamiento de estas,
es por eso que los virus, spyware, los cibercriminales y demás, diariamente
utilizan diferentes maneras que al estar conectados al internet quebranta la
seguridad de la empresa.
Hoy en día los riesgos son más que un problema de seguridad de información,
las amenazas y vulnerabilidades están enlazas y pueden venir de manera
interna o externa ocasionando daño.
Casi todos los códigos son maliciosos y fueron creados para extraer algún tipo
de información. Es por eso que los cibercriminales obtienen muchas veces
acceso total a la información que se encuentra almacenada representando un
serio problema a una entidad ocasionado deterioro y muchas veces hasta el
cierre del negocio.
Todo organismo debe contar con una ruta base para asegurar sus equipos,
realizar un análisis permite identificar los huecos de seguridad y medir el impacto
sobre sus activos y a través de los hallazgos posibilita la toma de mecanismos
para fortalecerlos y hacerlos confiables.
Asegurar los datos siempre estará ligado con las formas de recuperarlos en caso
de que sean extraídos, robustecer los sistemas para evitar ataques así como
seguir estándares para obtener un excelente esquema de seguridad para no
tener ninguna falencia.
A continuación, se puntualiza el contenido de capa capitulo que permitirá el
desarrollo de la propuesta del proyecto de titulación.
2
Capítulo I: en este capítulo se detalla el planteamiento del problema y la solución
planteada para el análisis de vulnerabilidades así también las causas y
consecuencias, los objetivos y la justificación del proyecto.
Capítulo II: es este capítulo se detallan todos los fundamentos teóricos que se
utilizaran en base a la propuesta presentada y serán base fundamental para el
tema propuesto.
Capítulo III: en este capítulo se redacta como se va a desarrollar la metodología
de la investigación a través del análisis de vulnerabilidades de los sistemas web
aplicando la metodología Owasp y la herramienta Hacking ético.
Capítulo IV: en este capítulo se muestran los resultados, conclusiones y
recomendaciones obtenidos a través del desarrollo de la propuesta de este
proyecto de titulación.
3
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Ubicación del problema en un contexto
Actualmente las aplicaciones web han evolucionado con el transcurso del tiempo
donde los usuarios pueden efectuar consultas en línea realizar transacciones
bancarias, imprimir comprobantes sin la obligación de estar presente en una
entidad pero son seguras las aplicaciones web, realmente los piratas
informáticos han vulnerado estos sistemas con mucho éxito ejecutando ataques
denegación de servicio, suplantación e inyección SQL con la intención de entrar
a la información confidencial de usuarios que ingresan a las páginas web para
efectuar cualquier consulta en línea. A través de una auditoria de seguridad se
facilita el conocer las vulnerabilidades que prestan los servidores web y en
fundamento a esto elaborar un diseño de mejoras basado en estándares de
seguridad de la información con el fin de mitigar los riesgos expuestos en los
aplicativos web.
Con la presencia de sistemas web los usuarios han logrado manejar la
portabilidad que proporcionan estos sistemas con mucho éxito ya que su
cometido no es necesario en la instalación de programas informáticos en las
distintas fases de trabajo para ejecutar tareas específicas o acceder a ficheros
que contienen datos confidenciales, ya que las aplicaciones que provee servicios
web se ejecutan desde el navegador desde un dominio establecido por una
4
organización. Los procedimientos de información web son los que posibilitan la
digitalización de los datos en mayores cantidades de volumen reduciendo el
espacio en disco duro otorgando un estudio de procesamiento eficiente para el
ingreso a los registros corporativos de forma inmediata.
Es mucho más fácil entrar a la información debido a las ventajas que proveen
los aplicativos como es la portabilidad es decir que con una conexión a la red de
internet los usuarios pueden descargar archivos, ejecutar consultas a la base
donde se encuentran los datos, así como también el ingreso de información de
los clientes y demás.
Con todo lo expuesto se pretende ejecutar un análisis de las fragilidades desde
la red de internet en los sistemas de información con la intención de identificar
las advertencias que pongan en riesgo la información confidencial de las
entidades y elaborar un proyecto de remediación que permita gestionar las
vulnerabilidades o teniéndolas bajo control para de esta manera evitar accesos
ilícitos a la información sensible.
La seguridad informática radica en garantizar que los procedimientos de los
sistemas de una estructura se utilicen de forma correcta y que el ingreso a la
información de las compañías y la modificación de la misma solo sea posible por
personas acreditadas y que estén dentro de los límites de su autorización.
Situación Conflicto Nudos Críticos
El problema presente en los sistemas de información web es provocado porque
algunas de las organismos que pertenecen al sector público y privado poseen
desactualizados sus aplicaciones web, además no poseen un doble factor de
autenticación que permita salvaguardar los pases de acceso, no existe un túnel
encriptado de datos para acceder al sistema o poder transmitir información frágil
a otros usuarios. Cada vez se presentan vulnerabilidades y amenazas que
colocan en peligro los datos sensibles, haciendo referencia a la alta gerencia
este siempre alerta para impedir que se efectúen intrusiones maliciosas por
5
piratas cibernéticos. Sin embargo en la mayoría de las sociedades el
pensamiento de los directivos, con respecto al aseguramiento de los activos
lógicos no es considerado tan importante lo que conlleva a que exista poca
financiación en seguridad informática generándose nuevos riesgos que
produzcan ataques informáticos violentando la confidencialidad e integridad de la
información. Una compañía que sufre una infracción informática genera pérdidas
en sus activos y produce daños permanentes.
El proveer servicios web en redes públicas sin tomar en consideración las
disposiciones de seguridad correspondientes compromete la confidencialidad,
integridad y disponibilidad de la información. Siempre las compañías deben de
tener implementada una norma de seguridad que crea políticas y definir
controles que garanticen la conservación de los datos.
Causas y consecuencias del Problema
A continuación se muestran las siguientes causas y consecuencias del
problema:
Tabla N°1: Causas y Consecuencias del Problema
Causas
Consecuencias
Información confidencial expuesta en el
aplicativo web públicamente.
Provoca la sustracción sensible
de información desde los usuarios
internos.
Falta de conocimiento sobre las
amenazas que desencadenan daños a los
sistemas web.
Se produce que piratas
informáticos realcen instrucciones
maliciosas a las aplicaciones web
interrumpiendo los servicios.
Poca inversión en dispositivos de
seguridad informática.
Sistemas de aplicación web
vulnerable.
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle-José Steven Raza Rivas
6
Delimitación del Problema
Tabla N°2: Delimitación del Problema
Campo Hacking ético
Área Auditoría de Servidores Web
Aspecto Sistemas de Información Web
Tema Análisis de vulnerabilidades en
sistemas informáticos web desde la
red de internet utilizando el
mecanismo de hacking ético y la
metodología OWASP.
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle –José Steven Raza Rivas
Formulación del Problema
¿Cómo contribuye el no uso del hacking ético al aumento de las vulnerabilidades
en sistemas informáticos web de las pyme en la ciudad de Guayaquil
actualmente?
Evaluación del Problema
La forma de controlar las intrusiones maliciosas que pueden realizar los piratas
cibernéticos alrededor de los sistemas de aplicación web, no es el adecuado y
para resolver el problema se propone la elaboración de una auditoría de
servidores web mediante el uso de la metodología de testeo de aplicaciones web
OWASP.
A continuación se mencionan 6 propuestas de la evaluación del problema:
7
• Delimitado: El problema presente solamente se enfoca a
vulnerabilidades presentes en las aplicaciones web de los sistemas tales
como: fallos de seguridad de inyección SQL, XSS, denegación de
servicio, puertas traseras para aplicaciones web y la falta de una
configuración robusta en los servidores web.
• Claro: Los métodos para el análisis de vulnerabilidades en los sistemas
web, enfocados en la metodología OWASP son: WEBACCO, OWASP
ZAP, WPScan, FOCA y demás que se utilizaran en el concurrente
proyecto de titulación a desarrollar. Conjuntamente se realizaran
auditorías de seguridad informática con los S.O., Kali, Linux y Samurái.
• Evidente: Se logrará detectar el comportamiento de cada vulnerabilidad
expuesta en los sistemas de información web al ser explotada mediante
ataques informáticos enfocados en las aplicaciones web. Además se
identificaran los riesgos que perjudiquen a los sistemas de la entidad
dando a conocer las fragilidades más peligrosas que provocan daños en
los activos lógicos.
• Original: El proyecto demuestra la originalidad debido a que se realizará
un análisis de vulnerabilidades en los aplicativos web desde la red de
internet aplicando la metodología OWASP.
• Factible: Los mecanismos basados en OWASP a utilizar, está enfocada
en la utilización de herramientas no licenciadas, es decir que no
requerirán de gastos monetarios para la implementación; lo que permitirá
el progreso de la auditoría de seguridad informática en las aplicaciones
web con el fin de diagnosticar las posibles vulnerabilidades ya se
trabajará con los sistemas operativos Kali Linux y Samurái.
• Identifica los productos esperados: Los resultados que se irán
obteniendo durante el desarrollo de auditoría de seguridad informática en
los sistemas web será de gran ayuda para las organizaciones ya que
8
tendrán evidencias de todas las vulnerabilidades y riesgos detectados en
sus aplicaciones web.
OBJETIVOS
OBJETIVO GENERAL
Establecer la contribución de la no aplicación del hacking ético al aumento de las
vulnerabilidades en sistemas informáticos web mediante una investigación
documental y de campo de las pymes en la ciudad de Guayaquil en la
actualidad.
OBJETIVOS ESPECÍFICOS
1. Determinar cuáles son las herramientas del hacking ético que nos
permite evaluar las vulnerabilidades de los sistemas web por medio de
indagación bibliográfica.
2. Explorar cuales son los pasos a seguir para poder realizar un correcto y
funcional análisis de las vulnerabilidades para las empresas pymes de
(Agencias de Viaje) de la ciudad de Guayaquil que no poseen los
recursos necesarios para proteger la información.
3. Especificar los pasos en la aplicación de metodología OWASP en la
búsqueda de vulnerabilidades en las pymes.
4. Establecer recomendaciones basados en estándares de seguridad
informática para mitigar los riesgos latentes.
9
ALCANCE DEL PROBLEMA
En este proyecto se definen los alcances que serán cumplidos con el desarrollo
del mismo y que serán indicados de la siguiente manera: Análisis y detección de
vulnerabilidades en los sistemas de información web desde la red de internet
utilizando mecanismos basados en la metodología OWASP. Evaluación de los
riesgos por medio de herramientas de test de intrusión enfocadas en OWASP.
Elaboración de informes de auditoría detallando los resultados obtenidos
mediante la evaluación de las aplicaciones empleando las fases de un hacker
ético y definición de recomendaciones basados en el estándar de seguridad de
la norma ISO 27001 para evitar intrusiones maliciosas en los sistemas de
aplicación web.
JUSTIFICACIÓN E IMPORTANCIA
La importancia de este proyecto comprender las vulnerabilidades en los sistemas
de información web para poder elaborar un plan de mejoras y recomendaciones
basada en normas de seguridad informática con el propósito de mantener
protegida la información del usuario y que esta se mantenga disponible las 24
horas del día y los 7 días de la semana.
Debido a la confidencialidad de la información que manejan los sistemas de
aplicación web es de suma importancia de ejecutar una auditoría de seguridad
informática con el fin de que empresas de carácter gubernamental, de salud,
financieras, académicas y demás puedan tomar acción ante cualquier incidente
de seguridad que se pueda presentar en momentos determinados. Con esta
auditoría damos anotar también las amenazas informáticas presentes en las
aplicaciones web para poder tener los riesgos identificados y en base a
estándares de seguridad de la información poder efectuar el respectivo
tratamiento.
Para este trabajo de titulación se utiliza la herramienta de auditoría llamada
OWASP, con el único fin de que la organización pueda tomar los planes de
10
prevención y de contingencia para el respectivo tratamiento de los riesgos
detectados mediante auditoría, y así evitar que piratas informáticos accedan
ilícitamente a los sistemas de aplicación web de la empresa con el propósito de
atentar a la confidencialidad de la información.
METODOLOGÍA DEL PROYECTO
Para el desarrollo del actual proyecto de titulación se ha empleado la
metodología de Proyecto AGILE donde se detallan las siguientes fases:
ANÁLISIS Y DIAGNÓSTICO: Consiste en verificar el análisis y diagnóstico de
los sistemas de información web inicialmente para comprobar si es vulnerable a
intrusiones cibernéticas que pongan en peligro los procesos que se ejecutan en
las aplicaciones web y fortalecimiento de las brechas de seguridad existentes.
DISEÑO: Después del análisis y diagnóstico ejecutado se procede a verificar lo
que concierne al diseño a desarrollarse, respetando la disposición cronológica
de cómo se va a ir efectuando el análisis y generando los respectivos informes.
IMPLEMENTACIÓN: Respetando el diseño perfilado, y como indica el orden
cronológico proporcionado, se va a estar implementado OWASP junto con más
herramientas de testeo con la finalidad de detectar riesgos, amenazas y
vulnerabilidades en las aplicaciones web.
REALIZACIÓN DE PRUEBAS: Se desarrollaron las pruebas adecuadas en un
ambiente de simulación controlado, para consecutivamente reafirmar que
consecuencia puede causar las vulnerabilidades detectadas en dicho ambiente.
