UNIVERSIDAD DOMINICANA O & M

Fundada el 12 de enero de 1966

ÁREA DE: Ingeniería en sistemas y computación
ESCUELA DE INGENIERIA
DEPARTAMENTO DE EDUCACIÓN CONTINUADA Y CURSOS
MONOGRÁFICO

PROYECTO FINAL DEL CURSO MONOGRAFICO

PARA OPTAR POR EL TITULO DE INGENIERO EN SISTEMAS Y
COMPUTACION

Identificar vulnerabilidades de la compañía Advensus mediante

pentest y ethical hacking.

PRESENTADO POR
Joel Marte Castillo
Yeltsin Evangelista Martínez
Bertha Nidia Calderón Romero

ASESOR
Junior Alexander Méndez Guzmán
Santo Domingo, República Dominicana
Junio 2020
 UNIVERSIDAD DOMINICANA O & M
Fundada el 12 de enero de 1966
ÁREA DE: Ingeniería en sistemas y computación
ESCUELA DE INGENIERIA
DEPARTAMENTO DE EDUCACIÓN CONTINUADA Y CURSOS MONOGRÁFICO

PROYECTO FINAL DEL CURSO MONOGRAFICO

PARA OPTAR POR EL TITULO DE INGENIERO EN SISTEMAS Y COMPUTACION

Identificar vulnerabilidades de la compañía Advensus mediante

pentest y ethical hacking.

PRESENTADO POR MATRICULAS

Joel Marte Castillo 05-MISN-1-147
Yeltsin Evangelista Martínez 14-EIST-1-092
Bertha Nidia Calderón Romero 13-MIST-1-004

ASESOR
Junior Alexander Méndez Guzmán
Santo Domingo, República Dominicana
Junio 2020

I
 IDENTIFICACION DE VULNERABILIDADES EN SISTEMA DE
INFORMACION MEDIANTE PENTEST Y ETHICAL HACKING. CASO:
ADVENSUS CONTACT CENTER. SANTO DOMINGO. DISTRITO
NACIONAL. AÑO 2020.

II
INTEGRANTES

III
 Dedicatoria y agradecimiento
DEDICATORIA
A mis padres:
Mi difunta madre y mi padre son las personas que más empeño pusieron en
verme como una persona de bien en la sociedad y de poder presentarme como
un profesional. Este trabajo va dedicado a ellos por su dedicación como padres y
como seres humanos con su finalidad de traer buenas personas a este mundo
profesional y personalmente hablando.
A mis hermanos:
Por siempre motivarme a salir adelante y poner todo mi empeño en los
estudios y en seguir mejorando como persona y profesional en mi carrera y en las
demás áreas de mi vida. Con un toque de entendimiento procuraron que no
desfallezca en mi trayecto hacia un logro más como convertirme en un profesional
de este país.
A los ingenieros en sistema:
Los ingenieros en busca de una mejora en el área en nuestro país deben saber
que si se puede. Los dominicanos tenemos la capacidad de catapultar la materia
a un nuevo nivel dentro de nuestro país y debemos ser parte del avance de la
ingeniería de software aceptando, apoyando e impulsándola.
A la universidad OyM:
En esta universidad pude adquirir los conocimientos que hoy me permiten
desempeñar mi carrera. Gracias a los profesores pude encontrar la pasión que
conlleva el ser un ingeniero de sistema y computación.
A mis familiares:
Siempre buscaron la manera de incentivarme a continuar con mis estudios y a
volverme un profesional en la familia. Sus palabras resonaron constantemente en
mi cabeza y me otorgaron impulso extra para seguir adelante en la búsqueda de
la titularidad académica.

IV
 AGRADECIMIENTOS
A mi esposa:
Siempre dando soporte en cualquiera de los ámbitos que decida incursionar,
este no es la excepción. Dispuesta a sacrificar tiempo, dinero y energías, puedo
decir que cuento con una compañera en la que puedo apoyarme para todos mis
proyectos de vida, lo cual asegura una alta probabilidad de éxito. A ella
agradezco mucho de mi éxito al volverme profesional, y, a ejercer mis
conocimientos de manera productiva y satisfactoria en esta etapa de la vida.

A la información pública:
Gracias a la expansión de la información en nuestros tiempos actuales,
podemos decir que contamos un sinnúmero de artículos y publicaciones que
hacen posible la adquisición de conocimiento de manera simple y directa. Lo cual
nos ayuda a ampliar lo que sabemos y podemos saber sobre nuestra área de
profesionalidad.

A los profesores:
Como mentores y guías son los protagonistas del futuro de los estudiantes. En
mi tiempo en la OyM tuve profesores que hoy considero amigos, y que pusieron
su empeño y dedicación en formar personas productivas para la sociedad
dominicana.

V
Joel Marte Castillo

DEDICATORIA:
Este monográfico lo dedico primero a Dios que es quien me mantiene con vida
y salud, sobre todo, ya que él es lo más importante para mí, y ante todo por la
sabiduría y el conocimiento que me ha dado para lograr esta meta propuesta y
que él me ha ayudado a conseguir.
A mis padres, mi madre milagros Altagracia Martínez y mi padre Luis José
evangelista, por haberme ayudado en mi carrera, ellos son los que me motivan e
incentivan a luchar cada día más por ser un hombre de bien para la sociedad, por
sus grandes esfuerzos para crear en mí, valores tanto éticos como morales. A
nunca rendirme y luchar por mis sueños sin permitir que nadie intervenga en mis
perspectivas en la vida, a continuar logrando objetivos también ellos me han
enseñado a tener visión y a pensar en un futuro para ser siempre una persona de
buenos principios.
A mis amigos Anderson Rodríguez y Jesús Domingo porque me han
apoyado en los momentos difíciles y en mi carrera profesional, acompañándome
siempre y motivándome. Dándome buenos consejos, para seguir hacia adelante.

VI
 AGRADECIMIENTOS:
Agradezco primero a dios por haberme ayudado a ser un profesional porque él
me ha dado la fuerza y la voluntad para lograr esta meta que me he propuesto.
A mis padres por el gran esfuerzo y apoyo que siempre me han dado por sus
buenos consejos y gracias a ellos nunca me ha faltado nada, ellos me han
ayudado a lograr mi meta.
Un agradecimiento muy especial a mis amigos Anderson Rodríguez y Jesús
Domingo por su apoyo y sobre todo por esa gran amistad que han tenido
siempre conmigo les agradezco a ellos por aconsejarme siempre.
A mis tías que también me han ayudado mucho a mi tía Rosa Martínez y a
Mary Capellán que me han ayudado económicamente y me han orientado sobre
cuál es el mejor camino para desenvolverme en mi vida profesional puesto que
eso me han impulsado a seguir adelante a pesar de las vicisitudes que se puedan
presentar en el camino hacia el éxito.

VII
Yeltsin Evangelista.

DEDICATORIA.
Dedico este trabajo:
A Dios, que es mi fuente de inspiración y fortaleza, por quien he aprendido a ser
perseverante. Con el todo es posible.
A mis padres, Elvira Romero y José Miguel Calderón, por la formación que me
dieron. Aunque ya partieron de esta tierra, para ellos esta honra.
A mis hijos, Junior, José Alfredo, Nicole y Miguelina, ellos son mi más grande
motivo en la tierra para crecer. Quiero dejarles una huella que ellos puedan seguir
si en algún momento lo necesitaran.
A Héctor Luis (Papo) y Mariana por recorrer conmigo este camino. A José Fren,
Alba Luz, Beridiana (Mally) y Deisy Nurys, por el impulso que han sido siempre
para mí. Porque sé que para todos ellos este también es su triunfo.

