Análisis y posibles soluciones a incidentes en el
área de TI en la empresa SAS Security
Morales Novas Jesús Ángel
Universidad Nacional Abierta y a Distancia - UNAD
Bogotá D.C., Colombia
angelmornov@gmail.com ; jamoralesn@unadvirtual.edu.co
Resumen— La finalidad del presente documento es la de realizar
un trabajo en forma individual en la etapa inicial, fase 1, del curso
de “Seguridad en Sistemas Operativos”, que bajo la estrategia de
indagación, análisis y determinación, planteada por la
Universidad Nacional Abierta y a Distancia – UNAD, se debe
desarrollar una actividad con el fin de analizar la situación
presentada en las compañías que generan perdida de información
y afectan su productividad, determinando posibles soluciones de
acuerdo con las metodologías de Ethical Hacking, que para este
caso particular se tomó como referencia unos inconvenientes
presentados en el último año con los sistemas de información y
redes de comunicaciones en diversas sedes a nivel nacional de la
empresa SAS Security.
Palabras clave— Ethical Hacking, hardware, red, sistema
operativo, software, vulnerabilidades,
Abstract— The purpose of this document is to carry out a work
individually in the initial stage, phase 1, of the course
"Security in Operating Systems", that under the strategy of
inquiry, analysis and determination, proposed by the National
Open and Distance University - UNAD, an activity must be
developed in order to analyze the situation presented in the
companies that generate loss of information and affect their
productivity, determining possible solutions according to Ethical
Hacking methodologies, that for this particular case some
drawbacks presented in the last year with the information systems
and communications networks were taken as reference at the
national headquarters of the company SAS Security.
Keywords— Ethical Hacking, hardware, network, operating
system, software, vulnerabilities.
I. INTRODUCCIÓN
Todos los días vemos, escuchamos y leemos en los diversos
medios de comunicación, noticieros, programas de televisión,
de radio, periódicos, revistas, sobre ataques de hackers
planeados a través de organizaciones delictivas, hasta por
países, empresas o en forma individual, donde emplean diversas
metodologías y herramientas informáticas, para ingresar a
empresas, entidades gubernamentales, a personas, a nivel
nacional e internacional, donde estos delincuentes cibernéticos
están constantemente realizando penetraciones a las redes y
sistemas informáticos, con el fin de apoderasen de información
valiosa, estratégica para la toma de decisiones, de defensa, de
sistemas de armas, financiera, personal.
Pero muchas veces no hay una concientización sobre la
seguridad en las redes y en los sistemas de información, como
en el caso de la mayoría de las personas que somos usuarios
finales de tecnologías básicas como el computador y el celular,
por ejemplo el computador que tenemos en nuestro hogar en la
gran mayoría de casos no cuenta con un sistema operativo y
paquete de ofimática licenciado, y tenemos un antivirus de
prueba o gratuito, que no ofrece las mejores garantías de
seguridad y hemos instalado un sin número de programas o
aplicaciones que no sabemos qué tan seguros sean, en muchas
ocasiones abrimos los hipervínculos de correos electrónicos,
compartimos cadenas de información, imágenes, accedemos a
sitios web que no tienen la seguridad adecuada, descargamos
información, uso de las redes sociales, entre otras, aquí hay
muchos riesgos y vulnerabilidades y estamos facilitando las
cosas para que organizaciones o personas dedicadas a hackear
los sistemas informáticos accedan a nuestra información.
A nivel empresarial o gubernamental es más delicada la
situación sobre la perdida de la información, puesto que está en
riesgo muchos recursos físicos, financieros y hasta la seguridad
de una nación, donde hay muchos factores que pueden
aumentar las vulnerabilidades, la globalización permite el
acceso a la información, la adquisición excesiva de tecnología,
la fabricación de tecnología para muchos entornos, el
desarrollo de software y de infinidad de aplicaciones, páginas
web, tiendas virtuales, implementación de redes alámbricas,
inalámbricas, aumento de usuarios, entre otras, a pesar que en
muchas organizaciones adquieren tecnología, software, no es
suficiente para contrarrestar los incidentes, por lo que hay que
emplear metodologías adecuadas para el análisis y valoración
de vulnerabilidades.
La empresa tecnológica eslovaca ESET, informó que los cinco
tipos de ataques informáticos que más han afectado a los
latinoamericanos en el 2018 han sido los mensajes fraudulentos
(“phishing”) aumento en el mundo un 46% en el primer
trimestre de 2018 respecto al anterior trimestre, las
(“ciberextorsiones”), también conocido como “ramsomware”,
el código malicioso, malware diariamente en ESET llegan
300.000 variantes únicas de ‘malware’ y unas 300 nuevas
muestras son para el sistema operativo móvil Android” de
Google, la (“explotación de vulnerabilidades”), llamada
EthernalBlue es una modalidad que se hizo famosa en el 2017
con el virus “WannaCry”, que aprovechó una brecha en el
sistema operativo Windows de Microsoft para afectar a más de
200.000 computadoras en 150 países y su uso “ha crecido un
600%” en algunos periodos de 2018 y la minería de
criptomonedas (”cryptojacking”), el denominado
“JS/CoinMiner”, uno de estos mineros de criptomonedas, ha
sido la amenaza más detectada en el mundo por la telemetría de
