Vista previa del material en texto
FACULTAD DE INGENIERÍA, ARQUITECTURA Y URBANISMO ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS TESIS EVALUACIÓN DE METODOLOGÍAS DE HACKING ÉTICO PARA EL DIAGNÓSTICO DE VULNERABILIDADES DE LA SEGURIDAD INFORMÁTICA EN UNA EMPRESA DE SERVICIOS LOGÍSTICOS TESIS PARA OPTAR EL TÍTULO PROFESIONAL DE INGENIERO DE SISTEMAS Autor(a) (es): Bach. Castillo Vera, Olegario ORCID: https://orcid.org/0000-0003-4963-4146 Asesor(a): Mg. Tuesta Monteza, Víctor Alexci ORCID: https://orcid.org/0000-0002-5913-990X Línea de Investigación: Infraestructura, Tecnología y Medio Ambiente Pimentel – Perú 2021 https://orcid.org/0000-0003-4963-4146 https://orcid.org/0000-0002-5913-990X ii APROBACIÓN DEL JURADO EVALUACIÓN DE METODOLOGÍAS DE HACKING ÉTICO PARA EL DIAGNÓSTICO DE VULNERABILIDADES DE LA SEGURIDAD INFORMÁTICA EN UNA EMPRESA DE SERVICIOS LOGÍSTICOS ___________________________________ Br. Castillo Vera, Olegario Autor _____________________________________ Mg. Tuesta Monteza, Víctor Alexcis Asesor _______________________________ _____________________________ Dr. Ramos Moscol, Mario Fernando Mg. Chirinos Mundaca, Carlos Alberto Presidente de Jurado Secretario de Jurado _____________________________________ Mg. Tuesta Monteza, Víctor Alexcis Vocal de Jurado iii Dedicatorias A mis hijos Eduardo & Dylan, por ser mi motor y motivo los cuales me permiten seguir creciendo cada día, por ser mi fuerza cada mañana, además a mi esposa Milagros, por apoyarme incondicionalmente, por darme aliento a seguir luchando por mis sueños, por su paciencia y dedicación, y finalmente a mi familia porque me inculcaron a luchar por mis sueños. iv Agradecimientos A Jehová Dios, por permitir, que siga estudiando, por darme la vida, salud, por darme fuerza suficiente para perseguir mis sueños, y por ser mi motor en todo momento. v Resumen El trabajo de investigación expuesto se basa en evaluar metodologías de hacking ético. Según, Huiman, (2018) indica que “en Perú, las organizaciones reconocen de los peligros riesgos de ciberataques suponen para sus actividades y procesos, capacidad de producir, reconocimiento y reputación para el negocio que dirigen. Por lo tanto, Albújar, (2015) menciona que “ahora la ciberseguridad ya no es tomada como una simple cualidad de sistemas, sino más bien como un valor agregado a un servicio fundamental”, asimismo el principal blanco de todos ciberataques va a ser las diferentes aplicaciones web; por lo tanto, estos son el principio de toda comunicación al mundo actualizado. El objetivo es evaluar de metodologías de hacking ético para el diagnóstico de vulnerabilidades de la seguridad informática en una empresa de servicios logísticos. La metodología empleada en esta investigación fue un estudio teórico de las metodologías de hacking ético para su implementación, los escenarios se basan en las pruebas realizadas a la empresa cliente durante la etapa de análisis, las cuales fueron: pruebas a puertos abiertos, pruebas hacia servidores web, pruebas al servidor FTP, atentados de fuerza bruta, donde se van a hacer las pruebas de hacking ético, asimismo se implementó la metodología de hacking ético donde se utilizó Nessus porque se profundiza más acerca de los sistemas que son objetivos, y burp suite ya que combina técnicas automatizadas y métodos manuales, finalmente se realizó las mediciones de hacking ético. Los resultados fueron que la metodología OSSTMM es la más eficiente para detectar vulnerabilidades de la seguridad informática en una empresa de servicios logísticos. Ello se evidencia después de evaluar las metodologías de hacking ético OSTMM e ISSAF, donde OSTMM es más eficiente 96% que ISSAF, llegando a concluir que tiene mayor eficiencia en el tiempo de recuperación ante caídas del sistema, en la detección y el diagnóstico de vulnerabilidades en una empresa de servicios logísticos, ya que recupera en 13,75 horas el sistema caído. Palabras Clave: Detección, diagnostico, hacking ético, vulnerabilidades. vi Abstract The exposed research work is based on evaluating ethical hacking methodologies. According to Huiman, (2018) indicates that “in Peru, organizations recognize the dangers of cyberattacks for their activities and processes, the ability to produce, recognition and reputation for the business they run. Therefore, Albújar, (2015) mentions that "now cybersecurity is no longer taken as a simple quality of systems, but rather as an added value to a fundamental service", also the main target of all cyber attacks will be the different web applications; therefore, these are the beginning of all communication to the actualized world. The objective is to evaluate ethical hacking methodologies for the diagnosis of computer security vulnerabilities in a logistics services company. The methodology used in this research was a theoretical study of ethical hacking methodologies for its implementation, the scenarios are based on the tests carried out on the client company during the analysis stage, which were: tests to open ports, tests to servers web, tests to the FTP server, brute force attacks, where the ethical hacking tests will be carried out, the ethical hacking methodology was also implemented where Nessus was used because it delves more deeply about the systems that are targets, and burp suite Since it combines automated techniques and manual methods, ethical hacking measurements were finally made. The results were that the OSSTMM methodology is the most efficient to detect computer security vulnerabilities in a logistics services company. This is evidenced after evaluating the ethical hacking methodologies OSTMM and ISSAF, where OSTMM is 96% more efficient than ISSAF, reaching the conclusion that it has greater efficiency in recovery time from system crashes, in the detection and diagnosis of vulnerabilities. in a logistics services company, since it recovers the downed system in 13.75 hours. Keywords: Detection, diagnosis, ethical hacking, vulnerabilities. vii Índice I. INTRODUCCIÓN ........................................................................................................ 8 1.1. Realidad Problemática. .................................................................................... 8 1.2. Trabajos previos. ............................................................................................. 12 1.3. Teorías relacionadas al tema. ....................................................................... 21 1.4. Formulación del Problema. ........................................................................... 55 1.5. Justificación e importancia del estudio. .................................................... 55 1.6. Hipótesis. ........................................................................................................... 57 1.7. Objetivos. ........................................................................................................... 57 1.7.1. Objetivo general. ....................................................................................... 57 1.7.2. Objetivos específicos. ............................................................................. 57 II. MATERIAL Y MÉTODO .......................................................................................... 58 2.1. Tipo y Diseño de Investigación. ................................................................... 58 2.2. Población y muestra. ...................................................................................... 59 2.3. Variables, Operacionalización...................................................................... 62 2.4. Técnicas e instrumentos de recolección de datos, validez y confiabilidad. ............................................................................................................... 63 2.5. Procedimiento de análisis de datos. .......................................................... 64 2.6. Criterios éticos. ................................................................................................ 66 2.7. Criterios de Rigor Científico. ........................................................................ 67 III. RESULTADOS. ..................................................................................................... 68 3.1. Resultados en Tablas y Figuras. ................................................................. 68 3.2. Discusión de resultados. ............................................................................... 87 3.3. Aporte práctico. ................................................................................................ 88 IV. CONCLUSIONES Y RECOMENDACIONES ................................................. 132 4.1. Conclusiones. ................................................................................................. 132 4.2. Recomendaciones. ........................................................................................ 133 REFERENCIAS. .............................................................................................................. 134 ANEXOS. ......................................................................................................................... 