VIII
AGRADECIMIENTOS.
Le doy las gracias a Dios mi Padre, por todo, en especial por hacer propicio el
tiempo para el logro de esta carrera. Dios se ocupó tanto de los pequeños como
de los grandes detalles que derivaron de este proceso. Puso en mi vida a las
personas adecuadas en el tiempo y el lugar correctos. Estuvo conmigo cuando
las cosas estaban bien, y cuando no lo estaban, las tomó Él. Nunca me dejó ni
me desamparó, de tal manera que no me faltó nada.
A mis hijos en especial, por ser extraordinarios colaboradores en este proyecto de
estudios y en mi vida. Por el amor, respeto y apoyo que me dieron y que siempre
me han dado. Yo también los amo y los respeto, además los admiro. Igualmente
ellos saben que pueden contar conmigo.
A mis hermanos y mis hermanas porque son pilar incondicional para cuanto
emprendo. Ellos son una parte muy importante de mi vida. Los amos y me aman,
siempre están pendientes de mí, no solo de palabras, eso es de gran valor.
A la Universidad Dominicana O&M, a su cuerpo Directivo y Docente por formar
parte del cumplimiento de una meta en mi vida.
A mis compañeros de grupo y a todos los compañeros de clases con los que
compartí. En el camino encontré compañeros a los que nunca olvidaré, porque
siempre estuvieron dispuestos a darme su mano amiga.
A Federico, mi esposo, a mi amiga Sandra y sus hijos, a todos los que de una
manera u otra estuvieron ahí.
De Corazón, gracias.

Bertha Nidia Calderón

IX
CONTENIDO
Capítulo 1. INTRODUCCION.............................................................................................1
1.1. Generalidades..........................................................................................................1
1.2 Justificación.............................................................................................................. 4
1.4 OBJETIVOS.............................................................................................................. 5
1.4.1 Objetivo general.................................................................................................5
1.4.2 Objetivo específico.............................................................................................5
1.5. Marco teórico........................................................................................................... 6
1.6. Antecedentes........................................................................................................... 7
1. Técnicas penetración local y remota:...................................................................7
2. Técnica de penetración por error humano:...........................................................7
 Verificación de posibles accesos por equivocación de usuarios o usuarios
malintencionados........................................................................................................7
3. Técnica de penetración interna físicamente.........................................................8
INTRODUCCION................................................................................................................9
Capítulo 2. ANALISIS DE SEGURIDAD.........................................................................10
2.1 Pentest.................................................................................................................... 10
2.2. Recopilación de información..................................................................................10
 Prueba de servicios de red.................................................................................10
 Prueba en aplicación web:.................................................................................11
Cada proyecto de Advensus se conecta mediante una VPN al servidor de la
compañía a la que brinda servicio para utilizar sus herramientas. Debido a la
naturaleza de conexión este sistema se basa en aplicaciones web. El firewall puede
detectar la conexión, pero actualmente no cuenta con una llave SSH para evitar
acceso....................................................................................................................... 11
2.3. Enumeración.......................................................................................................... 13
2.4. Análisis de vulnerabilidades...................................................................................14
2.5. Explotación............................................................................................................ 15
2.6. Documentación......................................................................................................18
Capítulo 3. ETHICAL HACKING.......................................................................................19
3.1. Ethical Hacking......................................................................................................20
Capítulo 4. PLAN DE CONTINGENCIA..........................................................................21
Capítulo 5. PARO TOTAL O PARCIAL DE PRODUCCION POR SISTEMA CAIDO......24
Capítulo 6. Plan de negocios..........................................................................................26
Capítulo 7. SERVER ROOM............................................................................................29
Capítulo 8. PUESTA EN EJECUCION DE MEDIDAS DE SEGURIDAD..........................30
8.1. Cambios de hardware y planta física:....................................................................30
8.2. Cambios de software:............................................................................................32
8.3. Capacitación de la empleomanía:..........................................................................33

X
Capítulo 9. CAMBIOS A CONSIERAR Y POST IMPLEMENTACION.............................35
9.1. Compras de equipos y software...............................................................................35
9.2. Seguridad física.........................................................................................................37
9.3. Post implementación.................................................................................................38
Capítulo 10. INFORMACION MONETARIA.....................................................................39
10.1. ¿Qué puede pasar de no tomar estas precauciones?............................................39
CONCLUSION................................................................................................................. 40
Bibliografía....................................................................................................................... 42

XI
Capítulo 1. INTRODUCCION.

1.1. Generalidades.

Seguridad en las redes es un concepto que se encarga de proteger la

integridad y el control de acceso a la información almacenada en un sistema. De
todas formas. Bien sabemos que no existe técnica que permita asegurar que no
habrá penetración a un sistema. Un sistema de protección de redes informáticos
debe contar con protección a nivel lógico (con el desarrollo de software)
o físico (cuidando las estructurar y los equipos involucrados). Por otra parte, los
ataques informáticos pueden provenir de software instalados dentro del pc victima
(como un virus) o llegar por vía remota (los atacantes se infiltran en la red para
atacar a través de esta mediante ataques tipo phishing).

Seguridad en las redes puede definirse como directrices y mejores prácticas

para evitar y controlar el acceso no autorizado, uso no debido, modificación o
penetración sin permiso a una red informática y sus recursos. Los usuarios eligen
o se les asigna una identificación y contraseña u otra información de
autenticación que les permite acceder a información y programas dentro de sus
autorizaciones. Seguridad en la red esta presenta en varias redes con sistema de
computación, tanto públicas como privadas, que se usan en el día a día; realizar
transacciones y comunicaciones entre empresas, agencias gubernamentales e
individuos. Las redes pueden ser privadas, como dentro de una empresa, y otras
que pueden estar abiertas al público. La seguridad de las redes se encuentra en
todo tipo de instituciones que utilizan redes para producción y operación.
Seguridad en la red es exactamente eso: asegurar las redes, proteger y
supervisar las operaciones que se realizan dentro de estas.

Advensus es una empresa que está entre los líderes de su área de negocios
un buen nombre atrae clientes y flujo de trabajo a la empresa.
Desafortunadamente, este nombre también la vuelve blanco susceptible al

1
momento de una persona querer atacar el sistema de gestión de seguridad de la
información de la empresa para lucrarse ilícitamente ya afectar a la vez la
información privada de clientes, la integridad de la empresa y el trabajo de los
empleados que sustentan a sus familias por sus labores en Advensus.

Si bien, la manera en que los atacantes operan tiene muchas variantes y

metodologías, un buen análisis con prueba de penetración, debería permitirnos
ver cuales debilidades tiene el sistema de información de la empresa y cuales
vulnerabilidades se pueden presentas en el futuro, así, efectivamente crear un
conjunto de mecanismos que nos permitan corregir, prevenir e identificar
amenazas existentes y potenciales.

El objetivo principal de la prueba de penetración es irrumpir el sistema desde el

punto de vista de un atacante de red. Este debe exponer los canales accesibles
para ataques virtuales para eventualmente bloquearlos. En nuestro caso vamos a
buscar debilidades desde un punto de vista interno y externos para así cubrir
efectivamente cualquier brecha de seguridad que pueda, en un futuro, convertirse
en una debilidad potencialmente catastrófica para los intereses de la empresa y
sus asociados.

El Ethical hacking es un de las herramientas mas poderosas con las que cuenta
el encargado de seguridad de un sistema de computación. Este permite ver, de
manera real y efectiva, paso por paso, la manera en que se perpetraría un ataque
a la red de la empresa.

Este nos permite estar a un paso adelante del atacante y también ponernos al
corriente con las nuevas metodologías de ataques de los ciber delincuentes.

2
En combinación de la prueba de penetración y hackeo ético a través de este
proyecto buscamos de manera lógica y física la seguridad de la empresa para
salvaguardar los bienes de esta y sus dependientes.

3
1.2 Justificación

El manejo de información personal y clasificada es el pilar de la industria de

los call center, una brecha de esta información representaría perdidas
millonarias para la compañía Advensus y significaría el cese de producción que
dejaría a cientos de trabajadores sin empleo. Un buen sistema de seguridad
informático debe ser es eslabón más fuerte de la protección de esta
información. La más mínima brecha debe ser identificada y corregida por entes
asociados antes que cualquier amenaza bajo la cual se pueda ver esta
protección.

El mundo de los ataques cibernéticos está en constante evolución, he aquí

donde los encargados de la seguridad virtual deben estar un paso adelanto a la
amenaza, de igual manera, poseer un plan de contingencia ante el fallo de
cualquier escudo del sistema.

