Ingeniería de Sistemas

Estándares y Calidad del Software

Cód. Est: Fecha:17/04/2021

Laboratorio-Taller – Seguridad

Actividad

La siguiente actividad se encuentra en un ambiente de aprendizaje sobre una temática relevante y

especialmente diseñado para ustedes. El objetivo es enriquecer los conocimientos de vulnerabilidades
informáticas, que fortalecen la experiencia de aprendizaje propuesta en el espacio virtual de desarrollo
académico

• Vulnerabilidades físicas y lógicas

• Tipos de vulnerabilidades
• Detección de vulnerabilidades
• Remediación de vulnerabilidades
• Herramientas de análisis de vulnerabilidades

Visita a los siguiente Sitios Web Oficiales de: NIST, ENISA, CVSS, CWE, CVE, SANS, CERT y
documentar:
 Función
 Características
 Aplicación
 Ejemplos

NIST. (2021). CYBERSECURITY FRAMEWORK. 2021, marzo 15, de NIST Recuperado de

https://www.nist.gov/cyberframework

CVE. (2021, marzo 22 ). CYBERSECURITY FRAMEWORK. 2021, marzo 15, de CVE Recuperado de
http://cve.mitre.org/

CWE. (2021, marzo 22 ). Common Weakness Enumeration (CWE™). 2021, marzo 15, de CVE
Recuperado de http://cwe.mitre.org/

FIRST. (2021, marzo 22 ). Common Vulnerability Scoring System SIG. 2021, marzo 15, de CWE
Recuperado de https://www.first.org/cvss/
colCert. (2021, marzo 22 ). Grupo de Respuesta a Emergencias Cibernéticas de Colombia. 2021, marzo
15, de colCert Recuperado de http://www.colcert.gov.co/

ENISA. (2021, marzo 22 ). Grupo de Respuesta a Emergencias Cibernéticas de Colombia. 2021, marzo
15, de ENISA Recuperado de https://www.enisa.europa.eu/
 Introducción

Se refiere especialmente a la localización de los asentamientos humanos en zonas de riesgo, y a las

deficiencias de sus estructuras físicas para "absorber" los efectos de esos riesgos.

 Objetivos

- Objetivo General
Conocer cómo se encuentran funcionando estos sitios web que se mencionan anteriormente
realizando la evaluación pertinente.

- Objetivos Específicos

La confidencialidad de datos que es un estado de disponibilidad de información solo para usuarios,

procesos y dispositivos autorizados.

La integridad es la ausencia de alteraciones no autorizadas, información agregada o destruida.

Garantizar la integridad es especialmente importante en los casos en que la información es de gran
valor y no debe perderse, así como cuando los datos se pueden cambiar intencionalmente para
desinformar al destinatario.

 Desarrollo del taller

Vulnerabilidades físicas y lógicas

Reservado para sistemas que no cumplen con ninguna especificación de seguridad. Sin sistemas fiables,
no hay protección para el hardware, el SO es inestable y no hay autenticación con respecto a usuarios y
sus derechos de acceso a la información. Un SO en este nivel por ejemplo MS-DOS.

Nivel C1: Protección Discrecional

El acceso a distinta información se realiza mediante identificación de usuarios. Cada usuario maneja su
información privada y distingue entre usuarios y el administrador del sistema, quien tiene control total de
acceso.

Los requerimientos mínimos que debe cumplir la clase C1 son:

Acceso de control discrecional: distinción entre usuario y recursos. Se podrán definir grupos de usuarios y
grupos de objetos sobre los cuales podrán actuar usuarios o grupos de ellos.
Identificación y Autenticación: un usuario debe identificarse antes de comenzar a ejecutar acciones sobre
el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.

Nivel C2: Protección de Acceso controlado

Cuenta con características adicionales al C1 que crean un ambiente de acceso controlado. Se debe llevar
una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el
que los usuarios ejecuten ciertos comandos o tengan accesos a ciertos archivos, permite o deniega datos a
usuarios concretos en base no sólo a los permisos sino también a los niveles de autorización.