140 8 I. INTRODUCCIÓN 1.1. Realidad Problemática. En la actualidad las instituciones privadas y públicas, en las que podemos encontrar a las de servicios logísticos, las que ocupan un lugar importante donde pueden transferir la seguridad informática, el cual puede ser mayor a menor cantidad, el aumento del avance de la tecnología de la seguridad informática, se considera que las organizaciones, tanto del gobierno e instituciones, lleguen a estar ansiosas de formar parte de este gran cambio, y actualmente se vienen anotando, el número de ataques de piratas informáticos a los usuarios de Internet ha aumentado considerablemente, lo que ha provocado la pérdida de la información importante (Lund, 2018). En un principio estos tipos de instrucciones o ataques se realizaban mediante benignas, ya que, en el peor de los panoramas, se consideraba la ralentización del equipo; además en futuro pasaran a perjudicar los sistemas en forma completa, sacar información que solo compite a la empresa, y quitar archivos. Por lo tanto, los propietarios y/o administradores en un intento de llegar a proteger los sistemas de la empresa, colocan más claves a las PC, debido a que los cráquer iniciaron con ataques cada vez más perjudiciales para las empresas (Gutierrez, 2014). Actualmente, en el Perú, las organizaciones son conscientes de los riesgos que plantean los ciberataques para sus operaciones, productividad y reputación corporativa. Es por eso que la seguridad de la red ya no se considera como una simple calidad del sistema, sino como un valor agregado de los servicios básicos. Por lo tanto, un determinado servicio que se está mostrando en el área estratégica, para las empresas, “y que se ha logrado en base a alejarse de las típicas frases y mentalidades negativas, tales como”, no se llega a aplicar aquí, rechazan a renovar los sistemas, las practicas que han venido realizando tanto tiempo, y hasta los últimos tiempos (Albújar, 2015). 9 La manera en que las personas ven el tema de seguridad de información supone que muchos no le den el valor que debería dársele. En el país, según la Agencia Peruana de Noticias (Andina, 2019) menciona que la carencia se manifiesta en el bajo nivel de seguridad que muestra el país en comparación con los países de Latinoamérica y el Caribe. Según la investigación de Business Software Alliance, el sesenta y cinco por ciento del soporte lógico empleado en Perú es ilícito, motivo por el cual, de hecho, también se puede mencionar que (1) de cada cuatro (4) software es pirateado e infectado. La pérdida o robo de información se ve comprometida, lo que significa que, aunque las organizaciones comienzan a implementar estrategias de seguridad informática, aún deben combatir este desequilibrio y prestar más atención al desarrollo de estándares. Asimismo, Ruíz, (2016), menciona que la falta de normas en el control, gestión y seguridad informática, no permite que el Perú se desarrolle y llegue a ampliar la brecha con otros países desarrollados, y un punto importante es que el Perú no está siendo considerado internacionalmente como un país con un adecuado grado de resguardo de información personal, y por el cual el Perú viene perdiendo muchos beneficios, ya que el flujo internacional de base de datos es un punto clave en el factor cardinal, para progresar en diferentes actividades, de tal manera El Departamento Nacional de Planeación de la República de Colombia menciona que en su cuaderno de conexión, todos los países que están proceso de desarrollo se deben ayudar mutuamente, en las diferentes tecnologías de seguridad informática, como una coyuntura única para llegar a conseguir los diferentes avances ya sea cultural, social, político o económico, en favor de la reducción de otros países que ya son desarrollados. Además, se puede destacar que la seguridad informática es un elemento de mucho interés, para llegar a reconfortar en la seguridad al usar las TIC, con el cual va a permitir la existencia de una sociedad digital incluyente y vinculada. 10 De tal manera, en el país las empresas llegan a interesarse y depender de las diferentes redes de comunicación e informática, y si llegan a tener inconvenientes que los va a perjudicar en las actividades que realizan a diario por más pequeña que esta sea, va a tener que comprometer la continuidad de sus actividades (Gómez, 2018). Asimismo, la carencia de precauciones en las distintas redes se ha convertido en un gran inconveniente, el cual, por su parte, sigue creciendo. Y el número de sus atacantes también está aumentando, llegando a concluir que estos están cada vez más organizados, y han llegado a adquirir cada día más habilidades especiales, que vienen obteniendo mayores provechos de estas redes (Joyanes, 2015). Es así que las organizaciones de servicios logísticos, vienen poseyendo información importante, para la ejecución de las actividades, los cuales no vienen siendo sujetos a ningún tipo de método de “hacking ético”, con el cual se va detectar susceptibilidad, ya que detectan un nivel alto de susceptibilidad, el cual afecta la seguridad de datos, los cuales serán cambiados o falsificados, o peor aún, el cual va ser abstraída en su totalidad, el cual va un fuerte impacto especialmente en el manejo de la seguridad informática, llegando a pensar que esto es el corazón de cualquier empresa en donde la mayor parte de los casos están siendo susceptibles, y son aprovechadas por personas del exterior, de cualquier empresa. Por lo tanto, se ha considerado necesario evaluar métodos de piratería ética para detectar y diagnosticar deficiencias de protección informática en corporaciones de servicios logísticos, con el fin de optimizar el funcionamiento, y proporcionar un servicio seguro, libre de cualquier extraño. (Ruíz, 2016). 11 Sin embargo, hoy en día el principal blanco de todos ciberataques va a ser las diferentes aplicaciones web; por lo tanto, estos son el principio de toda comunicación al mundo actualizado. Las personas y empresas llegan a comunicarse principalmente en el ciberespacio, por medio de distintos programas web, dispositivos móviles, y finalmente mediante navegadores(González & Montesino, 2018). Por lo tanto, González & Montesino, (2018), explica que las aplicaciones web es la puerta por el cual va a conducir a ingresar al recurso tecnológico de cualquier empresa actualizada. De los últimos informes que se han brindado en estos tiempos se puede deducir que la única solución está en la tecnología fundamentada en un antivirus, sistema de detección de instrucciones cortafuegos, por el cual queda comprobado que son imprescindibles, sin embargo, tenerlo en una empresa no ha llegado a ser lo suficientemente importante para contener o disminuir los ciberataques. Asimismo, un elemento significativo para llegar a resolver los inconvenientes, son las pruebas de penetración, también se les conoce como hacking ético o pentesting. De tal manera, estos ejercicios son reconocidos en todo el mundo que busca la recreación de las determinadas funciones de un ciber atacante en redes de datos o sistemas informáticos con el único objetivo de demostrar que es necesario ingresar a su configuración interna, evitar la defensa, y finalmente los datos almacenados (Rahalkar, 2016). 12 1.2. Trabajos previos. Para Ushmani, (2018), realizo la investigación “Ethical Hacking”, el cual da un vistazo al proceso del hacking ético y herramientas que son más utilizadas, y están para conseguir un ejercicio apropiado en el departamento de hacking ético. El problema fue la vulnerabilidad de los sistemas de comunicación e información en las diferentes empresas. Para que lo logren, desarrollaron un estudio de lo que abarca el procedimiento de hacking ético, el cual se basa en 5 fases: FASE 1: Reconocimiento. FASE 2: Escaneo. FASE 3: Obteniendo acceso. FASE 4: Manteniendo el acceso. FASE 5: Cubriendo huellas. Empleó la metodología basada en 5 fases que sirvió de guía para seguir el proceso de hacker ético. Para el cual requieren cinco fases de hacking para completar con éxito el hacking ético. Si la sociedad actual y las empresas comenzaran a tomar los servicios de los hackers éticos, las amenazas a la seguridad de la información se verán muy reducido. Hernández, Baquero, & Gil, (2018), realizó la investigación “Ethical Hacking on Mobile Devices: Considerations and practical uses”, el cual da un vistazo al proceso del hacking ético en dispositivos móviles, aplicando en ellos diferentes técnicas no intrusivas, así como herramientas de exploración y pruebas de ataques. El problema que enfrenta son las vulnerabilidades y diferentes riesgos a los que están expuestos los dispositivos móviles. Para lograr desarrolló un análisis comparativo de los incidentes de seguridad, un análisis FODA en entornos móviles y un gráfico comparativo de kernel en sistemas operativos móviles. Luego de esto, procedió a dar especificaciones de los dispositivos móviles y los componentes que afectan a la seguridad móvil. Donde nombraron algunas debilidades de dichos dispositivos y procedió a la revisión de los pasos para llevar a cabo el hacking ético, llevándolos luego a la práctica. Para el cual realizo un escaneo a la red con sniffer Wireshark con el que se obtuvo la contraseña de acceso a la red social Facebook al analizar el contenido del paquete. Además de ello se obtuvo mucha información con uso de la herramienta medusa, por lo que se logró estar al interior del teléfono y listos 13 para robar la información. Un nuevo dispositivo no es que sea tan vulnerable, si el usuario hace un manejo adecuado del teléfono sin necesidad de conectarse a redes no seguras, y mucho menos introducir contraseñas en sitios que no manejan la seguridad de cifrado que hacen que el dispositivo objetivo de un ataque para el atacante puede robar la información. Sin embargo, el comienzo de los ataques se debe a la mala manipulación del usuario, no sirve para tener el bloqueo de puertos por defecto o la supresión de los permisos para instalar aplicaciones desconocidas, si el usuario da permisos sin leer o tener conocimiento de