Los ataques cibernéticos son tan comunes y antiguos como los sistemas
computacionales. En un mundo que cada vez depende más de la tecnología
debe enfrentar diariamente la creación de nuevas maneras de infiltración por
parte de atacantes cibernéticos, sin mencionar, que estos ataques no solo se
limitan a amenazas locales, sino globales. Actualmente el mundo informático
cuenta con herramientas para enfrentar cualquier tipo de amenaza. Esta es la
importancia de conocer las vulnerabilidades de nuestra empresa para
determinar cuál es la mejor herramienta a usar en el caso de un determinado
ataque cibernético.

Con las herramientas adecuadas se puede evitar un ataque cibernético

antes de que este ocurra y también desarrollas medidas de contingencia en
caso de nuevos ataques creados por los ciberladrones. 

4
1.4 OBJETIVOS.

1.4.1 Objetivo general.

Mejorar la seguridad informática de la empresa Advensus en busca de

vulnerabilidad que puedan permitir que personan no autorizadas accedan de
manera ilegal al sistema con fines ilícitos. Se busca evaluar el nivel actual del
sistema de seguridad informático de la compañía e identificar fallas y
vulnerabilidades.

1.4.2 Objetivo específico.

Trata de acceder al sistema de manera externa mediante Pentest y Ethical

hacking con miras a identificar los puntos débiles de la seguridad de la empresa
y efectivamente obtener información que demuestre el riesgo que pueda tener la
empresa antes los diversos tipos de ataque que se pueden presentas en estos
tiempos.

Una vez finalizadas las pruebas de penetración y se identifiquen

vulnerabilidades estas serán explicadas a la gerencia y se propondrán soluciones
por cada fallo identificados con miras a evitar posibles ataques basándonos en la
configuración actual de la seguridad y como prevenir penetraciones potenciales.

5
1.5. Marco teórico

En la actualidad, la información es el factor más importante de cualquier

empresa, se observa que, los gobiernos, entidades financieras, entre otras
empresas públicas y privadas realizan inmensurables esfuerzos para la
automatización de sus procesos, con el único fin de obtener una eficiencia y
productividad mayor, esto lleva a tener una demanda y generar una gran cantidad
de información, que puede ser confidencial, conteniendo información
administrativa interna como datos de sus clientes, productos, situación financiera,
etc.

En general todas las entidades mantienen una gran cantidad de información,

como por ejemplos en medio impresos, en un repositorio en la nube, disco de
respaldo, debido a que dependiendo de la empresa debe realizar investigaciones
y sustentarlas. También se toma en cuenta como un conjunto de documentos de
orden administrativo, siendo comúnmente las direcciones de Recursos Humanos,
Administrativo y Financiero las que archivan una mayor cantidad de documentos
en sus distintas zonas destinadas para su propósito. La información se establece
como el activo de mayor valor dentro de una empresa, y está en proporción al uso
que se le pueda dar, sea esta por el responsable de la información, generalmente
son los procesos relacionados con las direcciones administrativas, así como el
acceso o uso de la información. Uno de los inconvenientes más frecuentes al
establecer políticas de seguridad inadecuadas es la apropiación de la información
clave del usuario para comercializarla dentro del país o fuera de el con fines
ilícitos.

Es indispensable asegurar la información y protegerla contra las amenazas y

eventos que pueden suceder o comprometerla. La información puede existir en
sus diferentes medios de almacenamiento, pero independientemente de ello, es
necesario que las entidades garanticen la protección de la información durante su
recolección, tratamiento y uso.

6
1.6. Antecedentes.

La siguiente propuesta se desarrolla a partir de la necesidad vital de los

“Contact centers” (call centers) de proteger la confidencialidad de la alta
cantidad de información que en este se maneja.

La naturaleza de los call centers se basa especialmente en ofrecer servicios

a compañías (en su mayoría extranjeras) de servicios de atención y solución a
los clientes vía telefónica. Estos proyectos, en su mayoría, manejan información
personal de miles de clientes, la cual, de verse afectada, conllevaría a el cese
de producción por parte de Advensus y/o problemas legales.

La formulación de estrategias y análisis que permitieron determinar acciones

de detección de ataques virtuales fueron creadas basados en distintos métodos
de investigación. Los métodos utilizados fueron:

 Histórico: Investigación de hechos de fugas de información ocurridos en

compañía de la misma índole de Advensus en los cuales otras empresas
enfrentaron casos judiciales por no implementar una correcta defensa a sus
sistemas y equipos.

 Descriptivo: Para poder descubrir de forma objetiva la realización de los

hechos encontrados a través de la investigación realizada.

Se utilizaron las siguientes técnicas:

1. Técnicas penetración local y remota:

 Observación: Posible accesos abiertos.

7
2. Técnica de penetración por error humano:

 Verificación de posibles accesos por equivocación de usuarios o usuarios

malintencionados.
3. Técnica de penetración interna físicamente.
 Verificar el control de acceso de personas no autorizadas .

8
INTRODUCCION.
En una prueba de penetración se usan diferentes técnicas de ataques.
Durante la prueba, la persona que la realiza, elige la técnica adecuada que le
permita verificar si realmente existe una falla de seguridad. Para cada
aspecto de la seguridad se utilizan métodos de ataque diferentes, pero
también existen subconjuntos de vectores de ataques posibles. En todo
sistema informático existe in alto rango de blancos y ataques, debido a los
constantes cambios y avances en el campo de la tecnología de la
información, nuevas técnicas de ataques son desarrolladas y publicadas a
diario.

Una persona encargada de realizar pruebas de penetración se caracteriza

por el incremento constante de conocimiento sobre las nuevas metodologías
de ataque y defensa y, por ende, ser capaz de realizar ataques realísticos.
Cuales datos y sistemas particularmente críticos y que deben estar en el foco
de la prueba de penetración varia e un cliente a otro e individualmente
definida antes de la prueba. En una prueba de red, el objetivo principal de la
prueba puede ser, por ejemplo, superar los límites de la red, para poder
hablar con servidores y otros dispositivos de red en diferentes segmentos de
red. Los probadores de penetración intentan penetrar las redes Wifi, eludir la
protección del firewall o redirigir el tráfico a través de la computadora
atacante. La idea es penetrar en los segmentos de red que contienen datos
críticos de la compañía o que son críticos para las operaciones diarias.

Por otro lado, en una prueba de aplicación web, el objetivo puede ser
obtener acceso de lectura (o incluso escritura) a la base de datos con los
datos del producto o del cliente. En el caso de los datos del cliente, la
información de pago puede ser importante, lo que es especialmente valioso.

Durante sus ataques, los encargados de la prueba de penetración siempre

9
 actúan con mucho cuidado, para evitar cualquier perturbación de los sistemas
de producción. Si surge algún problema, se garantiza una comunicación
rápida y directa con el departamento de TI. 

Capítulo 2. ANALISIS DE SEGURIDAD.

2.1 Pentest.

Mediante la prueba de penetración determinaremos en primera instancia

los puertos abiertos dentro de la organización. Comenzando con el primer
contacto virtual hacia el exterior; los servidores.

Evaluación del nivel de seguridad de la red de Advensus

2.2. Recopilación de información.

Técnicas de penetración local y remota:

 Prueba de servicios de red.

Mediante NMAP se detectaron, de manera remota, que varios puertos del

servidor que no están en uso constante, se mantienen permanentemente
abiertos. Estos puertos, fuera de los puertos necesarios para el desempeño
regular del sistema son puertos que deben mantenerse cerrados y solo debe
ser abiertos por una aplicación que los necesite de manera especifico, evitando
el acceso no deseado y cerrando el mismo al finalizar su uso.

Con ingeniería inversa, mediante Edb-debbuger, se logró determinar los

softwares de defensa que poseen los servidores. Mediante esta se determinó

10
que los servidores cuentan con Forticlient como antimalware, filtro web y
patching. Para protección antivirus estos tienen Windows Defender.

