UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA

FACULTAD DE INGENIERÍAS

PROGRAMA ACADÉMICO DE
INGENIERÍA DE COMPUTACIÓN Y SISTEMAS

TÍTULO
ANÁLISIS DE VULNERABILIDAD DE INFORMACIÓN EN LA
EMPRESA MAKRO, DE LA CIUDAD DE ICA.

CURSO
CIBERSEGURIDAD

ICA - PERÚ
2024

PROFESOR DEL CURSO

 2

Mg. JHON ALEX ROMERO LOVERA

PRESENTADO POR LOS ESTUDIANTES

● CHUMBES ESPINOZA MARCO ANTONIO
● HUARCAYA SIFUENTES JOSE MARÍA
● SALCEDO HUAROTE ANDRÉS ALONSO

CICLO:
● VII
 3

ANÁLISIS DE VULNERABILIDAD DE
INFORMACIÓN EN LA EMPRESA MAKRO,
DE LA CIUDAD DE ICA.
 4

INTRODUCCIÓN

En un mundo cada vez más digital y conectado, la seguridad de la información se ha

convertido en una cuestión crítica para las empresas de todos los tamaños y de todos los

sectores. En este contexto, el análisis de vulnerabilidad de la información se ha convertido en

una herramienta esencial para identificar y mitigar los riesgos y amenazas potenciales que

podrían comprometer la integridad, confidencialidad y disponibilidad de los datos críticos de

una empresa.

El objetivo de este proyecto de investigación es llevar a cabo un análisis de vulnerabilidad

específico para Makro, con sede en Ica, una conocida empresa internacional de venta al por

mayor y al por menor que se enfrenta a retos cada vez mayores en términos de seguridad de

la información, donde la proliferación de ciberataques, la mala gestión de los datos y otras

amenazas potenciales pueden suponer un riesgo significativo para las operaciones y la

reputación de la empresa.

A través de este estudio, hemos pretendido identificar y evaluar las posibles vulnerabilidades

de la información en los sistemas, procesos y prácticas de Makro en Ica. Para lograr este

objetivo, hemos utilizado metodologías y herramientas reconocidas en el campo de la

seguridad de la información con el fin de formular recomendaciones específicas para reforzar

la postura de seguridad de la empresa y proteger eficazmente sus activos de información.

El Análisis de Vulnerabilidad de la Información que presenta la empresa Makro no sólo

ayudará a mejorar la seguridad interna de la empresa, sino que también proporcionará

valiosos conocimientos que podrán aplicarse a otras organizaciones del sector, contribuyendo

así a la protección de datos y la mitigación de riesgos en el entorno empresarial actual.

 5

ÍNDICE
INTRODUCCIÓN 4
CAPÍTULO I 6
1.1 Descripción de la Empresa 6
1.2 Planteamiento del Problema 7
1.3 Objetivo General 7
1.4. Objetivos Específicos 7
1.5 Justificación 7
1.6 Limitaciones 8
CAPÍTULO II 8
2.1 Marco teórico 8
2.1.1 Antecedentes Nacionales 8
2.1.2. Antecedentes Internacionales 9
2.2 Bases Teóricas 11
2.2.1 Ciberseguridad 11
2.2.2 Seguridad de la información 11
2.2.3 Vulnerabilidad de la información 11
2.2.4 Análisis de vulnerabilidades 12
2.2.5 Kali Linux 12
2.2.6 Sistema de Gestión de Seguridad de Información 12
2.2.7 Protocolos de seguridad de redes 13
2.2.8 Criptografía y cifrado de datos 14
2.2.9 Autenticación y control de acceso 14
2.2.10 Seguridad en la nube 15
2.2.11 Auditoría de seguridad informática 15
2.2.12 Leyes y regulaciones de seguridad informática 15
2.2.13 Ingeniería social 16
2.2.14 Ataques de phishing 16
2.2.15 Protección de datos personales 16
 6

2.2.16 Gestión de incidentes de seguridad informática 17

2.2.17 Técnicas de hacking ético y pruebas de penetración 17
2.2.18 Seguridad en aplicaciones web 18
2.2.19 Seguridad en dispositivos móviles 18
2.2.20 Seguridad en sistemas operativos 19
2.2.21 Gestión de riesgos de seguridad informática 19
2.3. Diseño metodológico 20
CAPÍTULO III 21
3.1. Análisis 21
3.1.1. Informe de riesgos 21
3.1.2. Propuesta 22
3.1.3. Plan de continuidad de negocio 23
Conclusiones 24
Recomendaciones 25
Referencias bibliográficas 26
 7

CAPÍTULO I

1.1 Descripción de la Empresa

Makro es una cadena mayorista que forma parte del grupo holandés SHV (Steenkolen

Handels Vereeniging). Creada en 1968 en Ámsterdam, en Latinoamérica Makro cuenta

con 23 tiendas en Brasil, 23 tiendas en Argentina, 22 en Colombia y 37 en Venezuela.