11
CAPITULO II
MARCO TEORICO
ANTECEDENTES DE ESTUDIO
Hoy en día la cantidad de información que se comparte en internet con lleva a
riesgos y responsabilidades, cuando alguna organización experimenta un
incidente de seguridad muy serio, referente a su inestabilidad que estos poseen,
es necesario tratar este problema de manera urgente para su recuperación
inminente. La seguridad informática juega un rol crucial en la coyuntura
empresarial ganando relevancia con el objetivo de asegurar la integridad,
disponibilidad y confidencialidad de la información.
Por medio de un estudio realizado por la Ingeniera en Sistemas Informáticos
Rina Elizabeth López de Jiménez docente de la Escuela de Ingeniería en
Computación ITCA-FEPADE sede central en el Salvador en el año 2017 en su
apartado científico de pruebas de penetración en aplicaciones web usado
hackeo ético, ella analizo las principales pruebas de intrusión en aplicaciones
web con un breve prefacio de Pentesting, así como también los esenciales
ataques que pueden sufrir las aplicaciones así como también indica que la
12
metodología OWASP está basada en dos fases: pasiva y activa y que su
enfoque es “caja negra” preferiblemente poca o ninguna información conocida
incluso en el contexto donde se realizaran las pruebas. Después realizar el
análisis se confirma que ninguna aplicación web es perfectamente segura y libre
de ataques pero con la práctica de las herramientas y metodologías necesarias
las vulnerabilidades pueden ser superadas dando integridad y fiabilidad de la
información que se manejan. (Lopez, 2017)
A través de un estudio realizado en el año 2016 por el estudiante Oswaldo
Tamayo Veintimilla que el objetivo es analizar la situación actual sobre el manejo
y control de la información en las empresas medianas y pequeñas, realizando un
análisis comparativo de las principales herramientas para aplicar Ethical Hacking
e identificar los privilegios, ventajas, desventajas de las mismas. (Tamayo, 2016)
Actualmente existen muchas herramientas que tienen como finalidad detectar las
vulnerabilidades informáticas en plataformas diferentes, estas permiten evaluar
las posibles roturas de información que un equipo o sistema pueden tener dentro
de una organización.
El propósito de este trabajo de investigación es detectar cuales son las
vulnerabilidades existentes, aplicando la metodología OWASP y Hacking ético
permitiendo demostrar las brechas de información existentes y que deben ser
mitigadas con la finalidad de que la información se proteja y no sea sensible a
los posibles ataques.
FUNDAMENTACIÓN TEÓRICA
SEGURIDAD INFORMÁTICA
Gráfico N° 1: Seguridad Informática según la norma ISO/IEC 17799
13
Elaboración: Álvaro Gómez Vieites
Fuente: Gómez Vieites, A. (2014). Enciclopedia de la Seguridad Informática.2° edición
Es el procedimiento de informar y detectar el uso no autorizado de un sistema
informático. Este consiste en proteger el uso de cualquier recurso informático
con intenciones maliciosas así como también la probabilidad de acceder por
accidente a ellos.
La seguridad informática es la disciplina que con base en políticas
y normas internas y externas de la empresa, se encarga de
proteger la integridad y privacidad de la información que se
encuentra almacenada en un sistema informático, contra cualquier
tipo de amenazas, minimizando los riesgos tantos físicos como
lógicos, a los que está expuesta.(Baca , 2016, p. 12)
Actualmente la seguridad informática es importante para cualquier tipo de
empresa sea publica o privada ya que a traves del internet como fuente principal
de acceso se han implementado un sinnumero de aplicaciones que sirven para
todas las areas permitiendo que se automaticen los procesos Esta se caracteriza
por la protección de la información por lo cual existen tres principios basicos:
Integridad de los datos.- es la modificacion de la informacion este debe ser
conocido y autorizado por la organización.
Disponibilidad del sistema.- es la operacion inintrrumpida para mantener la
productividad y la credibilidad de la organización.
Confidencialidad.- es la divulgacion de la información esta debe ser autorizado
y los datos protegifos contra cualquier ataque que violen este principio.
14
Tipos de Seguridad Informática
La seguridad informática se divide en tres clases:
• Seguridad de hardware: implica tanto la protección fisica como el control
del trafico de una red ademas del constante escaner de un sistema.
• Seguridad de software: se dedida a bloquear e impedir ataques
maliciosos de hackers.
• Seguridad de red: se aplica a traves del hardware y el software del
sistema, protegiendo el uso, la integridad, la fiabilidad y los datos.
Como afirma Gómez(2014) “Una organización debe entender la Seguridad
Informática como un proceso y no como un producto que se puede “comprar” o
“instalar”. Se trata, de un ciclo iterativo, en el que se involucran actividades
como valoración de riesgos, prevención, detección y respuesta ante incidentes
de seguridad” (p. 5). Mantener mecanimos y tácticas para mitigar los riesgos de
una organización es el valor fundamental para una adecuada seguridad de la
información.
Las empresas actualmente se preocupan y valoran la seguridad para ello
establecen normas o protocolos tales como limitar el uso y acceso a la red e
internet, autorización o restricciones de funciones de software, creación de
perfiles de usuarios, protección a redes inalambricas. En las compañías siempre
debe haber un protocolo que actue ante amenazas o robos, fallos, falla de
suministros, asi como evitar el uso no autorizado de intrusos, pero los autenticos
protagonistas de la seguridad en las empresas son los empleados ya que son los
que utilizan los dispositivos tecnologicos.
15
VU
LNERABILIDAD DE LOS SISTEMAS INFORMÁTICOS
Fuente: Purificación Aguilera (2010). Seguridad Informática Autor: Purificación Aguilera López
La vulnerabilidad es el punto débil que pone en riesgo la confidencialidad y la
integridad de la información.
Probabilidades que existen de una amenaza se materialice contra
un activo. No todos los activos son vulnerables a las mismas
amenazas. Por ejemplo, los datos son vulnerables a la acción de
los hackers, mientras que una instalación eléctrica es vulnerable a
un cortocircuito. Al hacer el análisis de riesgos hay que tener en
cuenta la vulnerabilidad de cada activo.(Aguilera, 2010, p. 14)
Una vulnerabilidades la debilidad o el producto de una falla producida por el mal
de diseño de un software, también puede ser las propias delimitaciones de la
tecnología para la que fue diseñado.
Gráfico N° 2: Sistema Informático
16
En el enunciado escrito Baca (2016) define: “una vulnerabilidad constituye un
hecho o una actividad que permite concretar una amenaza. Se es vulnerable en
la medida en que no hay suficiente protección como para evitar que llegue a
suceder una amenaza” (p. 31).Es tan importante tenerlas en cuenta; ya que
podrían ser aprovechas, es por ello que las empresas deben tener un
departamento de seguridad que se encargue de frenar el impacto de las
amenazas o riesgos, solo así se puede asegurar que una vulnerabilidad
informática no ocasione problema en los negocios.
Tipos de Vulnerabilidades
Existen dos tipos de vulnerabilidades el primero conocido como vulnerabilidad
teórica y el segundo y el que interesa al usuario conocido como vulnerabilidad
real o “Exploit”.
• Vulnerabilidades que afectan equipos: módems, routers, cámaras web y
de video, agendas electrónicas, faxes, impresoras, escáneres,
fotocopiadoras, teléfonos móviles.
• Vulnerabilidades que afectan programas y aplicaciones: sistemas
operativos, servidores, bases de datos, navegadores, aplicaciones de
oficina (word, excel), utilerías (winamp, wmp, flash).
Clasificación de las vulnerabilidades
En la siguiente tabla, se detalla la clasificación de las vulnerabilidades en los
sistemas informáticos.
Tabla N°3: Clasificación de las Vulnerabilidades
Calificación Definición
Crítica Permite la divulgación de amenazas sin que sea
imprescindible la participación del usuario.
17
Importante Es capaz de poner en peligro la confidencialidad,
integridad o disponibilidad de la información así
como también de los recursos de procesamiento.
Moderada Es el más sencillo de combatir ya que el peligro se
puede reducir.
Baja Su impacto es mínimo y no afecta a una gran masa
de usuarios.
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle-José Steven Raza Rivas
Cada una de estas vulnerabilidades indica los peligros que están expuestas
deben ser tomado con la mayor seriedad posible, para prevenir cualquier tipo de
incidentes en la seguridad de los datos, documentos que tengamos
almacenados.
Causas:
• Políticas de seguridad deficiente o inexistente.
• Desconocimiento y falta de los responsables de informática.
• Errores de programación.
• Configuración inadecuada de sistemas informáticos.
• Disponibilidad de herramientas que facilitan los ataques.
• Limitación de las claves criptográficas.
• Inadvertencia de los fabricantes.
• Debilidad de los protocolos utilizados en el diseño de redes.
Amenazas:
Es la acción para atentar contra la seguridad de la información de un sistema,
estas pueden proceder de ataques internos como externos. “En sistemas de
información se entiende por amenaza la presencia de uno o más factores de
diversa índole (personas, maquinas o sucesos) que de tener la oportunidad
atacarían al sistema produciéndole daños aprovechándose de su nivel de
vulnerabilidad”. (Aguilera, 2010, p. 13)
18
Una amenaza es una advertencia o un indicador que produce daño o se está
produciendo a algún activo de la información de una organización. Las
amenazas se incrementan a medida que las tecnologías avanzan, existen
amenazas conocidas como malware (virus, gusanos, cookies, troyanos entre
otros) que ponen en riesgo el funcionamiento de nuestros equipos, sistemas y
redes.
Lo ideal es que hagamos uso de buenas normas de seguridad en las
organizaciones colocando las barreras posibles y evitar que los enemigos de lo
ajeno se adueñen del sistema.
Según su origen las amenazas se clasifican en:
• Accidentales: estos son desastres naturales, inundaciones, incendios,
fallas en los ordenadores, en las redes, en los SO, software, redes,
errores humanos.
• Intencionadas: estas son hechas por el humano como el ingreso de
software malicioso, robos, etc. Estas amenazas también pueden tener su
origen fuera de la compañía o incluso en el mismo personal.
Tabla N°4: Clasificación de las Amenazas
Tipo de ataque Daño que produce
Interrupción Obtener que un recurso de la red deje de estar
disponible para sus usuarios.
Intercepción Permite que el atacante acceda a la información
almacenada en el sistema o que se esté
transmitiendo por la conexión de red a otros
usuarios de la misma.
Modificación Interrumpir y manejar la información sin estar
19
autorizado para hacerlo, lo que produce enorme
daños.
Fabricación Es el más peligroso, ha sido diseñado para
engañar al usuario cuando accede a una url que
se supone que es legítimo.
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle -José Steven Raza Rivas
Desde cualquier punto de vista somos conscientes de que el mundo actual, los
riesgos de ser víctimas de un incidente informático son muy probables, para
lograr protegernos lo primero que debemos tomar en cuenta es conocer la
manera más eficaz para activar una defensa ante ellas.
Fuente: www.delitosinformaticos.com Autor: J. Alfocea
Ataques:
Es la intención organizada o preparado causado por una o más personas que
causan daño o problemas a un sistema o una red. Los ataques se producen a
partir de alguna debilidad o falencia existente en el hardware o software. “Un
ataque informático es la forma más intensa de lo que puede ser considerado
como una guerra cibernética, esto es, el uso de medios técnicos para pelear una
guerra contra un enemigo en el ciberespacio” (Ambos, 2015, p. 12).
Gráfico N° 3 Delitos informáticos
20
Un ataque informático aparece de la propagación de un virus informático
causando daños o eliminando datos, este ataque se produce de alguna falencia
existente impidiendo el correcto funcionamiento de los sistemas. En gran parte
los ataques actúan de manera silenciosa y las victimas no se dan cuenta del
mismo hasta que esto no haya pasado.
Tal como las tecnologías se actualizan, las amenazas también evolucionan
convirtiéndose en una preocupación para cualquier empresa o persona que
necesita tener su información protegida. Es por eso que los riesgos existentes se
han convertido en una prioridad para mitigar, por ello que las Pymes suelen ser
las más afectadas a los ataques.
A continuación mencionamos los cuatro principales ataques:
1. Malware
El malware o software malicioso es una categoría de software diseñado para
infiltrarse y dañar para infiltrase y dañar un sistema sin ser detectado. También
conocidos como gusanos, troyanos, spyware y los ransomware todos estos
secuestran la información de valor de un dispositivo con el propósito de solicitar
transferencia en criptomoneda o moneda digitales como medio de rescate.
2. Ataque DDOs
Conocido como la prohibición del servicio distribuida, consiste en bloquear el
acceso de una url y, en simultáneo, el ataque al servidor mediante la admisión
de información a gran volumen (por ejemplo, falso envío de solicitudes
3. Phishing
Es un procedimiento usado por los agresores para robar la identidad de un
usuario o de una empresa esto se realiza mediante correos electrónica, para
obtener datos personales o bancarios.
4. Baiting
Dirigido a infectar equipos y redes a partir de almacenamiento extraíbles tales
como pen-drivers, tarjetas SD o discos duros externos. Software malicioso que
21
ingresa de forma externa al ordenador, su estrategia es que el delincuente
coloque dispositivos de almacenamiento externos en los alrededores de la
compañía (Estefan, 2015).
AMENAZAS POR INTERNET
Actualmente los peligros por internet son más inminentes, por el mismo hecho de
la modernización por la cual las personas tienen más conocimientos de esta
índole.