lo que está haciendo la instalación de vulnerabilidad de seguridad del teléfono. Wang & Yang, (2017), en su trabajo de investigación titulado “Hacking ético y defensa de la red: elija su mejor herramienta de escaneo de vulnerabilidades de red”. El cual tiene como tema principal amenazas a la infraestructura de red, para el cual realizaron prácticas en laboratorio del proceso de scaneo de vulnerabilidades, para el cual tuvo como método un laboratorio virtual, para hacer uso de técnicas defensivas; control de acceso, análisis de vulnerabilidades usando software y herramientas como openvas el cual tiene como principal componente conjunto de instrumentos que brindan diferentes soluciones completos e intensos en gestión de vulnerabilidades y scaneo. Llegando a utilizar la herramienta nmap para identificar las direcciones IP de los host, puertos abiertos y el sistema operativo, obteniendo como principales resultados que el uso de herramientas y las diferentes técnicas de hacking ético, en un ambiente virtual, ayuda a los estudiantes asimilar de una mejor forma las definiciones de hackin ético y protección de la Red, y concluyó que el análisis de vulnerabilidades es importante para comprender como un hacker descubre las debilidades de una infraestructura de redes y servidores. Banda, Phiri, Nyirenda, & Kabemba, (2019), en su investigación titulado Paradoja tecnológica de hackers engendrando hackers: un caso de hackers 14 éticos y poco éticos y sus herramientas sutiles. Por lo tanto, en la investigación su más importante problema son las vulnerabilidades y diferentes inseguridades a los que llegan a estar expuestos los diferentes sistemas de información, y para el cual se observó el proceso del hacking ético en dispositivos móviles, routers, bases de datos, aplicando en ellos diferentes técnicas, así como herramientas de exploración y pruebas de ataques, utilizando como método principal para lograrlo se desarrolló un análisis comparativo de los distintos tipos de hackers, con algunos nuevos tipos, tales como los sombreros verdes. Asimismo, analizaron las distintas formas de ataques de los hackers y las razones por las que podrían hacer ese tipo de acciones. Luego de esto, se procedió a dar especificaciones y ejemplos de herramientas utilizadas en hackeo de redes wireless, haceko de bases de datos, crackeo de contraseñas de sistemas operativos y crackeo de software tales como office 2013/2016, obteniendo entre los principales resultados destacan, el hackeo a una red wirelss mediante el uso de la distro Kali Linux y comandos como Aircrack. Además, se hicieron pruebas de penetración mediante una herramienta como sqlmap. Se lograron descubrir contraseñas mediante el uso de John the Ripper y también se instaló un programa de pago mediante el crackeo del mismo, y concluyo que los hackers engendran a los piratas informáticos. Los hackers no vienen de afuera, sino desde dentro de nosotros mismos. Los hackers éticos están ahí para proteger los sistemas de los piratas informáticos. No se sabe a ciencia cierta si los hackers de sombrero negro podrían ser el resultado de los de blanco y/o viceversa. Kumar, (2018), realizó la investigación Ataques de piratería, métodos, técnicas y sus medidas de protección, teniendo como principal problema los ataques de piratería, métodos, técnicas y las medidas de protección, para el cual realizo un análisis a los tipos de hackers, a los tipos de ataques, tipos de hacking y herramientas utilizadas por los hackers. Asimismo, realizó un repaso de herramientas de hacking; quien utilizo la metodología para lograrlo desarrolló un análisis descriptivo de los distintos tipos de hackers. Asimismo, se analizaron las distintas formas de ataques de los hackers, entre los cuales 15 destacan exploits y asaltos a las aplicaciones mediante malware. sedetallaron las herramientas utilizadas por los hackers, entre las cuales destacan virus, sniffer, ingeniería social Root Kit, etc. Luego de esto, procedió a dar especificaciones del top ten de herramientas de hacking, entre los cuales destacan Nmap, Wireshark, Caín y Abel, Air-crackHydra, etc. Obteniendo los siguientes resultados que pudo obtener un marco teórico acerca de las distintas técnicas de protección de hacking, entre las cuales destacan la infraestructura de seguridad, sistema de detección de intrusos, revisiones de código y parches de seguridad, y concluyo que el Ethical Hacking es un instrumento, que, si se usa legítimamente, puede ser completamente útil para la comprensión de las deficiencias de una red y la forma en que pueden ser explotados. Dentro de lo considerado, el hacking ético asume una parte específica en la evaluación de la seguridad de la información y, sin duda, se ha ganado su lugar entre tantas otras evaluaciones de seguridad. Tomando todo esto en cuenta, hay que decir que el hacker ético es un maestro que busca por todos los medios edificar al cliente, así como el negocio de la seguridad informática en general. Para esto, considero y respeto al Ethical Hacker en su posición como cómplice para esta misión. Rocha, Kreutz, & Turchetti, (2017), realizó la investigación “Una herramienta gratuita y extensible para detectar vulnerabilidades en sistemas web”. Teniendo como principal problema las diferentes vulnerabilidades de los distintos sistemas operativos en entradas por consignación, y para el cual enseñaron diferentes ejemplos prácticos, de cómo ingresar a los ordenadores, con la variedad de sistemas operativos, sin llegar a reconocer las contraseñas de entrada a los sistemas operativos, el cual fue realizado mediante la ruptura de consignación, y para conseguir el objetivo, realizaron una verificación, de los más importantes componentes, que participan para entrar de forma más eficiente a los distintos sistemas operativos muy socializados, obteniendo los siguientes resultados principales que en muchas ocasiones las personas o peritos se tropiezan con la complicación que no pueden entrar a los distintos ordenadores, ya que no tienen las combinaciones, el cual llego a concluir que 16 se puede verificar las distintas claves en los sistemas operativos: MAC, Windows10, Linux (FEDORA 23), además es uno los componentes para sustentar la confianza de los distintos sistemas operativos es utilizar las claves. Ya que hoy en día las empresas logísticas y almacenes, llegan a procesar la información en sus plataformas informáticas. Thomas, Burmeister & Low, (2017), en su investigación titulado Problemas de confianza implícita en piratería ética. Teniendo como principal problema analizar los problemas de confianza implícita en Hacking Ético, para el cual se hizo los códigos de ética y actitud en las empresas de seguridad de la información, comenzó haciendo hincapié en la necesidad de garantizar la mejora continua de los programas de seguridad ceibernética. Luego, describió la importancia de la ética al momento de poner a prueba la seguridad de la información de una empresa. Asimismo, se lista la serie de códigos de ética y conducta en el sector de la seguridad de datos, los cuales son: Código de Ética de la Sociedad de Computación Australiana, Código de Conducta CREST, Código de Ética del Consejo CE, Código de Ética de Certificación de Información Global, Código de Ética Profesional de ISACA y Código de Ética ISC2, obteniendo los siguientes resultados que descubrió que existen códigos de ética, pero de igual manera que, existen certificaciones sin código como es el caso de Offensive Security que no cuenta con uno. También pudo verificar la necesidad de un código uniforme, ya que existen varios que tienen similitud, pero no son completamente alineados entre ellos. Para que el código sea efectivo, debería ser obligatorio y tener una supervisión adecuada como lo demuestran los comités de ética de GIAC e ISACA que revisan los asuntos que no cumplen con sus respectivos códigos, y concluyo que el volumen de información que podría estar en riesgo, incluso durante un período muy corto de unos pocos días, la necesidad de reducir este tiempo tanto como sea posible es crucial e involucrar a un hacker ético para identificar las debilidades en el sistema puede ayudar a asegúrese de que esas debilidades sean remediadas antes de que sean explotadas por un actor malicioso. Debido a la relación de confianza implícita entre un hacker ético y el cliente, el hacker ético está en una 17 posición ventajosa y dado efectivamente el permiso para acceder a cualquier información que pueda, gran parte de lo que podría ser confidencial o sensible en la naturaleza. Lehrfeld & Guest, (2016), en su investigación titulado “Construir un sitio de piratería ética para el aprendizaje y la participación de los estudiantes”. Teniendo como principal problema ataques de acceso no autorizado, robo de credenciales de inicio de sesión, y para el cual se hizo la creación de escenario realista con el objetivo de realizar ataques y tener a su disponibilidad la información de las personas y compradores de un sitio web, y empleo el método de técnicas de pruebas de penetración, dividido en tres fases – reconocimiento, en esta primera etapa se explora y sondea para reunir toda la información, explotación; además busca la etiqueta de identificación, con la finalidad de conseguir entrada a la base de datos back-end para descubrir algún error en la base de datos ejecución; siendo esta la etapa final se hace uso de los informes ordenados con anterioridad , se hace la búsqueda de la web de login con el cual se accedió al sistema, y obteniendo los siguientes resultados que la vulnerabilidad principal encontrada, inyección sql, donde concluyo que la