 Prueba en aplicación web:

Cada proyecto de Advensus se conecta mediante una VPN al servidor de

la compañía a la que brinda servicio para utilizar sus herramientas. Debido a
la naturaleza de conexión este sistema se basa en aplicaciones web. El
firewall puede detectar la conexión, pero actualmente no cuenta con una llave
SSH para evitar acceso.

 Prueba de red inalámbrica:

Advensus posee redes inalámbricas para varios usos:

 Permitir que miembros de la gerencia y el departamento de TI se
conecten vía inalámbrica.
 Conexión wifi para que los empleados tengan acceso a internet desde
sus dispositivos para usar en actividades no relacionadas al trabajo.
 Conexión para permitir acceso a actividades relacionadas al trabajo
en departamentos especificados.

Personas con un conocimiento no muy avanzado pueden encontrar fallas en

estas conexiones inalámbricas para penetrar la red con miras a actividades
ilícitas.

De manera sencilla, y utilizando la red inalámbrica se puede detectar puertos

11
abiertos vulnerables dentro de la red al igual que acceder a otros dispositivos
dentro de la misma red, sean componentes de operación o no.

 Prueba de ingeniería social:

Advensus tiene varias vulnerabilidades en este ámbito. Varios proyectos

conllevan la recepción de documentos enviados por clientes mediante correo
electrónico. La cual permite fácil acceso de archivos maliciosos de estos estar
debidamente encriptados y/o disfrazados. En esto se debe educar al personal
en solo recibir correo que solo vengan con fotos en el cuerpo del mensaje y
no recibir archivos empaquetados o archivos de extensiones que difieran de
las siguientes:
 PNG
 JPG
 ICO
 PDF
Todo archivo debe ser convertidos a uno de estos formatos para poder ser
aceptados.

Advensus cuenta actualmente con un estricto control de acceso personal, los

empleados son admitidos a los departamentos de producción solo con una llave.
Esto elimina la posibilidad de que algún empleado pueda acceder o romper los
sistemas de seguridad desde adentro.

12
2.3. Enumeración

Advensus cuenta con una gran cantidad de usuarios, terminales y direcciones IP.
El secuestro de IP mediante Phishing es una de las mayores vulnerabilidades del
sistema en este ámbito. El personal ha de ser instruido en NO compartir datos
personales o de acceso mediante estos, ya que, por la naturaleza de las
operaciones, no es necesario hacer esto.

Los routers de la empresa aún están con las credenciales predeterminados

para acceder al panel del control de los mismos y los firmwares no son
actualizados constantemente. Esto representa una susceptibilidad real al
secuestro de DNS redirigiendo el flujo de la información que una dirección fuera
de la red de producción.

La administración remota de los router está habilitada y accesible desde

cualquier lugar sin ninguna protección (Salvo usuario y contraseña). Esto
representa un problema mayor porque hace el equipo susceptible a fácil
penetración por cualquier persona que sepa qué modelo de router ocupa
Advensus. La información de credenciales predeterminados de estos router se
encuentra de manera pública y cualquier individuo puede lograr penetrar con tan
solo buscar esta información y el nombre del equipo.

La configuración de navegación de los servidores debe ser ajustada para solo

navegar paginas seguras (https). Esto ayuda a evitar ser atraído a una DNS
secuestrada y terminar así, dando información privilegiada a una persona con
fines malintencionados.

13
2.4. Análisis de vulnerabilidades.

Con el análisis realizado hasta ahora, podemos enumerar una gran cantidad
de vulnerabilidades y áreas de mejoramiento:

1. Puertos abiertos vulnerables.

2. Falta de un filtro web efectivo.

3. Déficit en accesibilidad WIFI.

4. Credenciales predeterminadas en routers.

5. Acceso remoto a router disponible sin seguridad.

6. Vulnerabilidad al phishing.

7. Secuestro de DNS.

8. Fácil acceso para ingeniería inversa.

9. Protección deficiente contra la ingeniería social.

10. Acceso a páginas no seguras.

11. Vulnerabilidad a Spoofing (Suplantación de identidad, website, correo,

etc.).

12. Control de tipos de archivos permitidos para recibir.

13. Falta de encriptación de datos.

14. Firmware del router no actualizado constantemente.

15. Actualización programada en lugar de automática (Se designa una fecha

específica donde un técnico de TI realiza las actualizaciones de manera
segmentada).

16. Backup almacenado dentro de la misma localidad.

17. Acceso a páginas de internet no dedicados a la producción (Se puede

14
 acceder a cualquier página web).

18. Software telefónico con audio no encriptado para las llamadas.

19. Falta de capacitación e incremento de conocimientos a los técnicos de TI.

2.5. Explotación.

La fase de explotación del Pentest permitió varios accesos no autorizados al

sistema de redes de Advensus. Se pudo recolectar mucha información que
potencialmente concederían acceso a sistemas vulnerables y confidenciales que
eventualmente conllevarían a la fuga de información privilegiada (Dirección, foto,
número de seguro social –EUA- e información bancaria) de clientes de Advensus.
Comprometiendo la integridad de estos y la reputación de las compañías que
contratan a Advensus para ofrecer los servicios de tele operadores.

Mediante el uso de Hydra quedo evidenciado que el romper acceso al sistema

mediante el crackeo de usuarios y contraseñas es perfectamente posible para un
usuario experimentado. Con esta herramienta, y con la capacidad de descifrar
credenciales de acceso, se puede obtener información, tanto de los servidores en
operación, como información confidencial de los clientes que usan el servicio de
Advensus.

Advensus no es la compañía que ofrece el servicio final por el cual llaman los
clientes. Compañías destinadas a esto contratan los servicios de Advensus para
aminorar los costos de producción, para esto, Advensus obtiene acceso completo
a los sistemas y bases de datos de estas empresas.

Las configuraciones actuales pueden potencialmente poner en peligro las

operaciones de las empresas que contratan estos servicios, así como, la
información de los clientes de estos, la cual, mayormente, se vende con fines
lucrativos ilícitos. Con las vulnerabilidades expuestas, se pudo penetrar al sistema
de envío y recepción de archivo y al no estar encriptados permite la visualización
de estos. Partes de los archivos que se lograron capturar incluyen:

15
 1. Fotos de documento de identidad.

2. Imagen de la información bancaria de los clientes que desean realizar

pagos.

3. Foto de credencial de seguro social (Documento de extrema importancia

para obtener todo tipo de servicios en los Estados Unidos).

4. Datos de tarjeta de crédito.

5. Información de fecha de nacimiento de clientes.

Este conjunto de datos permite de manera sencilla la suplantación de identidad

y el fraude y que los clientes dueños de estas informaciones figuren como
personas que no cumplen con sus deberes monetarios, y de obtención de
servicios y mercancías de los cuales no tendrán conocimiento hasta que dicha
deuda se refleje en sus historiales de crédito o estados bancarios.

El acceso a la red es sencillo debido que Advensus cuenta con una red
inalámbrica disponible a la cual cualquier persona puede acceder. Esto no
representaría un problema si la red inalámbrica mencionada tuviera permisos
diferentes a los de la red usada para la producción. La prueba de penetración
permitió acceso a los sitios de red del servidor, mediante el cual, se puede
acceder al resto de las terminales conectadas al mismo.

La ingeniería inversa permitió determinar cuántos equipos están en cada red y

subdivididos por departamento. Esto permitió identificar los proyectos que reciben
la mayor cantidad de información privilegiada, haciendo estos los más llamativos
para los ataques cibernéticos. Estos proyectos manejan información que
permiten, a quien la maneje, obtener muchos datos de los clientes e incluido
acceder a su historial de crédito. Con esta información se puede adquirir bienes
que posteriormente se pueden vender quedando el cliente con la deuda y el
malhechor con el producto sin ninguna consecuencia.

16
 Mediante al acceso ya mencionado, se puede crear un acceso a la red
para redireccionar el flujo a una DNS que pueda verse como la original y obtener
información introducida por los usuarios. De esta manera la deficiencia en el
manejo de la seguridad de router y tránsito de datos queda evidenciada al no
contar con una encriptación adecuada. Cada sistema debe contar con su propio
sistema de encriptación, o bien, se puede adquirir un software determinado para
estos fines.