En el país está presente en 13 ciudades, con áreas de venta entre 4.000 y 9.900 metros

cuadrados. Makro se ha destacado por ofrecer una amplia gama de productos, incluyendo

alimentos frescos, productos no alimenticios, artículos de limpieza, electrodomésticos y

más, tanto para empresas como para consumidores individuales. Con una trayectoria

sólida en el mercado, Makro se ha posicionado como un proveedor confiable y un

referente en la industria, sirviendo a clientes en Ica y sus alrededores.

1.2 Planteamiento del Problema

A pesar de su posición consolidada en el mercado, la empresa Makro enfrenta desafíos

significativos en cuanto a la seguridad de la información. La creciente amenaza de

ciberataques, la gestión inadecuada de datos y otras vulnerabilidades potenciales pueden

poner en riesgo la integridad, confidencialidad y disponibilidad de la información crítica

de la empresa. Por lo tanto, es fundamental identificar y abordar estas vulnerabilidades

para garantizar la protección adecuada de los activos de información de Makro en Ica.

1.3 Objetivo General

Realizar un análisis de vulnerabilidad de información en la empresa Makro, Ica.

1.4. Objetivos Específicos

Analizar las posibles vulnerabilidades presentes en los sistemas, procesos y prácticas de

seguridad de Makro.
 8

Evaluar el impacto potencial de las vulnerabilidades identificadas en la seguridad de la

información de Makro.

Proporcionar recomendaciones específicas para mitigar y gestionar eficazmente las

vulnerabilidades identificadas.

1.5 Justificación

La justificación para analizar las vulnerabilidades de la página web de Makro, además de

los sistemas internos, radica en la creciente importancia de la presencia digital de las

empresas en el entorno actual. La página web de Makro no solo sirve como una

plataforma de ventas en línea, sino también como un canal crucial de comunicación e

interacción con clientes y socios comerciales. Dada la naturaleza cada vez más

sofisticada de los ciberataques, es fundamental asegurar que la página web de Makro esté

protegida contra posibles vulnerabilidades que podrían comprometer la seguridad de los

datos de los usuarios, la integridad de la información y la reputación de la empresa.

1.6 Limitaciones

La disponibilidad de recursos financieros y tecnológicos para llevar a cabo el análisis de

vulnerabilidad.

La colaboración y disponibilidad de los empleados de Makro para proporcionar

información relevante durante el proceso de análisis.

Limitaciones en cuanto al alcance temporal y geográfico del estudio, centrándose

específicamente en la empresa Makro en Ica.

 9

CAPÍTULO II

2.1 Marco teórico

2.1.1 Antecedentes Nacionales

Sanchez Rueda, J. L. (2023). Análisis de vulnerabilidades e incidencias en la

seguridad informática de la empresa Crati EIRL. Este estudio se centra en la problemática

central de investigar el impacto del análisis de vulnerabilidades en la gestión de incidencias

en la seguridad informática dentro de una organización de servicios de tecnología. Se basa en

estudios previos realizados por varios autores que han abordado problemáticas similares, lo

que sirve como base para el desarrollo de esta investigación. El objetivo principal de esta tesis

es establecer la relación entre los incidentes de seguridad informática en la empresa

mencionada y las vulnerabilidades. Para lograr este propósito, se utilizó una técnica

cuantitativa junto con una estrategia de investigación aplicada y un diseño preexperimental.

Se consideraron los requisitos esenciales y la importancia del análisis de vulnerabilidades en

la seguridad informática. Se argumenta que contar con una herramienta sólida para mejorar la

seguridad informática puede contribuir a un mejor diseño y comprensión en la ejecución del

análisis de vulnerabilidades e incidencias. Esto podría resultar en mejoras significativas en

indicadores clave, como el Índice de Vulnerabilidades Corregidas, el Índice de

Vulnerabilidades No Corregidas, el Tiempo de Resolución de Incidencias y el Nivel de

Incidencias Atendidas.

Neyra Hidalgo, A. W. (2023). Implementación de un modelo de análisis de

vulnerabilidades y riesgos de la aplicación Web de SOAINT SAC–Lima; 2023. Esta tesis se

desarrolló en base a la línea de investigación de sistemas de información y comunicaciones de

la Escuela Profesional de Ingeniería de Sistemas de la Universidad Católica los Ángeles de

Chimbote. La problemática abordada se centra en los ataques a aplicaciones web que exponen
 10

información sensible, motivando la necesidad de una evaluación de vulnerabilidades. El

objetivo es implementar un modelo de análisis de vulnerabilidades y riesgos en la aplicación

web para protegerla de amenazas y ataques. La metodología fue cuantitativa, descriptiva, no

experimental y transversal, utilizando encuestas como técnica y cuestionarios como

instrumento. Se concluyó que es necesaria la implementación del modelo para proteger la

aplicación web de posibles amenazas y ataques en SOAINT S.A.C – Lima; 2023.