creación de plataformas de ataque para el aprovechamiento de las tecnologías basadas en la web y el uso técnicas de hacking ético ayuda a identificar los tipos de ataque comunes en los sitios web y los métodos para corregir las vulnerabilidades descubiertas; y finalmente evaluó cómo un determinado ataque puede ser mitigado para prevenir la explotación futura. Shetty, Shetty, Shetty, & D’Souza, (2017), en su trabajo de investigación titulado “Estudio de las técnicas de piratería y su prevención”. Teniendo como problema principal actividades de intrusión no autorizada acceso y manipular los datos a través de la red, y para el cual realizo el uso de técnicas de hacking ético, de forma correcta para encontrar fallas, empleo el método de técnicas de hacking, ataque de diccionario, patrón basado en ataque de diccionario, ataque basado en web, inyección sql, cross site scripting (xss), ataque de desbordamiento del bufer, obteniendo los siguientes resultados que las 18 pruebas de vulnerabilidades ayudan a comprender desde varias perspectivas conocimientos básicos para la aplicación de técnicas de hacking, con el propósito de asegurar el resguardo de todo lo que tenga que ver con temas de alta confidencialidad, es importante proteger la red de piratas informáticos y la mejor manera es pensar como ellos, y concluyo que el hacking ético está tomando forma a medida que las empresas crecer y también dependen de la tecnología, es importante tomar medidas preventivas el hacking ético es una opción para mitigar el riesgo de un ataque. López, (2017), realizó la investigación Pentesting en aplicaciones web usando ética - piratería. Teniendo como principal problema vulnerabilidad en el procedimiento de los distintos desarrollos, de las aplicaciones, con el cual se llegaron a describir las pruebas y técnicas de penetración, llegando a usar distintos instrumentos, determinados en software, para detectar las posibles vulnerabilidades, en una determinada aplicación web,con el cual llego a emplear el método de pruebas de penetración usando pentesting, owasp, osstmm, issaf, herramientas para realizar pentesting (burd suite, acunetix - escáner para vulnerabilidades web, sqlmap, whatweb , nessus, kali linux, loro seguridad os, backbox linux, marco de prueba web samurai), obteniendo los siguientes resultados que en ninguna aplicación web está libre de ataques y es completamente segura, pero al ser utilizado los test de intrusión, técnicas, instrumentos de hacking ético y pentestin, por lo tanto, las vulnerabilidades llegan a ser vencidas obviando los futuros ataques, con el cual llegó a concluir, que hoy en día la comunicación el cual tiene, es grande que siempre se va depender de los distintos sistemas en gran parte, las distintas organizaciones, se inquietan por el desarrollo, pero mas no por la seguridad de sus aplicaciones. Ovallos, Rico & Medina, (2020), realizó la investigación Guía práctica para el estudio de puntos débiles de un medio comprador- servidor GNU/Linux a través de la táctica relacionada con el pentesting. El mismo que ha sido afectado por 19 la diversidad de riesgos que tienen la finalidad de ocasionar daños a todo tipo de sistemas. Mayormente son atentados ejecutados por individuos que tiene como finalidad fomentar desorden y conseguir ganancias; empleó un estudio y prácticas que van acorde con el reconocimiento de puertos abiertos, servicios utilizables y flaquezas conocidas en los sistemas de datos; las cuales al mismo tiempo incluyen verificaciones de falsos positivos, lo que posibilita el reconocimiento de vulnerabilidades dentro de la red. Al final de todo ello, se llega a la conclusión que la infracción al protocolo DNS, por medio de la acometida de cambio de lugar realizado en el laboratorio, permitió dar a conocer la inconsistencia del protocolo y los peligros que produce a una empresa la concertación del mismo; puesto que se logró reunir toda la información dada en el protocolo. En otro laboratorio, el vector de ataque fija su mirada en los riesgos a los que pueda exponerse el protocolo de transferencia de archivos a través del empleo de un método de fuerza bruta, usando el instrumento llamado Hydra, pudiendo así desarrollarlo de manera beneficiosa. Esto ayuda a decidir si es o no un protocolo confiable. Manzano, Vite & León, (2019), realizó la investigación Revisión a la Seguridad de Sistemas de Control Industrial que utilizan PLC Siemens S7-1200. El propósito principal fue implantar una serie de pruebas con el fin de ejecutar una evaluación de seguridad en la configuración de medios de inspección relacionados directamente a una red y utilizarlo en el análisis del nivel de seguridad de información en una organización industrial de Tungurahua. La técnica aplicada se fragmentó en los periodos mencionados a continuación dividió: 1) descubrimiento, 2) estudio de los puntos débiles, 3) intrusión e 4) informe. Principalmente analizó la seguridad de dispositivos empresariales y luego, aplicó en el Sistema de Supervisión, Control y Adquisición de Datos de la entidad caso de estudio. Como consecuencia de ello, pudo reafirmar la presencia de riesgos en estos sistemas 20 González & Montesino, (2018), en su proyecto de estudio Capacidades de las técnicas de pruebas de penetración para identificar posibles problemas. El fin fue establecer el nivel de validación de los procesos, instrumentos y comprobaciones de seguridad en las tácticas, OSSTMM, ISSAF, PTES, OWASP, y NIST SP 800-115 al enfrentar los desafíos de ciberseguridad. Utilizaron como base para diferenciar los informes de riesgos de OWASP, y el estudio de todos los informes individuales de las metodologías mencionadas antes. Para el que se realizó un análisis cualitativo que lazó como resultado que la Guía de Pruebas de OWASP es la que está más equipada, sin embargo, no todas ellas demostraron ser capaces de ofrecer técnicas, recursos, o pruebas de seguridad. Los datos obtenidos muestran que es fundamental contar con un proceso de adaptabilidad y mejoramiento de tácticas. Franco Perea & Tovar, (2018), en su trabajo de investigación Instrumento para la Identificación de Riesgos que básicamente está fundamentada en el reconocimiento de Servicios. La meta que busco alcanzar es crear un enfoque para la localización y estudio de áreas vulnerables en la red a través del método ya mencionado. Este enfoque especifica las distintas versiones de cada servicio para después investigar y reconocer los riesgos. Ejecutó un instrumento denominado UdeCEscaner y se eligieron numerosos laboratorios que servirán para ejecutar las prácticas. Concluyo que la adaptación de este enfoque contribuye a un óptimo entendimiento de los verdaderos riesgos. Roba, Vento & García, (2016), en su trabajo de investigación Metodología para la Detección de Vulnerabilidades en las Redes de Datos utilizando Kali-Linux. El fin esencial fue diseñar una táctica para detectar rápidamente cualquier tipo de factor vulnerable. Para ello se ejecuta diversas fases: valoración, realización e informe, de las que, individualmente son soportadas por varios medios incluyendo los softwares. El producto de cada periodo ofrece los datos requeridos para la realización completa de la investigación. Con la finalidad de 21 aprobar la utilidad de la técnica se realizó su adaptación en la base de datos que corresponde a la Unidad Empresarial de Base Logística de la Empresa de Construcción y Montaje de Pinar del Río, saliendo a flote varios riesgos a los que se puede enfrentar. 1.3. Teorías relacionadas al tema. 1.3.1. Definición de Seguridad Informática Según, García, (2015), indica que la seguridad informática es el grupo de dimensiones reactivas y preventivas de los sistemas tecnológicos y empresas que van a llegar a permitir proteger y resguardar la información, tratando de tener la confianza, la integridad y la disponibilidad de las empresas. Asimismo, González, (2016), explica que la seguridad informática como la acción de resguardar la disponibilidad, la integridad y confidencialidad de los activos de las empresas, además, la administración de la seguridad informática debe llevarse, mediante un procedimiento documentado y sistemático reconocido por todo la empresa. Estos tres parámetros básicos del aseguramiento de la información son protegidos con medidas para prevenir y reaccionar frente a los ataques informáticos. 1.3.2. Importancia de Seguridad Informática Hoy en día, se está viviendo diferentes episodios de ciberataques a las organizaciones, asimismo a las importantes empresas tanto privadas, como públicas, han llegado a sufrir los ataques a sus distintos sistemas informáticos, por lo tanto, los ciberataques no solo llegan a perjudicar a los empresarios de las distintas organizaciones y a los clientes, y también pueden perjudicar a la seguridad regional y nacional de los diferentes estados y comunidades, y las diferentes áreas de las empresas. Por consiguiente, (Rodriguez, 2016) explica 22 que es de suma importancia mencionar que la seguridad informática, que la utilización está justificado en la tecnología, el cual debe llegar a ser confidencial, de tal manera que la comunicación tenga un alto valor y este centrada, con el cual pueda llegar a ser más usada, borrada, saboteada, divulgada y robada; por lo tanto la comunicación es poder, y con las distintas posibilidades estratégicas, que llegan a ofrecer, y con el cual tiene entrada a alguna información, el cual se divide en: a) Crítica: Llega a ser imprescindible para ejecución en la organización. b) Valiosa: Llega a ser el activo de la organización, el cual es muy importante. c) Sensible: El cual debe llegar a ser reconocido por todo el personal autorizado. De tal manera, hay dos (2) palabras de suma importancia que sonla seguridad y el riesgo: a) Riesgo: Llega a ser la materialización de vulnerabilidades reconocidas, afiliadas por la probabilidad de amenazas expuestas, de ocurrencias y muchas veces del impacto negativo que va a ocasionar a las actividades de la empresa. b) Seguridad: Son las distintas formas de seguridad en la dificultad de los riesgos. De la misma manera, la seguridad informática capta los diferentes aspectos, entre los cuales la disposición, identificación de los problemas comunicación y análisis de riesgo, confidencialidad, integridad, y recuperación de los riesgos (Rodriguez, 2016). Del mismo modo, la seguridad informática es una ciencia que es el agente de brindar protección a la privacidad e integridad de la información acumulada, en un determinado sistema informático. Asimismo, se encarga de trazar los procesos, técnicas y métodos, los cuales van a estar ordenados a suministrar condiciones confiables y seguras, para los distintos procedimientos de los datos en sistemas informáticos (Rodriguez, 2016). 