Entre los principales internautas que amenazan la seguridad de la información
tenemos:
Hackers
Es un sujeto con grandes conocimientos en el área informática, teniendo la
inteligencia de dominar muchas actividades desafiantes desempeñándose de
manera extraordinaria para causar daño o por otras razones.
Crackers
Es considerado como un individuo vandálico virtual, es el que ataca a los
sistemas para conseguir beneficios de forma ilegal o, simplemente, para causar
algún daño a las empresas.
Sniffers
Son sujetos que se dedican a rastrear, descomponer y descifrar mensajes que
se difundes a través de las redes.
Phreakers
Son sujetos especialistas en sistemas telefónicos, que confunden a las
compañías telefónicas; estos se orientan al hacking.
Spammers
22
Son los que se dedican a hacer Spam en internet, los hacen con diversos fines
para bombardear a cientos de usuarios ocasionando la caída de los servidores y
el exceso de correo electrónico en los buzones .Muchos de estos mensajes
contienen código malicioso para hacer estafas.
Lamers ("wannabes"): Script-kiddies o Click-kiddies
Son personas que han adquirido herramientas o programas con el fin de realizar
ataques informáticos generalmente desde los servidores de Internet.
Piratas
Son los que se especializan en la falsificación de aplicaciones o programas,
incumpliendo la ley de propiedad intelectual.
FASES DE UN ATAQUE INFORMÁTICO
Gráfico N° 4: Triángulo de la intrusión en la red
23
Autor: Álvaro Gómez Vieties Fuente: Álvaro Gómez (2016). Seguridad en Equipos Informáticos
1. Reconocimiento.- consiste en obtener información, en este proceso se
utiliza varias técnicas.
2. Escaneo.- es el proceso de escanear y examinar la información que se
encuentra recopilada para encontrar las falencias existentes de
seguridad.
3. Acceso.- en esta fase el ataque se lo realiza a través de las falencias de
las vulnerabilidades y falles que tenga el sistema.
4. Mantenimiento.-se busca mantener el acceso del sistema, adicional se
colocan mecanismos que permitan acceder a Internet las veces que sean
necesarias.
5. Borrar huellas.- durante este evento se procede a eliminar totalmente
las huellas que el intruso coloco cuando accedió al sistema.
6. Reconocimiento.- consiste en obtener información, en este proceso se
utiliza varias técnicas.
7. Escaneo.- es el proceso de escanear y examinar la información que se
encuentra recopilada para encontrar las falencias existentes de
seguridad.
8. Acceso.- en esta fase el ataque se lo realiza a través de las falencias de
las vulnerabilidades y falles que tenga el sistema.
9. Mantenimiento.-se busca mantener el acceso del sistema, adicional se
colocan mecanismos que permitan acceder a Internet las veces que sean
necesarias.
24
10. Borrar huellas.- durante este evento se procede a eliminar totalmente
las huellas que el intruso coloco cuando accedió al sistema.
TIPOS DE ATAQUES INFORMÁTICOS
• Malware:
Software maligno que busca infiltrarse en un sistema con el fin de
dañarlo.
• Virus:
Es la acción de infectar la información que se encuentra en el sistema
con códigos maliciosos.
• Gusanos:
Es la ejecución de un programa que una vez que infecta el ordenador
realiza la creación de copias iguales difundiéndolas en la red.
• Troyanos:
Es parecido a los virus pero no son iguales, este consiste en abrir las
denominadas puertas traseras para que ingresen otros programas para
dañar los archivos.
• Spyware:
Conocido como programa espía que tiene como finalidad la obtención de
información.
• Adware:
Su función es la de exhibir publicidad, cabe indicar que su intención no es
maliciosa ni tampoco dañar los ordenadores.
• Ransomware:
25
Esta técnica es utilizada con el fin de bloquear los dispositivos, exigiendo
que paguen para recuperar la información robada.
ATAQUES A APLICACIONES WEB
Fuente: ictsecuritymagazine.com Autor: Verizon
Frecuentemente las vulnerabilidades a las que están expuestas los servidores
web son por malas prácticas desarrolladas a nivel de la infraestructura de la
aplicación web, es de gran importancia entender que los sistemas de información
web no solo deben estar diseñados para desarrollar en cumplir puntos
planteados específicamente sino que también deban salvaguardar la
información o datos producidos por ellos.
Los ataques en las aplicaciones web, son ahora el patrón más
frecuente en las infracciones confirmadas, según la investigación
realizada por Verizon “2017 Data Breach Investigations Report”, el
Gráfico N° 5: Patrones de fuga de datos
26
88% de los casos de fuga de datos confirmados en el mundo cae
dentro de alguno de los siguientes patrones.(Verizon, 2017)
El ambiente de las amenazas para la seguridad en aplicaciones web avanza de
un modo exuberante donde los elementos críticos son los avances tecnológicos
ejecutados por los malos usuarios.
HACKING ÉTICO
Es la forma en la que una persona usa sus conocimientos adquiridos en
informática y seguridad con el propósito de ejecutar pruebas en la red así como
también localizar las debilidades.
La acción de efectuar pruebas de intrusión controladas sobre
sistemas informáticos; es decir que el consultor o pentester,
actuara desde el punto de vista de un cracker, para tratar de
encontrar vulnerabilidades en los equipos auditados que puedan
ser explotadas, brindándole – en algunos casos – acceso al
sistema afectado inclusive; pero siempre en un ambiente
supervisado, en el que no se ponga en riesgo la operatividad de
los servicios informáticos de la organización cliente. (Astudillo,
2016, pág. 6)
Actualmente se sugiere a las empresas que contraten la asistencia de una
empresa que ofrezca la función de hacking ético, esta debe estar certificada
por organismos de reconocimiento mundial.
Objetivos:
• Preparar a una empresa para ser evaluada, permitiendo que sea
accedida para detectar ataques y fortalecer la seguridad de sus sistemas.
27
• Acceder a los equipos de la organización con el correspondiente
consentimiento de sus propietarios.
• Detecta vulnerabilidades y debilidades en la infraestructura de las
tecnologías de una compañía.
• Elaborar informes de la problemática existente en la detección de
falencias.
• Facilita una mejor protección a los sistemas de información de una
compañía.
Ventajas:
• Permite conocer las vulnerabilidades para la toma de los respectivos
correctivos, antes de ser víctimas de un posible ataque.
• Ahorro de costos y tiempo previniendo perdidas de información que
pueden ocasionar gastos en la inversión de una empresa.
• Proporciona el mantenimiento de la imagen de una entidad dando la
confianza a los clientes.
Fases del Hacking Ético
Gráfico N° 6: Fases del hacking
28
Fuente: Karina Astudillo (2016). Hacking Ético 101
Autor: Karina Astudillo B
Las fases del hacking ético son:
1. Reconocimiento:
Implica la recopilación de información de alguna compañía se lo puede
realizar sin el consentimiento de la misma, normalmente se efectúa una
búsqueda en internet para obtener información.
Las herramientas que se utilizan son los sniffing que fáciles de usar y
generar la información valiosa que se necesita.
1. Escaneo
Radica en tomar la información que se descubrió en la fase de
reconocimiento y se utiliza para examinar la red. En esta fase se busca
cualquier información que sirva para penetrar un ataque contra un
objetivo ya determinado, las herramientas que se pueden usar en esta
etapa son:
• Escaneo de puertos
• Escáner de ICMP (Protocolo de mensajes de control de internet)
• Barrido de Ping
• Barrido de SNMP
• Mapeadores de red
2. Obtener acceso:
En esta fase ya tiene acceso real al sitio, el ataque ahora es explotado y
se obtiene el acceso al sistema destinado.
29
La explotación ocurre de la siguiente forma:
• LAN (Local Área Network)
• Internet
• Offline (sin estar conectado)
Y se incluye las técnicas tales como:
• DoS (Denial of Service)
• DDoS (Distributed Denial of Service)
• Password Cracking (Romper o adivinar claves usando métodos
como: Brute Force Attack o Dictionary Attack)
• Buffer Overflows (Desbordamiento de buffer)
• Sesión Hijacking (Secuestro de sesión)
• Ataques Man-in-the-middle
Este tipo de ataque puede ser a:
• Aplicaciones web
• Sistema Operativo
• Aplicativos de escritorio
• Se puede aprovechar de configuraciones mal configuradas o por
defecto
• Nivel de destrezas que puede poseer ingenieros, profesionales de
seguridad informática.
3. Escribir informe
Esta fase se realiza una vez que finaliza con éxito la etapa de obtener
acceso del sistema que se vulnero, la importante de esta fase en
mantener el acceso al sistema. En este ciclo se puede lanzar nuevos
ataques y vulnerando otros sistemas que se pretenda atacar sean estos
que se encuentren dentro o fuera de la red pudiendo modificar cualquier
30
tipo de información o archivos alterando el funcionamiento de las
aplicaciones.
4. Presentar Informe
En este estado se trata de destruir cualquier tipo de evidencia
manteniendo el acceso al sistema que se encuentra comprometido
evitando ser detectado.
Se utilizan las siguientes técnicas para ocultamiento de huellas:
• Tunneling
• ELSave
• Steganography
• RootKits
• Navegación Anónima: VPN, Tor, Prxys Anónimos
• Eliminación de todas las cuentas de usuario que se creó.
• Eliminar todos los registros donde se obtuvo el acceso.
Tipos de Hacking Ético
Existen dos tipos de hacking estos son:
• Hacking ético externo:
Es el que actúa directamente desde el internet a una red pública; son los
equipos que se encuentran expuestos a internet brindando sus servicios
de manera abierta. Por ejemplo: servidor web, firewall, etc.
• Hacking ético interno:
Estese efectúa desde una red interna, permitiendo que se evalúe el
estado actual de la seguridad de una empresa.
¿Por qué contratar el servicio de hacking ético?
31
Una de las razones es la de potenciar las capacidades de la seguridad
informática dentro de una transacción; esto debe llevarse a cabo por un equipo
profesional especializado con el propósito de identificar las fallas existentes.
La gran mayoría de estos ataques ayudar a identificar los accesos más frágiles
de los sistemas informáticos y con la intención de fortalecer la integridad de la
información de una organización.
Es esencial que se planifique para que este tipo de simulación sea eficaz, es por
eso que los responsables deben definir los objetivos que desean conseguir y
cuáles son las proporciones eficientes.
El propósito de este proceso es establecer las amenazas comunes dentro de un
sistema, esto ayudará a reconocer las vulnerabilidades así como también la
antelación de los posibles ataques, podemos obtener una gran ventaja a este
tipo de riesgos.
Es recomendable utilizar el hacking ético como un recurso habitual ayudándonos
a prevenir las carencias que surgen en los sistemas. Es necesario contar con los
recursos para dirigir una auditoría informática donde se diseñe las estrategias y
prevenciones necesarias.
¿El Hacking Ético es legal?
El hacking es legal siempre que pongamos a prueba nuestros sistemas con la
intención de protegernos de los ataques latentes. La mayor parte de las
empresas indican que permitir a un hacker ético para verificar las defensas de la
organización es más que suficiente; es necesario que para esta acción se
proporcione las actividades a las cuales se va a proteger.
Es muy común obtener acceso a los sistemas de una compañía porque se
ingresa a través de sus socios, por otra parte las grandes corporaciones poseen
32
medidas de seguridad fuertes; mientras que las pequeñas empresas su
protección es débil o demasiado limitada.
¿Por qué el hacking ético es un recurso fundamental para una pyme?
Es primordial resguardar el mayor activo de una compañía que es su
información, es de gran importancia que los datos estén asegurados más aún
que los métodos para vulnerarlos son cada vez más letales; incluso llega hasta
la destrucción.
Fuente: www.pied.mx/blog/ Autor: PIED
La falta de conocimiento en este asunto genera un riesgo y una colisión
económica que conlleva muchas veces a la quiebra de una empresa.
Es por ello que los expertos recomienda organizar una infraestructura de
procesos dirigidos al negocio y que estos sean manejados por el personal
calificado así como también que sus recursos tecnológicos sean especializados
y que garanticen la confianza de los gerentes o altos mandos de la organización.
Es necesario adoptar buenas prácticas para disminuir riesgos, a continuación
detallamos algunas:
• Activar un firewall.
Gráfico N° 7: Pymes
33
• Capacitar al personal de la empresa acerca de la seguridad de la
información.
• Efectuar pruebas para descubrir amenazas y vulnerabilidades en los
sistemas.
• Elaborar planes de contingencia sobre futuros que puedan suceder.
• Realizar de manera constante copias de seguridad a los datos.
METODOLOGÍA OWASP
Fuente: www.owasp.org Autor: OWASP
Es una técnica que realiza auditoría web de manera libre y práctica, orientada en
el estudio de aplicaciones Web referentes a su seguridad, es utilizado en
auditorías de seguridad. “El proyecto abierto de seguridad en aplicaciones web
(OWASP por sus siglas en inglés) es una comunidad abierta dedicada a permitir
que las organizaciones desarrollen, adquieran y mantengan aplicaciones y Apis
en las que se pueda confiar”(The OWASP Foundation, 2017).