Nivel B1: Seguridad Etiquetada

A cada objeto del sistema (usuario, dato, etc) se le asigna una etiqueta con nivel de seguridad jerárquico
(alto secreto, secreto, reservado, etc) y con unas categorías (contabilidad, nóminas, ventas, etc). Cada
usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que
cada usuario tiene sus objetos asociados. También se establecen controles para limitar la propagación de
derecho de accesos a los distintos objetos.

Nivel B2: Protección Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La protección
estructurada es la primera que empieza a referirse al problema de un objeto a un nivel más elevado de
seguridad y comunicación con otro objeto a un nivel inferior. Así un disco duro será etiquetado por
almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios
si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de
fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.

Nivel B3: Dominios de Seguridad

Refuerza a los dominios con las instalaciones de hardware: por ejemplo, el hardware de administración de
memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de
objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de
acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.

Nivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales
(matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.

Amenazas, Riesgos, Vulnerabilidades y Ataques.

Amenaza
Bajo la etiqueta de ‘amenazas lógicas’ encontramos todo tipo de programas que de una forma u otra
pueden dañar a nuestro sistema, creados de forma intencionada (software malicioso, también conocido
como malware) o simplemente un error (bugs o agujeros). Esto es, una amenaza es la posibilidad de la
ocurrencia de algún evento que afecte el buen funcionamiento de un sistema, es decir, cualquier elemento
que comprometa el sistema.

Las amenazas pueden ser analizadas en tres momentos: antes del ataque, durante y después del mismo, por
lo que son necesarios mecanismos que garanticen la seguridad para cada momento. Estos son:

La prevención (antes): mecanismos que aumentan la seguridad (fiabilidad) de un sistema durante su

funcionamiento normal. Por ejemplo, el cifrado de información.
La detección (durante): mecanismos orientados a revelar violaciones a la seguridad. Generalmente son
programas de auditoria.
La recuperación (después): mecanismos que se aplican cuando la violación del sistema ya se ha detectado,
para retornar éste a su funcionamiento normal. Por ejemplo, recuperación desde las copias de seguridad
realizadas previamente.

Riesgo
Proximidad o posibilidad de daño sobre un bien.
Ya se trate de actos naturales, errores u omisiones humanas y actos intencionados, cada riesgo debería ser
considerado de las siguientes maneras:

Minimizando la posibilidad de que ocurra.

Reduciendo al mínimo el perjuicio producido si no ha podido evitarse que ocurriera.
Diseñando métodos para la más rápida recuperación de los daños experimentados.
Corrigiendo las medidas de seguridad en función de la experiencia recogida.

Vulnerabilidad
Característica del sistema o del medio ambiente que facilita que la amenaza tenga lugar. Son las
debilidades del sistema que pueden ser empleadas por la amenaza para comprometerlo.

Ataque
Evento, exitoso o no, que atenta contra el buen funcionamiento de un sistema, sea intencionado o
accidental.

Las consecuencias de los ataques se podrían clasificar en:

Corrupción de Datos: la información que no contenía defectos pasa a tenerlos.

Denegación de Servicio: servicios que deberían estar disponibles no lo están.
Filtrado: los datos llegan a destinos a los que no deberían llegar.

(altp1972, 2019)
A1:2017-Injection

Dentro de esta categoría se engloban las vulnerabilidades que permiten la inyección de código en
herramientas como SQL, NoSQL, OS o LDAP, lo que permite a los servidores interpretar una cadena
como si fuese código, pudiendo acceder a la base de datos sin autorización.

A2:2017-Broken Authentication

Fallos en las implementaciones de inicio o gestión de sesión que permite a los atacantes hacerse con
contraseñas, claves o cualquier otra información para autenticarse en un sistema temporalmente o de
forma permanente.

A3:2017-Sensitive Data Exposure

Debido a fallos en la implementación de distintas APIs, muchas veces no se protege correctamente la

información sensible, lo que permite a piratas informáticos hacerse, por ejemplo, con datos personales,
bancarios o de salud de usuarios.

A4:2017-XML External Entities (XXE)

Procesadores XLM mal configurados pueden procesar ciertas referencias como si no se tratasen de
entradas XML, lo que puede permitir revelar ficheros y recursos ocultos, e incluso ejecutar código o
causar un ataque DoS.