2.1.2. Antecedentes Internacionales

Canahuire Chambi, S. G. (2020). Análisis y solución de vulnerabilidad de seguridad

en aplicaciones web y métodos de protección anti robot y HTTP request. La investigación en

cuestión tiene como objetivo principal mejorar el proceso de gestión y supervisión de

posibles ataques por parte de hackers o programadores no autorizados que buscan acceder a la

información de nuestros servidores de datos. Esto se logrará mediante la implementación de

un sistema web diseñado para administrar los privilegios de seguridad de manera flexible, sin

depender exclusivamente de un solo servidor web. El propósito fundamental de este sistema

es facilitar el registro, validación, evaluación y divulgación de resultados e información

relacionada con las aplicaciones alojadas en el servidor. Este proyecto se caracteriza por su

enfoque descriptivo, que detalla las vulnerabilidades de seguridad identificadas y propone los

mejores esquemas de protección, priorizando la adaptabilidad durante todo el ciclo de vida

del software y las aplicaciones en la nube, en lugar de la previsibilidad estática. Mediante una

prueba de auditoría realizada en ejemplos seleccionados de páginas web, se concluye que el

análisis de los casos evaluados proporciona resultados que permiten obtener una evaluación

de la seguridad y un listado de rendimiento para las solicitudes POST y GET, asumiendo una

transferencia de datos más eficiente.

 11

Ángel Espejo, J. P., Bernal Reinoso, C. A., & Segura Greco, M. A. (2020). Análisis
de

ciberseguridad para una empresa de educación virtual.

El crecimiento que ha tenido la empresa y sus aliados la ha llevado a identificar que es

necesario evaluar la seguridad de los recursos informáticos y digitales de la compañía, y a su

vez, que las políticas de seguridad creadas en un comienzo ya no hacen un cubrimiento actual

de sus necesidades. “La Compañía Training and Education” ha crecido en funciones, en

información y en usuarios lo que la lleva a la necesidad de poder brindar sus servicios con

seguridad a sus Y Aliados y así mismo a sus usuarios finales. El presente trabajo de grado

tiene como objetivo presentar el estudio de seguridad informática realizado a la empresa “La

Compañía / Y Aliados” en el marco de la Especialización en Seguridad de Redes Telemáticas

en la universidad El Bosque sede Bogotá. El estudio de seguridad informática realizado a la

empresa incluyó la realización de pruebas de identificación y análisis de vulnerabilidad a

equipos de cómputo, de red, web institucional, conexión a base de datos de clientes, análisis

de seguridad física y la verificación de las políticas de seguridad de la información existentes.

El objetivo fue realizar el análisis de tal manera que permitiera a la empresa definir y

visualizar cuál era el estado de sus activos informáticos y de información de manera que

pudiese posteriormente y por medio del informe entregado, definir un plan de trabajo para

mitigar los riesgos que arrojaron los estudios y las pruebas ejecutadas.

2.2 Bases Teóricas

2.2.1 Ciberseguridad

La ciberseguridad se define como "el conjunto de tecnologías, procesos y prácticas

diseñadas para proteger redes, computadoras, programas y datos de ataques, daños o acceso

no autorizado" (Smith, 2020, p. 10). En un mundo digital cada vez más interconectado, la

ciberseguridad se ha vuelto esencial para salvaguardar la integridad, confidencialidad y

 12

disponibilidad de la información. Esto implica no solo la implementación de medidas

técnicas, como firewalls y sistemas de detección de intrusiones, sino también la

concienciación y formación del personal para reconocer y prevenir amenazas cibernéticas.

2.2.2 Seguridad de la información

Según Whitman y Mattord (2018), la seguridad de la información se refiere a "la

protección de la información y los sistemas de información contra el acceso no autorizado, el

uso inapropiado, la alteración, la divulgación o la destrucción" (p. 5). Esto implica la

implementación de controles de acceso adecuados, políticas de seguridad claras, encriptación

de datos y la gestión proactiva de riesgos. Además, la seguridad de la información abarca la

identificación y clasificación de activos críticos, así como la evaluación continua de

amenazas y vulnerabilidades para adaptar las medidas de protección.

2.2.3 Vulnerabilidad de la información

García (2019) define la vulnerabilidad de la información como "la presencia de

debilidades en sistemas, redes o procedimientos que pueden ser explotadas por amenazas para

comprometer la seguridad de la información" (p. 25). Estas vulnerabilidades pueden surgir

debido a errores de diseño, configuraciones incorrectas o falta de actualizaciones de

seguridad. Es crucial realizar evaluaciones periódicas de vulnerabilidades y aplicar parches y

actualizaciones de seguridad para mitigar los riesgos asociados.

2.2.4 Análisis de vulnerabilidades

Según Gordon, Loeb y Lucyshyn (2020), el análisis de vulnerabilidades implica

"identificar, evaluar y priorizar las vulnerabilidades en sistemas informáticos y redes" (p. 15).

Esto incluye la utilización de herramientas automatizadas y técnicas manuales para detectar

posibles puntos de entrada para ataques. Además, el análisis de vulnerabilidades no se limita

 13

a la identificación de fallos de seguridad, sino que también evalúa el riesgo potencial

asociado a cada vulnerabilidad para priorizar las acciones correctivas.

2.2.5 Kali Linux

Ali (2019) describe Kali Linux como "una distribución de Linux diseñada

específicamente para pruebas de penetración y evaluación de seguridad" (p. 3). Además de su

amplia gama de herramientas preinstaladas, Kali Linux ofrece una plataforma robusta y

flexible para realizar pruebas de seguridad en diversos entornos. Su comunidad activa y su

constante actualización lo convierten en una herramienta invaluable para profesionales de

seguridad y administradores de sistemas.