Gráfico N° 8: Logo de Owasp
34
OWASP proporciona información imparcial y práctica sobre la seguridad en las
aplicaciones informáticas, esta metodología no está asociada a ningún tipo de
compañía tecnología pero favorece el uso informático de tecnologías que se
relaciones con seguridad, cabe indicar que OWASP recomienda que se debe
orientar la aplicación de normas de seguridad de la información destacando
fundamentando destacando: procesos, tecnologías y personas.
Los proyectos OWASP se dividen en dos considerables categorías:
Proyectos de documentación:
Guía OWASP.- es un documento enorme que facilita un manual minucioso sobre
seguridad de aplicaciones en la web.
OWASP Top 10.- es un documento que se concentra en las fallas que poseen
de manera crítica las aplicaciones.
Métricas.- es un plan que sirve para definir métricas ajustables de garantizando
las aplicaciones.
Legal.- es un esquema para asistir a los compradores y vendedores de software
para que negocien favorablemente sus contratos.
Guía de pruebas.- guía centrada en realizar una prueba efectiva en los
programas web.
ISO 17799.- son documentos de apoyo para sociedades que se ejecutan bajo la
norma ISO 17799.
AppSec FAQ.- son preguntas y respuestas usuales sobre normas de seguridad
en la web.
Proyectos de desarrollo:
35
WebScarab.- es una norma de exploración para vulnerabilidades incorporando
herramientas proxy en los aplicativos.
Filtros de validación. - filtros genéricos para seguridad perimetral que pueden
usar los desarrolladores particularmente en los sistemas.
WebGoat.- es una herramienta de forma segura y legal que interactúa de
formación y benchmarking para que aprendan los clientes acerca de seguridad.
DotNet.- es un grupo de herramientas para securizar los entornos .NET.
En OWASP podemos encontrar:
• Controles de seguridad estándar y librerías.
• Herramientas y patrones de seguridad en los programas.
• Elaboración de código fuente seguro y las revisiones de las mismas
• Libros de revisión de aplicativos en seguridad.
Riesgos en seguridad de aplicativos web
Los agresores usan diferentes segmentos de ataque a través de los aplicativos
para hacer daño a cualquier entidad, cada vector es diferente, o no,
suficientemente grave como para atender el problema.
36
Muchas veces estas vías son sencillas de encontrar y explotar y difíciles, del
mismo modo pueden no tener consecuencia en la red o dejarlo fuera de servicio.
Fuente: www.owasp.org
Autor: Creative Commons
Sin embargo las grandes y pequeñas corporaciones disponen de gran cantidad
de servicios web que son publicados en Internet con el deseo de aumentar su
producción entre los portales que son visitados por clientes, proveedores y
empleados para impulsar sus beneficios y servicios.
¿Cómo se calcula el riesgo?
Gráfico N° 9: Riesgo en la seguridad de las aplicaciones
37
Owasp Top 10 se concentra en identificar los riesgos más severos para una
amplia variedad de organizaciones. Estos riesgos se han determinado en un
bosquejo de calificaciones.
Fuente: www.owasp.org Autor: Creative Commons
Cada empresa es única así como también los agentes de amenaza por eso es
fundamental comprender el riesgo y las impresiones que posean para tratar a la
medida posible solucionarlos.
Para mejorar los aplicativos de seguridad se creó OWASP Top 10 versión 2017
este se enfoca en educar a los desarrolladores, arquitectos, diseñadores,
gerentes y compañías en cuáles son sus debilidades más usuales e importantes
en relación a las aplicaciones.
Cabe indicar que la verificación que los registros permiten al grupo de auditores
garantizando una verificación de manera organizada en la plataforma para que
todos las secciones de ataques sean analizados y detectando las falencias que
existan.
Este procedimiento ayuda a renovar la protección y la seguridad de los
aplicativos de nuestros clientes, existen dos tipos de modalidades de verificación
de seguridad basado en OWASP 2017.
Gráfico N° 10: Esquema de calificaciones de riesgo
38
Auditoría OWASP
Su propósito en un repaso a la web de manera completa, se ampara en el
método de OWASP, es corroborar que los 90 registros por esta metodología, se
centren en los errores vinculados con todo el negocio.
Auditoría Owasp Top 10
Fuente: www.owasp.org Autor: Creative Commons
A1: Inyección
Los archivos del atacante engañan al intérprete para que ejecute comandos de
manera involuntaria ingresando a los datos sin la respectiva autorización. Las
fallas de inyección como SQL, NoSQL, OS o LDAP ocurren cuando se envían
datos no confiables a un ejecutante a manera de consulta.
A2: Pérdida de Autenticación
Gráfico N° 11: Comparación de Owasp Top 10 2013-2017
39
Son las funciones de la aplicación relacionadas a autenticación y gestión de
sesiones son implementadas de manera incorrecta, permitiendo a los agresores
involucrar a los usuarios y contraseñas, sesiones de token, o detonar otras fallas
de implementación para asumir la identidad de otros usuarios (temporal o
permanentemente).
A3. Exposición de datos sensibles
La mayor parte de los aplicativos y APIs no protegen favorablemente la
información que es sensible. Los agresores pueden robar o modificar estos datos
protegidos inadecuadamente tales como robos de identidad, fraudes a las
tarjetas de crédito u otros delitos. La información susceptible requiere métodos
de custodia para el cifrado en almacenamiento y tránsito.
A4. Entidades Externas XML (XXE)
Son las encargas de evaluar a las entendidas de manera externa mediante
documentos XML.
A5. Pérdida de Control de Acceso
Es la reducción los datos así como también sus defectos, se accede manera no
autorizada, esto es aprovechado por los atacantes para modificar la información.
A6: Configuración de seguridad incorrecta
Se debe establecer una configuración de manera manual para resolver la
configuración incorrecta en la seguridad.
A7: Secuencia de comandos en sitios cruzados (XSS)
40
Cuando el aplicativo no es confiable sus datos se envían al navegador sin la
respectiva validación.
A8: Deserialización insegura
La carencia ocurre cuando el aplicativo acoge los objetos dañados permitiendo
que estos sean manipulados o eliminados por el que ataca.
A9: Uso de componentes con vulnerabilidades conocidas
Estas son los Frameworks, bibliotecas y módulos se realizan con los privilegios
que tiene la aplicación.
A10: Monitorización y registro insuficiente
Permite al atacante permanecer bastante tiempo en los sistemas muchas veces
destruyéndolo, es por eso realizar procesos internos(The OWASP Foundation,
2017).
Todos estos pasos ayudan a renovar la seguridad y la protección de los sistemas
informáticos de nuestros clientes. Es necesario que todas las fallas o ataques de
fuerza bruta se registren y sean informados a los administradores.
OWASP ZedAttack proxy (ZAP)
41
Fuente: www.owasp.org
Autor: Owasp
Zap es una herramienta que permite resguardar la seguridad sin ningún costo es
sustentado por centenas de voluntarios a nivel mundial. Logrando encontrar de
manera automática las amenazas de seguridad latentes en los aplicativos web.
Es una de las herramientas de seguridad gratuitas más populares
del mundo y es mantenido activamente por ciento de voluntarios
internaciones. Puede ayudarlo a encontrar automáticamente
vulnerabilidades de seguridad en sus aplicaciones web mientras
desarrolla y prueba sus aplicaciones. También es una gran
herramienta para que los pentesters con experiencia la utilicen
para las pruebas de seguridad manuales. (OWASP. ORG, 2019)
Características de Zap:
Entre las principales características tenemos:
• Escaneo pasivo.
Gráfico N° 12 Logo Owasp Zap
42
• Escaneo automatizado.
• Soporte para WebSocket.
• Servidor proxy de interceptación.
• Fuzzer.
• Rastreadores web tradicionales y por Ajax.
• Lenguajes de scripting y compatibilidad con Plug-n-Hack
• Navegación forzada.
Esta aplicación es un escáner de seguridad de código abierto sirve para pruebas
de penetración, es multiplataforma y está escrito en Java para diferentes
sistemas operativos tales como Windows, Linux y Mac OS X.
AUDITORÍA INFORMÁTICA
Es el proceso que se lleva a cabo realizado por especialistas debidamente
capacitados, y consiste en recoger, agrupar y evaluar todas las evidencias para
diagnosticar si un sistema protege la integridad de sus datos de manera eficiente
cumpliendo con los mandatos, leyes y regulaciones establecidas. “La auditoría
de TI es el mecanismo/proceso metodológico para valorar y evaluar la confianza
que se puede depositar en TI”. (Piattini, 2015, pág. 34)
La auditoría informática se enfoca en llevar a cabo inspecciones, instrucciones
que están implementadas en una empresa para obtener la confidencialidad,
seguridad de la información, el objetivo de un auditor de sistemas es la
suministrar recomendaciones en el área de gerencia para optimizar o alcanzar
un ambiente de mayor eficacia estratégica y administrativa.
43
Objetivo de efectuar una auditoría informática
Proporciona el correcto cumplimiento en los sistemas web otorgando los
respectivos controles indispensables logrando que sean confiables y tengan un
alto nivel de seguridad cabe recalcar que esto implica software y hardware.
Alcance de ejecutar una auditoría informática
Es la necesidad del entorno que se va a desarrollar y estableciendo los límites
que este contendrá, por lo general los alcances se colocan al final de los
informes en el mismo se detallan que puntos se trataron y el uso de los recursos.
FIREWALL
Fuente: www.abinfoways.com
Autor: AbInfoways
Gráfico N° 13 Firewall
44
Es un componente que permite el fácil monitoreo del tráfico de red entre las
conexiones ya sean entrantes o salientes, tiene como fin limitar el acceso no
permitido que pueden infringir otros dispositivos a la red.
El firewall “corta fuegos” es una parte de un sistema o red que está
diseñado para bloquear el acceso no autorizado, permitiendo al
mismo tiempo las comunicaciones autorizadas. Se trata por tanto
de un dispositivo o conjunto de dispositivos configurados para
permitir o limitar, cifrar o descifrar, el tráfico en red sobre la base de
un conjunto de normas y criterios preestablecidos; o en otras
palabras, un elemento de hardware o software utilizado en un
ordenador o en una red de ordenadores para controlar las
comunicaciones, permitiéndolas o prohibiéndolas según las
políticas de red que haya definido el administrador o la organización
responsable de la misma.(Editorial CEP, 2019)
El firewall puede ser físico o digital, es un medio de protección que nos
proporciona restringir, acceder, cifrar o decodificar el tráfico de las
comunicaciones de los equipos de una entidad evitando el uso inadecuado a los
sistemas no autorizado.
Ventaja de configurar un firewall
• Protege de instrucciones: una configuración en el firewall que solo
permita el acceso a determinados segmentos de red para reducir los
posibles ataques externos.
• Resguardar la información: define los diferentes niveles de acceso a la
información de una entidad, solo se obtiene acceso a los servicios que se
le otorgue a cada grupo definido.
45
• Optimiza los accesos: se identifica los componentes de la red interna
mejorando la operatividad de la comunicación entre ellos.
Tipos de firewall
Existen diferentes tipos de firewall, entre los más comunes tenemos:
Cortafuego personal:
Es un software que se instala directo al ordenador, depurando las
comunicaciones entre los equipos y la red.
Firewall de capa de aplicación:
Este tipo de firewall trabaja a nivel de aplicaciones por ende los filtros pueden
acoplarse a los protocolos de dicho nivel.
Firewall de capa de red o de filtrado de paquetes:
Estos operan mediante la red filtrando los paquetes IP según los diferentes
campos de dichos paquetes (dirección IP origen – dirección IP destino).
Nivel de aplicación de pasarela:
Este software utiliza protocolos de seguridad para aplicativos determinados
como son: equipos servidores, telnet y FTP.
Circuito a nivel de pasarela:
46
Utilizan protocolos de seguridad cuando establecen la interconexión TCP o UDP.
Este se aplica a nivel del routers.
KALI LINUX
Fuente: www.abinfoways.com Autor: AbInfoways
Es un segmento de Linux reconocido a nivel mundial actuando como líder en
pruebas de hacking ético y pentesting, contiene una gran cantidad de
aplicaciones para ser ejecutadas. “Kali es una distribución de Linux basada en
Debían, diseñada para la auditoria de seguridad, los test de intrusión y la
informática forense”. (Santo, 2018, pág. 15)
Es un entorno seguro, está compuesto por un grupo selecto de personas de
confianza estos son los que pueden modificar los paquetes e interactuar con los
repositorios originales. Este se distribuye en imágenes ISO para diferentes tipos
de arquitecturas.
Como afirma(Gutiérrez, 2014) Kali Linux posee las siguientes particularidades:
Gráfico N° 14: Logo de Kali Linux
47
• Robusto: posee mayores números de herramientas para pruebas de
penetración están se han ido optimizando.
• Gratuito: los estudios no son alterados por los autores, así mismo posee
un sin números de código abiertos estos no son gratis pero se puede
lograr un acuerdo por medio de algunas autorizaciones con los
proveedores que la comercializan.
• Open Source: goza de un repositorio donde está alojado el código fuente
del sistema Kali para mejorarlo o reconstruirlo.
• FHS: establece un segmento de los registros y la creación de estos.
• Personalizable: es viable realizar la actualización de un ajuste
complementario caracterizado por Kali Linux en cual abarca con las
peticiones solicitadas por el cliente.
• Posee la capacidad de soportar una gran cantidad de equipos
inalámbricos.
• Cuenta con una gran cantidad de idiomas, pese a que la mayor parte
estos componentes son encriptados al inglés.