A5:2017-Broken Access Control

Errores en la configuración de los sistemas de control de acceso puede permitir a un atacante acceder a
recursos y archivos para los que no debería tener permiso.
A6:2017-Security Misconfiguration

Aquí se engloban todo tipo de fallos relacionados con la configuración de todo tipo de sistemas de
seguridad, desde las conexiones HTTPS hasta las aplicaciones de seguridad de cualquier sistema o
servidor.

A7:2017-Cross-Site Scripting (XSS)

Todo tipo de ataques XSS que se originan cuando una web incluye datos no validados para ejecutar algún
script peligroso desde una web que, supuestamente, es de confianza, permitiendo así que la web en
cuestión ejecute código en el equipo de la víctima.

A8:2017-Insecure Deserialization

Fallos en la serialización que pueden permitir la ejecución de código directamente en la memoria.

A9:2017-Using Components with Known Vulnerabilities

Como su nombre indica, en esta categoría se recogen todos los usos de librerías, frameworks y otros
recursos de software que tienen vulnerabilidades, por lo que, al utilizarlos en una plataforma o un
proyecto, automáticamente este se vuelve vulnerable, quedando en peligro a través de estos recursos.

A10:2017-Insufficient Logging & Monitoring

Debido a la falta de monitorización, la mayoría de las veces se tarda hasta 200 días en detectar una
vulnerabilidad en un software o una plataforma web, tiempo que se podría reducir notablemente
simplemente configurando mayores controles, mejor monitorización y más registros a estas plataformas.
(Redes Zone, 2017)

Detección de vulnerabilidades.

La evaluación o detección de vulnerabilidades permite reconocer, clasificar y caracterizar los agujeros de

seguridad, conocidos como vulnerabilidades, entre ordenadores, infraestructura de red, software y
sistemas de hardware.

Pasos para la detección de vulnerabilidades de cualquier red

Identifique y realice el enfoque de su empresa o industria, por ejemplo, cómo está estructurado y
administrado.
Rastree todas las medidas de seguridad existentes que ya están implementadas.
Clasifique los servidores virtuales y físicos que ejecutan las aplicaciones comerciales esenciales.
Inspeccione la red para cualquier vulnerabilidad.
Rastree los datos, sistemas y aplicaciones que se ejercen a lo largo de la práctica de la empresa.
Examine las fuentes de datos no observadas capaces de permitir una entrada simple a la información
protegida.
Identifique los sistemas y dispositivos vulnerables
¿El sistema de TI (tecnología de información) de su empresa es vulnerable a los malware? ¿Podrían
vulnerar la seguridad de sus datos incluso dañarlos? Los servicios de detección de vulnerabilidades de
spidernext pueden ayudarle a responder estas preguntas importantes, trazando una ruta que permita
aumentar el nivel de seguridad informática y resiliencia a los ciberataques de su negocio.
Además de identificar las vulnerabilidades, la herramienta spidernext proporciona una clasificación de
nivel de criticidad y una orientación en la resolución de los riesgos para garantizar que sus equipos
técnicos tengan la información necesaria para priorizar los esfuerzos de mitigación.

La herramienta para detectar vulnerabilidades evaluará su:

Red
Servidores
Enrutadores
Dispositivos móviles
Sitios web
Aplicaciones web
Estrategias para crear su evaluación de vulnerabilidad cibernética
Al igual que las personas tienen huellas digitales únicas, cada empresa tiene su huella digital única.
Incluso cuando existen superposiciones, las empresas ofrecen productos diferenciados, establecen
infraestructuras de TI personalizadas y recopilan su propio conjunto de proveedores externos. Mientras
que una gran empresa podría ofrecer servicios a través de una nube privada, las empresas más pequeñas
podrían estar utilizando una infraestructura de nube pública / local híbrida.

Para la seguridad cibernética, estas estrategias pueden ayudarle a crear un enfoque “justo” para desarrollar
su lista de verificación de evaluación de vulnerabilidad cibernética.

¿Qué es una evaluación de vulnerabilidad cibernética?

Una evaluación de seguridad informática o ciberseguridad, también podría ser llamada evaluación de
seguridad cibernética, comienza por identificar los activos TI que forman parte de la infraestructura de la
organización, el hardware, el software y las aplicaciones, para luego realizar pruebas de penetración o
escaneos de vulnerabilidad para determinar el riesgo de seguridad de la información asociado con estos
activos TI, incluyendo, pero no limitado la seguridad de aplicaciones web.