2.2.6 Sistema de Gestión de Seguridad de Información

El estándar ISO/IEC 27001:2013 define un Sistema de Gestión de Seguridad de la

Información (SGSI) como "un enfoque sistemático para establecer, implementar, operar,

monitorear, revisar, mantener y mejorar la seguridad de la información en una organización"

(ISO/IEC 27001:2013, p. 2). La implementación de un SGSI no solo garantiza el

cumplimiento de requisitos legales y reglamentarios, sino que también promueve una cultura

de seguridad en toda la organización. Esto incluye la asignación de responsabilidades claras,

la identificación de objetivos de seguridad, la evaluación de riesgos y la mejora continua del

sistema de gestión de la seguridad de la información.

2.2.7 Protocolos de seguridad de redes

Los protocolos de seguridad informática son un conjunto de directrices diseñadas para

impedir que personas no autorizadas accedan, alteren o borren datos sensibles. Existen

distintos tipos de protocolos de transferencia de archivos y de seguridad, los cuales cumplen

con ciertas especificaciones en dependencia del tipo de información que se utilice. (Santos,

2023)
 14

A continuación, se describen algunos de los protocolos de seguridad de redes más

importantes:

IPSec (Internet Protocol Security): Un conjunto de protocolos diseñados para asegurar

las comunicaciones a través de redes IP mediante la autenticación y cifrado de cada paquete

IP en un flujo de datos. IPSec se utiliza comúnmente para crear redes privadas virtuales

(VPN).

SSL/TLS (Secure Sockets Layer / Transport Layer Security): Protocolos

criptográficos que proporcionan comunicaciones seguras a través de una red. SSL y su

sucesor TLS se utilizan ampliamente para asegurar las transacciones en línea, como las

compras y la banca electrónica.

SSH (Secure Shell): Un protocolo que proporciona una manera segura de acceder a

una computadora remota. SSH cifra la sesión de conexión y autentica a los usuarios,

protegiendo la información transmitida contra intercepciones y ataques.

HTTPS (HyperText Transfer Protocol Secure): Una versión segura del protocolo

HTTP. HTTPS utiliza SSL/TLS para cifrar las comunicaciones entre el navegador del usuario

y el servidor web, protegiendo la información sensible como los datos de inicio de sesión y

los detalles de las tarjetas de crédito.

WPA/WPA2 (Wi-Fi Protected Access): Protocolos de seguridad para redes

inalámbricas. WPA y su sucesor WPA2 mejoran la seguridad de las redes Wi-Fi mediante el

uso de cifrado robusto y autenticación, protegiendo la red contra accesos no autorizados.

RADIUS (Remote Authentication Dial-In User Service): Un protocolo de

autenticación y autorización utilizado para gestionar el acceso a las redes. RADIUS se utiliza
 15

comúnmente en redes corporativas para proporcionar acceso seguro a los empleados y

dispositivos.

2.2.8 Criptografía y cifrado de datos

La criptografía convierte texto claro en texto ilegible y viceversa, permitiendo que

solo los destinatarios autorizados accedan y procesen la información. Protege los datos contra

robos y alteraciones y se usa también para la autenticación de usuarios. Emplea algoritmos y

claves para cifrar y descifrar datos, garantizando una comunicación segura, incluso ante la

presencia de terceros. Un algoritmo es seguro si un atacante no puede deducir el texto claro o

la clave a partir del texto cifrado. (Sáez, 2022)

2.2.9 Autenticación y control de acceso

La autenticación verifica la identidad de los usuarios para evitar accesos no

autorizados. La contraseña es la forma más común de autenticación, pero se están adoptando

métodos adicionales como los códigos OTP y el inicio de sesión único (SSO) para mejorar la

seguridad. Los códigos OTP proporcionan una capa adicional de protección mediante una

secuencia alfanumérica única, mientras que el SSO permite acceder a múltiples recursos sin

tener que ingresar credenciales repetidamente. (Fernández, 2023)

2.2.10 Seguridad en la nube

La seguridad en la nube se enfoca en proteger la infraestructura, aplicaciones y datos

almacenados en entornos basados en la nube contra ataques cibernéticos y errores. Aunque la

computación en la nube ofrece ventajas como la accesibilidad y la colaboración, también

presenta desafíos en términos de seguridad, requiriendo medidas adecuadas para garantizar la

protección de la información. (Walsh, 2023)

 16

2.2.11 Auditoría de seguridad informática

Una auditoría de seguridad informática evalúa el estado de los sistemas informáticos,

políticas de seguridad y cumplimiento del personal en una empresa. Puede incluir pruebas

técnicas, revisiones de controles para certificaciones y evaluaciones internas o externas. El

objetivo es proporcionar un informe detallado que destaque los equipos analizados, el

cumplimiento de normas de seguridad, la eficacia de los sistemas de seguridad y posibles

vulnerabilidades. (Armando,2023)

2.2.12 Leyes y regulaciones de seguridad informática

El Reglamento General de Protección de Datos (RGPD) es una regulación de la Unión

Europea que se implementó para proteger la privacidad y los datos personales de los

ciudadanos de la UE1. “El Reglamento general de protección de datos (RGPD), que entró en

vigor el 25 de mayo de 2018, es una ley integral de privacidad de datos, que establece un

marco para la recopilación, el tratamiento, el almacenamiento y la transferencia de datos

personales” (Cloudflare, 2021).