• Creado bajo un entorno fiable; la seguridad de los paquetes son
ejecutadas por el sistema Kali Linux donde se originan un sinfín de
formas para la seguridad.
48
FUNDAMENTACIÓN LEGAL
CONSTITUCIÓN DE LA RÉPUBLICA DEL ECUADOR
CAPÍTULO SEXTO
TRABAJO Y PRODUCCIÓN
Sección II
TIPOS DE PROPIEDAD
La Constitución de la República del Ecuador (2008)en su Art. 322 nos dice:
Se reconoce la propiedad intelectual de acuerdo con las
condiciones que señale la ley. Se prohíbe toda forma de
apropiación de conocimientos colectivo, en el ámbito de las
ciencias, tecnología y saberes ancestrales. Se prohíbe también la
apropiación sobre los recursos genéticos que contienen la
diversidad biológica y agro-biodiversidad(p. 100).
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
Sección VIII
CIENCIA, TECNOLOGÍA, INNOVACIÓN Y SABERES
ANCESTRALES
La constitución de la República del Ecuador(2008)en su Art.385 indica: El
sistema nacional de ciencia, tecnología, innovación y saberes ancestrales, en el
marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberanía,
tendrá como finalidad.
1. Generar, adaptar y difundir conocimientos científicos y tecnológicos.
49
2. Recuperar, fortalecer y potenciar los saberes ancestrales.
3. Desarrollar tecnologías e innovaciones que impulsen la producción
nacional, eleven la eficiencia y productividad, mejoren la calidad de vida y
contribuyan a la relación del buen vivir.
Art.386.- El sistema comprenderá programas, políticas, recursos, acciones, e
incorporará a instituciones del estado, universidades y escuelas politécnicas,
institutos de investigación públicos y particulares, empresas públicas y privadas,
organismos no gubernamentales y personas naturales o jurídicas, en tanto
realizan actividades de investigación, desarrollo tecnológico, innovación y
aquellas ligadas a los saberes ancestrales.
El Estado, a través del organismo competente, coordinará el sistema,
establecerá objetivos y políticas de conformidad con el Plan Nacional de
Desarrollo, con la participación de los actores que lo conforma.
Art. 387.- Será responsabilidad del Estado:
1. Facilitar e impulsar la incorporación a la sociedad del conocimiento para
alcanzar los objetivos del régimen de desarrollo.
2. Promover la generación y producción de conocimiento, fomentar la
investigación científica y tecnológica, y potenciar los saberes ancestrales,
para así contribuir a la realización del buen vivir, al sumakkawsay.
3. Asegurar la difusión y el acceso a los conocimientos científicos y
tecnológicos, el usufructo de sus descubrimientos y hallazgos en el
marco de lo establecido en la Constitución y la Ley.
4. Garantizar la libertad de creación e investigación en el marco de respeto
a la ética, la naturaleza, el ambiente, y el rescate de los conocimientos
ancestrales.
50
5. Reconocer la condición de investigador de acuerdo con la Ley(pág. 116).
REGLAMENTO GENERAL A LA LEY DE COMERCIO
ELECTRÓNICO,
FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS
Decreto N°3496
De acuerdo al Art. 21 del Reglamento General de la Ley de Comercio Electrónico
de la seguridad en la prestación de servicios electrónicos(2002) indica:
La prestación de servicios electrónicos que impliquen el envío por parte del
usuario de información personal, confidencial o privada, requerirá el empleo de
sistemas seguros en todas las etapas del proceso de prestación de dicho
servicio. Es obligación de quien presta los servicios, informar en detalle a los
usuarios sobre el tipo de seguridad que utiliza, sus alcances y limitaciones, así
como sobre los requisitos de seguridad exigidos legalmente y si el sistema
puesto a disposición del usuario cumple con los mismos. En caso de no contar
con seguridades se deberá informar a los usuarios de este hecho en forma clara
y anticipada previo el acceso a los sistemas o a la información e instruir
claramente sobre los posibles riesgos en que puede incurrir por la falta de dichas
seguridades.
Se consideran datos sensibles del consumidor sus datos personales, información
financiera de cualquier tipo como números de tarjetas de crédito, o similares que
involucren transferencias de dinero o datos a través de los cuales puedan
cometerse fraudes o ilícitos que le afecten.
Por el incumplimiento de las disposiciones contenidas en el presente artículo o
por falta de veracidad o exactitud en la información sobre 80 seguridades,
certificaciones o mecanismos para garantizar la confiabilidad de las
transacciones o intercambio de datos ofrecida al consumidor o usuario, el
51
organismo de control podrá exigir al proveedor de los servicios electrónicos la
rectificación necesaria y en caso de reiterarse el incumplimiento o la publicación
de información falsa o inexacta, podrá ordenar la suspensión del acceso al sitio
con la dirección electrónica del proveedor de servicios electrónicos mientras se
mantengan dichas condiciones(pág. 12).
PREGUNTA CIENTIFICA A CONTESTARSE
1. ¿Cómo contribuye la no aplicación de Hacking Ético en los sistemas
informáticos web de las Pymes?
2. ¿Cuáles son los riesgos de no realizar auditorías de seguridad a los
aplicativos informativos web?
VARIABLES DE LA INVESTIGACIÓN
Variable independiente:
La aplicación del Hacking Ético y la metodología de auditoría Owasp.
Variable dependiente:
El análisis de las vulnerabilidades a los sistemas informáticos en las Pymes.
DEFINICIONES CONCEPTUALES
TIC: son aquellas que se centran en los objetivos de la informática, las
telecomunicaciones y la microelectrónica para crear nuevas maneras de
comunicación. Es un grupo de recursos tecnológicos y comunicacionales que
favorecen la creación, acceso y proceso de los datos.
Exploit: conocido como un ataque indebido que se beneficia de las
vulnerabilidades de los programas, redes o hardware; su objetivo es obtener el
control de las aplicaciones o robo de datos que están guardados en una red.
52
Pentesting: se lo conoce como “test de penetración” son agresiones hacia los
sistemas con el propósito de hallar las debilidades o vulnerabilidades.
Spam: es correo no solicitado y que es enviado a una gran cantidad de
aceptantes con fines comerciales o publicitarios.
CAPITULO III
METODOLOGÍA DE LA INVESTIGACIÓN
DISEÑO DE LA INVESTIGACIÓN
Modalidad de la Investigación
Actualmente la mayoría de los seres humanos realizan investigación
frecuentemente sobre algún tema específico según indica Hernández Sampieri,
Fernández y Baptista (2010). Mediante la investigación y acceso continuo a la
información, el personal de sistemas de empresas pymes se actualizan
informándose sobre las últimas tendencias tecnológicas del mundo con el
objetivo de poder mejorar sus estrategias y fortalecer sus conocimientos en el
área que desempeñen, en este caso la seguridad en los servidores de aplicación
web.
Por lo anteriormente mencionado, es importante la consulta y recolección de
información logrando de esta forma una investigación bibliográfica que permite
utilizar la información consultada, registrada y almacenada, la cual fundamenta la
propuesta de análisis de vulnerabilidades en sistemas web desde la red de
internet mediante OWASP.
53
Fuente: El Proyecto Factible: Una modalidad de investigación (2002) Autor: Víctor Emilio Silva Bajaña.
Tipo de Investigación
En este proyecto de titulación se ha realizado una investigación de tipo
descriptiva y exploratoria. Decimos que es descriptiva, en base a lo expuesto por
Hernández Sampieri, quien indica que una investigación descriptiva es “una serie
de cuestiones y se mide cada una de ellas independientemente, para así
describir lo que se investiga”; ya que se ha realizado el análisis del estado y
rendimiento actual de las aplicaciones web implementadas en empresas pymes
de la ciudad de Guayaquil.
Se estudió la metodología OWASP en lo cual no se la ha empleado en pequeñas
y medianas empresas de la ciudad de Guayaquil lo que constituye a esta
investigación exploratoria tal como lo indican Hernández Sampieri, Fernández y
Baptista es la que “se efectúa, normalmente, cuando el objetivo es examinar un
Gráfico N° 15: Diferencias entre Proyecto Factible y Proyecto de Investigación
54
tema o problema de investigación poco estudiado o que no ha sido abordado
antes”.
POBLACIÓN Y MUESTRA
Población:
Según (Sáez Castillo, 2012), “Se denomina población a un conjunto de
individuos o casos, objetivo de nuestro interés”. En esta investigación, la
población está conformada por los encargados del área de sistemas de las
empresas Pymes de Turismo (Agencias de Viajes) de la ciudad de Guayaquil.
Tabla N°5: Población
INTEGRANTES TAMAÑO
Empresas Pymes de turismo de
Guayaquil (Agencia de Viajes)
132
TOTAL 132
Fuente: Trabajo de investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
En la siguiente tabla se detalla el número de personas que se han considerado
como la población para obtener la muestra y para realizar encuestas.
Muestra:
Tamaño de la Muestra
Donde:
55
m= Tamaño de la población
(100)
E= error de estimación (6%)
n = Tamaño de la muestra ?
Reemplazando
Una vez calculado el valor de la fracción muestral, se calcula la muestra para el
grupo de empresas Pymes pertenecientes al sector turístico, multiplicando el
total por el valor de la muestra, como se indica a continuación:
Muestra= 132* 0.68 = 90
Cálculo de la fracción muestral:
56
Tabla N°6: Tamaño de la muestra
POBLACIÓN CANTIDAD MUESTRA
Empresas PYMES de turismo de Guayaquil (Agencia de Viajes)
132 90
TOTAL 132 90
Fuente: Trabajo de investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
CRITERIOS DE INCLUSIÓN Y DE EXCLUSIÓN
Criterios de inclusión
Dentro de los criterios de inclusión para esta investigación se consideró al
personal técnico de las empresas Pymes de turismo de la ciudad de Guayaquil:
Agencias de viajes.
Ya que la información con la que pueden aportar es relevante y útil para el
desarrollo de este proyecto.
Criterios de exclusión
Se excluye de la investigación al personal perteneciente que labora en áreas
contables, ventas, financieras, atención al cliente, etc. y demás localidades
donde no exista personal IT a cargo, ya que no se puede obtener información de
utilidad para este proyecto
OPERACIONALIZACIÓN DE VARIABLES
Variable Independiente:
OWASP
Variable Dependiente:
57
Análisis de vulnerabilidades en sistemas informáticos web desde la red de
internet utilizando herramientas de hacking ético y la metodología OWASP.
Tabla N°7: Variables Independiente y Dependiente
Variables Dimensiones Indicadores Técnicas y / o
Instrumentos
VARIABLE INDEPENDIENTE
OWASP
Identificar WAF (Firewall para aplicaciones web),
Sistemas detectores de intrusos, UTM (Gestión
Unificada de Amenazas) y Desarrollo Web
seguro.
Encuestas y
observaciones
Administrar Continuidad de los servicios web de las
empresas pymes turísticas
Informe de Servicio
Control y mejoras
Aplicación de políticas de seguridad de
servicios
Políticas y Controles ISO 27001
Identificación, evaluación y mitigación de riesgos
Modelo de Matriz de Riesgo
VARIABLE DEPENDIENTE
Análisis de
vulnerabilidades en sistemas
informáticos web desde la red de
internet utilizando herramientas de
hacking ético y la metodología
OWASP
Diseño de la
arquitectura de
seguridad de
aplicaciones web
Comparación de la
infraestructura actual con la propuesta
demostrando falencias
Propuesta de medidas
defensivas para
sistemas de aplicación
web
Demostración del
funcionamiento de los principios de la seguridad de la
información en el diseño propuesto.
Fuente: Trabajo de investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
58
Instrumentos de Recolección de Datos
Para tener un acercamiento con el fenómeno de estudio y poder extraer
información del mismo que sirvió para el desarrollo de este proyecto, se utilizan
técnicas de campo, a continuación se detallan las técnicas utilizadas:
• Observación Directa.
• Encuestas a personal de empresas pymes pertenecientes al sector
turístico.
OBSERVACIÓN
Achaerandio para definir la observación indica que: investigación por
observación significa aquella investigación en la que se recopilan información
sobre las vulnerabilidades en las aplicaciones web de forma directa, mediante
técnicas adecuadas y sin manipulación de las variables. En la investigación por
observación se usan diversas técnicas, para recolectar directamente los datos: la
observación libre, la observación participada, la encuesta, el cuestionario, la
entrevista, etc.”
Para el desarrollo de este proyecto, una de las técnicas que se utilizo fue la
observación directa, que se aplicó en las empresas pymes ubicadas en la ciudad
de Guayaquil y pertenecientes al sector turístico. Donde se verifico el
funcionamiento de algunas aplicaciones web, en la cual estos sistemas están
expuestos a riesgos y amenazas debido a que no cuentan con certificados SSL
(Secure Socket Layer) que permitan cifrar los datos que se transmiten mediante
la red de internet.
LA ENCUESTA Y EL CUESTIONARIO
En cuanto a las encuestas y cuestionarios, Achaerandio indica que:
59
Para evaluar actitudes se emplean preferentemente cuestionarios de diversos
tipos; en todos hay que tener en cuenta la calidad y clase de preguntas a
plantear. EI cuestionario es una técnica de investigación por observación, cuya
ventaja principal es que, en poco tiempo, se puede obtener la reacción de
numerosos individuos. Como todos reciben las mismas preguntas o cuestiones,
es más fácil ordenar los datos de las respuestas conseguidas.