ESET de diciembre de 2017 a junio de 2018 con un 32 % del
total de las detección de la empresa, concluyendo que el virus
WannaCry afectó a más de 200.000 computadoras en 150
países [1].
En el ámbito empresarial nacional, Según el Centro Cibernético
Policial entre los riesgos que afectan a las compañías del país
está la suplantación de correo corporativo (tipo BEC), que
puede dejar una pérdida de 380 millones de pesos en cada
ataque, además para el 2017 se recibieron 11.618 denuncias
por delitos de carácter digital, siendo los más recurrentes el
hurto por medios informáticos y semejantes (60%), seguido de
la violación de datos personales (16%) y acceso abusivo a un
sistema informático (15%) [2].
La Gran Encuesta TIC del Ministerio de Tecnologías de la
Información y las Comunicaciones da cuenta que en plena
transformación digital el 72% de las empresas aún no invierten
en capacitar a su personal, sin embargo el 63% considera que
es muy importante que su equipo de trabajo domine las TIC,
Además, preocupa más que el 83% de las empresas carecen de
protocolos de respuesta a la violación de políticas de seguridad
informática y carecen de área o personal encargado de la
seguridad informática [3].
Por lo tanto, existen grupos de expertos de empresas, de
sectores académicos, con años de experiencia en los Sistemas
de Gestión de Seguridad de la Información, que trabajan en
equipo y están encargados de la búsqueda y desarrollo de
nuevas metodologías y herramientas que permitan minimizar,
contrarrestar las vulnerabilidades que se puedan presentar en
los sistemas informáticos, redes de comunicación, que a través
de buenas prácticas, modelos de gobierno, normas y estándares
internacionales, se dedican a gestionar y controlar los riesgos
de la seguridad de la información dentro de cualquier
organización.
II. ANÁLISIS DE LA SITUACIÓN Y POSIBLE SOLUCIÓN A LOS
INCONVENIENTES PRESENTADOS EN SAS SECURITY Y
POSIBLES SOLUCIONES
La empresa objeto de estudio de esta actividad SAS Security
ha venido presentado en el último año inconvenientes con sus
sistemas de información y redes de comunicaciones en sus
diferentes sedes a nivel nacional.
Debido a que SAS Security en una empresa que tiene presencia
a nivel nacional, probablemente usa diversos sistemas
operativos, ofimática, aplicaciones WEB, equipos de cómputo
portátiles y de escritorio, impresoras, servidores, firewall,
enrutadores, módems, controladores, routers, swtiches, puntos
de acceso, aplicaciones web, bases de datos, servicios de
correo y chat corporativo, redes LAN, WAN, teléfonos IP,
conexiones alámbricas e inalámbricas, enlaces remotos,
controles de accesos, cámaras, etc. todos estos equipos y
aplicaciones de software son susceptibles de ser atacados por
delincuentes informáticos si no se toman las medidas de
seguridad adecuadas.
Posibles acciones que se están presentando en SAS
Security
Los siguientes son hechos que posiblemente están sucediendo
o pueden suceder en la empresa objeto de estudio, teniendo en
cuenta que en el último año se han venido presentando
inconvenientes con sus sistemas de información y redes de
comunicaciones en sus diferentes sedes a nivel nacional, así:
Posiblemente no hay políticas adecuadas de seguridad de la
información y de la informática, no hay un área fortalecida en
cuanto a personal y recursos para la seguridad de la
organización.
Probablemente puede existir pérdida de personal clave dentro
de la organización, que suministre información de valor a la
competencia, lo que conlleva a la pérdida de clientes.
Puede ser que haya divulgación o modificación de información
en forma accidental o sin autorización, mal manejo de backups,
etc.
Probable instalación de software desde internet de libre
distribución o gratuito, de juegos y uso de diversas
aplicaciones y redes sociales no autorizadas por la entidad.
Posible uso de equipos personales y dispositivos móviles
conectados a las redes de wifi, sin los protocolos de seguridad
adecuados.
Puede suceder que haya suplantación de correo corporativo,
spam, phishing, spyware, que pueden llevar a la perdida de
información valiosa de la organización, transacciones
financieras y demás.
Podría existir un uso indebido de claves de acceso en equipos
de cómputo, suplantación de identidad, que permitan la
divulgación o alteración de la información.
Eventualmente algún equipo de cómputo, servidor, recursos de
red, de correo, firewall, entre otros, presenta alguna
configuración inadecuada., que permita posibles ataques
informáticos, botnets, denegación de servicio, etc.
También se podría presentarse que el software que se emplea
en la organización como los sistemas operativos, paquetes de
ofimática, software contable, etc. no este licenciado, no se
instalen las actualizaciones, parches, lo que permita el ingreso
de troyanos, virus, gusanos informáticos, códigos maliciosos,
ataques informáticos, etc.
Posibles soluciones a la problemática presentada en SAS
Security
Para el caso de estudio podríamos aplicar el Ethical Hacking,
que es un tipo de hackeo llamado de “sombrero blanco”,
puesto que se emplean conocimientos y experiencias en
valoraciones de seguridad o de vulnerabilidades en los sistemas
informáticos a solicitud y autorización de la organización que
requiere conocer las fallas de seguridad, vulnerabilidades
identificadas y/o no identificadas, con el fin de implementar las
medidas de seguridad preventivas y correctivas, mejorar
