Logo Studenta

Castillo Vera, Olegario

Hackear

Teodoro Olivares

User badge image

Orlando Perez

¿Te gustó este material? ¡Compartir! 🧡
¡Este material tiene más páginas!

Vista previa del material en texto

FACULTAD DE INGENIERÍA, ARQUITECTURA Y 
URBANISMO 
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS 
TESIS 
EVALUACIÓN DE METODOLOGÍAS DE HACKING 
ÉTICO PARA EL DIAGNÓSTICO DE 
VULNERABILIDADES DE LA SEGURIDAD 
INFORMÁTICA EN UNA EMPRESA DE SERVICIOS 
LOGÍSTICOS 
TESIS PARA OPTAR EL TÍTULO PROFESIONAL DE 
INGENIERO DE SISTEMAS 
Autor(a) (es): 
Bach. Castillo Vera, Olegario 
ORCID: https://orcid.org/0000-0003-4963-4146 
Asesor(a): 
Mg. Tuesta Monteza, Víctor Alexci 
ORCID: https://orcid.org/0000-0002-5913-990X 
Línea de Investigación: 
Infraestructura, Tecnología y Medio Ambiente 
 
Pimentel – Perú 
2021 
 
 
 
https://orcid.org/0000-0003-4963-4146
https://orcid.org/0000-0002-5913-990X
ii 
 
APROBACIÓN DEL JURADO 
 
EVALUACIÓN DE METODOLOGÍAS DE HACKING ÉTICO PARA EL 
DIAGNÓSTICO DE VULNERABILIDADES DE LA SEGURIDAD INFORMÁTICA 
EN UNA EMPRESA DE SERVICIOS LOGÍSTICOS 
 
 
___________________________________ 
Br. Castillo Vera, Olegario 
Autor 
 
 
 
_____________________________________ 
Mg. Tuesta Monteza, Víctor Alexcis 
Asesor 
 
 
 
_______________________________ _____________________________ 
Dr. Ramos Moscol, Mario Fernando Mg. Chirinos Mundaca, Carlos Alberto 
Presidente de Jurado Secretario de Jurado 
 
 
 
_____________________________________ 
Mg. Tuesta Monteza, Víctor Alexcis 
Vocal de Jurado 
 
 
 
 
 
iii 
 
 
Dedicatorias 
 
 
A mis hijos Eduardo & Dylan, 
por ser mi motor y motivo los 
cuales me permiten seguir 
creciendo cada día, por ser mi 
fuerza cada mañana, además a mi 
esposa Milagros, por apoyarme 
incondicionalmente, por darme 
aliento a seguir luchando por mis 
sueños, por su paciencia y 
dedicación, y finalmente a mi 
familia porque me inculcaron a 
luchar por mis sueños. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
iv 
 
Agradecimientos 
 
 
A Jehová Dios, por permitir, que 
siga estudiando, por darme la vida, 
salud, por darme fuerza suficiente 
para perseguir mis sueños, y por 
ser mi motor en todo momento. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
v 
 
Resumen 
El trabajo de investigación expuesto se basa en evaluar metodologías de hacking 
ético. Según, Huiman, (2018) indica que “en Perú, las organizaciones reconocen 
de los peligros riesgos de ciberataques suponen para sus actividades y procesos, 
capacidad de producir, reconocimiento y reputación para el negocio que dirigen. 
Por lo tanto, Albújar, (2015) menciona que “ahora la ciberseguridad ya no es 
tomada como una simple cualidad de sistemas, sino más bien como un valor 
agregado a un servicio fundamental”, asimismo el principal blanco de todos 
ciberataques va a ser las diferentes aplicaciones web; por lo tanto, estos son el 
principio de toda comunicación al mundo actualizado. El objetivo es evaluar de 
metodologías de hacking ético para el diagnóstico de vulnerabilidades de la 
seguridad informática en una empresa de servicios logísticos. La metodología 
empleada en esta investigación fue un estudio teórico de las metodologías de 
hacking ético para su implementación, los escenarios se basan en las pruebas 
realizadas a la empresa cliente durante la etapa de análisis, las cuales fueron: 
pruebas a puertos abiertos, pruebas hacia servidores web, pruebas al servidor FTP, 
atentados de fuerza bruta, donde se van a hacer las pruebas de hacking ético, 
asimismo se implementó la metodología de hacking ético donde se utilizó Nessus 
porque se profundiza más acerca de los sistemas que son objetivos, y burp suite 
ya que combina técnicas automatizadas y métodos manuales, finalmente se realizó 
las mediciones de hacking ético. Los resultados fueron que la metodología 
OSSTMM es la más eficiente para detectar vulnerabilidades de la seguridad 
informática en una empresa de servicios logísticos. Ello se evidencia después de 
evaluar las metodologías de hacking ético OSTMM e ISSAF, donde OSTMM es 
más eficiente 96% que ISSAF, llegando a concluir que tiene mayor eficiencia en el 
tiempo de recuperación ante caídas del sistema, en la detección y el diagnóstico de 
vulnerabilidades en una empresa de servicios logísticos, ya que recupera en 13,75 
horas el sistema caído. 
 
Palabras Clave: Detección, diagnostico, hacking ético, vulnerabilidades. 
 
 
vi 
 
 
Abstract 
 
The exposed research work is based on evaluating ethical hacking methodologies. 
According to Huiman, (2018) indicates that “in Peru, organizations recognize the 
dangers of cyberattacks for their activities and processes, the ability to produce, 
recognition and reputation for the business they run. Therefore, Albújar, (2015) 
mentions that "now cybersecurity is no longer taken as a simple quality of systems, 
but rather as an added value to a fundamental service", also the main target of all 
cyber attacks will be the different web applications; therefore, these are the 
beginning of all communication to the actualized world. The objective is to evaluate 
ethical hacking methodologies for the diagnosis of computer security vulnerabilities 
in a logistics services company. The methodology used in this research was a 
theoretical study of ethical hacking methodologies for its implementation, the 
scenarios are based on the tests carried out on the client company during the 
analysis stage, which were: tests to open ports, tests to servers web, tests to the 
FTP server, brute force attacks, where the ethical hacking tests will be carried out, 
the ethical hacking methodology was also implemented where Nessus was used 
because it delves more deeply about the systems that are targets, and burp suite 
Since it combines automated techniques and manual methods, ethical hacking 
measurements were finally made. The results were that the OSSTMM methodology 
is the most efficient to detect computer security vulnerabilities in a logistics services 
company. This is evidenced after evaluating the ethical hacking methodologies 
OSTMM and ISSAF, where OSTMM is 96% more efficient than ISSAF, reaching the 
conclusion that it has greater efficiency in recovery time from system crashes, in the 
detection and diagnosis of vulnerabilities. in a logistics services company, since it 
recovers the downed system in 13.75 hours. 
 
Keywords: Detection, diagnosis, ethical hacking, vulnerabilities. 
 
 
 
 
vii 
 
Índice 
I. INTRODUCCIÓN ........................................................................................................ 8 
1.1. Realidad Problemática. .................................................................................... 8 
1.2. Trabajos previos. ............................................................................................. 12 
1.3. Teorías relacionadas al tema. ....................................................................... 21 
1.4. Formulación del Problema. ........................................................................... 55 
1.5. Justificación e importancia del estudio. .................................................... 55 
1.6. Hipótesis. ........................................................................................................... 57 
1.7. Objetivos. ........................................................................................................... 57 
1.7.1. Objetivo general. ....................................................................................... 57 
1.7.2. Objetivos específicos. ............................................................................. 57 
II. MATERIAL Y MÉTODO .......................................................................................... 58 
2.1. Tipo y Diseño de Investigación. ................................................................... 58 
2.2. Población y muestra. ...................................................................................... 59 
2.3. Variables, Operacionalización...................................................................... 62 
2.4. Técnicas e instrumentos de recolección de datos, validez y 
confiabilidad. ............................................................................................................... 63 
2.5. Procedimiento de análisis de datos. .......................................................... 64 
2.6. Criterios éticos. ................................................................................................ 66 
2.7. Criterios de Rigor Científico. ........................................................................ 67 
III. RESULTADOS. ..................................................................................................... 68 
3.1. Resultados en Tablas y Figuras. ................................................................. 68 
3.2. Discusión de resultados. ............................................................................... 87 
3.3. Aporte práctico. ................................................................................................ 88 
IV. CONCLUSIONES Y RECOMENDACIONES ................................................. 132 
4.1. Conclusiones. ................................................................................................. 132 
4.2. Recomendaciones. ........................................................................................ 133 
REFERENCIAS. .............................................................................................................. 134 
ANEXOS. ......................................................................................................................... 140 
 
 
8 
 
I. INTRODUCCIÓN 
1.1. Realidad Problemática. 
En la actualidad las instituciones privadas y públicas, en las que podemos 
encontrar a las de servicios logísticos, las que ocupan un lugar importante 
donde pueden transferir la seguridad informática, el cual puede ser mayor a 
menor cantidad, el aumento del avance de la tecnología de la seguridad 
informática, se considera que las organizaciones, tanto del gobierno e 
instituciones, lleguen a estar ansiosas de formar parte de este gran cambio, y 
actualmente se vienen anotando, el número de ataques de piratas informáticos 
a los usuarios de Internet ha aumentado considerablemente, lo que ha 
provocado la pérdida de la información importante (Lund, 2018). 
 