Desde mi correo personal, puedo enviar un correo a la organización con un

enlace que me permita acceder a la red, la necesidad de estandarizar la
recepción de correos electrónicos que permitan solo archivos de extensiones
especificas es una de las áreas de mayor debilidad dentro de la organización. No
solo por un atacante fuera de la organización, sino que una persona interna
puede enviarse a sí mismo un correo electrónico con fines de phishing y aceptarlo
en su terminal de trabajo obteniendo acceso para su uso ilícito posterior.

17
18
2.6. Documentación.

Este proceso de prueba de penetración nos permite tener un mayor

entendimiento de las vulnerabilidades de la organización y de cómo estos se
traducen en amenaza para la integridad informática. Todas las vulnerabilidades
expuestas son potencialmente peligrosas, pero tienen fácil solución. El primer
paso a tomas es controlar el acceso mediante el router. Este se debe modificar
para que las credenciales de acceso no sean los predeterminados y habilitar
equipos seguros para ser los únicos con acceso remoto basándose en su
dirección MAC. Con esto se asegura que la producción se mantenga sin
alteración, pero se controla el acceso de personas no deseadas.

Mediante un cateo de NMAP Se descubrió varios puertos potencialmente

vulnerables ya que estos se pueden utilizar como puerta trasera y obtener
acceso a los servidores y todos los servicios que este conlleva. Se deben crear
regla en la red inalámbrica la cual no permita el acceso a URL destinadas a la
producción y que manejan datos de clientes, de igual manera de debe
establecer el Wifi público a través del servidor del departamento de
mantenimiento ya que este no está directamente dentro de la red de producción
y dificulta considerablemente el acceso a la red de producción (casi imposible
acceder a través del Wifi público).

Es imperativo la adquisición de un software de encriptación de tráfico de

datos, en caso de una brecha en la información esto nos serviría para que el
atacante, en caso de obtener acceso a la red, no pueda utilizar esta información
y poner en peligro la integridad de personas y empresas.

El filtro web debe mejorarse en conjunto con el Active directory para que este
solo permita acceso a las paginas destinadas a la operación de la empresa y
así evitar que empleados puedan entrar a páginas y correos personales o
introducir información de clientes en páginas que no sean las establecidas para
estos fines.

19
Capítulo 3. ETHICAL HACKING.

Para la prueba de penetración ética se utilizaron varias herramientas que

fueron útil para demostrar las debilidades del sistema de red y seguridad de
Advensus.

 John the Ripper:

Esta herramienta otorgo acceso mediante la decodificación de contraseñas.
Se pudo acceder a las credenciales de varios usuarios incluyendo un técnico del
departamento de TI. A todos los usuarios se le otorga una contraseña por
defecto y la gran mayoría de los usuarios aún conserva la misma. Esto significa
que, de tratar, hay un alto porcentaje de que la mayoría de los usuarios aun
conserven esta.

 Metasploit:
Con el use de Metasploit se pudo burlar la detección de la intrusión, esta
herramienta también dio facilidad para enumerar los hosts dentro de la red. En
combinación con el Pentest esto supone una combinación potencialmente grave
para el entorno de red de la empresa. Una de las peculiaridades de esta
herramienta es el ocultamiento un sistema no preparado para este se le hará
imposible detectar que está siendo objeto de un ataque cibernético. Advensus
muestra deficiencias para identificar una intrusión hecha con esta herramienta.

 IronWasp:
IronWASP, su objetivo principal es auditar servidores web y aplicaciones
públicas. Las mismas características que le permiten a esta aplicación cumplir
con su objetivo, también le permiten penetrar en redes y obtener información
crucial del sistema de red. Esta aplicación debe ser bloqueada y para asegurar
la integridad de la red, debe solamente ser autorizada al momento de realizar
una auditoria internamente por el departamento de TI

20
3.1. Ethical Hacking.

Muchos de los intentos de penetración a la red de Advensus fueron

exitosamente bloqueados, pero estas pruebas se basan en aquellos softwares
que el sistema no pudo prevenir.

 Hosts.Deny:
A través de esta instrucción podemos asegurar de que solo maquinas
autorizada puedan acceder a la red. Es un comando sencillo pero efectivo en
contra de los ataques a la red.

El uso de Iptables es otro de los métodos a implementar como parte de la

seguridad cibernética. Esto es muy apropiado tanto para limitar los ataques de
fuerza bruta como para implementar la técnica del port-knocking (técnica que
permite abrir desde el exterior en el firewall el puerto en el que escucha algún
servicio).

La Prueba de hackeo se hizo utilizando kalitorify para que el atacante no

pueda ser rastreado, gracias a esta VPN. Advensus no cuenta con sistema de
rastreo de ataques, de aquí, cabe recalcar la importación de que el primer paso
en la seguridad informática, sea la prevención.

21
Capítulo 4. PLAN DE CONTINGENCIA.

Antes la creciente capacidad y disponibilidad de atacantes informáticos, la

protección de nuestras redes y dispositivos no puede ser 100% eficaz. Cabe
considerar y estar preparado ante la eventual intrusión en nuestros sistemas.

Preparar un proceso post-ataque y hacerlo parte de las medidas de seguridad

de la empresa es imperativo. Para cada tipo de ataque informático, los
profesionales del área trabajan arduamente para buscar medidas que
contrarresten y eviten los daños que un ataque puede causar, pero, desde el
momento en que un tipo de ataque nace hasta que se pueda desarrollar una
medida de protección, puede conllevar un tiempo que no está definido de
manera predeterminada. Es por esto que resulta esencial contar con
mecanismos que ayuden a mitigar los daños potenciales como resultado de
estar expuesto a un ataque informático, ya sea virtual o vía ingeniería social.

Para desarrollar un plan de contingencia es necesario cuantificar las pérdidas

reales o potencial que conlleva una intrusión en nuestro sistema, ya sean de
tiempo, recursos humanos, equipos, negocios potenciales y perdidas
monetarias.

Perdidas:
 De tiempo:
Ante un ataque existe una alta posibilidad que las operaciones del
negocio se vean detenidas, ya sean por interrupción a causa del ataque o
como medida preventiva por parte del departamento de TI. Esta afectaría
directamente la parte monetaria de Advensus. Por la naturaleza de las
operaciones de la compañía, esta genera ganancias por horas y cada hora
de operación interrumpida conlleva a pérdidas de miles o millones de pesos.

Los técnicos del departamento de TI se verían en la obligación de

dedicar tiempo a encontrar y corregir la brecha que permitió el ataque, lo

22
cual restaría el tiempo que pueden dedicar a la producción de la empresa.

 De recursos humanos:
Como lo mencionado anteriormente, el forzar técnicos del
departamento de TI conllevaría a ocupar tiempo de los operarios a
encontrar la brecha, reemplazar equipos (de ser necesario), corregir
daños causados y ocuparlos más tiempo del requerido bajos condiciones
regulares.

Si un ataque ocurre, y este causa que las operaciones se vean

detenidas, significa que los agentes no podrán trabajar hasta que se
corrija el problema, no obstante, estos deben ser remunerados por el
tiempo ya que, según la ley laboral, de no suspender a estos empleados
se deberá pagar las horas que el agente este sin generar ingresos a
razón de un ataque a la estructura computacional de la empresa.

 De equipos:
Como sabemos, hay ataques que pueden dejar equipos informáticos
inutilizables, de ocurrir esto, para poder volver las operaciones a un ritmo
regular, se requerirá el reemplazo parcial o total del equipo,
representando esto, un costo fuera de presupuesto y afectando el
beneficio neto de la empresa. A esto se le suma el tiempo que se
utilizara en buscar opciones de equipos, cotizaciones y compra final.
Esto puede variar mucho.

 Negocios potenciales:
La industria del call center es muy conocida en el área de BPO
(business process outsourcing), una noticia de una brecha de seguridad
trascendería rápida y negativamente en la imagen de Advensus como
una empresa de soluciones fiables para futuros clientes. Esto sumado a

23
 la reducción de las ganancias que le suceden a un ataque menguaría la
capacidad de recuperación de la empresa.