¿Cuáles son los beneficios de una evaluación de vulnerabilidad cibernética?

Después de identificar y evaluar las amenazas potenciales como parte de la evaluación de
vulnerabilidades, la organización puede participar en estrategias que fortalezcan su postura de seguridad
informática. Además, los requisitos de cumplimiento de ciberseguridad requieren cada vez más que las
organizaciones supervisen continuamente las debilidades de control y las nuevas amenazas que afectan sus
perfiles de seguridad y cumplimiento.

Desarrollar su evaluación de vulnerabilidad informática significa comprender los riesgos que afectan su
negocio.
(Spider next, 2020 )

Remediación de vulnerabilidades.

Los programas de gestión de vulnerabilidades parecen diferentes dependiendo de los recursos disponibles
y los riesgos específicos a los que se enfrentan las organizaciones. Si bien, tanto la identificación como la
evaluación de posibles amenazas son pasos importantes, en lo que más tiempo se invierte es realmente el
tratamiento de la vulnerabilidad.

Aquí es donde la remediación y la mitigación entran en juego. Ambos son enfoques diferentes para tratar
una vulnerabilidad, y cada uno tiene sus propios méritos dependiendo de la vulnerabilidad específica con
la que se está tratando.
En este artículo, vamos a profundizar en las principales diferencias entre los conceptos de mitigación y
remediación de vulnerabilidades.

Remediación vs. mitigación: ¿cuáles son las diferencias?

Una vez descubierta la vulnerabilidad, la solución ideal es remediarla: arreglar o parchear la
vulnerabilidad antes de que pueda llegar a ser una amenaza de seguridad. Por lo general, es el equipo de
seguridad de una organización, los propietarios de los sistemas y los administradores de sistemas quienes
se reúnen para determinar qué acciones son las más apropiadas.

Sin embargo, a veces la remediación no es posible por varias razones. En primer lugar, no todas las
vulnerabilidades necesitan ser reparadas. Por ejemplo, si la vulnerabilidad se identifica en Adobe Flash
Player, pero el uso de Flash Player está ya deshabilitado en todos los navegadores y aplicaciones de la
compañía, no hay necesidad de actuar. Por otro lado, a veces puede que no se puedan tomar medidas de
remediación por un desafío tecnológico, por ejemplo, porque no se dispone de un parche para la
vulnerabilidad en cuestión.

Cómo facilitar la remediación vs. la mitigación

La remediación y la mitigación son dos herramientas importantes que proporcionan un control continuo
del negocio. Pero, la mayoría de las veces, eliminar vulnerabilidades no tiene un único enfoque. Puede
requerir esfuerzos de múltiples equipos y el tiempo es a menudo esencial en estos casos. La
automatización puede ser de gran ayuda para una gestión efectiva de la vulnerabilidad, tanto en lo que
respecta a la remediación como a la mitigación.
(ingecom, 2020)

¿Qué son las herramientas de gestión y análisis de vulnerabilidades?

Las herramientas de gestión y análisis de vulnerabilidades sirven para tener una visión clara de todos los
sistemas que pueden estar afectados por una o múltiples vulnerabilidades las cuales deberían ser
solucionadas, ya que podrían ser un posible vector para un atacante malintencionado que quiera
comprometer a los activos de dicha empresa.

Un proceso general de gestión de vulnerabilidades como tal es un proceso que consiste en identificar las
vulnerabilidades, evaluar su criticidad y corregirlas para que los sistemas de la información sean más
seguros.
NESSUS
Esta herramienta sirve para gestionar escaneos de las vulnerabilidades de los sistemas,
independientemente del sistema operativo que soporten (Windows, Mac, Linux etc.). Además, es capaz de
encontrar errores de configuración en dichos sistemas de información, ya sea por falta de actualizaciones
en el software instalado como por errores humanos en su despliegue.

El software, también es capaz de detectar procesos web y puertos que puedan contener sesiones de usuario
maliciosas. Cabe recordar que anteriormente Nessus se llamaba Openvas.

A continuación, mostramos a grandes rasgos cómo funciona la herramienta y qué partes son claves de cara
al análisis y gestión de las vulnerabilidades.