La Ley de Privacidad del Consumidor de California (CCPA) es un estatuto estatal

convertido en ley en 2018 con la intención de mejorar los derechos de privacidad y la

protección del consumidor para los residentes del estado2. “La Ley de Privacidad del

Consumidor de California (CCPA) busca dar a los usuarios más control sobre la información

personal que recopilan las empresas” (Didomi, 2023).

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley

federal de Estados Unidos que establece la norma para la privacidad, seguridad y

confidencialidad de la información de salud protegida (PHI). “HIPAA es un acrónimo de la

Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996. Es una ley

estadounidense desarrollada por el Departamento de Salud y Servicios Humanos que

 17

establece estándares para proteger nuestros registros médicos y otra información de salud”

(Estudyando, 2020).

2.2.13 Ingeniería social

La ingeniería social es una táctica de manipulación psicológica utilizada por actores

de amenazas para llevar a cabo ataques, ya sea en línea o en persona. Estos ataques explotan

debilidades humanas en lugar de vulnerabilidades técnicas, y pueden incluir phishing,

pretexting y manipulación para obtener información confidencial con fines maliciosos.

(Trevino, 2023)

2.2.14 Ataques de phishing

El phishing es un tipo de ataque cibernético en el que los delincuentes se hacen pasar

por entidades legítimas para engañar a las víctimas y obtener información confidencial. Usan

técnicas de ingeniería social a través de correos electrónicos, mensajes de texto o llamadas

para manipular psicológicamente a las víctimas y obtener datos sensibles (Trevino, 2023).

2.2.15 Protección de datos personales

La protección de datos personales es esencial proteger los datos personales por tres

razones clave: preservar la privacidad como un derecho fundamental, evitar el uso

malintencionado de la información personal y salvaguardar la seguridad nacional y la

estabilidad económica al prevenir actividades ilícitas y el acceso no autorizado a datos

sensibles. (Gonzales, 2024)

2.2.16 Gestión de incidentes de seguridad informática

La gestión de incidentes de seguridad informática busca mitigar rápidamente el

impacto de cualquier amenaza que ponga en peligro la seguridad de la organización. Por ello,

se sugiere elaborar un plan de gestión de incidentes que tenga un impacto positivo y directo
 18

en los costos generados por un incidente. Es recomendable implementar políticas y planes de

contingencia y continuidad que posibiliten una gestión completa de los incidentes de

seguridad informática. (Ruiz, 2022)

2.2.17 Técnicas de hacking ético y pruebas de penetración

El hacking ético y las pruebas de penetración son dos técnicas esenciales en el campo

de la ciberseguridad. Ambas se utilizan para evaluar la robustez de la ciberseguridad y

detectar vulnerabilidades antes de que sean explotadas por ciberdelincuentes.

El hacking ético es una disciplina esencial en el campo de la ciberseguridad. Los

hackers éticos son profesionales altamente capacitados que utilizan sus habilidades y

conocimientos para proteger los sistemas informáticos contra ataques maliciosos. “A través

de la identificación de vulnerabilidades, estos expertos pueden fortalecer la seguridad de los

sistemas y prevenir posibles ataques antes de que ocurran” (Moya, 2024).

Las pruebas de penetración son una parte fundamental de la estrategia de

ciberseguridad de cualquier organización. Estas simulaciones controladas permiten a los

hackers éticos evaluar la eficacia de las medidas de seguridad implementadas en un sistema y

descubrir posibles vulnerabilidades que podrían ser aprovechadas por ciberdelincuentes.

“Durante las pruebas de penetración, los hackers éticos utilizan una variedad de técnicas y

herramientas para simular ataques cibernéticos reales” (Moya, 2024).

Algunas de las técnicas más comunes utilizadas en el hacking ético y las pruebas de

penetración son:

 Análisis de vulnerabilidades: Los hackers éticos utilizan herramientas y técnicas

automatizadas para escanear sistemas informáticos en busca de vulnerabilidades

conocidas.
 19

 Ingeniería social: Esta técnica implica manipular a las personas para que revelen

información confidencial, como contraseñas o números de tarjetas de crédito.

 Pruebas de intrusión: Estas pruebas implican intentar violar las defensas de un

sistema para identificar posibles vulnerabilidades.

 Análisis de código fuente: Esta técnica implica revisar el código fuente de una

aplicación para identificar posibles problemas de seguridad.

 Pruebas de seguridad física: Estas pruebas implican intentar obtener acceso físico a

sistemas o instalaciones protegidas.