23 1.3.3. Objeto de la Seguridad Informática Para Villegas, (2014), menciona que la seguridad informática tiene como su principal objetivo los distintos sistemas de usos, interrupciones, accesos, divulgaciones y destrucciones no autorizada de la información, Por lo tanto, las definiciones de seguridad informática, y garantía de la información son utilizadas habitualmente como sinónimos, ya que todos ellos buscan la misma semejanza al amparar la disponibilidad, y la privacidad de la información, pero no llegan a ser cabalmente iguales, ya que existen diferencias sutiles, sin embargo, estas diferencias van a radicar exclusivamente en el enfoque. De tal manera, las diferencias residen especialmente en el enfoque, las zonas de concentración y las distintas metodologías que son utilizadas, por otra parte, la seguridad informática, llega a implicar la implementación de distintas estrategias, que involucren los procedimientos en donde la comunicación en el activo importante. Las estrategias deben llegar a ser el punto principal creación de controles, procedimientos, políticas y tecnologías para encontrar amenazas que llegan a explotar vulnerabilidades, y que lleguen a poner en riesgo dicho activo; que amparan a salvaguardar y proteger la información somo los sistemas que lo administran y almacenan. Por lo tanto, la seguridad informática compete a las entidades militares, los hospitales, el gobierno, las organizaciones privadas, instituciones financieras con la información confidencial sobre sus clientes, investigación, personal, productos y la determinada situación financiera (Villegas, 2014). 1.3.4. Aspectos Fundamentales en la Seguridad Informática Según, Villegas, (2014), menciona que existen distintos aspectos fundamentales los cuales se detallaran a continuación: 24 La Confidencialidad. Es el dominio de llegar a evitar la difusión de datos a los sistemas y personal no autorizado, por lo tanto, la confidencialidad es el ingreso a la información exclusivamente por personas que llegan a contar con la debida licencia (Ortiz, 2015). Sin embargo, Fernandez, (2017), indica que el extravió de la confianza de la información llega a proteger distintas formas. Cuando una persona llega a mirar información por encima de los hombros, a aquella persona que tiene información secreta en la pantalla, al momento de publicar información privada, al momento que una computadora de una organización es hurtada por personas ajenas a la misma, al momento que una información privada es comunicada por teléfono, por tanto, todos estos ejemplos son constituida una violación de la información confidencial. La Integridad. La correlación buscará soportar la conversión no autorizada sin verse afectado por diferentes datos. Esto no significa integridad referencial en diferentes bases de datos. Por lo tanto, integridad significa que la información obtenida según el principio es exactamente la misma y no se modificará ni cambiará, siendo manipulado por procesos y personal no autorizados, el incumplimiento de la integridad llega presentarse cuando un programa, personal o proceso intencionalmente o accidentalmente borra o daña los datos muy importantes que llegan a incluir en la información, además, realiza que la definición llegue a permanecer intacto a menos que sea cambiado por las personas autorizadas, y este cambio se incluido, afirmando su confiabilidad y precisión. Al adjuntar a todo el grupo, verificar la integridad para incluir la integridad de un mensaje específico, las firmas digitales son uno de los pilares principales de la seguridad informática (Alcantára, 2015). 25 Disponibilidad. La disponibilidad es la cualidad, particularidad, y condiciones de la información, de localizarse, distribuciones de quienes van a llegar a entrar, a ella, los cuales son aplicaciones, procedimientos o personas, por lo tanto, la disponibilidad es la entrada, a los sistemas, o información por el personal autorizado, en el mismo instante en que lo necesite, en resumen, el sistema informático utilizado para procesar y almacenar información, las credenciales de seguridad utilizadas para la cobertura y los canales de información de refugiados utilizados para ingresar información deben funcionar correctamente. La admisión a la disponibilidad de los sistemas principales debe llegar a estar en todo momento disponible, en cualquier instancia, llegando a interrumpir los distintos servicios, debido a los cortes de energía eléctrica, actualización de los sistemas, y finalmente los fallos de hardware (Gómez, 2015). Proteger la disponibilidad comprometiendo también la disposición de diferentes ataques, de negación de los servicios, para permitir manipular con una mayor comodidad, la seguridad informática, los negocios y organizaciones, incluso pueden incluir un sistema de control que pueda minimizar, comprender y gestionar las posibles amenazas que atentan la protección informática de la empresa (López, 2015). De tal manera, Gómez, (2015), menciona que la disponibilidad debe de ser de suma importancia, en los procedimientos de seguridad informática, por otra parte, es variada en el conocimiento de que van a existir muchos dispositivos, para llegar a realizar los distintos periodos de servicio necesarios. Estos dispositivos llegan a implementar una infraestructura tecnológica, bases de datos, y servidores web, interviniendo los arreglos de discos y el uso de clúster, servidores de espejo, redes de almacenamiento, los equipos de alta disponibilidad en los diferentes niveles de red, replicación de datos, enlaces 26 redundantes, y la escala de probabilidades dependiendo de lo que llegamos a resguardar, y los distintos niveles de servicio que se requiera suministrar. Autenticación. La autentificación es la pertenencia que va a permitir reconocer al creador de la información, por ejemplo, al momento que va a recibir un determinado mensaje de alguien, para el cual está seguro de que es esa misma persona que le envió el mensaje, y no es otra persona, que llega a suplantar a la otra persona, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un determinado sistema informático se llega a alcanzar este factor con la utilización de cuentas de contraseñas y usuarios de accesos (Caceres & Matí, 2016). 1.3.5. Sistema de Gestión de Seguridad Informática Para, Caceres & Matí, (2016), define que es la fracción de un determinado sistema de gestión general, el cual está fundamentado en un enfoque de riesgos empresariales, que se constituye para ser creado, operar, revisar, mejorar, implementar, supervisar, mantener la seguridad informática. El cual simboliza que va dejar sus actividades de un método intuitivo, con el cual se va a llevar el control de todolo que sucede, en los distintos sistemas de información y sobre la misma información que opera en la empresa. Además, Salcedo, (2014), especifica que para llegar a resguardar la información de una forma eficaz y coherente, es obligatorio implementar un sistema de administración de amparo informático. Así pues, este sistema es una pequeña parte del total, fundamentado en una verificación, de los riesgos de la empresa, que va a permitir una protección total frente a la perdida de: 27 a) Confidencialidad: El cual solo permite conceder la información que se haya autorizado. b) Integridad: El cual significa que la información es completa y exacta. c) Disponibilidad: Por el cual los consumidores autorizados tendrán entradas a la información cuando lo necesiten. Figura 1. Procesamiento de seguridad informática. Fuente: (Lopéz, Sistema de Gestión de la Seguridad Informática, 2017) 1.3.5.1. El Ciclo de Mejora Continua Para establecer y ejecutar un determinado sistema de control de seguridad informática que se utilizara en el ciclo Deming, se le conoce también como ciclo PDCA, el cual siempre se ha utilizado en dicho sistema mencionado antes. (Salcedo, 2014). 28 El ciclo Deming es una definición establecida principalmente por “Shewhart”, pero acondicionado en los diferentes tiempos, sobre los diferentes sobresalientes personajes por todo el mundo de la calidad. Por lo tanto, dicha metodología ha confirmado su determinada aplicabilidad, y ha autorizado constituir la mejora continuidad en empresas de las distintas clases (Gómez, 2015). Además, Salcedo, (2014), indica que el modelo Deming, tienen una orden de acciones y fases que van a permitir constituir un modelo de matrices e indicadores similares en los distintos tiempos, de la misma manera se puede cuantificar los avances de la mejora en la empresa: a) Plan: Es la fase que se interesa en establecer el SG de protección de datos, para el cual se diseña el programa y se planifica, organizando regímenes a adaptar en la empresa. b) Do: Es la fase que se va a implementar y poner en actividad dicho sistema. c) Check: En esta determinada fase se va a revisar y monitorear el sistema de gestión de seguridad informática. d) Act: y finalmente es la fase donde se mejora y mantiene el SG de amparo de información, efectuando y señalando las correctivas y preventivas necesarias para rectificar. 