 Monetarias:
Todo lo mencionado dentro de este contexto explica de manera clara
las perdidas como consecuencia de un ataque a la red computacional,
tanto monetarias como de otro tipo. Pero vale recalcar las consecuencias
negativas que se crearían a raíz de un impacto negativo al capital de la
empresa. Las pérdidas monetarias son muy variables y escalan en
conjunto con las secuelas que deje una intrusión al sistema, esto
significa que todos los aspectos de la empresa, tienen un porcentaje
especifico de verse afectado, inclusive, el cierre definitivo.

Un plan de contingencias debe contemplar todas las posibles

vertientes de un ataque, esto implica un amplio rango de posibilidades.
Por esto, el plan de contingencia debe ser pensado de manera que
pueda solucionar varios problemas por cada medida tomada e
implementada y hacer las soluciones más extensas con respecto al
alcance.

Para nuestro plan de contingencia, tomaremos en cuenta todo lo

mencionado con respecto a consecuencias de algún ataque y perdida
que este pueda generar. Los pasos a tomar dependerán dependiendo
del tipo de ataque que haya sufrido la estructura informática de le
empresa. Estos los dividiremos en varios tipos:

24
Capítulo 5. PARO TOTAL O PARCIAL DE PRODUCCION POR
SISTEMA CAIDO.

Se requiere un servidor alternativo que mantenga los datos, backups,

permisos y políticas de usuarios y permisos del servidor principal
actualizados al mismo ritmo de este. Ante un ataque, este servidor debe
contar con la potencia y mecanismos necesarios para entrar en
funcionamiento de manera inmediata para menguar el tiempo perdido de
producción.

Para llevar a cabo este plan se debe contar con equipos de

reemplazos en el ámbito de conexión y seguridad (switch, routers y
terminales).

Un ataque que se centre en los terminales de la estructura del

negocio sería un impacto mayor. Este provocaría el paro total de la
producción y el tiempo de recuperación sería catastrófico. Para
minimizar el impacto ante este evento se debe considerar 3 escenarios:

Equipo no recuperable: Este, como peor escenario, significaría el

mayor impacto económico a la empresa. Una manera de recuperarse de
este seria reemplazando los componentes del computador (desde placa
madre hasta sus componentes principales) de computación y/o
almacenamiento.

Software afectado: Instruir el equipo de TI para la ejecución de un plan

en el cual se pueda reinstalar el sistema operativo en todas las maquinas
afectadas. Esto permitiría que la producción se reinicie a pocas horas del
ataque aumentando su porcentaje de operabilidad gradualmente. Como
el sistema operativo se puede instalar de manera simultánea en todos

25
 los equipos. Tras el ataque se puede tener entre 30 y 40 terminales
disponibles dentro de los primeros 45 minutos. Advensus cuenta con 515
terminales de las cuales alrededor de 320 estan siendo usadas por
agentes activamente en producción y se trabaja a diario con alrededor
del 75% de los agentes basándonos en días libres.

Equipo parcialmente dañado: En caso de que las terminales sufran

daño parcial (daño de disco duro, memoria RAM o CPU) se pondrá en
funcionamiento las PC que estén apagadas al momento de ataque ya
que están no han de ser afectadas por el mismo. De las 515, 240 son las
que están en uso en día regular de producción. Los equipos
parcialmente dañados pueden ser reemplazados en 1 o 2 horas en un
86% (275 equipos).

Por su metodología de operación bajo una única contraseña, cada

agente puede operar desde cualquier pc sin tener que transferir datos de
la aplicación lo cual permite que la transición sea sin demora.

Advensus cuenta con la aplicación Forticlient como cliente VPN. Este cuenta
con Advensus Backup y ha de ser la conexión utilizada en el caso de un
ataque. El departamento de TI debe constar que el ataque no afecta esta red o
que ya no es una amenaza para así poder dar luz verde a la conexión de la red
mediante esta herramienta.

26
Capítulo 6. Plan de negocios.

Un Caso de Negocio describe el potencial, ya sea bueno o malo de una

propuesta, de una manera tal que la propuesta se puede juntar otras propuestas
para su comparación.

Estructura del Caso de Negocio

A. Introducción Presenta los objetivos de negocio que se tratan en la iniciativa

de administración de servicios.

B. Métodos y Suposiciones Define los límites del caso de negocio, tales como
el plazo, costos y beneficios.

C. Impactos de Negocio Los resultados financieros y no financieros del caso

de negocio.

D. Riesgos y Contingencias La probabilidad de que vayan a surgir diferentes

resultados.

E. Recomendaciones Acciones específicas recomendadas.

Con facilidad, se pueden encontrar una gran variedad de formatos de Casos

de Negocio en la Web, y dentro de una organización se puede utilizar más de un
formato; sin embargo, una Estructura de Caso de Negocio común incluye los
elementos anteriores.

Propuesta de implementación sistema de seguridad

Dada la proliferación de los ciberataques y de herramientas cada vez más

27
poderosas para garantizar el éxito de los delitos informáticos, es determinante
para las empresas en estos tiempos ocuparse de la seguridad de la información
con las últimas y más eficientes tecnologías de protección.

Pareciera ser que la ciberdelincuencia es como una rentable profesión a la que

muchos genios de la computación han preferido dedicarse en vez de aportar sus
conocimientos al bien de la informática. Asumimos que son más los casos que
desconocemos, que se mantienen en el anonimato, que aquellos casos que salen
a la luz. Posiblemente por diferentes causas siendo algunas de ellas que los
ataques realizados no han sido tan relevantes como para hacerlos públicos, otra
pudiera ser que hacerlos públicos comprometería la reputación tanto de
empresas como de personas, y se nos ocurre conjeturar que muchos afectados
por la oscura práctica ni siquiera se han enterado. Cualquiera que fuera la causa,
el espionaje informático, el robo de información confidencial con fines de
divulgación y/o lucro económico, el secuestro de equipos tanto de redes como de
procesamiento, la suplantación de identidad, entre otros muchos delitos
incluyendo las simples y pesadas bromas, nos atrevemos a asegurar de que los
casos son incontables.
La empresa Advensus maneja una gran cantidad de información tanto de
empresas Cómo de personas y teniendo como uno de sus principales valores la
entrega de resultados, en vista las diversas vulnerabilidades encontradas
mediante el análisis de Pentesting y Ethical Hacking realizado en mayo del
corriente año; consideramos de vital importancia que se realice a implementación
de un sistema de seguridad confiable que sea capaz de llevar la empresa al
siguiente nivel.
En tiempos como estos, cuando la información tiene un incalculable valor para
sus propietarios, no se debe escatimar esfuerzos en los fines de proteger tan
preciado activo. Reiteramos que esta empresa necesita un sistema de seguridad
fuerte capaz de salvaguardar de manera integral la gran cantidad de información
que está bajo su responsabilidad.

Por esta causa sometemos a su análisis la siguiente propuesta:

1. Puertos abiertos vulnerables.

28
2. Falta de un filtro web efectivo.

3. Déficit en accesibilidad WIFI.

4. Credenciales predeterminadas en routers.

5. Acceso remoto a router disponible sin seguridad.

6. Vulnerabilidad al phishing.

7. Secuestro de DNS.

8. Fácil acceso para ingeniería inversa.

9. Protección deficiente contra la ingeniería social.

10. Acceso a páginas no seguras.

11. Vulnerabilidad a Spoofing (Suplantación de identidad, website, correo,

etc.).

12. Control de tipos de archivos permitidos para recibir.

13. Falta de encriptación de datos.

14. Firmware del router no actualizado constantemente.

15. Actualización programada en lugar de automática (Se designa una

fecha específica donde un técnico de TI realiza las actualizaciones de
manera segmentada).

16. Backup almacenado dentro de la misma localidad.

17. Acceso a páginas de internet no dedicados a la producción (Se puede

acceder a cualquier página web).