políticas, procedimientos, etc., donde existen varias
metodologías para tal fin.
Pero antes de describir las metodologías de Ethical Hacking
más reconocidas para la auditoria de seguridad técnica y
análisis de vulnerabilidades en los sistemas de información (SI)
es importante conocer las siguientes definiciones relacionadas
con el tema en mención.
¿Qué es Ethical Hacking?
El Ethical Hacking es una práctica esencial para los sistemas de
seguridad de la información de una organización ya sea desde
una perspectiva externa o interna, que en forma organizada,
estructurada por medio de herramientas y/o metodologías, para
la detección de errores, análisis vulnerabilidades identificadas y
no identificadas, en un sistema informático desde la parte
lógica y/o física, con el fin prevenir, evitar, minimizar, rechazar
y hacer recomendaciones de valor, tomar las medidas de
seguridad preventivas y correctivas necesarias (configuración
adecuada de dispositivos, de sistemas operativos, software en
general, aplicaciones, deshabilitar, habilitar, restringir accesos,
actualizar licencias, descargar, instalar y aplicar parches, etc.).
Para contrarrestar posibles ataques maliciosos, debilidades de
los sistemas informáticos y a las vulnerabilidades que
eventualmente sean causadas por los usuarios ya sean
intencionadas o por falta de conocimiento, lo cual lo hace muy
importante para que las organizaciones adquieran estos
servicios a empresas o personal experto dedicado en esta área,
con el fin de evitar perdidas de información, daños en los
equipos, redes, servidores, etc. para la continuidad de su
negocio y la mejora continua.
Posibles beneficios del Ethical Hacking
▪ Orientar a la organización sobre posibles vulnerabilidades
de los SI, para contrarrestar de la mejor manera los
errores.
▪ Corregir la configuración inadecuada de dispositivos y
aplicaciones.
▪ Actualizar sistemas operativos, parches, licencias,
software en general.
▪ Identificar posibles situaciones de riesgo, con el fin de
tomar medidas de seguridad preventivas y correctivas y
evitar perdida de capital.
▪ Documentar el proceso y resultados del Ethical Hacking,
con el fin de tener una base de conocimiento y poder ser
aplicado y difundido d acuerdo a los niveles de seguridad
y confidencialidad.
Tipos de pruebas o evaluación en el Ethical Hacking
Estas pruebas pueden realizarse en cualquiera de las
metodologías existes para auditoria de seguridad técnica y
análisis de vulnerabilidades en los sistemas de información (SI),
de acuerdo con las necesidades y requerimientos del análisis.
▪ Caja negra, desde internet, sin información de la red o de
la infraestructura donde se pretende realizar el análisis.
▪ Caja blanca, desde la parte interna, red local, un sitio de
trabajo específico dentro de la organización a la cual se va
a realizar el análisis.
▪ Caja gris, desde el código fuente, aplicaciones críticas,
etc, dentro de los sistemas de información de la
organización.
Fases genéricas del Ethical Hacking
Estas fases pueden estar presentes en cualquiera de las
metodologías existes para auditoria de seguridad técnica y
análisis de vulnerabilidades en los sistemas de información (SI).
▪ Reconocimiento
▪ Escaneo y enumeración
▪ Obtener o ganar acceso
▪ Mantener el acceso
▪ Cubrir, borrar o eliminar huellas o rastros
Pasos genéricos para el desarrollo del Ethical Hacking
Por lo regular las diversas organizaciones que presentan los
servicio de Ethical Hacking realizan los siguientes pasos para el
desarrollo de esta.
▪ Llegar a un acuerdo con el cliente sobre las necesidades,
expectativas y alcances para realizar la metodología
seleccionada o más adecuada.
▪ Realizar un documento con los permisos necesarios para
poder realizar el procedo de Ethical Hacking, firmado por
la gerencia o el encargado de la organización.
▪ Seleccionar el personal, la metodología a desarrollar, las
herramientas y realizar un cronograma de trabajo.
 ▪ Llevar a cabo las diversas técnicas, test, de acuerdo con la
metodología, herramientas y las fases genéricas o más
detalladas.
▪ Analizar cada uno de los resultados obtenidos, elaborar
los soportes y reportes sobre las vulnerabilidades
encontradas y las soluciones y posibles controles para
contrarrestarlas.
▪ Presentar el resultado al cliente mediante informes
ejecutivos y técnicos de acuerdo con las áreas encargadas
del proceso.
Metodologías de Ethical Hacking
Es un conjunto de procedimiento y reglas diseñadas por grupos
de expertos desde hace varios años que pretenden realizar
hackeo ético de manera lógica y ordenada, entre las más
reconocidas a nivel internacional tenemos las que se describen
en la tabla 1.
Tabla 1. Metodologías de ethical hacking
Sigla Significado de la sigla en español
ISSAF Marco de evaluación de seguridad en sistemas de
información.
NISTP SP 800- Guía técnica para evaluación y pruebas de seguridad de
115 la información.
OSSTMM Manual de metodología abierta de evaluación de
seguridad
OWASP Proyecto de seguridad abierta de aplicaciones WEB.
PTES Estándar para ejecución de pruebas de penetración.
Fuente: El autor
De las anteriores metodologías para realizar actividades de
ethical hacking, vamos a describir cinco que son las más
reconocidas o empleadas por su rendimiento o mejor
ampliación, (ISSAF, NISTP SP 800-115, OSSTMM, OWASP
PTES).
ISAAF
La metodología de prueba de penetración ISSAF está diseñada
para evaluar la red, controles de sistema y aplicación. Consiste
en tres fases de aproximación y nueve pasos de evaluación. El