En un principio estos tipos de instrucciones o ataques se realizaban mediante 
benignas, ya que, en el peor de los panoramas, se consideraba la ralentización 
del equipo; además en futuro pasaran a perjudicar los sistemas en forma 
completa, sacar información que solo compite a la empresa, y quitar archivos. 
Por lo tanto, los propietarios y/o administradores en un intento de llegar a 
proteger los sistemas de la empresa, colocan más claves a las PC, debido a 
que los cráquer iniciaron con ataques cada vez más perjudiciales para las 
empresas (Gutierrez, 2014). 
 
Actualmente, en el Perú, las organizaciones son conscientes de los riesgos que 
plantean los ciberataques para sus operaciones, productividad y reputación 
corporativa. Es por eso que la seguridad de la red ya no se considera como una 
simple calidad del sistema, sino como un valor agregado de los servicios 
básicos. Por lo tanto, un determinado servicio que se está mostrando en el área 
estratégica, para las empresas, “y que se ha logrado en base a alejarse de las 
típicas frases y mentalidades negativas, tales como”, no se llega a aplicar aquí, 
rechazan a renovar los sistemas, las practicas que han venido realizando tanto 
tiempo, y hasta los últimos tiempos (Albújar, 2015). 
9 
 
 
La manera en que las personas ven el tema de seguridad de información 
supone que muchos no le den el valor que debería dársele. En el país, según 
la Agencia Peruana de Noticias (Andina, 2019) menciona que la carencia se 
manifiesta en el bajo nivel de seguridad que muestra el país en comparación 
con los países de Latinoamérica y el Caribe. Según la investigación de 
Business Software Alliance, el sesenta y cinco por ciento del soporte lógico 
empleado en Perú es ilícito, motivo por el cual, de hecho, también se puede 
mencionar que (1) de cada cuatro (4) software es pirateado e infectado. La 
pérdida o robo de información se ve comprometida, lo que significa que, aunque 
las organizaciones comienzan a implementar estrategias de seguridad 
informática, aún deben combatir este desequilibrio y prestar más atención al 
desarrollo de estándares. 
 
Asimismo, Ruíz, (2016), menciona que la falta de normas en el control, gestión 
y seguridad informática, no permite que el Perú se desarrolle y llegue a ampliar 
la brecha con otros países desarrollados, y un punto importante es que el Perú 
no está siendo considerado internacionalmente como un país con un adecuado 
grado de resguardo de información personal, y por el cual el Perú viene 
perdiendo muchos beneficios, ya que el flujo internacional de base de datos es 
un punto clave en el factor cardinal, para progresar en diferentes actividades, 
de tal manera El Departamento Nacional de Planeación de la República de 
Colombia menciona que en su cuaderno de conexión, todos los países que 
están proceso de desarrollo se deben ayudar mutuamente, en las diferentes 
tecnologías de seguridad informática, como una coyuntura única para llegar a 
conseguir los diferentes avances ya sea cultural, social, político o económico, 
en favor de la reducción de otros países que ya son desarrollados. Además, se 
puede destacar que la seguridad informática es un elemento de mucho interés, 
para llegar a reconfortar en la seguridad al usar las TIC, con el cual va a permitir 
la existencia de una sociedad digital incluyente y vinculada. 
10 
 
 
De tal manera, en el país las empresas llegan a interesarse y depender de las 
diferentes redes de comunicación e informática, y si llegan a tener 
inconvenientes que los va a perjudicar en las actividades que realizan a diario 
por más pequeña que esta sea, va a tener que comprometer la continuidad de 
sus actividades (Gómez, 2018). 
 
Asimismo, la carencia de precauciones en las distintas redes se ha convertido 
en un gran inconveniente, el cual, por su parte, sigue creciendo. Y el número 
de sus atacantes también está aumentando, llegando a concluir que estos 
están cada vez más organizados, y han llegado a adquirir cada día más 
habilidades especiales, que vienen obteniendo mayores provechos de estas 
redes (Joyanes, 2015). 
 
Es así que las organizaciones de servicios logísticos, vienen poseyendo 
información importante, para la ejecución de las actividades, los cuales no 
vienen siendo sujetos a ningún tipo de método de “hacking ético”, con el cual 
se va detectar susceptibilidad, ya que detectan un nivel alto de susceptibilidad, 
el cual afecta la seguridad de datos, los cuales serán cambiados o falsificados, 
o peor aún, el cual va ser abstraída en su totalidad, el cual va un fuerte impacto 
especialmente en el manejo de la seguridad informática, llegando a pensar que 
esto es el corazón de cualquier empresa en donde la mayor parte de los casos 
están siendo susceptibles, y son aprovechadas por personas del exterior, de 
cualquier empresa. Por lo tanto, se ha considerado necesario evaluar métodos 
de piratería ética para detectar y diagnosticar deficiencias de protección 
informática en corporaciones de servicios logísticos, con el fin de optimizar el 
funcionamiento, y proporcionar un servicio seguro, libre de cualquier extraño. 
(Ruíz, 2016). 
 
11 
 
Sin embargo, hoy en día el principal blanco de todos ciberataques va a ser las 
diferentes aplicaciones web; por lo tanto, estos son el principio de toda 
comunicación al mundo actualizado. Las personas y empresas llegan a 
comunicarse principalmente en el ciberespacio, por medio de distintos 
programas web, dispositivos móviles, y finalmente mediante navegadores(González & Montesino, 2018). 
 
Por lo tanto, González & Montesino, (2018), explica que las aplicaciones web 
es la puerta por el cual va a conducir a ingresar al recurso tecnológico de 
cualquier empresa actualizada. De los últimos informes que se han brindado en 
estos tiempos se puede deducir que la única solución está en la tecnología 
fundamentada en un antivirus, sistema de detección de instrucciones 
cortafuegos, por el cual queda comprobado que son imprescindibles, sin 
embargo, tenerlo en una empresa no ha llegado a ser lo suficientemente 
importante para contener o disminuir los ciberataques. 
 
Asimismo, un elemento significativo para llegar a resolver los inconvenientes, 
son las pruebas de penetración, también se les conoce como hacking ético o 
pentesting. De tal manera, estos ejercicios son reconocidos en todo el mundo 
que busca la recreación de las determinadas funciones de un ciber atacante en 
redes de datos o sistemas informáticos con el único objetivo de demostrar que 
es necesario ingresar a su configuración interna, evitar la defensa, y finalmente 
los datos almacenados (Rahalkar, 2016). 
 
 
 
 
 
 
 
12 
 
1.2. Trabajos previos. 
Para Ushmani, (2018), realizo la investigación “Ethical Hacking”, el cual da un 
vistazo al proceso del hacking ético y herramientas que son más utilizadas, y 
están para conseguir un ejercicio apropiado en el departamento de hacking 
ético. El problema fue la vulnerabilidad de los sistemas de comunicación e 
información en las diferentes empresas. Para que lo logren, desarrollaron un 
estudio de lo que abarca el procedimiento de hacking ético, el cual se basa en 
5 fases: FASE 1: Reconocimiento. FASE 2: Escaneo. FASE 3: Obteniendo 
acceso. FASE 4: Manteniendo el acceso. FASE 5: Cubriendo huellas. Empleó 
la metodología basada en 5 fases que sirvió de guía para seguir el proceso de 
hacker ético. Para el cual requieren cinco fases de hacking para completar con 
éxito el hacking ético. Si la sociedad actual y las empresas comenzaran a tomar 
los servicios de los hackers éticos, las amenazas a la seguridad de la 
información se verán muy reducido. 
 
Hernández, Baquero, & Gil, (2018), realizó la investigación “Ethical Hacking on 
Mobile Devices: Considerations and practical uses”, el cual da un vistazo al 
proceso del hacking ético en dispositivos móviles, aplicando en ellos diferentes 
técnicas no intrusivas, así como herramientas de exploración y pruebas de 
ataques. El problema que enfrenta son las vulnerabilidades y diferentes riesgos 
a los que están expuestos los dispositivos móviles. Para lograr desarrolló un 
análisis comparativo de los incidentes de seguridad, un análisis FODA en 
entornos móviles y un gráfico comparativo de kernel en sistemas operativos 
móviles. Luego de esto, procedió a dar especificaciones de los dispositivos 
móviles y los componentes que afectan a la seguridad móvil. Donde nombraron 
algunas debilidades de dichos dispositivos y procedió a la revisión de los pasos 
para llevar a cabo el hacking ético, llevándolos luego a la práctica. Para el cual 
realizo un escaneo a la red con sniffer Wireshark con el que se obtuvo la 
contraseña de acceso a la red social Facebook al analizar el contenido del 
paquete. Además de ello se obtuvo mucha información con uso de la 
herramienta medusa, por lo que se logró estar al interior del teléfono y listos 
13 
 
para robar la información. Un nuevo dispositivo no es que sea tan vulnerable, 
si el usuario hace un manejo adecuado del teléfono sin necesidad de 
conectarse a redes no seguras, y mucho menos introducir contraseñas en sitios 
que no manejan la seguridad de cifrado que hacen que el dispositivo objetivo 
de un ataque para el atacante puede robar la información. Sin embargo, el 
comienzo de los ataques se debe a la mala manipulación del usuario, no sirve 
para tener el bloqueo de puertos por defecto o la supresión de los permisos 
para instalar aplicaciones desconocidas, si el usuario da permisos sin leer o 
tener conocimiento de lo que está haciendo la instalación de vulnerabilidad de 
seguridad del teléfono. 
 