¿COMO SE CONFIGURA UN ESCANEO?

Como se puede apreciar en la primera imagen debemos de añadir una plantilla base para hacer el escaneo,
dicha plantilla define cómo queremos que actúe el escáner, si queremos que afecte a unos determinados
puertos, o que sea un escaneo básico. Nessus ofrece diferentes plantillas para poder lanzar un escaneo, o
simplemente se puede configurar una plantilla a nuestro gusto en cada caso.

Seguidamente, solo faltará configurar el escaneo añadiendo su nombre y los objetivos (IP, dominios) a
escanear y decidir si se quiere lanzar ahora o si bien se programa para que se lance un día u hora en
concreto.
QUALYS
La otra herramienta que queríamos mostraros es Qualys. Esta herramienta es muy usada en entornos
empresariales porque ofrece una visión extensa de las vulnerabilidades y facilita muchas alternativas de
visualización de estas. De este modo, lo que nos aporta es un control exhaustivo, basado en inventario, lo
que nos permite no perder de vista en ningún momento las criticidades o los riesgos que pueden llegar a
tener cada una de las vulnerabilidades detectadas.

ANÁLISIS PREVIO
Con esta herramienta podemos hacer un análisis previo para saber cuántos activos tenemos antes de hacer
el escaneo, eso se llamaría un map scan, lo que hace es ver cuántos activos en esa red responden a una
simple petición para después poder escanearlos con la certeza de que no estarán caídos o sin funcionar.

¿COMO SE CONFIGURA UN ESCANEO?

Una vez hecho el análisis previo de los activos que están levantados ya podríamos lanzar el escaneo de
vulnerabilidades como tal.
Podemos apreciar que es muy intuitivo y que casi es lo mismo que en el análisis previo, solo debemos
hacer hincapié en poner bien los rangos y/o los grupos de activos.
Cuando el escaneo termine podremos trabajar dicha información para remediarla, pero también para que
Qualys nos la muestre de forma organizada y ver cuál es la más prioritaria para nuestro negocio o
simplemente ver cuál es más crítica para nuestros activos.

(A2secure, 2020)
CiberSecurity Frame work

Funcion:

La seguridad nacional y económica de los Estados Unidos depende del funcionamiento confiable de
infraestructura crítica. Las amenazas de ciberseguridad explotan la creciente complejidad de dichos
sistemas, colocando la economía, la seguridad pública y la salud en peligro. Al igual que el riesgo
financiero y de reputación, el riesgo de ciberseguridad afecta a los objetivos estratégicos de una compañía.
Puede aumentar los costos y afectar los ingresos; así como dañar la capacidad de una organización para
innovar, brindar servicios, ganar y mantener a los clientes.

Caracteristicas

Aplicación
CVE
 Conclusiones y reflexión del taller

Es necesario conocer con que servicios y funciones cuenta cada sitio web con el fin de que nos permitan
conocer a cabalidad que podremos realizar o como podemos hacer buen uso de la pagina.

 Referencias bibliográficas

Bibliografía
A2secure. (10 de 06 de 2020). A2secure . Obtenido de https://www.a2secure.com/blog-seguridad/
altp1972. (2 de 05 de 2019). wordpress. Obtenido de https://gsitic.wordpress.com/2018/01/19/bii13-seguridad-fisica-y-logica-
de-un-sistema-de-informacion-riesgos-amenazas-y-vulnerabilidades-medidas-de-proteccion-y-aseguramiento-
auditoria-de-seguridad-fisica/
ingecom. (20 de 04 de 2020). ingecom. Obtenido de https://www.ingecom.net/es/blog/75/remediacion-vs-mitigacion-de-
vulnerabilidades-cual-es-la-diferencia/
Redes Zone. (10 de 10 de 2017). Redes Zone. Obtenido de https://www.redeszone.net/2017/11/21/top-10-vulnerabilidades-
2017-owasp/
Redes Zone. (s.f.). Redes Zone.
Spider next. (10 de 10 de 2020 ). Spider next. Obtenido de https://spidernext.com/deteccion-de-vulnerabilidades/#:~:text=La
%20evaluación%20o%20detección%20de,software%20y%20sistemas%20de%20hardware.