18. Software telefónico con audio no encriptado para las llamadas.

29
Capítulo 7. SERVER ROOM.

Un cuarto de servidores es el corazón de la estructura computacional de

cualquier empresa que utilice la informática para sus operaciones. Un cuarto de
servidores vulnerables puede significar un daño catastrófico a las operaciones de
la empresa, poniendo en riesgo todo lo que esta representa.
Advensus actualmente tiene las instalaciones de los servidores a la vista que
todo el que pasa por el área, separado solo por cristales y una puerta que,
aunque está cerrada, no representa seguridad para una persona mal
intencionada.
Basándonos en esto, se considera de importación primordial el aislamiento del
cuarto de servidores aun zona con acceso más restringido y al que solo se pueda
tener acceso a través de permisos otorgados por la gerencia de la compañía y el
CIO. Se recomienda tomar medidas de seguridad biométricas para añadir capas
de seguridad física a los servidores.

30
Este es un ejemplo real de como se ve el cuarto de servidores de Advensus, pero la imagen es representativa.
Las fotos al server room están prohibidas por razones de seguridad .

Capítulo 8. PUESTA EN EJECUCION DE MEDIDAS DE SEGURIDAD.

Lo siguiente sirve para plasmar el proceso de la puesta en ejecución de los

cambios sugeridos a Advensus en orden cronológico. Esto permitirá a la
gerencia a calcular el tiempo del que se necesita para llevar a cabo la
implementación de las nuevas medidas de seguridad y así puedan coordinar la
logística con respecto a la disponibilidad de la empresa sin afectar la producción
de esta.

Los cambios a la seguridad requieren una implementación en 3 fases:

 Cambios de hardware y planta física.
 Cambios de software.
 Capacitación de la empleomanía.

31
 8.1. Cambios de hardware y planta física:

En esta primera etapa Advensus trabajara en la movilización de su server room

o el aislamiento de su server room. Se recomienda el cambio de las paredes a
concreto en lugar de cristal y una puerta con acceso limitado a técnicos de TI y
pase bajo supervisión y autorización. En el mismo ámbito se recomienda a la
empresa el establecimiento de un servicio de Backup fuera de las instalaciones. A
esto se le ha recomendado el servicio de AWS (Amazon web service) AWS
Backup.

A continuación, los detalles del mismo:

Amazon EFS Precio Precio Límite de Capacidad Promedio
File system mensual anual almacenamient actual mensual/anual
BACKUP o

AWS US$0.0 US$0.12 Ilimitado Estimado:18 US$0.18/US$2.1

BACKUP 1 por por GB GB de 6
GB por por mes almacenamient
mes o

Aislamiento de servidores mediante pared de concreto:

Materiales Precio unitario Cantidad precio total
Bloques 40 150 6000
Cemento (fundas) 2 340 680
Barillas (quintal) 2400 0.5 1200
Arena (metro) 850 1 850
Mano de obra 5000 1 5000

Total 13730

Puertas para server room:

Para el server room se recomienda la puerta Línea Acero de puertas Pentágono.
Estas cuentas con pintura electrostática. Además, son blindadas y multicierre.

32
Estas puertas brindan protección en case de incendio y también cuentas con 6
pivotes anti palanca, cerradura multipunto de 5 puntos, marco metálico y permite
la incorporación de dispositivos de apertura electrónicos.
Articulo Precio
Puerta y marco RD$35,000.00
Instalación RD$6,500.00
Total RD$41,500.00

La implementación de estos cambios se realiza en un lapso de 6 a 7 horas y no

detienen la producción de la empresa.

8.2. Cambios de software:

Implementando las medidas descritas en los capítulos 3 y 4 de este proyecto

tenemos una clara idea de los cambios a realizarse en el software de la empresa.
Dichos cambios se pueden realizar parcialmente en horas de operaciones y
completarlos en horario no laborables de Advensus. La implementación de
cambios, agregados y mejoras de los softwares descritos requiere una extensión
del horario laboral de los técnicos y encargado del departamento TI por 3 días
comenzando junto con la jornada laboral a las 8:00 am del lunes de la semana
que marque el inicio de los cambios y terminando el martes de la misma a las
10:00pm

Durante horas laborales se implementarán los cambios al software de las

computadoras que no están un uso constante y en las de los agentes que estén

33
libre. Durante las horas fuera de operaciones se iniciará con la implementación de
los cambios en el servidor y el sistema de Backup. Las horas no laborables de los
últimos días se destinarán a implementar los cambios a las terminales de uso
diario y de los que sus usuarios no tengan días libre durante este periodo.

Una vez terminado el proceso de implementación y cambios en el software se

destinarán 3 días de uso regular como prueba, necesarios para corroborar que
dichos cambios permiten el uso sin demora ni interrupción de las operaciones de
la empresa. Con los equipos actuales de Advensus, la transición debería ser sin
ningún contratiempo y este periodo de prueba sirve para detectar cualquier
anomalía pasada por alto.

Durante la puesta en ejecución de estos cambios, las operaciones de la

empresa no deberían verse afectada de ninguna manera lo cual no representaría
perdidas.

8.3. Capacitación de la empleomanía:

La ingeniería social es, sin duda, una de las vulnerabilidades que deben ser
tomadas en cuenta durante la puesta en función de las nuevas medidas de
seguridad. Se ha creado un entrenamiento que ha de corregir los puntos débiles
actuales en este aspecto. Este se ha dividido en varios módulos y distribuido a
manera que pueda ser impartido por el departamento de TI a los agentes y
supervisores de la empresa.

¿Cómo se implementará?
Actualmente, Advensus cuenta con 7 proyectos diferentes, y la cantidad de
agentes por proyectos va desde 15 personas en unos hasta 150 en otros. La

34
duración de esta capacitación es de una hora en el cual se explicará a los
asistentes que es la ingeniería social y phishing, impactos en la empresa, como
detectarlos y evitarlos y que acciones tomar.

Para minimizar impactos, los entrenamientos se llevarán a cabo en horas de

menos tráfico de llamada con el 25% de los agentes de cada proyecto. Estos se
implementarán 2 horas el jueves y dos horas el viernes de la semana de
implementación. Estos días son los de menos flujo de llamada y los agentes
restantes pueden manejar la carga de trabajo.

Con una hora por grupo con el 25% de los agentes, el proceso de capacitación
se llevará a cabo en un total de 4 horas y a cada hora se le otorgaran 15 minutos
extras para contratiempos. Esto hace un total de 5 horas total de capacitación.

Los puntos a exponer durante la capacitación están definidos en el diagrama de

módulos que se detalla a continuación:

 ¿Qué es la ingeniería social?

 ¿Qué es el phishing?

 ¿Cómo afecta a la empresa la exposición de información privada?

 ¿formas más comunes de phishing e ingeniería social?

 ¿Cómo identificar ataques potenciales?

 ¿Qué hacer ante un ataque?

35
  Canales para reportar actividades sospechosas.

 ¿Cómo afectaría un ataque la empresa y el trabajo de todos los

empleados?

 Explicar los motivos de la capacitación y poner al tanto de los cambios

recientes en la empresa ante ataques.

 Herramientas comunes de ingeniería social.

 Diferentes formas de phishing.

 Que hacen los atacantes con la información obtenida ilícitamente.

 Cuales aspectos de seguridad puede controlas la compañía.

 ¿Cuál es el rol de los agentes?

Capítulo 9. CAMBIOS A CONSIERAR Y POST IMPLEMENTACION

9.1. Compras de equipos y software

Advensus cuenta actualmente con los equipos necesarios para estos

cambios, sin la necesidad de adquisición de más. Económicamente esto
representa una ventaja para la empresa al momento de llevar a cabo la
ejecución del proyecto planteado en este documento permitiendo a la empresa
ahorrarle dinero al mismo tiempo que evita comprometer la seguridad de la
empresa a corto y largo plazo. Las terminales de la empresa cuentas con el
antivirus que tiene Windows por defecto (Defender). Este antivirus ha

36
demostrado ser eficaz, pero se recomienda agregar el componente
Malwarebytes Premium. Con un costo de licencia de RD$790.10, este
complemento proporciona la protección extra necesaria contra Malware y
Ransomware.