enfoque incluye las siguientes tres fases [4].
Fase I. Planificación y preparación de ISAAF
Esta fase comprende los pasos para intercambiar información
inicial, planificar y preparar la prueba, se firma por las partes el
acuerdo de evaluación [5].
Las siguientes actividades están previstas en esta fase:
▪ Identificación de personas de contacto de ambos lados,
▪ Apertura de la reunión para confirmar el alcance, el
enfoque y la metodología, y
▪ Aceptar casos de prueba específicos y vías de escalada.
Fase II. Evaluación de ISAAF
Esta es la fase en la que realmente se lleva a cabo la prueba de
penetración, se seguirá un enfoque por capas, como se muestra
en la fig. 1. Cada paso representa un mayor nivel de acceso a
sus activos de información [6], así:
▪ Búsqueda de información
▪ Mapeo de la red
▪ Identificación de vulnerabilidades
▪ Penetración
▪ Obtención de acceso y escalamiento de privilegios
▪ Enumeración adicional
▪ Comprometer usuarios remotos/sitios
▪ Mantener el acceso
▪ Cubrir los rastros
▪ Opcional (auditoria)
Fig. 1. Enfoque y metodología ISSAF
Fuente: Manual OISSSG, ISAF Draft 0.2. Penetration Testing Framework
Fase III. Informar, limpiar y destruir objetos de ISAAF
▪ Reporte
▪ Informes verbales
▪ Informe final
▪ Limpiar y destruir los objetos.
NISTP SP 800-115
El propósito de este documento es proporcionar pautas para
las organizaciones sobre planificación y conducción
Información técnica de pruebas y evaluaciones de seguridad,
análisis de hallazgos y desarrollo de estrategias de mitigación.
Ofrece recomendaciones prácticas para diseñar, implementar y
mantener información relacionada con los procesos y
procedimientos de pruebas y evaluación de seguridad, que
pueden utilizarse para varios propósitos, como encontrar
vulnerabilidades en un sistema o red y verificar el cumplimiento
con de una política u otros requisitos. Esta guía no pretende
presentar una completa información de seguridad, programa de
pruebas o evaluación, sino más bien una descripción general de
los elementos clave de las pruebas técnicas de seguridad. y
evaluación con énfasis en técnicas específicas, sus beneficios y
limitaciones, y recomendaciones para su uso [7].
Fases de la prueba de penetración de NISTP SP 800-115
Representa cuatro fases de las pruebas de penetración [8],
como se aprecia en la fig.2.
▪ Fase de Planificación: Se identifican las reglas que deben
seguirse durante la prueba de penetración y se crean las
condiciones técnicas y organizativas requeridas.
▪ Fase de Descubrimiento: Se realiza el escaneo y
recopilación de información de la infraestructura
computacional de la entidad y el descubrimiento de
vulnerabilidades.
▪ Fase de Ejecución: Se comprueban las vulnerabilidades
previamente descubiertas.
▪ Fase de Documentación y Reporte: Se genera un reporte
con los problemas de seguridad encontrados
Fig. 2. Fases de prueba de penetración NISTP SP 800-115
Fuente: Manual NISTP SP 800-115
Fase de ataque de NISTP SP 800-115
Representa cuatro fases de las pruebas de ataque [9], como se
aprecia en la fig.3.
▪ Ganar acceso
▪ Escalamiento de privilegios
▪ Sistema de navegación
▪ Instalar herramientas adicionales
Fig. 3. Fases de ataque NISTP SP 800-115
Fuente: Manual NISTP SP 800-115
OSSTMM
Este manual es un estándar profesional para el testeo de
seguridad en cualquier entorno desde el exterior al interior.
Como cualquier estándar profesional, incluye los lineamientos
de acción, la ética del testeador profesional, la legislación sobre
testeo de seguridad y un conjunto integral de tests. Debido a
que los testeos de seguridad continúan evolucionando en una
profesión válida y respetada, el OSSTMM intenta ser el manual
de referencia del profesional [10].
El objetivo de este manual es crear un método aceptado para
ejecutar una prueba de seguridad minucioso y cabal. Detalles
como las credenciales del testeador de seguridad, el tamaño de
la empresa de seguridad, las finanzas, o el respaldo de ventas
impactan en la escala y la complejidad de esta prueba - pero
cualquier experto en redes o en seguridad que cumpla con los
requisitos de este manual habrá completado un exitoso perfil de
seguridad [11].
Ámbito de OSSTMM
Este es un documento de metodología de testeo de seguridad.
Es un conjunto de reglas y lineamientos para CUANDO, QUE
y CUALES eventos son testeados. Esta metodología cubre
únicamente el testeo de seguridad externo, es decir, testear la
seguridad desde un entorno no privilegiado hacia un entorno
privilegiado, para evadir los componentes de seguridad,
procesos y alarmas y ganar acceso privilegiado. Está también
dentro del alcance de este documento proveer un método
estandarizado para realizar una exhaustiva prueba de seguridad
de cada sección con presencia de seguridad (por ejemplo,
seguridad física, seguridad inalámbrica, seguridad de
comunicaciones, seguridad de la información, seguridad de las
tecnologías de Internet, y seguridad de procesos) de una
organización [12].
Mapa de seguridad de OSSTMM
Es una imagen de la presencia de seguridad, esta compuesta
por secciones, las cuales se superponen entre si contienen
elementos de todas las otras secciones. Un análisis apropiado
de cualquier sección debe incluir los elementos de todas las
otras secciones, directa o indirectamente [13], como se aprecia
en la fig. 4.
Fig. 4. Mapa de seguridad de OSSTM
Fuente: OSSTMM 2.1. Manual de metodología abierta de testeo de seguridad
OWASP Fig. 6. Flujo de pruebas típico en un SDLC para OWASP