En base a lo anterior, se escogió por realizar como instrumento recolector de
información a la encuesta y cuestionarios, para poder obtener de una manera
precisa y concisa información con respecto al tema de estudio, para la
formulación de las preguntas se tomó en cuenta los criterios que describió
Achaerandio en su obra “Iniciación a la práctica de la investigación” donde
recomienda la calidad que deben tener las preguntas a contestarse:
Deben ser interesantes, deben de tener relación con el objetivo y no hace falta
que sean interesantes en sí mismas.
Deben de formularse preguntas necesarias y no se debe preguntar lo que ya se
sabe por otras fuentes, o es irrelevante.
Tabulables, es decir, hay que tener en cuenta de alguna manera como se van a
organizar las respuestas para examinarlas.
Precisas, se deben evitar preguntas que den respuestas vagas, no exactas.
Fáciles, no deben requerir mucho esfuerzo exponerlas.
Y sobre todo deben ser breves, claras, directas, a no ser que se trate de un
cuestionario proyectivo.
Para este proyecto, se realizaron un modelo de encuesta, dirigido al personal
que labora en el departamento de sistemas de empresas pymes pertenecientes
al sector turístico de la ciudad de Guayaquil.
Procedimiento de la Investigación
El problema:
60
Ubicación del problema en un contexto
Situación del conflicto
Causa del problema, consecuencia
Delimitación del problema
Planteamiento
Evaluación del problema
Objetivo de la investigación
Justificación e importancia de la investigación
Marco teórico:
Fundamentación teórica
Antecedentes del estudio
Exposición fundamenta en la consulta bibliográfica
Documental actualizado
Orientación filosófica y educativa de la investigación
Metodología:
Diseño de la investigación
Modalidad de la investigación
61
Tipo de investigación
Población y muestra
Operacionalización de las variables
Instrumentos de recolección de datos
Procesamiento de la investigación
Recolección de la información
Procesamiento y análisis
Resultados conclusiones y recomendaciones
Conclusiones y recomendaciones
Bibliografía
Anexos
Recolección de la Información
Durante el levantamiento de la información se emplearon como instrumento la
observación y la encuesta, los cuales permitieron la obtención de datos
necesarios para el desarrollo del proyecto sobre el análisis de vulnerabilidades
en los sistemas de aplicación web de las empresas pymes turísticas.
PROCESAMIENTO Y ANÁLISIS
62
Una vez realizadas las encuestas, los datos obtenidos de las mismas son
procesadas para posteriormente ser tabulados, el resultado de los mismos se
representan en cuadros y gráficos estadísticos por cada pregunta del
cuestionario, de esta forma permite la clara comprensión.
Posteriormente en el análisis de las preguntas, existe una relacionada con la
edad del personal de la institución, la misma que es una variable cuantitativa y
por ello se consideró los siguientes valores estadísticos descriptivos:
Media
Moda
Mediana
Varianza
Desviación estándar
Rango
Cuartiles
Coeficiente de asimetría
Curtosis
Media: La media aritmética es una medida de tendencia central y es la que se
utiliza con mayor frecuencia. La media aritmética se calcula sumando todas las
observaciones de un conjunto de datos, dividiendo después ese total entre el
número total de elementos involucrados. La media también es denominada
promedio.
Mediana: La mediana es el valor que se encuentra en el centro de una
secuencia ordenada de datos. La mediana no se ve afectada por observaciones
extremas en un conjunto de datos. Por ello, cuando se presenta alguna
información extrema, resulta apropiado utilizar la mediana, y no la media, para
describir el conjunto de datos.
63
Moda: La moda es el valor de un conjunto de datos que aparece con mayor
frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado. A diferencia
de la media aritmética, la moda no se afecta ante la ocurrencia de valores
extremos. Sin embargo, sólo se utiliza la moda para propósitos descriptivos
porque es más variable, para distintas muestras, que las demás medidas de
tendencia central. Un conjunto de datos puede tener más de una moda o
ninguna.
Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto de
datos. (Estuardo A, 2012, p.46)
Varianza: La varianza se define como el promedio aritmético de las diferencias
entre cada uno de los valores del conjunto de datos y la media aritmética del
conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48)
Desviación estándar: Es la raíz cuadrada positiva de la varianza. La desviación
estándar indica el promedio en que se desvía cada una de las observaciones de
la media aritmética. (Estuardo A, 2012, p. 51)
Coeficiente de variación: Constituye la dispersión relativa por la proporción que
existe entre la varianza y la media.
Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de
acuerdo con su magnitud, el valor de en medio (o la media aritmética de los dos
valores de en medio), que divide al conjunto en dos partes iguales, es la
mediana. Continuando con esta idea se puede pensar en aquellos valores que
dividen al conjunto de datos en cuatro partes iguales. Estos valores, denotados
Q1, Q2 y Q3 son el primero, segundo y tercer cuartiles, respectivamente; el valor
Q2 coincide con la mediana.
Curtosis: indica qué tan puntiaguda es una distribución; esto por lo regular es en
relación con la distribución normal. A una distribución que tiene un pico
64
relativamente alto se le llama leptocúrtica, en tanto que si es relativamente
aplastada ediceplaticúrtica. Una distribución normal, que no es ni puntiaguda ni
muy aplastada se llama mesocúrtica.
65
ANÁLISIS DE ENCUESTAS
1. Sexo
Tabla N° 8: Pregunta 1
OPCIONES CANTIDAD PORCENTAJE
HOMBRE 60 66.7%
MUJER 30 33.3%
TOTAL 90 100 %
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle- José Steven Raza Rivas
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle- José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 66.7% de las
personas encuestadas son hombres los que trabajan en el área de seguridad
informática dentro de una empresa pyme.
Gráfico N° 16: Porcentaje de Respuesta de la Pregunta 1
66
2. Edad
Tabla N°9: Pregunta 2
OPCIONES CANTIDAD PORCENTAJE
16-25 9 10 %
26-35 42 46.7%
36-45 37 41.1%
46-55 2 2.2%
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle - José Steven Raza Rivas
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle - José Steven Raza Rivas
Análisis: Durante la encuesta realizada se confirmó que el 46.7% de las
personas encuestadas oscilan en una edad entre 26 y 35 años.
Gráfico N° 17: Porcentaje de Respuesta de la Pregunta 2
67
3. ¿Considera Usted que actualmente los sistemas informáticos web son
tan frágiles para que las personas accedan a la información y de esta
manera extraerla?
Tabla N°10: Pregunta 3
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle- José Steven Raza Rivas
Grafico N°13 Porcentaje de Respuesta de la Pregunta 3
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle- José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 57.8% de las
personas encuestadas están totalmente de acuerdo en que los sistemas
informáticos web son frágiles y de fácil acceso para que las personas accedan a
la información de esta manera extraerla.
OPCIONES CANTIDAD PORCENTAJE
Totalmente de acuerdo 52 57.8%
De acuerdo 33 36.7%
Indistinto 4 4.4%
En desacuerdo 1 1.1%
Totalmente en desacuerdo 0 0.0%
TOTAL
90
100 %
68
4. ¿Cree usted que es necesario proteger la información de los sistemas
informáticos web?
Tabla N°11: Pregunta 4
OPCIONES CANTIDAD PORCENTAJE
Totalmente de acuerdo 54 60.0%
De acuerdo 34 37.8%
Indistinto 2 2.2%
En desacuerdo 0 0.0%
Totalmente en desacuerdo
0 0.0%
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°14 Porcentaje de Respuesta de la Pregunta 4
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 60% de las
personas encuestadas está totalmente de acuerdo que es necesario proteger la
información de los sistemas web de las organizaciones.
69
5. ¿Cumple Usted con las políticas de seguridad informática de su
empresa?
Tabla N° 12: Pregunta 5
OPCIONES CANTIDAD PORCENTAJE
Si 61 67.8%
No 21 23.3%
Tal vez 8 8.9%
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°15 Porcentaje de Respuesta de la Pregunta 5
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 67.8 % de las
personas encuestadas indican que si cumplen con las políticas de seguridad de
su empresa, mientras que el 32.1% indican que no lo hacen.
70
6. ¿Alguna vez ha sido víctima de un ataque informático?
Tabla N°13: Pregunta 6
Fuente:
Trabajo de
Investigación Autor
es: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°16 Porcentaje de Respuesta de la Pregunta 6
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 55.6% de las
personas encuestadas indican que si han sido víctimas de un ataque informático.
OPCIONES CANTIDAD PORCENTAJE
Si 50 55.6%
No 28 31.1%
Tal vez 12 13.3%
TOTAL
90
100 %
71
7. Escoja que tipo de vulnerabilidad de mayor impacto se le ha
presentado en lo que va del año 2019 en su empresa.
Tabla N°14: Pregunta 7
OPCIONES CANTIDAD PORCENTAJE
Proliferación de virus 16 17.9%
Robo de información 13 14.4%
Pérdida de información 13 14.4%
Daño de ordenadores 17 18.9%
Interrupciones en el servicio
21 23.3%
Ninguna 10 11.1%
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°17 Porcentaje de Respuesta de la Pregunta 7
Fuen
te: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 23.3% de las
personas encuestadas indican que el tipo de vulnerabilidad que más impacto ha
causado es interrupciones en el servicio, el 18.9% soporto daño de ordenadores,
el 17.9% ha sufrido de proliferación de virus, el 14.4% robo de información, el
14.4% pérdida de información y el 11.1% indica que no ha sufrido ningún tipo de
vulnerabilidad.
72
8. Seleccione como ha combatido este tipo de vulnerabilidad.
Tabla N°15: Pregunta 8
OPCIONES CANTIDAD PORCENTAJE
Respaldo de información de manera periódica
16 17.8%
Instalación de antivirus 29 32.2%
Aplicación de hacking ético en los sistemas de información
10 11.1%
Activación de un firewall 16 17.8%
Instalación de protocolos de seguridad
19 21.1%
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°18 Porcentaje de Respuesta de la Pregunta 8
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 32.2% de las
personas encuestadas indican que han combatido las vulnerabilidades existente
instalando antivirus, el 21.1% colocando protocolos de seguridad, 17.8%
ejecutando respaldo de información de manera periódica, el 17.8% activando un
firewall y el 11.1% aplicando hacking ético en los sistemas.
73
9. Realiza periódicamente auditoria en su sistema de seguridad
Tabla N° 16: Pregunta 9
OPCIONES CANTIDAD PORCENTAJE
Si 21 23.3%
No 44 48.9%
Desconozco 23 25.6 %
Tal vez 2 2.2 %
TOTAL
90
100 %
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°19 Porcentaje de Respuesta de la Pregunta 9
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 48.9% de las
personas encuestadas indican que no realizan auditorias de seguridad.
74
10. ¿Cuenta Usted con un plan de contingencia en caso de ataque
informático?
Tabla N°17: Pregunta 10
OPCIONES CANTIDAD PORCENTAJE
Si 27 30.0%
No 34 37.8%
Desconozco 27 30.0%
Tal vez 2 3.5%
TOTAL
90
100 %
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafic
o
N°20
Porce
ntaje
de
Respu
esta
de la
Pregunta 10
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 37.8% de las
personas encuestadas indican que no cuentan con un plan de contingencia en
caso de un ataque informático.
75
11. ¿Considera Usted que aplicar la metodología de hacking ético reduce
los riesgos y vulnerabilidades de su sistema web en su empresa?
Tabla N° 18: Pregunta 11
OPCIONES CANTIDAD PORCENTAJE
Totalmente de acuerdo 43 47.8%
De acuerdo 38 42.2%
Indistinto 8 8.9%
En desacuerdo 1 1.1%
Totalmente en desacuerdo
0 0%
TOTAL
90
100%
Fuente: Trabajo de Investigación Autores: Jean Carlos Rendón Tacle – José Steven Raza Rivas
Grafico N°21 Porcentaje de Respuesta de la Pregunta 11
Fuente: Trabajo de Investigación
Autores: Jean Carlos Rendón Tacle - José Steven Raza Rivas
Análisis: Durante la encuesta realizada se corroboro que el 47.8% de las
personas encuestadas indican que aplicar hacking ético reduciría los riesgos a
los que están expuestos los sistemas de información web.
76
DESARROLLO DE LA INVESTIGACIÓN
De acuerdo al análisis estadístico se llegó a la conclusión que la mayoría de
empresas Pymes del sector turístico nunca han aplicado o puesto en práctica el
Hacking ético por falta de conocimiento o por qué no manejan la tecnología de
una manera amplia. Por tal motivo las conductas delictivas y antisociales otorgan
la facilidad de cometer delitos ocasionando incertidumbre y vulnerabilidades en
los sistemas que guardan y protegen la información.
Para el desarrollo de este trabajo se específica realizar un análisis de
vulnerabilidades para identificar cuáles son las brechas de seguridad que se
encuentran expuestas para facilitar la toma de decisiones para proteger los
servicios y bienes que ofrecen las empresas.
Teniendo en cuenta estos aspectos es necesario proyectar la elaboración de un
plan de seguridad apropiado para las empresas que no poseen los recursos.
Esta metodología está enfocada en la seguridad informática y ha sido
estructurada en seis fases necesarias para la implementación y monitoreo
apropiado para cualquier tipo de Pyme.