Wang & Yang, (2017), en su trabajo de investigación titulado “Hacking ético y 
defensa de la red: elija su mejor herramienta de escaneo de vulnerabilidades 
de red”. El cual tiene como tema principal amenazas a la infraestructura de red, 
para el cual realizaron prácticas en laboratorio del proceso de scaneo de 
vulnerabilidades, para el cual tuvo como método un laboratorio virtual, para 
hacer uso de técnicas defensivas; control de acceso, análisis de 
vulnerabilidades usando software y herramientas como openvas el cual tiene 
como principal componente conjunto de instrumentos que brindan diferentes 
soluciones completos e intensos en gestión de vulnerabilidades y scaneo. 
Llegando a utilizar la herramienta nmap para identificar las direcciones IP de 
los host, puertos abiertos y el sistema operativo, obteniendo como principales 
resultados que el uso de herramientas y las diferentes técnicas de hacking 
ético, en un ambiente virtual, ayuda a los estudiantes asimilar de una mejor 
forma las definiciones de hackin ético y protección de la Red, y concluyó que el 
análisis de vulnerabilidades es importante para comprender como un hacker 
descubre las debilidades de una infraestructura de redes y servidores. 
 
Banda, Phiri, Nyirenda, & Kabemba, (2019), en su investigación titulado 
Paradoja tecnológica de hackers engendrando hackers: un caso de hackers 
14 
 
éticos y poco éticos y sus herramientas sutiles. Por lo tanto, en la investigación 
su más importante problema son las vulnerabilidades y diferentes 
inseguridades a los que llegan a estar expuestos los diferentes sistemas de 
información, y para el cual se observó el proceso del hacking ético en 
dispositivos móviles, routers, bases de datos, aplicando en ellos diferentes 
técnicas, así como herramientas de exploración y pruebas de ataques, 
utilizando como método principal para lograrlo se desarrolló un análisis 
comparativo de los distintos tipos de hackers, con algunos nuevos tipos, tales 
como los sombreros verdes. Asimismo, analizaron las distintas formas de 
ataques de los hackers y las razones por las que podrían hacer ese tipo de 
acciones. Luego de esto, se procedió a dar especificaciones y ejemplos de 
herramientas utilizadas en hackeo de redes wireless, haceko de bases de 
datos, crackeo de contraseñas de sistemas operativos y crackeo de software 
tales como office 2013/2016, obteniendo entre los principales resultados 
destacan, el hackeo a una red wirelss mediante el uso de la distro Kali Linux y 
comandos como Aircrack. Además, se hicieron pruebas de penetración 
mediante una herramienta como sqlmap. Se lograron descubrir contraseñas 
mediante el uso de John the Ripper y también se instaló un programa de pago 
mediante el crackeo del mismo, y concluyo que los hackers engendran a los 
piratas informáticos. Los hackers no vienen de afuera, sino desde dentro de 
nosotros mismos. Los hackers éticos están ahí para proteger los sistemas de 
los piratas informáticos. No se sabe a ciencia cierta si los hackers de sombrero 
negro podrían ser el resultado de los de blanco y/o viceversa. 
 
Kumar, (2018), realizó la investigación Ataques de piratería, métodos, técnicas 
y sus medidas de protección, teniendo como principal problema los ataques de 
piratería, métodos, técnicas y las medidas de protección, para el cual realizo un 
análisis a los tipos de hackers, a los tipos de ataques, tipos de hacking y 
herramientas utilizadas por los hackers. Asimismo, realizó un repaso de 
herramientas de hacking; quien utilizo la metodología para lograrlo desarrolló 
un análisis descriptivo de los distintos tipos de hackers. Asimismo, se 
analizaron las distintas formas de ataques de los hackers, entre los cuales 
15 
 
destacan exploits y asaltos a las aplicaciones mediante malware. sedetallaron 
las herramientas utilizadas por los hackers, entre las cuales destacan virus, 
sniffer, ingeniería social Root Kit, etc. Luego de esto, procedió a dar 
especificaciones del top ten de herramientas de hacking, entre los cuales 
destacan Nmap, Wireshark, Caín y Abel, Air-crackHydra, etc. Obteniendo los 
siguientes resultados que pudo obtener un marco teórico acerca de las distintas 
técnicas de protección de hacking, entre las cuales destacan la infraestructura 
de seguridad, sistema de detección de intrusos, revisiones de código y parches 
de seguridad, y concluyo que el Ethical Hacking es un instrumento, que, si se 
usa legítimamente, puede ser completamente útil para la comprensión de las 
deficiencias de una red y la forma en que pueden ser explotados. Dentro de lo 
considerado, el hacking ético asume una parte específica en la evaluación de 
la seguridad de la información y, sin duda, se ha ganado su lugar entre tantas 
otras evaluaciones de seguridad. Tomando todo esto en cuenta, hay que decir 
que el hacker ético es un maestro que busca por todos los medios edificar al 
cliente, así como el negocio de la seguridad informática en general. Para esto, 
considero y respeto al Ethical Hacker en su posición como cómplice para esta 
misión. 
 
Rocha, Kreutz, & Turchetti, (2017), realizó la investigación “Una herramienta 
gratuita y extensible para detectar vulnerabilidades en sistemas web”. Teniendo 
como principal problema las diferentes vulnerabilidades de los distintos 
sistemas operativos en entradas por consignación, y para el cual enseñaron 
diferentes ejemplos prácticos, de cómo ingresar a los ordenadores, con la 
variedad de sistemas operativos, sin llegar a reconocer las contraseñas de 
entrada a los sistemas operativos, el cual fue realizado mediante la ruptura de 
consignación, y para conseguir el objetivo, realizaron una verificación, de los 
más importantes componentes, que participan para entrar de forma más 
eficiente a los distintos sistemas operativos muy socializados, obteniendo los 
siguientes resultados principales que en muchas ocasiones las personas o 
peritos se tropiezan con la complicación que no pueden entrar a los distintos 
ordenadores, ya que no tienen las combinaciones, el cual llego a concluir que 
16 
 
se puede verificar las distintas claves en los sistemas operativos: MAC, 
Windows10, Linux (FEDORA 23), además es uno los componentes para 
sustentar la confianza de los distintos sistemas operativos es utilizar las claves. 
Ya que hoy en día las empresas logísticas y almacenes, llegan a procesar la 
información en sus plataformas informáticas. 
 
Thomas, Burmeister & Low, (2017), en su investigación titulado Problemas de 
confianza implícita en piratería ética. Teniendo como principal problema 
analizar los problemas de confianza implícita en Hacking Ético, para el cual se 
hizo los códigos de ética y actitud en las empresas de seguridad de la 
información, comenzó haciendo hincapié en la necesidad de garantizar la 
mejora continua de los programas de seguridad ceibernética. Luego, describió 
la importancia de la ética al momento de poner a prueba la seguridad de la 
información de una empresa. Asimismo, se lista la serie de códigos de ética y 
conducta en el sector de la seguridad de datos, los cuales son: Código de Ética 
de la Sociedad de Computación Australiana, Código de Conducta CREST, 
Código de Ética del Consejo CE, Código de Ética de Certificación de 
Información Global, Código de Ética Profesional de ISACA y Código de Ética 
ISC2, obteniendo los siguientes resultados que descubrió que existen códigos 
de ética, pero de igual manera que, existen certificaciones sin código como es 
el caso de Offensive Security que no cuenta con uno. También pudo verificar la 
necesidad de un código uniforme, ya que existen varios que tienen similitud, 
pero no son completamente alineados entre ellos. Para que el código sea 
efectivo, debería ser obligatorio y tener una supervisión adecuada como lo 
demuestran los comités de ética de GIAC e ISACA que revisan los asuntos que 
no cumplen con sus respectivos códigos, y concluyo que el volumen de 
información que podría estar en riesgo, incluso durante un período muy corto 
de unos pocos días, la necesidad de reducir este tiempo tanto como sea posible 
es crucial e involucrar a un hacker ético para identificar las debilidades en el 
sistema puede ayudar a asegúrese de que esas debilidades sean remediadas 
antes de que sean explotadas por un actor malicioso. Debido a la relación de 
confianza implícita entre un hacker ético y el cliente, el hacker ético está en una 
17 
 
posición ventajosa y dado efectivamente el permiso para acceder a cualquier 
información que pueda, gran parte de lo que podría ser confidencial o sensible 
en la naturaleza. 
 