2.2.18 Seguridad en aplicaciones web

Dentro del ámbito de la ciberseguridad, la protección de aplicaciones web se enfoca

en proteger los sitios web, aplicaciones basadas en la web y servicios en línea de diversos

ataques maliciosos, asegurando su correcto funcionamiento y rendimiento. (Herrera, 2023)

2.2.19 Seguridad en dispositivos móviles

La seguridad en dispositivos móviles es esencial porque almacenan gran cantidad de

información personal y confidencial, haciéndolos objetivos para ciberataques. Su portabilidad

y conexión a redes no seguras aumentan su vulnerabilidad a amenazas como software

malicioso y robo de identidad. Además, los procedimientos como el rooting los hacen más

susceptibles. Por tanto, es crucial proteger estos dispositivos y la información que contienen,

especialmente si son utilizados en entornos empresariales o almacenan datos sensibles.

(Santos, 2023)

2.2.20 Seguridad en sistemas operativos

Windows: El sistema operativo Windows ofrece una serie de características de

seguridad para proteger el sistema y la información del usuario. “Windows 11 es el Windows

más seguro a la fecha, con amplias medidas de seguridad diseñadas para ayudarle a
 20

mantenerse a salvo. Estas medidas incluyen cifrado avanzado y protección de datos

integrados, seguridad sólida de la red y del sistema, y medidas de seguridad inteligentes

frente a amenazas en constante evolución” (Microsoft, 2023).

Linux: Linux es conocido por su robustez en seguridad y rendimiento. “Las

sofisticadas protecciones en tiempo de ejecución de macOS funcionan en todos los niveles de

la Mac para proteger el sistema contra softwares maliciosos. Esto comienza con un software

antivirus de última generación integrado, que se encarga de bloquear y eliminar el software

malicioso” (Solvetic, 2013).

macOS: macOS es un sistema operativo que se destaca por su seguridad y privacidad.

“Diseñamos el hardware y el software de la Mac con avanzadas tecnologías que trabajan en

conjunto para ejecutar apps con mayor seguridad, cuidar tu información y protegerte cuando

navegas por Internet” (Apple, 2014)

2.2.21 Gestión de riesgos de seguridad informática

La gestión de riesgos de ciberseguridad es un proceso empresarial que identifica,

analiza, mide y maneja riesgos relacionados con la seguridad de la información,

implementando controles preventivos para reducir su impacto. Su objetivo es proteger a las

empresas de ciberataques que podrían causar graves pérdidas financieras. Las características

clave incluyen evitar actividades riesgosas, reducir la probabilidad de riesgos, transferir

riesgos a otras entidades y crear planes de contingencia. Este enfoque preventivo debe

aplicarse en toda la cadena de valor de la empresa, desde el desarrollo hasta la eliminación de

productos o servicios. (Espinoza, 2022).

2.3. Diseño metodológico

El tipo de investigación que guiará este proyecto es la investigación aplicada, ya que

busca resolver problemas específicos y generar conocimiento con una aplicación práctica en
 21

un contexto determinado. En este caso, la aplicación práctica se centra en la evaluación de la

seguridad informática de la empresa Makro, mediante el análisis de vulnerabilidades en su

página web utilizando Kali Linux. La investigación aplicada es idónea para este proyecto, ya

que se busca identificar y mitigar posibles riesgos de seguridad informática en un entorno

empresarial concreto.

El diseño de investigación seleccionado para este proyecto es el diseño experimental. Este

diseño permite manipular deliberadamente una o más variables para observar los efectos que

tienen sobre otras variables y establecer relaciones causales. En este caso, se manipularán las

técnicas de análisis de vulnerabilidad utilizando Kali Linux para evaluar su efectividad en la

identificación y evaluación de vulnerabilidades en la página web de Makro. El diseño

experimental proporciona un marco sólido para obtener conclusiones precisas sobre la

eficacia de estas técnicas en el contexto específico de seguridad informática de la empresa.

 22

CAPÍTULO III

3.1. Análisis

3.1.1. Informe de riesgos

En el análisis de riesgos, se empleará Kali Linux y Nmap para llevar a cabo un

escaneo exhaustivo de la red y la página web de Makro, ICA, con el fin de

identificar posibles vulnerabilidades y puntos débiles en su seguridad informática.

Se documentarán detalladamente todas las vulnerabilidades detectadas, se

evaluará su impacto potencial en la seguridad de la información y se

proporcionarán recomendaciones específicas para mitigar los riesgos

identificados, con el objetivo de establecer un plan de mejora de la seguridad

informática de la empresa.

Como análisis en el informe, hemos utilizado la herramienta Kali Linux en el cual

se puede visualizar lo siguiente:

Figura 1
 23

Análisis de las vulnerabilidades

Fuente: Kali Linux

El análisis realizado en la página web utilizando Kali Linux revela varias características y

posibles problemas relacionados con la configuración y seguridad del servidor web.

Servidor Nginx y Versión: Se identifica que el servidor web utilizado es Nginx, con una

versión específica 1.23.2.

Headers Recuperados: Se recupera información de los headers HTTP de la página principal

("/"), incluyendo la presencia de "X-Powered-By" que indica que la página está desarrollada

con Next.js, un framework de desarrollo web, y "Access-Control-Allow-Origin" que permite

a recursos de origen cruzado ser solicitados desde el dominio de origen especificado.