29 Figura 2. Fases del Ciclo de Mejora Continua de la seguridad informática. Fuente: (Bustamante & Osorio, Fases para implementar la ISO 27001 y proteger la Seguridad de la Información, 2014) 1.3.5.2. Definición de Ethical Hacking El incremento adelantado de los diferentes usos de la tecnología a transportado diferentes beneficios, a todas las personas que usan el internet, por lo tanto, hoy en día tienen diferentes aplicaciones, y servicios que una empresa brinda a los clientes, ha llegado a llamar la atención de los agresores informáticos, ya que hoy en día están muy estructurados, con el cual van consiguiendo día tras día capacidades muy específicas para conseguir sus determinadas metas llegar a conseguir muchas ventajas (Ortiz, 2015). Al tiempo que la tecnología va avanzando los distintos intrusiones o ataques llegaron a pasar de ser una cualquiera ralentización de un grupo, a ocasionar 30 perjuicios mayores, los cuales vienen a ser el fraude informático, el robo de la información, daños de sistema, con principales perdidas, financieras, para los directivos de las diferentes redes, el cual llega a causar un desafío, de seguridad, por lo que en un tanteo por terminar estos perjuicios, llegan a reducir las entradas, el cual lleva a que los agresores informáticos usan estructuras, y ataques muy perjudicados (Oñate & Cáceres, 2017). De tal manera, la seguridad en las empresas es de suma importancia para llegar a tener protegidos los diferentes servicios, datos y sistemas. La comunicación que se da en las empresas puede llegar a ser publicadas; el cual pierde toda confianza de la información, por lo que muchas empresas llegan a buscar maestros para poder implantar tácticas de intrusiones en un entorno verificado con el fin de comprender con la finalidad de filtrarse en la red un delincuente real, esta reproducción va a permitir conseguir brechas en la protección, los que pueden ser empleados para llegar a emplear datos o reemplazar la identidad de una persona. En resultado de estas determinadas pruebas, los gerentes llegaran a ejecutar mejoras en las conformaciones, entradas y también pueden diseñar para reparar fallas (Aguilar, & De la Cruz, 2015). Por lo tanto, la piratería ética es un grupo de tácticas usadas para implementar resguardo de red, evaluar estrategias de protección contra vectores de ataques, modernizar la protección de los sistemas de datos, verificar los problemas de la red y después realizar inspecciones, con el cual se mide su nivel de riesgos y sugerir soluciones correctas antes de que lleguen a existir robos o perdidas de la información (Aguilar, & De la Cruz, 2015). Entonces se indica que un concepto bien definido y preciso de hacking ético lo menciona el autor (De la Torre, 2017) quien explica: 31 El principal objetivo de hacking ético, es aprovechar las desventajas e inseguridades que existen en el sistema de afecto, llegándose a valer de pruebas de intrusiones, que llegan a evaluar y verificar la seguridad lógica y física de los sistemas de datos, aplicaciones web, servidores, redes, y otros, con la finalidad de llegar a obtener el acceso e indicar que un sistema de vulnerabilidades, Por tanto, esta información es de gran ayuda para que la empresa resista posibles ataques maliciosos a la hora de tomar medidas preventivas, por lo que el servicio de hacking ético incluirá la copia de la posibilidad de un ataque de forma controlada. La función de los delincuentes cibernéticos Este comportamiento es razonable en la idea de atrapar al intruso y debe considerarse como un intruso. Por consiguiente, se puede indicar que un concepto muy veredicto sobre hacking ético es del autor (Torvalds & Castells, 2018) quien explica que: Hoy en día, en medio de la tecnología se encuentran ciertas personas, que se hacen llamar hackers, quienes indican que son personas que trabajan como programadores de forma apasionada y consideran que tienen la misión de brindar cierta informaciones y producir software gratuito, no se debe equivocar con los crackers, ya que los usuarios destructivos tienen la finalidad principal de crear un virus y colocarlos en otros sistemas, por lo tanto, un hackers es un maestro o una persona entusiasta de otra índole que quiera dedicarse o no a la informática, el principio del trabajo para un determinado hackers esta fundado en la valoración de la creatividad. Por lo anterior, la ventaja se centra en los objetivos como obtener la preferencia de la gente, lograr una buena acogida, la franqueza y la transparencia. 32 Por otra parte, las capacidades importantes de un determinado hacker ético son: conciencia, verdad, libertad, social, pasión, igualdad social, anticorrupción, actividad, curiosidad, accesibilidad, creatividad, preocupación responsable, creatividad, interés y entre otros. 1.3.5.3. Tipos de Hacker Según, Flores, (2018), indica que existe diferentes tipos de hacker y son: A. Hacker de sombrero negro o crackers Son aquellos transgresores o maliciosos que se desenvuelven en el campo de la informática, reconocidos crackers, por lo tanto dichas personas siempre están indagando para romper las seguridades de los sistemas de información donde puedan realizar o perjudicar a otros, con ventajas personales o monetarias, estos transgresores informáticos siempre están buscando el camino donde hay menor resistencia, ya sea por algunadeficiencia de las personas, o de las mismas vulnerabilidades o cualquier tipo de fallas en la seguridad de la información. B. Hacker de sombrero gris Son los que realizan el trabajo en diferentes momentos ya pueda ser de forma defensiva y ofensiva, principalmente llegan a superar los límites de las leyes. C. Hacker de sombrero blanco Son aquellos que vienen usando conocimientos que pueden ser defensivos, de la misma forma en base a sus habilidades que pueden localizarse implementando contramedidas y localizar amenazas. 33 D. Hacker Ético El hacker ético viene a ser los expertos de la seguridad con extensas habilidades y conocimientos, los cuales llegan hacer ataques en los sistemas informáticos, en nombre de los representantes, el cual está en busca de fallos de seguridad con el determinado propósito de informar sobre las posibles remediaciones y vulnerabilidades detectadas. 1.3.5.4. Tipos de Pruebas de Penetración Para, López, (2017), menciona que este tipo de prácticas de penetración se centran especialmente en las perspectivas mencionadas a continuación: a) Pruebas de penetración con objeto: Es quien se encarga de buscar puntos débiles en componentes principales de los diferentes sistemas relacionados con la informática delicados de la empresa. b) Pruebas de penetración sin objeto: Es el procedimiento que determina la verificación total de elementos de los diferentes sistemas en la compañía. c) Pruebas de penetración ciega: Vienen siendo usado especialmente en la información pública, por lo tanto, esta práctica trata de reducir las arremetidas externas. d) Pruebas de penetración informadas: Aquí son usadas la información privada, consentidos por la empresa sobre los sistemas informáticos, por otra parte, en esta prueba de penetración informada se van a simular los atentados ejecutados por personas internas de la empresa que tienen entradas a la información privada de la misma. e) Pruebas de penetración externas: Se realizan en las afueras de los establecimientos de la empresa, su principal objetico de esta prueba de penetración es determinar los instrumentos para el amparo de la compañía. f) Pruebas de penetración internas: En esta penetración se realizan dentro del establecimiento de la organización, donde se busca determinar los dispositivos internos de la protección de la empresa. 34 1.3.5.5. Modalidades de Hacking Ético Según, Astudillo, (2018), señala que hay distintas formas de Ética Hacker, sin embargo, las que sobresalen y son más reconocidas son las siguientes: A. Hacking ético externo caja blanca: la empresa nos proporciona sin ningún problema datos e información de todas las áreas, elementos y actividades que se realizan dentro de la misma y de esa manera poder llevar a cabo las pruebas. Al final del estudio se obtienen una serie de datos, sobre los puntos débiles de la compañía, y a su vez añade una serie de sugerencias para reforzar, evitar los fallos y mejorar. B. Hacking ético externo caja negra: Ante todo, cabe resaltar que esta modalidad es parecida a la mencionada en el punto anterior, pero se diferencian en que la empresa no brinda ninguna clase de información. Este tipo de hacking es el que se ejecuta en la realización de este proyecto. C. Hacking ético interno: Se investiga y analiza el interior el sistema o la red, y de tal forma confrontar cualquier tipo de problema con respecto a violación de la seguridad o la intervención de algún sujeto desconocido que tenga la intención de hackear que muchas veces quieren robar datos importantes, estas acciones pueden ser ejecutadas por cualquier tipo de persona, incluso del mismo personal de la compañía. 