Lehrfeld & Guest, (2016), en su investigación titulado “Construir un sitio de 
piratería ética para el aprendizaje y la participación de los estudiantes”. 
Teniendo como principal problema ataques de acceso no autorizado, robo de 
credenciales de inicio de sesión, y para el cual se hizo la creación de escenario 
realista con el objetivo de realizar ataques y tener a su disponibilidad la 
información de las personas y compradores de un sitio web, y empleo el método 
de técnicas de pruebas de penetración, dividido en tres fases – reconocimiento, 
en esta primera etapa se explora y sondea para reunir toda la información, 
explotación; además busca la etiqueta de identificación, con la finalidad de 
conseguir entrada a la base de datos back-end para descubrir algún error en 
la base de datos ejecución; siendo esta la etapa final se hace uso de los 
informes ordenados con anterioridad , se hace la búsqueda de la web de login 
con el cual se accedió al sistema, y obteniendo los siguientes resultados que la 
vulnerabilidad principal encontrada, inyección sql, donde concluyo que la 
creación de plataformas de ataque para el aprovechamiento de las tecnologías 
basadas en la web y el uso técnicas de hacking ético ayuda a identificar los 
tipos de ataque comunes en los sitios web y los métodos para corregir las 
vulnerabilidades descubiertas; y finalmente evaluó cómo un determinado 
ataque puede ser mitigado para prevenir la explotación futura. 
 
Shetty, Shetty, Shetty, & D’Souza, (2017), en su trabajo de investigación 
titulado “Estudio de las técnicas de piratería y su prevención”. Teniendo como 
problema principal actividades de intrusión no autorizada acceso y manipular 
los datos a través de la red, y para el cual realizo el uso de técnicas de hacking 
ético, de forma correcta para encontrar fallas, empleo el método de técnicas de 
hacking, ataque de diccionario, patrón basado en ataque de diccionario, ataque 
basado en web, inyección sql, cross site scripting (xss), ataque de 
desbordamiento del bufer, obteniendo los siguientes resultados que las 
18 
 
pruebas de vulnerabilidades ayudan a comprender desde varias perspectivas 
conocimientos básicos para la aplicación de técnicas de hacking, con el 
propósito de asegurar el resguardo de todo lo que tenga que ver con temas de 
alta confidencialidad, es importante proteger la red de piratas informáticos y la 
mejor manera es pensar como ellos, y concluyo que el hacking ético está 
tomando forma a medida que las empresas crecer y también dependen de la 
tecnología, es importante tomar medidas preventivas el hacking ético es una 
opción para mitigar el riesgo de un ataque. 
 
López, (2017), realizó la investigación Pentesting en aplicaciones web usando 
ética - piratería. Teniendo como principal problema vulnerabilidad en el 
procedimiento de los distintos desarrollos, de las aplicaciones, con el cual se 
llegaron a describir las pruebas y técnicas de penetración, llegando a usar 
distintos instrumentos, determinados en software, para detectar las posibles 
vulnerabilidades, en una determinada aplicación web,con el cual llego a 
emplear el método de pruebas de penetración usando pentesting, owasp, 
osstmm, issaf, herramientas para realizar pentesting (burd suite, acunetix - 
escáner para vulnerabilidades web, sqlmap, whatweb , nessus, kali linux, loro 
seguridad os, backbox linux, marco de prueba web samurai), obteniendo los 
siguientes resultados que en ninguna aplicación web está libre de ataques y es 
completamente segura, pero al ser utilizado los test de intrusión, técnicas, 
instrumentos de hacking ético y pentestin, por lo tanto, las vulnerabilidades 
llegan a ser vencidas obviando los futuros ataques, con el cual llegó a concluir, 
que hoy en día la comunicación el cual tiene, es grande que siempre se va 
depender de los distintos sistemas en gran parte, las distintas organizaciones, 
se inquietan por el desarrollo, pero mas no por la seguridad de sus aplicaciones. 
 
Ovallos, Rico & Medina, (2020), realizó la investigación Guía práctica para el 
estudio de puntos débiles de un medio comprador- servidor GNU/Linux a través 
de la táctica relacionada con el pentesting. El mismo que ha sido afectado por 
19 
 
la diversidad de riesgos que tienen la finalidad de ocasionar daños a todo tipo 
de sistemas. Mayormente son atentados ejecutados por individuos que tiene 
como finalidad fomentar desorden y conseguir ganancias; empleó un estudio y 
prácticas que van acorde con el reconocimiento de puertos abiertos, servicios 
utilizables y flaquezas conocidas en los sistemas de datos; las cuales al mismo 
tiempo incluyen verificaciones de falsos positivos, lo que posibilita el 
reconocimiento de vulnerabilidades dentro de la red. Al final de todo ello, se 
llega a la conclusión que la infracción al protocolo DNS, por medio de la 
acometida de cambio de lugar realizado en el laboratorio, permitió dar a 
conocer la inconsistencia del protocolo y los peligros que produce a una 
empresa la concertación del mismo; puesto que se logró reunir toda la 
información dada en el protocolo. En otro laboratorio, el vector de ataque fija su 
mirada en los riesgos a los que pueda exponerse el protocolo de transferencia 
de archivos a través del empleo de un método de fuerza bruta, usando el 
instrumento llamado Hydra, pudiendo así desarrollarlo de manera beneficiosa. 
Esto ayuda a decidir si es o no un protocolo confiable. 
 
Manzano, Vite & León, (2019), realizó la investigación Revisión a la Seguridad 
de Sistemas de Control Industrial que utilizan PLC Siemens S7-1200. El 
propósito principal fue implantar una serie de pruebas con el fin de ejecutar una 
evaluación de seguridad en la configuración de medios de inspección 
relacionados directamente a una red y utilizarlo en el análisis del nivel de 
seguridad de información en una organización industrial de Tungurahua. La 
técnica aplicada se fragmentó en los periodos mencionados a continuación 
dividió: 1) descubrimiento, 2) estudio de los puntos débiles, 3) intrusión e 4) 
informe. Principalmente analizó la seguridad de dispositivos empresariales y 
luego, aplicó en el Sistema de Supervisión, Control y Adquisición de Datos de 
la entidad caso de estudio. Como consecuencia de ello, pudo reafirmar la 
presencia de riesgos en estos sistemas 
 
20 
 
González & Montesino, (2018), en su proyecto de estudio Capacidades de las 
técnicas de pruebas de penetración para identificar posibles problemas. El fin 
fue establecer el nivel de validación de los procesos, instrumentos y 
comprobaciones de seguridad en las tácticas, OSSTMM, ISSAF, PTES, 
OWASP, y NIST SP 800-115 al enfrentar los desafíos de ciberseguridad. 
Utilizaron como base para diferenciar los informes de riesgos de OWASP, y el 
estudio de todos los informes individuales de las metodologías mencionadas 
antes. Para el que se realizó un análisis cualitativo que lazó como resultado que 
la Guía de Pruebas de OWASP es la que está más equipada, sin embargo, no 
todas ellas demostraron ser capaces de ofrecer técnicas, recursos, o pruebas 
de seguridad. Los datos obtenidos muestran que es fundamental contar con un 
proceso de adaptabilidad y mejoramiento de tácticas. 
 
Franco Perea & Tovar, (2018), en su trabajo de investigación Instrumento para 
la Identificación de Riesgos que básicamente está fundamentada en el 
reconocimiento de Servicios. La meta que busco alcanzar es crear un enfoque 
para la localización y estudio de áreas vulnerables en la red a través del método 
ya mencionado. Este enfoque especifica las distintas versiones de cada servicio 
para después investigar y reconocer los riesgos. Ejecutó un instrumento 
denominado UdeCEscaner y se eligieron numerosos laboratorios que servirán 
para ejecutar las prácticas. Concluyo que la adaptación de este enfoque 
contribuye a un óptimo entendimiento de los verdaderos riesgos. 
 
Roba, Vento & García, (2016), en su trabajo de investigación Metodología para 
la Detección de Vulnerabilidades en las Redes de Datos utilizando Kali-Linux. 
El fin esencial fue diseñar una táctica para detectar rápidamente cualquier tipo 
de factor vulnerable. Para ello se ejecuta diversas fases: valoración, realización 
e informe, de las que, individualmente son soportadas por varios medios 
incluyendo los softwares. El producto de cada periodo ofrece los datos 
requeridos para la realización completa de la investigación. Con la finalidad de 
21 
 
aprobar la utilidad de la técnica se realizó su adaptación en la base de datos 
que corresponde a la Unidad Empresarial de Base Logística de la Empresa de 
Construcción y Montaje de Pinar del Río, saliendo a flote varios riesgos a los 
que se puede enfrentar. 
 