A continuación se detallan las fases para un análisis de vulnerabilidades:
Fase N° 1: Planeación
El manejo de una empresa empieza con el desarrollo de su planeación ya que
en esta fase se establece las prioridades y los conceptos básicos que la
organización debe poseer para asegurar sus recursos informáticos por lo que se
debe realizar un análisis de datos y la información de la organización.
Posteriormente se establece los recursos que se van a proteger
categorizándolos y priorizándolos; a su vez se medirá el impacto y si es el caso
suspender algún servicio.
77
Fase N° 2: Políticas de seguridad a implantar
En esta etapa la empresa debe ser consciente de la responsabilidad que debe
asumir, ya que debe elaborar políticas de fácil entendimiento para el personal.
Además debe apoyarse en estándares internacionales de seguridad como ISO
27001. Una vez creadas las políticas se debe implementar cada una de estas a
través de procedimientos puntualizados que describan los pasos para cumplir
con el objetivo de la política de seguridad.
Fase N° 3: Salvaguardamiento físico
El aseguramiento físico es fundamental para minimizar riesgos en el interior de la
compañía, esta fase se enfocó en cuatro argumentos principales:
• Disposición o ubicación física del área de sistemas
• Control de acceso físico
• Seguridad administrativa
• Planes de contingencia
Fase N° 4: Arquitectura de red
En esta etapa se trabajó con diferentes tipos de arquitecturas de red para que
las compañías puedan escoger de acuerdo al plan de seguridad que mejor se
acoja a su entorno de negocio.
Arquitecturas propuestas:
• Arquitecturas sin DMZ
a. Red básica con un solo Firewall
78
b. Red básica con un solo Firewall y un host bastión
• Arquitecturas con DMZ
c. Firewall básico con una DMZ
d. Firewall dual con una DMZ
• Arquitectura de red con IDS
• Arquitectura de red Inalámbrica (WLAN)
Fase N° 5: Aseguramiento y configuración de los servicios, equipos y
herramientas.
El éxito de la metodología radica en asegurar y configurar los servicios,
herramientas o aplicaciones que tiene la compañía para su protección así como
también sus dispositivos que forman parte de la arquitectura de la red.
Es importante controlar el acceso y uso de los recursos de los equipos este es
uno de los elementos codiciables para explotar cualquier vulnerabilidad, por lo
tanto en un sistema se debe considerar:
• Identificar y autenticar los usuarios
• Controlar el acceso a los recursos del sistema
• Monitorear todas las acciones realizadas por los usuarios
• Auditar los posibles eventos de riesgos
79
• Garantizar los datos almacenados
• Garantizar la disponibilidad de los recursos.
Fase N° 6: Auditoria de sistemas
Una vez que se tiene asegurada todas las áreas se procede con la auditoria de
sistemas de esta manera se puede verificar el éxito de implementar todas las
facetas y el excelente desempeño de los sistemas de información con esto se
logra que los sistemas sean más confiables.
Dentro de las principales áreas de las auditorias de sistemas son:
• Auditoría física
• Auditoría de base de datos
• Auditoría de redes
• Auditoría de aplicaciones
• Auditoría de la seguridad
HERRAMIENTAS MÁS UTILIZADAS PARA APLICAR
HACKING ETICO
Para el presente trabajo de titulación hemos determinado cuales son las
herramientas más primordiales de hacking ético que nos permitirán evaluar a los
sistemas informáticos web, las cuales detallamos a continuación:
80
• Nessus
Comenzó en el año 1998 es uno de los principales incentivos de su
disponibilidad es un software simple, funciona bien y da buenos resultados es
difícil resistirse y no confiar en su rendimiento. Con Nessus tenemos es un
potente escáner que lleva a cabo un análisis completo de las instalaciones de
una organización permitiendo proteger los sistemas. Aplicarlo de una forma
adecuada se consigue detectar todas las vulnerabilidades del entorno de un
sistema informático evitando cualquier tipo de infección y falla. (Nesus
Freshmeat, 1998)
• John the Ripper
Es un descifrador rápido de contraseñas su funcionamiento y eficiencia hacen lo
propio. Este aplicativo es una clara demostración de hay distintos software que
se pueden usar desde ambos puntos de vista, por parte de quienes buscan
hacer daño y por otra parte quienes están intentando defenderse. Tiene como
finalidad poner a prueba un sistema de contraseña para comprobar el nivel de
seguridad. Por medio de esta herramienta los especialistas en seguridad
informática tienen la posibilidad de ver si las contraseñas que han definido son
robustas; es muy flexible permitiendo que los ataques se ejecuten de diferentes
formas sean de manera directa o por medio de un software tipo
diccionario.(Open Hub, 1988)
• Nmap
Es un código libre y abierto se utiliza para la auditoria de seguridad y
descubrimiento de redes fue diseñado para escanear redes grandes de manera
rápida, gran parte de los administradores de red lo usan para inventariar su red.
Fue creado originalmente para Linux pero en la actualidad es multiplataforma, es
flexible, portátil, fácil de usar y compatible.(Nmap Org., 1997)
81
• Wireshark
Es una herramienta completa de analizador de protocolos para realizar análisis
en redes de computadoras su funcionalidad es similar a la de tcpdump pero con
la diferencia que añade una interfaz gráfica. Examina los datos de un archivo
salvado en disco a través de la información capturada se obtienen los detalles de
cada paquete.
• Enlace a burp
Es una plataforma integrada para ejecutar pruebas de seguridad de aplicaciones
web tiene diversas herramientas dan soporte para todo el proceso de pruebas a
realizar, desde el mapeo inicial y el análisis de la superficie de ataque de una
aplicación, hasta la respectiva detección y explotación de las vulnerabilidades de
seguridad.
Para este caso de estudio se procedió a realizar una investigación de las
falencias tecnológicas tanto en las infraestructuras como en los protocolos de
seguridad.
a.- Análisis de vulnerabilidades a la infraestructura (osstmm 3.0)
• Información Gathering.- Se utiliza las herramientas OWASP-ZAP y
Acunetix.
• Escaneo y análisis de Red: se utiliza con las siguientes técnicas:
o Descubrir hosts activos, IP y puertos abiertos.
o Escaneo de sistemas activos: se envía solicitudes ICMP al host.
82
o Barrido ping: utiliza un aplicativo que calcula las subredes para
detectar los host activos.
o Escaneo de puertos: Emplea software nmap para detectar IP
abiertas y host activos.
• Descubrir sistemas operativos y su arquitectura: Utiliza
aplicaciones tales como el NetCraft o el Telnet.
• Descubrir servicios en hosts que estén activos: Usa técnicas como
el sniffing y software nombradas en el System Hacking se
detectaron servicios activos en los host.
• Descubrir vulnerabilidades en host activos: Utiliza las
herramientas y técnicas detalladas en el System Hacking en el
cual se logró mostrar dichas fallas.
a) Testeo de detección de intrusos.- con la utilidad de la herramienta de
tráfico de red wireshark.
b) Testeo de Control de Accesos.- Se emplea el material de trabajo como
es; el SQLMap y las técnicas manuales.
c) Escaneo de vulnerabilidades de Base de Datos: maneja el SQLMap.
d) Evaluación de niveles de control de accesos lógico a la
infraestructura de servidores, redes, y comunicación: Sistemas
automáticos con Acunetix y Retina. Evaluación de configuración de
seguridad establecida en la red inalámbrica: Aplicativos automáticos
como Acunetix y Retina.
b.- Análisis de vulnerabilidades a las aplicaciones (owasp).
83
a. Path traversal: Utilizando conocimientos de hacking ético así como el
empleo de las URL`s y el tampering de parámetros, siendo esta el
navegador mozilla (tamperdata).
b. Inyección de comandos de sistema operativo: usando el software nmap y
telnet.
c. XSS Secuencia de comandos entre sitios (Cross Site Scripting):
Programas como SQLMap, y métodos manuales siendo entre esas el
testeo de scripts.
d. Control de autorización erróneo sobre los aplicativos: El material SQLMap
y las técnicas manuales.
e. Referencia directa insegura a objetos: Testeo manual de peticiones en
las URL.
f. Exposición de datos sensibles: material SQLMap que desata varios
ataques al mismo tiempo luego de tener los resultados.
g. Ausencia de control de acceso a funciones: A través de uso de las
URL`s, respuestas, peticiones y cabeceras.
h. Uso de componentes con vulnerabilidades conocidas: Atreves de la
indagación de estas páginas; CVEDetails.
i. Redirección y reenvíos no validos.- mediante el uso de cabeceras,
respuestas y peticiones.
j. Ataques de fuerza bruta.- Utilizando el SQLMap, Aircrack y las técnicas
tales como la manipulación de archivos que multiplican su longitud al
llegar al destino. Escalamiento de privilegios: Manipulando el sistema
SQLMap y técnicas manuales como las Shell.
84
k. Suplantación de credenciales.- Empleando SQLMap y técnicas manuales
como las Shell.
l. Análisis del manejo de sesiones: se logra con la manipulación de
peticiones, cabeceras y respuestas con el uso de tamperdata.
GUÍA PARA LA APLICACIÓN DE METODOLOGIA OWASP
Para el desarrollo de este trabajo se elaboró unos pasos para la identificación de
vulnerabilidades en los sitios web de las Pymes aplicando metodología Owasp
para su análisis.
• Tener en la organización una herramienta de análisis automatizados para
tener un resultado adecuado a las pruebas realizadas.
• Realizar una inspección a menudo a las fuentes de búsquedas de
vulnerabilidades en los componentes que se utiliza en la organización.
• Se debe tener los componentes oficiales que van hacer utilizados por
unos canales seguros. Se recomienda obtener paquetes firmados con el
propósito de reducir las probabilidades de uso en versiones de monitoreo
maliciosa.
• Analizar las bibliotecas que no tienen los mantenimientos o los parches
de seguridad.
• Si no poseen el parcheo es muy difícil tener una buena seguridad, para
esto se debe obtener un parche virtual para monitorear y detectar las
debilidades detectada.
85
• La organización debe de fijarse en tener un plan para monitorear y aplicar
los cambios de configuraciones durante el ciclo de vida de las
aplicaciones ejecutadas en los servidores.
RECOMENDACIONES BASADAS EN LA NORMA ISO 27001
• Fortalecer a la reproducción de la implementación en otros entornos
asegurado. En el desarrollo de control de calidad (QA) deben
configurarse de igual manera y con diferentes licencias para cada
entorno. Pueden automatizarse para minimizar el esfuerzo del
requerimiento para configurar cada entorno seguro.
• Actualizar y revisar las configuraciones necesarias de acuerdo a las
advertencias de seguridad y seguir un proceso de gestión de parches.
• La metodología Owasp posee una arquitectura segmentada que
proporciona la separación entre componentes y acceso a terceros.
• Se debe proponer que se solicite una directiva de seguridad para los
usuarios.
• Se debe obtener un proceso automatizado para visualizar la efectividad
de los ajustes y configuraciones en la organización.
86
CAPITULO IV
RESULTADOS CONCLUSIONES Y RECOMENDACIONES
La seguridad en los sistemas de información dentro de una empresa varían con
el tiempo y depende gran parte de los lineamientos del negocio. Adquirir un alto
nivel de protección no implica que su seguridad este realmente segura. La gran
parte de los sistemas e infraestructuras que soportan las actividades de la
entidad son llevados a procedimientos de modificación, por lo que sugiere que
su seguridad es un proceso continuo y adaptativo a cambios permanentes.
El considerable riesgo al que está expuesta una organización cuando surge una
amenaza o vulnerabilidad en su sistema web, es de gran trascendencia
contrarrestar el problema. Por lo tanto determinar el riesgo que se presenta
requiere diagnosticar las fallas a las que están expuestas.
Es importante resaltar que ejecutar un análisis como tal es responsabilidad de la
empresa y solicita la participación de todas las áreas y de su personal.
87
Existen numerosas herramientas que permiten evaluarlas, OWASP es un claro
ejemplo que ofrece varios modelos de auditorías de seguridad que son usadas
para los diferentes requerimientos que estén solicitando.
Sin embargo aplicar también hacking ético a las instituciones permite contar con
férrea defensas que dificultan los posibles ataques y permiten estar prevenidos.
RESULTADOS
A lo largo que fue desarrollado este proyecto de titulación, se analizó las
vulnerabilidades en los sistemas informáticos web. Así como se realizó la
respectiva revisión de la metodología OWASP y la aplicación de Hacking Ético.
Luego de la recopilación de la información y el concerniente análisis se han
obtenido conclusiones y recomendaciones que pretenden exponer el estado
actual de las Pymes con relación a los servicios, aplicativos y mecanismos que
se encuentren vulnerables.
Las grandes organizaciones en relación con las Pymes no gozan de un nivel
económico acaudalado; esta es una de las razones por lo cual no contratan o
estiman un presupuesto para efectuar un estudio que analizara la empresa y sus
recursos para verificar las falencias que posean.
Debido al gran avance tecnológico muchas Pymes todavía no utilizan las
tecnologías de la información, estos casos por lo general se dan por falta de
inversión o porque no se sienten seguros de la tecnología que se ofrece.
La buena práctica del hacking ético en pruebas de casos reales es una solución
efectiva permitiendo determinar las diferentes vulnerabilidades existentes en los
sistemas o redes que posean las compañías. Cabe destacar que formar hackers
de sombrero blanco debe ser para contrarrestar los delitos informáticos.