1.3.5.6. Fases del Hacking Ético Se considera que cuando un intruso ingresa a la red, realiza o pasa por cinco etapas, a las cuales se les conoce como el círculo del hacking, los mismos que están siendo examinados por “Certified Ethical Hacker- Certificado Hacker Ético”: 35 Figura 3. Circulo de fases del Hacking Ético. Fuente: (Berrio, Hacking Ético “VS” Defensa en Profundidad, 2018) 1.3.6. Reconocimiento Para, Niño, (2018), señala que es la etapa en la que el individuo se está organizando para iniciar con la recopilación e investigación de datos importantes que necesitan para un fin determinado, y lo hacen por medio de la utilización de diversos recursos o métodos. Por consiguiente, es esencial mencionar que hay dos formas de reconocimiento que son: 36 Reconocimiento Pasivo. Se basa en colección e investigación de información, pero sin que exista algún tipo de relación o conexión directa con la compañía que va a ser afectada. Este tipo de reconocimiento puede hacerse desde lejos, a través de la observación y vigilancia hacia el objetivo. Pero, lo más común es que se lleve a cabo por medio de internet, en donde los datos requeridos se encuentran con mayor facilidad y precisión. Reconocimiento Activo. A diferencia del reconocimiento anterior, este si requiere de una relación de cerca y directa, lo cual significa que va a tener que ingresar a la red para conseguir mayores datos, sin embargo, los que utilizan esta modalidad se arriesgan a ser descubiertos. Existe el riesgo de que la empresa actúe de inmediato y de con la localización e identidad del intruso. Cabe resaltar que los dos tipos de reconocimientos son fundamentales, pues sin importar como, o de qué manera siempre terminan obteniendo la información que necesitan. Esta es una etapa un poco complicada para los invasores de la red, pues a raíz de esta y lo que se logre se definirá el uso que les den a las siguientes etapas. Usualmente resulta ser un tanto sencillo averiguar o conocer la clase de servidores (http) que se están empleando, así como los sistemas operativos que usa una empresa. Estos datos posibilitan detectar cualquier error o falla que presente el sistema, y de esa manera evitar que cualquiera tenga un fácil acceso al mismo. 1.3.7. Exploración o Escaneo Este periodo tiene mucho que ver y requiere del cumplimiento de la fase anterior en donde se investigaron datos importantes sobre el sujeto o la compañía para de esa manera atentar contra los mismos. Los recursos o técnicas que generalmente se utilizan en este periodo es el escaneo de puertos, detección de puntos débiles, etc. (Plinio, 2012). 37 1.3.8. Ganancia de Acceso Aquí es donde el trabajo del intruso cobra sentido, pues es aquí en donde las áreas débiles que han sido detectadas antes son utilizadas y aprovechadas para conseguir una fácil entrada a la red. En la ganancia de acceso, el infiltrado obtiene múltiples puertas con las que puede manejar totalmente el sistema y todos los que se encuentran conectados y relacionados con ese, a su vez se encuentran expuestos (Plinio, 2012). Se puede atentar contra la empresa totalmente a través del sistema con el que funciona, por áreas, aplicaciones tecnológicas, destrezas o por medio de algo que los hackers tienen a favor y a esto nos referimos a los fallos de un sistema, debilidades, y otro tipo de problemas con la seguridad. Algunas formas de atentar contra el blanco son por medio de diversas formas, entre las cuales tenemos, el descontrol de datos, rechazo de servicio, hackeando el acceso a los sistemas, conseguir de manera ilícita claves, por medio de distintas tácticas, entre otras formas (Plinio, 2012). 1.3.9. Mantener el Acceso Cuando ya se ha logrado entrar al sistema, lo primordial en ese preciso momento es conservar ese acceso, ya que existen múltiples formas de perderlo cuando el intruso es detectado. Se busca tener una accesibilidad para cuando se requiera posteriormente, esto se puede conseguir por medio de puertas traseras, virus troyanos y otros. Aquí, el hacker debe hacer todo lo posible para no perder el acceso y esto implica emplear sesionesde Telnet y FTP (Fernandez, 2017). Cuando se llega a esta fase, el hacker tiene el control de la información, por lo que él decide qué hacer con la misma, puede modificarla a su antojo, atentar contra el funcionamiento del sistema, y de sus aplicaciones. 38 1.3.10. Borrado de Huellas Reyes, (2015), menciona que cuando el infiltrado ha podido tener una entrada triunfante y ha conseguido lo que quería, llega el momento de investigar y eliminar todo rastro de intrusión, y todo ello se lleva a cabo con el fin de conservar el acceso y entrar fácilmente cuando se desee. 1.3.11. Beneficios del Hacking Ético Reyes, (2015), menciona que el uso del hacking ético permite detectar que tan seguro es el sistema de la empresa, que son las mismas tácticas que pondría en práctica un verdadero hacker, de tal modo, la vulnerabilidad del sistema será medible. Las pruebas de introducción y de invasión llevadas a cabo por un intruso ético se tienen como fin ordenar y asegurarse de los problemas y debilidades con las que cuenta un sistema, mas no en la manera en que estas afectan a la empresa. Además, Reyes, (2015), indica que al terminar el tipo de pruebas antes mencionadas y realizadas por el hacker, los resultados se implantan en un tipo de informe donde se señalan las debilidades halladas, y al mismo tiempo se ofrecen las sugerencias u opciones para dar solución a los problemas de seguridad. Es fundamental que el documento que se entregue tenga finalidades técnicas y ejecutivas, de modo que el personal técnico y de gestión comprendan los riesgos y puedan tomar cartas en el asunto. Las ventajas que se consiguen al ejecutar un hacking ético son múltiples, sin embargo, las primordiales son: a) Facilita el conocimiento de las debilidades con el fin de mejorarlas a tiempo. 39 b) Permite conocer configuraciones inadecuadas o indebidas en aplicaciones que se encuentran implantadas en los sistemas, las cuales resultan ser un riesgo para la organización. c) Reconocimiento de los errores en sistemas debido a la carencia de actualizaciones. d) Reducir el tiempo de respuesta necesitado para enfrentar todo caso que tenga impactos negativos. Cabe resaltar que es esencial considerar las dimensiones legales en la ejecución de un hacking ético. Dichos aspectos deben ser tomados en cuenta por la misma empresa y sus clientes, pues incluyen seguridad, confidencialidad, dicho de otro modo, los datos que se consigan serán usados para bien y para los objetivos planteados anteriormente. En relación con la empresa que contrata los servicios, esta debe asegurar que los datos que brinda de las pruebas de infiltración son verdaderos. de manera que los resultados sean lógicos, coherentes, adecuados y precisos. 1.3.12. Metodologías del Hacking Ético Los datos e información de una organización son elementos fundamentales para la misma. Sin embargo, existe la posibilidad de que los sistemas no sean tan seguros como parece, por lo que la actividad organizativa de la compañía se ve afectada. Es aquí donde hace falta realizar un estudio sobre esta situación y asegurarse de que se hayan eliminado por completo los problemas de seguridad. Los técnicos hacen su aparición e incluso acuden a la ayuda de grandes profesionales expertos en esta área con el fin de llevar a cabo un mejor estudio de la variable en cuestión, y a su vez ejecutan y manejan diversas pruebas y ataques con el objetivo de ver si el sistema es totalmente seguro y aprueba con éxito cualquier imprevisto que pueda suceder, en este caso, ataques (Sogeti, 2018). 40 Asimismo, Sogeti, (2018), señala que toda la información obtenida y gestionada por los expertos responsables de llevar a cabo la evaluación de puntos vulnerables se orientan por distintos modelos de hacking ético actualmente existentes, con el objetivo administrar y organizar todo su trabajo sin dejar de lado ningún aspecto u área de la red, con una adecuada y precisa presentación de los datos obtenidos, entre los métodos más esenciales están: OSSTMM, ISSAF, OWASP. 1.3.12.1. OSSTMM Para, Crúz, (2017), señala que OSSTMM, es un modelo que se encarga de asegurar y verificar constantemente la seguridad del sistema. Este plan comienza el año 2000 con un incremento y aprobación por los medios de protección. Asimismo, durante el año 2005, esta metodología ya no solo era estimada porque permitía la realización de prácticas óptimas, sino que también comenzó a ser apreciado porque garantizaba seguridad total. Para el año siguiente, el OSSTMM pasó a ser una de las herramientas más usadas, dada su eficacia (Sogeti, 2018). Hoy en día el sector de redes en las compañías generalmente cambia y se convierten en algo difícil y con una infraestructura distinta, con la incorporación al mercado de la comunicación a distancia. Los modelos para un estudio de áreas vulnerables tienen que someterse y adaptarse a tales solicitudes, motivo por el cual OSSTMM hizo algunas modificaciones en sus versiones y de tal forma es útil para la realización de pruebas en distintos lugares y medios (Sogeti, 2018). Crúz, (2017), indica que esta táctica posibilita la ejecución eficaz y eficiente de las actividades requeridas para que tanto administradores como técnicos y expertos en temas de seguridad lo empleen para estudiar, realizar pruebas y verificar que el sistema se desenvuelva eficazmente en caso de que cualquier hacker desee entrar en el para obtener información indebidamente, y en caso 41 de que los resultados no sean los que esperaban, es necesario fijar las acciones a realizar para mejorar y contrarrestar el problema. Siguiendo a Crúz, (2017), señala que su objetivo o meta se enfoca