1.3. Teorías relacionadas al tema. 
1.3.1. Definición de Seguridad Informática 
Según, García, (2015), indica que la seguridad informática es el grupo de 
dimensiones reactivas y preventivas de los sistemas tecnológicos y empresas 
que van a llegar a permitir proteger y resguardar la información, tratando de 
tener la confianza, la integridad y la disponibilidad de las empresas. 
Asimismo, González, (2016), explica que la seguridad informática como la 
acción de resguardar la disponibilidad, la integridad y confidencialidad de los 
activos de las empresas, además, la administración de la seguridad informática 
debe llevarse, mediante un procedimiento documentado y sistemático 
reconocido por todo la empresa. 
Estos tres parámetros básicos del aseguramiento de la información son 
protegidos con medidas para prevenir y reaccionar frente a los ataques 
informáticos. 
 
1.3.2. Importancia de Seguridad Informática 
Hoy en día, se está viviendo diferentes episodios de ciberataques a las 
organizaciones, asimismo a las importantes empresas tanto privadas, como 
públicas, han llegado a sufrir los ataques a sus distintos sistemas informáticos, 
por lo tanto, los ciberataques no solo llegan a perjudicar a los empresarios de 
las distintas organizaciones y a los clientes, y también pueden perjudicar a la 
seguridad regional y nacional de los diferentes estados y comunidades, y las 
diferentes áreas de las empresas. Por consiguiente, (Rodriguez, 2016) explica 
22 
 
que es de suma importancia mencionar que la seguridad informática, que la 
utilización está justificado en la tecnología, el cual debe llegar a ser confidencial, 
de tal manera que la comunicación tenga un alto valor y este centrada, con el 
cual pueda llegar a ser más usada, borrada, saboteada, divulgada y robada; 
por lo tanto la comunicación es poder, y con las distintas posibilidades 
estratégicas, que llegan a ofrecer, y con el cual tiene entrada a alguna 
información, el cual se divide en: 
a) Crítica: Llega a ser imprescindible para ejecución en la organización. 
b) Valiosa: Llega a ser el activo de la organización, el cual es muy importante. 
c) Sensible: El cual debe llegar a ser reconocido por todo el personal 
autorizado. 
De tal manera, hay dos (2) palabras de suma importancia que sonla seguridad 
y el riesgo: 
a) Riesgo: Llega a ser la materialización de vulnerabilidades reconocidas, 
afiliadas por la probabilidad de amenazas expuestas, de ocurrencias y muchas 
veces del impacto negativo que va a ocasionar a las actividades de la empresa. 
b) Seguridad: Son las distintas formas de seguridad en la dificultad de los 
riesgos. 
De la misma manera, la seguridad informática capta los diferentes aspectos, 
entre los cuales la disposición, identificación de los problemas comunicación y 
análisis de riesgo, confidencialidad, integridad, y recuperación de los riesgos 
(Rodriguez, 2016). 
Del mismo modo, la seguridad informática es una ciencia que es el agente de 
brindar protección a la privacidad e integridad de la información acumulada, en 
un determinado sistema informático. Asimismo, se encarga de trazar los 
procesos, técnicas y métodos, los cuales van a estar ordenados a suministrar 
condiciones confiables y seguras, para los distintos procedimientos de los datos 
en sistemas informáticos (Rodriguez, 2016). 
 
23 
 
1.3.3. Objeto de la Seguridad Informática 
Para Villegas, (2014), menciona que la seguridad informática tiene como su 
principal objetivo los distintos sistemas de usos, interrupciones, accesos, 
divulgaciones y destrucciones no autorizada de la información, Por lo tanto, las 
definiciones de seguridad informática, y garantía de la información son 
utilizadas habitualmente como sinónimos, ya que todos ellos buscan la misma 
semejanza al amparar la disponibilidad, y la privacidad de la información, pero 
no llegan a ser cabalmente iguales, ya que existen diferencias sutiles, sin 
embargo, estas diferencias van a radicar exclusivamente en el enfoque. De tal 
manera, las diferencias residen especialmente en el enfoque, las zonas de 
concentración y las distintas metodologías que son utilizadas, por otra parte, la 
seguridad informática, llega a implicar la implementación de distintas 
estrategias, que involucren los procedimientos en donde la comunicación en el 
activo importante. Las estrategias deben llegar a ser el punto principal creación 
de controles, procedimientos, políticas y tecnologías para encontrar amenazas 
que llegan a explotar vulnerabilidades, y que lleguen a poner en riesgo dicho 
activo; que amparan a salvaguardar y proteger la información somo los 
sistemas que lo administran y almacenan. 
 
Por lo tanto, la seguridad informática compete a las entidades militares, los 
hospitales, el gobierno, las organizaciones privadas, instituciones financieras 
con la información confidencial sobre sus clientes, investigación, personal, 
productos y la determinada situación financiera (Villegas, 2014). 
 
1.3.4. Aspectos Fundamentales en la Seguridad Informática 
Según, Villegas, (2014), menciona que existen distintos aspectos 
fundamentales los cuales se detallaran a continuación: 
 
24 
 
La Confidencialidad. 
Es el dominio de llegar a evitar la difusión de datos a los sistemas y personal 
no autorizado, por lo tanto, la confidencialidad es el ingreso a la información 
exclusivamente por personas que llegan a contar con la debida licencia (Ortiz, 
2015). 
Sin embargo, Fernandez, (2017), indica que el extravió de la confianza de la 
información llega a proteger distintas formas. Cuando una persona llega a mirar 
información por encima de los hombros, a aquella persona que tiene 
información secreta en la pantalla, al momento de publicar información privada, 
al momento que una computadora de una organización es hurtada por 
personas ajenas a la misma, al momento que una información privada es 
comunicada por teléfono, por tanto, todos estos ejemplos son constituida una 
violación de la información confidencial. 
 
La Integridad. 
La correlación buscará soportar la conversión no autorizada sin verse afectado 
por diferentes datos. Esto no significa integridad referencial en diferentes bases 
de datos. Por lo tanto, integridad significa que la información obtenida según el 
principio es exactamente la misma y no se modificará ni cambiará, siendo 
manipulado por procesos y personal no autorizados, el incumplimiento de la 
integridad llega presentarse cuando un programa, personal o proceso 
intencionalmente o accidentalmente borra o daña los datos muy importantes 
que llegan a incluir en la información, además, realiza que la definición llegue 
a permanecer intacto a menos que sea cambiado por las personas autorizadas, 
y este cambio se incluido, afirmando su confiabilidad y precisión. Al adjuntar a 
todo el grupo, verificar la integridad para incluir la integridad de un mensaje 
específico, las firmas digitales son uno de los pilares principales de la seguridad 
informática (Alcantára, 2015). 
 
25 
 
Disponibilidad. 
La disponibilidad es la cualidad, particularidad, y condiciones de la información, 
de localizarse, distribuciones de quienes van a llegar a entrar, a ella, los cuales 
son aplicaciones, procedimientos o personas, por lo tanto, la disponibilidad es 
la entrada, a los sistemas, o información por el personal autorizado, en el mismo 
instante en que lo necesite, en resumen, el sistema informático utilizado para 
procesar y almacenar información, las credenciales de seguridad utilizadas 
para la cobertura y los canales de información de refugiados utilizados para 
ingresar información deben funcionar correctamente. La admisión a la 
disponibilidad de los sistemas principales debe llegar a estar en todo momento 
disponible, en cualquier instancia, llegando a interrumpir los distintos servicios, 
debido a los cortes de energía eléctrica, actualización de los sistemas, y 
finalmente los fallos de hardware (Gómez, 2015). 
 
Proteger la disponibilidad comprometiendo también la disposición de diferentes 
ataques, de negación de los servicios, para permitir manipular con una mayor 
comodidad, la seguridad informática, los negocios y organizaciones, incluso 
pueden incluir un sistema de control que pueda minimizar, comprender y 
gestionar las posibles amenazas que atentan la protección informática de la 
empresa (López, 2015). 
 
De tal manera, Gómez, (2015), menciona que la disponibilidad debe de ser de 
suma importancia, en los procedimientos de seguridad informática, por otra 
parte, es variada en el conocimiento de que van a existir muchos dispositivos, 
para llegar a realizar los distintos periodos de servicio necesarios. Estos 
dispositivos llegan a implementar una infraestructura tecnológica, bases de 
datos, y servidores web, interviniendo los arreglos de discos y el uso de clúster, 
servidores de espejo, redes de almacenamiento, los equipos de alta 
disponibilidad en los diferentes niveles de red, replicación de datos, enlaces 
26 
 
redundantes, y la escala de probabilidades dependiendo de lo que llegamos a 
resguardar, y los distintos niveles de servicio que se requiera suministrar. 
 