88
Realizar constantemente pruebas eficaces ayudara a controlar la seguridad a la
empresa auditada y centrara su trabajo en los determinados puntos críticos;
tanto así que en las Pymes por lo general su área puede estar instaurada por un
solo individuo responsable de la tecnología.
Es importante resaltar que la metodología Owasp sirve como guía y el Hacking
Ético como una excelente práctica que actúan como un plan de lineamientos
para prevenir fallos en las pruebas.
CONCLUSIONES
• En base al estudio realizado para este proyecto podemos definir que se
deben seguir las fases de la metodología OWASP con la finalidad de
detectar las vulnerabilidades latentes.
• Según nuestro criterio basándonos en el estudio realizado para este proyecto
investigativo podemos determinar que el uso de la metodología OWASP en
conjunto con el HACKING ETICO, mientras más minucioso sea este tendrá
un mayor alcance para poder detectar vulnerabilidades existentes.
• Como conclusión a nuestro tema expuesto podemos decir que el uso de la
metodología en mención; OWASP puede ser realizadas en cualquier
circunstancia sin que haya la necesidad explicita de buscar alguna falencia
para así adoptar buenas decisiones y beneficios para cualquier empresa
pyme (Agencias de Viaje) de Guayaquil.
89
RECOMENDACIONES
• Es recomendable evaluar la arquitectura de los aplicativos examinando
su carga operativa, una mala arquitectura origina un mal funcionamiento
y produce pérdidas en el negocio.
• Se sugiere actualizar cada cierto tiempo el hardware, software o
aplicativos que posee la compañía ya que cada versión abarca nuevos
parches y nuevas funcionalidades, así como también revisar las políticas
y procesos que se realicen de manera constante para poder mitigar los
riesgos y evitar futuros incidentes.
• Capacitar constantemente al personal de la empresa acerca de la
seguridad de la información, sobre todo concientizando la importancia del
buen uso de los recursos de la empresa.
• Es recomendable que las Pymes empleen el uso de Tics de acuerdo al
hacking ético tales como:
o Instalación de firewalls en las pc.
o Proteger el acceso inalámbrico de la red.
o Aplicación de contraseñas cifradas.
90
BIBLIOGRAFÍA
Aguilera, P. (2010). Seguridad Informática. Madrid: Editorial Editex S.A.
Ambos, K. (2015). Responsabilidad Penal Internacional en el Ciberespacio.
Colombia: Universidad Externado.
Astudillo, K. (2016). Hacking Ético 101. Guayaquil: Reviews.
Baca , G. (2016). Introducción a la Seguridad Informática. México: Grupo
Editorial Patria.
Baca, G. (2016). Seguridad Informática. Mexico: Grupo Editorial Patria.
Constitución de la República del Ecuador. (20 de Octubre de 2008).
www.ecu911.gob.ec. Recuperado el 30 de Enero de 2012, de
www.ecu911.gob.ec: www.ecu911.gob.ec
Editorial CEP. (2019). Cuerpo General Auxiliar de la Administración del Estado
(Turno Libre) Temario Vol. IV. Editorial CEP.
Estefan, S. (2015). www. destinonegocio.com. Obtenido de www.
destinonegocio.com.
Geral Combs. (1999). www.wireshark.org. Recuperado el 17 de julio de 2019, de
www.wireshark.org.
Gómez, Á. (2014). ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA.
Madrid: Ra-Ma S.A.
Gutiérrez, F. (20 de Junio de 2014). Laboratorio de Seguridad Informática con
Kali Linux. Obtenido de index-of.co.uk: index-of.co.uk
Ley de Comercio Electronico. (31 de Diciembre de 2002). www.eci.bce.ec.
Recuperado el 11 de Septiembre de 2011, de www.eci.bce.ec:
www.eci.bce.ec
Lopez, R. E. (2017). Pruebas de Penetración en Aplicaciones Web usado
Hackeo Ético. Revista Tecnológica N°10, 13.
91
Nesus Freshmeat. (1998). www.nesus.org. Obtenido de www.nesus.org.
Nmap Org. (1 de septiembre de 1997). www.nmap.org. Recuperado el 10 de
agosto de 2019, de www.nmap.org.
Open Hub. (1988). www.openwall.com. Obtenido de www.openwall.com.
OWASP. ORG. (21 de Junio de 2019). www.owasp.org. Recuperado el 29 de
Agosto de 2019, de www.owasp.org: www.owasp.org
Piattini, M. (2015). Auditoría de Tecnologías y Sistemas de Información. Madrid:
Editorial Ra-Ma.
Santo, D. (2018). Kali Linux. Madrid: Grupo Editorial RA-MA.
Tamayo, O. (30 de Junio de 2016). http://repositorio.puce.edu.ec/. Obtenido de
http://repositorio.puce.edu.ec/.
The OWASP Foundation. (2017). Obtenido de The OWASP Foundation:
https://www.owasp.org/
Verizon. (2017). 2017 Data Breach Investigations Report. 76.
92
ANEXOS
93
ANEXO 1.- CRONOGRAMA
No. Concepto Duración/Días Inicio Fin
94
1 Planificación del proyecto.
90 07 – may - 19 14 – oct - 19
2
Reunión con los docentes investigadores e integrantes del proyecto.
2 07- may - 19 07 – may -19
3 Asignación de responsabilidades en el proyecto.
1
09 – may - 19 09 – may –
19
4 Investigación de las actividades a realizar cada uno.
3 10 – may - 19 13 – may –
19
5 Análisis de artículos científicos.
4 15 – may - 19 19 – may –
19
6 Búsquedas de proyectos semejantes.
3 21 – may -19 24 – may –
19
7 Análisis de los requerimientos del proyecto.
5 26 – may -19 31 – may –
19
8 Elaboración del capítulo # 1
4 31 – may - 19 03 – jun – 19
9 Reunión con personal de las distintas empresas pymes visitadas.
10 03 – jun - 19 11 – jun – 19
Entrega de Anexo # 1,2, 3
1 11- jun-19 13 – jun-19
10
Análisis sobre la información adquirida en las visitas a las empresas pymes.
1 14 – jun - 19 15 – jun – 19
11 Elaboración del capítulo # 2
5 16 – jun - 19 21 – jun – 19
12 Creación de bocetos para las encuestas.
10 21 - jun - 19 31 – jun – 19
13 Investigación de métodos y técnicas existentes para la evaluación, etc.
2 31 – jun - 19 02 – jul – 19
14
Búsqueda de información sobre el control, seguridad y auditoria de la arquitectura del sistema, etc.
4 03 – jul - 19 07 – jul – 19
15 Búsqueda de información sobre las herramientas de Hacking Ético.
4 08 – jul - 19 12 – jul – 19
16 Fundamentación Legal 3 18 – jul - 19 21 – jul – 19
17 Elaboración del capítulo # 3
7 24 – jul - 19 31 – jul – 19
18 Modalidad de investigación
4 19 – ago - 19 23 – ago – 19
95
ANEXO 2.- ENCUESTA
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE
19 Elaboración del capítulo # 4
5 23 – ago - 19 28 – ago – 19
20 Revisión de Anexos 4, 5, 6
1 28 – ago – 19 28 – ago – 19
21 Revisión de tesis del tutor
1 29 - ago - 19 29 - ago – 19
96
INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
Encuesta dirigida a las PYMES que manejas sistema web en sus
transacciones comerciales dentro de sus servicios en la ciudad Guayaquil
La presente encuesta tiene por objetivo “Establecer la contribución de la no
aplicación del hacking ético al aumento de las vulnerabilidades en sistemas
informáticos web en la ciudad de Guayaquil en el año 2019”. Se garantiza
confiabilidad sobre la información, la que será utilizada únicamente para esta
investigación.
Datos generales que nos permitan un análisis de la investigación.
1. ¿Considera Usted que actualmente los sistemas informáticos web son tan frágiles para que las personas accedan ala información y de esta manera extraerla?
Totalmente de acuerdo De acuerdo Indistinto En desacuerdo Totalmente desacuerdo
2. ¿Cree usted que es necesario proteger la información de los sistemas
informáticos web?
Totalmente de acuerdo De acuerdo Indistinto En desacuerdo Totalmente desacuerdo
3. ¿Cumple Usted con las políticas de seguridad informática de su empresa? Si
Sexo (M/F): ___ Tiempo funcionamiento de la pyme: ____ años Edad: ___ Tiempo funcionamiento de la pyme: ____ años Posee personal con conocimientos en seguridad informática (si o no): ____ A que se dedica la empresa: _____________________________
97
No
Talvez
4. ¿Alguna vez ha sido víctima de un ataque informático?
Si
No
Talvez
5. ¿Escoja que tipo de vulnerabilidad de mayor impacto se le ha presentado
en lo que va del año 2019 en su empresa?
Proliferación de virus
Robo de información
Perdida de información
Daño de ordenadores
Interrupciones en el servicio
6. Seleccione como ha combatido este tipo de vulnerabilidad.
Respaldo de información de manera periódica
Instalación de antivirus potente
Aplicación de hacking ético a los sistemas de información
Activación de un firewall
Instalación de protocolos de seguridad
7. Realiza periódicamente auditoria en sus sistemas de seguridad
Si
No
Desconozco
Tal vez
8. ¿Cuenta Usted con un plan de contingencia en caso de ataque
informático?
Si
No
Desconozco
Tal vez
98
9. ¿Considera Usted que aplicar la metodología de hacking ético mejoría el
sistema informático web de su empresa?
Totalmente de acuerdo De acuerdo Indistinto En desacuerdo Totalmente desacuerdo
ANEXO 3.- PRESUPUESTO
EGRESOS
DOLARES
Recurso Hardware
$ 720
99
Computadora $ 700
Servicio de internet $ 20
Otros
$ 200
Impresiones $100
Alimentación y transporte $100
TOTAL
$ 920
ANEXO 4.- LISTADO DE EMPRESAS PYMES DE TURISMO (AGENCIAS DE
VIAJE DE LA CIUDAD DE GUAYAQUIL) TOMADAS PARA EL TRABAJO DE
INVESTIGACIÓN
1. Aeromundo [email protected]
2. Kapital Tours S.A. [email protected]
3. Americas Club y Travel [email protected]
4. Aguimar [email protected]
5. Centro Viajero [email protected]
100
6. Cetitur [email protected]
7. Galacaminos [email protected]
8. Ecuatours VIP [email protected]
9. BMtours [email protected]
10. Galahost [email protected]
11. Metropolitan Touring [email protected]
12. SKY [email protected]
13. Buenviaje [email protected]
14. Intouring [email protected]
15. Grupo Idiomas [email protected]
16. Hdp [email protected]
17. Marin Travel [email protected]
18. Millenium Travel [email protected]
19. Gruvisa [email protected]
20. Citetour [email protected]
21. Agensitur [email protected]
22. Firentur [email protected]
23. Spring Travel Guayaquil [email protected]
24. Kaynami [email protected]
25. Maxiviajes [email protected]
26. Sagatur [email protected]
27. Alianza Travel holding [email protected]
28. Bamboo Lodge [email protected]
29. Novatravel.ec [email protected]
30. Dest Viajes Destinos [email protected]
31. Coltur GYE [email protected]
32. Marazul [email protected]
33. Sagatur [email protected]
34. Fabul Tour Express [email protected]
35. Travel Viajes [email protected]
36. You Travel Agency [email protected]
37. SP Tour [email protected]
38. Ecostravel [email protected]
39. Golden Travel [email protected]
101
40. Explotours [email protected]
41. Salmor [email protected]
42. Sumundo [email protected]
43. Speed Travel [email protected]
44. Iguana Azul [email protected]
45. Isaitur [email protected]
46. Gabirai [email protected]
47. M & M Travel Ecuaconsolidadora [email protected]
48. Galasam [email protected]
49. Islas de fuego [email protected]
50. Ariel Travel [email protected]
51. Eyv Tours [email protected]
52. Jointours [email protected]
53. Worturcia [email protected]
54. SG Tour [email protected]
55. Tomastur [email protected]
56. Reef Natural Tour [email protected]
57. Naturis [email protected]
58. Inspiración Viajes [email protected]
59. Megadestinos [email protected]
60. Intercontinental Travel [email protected]
61. S3 Expeditions [email protected]
62. Soleilviajes [email protected]
63. Turisa [email protected]
64. Cansiong Travel [email protected]
65. Los Turistas [email protected]
66. Mundotravel [email protected]
67. SurPacific Tour [email protected]
68. Rosetur [email protected]
69. Glendatur [email protected]
70. Americana de viajes [email protected]
71. Valero Travel [email protected]
72. Tecnoviajes [email protected]
73. Summer Vacations [email protected]
102
74. Megaturs [email protected]
75. Missing Travel [email protected]
76. Jackeline Tours [email protected]
77. Jointours [email protected]
78. Emelatour [email protected]
79. Euroexpreso [email protected]
80. Feraudviajes [email protected]
81. Global Tours [email protected]
82. Contiviajes [email protected]
83. Nactur [email protected]
84. Monfinsa [email protected]
85. Princestur [email protected]
86. Seitravel [email protected]
87. Serviagency [email protected]
88. Tour and Travel [email protected]
89. Tour Travels [email protected]
90. Trip and Trip [email protected]