Las pruebas de intrusión nunca serán una ciencia exacta

mediante la cual se pueda definir una lista completa de todas
las incidencias posibles que deberían ser comprobadas. De
hecho, las pruebas de intrusión son sólo una técnica apropiada
para comprobar la seguridad de aplicaciones web bajo ciertas
circunstancias [14].

El objetivo es recopilar todas las técnicas de comprobación

posibles, explicarlas y mantener la guía actualizada. La
metodología de pruebas de intrusión de aplicación web
OWASP se basa en un enfoque / acercamiento de caja negra.
La persona que realiza las pruebas tiene poca, o ninguna,
información sobre la aplicación que va a ser comprobada. El
modelo de pruebas consta de [15]:

▪ Auditor: La persona que realiza las actividades de

comprobación.

▪ Herramientas y metodología: El núcleo de este proyecto

de guía de pruebas.

▪ Aplicación: La caja negra sobre la que realizar las pruebas Fuente: Guía de pruebas OWASP 2008 V3.0

Las pruebas se dividen en 2 fases [16]:
Modo pasivo: en el modo pasivo, la persona a cargo de la
realización de las pruebas intenta comprender la lógica de la
aplicación, juega con la aplicación; puede usarse una utilidad
para la recopilación de información, como un proxy HTTP,
para observar todas las peticiones y respuestas HTTP. Al final
de esta fase esta persona debería comprender cuales son todos
los puntos de acceso (puertas) de la aplicación.
Modo activo: en esta fase la persona a cargo de la
comprobación empieza a realizar las pruebas usando la
metodología descrita en los siguientes apartados. Hemos
dividido el conjunto de pruebas en 9 subcategorías:
La mayor parte de las personas no comprueba el software hasta
que ya ha sido creado y se encuentra en la fase de desarrollo de
su ciclo de vida (ej. El código ya ha sido creado e instanciado
en una aplicación web funcionante). Esta es generalmente una
práctica muy inefectiva y costosa. Las compañías deberían
inspeccionar su SDLC (Ciclo de Vida de Desarrollo del
Software). global para asegurarse que la seguridad es una parte
integral del proceso de desarrollo. fig.5. Los SDLC deberían
incluir pruebas de seguridad para asegurar que la seguridad
está adecuadamente cubierta, y los controles son efectivos a
través del proceso de desarrollo [17].
Fig. 5. Modelo SDLC genérico