Autenticación. 
La autentificación es la pertenencia que va a permitir reconocer al creador de 
la información, por ejemplo, al momento que va a recibir un determinado 
mensaje de alguien, para el cual está seguro de que es esa misma persona 
que le envió el mensaje, y no es otra persona, que llega a suplantar a la otra 
persona, y no una tercera persona haciéndose pasar por la otra (suplantación 
de identidad). En un determinado sistema informático se llega a alcanzar este 
factor con la utilización de cuentas de contraseñas y usuarios de accesos 
(Caceres & Matí, 2016). 
 
1.3.5. Sistema de Gestión de Seguridad Informática 
Para, Caceres & Matí, (2016), define que es la fracción de un determinado 
sistema de gestión general, el cual está fundamentado en un enfoque de 
riesgos empresariales, que se constituye para ser creado, operar, revisar, 
mejorar, implementar, supervisar, mantener la seguridad informática. El cual 
simboliza que va dejar sus actividades de un método intuitivo, con el cual se va 
a llevar el control de todolo que sucede, en los distintos sistemas de 
información y sobre la misma información que opera en la empresa. 
 
Además, Salcedo, (2014), especifica que para llegar a resguardar la 
información de una forma eficaz y coherente, es obligatorio implementar un 
sistema de administración de amparo informático. Así pues, este sistema es 
una pequeña parte del total, fundamentado en una verificación, de los riesgos 
de la empresa, que va a permitir una protección total frente a la perdida de: 
27 
 
a) Confidencialidad: El cual solo permite conceder la información que se haya 
autorizado. 
b) Integridad: El cual significa que la información es completa y exacta. 
c) Disponibilidad: Por el cual los consumidores autorizados tendrán entradas 
a la información cuando lo necesiten. 
 
 
Figura 1. Procesamiento de seguridad informática. Fuente: (Lopéz, Sistema de 
Gestión de la Seguridad Informática, 2017) 
 
1.3.5.1. El Ciclo de Mejora Continua 
Para establecer y ejecutar un determinado sistema de control de seguridad 
informática que se utilizara en el ciclo Deming, se le conoce también como ciclo 
PDCA, el cual siempre se ha utilizado en dicho sistema mencionado antes. 
(Salcedo, 2014). 
28 
 
El ciclo Deming es una definición establecida principalmente por “Shewhart”, 
pero acondicionado en los diferentes tiempos, sobre los diferentes 
sobresalientes personajes por todo el mundo de la calidad. Por lo tanto, dicha 
metodología ha confirmado su determinada aplicabilidad, y ha autorizado 
constituir la mejora continuidad en empresas de las distintas clases (Gómez, 
2015). 
 
Además, Salcedo, (2014), indica que el modelo Deming, tienen una orden de 
acciones y fases que van a permitir constituir un modelo de matrices e 
indicadores similares en los distintos tiempos, de la misma manera se puede 
cuantificar los avances de la mejora en la empresa: 
a) Plan: Es la fase que se interesa en establecer el SG de protección de datos, 
para el cual se diseña el programa y se planifica, organizando regímenes a 
adaptar en la empresa. 
b) Do: Es la fase que se va a implementar y poner en actividad dicho sistema. 
c) Check: En esta determinada fase se va a revisar y monitorear el sistema de 
gestión de seguridad informática. 
d) Act: y finalmente es la fase donde se mejora y mantiene el SG de amparo 
de información, efectuando y señalando las correctivas y preventivas 
necesarias para rectificar. 
 
 
29 
 
 
Figura 2. Fases del Ciclo de Mejora Continua de la seguridad informática. 
Fuente: (Bustamante & Osorio, Fases para implementar la ISO 27001 y 
proteger la Seguridad de la Información, 2014) 
 
1.3.5.2. Definición de Ethical Hacking 
El incremento adelantado de los diferentes usos de la tecnología a transportado 
diferentes beneficios, a todas las personas que usan el internet, por lo tanto, 
hoy en día tienen diferentes aplicaciones, y servicios que una empresa brinda 
a los clientes, ha llegado a llamar la atención de los agresores informáticos, ya 
que hoy en día están muy estructurados, con el cual van consiguiendo día tras 
día capacidades muy específicas para conseguir sus determinadas metas 
llegar a conseguir muchas ventajas (Ortiz, 2015). 
 
Al tiempo que la tecnología va avanzando los distintos intrusiones o ataques 
llegaron a pasar de ser una cualquiera ralentización de un grupo, a ocasionar 
30 
 
perjuicios mayores, los cuales vienen a ser el fraude informático, el robo de la 
información, daños de sistema, con principales perdidas, financieras, para los 
directivos de las diferentes redes, el cual llega a causar un desafío, de 
seguridad, por lo que en un tanteo por terminar estos perjuicios, llegan a reducir 
las entradas, el cual lleva a que los agresores informáticos usan estructuras, y 
ataques muy perjudicados (Oñate & Cáceres, 2017). 
 
De tal manera, la seguridad en las empresas es de suma importancia para 
llegar a tener protegidos los diferentes servicios, datos y sistemas. La 
comunicación que se da en las empresas puede llegar a ser publicadas; el cual 
pierde toda confianza de la información, por lo que muchas empresas llegan a 
buscar maestros para poder implantar tácticas de intrusiones en un entorno 
verificado con el fin de comprender con la finalidad de filtrarse en la red un 
delincuente real, esta reproducción va a permitir conseguir brechas en la 
protección, los que pueden ser empleados para llegar a emplear datos o 
reemplazar la identidad de una persona. En resultado de estas determinadas 
pruebas, los gerentes llegaran a ejecutar mejoras en las conformaciones, 
entradas y también pueden diseñar para reparar fallas (Aguilar, & De la Cruz, 
2015). 
 
Por lo tanto, la piratería ética es un grupo de tácticas usadas para implementar 
resguardo de red, evaluar estrategias de protección contra vectores de ataques, 
modernizar la protección de los sistemas de datos, verificar los problemas de 
la red y después realizar inspecciones, con el cual se mide su nivel de riesgos 
y sugerir soluciones correctas antes de que lleguen a existir robos o perdidas 
de la información (Aguilar, & De la Cruz, 2015). 
 
Entonces se indica que un concepto bien definido y preciso de hacking ético lo 
menciona el autor (De la Torre, 2017) quien explica: 
31 
 
 El principal objetivo de hacking ético, es aprovechar las 
desventajas e inseguridades que existen en el sistema de afecto, 
llegándose a valer de pruebas de intrusiones, que llegan a evaluar 
y verificar la seguridad lógica y física de los sistemas de datos, 
aplicaciones web, servidores, redes, y otros, con la finalidad de 
llegar a obtener el acceso e indicar que un sistema de 
vulnerabilidades, Por tanto, esta información es de gran ayuda 
para que la empresa resista posibles ataques maliciosos a la hora 
de tomar medidas preventivas, por lo que el servicio de hacking 
ético incluirá la copia de la posibilidad de un ataque de forma 
controlada. La función de los delincuentes cibernéticos Este 
comportamiento es razonable en la idea de atrapar al intruso y 
debe considerarse como un intruso. 
 
Por consiguiente, se puede indicar que un concepto muy veredicto sobre 
hacking ético es del autor (Torvalds & Castells, 2018) quien explica que: 
Hoy en día, en medio de la tecnología se encuentran ciertas 
personas, que se hacen llamar hackers, quienes indican que son 
personas que trabajan como programadores de forma apasionada 
y consideran que tienen la misión de brindar cierta informaciones 
y producir software gratuito, no se debe equivocar con los 
crackers, ya que los usuarios destructivos tienen la finalidad 
principal de crear un virus y colocarlos en otros sistemas, por lo 
tanto, un hackers es un maestro o una persona entusiasta de otra 
índole que quiera dedicarse o no a la informática, el principio del 
trabajo para un determinado hackers esta fundado en la 
valoración de la creatividad. Por lo anterior, la ventaja se centra 
en los objetivos como obtener la preferencia de la gente, lograr 
una buena acogida, la franqueza y la transparencia. 
 
32 
 
Por otra parte, las capacidades importantes de un determinado hacker ético 
son: conciencia, verdad, libertad, social, pasión, igualdad social, anticorrupción, 
actividad, curiosidad, accesibilidad, creatividad, preocupación responsable, 
creatividad, interés y entre otros. 
 
1.3.5.3. Tipos de Hacker 
Según, Flores, (2018), indica que existe diferentes tipos de hacker y son: 
 
A. Hacker de sombrero negro o crackers 
Son aquellos transgresores o maliciosos que se desenvuelven en el campo de 
la informática, reconocidos crackers, por lo tanto dichas personas siempre 
están indagando para romper las seguridades de los sistemas de información 
donde puedan realizar o perjudicar a otros, con ventajas personales o 
monetarias, estos transgresores informáticos siempre están buscando el 
camino donde hay menor resistencia, ya sea por algunadeficiencia de las 
personas, o de las mismas vulnerabilidades o cualquier tipo de fallas en la 
seguridad de la información. 
B. Hacker de sombrero gris 
Son los que realizan el trabajo en diferentes momentos ya pueda ser de forma 
defensiva y ofensiva, principalmente llegan a superar los límites de las leyes. 
C. Hacker de sombrero blanco 
Son aquellos que vienen usando conocimientos que pueden ser defensivos, de 
la misma forma en base a sus habilidades que pueden localizarse 
implementando contramedidas y localizar amenazas. 
 