en ofrecer o proveer un manual científico para la identificación adecuada del nivel de seguridad operacional, a través del estudio y la investigación y la relación de los resultados obtenidos de una manera segura y eficiente. Cabe resaltar, que una de las características sobresalientes de este manual es su capacidad de adaptarse a todo tipo de auditoría, tomando en cuenta también las pruebas de intrusión, ética de hacker, estudio de vulnerabilidades y de seguridad, red- teaming8, blue-teaming, entre otras. Figura 4. Esquema del Manual de la Metodología Abierta de Testeo de Seguridad (OSSTMM). Fuente: (Parandini & Ramilli, Towards a practical and effective security testing methodology, 2010) 42 1.3.12.2. ISSAF Según, Gontharet & Testing, (2015), explica que es el recuadro de la apreciación del amparo del sistema de datos, es el más reconocido como Information Systems Security Assessment Framework, el cual fue implementado por la OISSG para envolver los requisitos de la empresa que son resueltos en un entorno donde la información va ser un activo de la empresa, existen una cantidad de organizaciones que no se preocupan por la seguridad informática, el cual va tratar de cumplir sus objetivos, es aquí donde OISSG va enfocar sus metas al implementar ISSAF, brindando extensiones de empresas con la incorporación de la tecnología, al crecimiento de funciones industriales. Gontharet & Testing, (2015), explica que Information Systems Security Assessment Framework es un escrito de observación para la valoración de la protección que normaliza los procedimientos de prácticas de los sistemas de amparo, uno de los principales desigualdades en relación a los distintos informes, y manuales de apreciación de áreas débiles, es que este escrito se va hallar no solo en un manual paso a paso, de cómo se va ir llevando una verificación de la seguridad, y solo así va a facilitar a los instrumentos, que posiblemente estarán entregando la información necesaria para completar las distintas plantillas del escrito, así mismo explica el cómo y porque las medidas de seguridad estarán siendo evaluadas. InformationSystems Security Assessment Framework está dirigido a los administradores de la seguridad perimetral, responsables de la vulnerabilidad externa e interna, consultores e ingenieros de la seguridad, gerentes de los sistemas y redes, administradores y técnicos funcionales, y finalmente conjunto de seguridad informática (López, 2015). 43 Figura 5. Fases a seguir en la metodología de Information Systems Security Assessment Framework (ISSAF). Fuente: (Álvarez, Propuesta de una metodología de pruebas de penetración orientadas a riesgos, 2018) 1.3.12.3. OWASP Según, Sanz, (2018), explica que el Open Web Application Project, conocido también como OWASP es una idea a nivel mundial que está orientado a modernizar la seguridad de aplicaciones fomentando y motivando de la misma forma a los creadores adjudicados o autónomos asimismo de alguna empresa, a fabricar el trabajo que está brindando confianza en las diferentes aplicaciones, desarrollados en el desembargo de las empresas. 44 A nivel internacional están llenos de aplicaciones, motivo por el cual se necesita, de un modelo de desarrollo que va a permitir tener de una forma ordenada, toda la capacidad de internet, si se hace una verificación de las funciones en línea que llega hacer una persona en el tiempo de su vida día tras día, se puede constatar que la tecnología ha brindado muchos procedimientos los cuales vienen a ser accesos a correo, accesos a documentaciones, pago de servicios, transferencias, etc. Y muchas veces se llega a realizar desde un determinado aplicativo, instalado en el teléfono inteligente. Pero si cada persona llegara conocer el verdadero riesgo que lleva a usar estos aplicativos computacionales y celulares, muy probablemente no se llegara a usar, sin embargo, dar este paso será un paso atrás en el tiempo y ponerse al día con el progreso tecnológico. Esta es la única razón clave para que los clientes confíen en el único propósito de usar el programa, incluso si tienen cierta comprensión y debilidades en el Los desarrolladores, como todos sabemos, en la producción pueden provocar muchos errores en la línea de código al momento de aplicar programas. Después de citar este material de referencia, podemos centrarnos razonablemente en la seguridad informática y la seguridad del código fuente que proporcionamos al mundo (Ortega, 2018). El Open Web Application Project es la sociedad plenamente abierta conformada por un conjunto de personas que se ofrecen a velar por la seguridad de la base de datos dedicadas a ayudar con las evaluaciones y correcciones de las diferentes aplicaciones, el cual va a conectar los diferentes errores que son realizados a nivel de códigos de las aplicaciones, por los investigadores de las aplicaciones, para llegar a verificar los riesgos, que van a originar las fallas a la organización y produce un determinado plan de rectificación de las aplicaciones que se han encontrado con riesgo (Astudillo, 2018). 45 Figura 6. Esquema de Open Web Application Project (OWASP). Fuente: (Cuthbert, Estándar de Verificación de Seguridad en Aplicaciones 3.0.1, 2017) 1.3.12.4. PTES (Penetration testing execution standard) Esta metodología fue realizada en base a otras de pruebas de penetración existentes a fin de hacer un standard a pesar que se enmarca en la metodología OSSTMM. En cuanto a Ámbito y enfoque se adapta a cualquier ámbito de aplicación y se combina perfectamente con OWASP, dándole agilidad y cimentación a la auditoría de seguridad. Así, de acuerdo al Alcance PTES está orientada a 46 niveles técnicos específicamente; por otro lado, en cuanto a la Profundidad, Elkan, (2017), afirma que PTES son métodos básicos y guías en ciertos escenarios; pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales, cubriendo una prueba de penetración. En cuanto a evaluación al riesgo, esta metodología maneja niveles de riesgo dirigidos a un lenguaje para negocio y una descripción cualitativa, lo que permite una fácil comunicación con el cliente. Por lo tanto, las 7 fases que maneja esta metodología. La primera llamada Pre- compromiso; en esta etapa se define el alcance de la auditoría de seguridad, la estimación del tiempo, tipo de pruebas, detalles de ingeniería social, gerentes de unidad, administradores de sistemas, denegación de servicio, calendario periódico, entregas de informe de estado y permisos para probar. Luego viene la segunda fase de Recolección de información, la cual busca levantar información publicada en motores de búsqueda, también se define el objetivo de la prueba. La tercera fase es el modelado de amenazas donde se identifican y clasifican los activos primarios y secundarios, realizando un mapa contra los mismos. Sigue el análisis de vulnerabilidades, que es la cuarta fase, aquí se realizan escáneres de aplicaciones web, ataques de fuerza bruta, monitoreo de tráfico. Luego, en la quinta fase que es explotación junto con las dos fases anteriores, se realiza la evasión de software o hardware que trate de impedir la auditoría, como, por ejemplo, un firewall, IDS, IPS, WAFS. En sexta fase, de post-explotación se centra la recopilación de evidencias y en cómo valorar el impacto real del ataque y hasta dónde puede llegar el sistema comprometido, incluyendo borrado de huellas y hacer persistente la intrusión mediante conexión inversa, rootkits y puertas traseras entre otros. En la última fase, involucra la realización de informes técnicos y ejecutivos como resultado de la auditoría de seguridad. 47 1.3.12.5. Comparación de las Metodologías Para, Ortega, (2018), indica que se llevan a cabo las medidas tomadas como mención en el trabajo de titulación, las vulnerabilidades y análisis de riesgos de las infraestructuras tecnológica, de la gestión de riesgos usando las diferentes metodologías de hacking ético, y son los siguientes: 48 Tabla 1. Comparación de las metodologías. CARACTERISTICAS METODOLOGIAS OSSTMM OWASP ISSAF PTES Determina los pasos que se deben seguir para ejecutar una buena evaluación NO NO SI NO Permite ejecutar estudios de seguridad a cualquier sistema informático SI NO SI SI Contiene plantillas para realizar las pruebas SI SI SI SI Define áreas de alcance NO SI SI NO Contiene pruebas de ejemplos y resultados NO SI SI NO Detalla técnicas para las evaluaciones NO SI SI NO Da a conocer procesos evaluación de riesgos SI SI SI SI Recomienda Herramientas para cada prueba NO SI SI NO Enumera y clasifica las vulnerabilidades encontradas NO NO SI NO Define dimensiones de seguridad a evaluar SI NO NO SI Es un estándar SI SI NO NO Produce informes SI SI SI SI Da recomendaciones NO NO SI SI Contiene referencias a documentos y enlaces NO SI SI NO Presenta Evaluaciones a aplicaciones web SI SI SI NO Presenta acuerdo de confidencialidad SI NO SI NO Mantiene actualizaciones al día SI SI NO NO Nota: La comparación de metodologías que ha usado el autor para ver cuál es la mejor. Fuente: (Molina & Zea, Comparación de metodologías en aplicaciones web, 2018) 49 1.3.13. Definición de términos básicos ACK: Hace referencia a la respuesta que se da como confirmación de recepción de un mensaje. Por ejemplo, si un dispositivo ha recibido la información que se le ha enviado, este enviará una señal afirmando la recepción de la misma. ARP: Hace posible conocer y localizar la dirección Media Access Control que es proporcional a cierta dirección de protocolo de internet, presentándose como interprete e intercesor. Ataque: Hace referencia al acto que se ejecuta en otro lugar, distinto al del hablante y del destinatario