Cookies Inseguras: Se detecta que se han creado cookies sin el uso de las banderas "secure"

y "httponly", lo que podría potencialmente exponer la información de autenticación y sesión

del usuario a ataques de intercepción.

Header Inusual: Se encuentra un encabezado "X-Nextjs-Cache" con el contenido "HIT", lo

que sugiere un uso de caché en el servidor.

 24

Falta de X-Content-Type-Options: Se identifica que el encabezado "X-Content-

TypeOptions" no está configurado, lo que podría permitir que los agentes de usuario

rendericen el contenido del sitio de una manera diferente al tipo MIME especificado, lo que

podría ser explotado por atacantes para realizar ataques de tipo MIME.

3.1.2. Propuesta

La propuesta se centrará en la implementación de medidas correctivas y preventivas para

abordar las vulnerabilidades identificadas durante el análisis de seguridad de la página web de

Makro, ICA. Esto incluirá la configuración adecuada de los headers HTTP, la corrección de

las cookies inseguras, la actualización de software y parches, y la implementación de políticas

de seguridad adicionales para fortalecer la infraestructura informática de la empresa.

3.1.3. Plan de continuidad de negocio

El plan de continuidad de negocio se desarrollará con el objetivo de garantizar la

disponibilidad y funcionalidad continua de los sistemas informáticos de Makro, ICA, incluso

en caso de incidentes de seguridad cibernética. Este plan incluirá:

Evaluación de riesgos y vulnerabilidades: Se llevará a cabo una evaluación

exhaustiva de los riesgos y vulnerabilidades relacionados con la seguridad cibernética para

identificar y priorizar las áreas de mejora.

Medidas preventivas y de protección: Se implementarán medidas preventivas y de

protección para mitigar los riesgos identificados, incluyendo la actualización regular de

software, la aplicación de políticas de seguridad robustas y la formación del personal en

mejores prácticas de seguridad informática.

Plan de respuesta a incidentes cibernéticos: Se establecerá un plan detallado para

responder eficazmente a incidentes cibernéticos, incluyendo la asignación de roles y

 25

responsabilidades, la notificación de incidentes, la contención de la brecha de seguridad y la

recuperación de datos.

Pruebas y actualizaciones del plan de continuidad de la ciberseguridad: El plan

de continuidad de la ciberseguridad se someterá a pruebas periódicas para garantizar su

eficacia y se actualizará regularmente para adaptarse a los cambios en el entorno de amenazas

y en la infraestructura informática de la empresa.

Conclusiones

 Identificación de Vulnerabilidades Críticas: El análisis de seguridad reveló la presencia

de varias vulnerabilidades críticas en la página web de Makro, ICA, como la falta de

configuración adecuada de headers HTTP y cookies inseguras, lo que podría exponer la

información confidencial de los usuarios a riesgos de seguridad.

 Importancia de la Actualización de Software: Se evidenció la necesidad de mantener

actualizados todos los sistemas y software utilizados en la infraestructura de la empresa

para mitigar vulnerabilidades conocidas y garantizar la seguridad continua del sistema.

 Necesidad de Políticas de Seguridad Robustas: Se resalta la importancia de establecer

políticas de seguridad robustas, incluyendo la autenticación de dos factores, la gestión de

contraseñas seguras y la formación del personal en concienciación sobre seguridad

informática, para proteger los activos de información de la empresa.

 Promoción de una Cultura de Seguridad: Se destaca la importancia de promover una

cultura de seguridad informática en toda la organización, a través de la formación del

personal en prácticas de seguridad cibernética y la implementación de medidas de

concienciación sobre seguridad.

 26

 Desarrollo de Planes de Continuidad de Negocio y Respuesta a Incidentes: Se subraya la

necesidad de desarrollar planes de continuidad de negocio y respuesta a incidentes

cibernéticos detallados, que incluyan medidas de respuesta eficaces como la notificación

de incidentes, la contención de la brecha de seguridad y la recuperación de datos, para

garantizar la disponibilidad y funcionalidad continua de los sistemas informáticos de la

empresa incluso en caso de incidentes de seguridad cibernética.

Recomendaciones

 Configuración adecuada de headers HTTP: Se recomienda implementar los

encabezados HTTP faltantes, como "X-Content-Type-Options", para mejorar la

seguridad del sitio web y prevenir posibles ataques de tipo MIME.

 Mejora de las cookies: Se sugiere modificar las cookies para incluir las banderas

"secure" y "httponly", lo que ayudará a proteger la información de autenticación y

sesión de los usuarios contra ataques de intercepción.

 Actualización de software: Es importante mantener actualizados todos los sistemas y

software utilizados en la infraestructura de la empresa para mitigar vulnerabilidades

conocidas y garantizar la seguridad continua del sistema.

 Implementación de políticas de seguridad adicionales: Se recomienda establecer

políticas de seguridad robustas, incluyendo la autenticación de dos factores, la gestión

de contraseñas seguras y la formación del personal en concienciación sobre seguridad

informática.

 Desarrollo de un plan de continuidad de negocio y respuesta a incidentes cibernéticos:

Se insta a la empresa a desarrollar un plan de continuidad de negocio detallado que

incluya medidas de respuesta a incidentes cibernéticos, como la notificación de

incidentes, la contención de la brecha de seguridad y la recuperación de datos.