 
33 
 
D. Hacker Ético 
El hacker ético viene a ser los expertos de la seguridad con extensas 
habilidades y conocimientos, los cuales llegan hacer ataques en los sistemas 
informáticos, en nombre de los representantes, el cual está en busca de fallos 
de seguridad con el determinado propósito de informar sobre las posibles 
remediaciones y vulnerabilidades detectadas. 
 
1.3.5.4. Tipos de Pruebas de Penetración 
Para, López, (2017), menciona que este tipo de prácticas de penetración se 
centran especialmente en las perspectivas mencionadas a continuación: 
a) Pruebas de penetración con objeto: Es quien se encarga de buscar puntos 
débiles en componentes principales de los diferentes sistemas relacionados 
con la informática delicados de la empresa. 
b) Pruebas de penetración sin objeto: Es el procedimiento que determina la 
verificación total de elementos de los diferentes sistemas en la compañía. 
c) Pruebas de penetración ciega: Vienen siendo usado especialmente en la 
información pública, por lo tanto, esta práctica trata de reducir las arremetidas 
externas. 
d) Pruebas de penetración informadas: Aquí son usadas la información 
privada, consentidos por la empresa sobre los sistemas informáticos, por otra 
parte, en esta prueba de penetración informada se van a simular los atentados 
ejecutados por personas internas de la empresa que tienen entradas a la 
información privada de la misma. 
e) Pruebas de penetración externas: Se realizan en las afueras de los 
establecimientos de la empresa, su principal objetico de esta prueba de 
penetración es determinar los instrumentos para el amparo de la compañía. 
f) Pruebas de penetración internas: En esta penetración se realizan dentro 
del establecimiento de la organización, donde se busca determinar los 
dispositivos internos de la protección de la empresa. 
 
34 
 
1.3.5.5. Modalidades de Hacking Ético 
Según, Astudillo, (2018), señala que hay distintas formas de Ética Hacker, sin 
embargo, las que sobresalen y son más reconocidas son las siguientes: 
A. Hacking ético externo caja blanca: la empresa nos proporciona sin ningún 
problema datos e información de todas las áreas, elementos y actividades que 
se realizan dentro de la misma y de esa manera poder llevar a cabo las pruebas. 
Al final del estudio se obtienen una serie de datos, sobre los puntos débiles de 
la compañía, y a su vez añade una serie de sugerencias para reforzar, evitar 
los fallos y mejorar. 
B. Hacking ético externo caja negra: Ante todo, cabe resaltar que esta 
modalidad es parecida a la mencionada en el punto anterior, pero se diferencian 
en que la empresa no brinda ninguna clase de información. Este tipo de hacking 
es el que se ejecuta en la realización de este proyecto. 
C. Hacking ético interno: Se investiga y analiza el interior el sistema o la red, 
y de tal forma confrontar cualquier tipo de problema con respecto a violación de 
la seguridad o la intervención de algún sujeto desconocido que tenga la 
intención de hackear que muchas veces quieren robar datos importantes, estas 
acciones pueden ser ejecutadas por cualquier tipo de persona, incluso del 
mismo personal de la compañía. 
 
1.3.5.6. Fases del Hacking Ético 
Se considera que cuando un intruso ingresa a la red, realiza o pasa por cinco 
etapas, a las cuales se les conoce como el círculo del hacking, los mismos que 
están siendo examinados por “Certified Ethical Hacker- Certificado Hacker 
Ético”: 
35 
 
 
Figura 3. Circulo de fases del Hacking Ético. Fuente: (Berrio, Hacking Ético “VS” 
Defensa en Profundidad, 2018) 
 
1.3.6. Reconocimiento 
Para, Niño, (2018), señala que es la etapa en la que el individuo se está 
organizando para iniciar con la recopilación e investigación de datos 
importantes que necesitan para un fin determinado, y lo hacen por medio de la 
utilización de diversos recursos o métodos. Por consiguiente, es esencial 
mencionar que hay dos formas de reconocimiento que son: 
 
36 
 
Reconocimiento Pasivo. Se basa en colección e investigación de información, 
pero sin que exista algún tipo de relación o conexión directa con la compañía 
que va a ser afectada. Este tipo de reconocimiento puede hacerse desde lejos, 
a través de la observación y vigilancia hacia el objetivo. Pero, lo más común es 
que se lleve a cabo por medio de internet, en donde los datos requeridos se 
encuentran con mayor facilidad y precisión. 
Reconocimiento Activo. A diferencia del reconocimiento anterior, este si 
requiere de una relación de cerca y directa, lo cual significa que va a tener que 
ingresar a la red para conseguir mayores datos, sin embargo, los que utilizan 
esta modalidad se arriesgan a ser descubiertos. Existe el riesgo de que la 
empresa actúe de inmediato y de con la localización e identidad del intruso. 
Cabe resaltar que los dos tipos de reconocimientos son fundamentales, pues 
sin importar como, o de qué manera siempre terminan obteniendo la 
información que necesitan. 
Esta es una etapa un poco complicada para los invasores de la red, pues a raíz 
de esta y lo que se logre se definirá el uso que les den a las siguientes etapas. 
Usualmente resulta ser un tanto sencillo averiguar o conocer la clase de 
servidores (http) que se están empleando, así como los sistemas operativos 
que usa una empresa. Estos datos posibilitan detectar cualquier error o falla 
que presente el sistema, y de esa manera evitar que cualquiera tenga un fácil 
acceso al mismo. 
 
1.3.7. Exploración o Escaneo 
Este periodo tiene mucho que ver y requiere del cumplimiento de la fase 
anterior en donde se investigaron datos importantes sobre el sujeto o la 
compañía para de esa manera atentar contra los mismos. Los recursos o 
técnicas que generalmente se utilizan en este periodo es el escaneo de puertos, 
detección de puntos débiles, etc. (Plinio, 2012). 
37 
 
 
1.3.8. Ganancia de Acceso 
Aquí es donde el trabajo del intruso cobra sentido, pues es aquí en donde las 
áreas débiles que han sido detectadas antes son utilizadas y aprovechadas 
para conseguir una fácil entrada a la red. En la ganancia de acceso, el infiltrado 
obtiene múltiples puertas con las que puede manejar totalmente el sistema y 
todos los que se encuentran conectados y relacionados con ese, a su vez se 
encuentran expuestos (Plinio, 2012). 
Se puede atentar contra la empresa totalmente a través del sistema con el que 
funciona, por áreas, aplicaciones tecnológicas, destrezas o por medio de algo 
que los hackers tienen a favor y a esto nos referimos a los fallos de un sistema, 
debilidades, y otro tipo de problemas con la seguridad. 
Algunas formas de atentar contra el blanco son por medio de diversas formas, 
entre las cuales tenemos, el descontrol de datos, rechazo de servicio, 
hackeando el acceso a los sistemas, conseguir de manera ilícita claves, por 
medio de distintas tácticas, entre otras formas (Plinio, 2012). 
 
1.3.9. Mantener el Acceso 
Cuando ya se ha logrado entrar al sistema, lo primordial en ese preciso 
momento es conservar ese acceso, ya que existen múltiples formas de perderlo 
cuando el intruso es detectado. Se busca tener una accesibilidad para cuando 
se requiera posteriormente, esto se puede conseguir por medio de puertas 
traseras, virus troyanos y otros. Aquí, el hacker debe hacer todo lo posible para 
no perder el acceso y esto implica emplear sesionesde Telnet y FTP 
(Fernandez, 2017). 
Cuando se llega a esta fase, el hacker tiene el control de la información, por lo 
que él decide qué hacer con la misma, puede modificarla a su antojo, atentar 
contra el funcionamiento del sistema, y de sus aplicaciones. 
38 
 
 
1.3.10. Borrado de Huellas 
Reyes, (2015), menciona que cuando el infiltrado ha podido tener una entrada 
triunfante y ha conseguido lo que quería, llega el momento de investigar y 
eliminar todo rastro de intrusión, y todo ello se lleva a cabo con el fin de 
conservar el acceso y entrar fácilmente cuando se desee. 
 