▪ Pruebas de gestión de la configuración

▪ Pruebas de la lógica de negocio

▪ Pruebas de Autenticación

▪ Pruebas de Autorización

▪ Pruebas de gestión de sesiones

Fuente: Guía de pruebas OWASP 2008 V3.0
▪ Pruebas de validación de datos
Las compañías deberían inspeccionar su SDLC global para
▪ Pruebas de denegación de Servicio asegurarse que la seguridad es una parte integral del proceso
de desarrollo. Los SDLC deberían incluir pruebas de seguridad
▪ Pruebas de Servicios Web para asegurar que la seguridad está adecuadamente cubierta, y
los controles son efectivos a través del proceso de desarrollo
▪ Pruebas de AJAX [18].
PTES
El estándar de ejecución de pruebas de penetración consta de
siete (7) secciones principales. Estas cubren todo lo
relacionado con una prueba de penetración, desde la
comunicación inicial y el razonamiento detrás de la prueba, a
través de la recopilación de inteligencia y las fases de modelado
de amenazas en las que los evaluadores trabajan detrás de la
escena para obtener una mejor comprensión de la organización,
a través de la investigación de vulnerabilidad, explotación y
post explotación, donde los expertos en seguridad técnica de
los evaluadores entran en juego y se combinan con la
organización para mejor comprensión, finalmente, con los
informes, que captura todo el proceso, de una manera que tiene
sentido para el cliente y le proporciona valor [19 ].
Está compuesto por siete fases [20]:
▪ Preacuerdo (interacciones previas): Se define el alcance y
los objetivos de la prueba de penetración.
▪ Recopilación de inteligencia (recolección de información):
Se realiza la recolección de información de inteligencia
desde fuentes abiertas.
▪ Modelado de amenazas: Se enuncian las posibles
estrategias de penetración.
▪ Análisis de vulnerabilidades: Se
vulnerabilidades que puedan ser explotadas.
▪ Explotación: Se intentan explotar las vulnerabilidades
descubiertas.
▪ Post explotación: Los especialistas de seguridad pueden
continuar escalando el proceso de explotación.
▪ Reporte (informes): Se comunica al cliente la información
que le permita solucionar las vulnerabilidades encontradas
Como la norma no proporciona ninguna guía técnica sobre
cómo ejecutar una prueba de penetración real, también hay una
guía técnica que acompaña a la norma en sí. La guía técnica se
puede llegar a través del siguiente enlace: http://www.pentest-
standard.org/index.php/PTES_Technical_Guidelines
Fig. 6. Entorno d la guía técnica de PTES
Fuente: http://www.pentest-standard.org/index.php
Preguntas frecuentes: http://www.pentest-
standard.org/index.php/FAQ
Fig. 7. Contenido preguntas frecuentes PTES
Fuente: http://www.pentest-standard.org/index.php/FAQ
Selección de la metodología de Ethical Hacking para
proponer como solución a la situación planteada en SAS
Security
Todas las metodologías para el Ethical Hacking que se
indagaron en las diversas fuentes de información, en teoría
ofrecen un conjunto de procedimiento y reglas diseñadas por
grupos de expertos, que desde hace varios años están en
constante actualización, las cuales pretenden realizar hackeo
ético de manera lógica y ordenada, para que personal experto
en el área de la seguridad de la información e informática, con
descubren ciertos conocimientos en diversas herramientas y metodologías
puedan realizar valoraciones de seguridad o de vulnerabilidades
en los sistemas informáticos a solicitud y autorización de la
organización que requiere conocer las fallas de seguridad,
vulnerabilidades identificadas y/o no identificadas, con el fin de
implementar las medidas de seguridad preventivas y
correctivas, mejorar políticas, procedimientos, etc.
De acuerdo con lo indagado se pudo observar que en teoría las
metodologías ISAAF, OWASP y OSTTMM, son las más
completas, pero en la parte practica la metodología OSTTMM
es la que mayor aceptabilidad tiene, teniendo en cuenta que la
metodología ISAAF hace bastante tiempo no actualiza la
información y algunos expertos dicen que es una metodología
muerta, además su página web oficial está fuera de uso.
Para el caso particular de las diversas metodologías para
detectar vulnerabilidades frecuentes en las aplicaciones web, se
pudo verificar a través de un trabajo de investigación cuyo
objetivo fue determinar hasta qué punto son válidos los
procedimientos, herramientas y pruebas de seguridad
propuestas en las metodologías ISSAF, OSSTMM, OWASP,
PTES y NIST SP 800-115 para abordar los retos actuales de
ciberseguridad en el campo del desarrollo y mantenimiento de
las aplicaciones web. Los cuales tomaron como base de
comparación los informes de vulnerabilidades de OWASP,
emitidos entre los años 2003 y 2017 y el análisis de la
documentación de cada metodología de pruebas de
penetración. Elaboraron una escala de evaluación cualitativa y
su aplicación arrojó como resultado que la Guía de Pruebas de
OWASP resultó la más completa, seguida de la metodología de
ISSAF. No obstante, ninguna metodología demostró ser capaz
de brindar métodos, herramientas o pruebas de seguridad para
detectar todas las vulnerabilidades actuales. Los resultados
alcanzados demuestran la necesidad de un proceso de
adaptación y completamiento de las metodologías existentes
[21].
Los autores de mencionada investigación realizaron un análisis
cualitativo respecto a los principales requerimientos de
seguridad en las aplicaciones web, donde obtuvieron los
siguientes resultados.
Fig. 8. Pruebas de seguridad asociadas a aplicaciones web
Fuente: http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
La Guía de pruebas de OWASP es la que presenta un nivel de
completitud mayor (76%), le siguen ISSAF (41%), PTES
(31%), OSSTMM (26%) y finalmente NIST SP 800-115
(10%). Esta comparación puede apreciarse en la Fig. 9, donde
se compara con el patrón ideal con un valor de 39 puntos
según el instrumento diseñado [22].
Por tanto, puede afirmarse que ninguna de las metodologías de
pruebas de penetración analizadas enuncia todas las
evaluaciones de seguridad que se requieren para detectar al
menos las principales vulnerabilidades en aplicaciones web.
Necesitan por tanto un proceso de adaptación y completitud
que dependerá de las competencias y experiencias de los
equipos de seguridad que tengan la misión de realizarlas [23].
Fig. 9. Comparación patrón ideal vs metodologías
Fuente: http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
La Guía de Pruebas de OWASP es la más adecuada para ser
tomada como base en una prueba de penetración en
aplicaciones web [24].
Teniendo en cuenta que la mayoría de las vulnerabilidades que
se presentan en un sistema informático se hace por intermedio
de la penetración a las aplicaciones web, escojo la metodología
OWASP, como propuesta de solución a la situación
presentadas en SAS Securituy.
Nota: en el foro destinado para la actividad escogí la
metodología ISAAF, pero en el desarrollo de la investigación
me pude dar cuenta que es una metodología que en teoría es
excelente, pero en la practica y por no tener el respaldo hoy en
día, muchos expertos la dan como una metodología muerta,
por tal motivo escogí la metodología OWASP.
I. CONCLUSIONES
Por medio de este trabajo se pudo constatar que en ocasiones
no somos responsables en el uso de las TIC, donde instalamos
un sin número de programas o aplicaciones que no sabemos
qué tan seguros sean, abrimos hipervínculos de correos
electrónicos, compartimos cadenas de información, imágenes,