27
 28

Referencias bibliográficas

1. Ali, S. (2019). Kali Linux Revealed: Mastering the Penetration Testing Distribution.

Offsec Press.

2. Ángel Espejo, J. P., Bernal Reinoso, C. A., & Segura Greco, M. A. (2020). Análisis

de ciberseguridad para una empresa de educación virtual.

3. Apple. (2014). macOS - Seguridad. https://www.apple.com/la/macos/security/

4. Armando, J. (2023). Auditoría de seguridad informática: Tipos, fases y ventajas.

DeltaProtect. https://www.deltaprotect.com/blog/auditoria-de-seguridad-informatica

5. Canahuire Chambi, S. G. (2020). Análisis y solución de vulnerabilidad de seguridad

en aplicaciones web y métodos de protección anti robot y HTTP request.

6. Cloudflare. (2021). ¿Qué es el Reglamento general de protección de datos (RGPD)?

https://www.cloudflare.com/es-es/learning/privacy/what-is-gdpr/

7. Didomi. (2023). La CCPA frente al RGPD: ¿Cuáles son las diferencias?

https://blog.didomi.io/es/ccpa-vs-gdpr

8. Espinoza, A. (2022). Gestión de riesgos informáticos: ¿Cómo proteger los datos de

tu empresa? iDric. Gestión de riesgos informáticos: ¿Cómo proteger los datos de tu

empresa? | iDric

9. Estudyando. (2020). ¿Qué es HIPAA? - Definición, requisitos y leyes.

https://estudyando.com/que-es-hipaa-definicion-requisitos-y-leyes/

10. Fernández, L. (2023). Qué significa autenticación y la autorización. RedesZone.

https://www.redeszone.net/tutoriales/seguridad/diferencias-autenticacion-

autorizacion/
 29

11. García, M. (2019). Vulnerabilidades de la información: identificación y gestión.

Editorial UOC.

12. Gonzales, D. (2024). La importancia de la ciberseguridad y la protección de datos

personales. Tusdatos. https://www.tusdatos.co/blog/la-importancia-de-la-

ciberseguridad-y-la-proteccion-de-datos-personales

13. Gordon, L. A., Loeb, M. P., & Lucyshyn, W. (2020). Análisis de vulnerabilidades y

gestión de riesgos de seguridad. Springer.

14. Herrera, D. (2023). Seguridad en aplicaciones web: Qué es, cómo funciona y los

mejores servicios. Hostinger Tutoriales.

https://www.hostinger.es/tutoriales/seguridad-en-aplicaciones-web

15. ISO/IEC 27001:2013. (2013). Sistemas de Gestión de Seguridad de la Información -

Requisitos. International Organization for Standardization.

16. Microsoft. (2023). Seguridad del sistema operativo de Windows.

https://learn.microsoft.com/es-es/windows/security/operating-system-security/

17. Neyra Hidalgo, A. W. (2023). Implementación de un modelo de análisis de

vulnerabilidades y riesgos de la aplicación Web de SOAINT SAC–Lima.

18. Perez, A. (2023). 5 técnicas de hacking ético para mejorar tu seguridad informática.

OBS Business School. https://www.obsbusiness.school/blog/5-tecnicas-de-hacking-

etico-para-mejorar-tu-seguridad-informatica

19. Ruiz, E. (2022). Gestión de incidentes de seguridad [Universidad de Costa Rica].

https://ci.ucr.ac.cr/gestion-incidentes-seguridad

20. Sáez, J. (2022). Qué es la criptografía y para qué sirve. IEBSchool.

https://www.iebschool.com/blog/que-es-la-criptografia-y-para-que-sirve-finanzas/
 30

21. Sánchez Rueda, J. L. (2023). Análisis de vulnerabilidades e incidencias en la

seguridad informática de la empresa Crati EIRL.

22. Santos, J. (2023). Protocolos de seguridad informática: ¿Cuáles son y cómo

implementarlos? DeltaProtect. https://www.deltaprotect.com/blog/protocolos-

seguridad-informatica

23. Santos, J. (2023). Seguridad de los dispositivos móviles: ¿Cómo protegerlos?

DeltaProtect. https://www.deltaprotect.com/blog/seguridad-dispositivos-moviles

24. Smith, J. (2020). Ciberseguridad: Principios y prácticas (2a ed.). McGraw-Hill

Education.

25. Solvetic. (2013). Las características de seguridad en Linux.

https://www.solvetic.com/page/recopilaciones/s/seguridad/las-caracteristicas-de-

seguridad-en-linux-r102

26. Trevino, A. (2023). ¿Son lo mismo el phishing y la ingeniería social? KEEPER.

https://www.keepersecurity.com/blog/es/2023/09/05/are-phishing-and-social-

engineering-the-same/

27. Walsh, D. (2023). Qué es la seguridad en la nube, por qué es importante y sus

riesgos. HubSpot. https://blog.hubspot.es/website/seguridad-en-la-nube#que-es

28. Whitman, M. E., & Mattord, H. J. (2018). Principios de seguridad de la información

y gestión de riesgos. Cengage Learning.