El cuarto de servidores esta refrigerado actualmente por el sistema de aire

central de le compañía. Los andamios que posee actualmente para los
servidores están conectado a los cristales mediante perforación de estos. Ante
el cambio propuesto para el cuarto de servidores dichos andamios deben ser.
En vista de este cambio se recomienda de manera opcional la adquisición de
un rack de piso WorkSafe la cual proporciona protección antisísmica y anti
incendio. Esta una opción ofertada a la empresa la cual se detalla a
continuación:

37
 Rack de piso ESTAP 42U de 19” US$469.96

Se hace del conocimiento de la empresa que este cambio no es estrictamente

necesario con respecto a las amenazas de seguridad física o cibernética. El
cambio se propone como medida de mejorar el acoplamiento de los equipos con
la estructura basado en los cambios propuestos que van actualmente dirigidos a
la seguridad contra ataques al sistema de red y/o computación.

38
9.2. Seguridad física.

Advensus tiene actualmente un sistema de chequeo a los empleados en cada

entrada y salida de los pisos de producción. Los empleados de seguridad
cuentan con detectores de metales manuales en los que verifican cada agente al
momento de entrar o salir. Para la seguridad le sencillo identificar cualquier
metal que entra o sale a los pisos de producción. Muchas veces estos
detectores no captan si una persona lleva consigo un dispositivo de
almacenamiento como usb drive, disco duro portátil o Smart watch.

Se recomienda a Advensus la integración de un detector de electrónicos que

le permita identificar si una persona está tratando de acceder con un dispositivo
no autorizado.

Se cuenta con los agentes como entes para defender e implementar la

seguridad de la empresa, pero en muchas ocasiones la amenaza de un ataque
proviene internamente. Esta medida es de suma importancia para así evitar que
personas malintencionadas puedes acceder a la información con un medio de
extracción. Se recomienda a Advensus la adquisición de un detector JMDHKK
K18 por cada puerta de acceso. La empresa cuenta actualmente con 3 acceso
principales a los pisos de producción.

Con un costo de US$ 48.00 la unidad, esta inversión sumaria US$144.00.

39
9.3. Post implementación.

Una vez implementadas las nuevas medidas de seguridad se espera que

este funcionado de acuerdo a lo planeado al pasar el tiempo. Si bien sabemos,
los ataques a la red de computación van adquiriendo nuevas herramientas y
nuevos métodos a medida que el tiempo avanza. Es por esto que se pautara
verificaciones periódicas de los nuevos métodos agregados a la seguridad de la
empresa.

Cada 6 meses se ha de realizar una verificación general de los componente

y metodologías al sistema de la empresa, tanto a los últimos cambios, como a
los existentes antes de la implementación de las nuevas medidas. Esta
verificación se iniciará siempre con una prueba de penetración y Ethical
hacking. Se ejecutarán señuelos estratégicos para así verificar la eficiencia del
entrenamiento al personal en contra de la ingeniería social y el Phishing. Los a
implementar incluyen sin limitarse:
 Abandonar pendrives en los entornos de la compañía y dentro de esta
con etiquetas llamativas que motiven al empleado a querer ver su
contenido.
 Envió de correos electrónicos no relacionados a las operaciones de la
empresa con títulos llamativos y/o curiosos.
 Designar personas que no trabajan en la empresa a entablar
conversaciones con los agentes tratando de obtener información
confidencial sobre la compañía y los bienes que allí se manejan.
 Ofrecer anónimamente la compra de información a cambio de dinero.

El objetivo principal es este ejercicio es asegurar la continuidad de las

medidas implementadas durante este proceso mediante el mismo no se busca
penalizar a los agentes sino crear conciencia de la importancia de estos cambios
ante amenazas potenciales.

40
Capítulo 10. INFORMACION MONETARIA

10.1. ¿Qué puede pasar de no tomar estas precauciones?

El no tomar en consideración este proyecto puede dejar vulnerable el sistema

para atacantes. Esto conllevaría perdidas millonarias para Advensus con
respecto al gasto de conlleva realizar este análisis.

Pérdidas estimadas en contratos (7 RD$250,000,000 en los contratos

contratos) por año. mayores. 125,000,000 en los
menores
Perdidas en indemnizaciones y RD$65,000,000
desahucios
Cancelación de contratos con RD$150,000,000
clientes
Cancelación de contratos con RD$2,000,000
proveedores de servicios
Pagos de préstamos, vehículos y Entre RD$ 17,000,000 y
tarjetas de crédito de la empresa RD$35,000,000 (no revelado por la
empresa)
Paro de producción y entrada de RD$1,400,000 por hora.
capital

La prueba de Pentest puede costar entre US$10,000 y hasta US$500,000

dependiendo en tamaño de la empresa. La realización de este Pentest cuesta de
US$12,000 a US$15,000, con este precio se le permite a la empresa evitar pérdidas
multimillonarias.

41
CONCLUSION.

Con las herramientas y protocolos propuestos la seguridad de Advensus tiene

la posibilidad de mostrarse como uno de los centros de tele operadores más
fiables en el ámbito de seguridad informática, Esto se traduce en mayor confianza
de las empresas y clientes que utilizan sus servicios y por ende, mayor confianza
a inversión. A mayor confianza de los clientes actuales, mayor la cantidad de
clientes potenciales.

Nuestra recomendación a Advensus, establecer un tiempo en el año en el cual

estas pruebas se realicen de manera obligatoria para así reforzar la seguridad
informática y que esta crezca a un ritmo más acelerado que las nuevas técnicas
de penetración y hacking.

Siempre habrá atacantes virtuales y personas que buscan lucrarse de manera

ilícita en todos los ámbitos profesionales. La tecnología de la información es una
de las ramas más vulnerables ya que estos crímenes pueden ser ejecutados por
una sola persona sin tener que salir de su casa y hacerlo a escala mundial.

Toda la información incluida en este material sirve como guía de que pasos
dar para evitar caer víctima de crimen informático. En este se detallan todos los
pasos tomados en detalles y por qué la importación de mantenerse al margen de
la tecnología actual en seguridad de red. Se explica y propone soluciones a la
empresa en ambos aspectos de la seguridad, lógica y física. Este análisis saco a
relucir varias fallas las cuales pueden ser corregida de manera sencilla, pero
también hay fallas potencialmente catastróficas a las cuales hay que prestarle
especial atención y tiempo.

42
 Si bien la empresa puede operar haciendo caso omiso a las recomendaciones
planteadas en este proyecto, no cabe duda de que un ataque que afecte la
operabilidad de la empresa puede ocurrir en cualquier momento sin previo aviso y
los costos de recuperación pueden ir desde $0 hasta el capital total de la empresa
y más. Se recomienda a la compañía poner en ejecución los cambios propuestos
a la mayor brevedad posible.

Vivimos en un mundo de muchos avances, donde personas ponen tiempo,

conocimiento y sacrificio para que la humanidad cuente con comodidades que se
aplican a nuestro diario vivir, pero de igual manera existen personas que utilizan
este conocimiento para lucrarse sin importar a quien afecte en el camino. Es por
esto que la seguridad de cualquier institución debe ser imprescindible y uno de
los aspectos a los que mayor atención se le dedica. La seguridad de la
información se encarga de que nuestro de sistemas de computación funciones de
manera ininterrumpida hacia ataques virtuales y físicos. La computación es la
base fundamental de muchas empresas y Advensus no es la excepción.

Bibliografía.

43
 https://www.redteam-pentesting.de/en/pentest/exploitation/-penetration-test-
exploitation-verification-of-security-weaknesses.

https://sio2sio2.github.io/doc- linux/08.redes/99.ataques/02.tecnicas/03.brute.html

https://es.wikipedia.org/wiki/Iptables

https://securitytrails.com/blog/top-15-ethical-hacking-tools-used-by-infosec-
professionals.

https://www.guru99.com/learn-everything-about-ethical-hacking-tools-and-
skills.html

https://www.cyberseguridad.net/index.php/455-las-fases-de-un-test-de-
penetracion-pentest-pentesting-i.

https://ehack.info/las-fases-del-hacking-etico/

44
45