accedemos a sitios web que no tienen la seguridad adecuada, el
uso de redes sociales, entre otras, aquí hay muchos riesgos y
vulnerabilidades y estamos facilitando las cosas para que
accedan a nuestra información.
Además, se pudo evidenciar que a nivel empresarial o
gubernamental es más delicada la perdida de información, y
existen muchos más riesgos y factores que pueden aumentar las
vulnerabilidades, como la adquisición excesiva de tecnología, la
implementación de redes alámbricas, inalámbricas, aumento de
usuarios, el uso de tecnología, software e infinidad de
aplicaciones, páginas web, tiendas virtuales, y por lo regular no
es suficiente todas las medidas de seguridad que se hacen en las
organizaciones.
También se pudo evidenciar que los principales ataques
informáticos en Latinoamérica han sido los mensajes
fraudulentos (“phishing”) las (“ciberextorsiones”), también
conocido como “ramsomware”, el código malicioso, malware,
la (“explotación de vulnerabilidades”), el virus “WannaCry”, y
la minería de criptomonedas (“cryptojacking”).
Por otro parte se analizaron los posibles hechos que sucedieron
en la empresa objeto de estudio, como posiblemente falta de
políticas de seguridad de la información y de la informática,
pérdida de personal clave dentro de la organización,
divulgación o modificación de información en forma accidental
o sin autorización, instalación de software desde internet de
libre distribución o gratuito, uso de equipos personales y
dispositivos móviles conectados a las redes de wifi, sin los
protocolos de seguridad adecuados entre otros.
Se pudo conocer que una metodología de Ethical Hacking es
un conjunto de procedimiento y reglas diseñadas por grupos de
expertos desde hace varios años que pretenden realizar hackeo
ético de manera lógica y ordenada, entre las más reconocidas o
empleadas por su rendimiento o mejor ampliación son: (ISSAF,
NISTP SP 800-115, OSSTMM, OWASP, PTES).
 II. REFERENCIAS [14] Que es la metodología OWASP. Manual guía de pruebas OWASP 2008
V3.0. 2002 - 2008 OWASP Foundation. [En línea]. Disponible:
[1] Los cinco virus informáticos que más afectan a Latinoamérica. https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_O
Publicación digital del periódico el colombiano. Noviembre 2018. [En WASP_ver_3.0.pdf
línea]. Disponible: https://www.elcolombiano.com/tecnologia/tipos-de-
ciberataque-que-mas-amenazan-a-america-latina-LX9624159 [15] Modelo de pruebas OWASP. Manual guía de pruebas OWASP 2008
V3.0. 2002 - 2008 OWASP Foundation. [En línea]. Disponible:
[2] El secuestro de la información desangra a las empresas del país. https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_O
Publicación digital del periódico portafolio. enero 2019. [En línea]. WASP_ver_3.0.pdf
Disponible: https://www.portafolio.co/negocios/empresas/ciberataques-
a-las-empresas-en-colombia-525729 [16] Fases de pruebas de OWASP. Manual guía de pruebas OWASP 2008
V3.0. 2002 - 2008 OWASP Foundation. [En línea]. Disponible:
[3] El secuestro de la información desangra a las empresas del país. https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_O
Publicación digital del periódico portafolio. enero 2019. [En línea]. WASP_ver_3.0.pdf
Disponible: https://www.portafolio.co/negocios/empresas/ciberataques-
a-las-empresas-en-colombia-525729 [17] Comprobación de software OWASP. Manual guía de pruebas OWASP
2008 V3.0. 2002 - 2008 OWASP Foundation. [En línea]. Disponible:
[4] Introducción de ISSAF. Manual OISSSG, ISAF Draft 0.2. Penetration https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_O
Testing Framework. mayo 2006. [En línea]. Disponible: WASP_ver_3.0.pdf
http://cuchillac.net/archivos/pre_seguridad_pymes/2_hakeo_etico/lects/m
etodologia_oissg.pdf [18] Pruebas de seguridad SDLC OWASP. Manual guía de pruebas OWASP
2008 V3.0. 2002 - 2008 OWASP Foundation. [En línea]. Disponible:
[5] Planificación y preparación de OISSSG. Manual OISSSG, ISAF Draft https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_O
0.2. Penetration Testing Framework. mayo 2006. [En línea]. Disponible: WASP_ver_3.0.pdf
http://cuchillac.net/archivos/pre_seguridad_pymes/2_hakeo_etico/lects/m
etodologia_oissg.pdf
[19] Introducción de PTES, Estándar para la Ejecución de Pruebas de
Penetración. Agosto 2014. [En línea]. Disponible: http://www.pentest-
[6] Evaluación de OISSSG. Manual OISSSG, ISAF Draft 0.2. Penetration standard.org/index.php/Main_Page
Testing Framework. mayo 2006. [En línea]. Disponible:
http://cuchillac.net/archivos/pre_seguridad_pymes/2_hakeo_etico/lects/m
[20] H. González y R. Montesino, “Capacidades de las metodologías de
etodologia_oissg.pdf
pruebas de penetración para detectar vulnerabilidades frecuentes en
aplicaciones web”. Revista Cubana de Ciencias Informáticas. Fases
[7] Propósito y alcance de NISTP SP 800-115. Manual NISTP SP 800-115 metodología PTES, pp. 58-59, octubre 2018. [En línea]. Disponible:
Technical Guide to Information Security Testing and Assessment. http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
septiembre 2008. [En línea]. Disponible:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800- [21] H. González y R. Montesino, “Capacidades de las metodologías de
115.pdf pruebas de penetración para detectar vulnerabilidades frecuentes en
aplicaciones web”. Revista Cubana de Ciencias Informáticas. OWASP
[8] Fases de prueba de penetración de NISTP SP 800-115. Manual NISTP metodología más completa, pp. 60, octubre 2018. [En línea]. Disponible:
SP 800-115 Technical Guide to Information Security Testing and http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
Assessment. septiembre 2008. [En línea]. Disponible:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800- [22] H. González y R. Montesino, “Capacidades de las metodologías de
115.pdf pruebas de penetración para detectar vulnerabilidades frecuentes en
aplicaciones web”. Revista Cubana de Ciencias Informáticas. La
[9] Fases de ataque de NISTP SP 800-115. Manual NISTP SP 800-115 metodología OWASP presenta un nivel de complejidad mayor, pp. 61,
Technical Guide to Information Security Testing and Assessment. octubre 2018. [En línea]. Disponible:
septiembre 2008. [En línea]. Disponible: http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-
115.pdf [23] H. González y R. Montesino, “Capacidades de las metodologías de
pruebas de penetración para detectar vulnerabilidades frecuentes en
[10] Introducción de OSSTMM, Manual de metodología abierta de testeo de aplicaciones web”. Revista Cubana de Ciencias Informáticas.
seguridad., OSSTMM 2.1. agosto 2003. [En línea]. Disponible: Comparación patrón ideal vs metodologías, pp. 61-62, octubre 2018. [En
http://fcbi.unillanos.edu.co/segurinfo.unillanos/archivos/materialApoyo/O línea]. Disponible: http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf
SSTMM.es.2.1.pdf
[24] H. González y R. Montesino, “Capacidades de las metodologías de
[11] Introducción de OSSTMM, Manual de metodología abierta de testeo de pruebas de penetración para detectar vulnerabilidades frecuentes en
seguridad., OSSTMM 2.1. agosto 2003. [En línea]. Disponible: aplicaciones web”. Revista Cubana de Ciencias Informáticas. Guia de
http://fcbi.unillanos.edu.co/segurinfo.unillanos/archivos/materialApoyo/O pruebas OWASP es la más adecuada, pp. 61-62, octubre 2018. [En
SSTMM.es.2.1.pdf línea]. Disponible: http://scielo.sld.cu/pdf/rcci/v12n4/rcci05418.pdf

[12] Ámbito de OSSTMM, Manual de metodología abierta de testeo de

seguridad., OSSTMM 2.1. agosto 2003. [En línea]. Disponible:
http://fcbi.unillanos.edu.co/segurinfo.unillanos/archivos/materialApoyo/O
SSTMM.es.2.1.pdf

[13] Mapa de seguridad de OSSTMM, Manual de metodología abierta de

testeo de seguridad., OSSTMM 2.1. agosto 2003. [En línea]. Disponible:
http://fcbi.unillanos.edu.co/segurinfo.unillanos/archivos/materialApoyo/O
SSTMM.es.2.1.pdf
 III. BIOGRAFÍA
AngeMorales nació en Colombia – Antioquia, el 17
de agosto de 1973. Se graduó de la Escuela de
Comunicaciones Militares, como Tecnólogo en
Electrónica y Comunicaciones, y culmino materias de
Ingeniería de Sistemas en la Universidad Nacional
Abierta y a Distancia – UNAD, institución donde
está de cursando 10 créditos de la Especialización de
Seguridad Informática, cuenta con diplomados en
apropiación social de las ciencias en la educación, investigación formulación
de proyectos de la ACAC, diseño y fabricación de equipos electrónicos de la
Universidad Sergio Arboleda, Implantación efectiva de estrategias TIC de la
USTA, Seguridad y defensa Nacionales de la ESDEGUE, investigación y
propiedad intelectual de la UMNG, entre otros.

Su experiencia profesional está enfocada en la gestión y desarrollo de proyectos

en el área de electrónica, telecomunicaciones e informática, dentro de los
principales proyectos desarrollados se encuentra los bloqueadores de señales de
RF para evitar la activación de artefactos explosivos improvisados por parte de
grupos organizados al margen de la ley, Fundador y coordinador durante 6 años
del Centro de Investigación de electrónica, telecomunicaciones e informática
del Ejército Nacional, fundador y jefe durante 3 años del laboratorio de
electrónica para el análisis de artefactos explosivos improvisados, fundador y
líder durante 5 años de los semilleros de investigación de electrónica,
telecomunicaciones e informática de la ESCOM y fundador y líder durante 6
años del grupo de investigación de las comunicaciones militares, GICMIL, sus
principales logros son; premio de los Héroes 2013 categoría ciencia y
tecnología del Ejército Nacional, Distintivo de Investigación Científica del
Ejército Nacional, reconocimiento por parte de la corporación incubadora de
empresas de base tecnología Genesis por el compromiso para anudar esfuerzos
en apoyo a la Fuerza Publica en su labor de detección y destrucción de AEI,
como investigador principal del proyecto bloqueador de RF, presentado ante
COLCIENCIAS.