1.3.11. Beneficios del Hacking Ético 
Reyes, (2015), menciona que el uso del hacking ético permite detectar que tan 
seguro es el sistema de la empresa, que son las mismas tácticas que pondría 
en práctica un verdadero hacker, de tal modo, la vulnerabilidad del sistema será 
medible. 
Las pruebas de introducción y de invasión llevadas a cabo por un intruso ético 
se tienen como fin ordenar y asegurarse de los problemas y debilidades con las 
que cuenta un sistema, mas no en la manera en que estas afectan a la 
empresa. 
Además, Reyes, (2015), indica que al terminar el tipo de pruebas antes 
mencionadas y realizadas por el hacker, los resultados se implantan en un tipo 
de informe donde se señalan las debilidades halladas, y al mismo tiempo se 
ofrecen las sugerencias u opciones para dar solución a los problemas de 
seguridad. Es fundamental que el documento que se entregue tenga finalidades 
técnicas y ejecutivas, de modo que el personal técnico y de gestión 
comprendan los riesgos y puedan tomar cartas en el asunto. 
Las ventajas que se consiguen al ejecutar un hacking ético son múltiples, sin 
embargo, las primordiales son: 
a) Facilita el conocimiento de las debilidades con el fin de mejorarlas a tiempo. 
39 
 
b) Permite conocer configuraciones inadecuadas o indebidas en aplicaciones 
que se encuentran implantadas en los sistemas, las cuales resultan ser un 
riesgo para la organización. 
c) Reconocimiento de los errores en sistemas debido a la carencia de 
actualizaciones. 
d) Reducir el tiempo de respuesta necesitado para enfrentar todo caso que 
tenga impactos negativos. 
Cabe resaltar que es esencial considerar las dimensiones legales en la 
ejecución de un hacking ético. Dichos aspectos deben ser tomados en cuenta 
por la misma empresa y sus clientes, pues incluyen seguridad, confidencialidad, 
dicho de otro modo, los datos que se consigan serán usados para bien y para 
los objetivos planteados anteriormente. 
En relación con la empresa que contrata los servicios, esta debe asegurar que 
los datos que brinda de las pruebas de infiltración son verdaderos. de manera 
que los resultados sean lógicos, coherentes, adecuados y precisos. 
 
1.3.12. Metodologías del Hacking Ético 
Los datos e información de una organización son elementos fundamentales 
para la misma. Sin embargo, existe la posibilidad de que los sistemas no sean 
tan seguros como parece, por lo que la actividad organizativa de la compañía 
se ve afectada. Es aquí donde hace falta realizar un estudio sobre esta 
situación y asegurarse de que se hayan eliminado por completo los problemas 
de seguridad. Los técnicos hacen su aparición e incluso acuden a la ayuda de 
grandes profesionales expertos en esta área con el fin de llevar a cabo un mejor 
estudio de la variable en cuestión, y a su vez ejecutan y manejan diversas 
pruebas y ataques con el objetivo de ver si el sistema es totalmente seguro y 
aprueba con éxito cualquier imprevisto que pueda suceder, en este caso, 
ataques (Sogeti, 2018). 
40 
 
Asimismo, Sogeti, (2018), señala que toda la información obtenida y gestionada 
por los expertos responsables de llevar a cabo la evaluación de puntos 
vulnerables se orientan por distintos modelos de hacking ético actualmente 
existentes, con el objetivo administrar y organizar todo su trabajo sin dejar de 
lado ningún aspecto u área de la red, con una adecuada y precisa presentación 
de los datos obtenidos, entre los métodos más esenciales están: OSSTMM, 
ISSAF, OWASP. 
 
1.3.12.1. OSSTMM 
Para, Crúz, (2017), señala que OSSTMM, es un modelo que se encarga de 
asegurar y verificar constantemente la seguridad del sistema. 
Este plan comienza el año 2000 con un incremento y aprobación por los medios 
de protección. Asimismo, durante el año 2005, esta metodología ya no solo era 
estimada porque permitía la realización de prácticas óptimas, sino que también 
comenzó a ser apreciado porque garantizaba seguridad total. Para el año 
siguiente, el OSSTMM pasó a ser una de las herramientas más usadas, dada 
su eficacia (Sogeti, 2018). 
Hoy en día el sector de redes en las compañías generalmente cambia y se 
convierten en algo difícil y con una infraestructura distinta, con la incorporación 
al mercado de la comunicación a distancia. Los modelos para un estudio de 
áreas vulnerables tienen que someterse y adaptarse a tales solicitudes, motivo 
por el cual OSSTMM hizo algunas modificaciones en sus versiones y de tal 
forma es útil para la realización de pruebas en distintos lugares y medios 
(Sogeti, 2018). 
Crúz, (2017), indica que esta táctica posibilita la ejecución eficaz y eficiente de 
las actividades requeridas para que tanto administradores como técnicos y 
expertos en temas de seguridad lo empleen para estudiar, realizar pruebas y 
verificar que el sistema se desenvuelva eficazmente en caso de que cualquier 
hacker desee entrar en el para obtener información indebidamente, y en caso 
41 
 
de que los resultados no sean los que esperaban, es necesario fijar las 
acciones a realizar para mejorar y contrarrestar el problema. 
Siguiendo a Crúz, (2017), señala que su objetivo o meta se enfoca en ofrecer 
o proveer un manual científico para la identificación adecuada del nivel de 
seguridad operacional, a través del estudio y la investigación y la relación de 
los resultados obtenidos de una manera segura y eficiente. Cabe resaltar, que 
una de las características sobresalientes de este manual es su capacidad de 
adaptarse a todo tipo de auditoría, tomando en cuenta también las pruebas de 
intrusión, ética de hacker, estudio de vulnerabilidades y de seguridad, red-
teaming8, blue-teaming, entre otras. 
 
Figura 4. Esquema del Manual de la Metodología Abierta de Testeo de 
Seguridad (OSSTMM). Fuente: (Parandini & Ramilli, Towards a practical and 
effective security testing methodology, 2010) 
 
42 
 
1.3.12.2. ISSAF 
Según, Gontharet & Testing, (2015), explica que es el recuadro de la 
apreciación del amparo del sistema de datos, es el más reconocido como 
Information Systems Security Assessment Framework, el cual fue 
implementado por la OISSG para envolver los requisitos de la empresa que son 
resueltos en un entorno donde la información va ser un activo de la empresa, 
existen una cantidad de organizaciones que no se preocupan por la seguridad 
informática, el cual va tratar de cumplir sus objetivos, es aquí donde OISSG va 
enfocar sus metas al implementar ISSAF, brindando extensiones de empresas 
con la incorporación de la tecnología, al crecimiento de funciones industriales. 
Gontharet & Testing, (2015), explica que Information Systems Security 
Assessment Framework es un escrito de observación para la valoración de la 
protección que normaliza los procedimientos de prácticas de los sistemas de 
amparo, uno de los principales desigualdades en relación a los distintos 
informes, y manuales de apreciación de áreas débiles, es que este escrito se 
va hallar no solo en un manual paso a paso, de cómo se va ir llevando una 
verificación de la seguridad, y solo así va a facilitar a los instrumentos, que 
posiblemente estarán entregando la información necesaria para completar las 
distintas plantillas del escrito, así mismo explica el cómo y porque las medidas 
de seguridad estarán siendo evaluadas. 
InformationSystems Security Assessment Framework está dirigido a los 
administradores de la seguridad perimetral, responsables de la vulnerabilidad 
externa e interna, consultores e ingenieros de la seguridad, gerentes de los 
sistemas y redes, administradores y técnicos funcionales, y finalmente conjunto 
de seguridad informática (López, 2015). 
 
43 
 
 
Figura 5. Fases a seguir en la metodología de Information Systems Security 
Assessment Framework (ISSAF). Fuente: (Álvarez, Propuesta de una 
metodología de pruebas de penetración orientadas a riesgos, 2018) 
 
1.3.12.3. OWASP 
Según, Sanz, (2018), explica que el Open Web Application Project, conocido 
también como OWASP es una idea a nivel mundial que está orientado a 
modernizar la seguridad de aplicaciones fomentando y motivando de la misma 
forma a los creadores adjudicados o autónomos asimismo de alguna empresa, 
a fabricar el trabajo que está brindando confianza en las diferentes 
aplicaciones, desarrollados en el desembargo de las empresas. 
44 
 
A nivel internacional están llenos de aplicaciones, motivo por el cual se 
necesita, de un modelo de desarrollo que va a permitir tener de una forma 
ordenada, toda la capacidad de internet, si se hace una verificación de las 
funciones en línea que llega hacer una persona en el tiempo de su vida día tras 
día, se puede constatar que la tecnología ha brindado muchos procedimientos 
los cuales vienen a ser accesos a correo, accesos a documentaciones, pago 
de servicios, transferencias, etc. Y muchas veces se llega a realizar desde un 
determinado aplicativo, instalado en el teléfono inteligente. Pero si cada 
persona llegara conocer el verdadero riesgo que lleva a usar estos aplicativos 
computacionales y celulares, muy probablemente no se llegara a usar, sin 
embargo, dar este paso será un paso atrás en el tiempo y ponerse al día con el 
progreso tecnológico. Esta es la única razón clave para que los clientes confíen 
en el único propósito de usar el programa, incluso si tienen cierta comprensión 
y debilidades en el Los desarrolladores, como todos sabemos, en la producción 
pueden provocar muchos errores en la línea de código al momento de aplicar 
programas. Después de citar este material de referencia, podemos centrarnos 
razonablemente en la seguridad informática y la seguridad del código fuente 
que proporcionamos al mundo (Ortega, 2018). 
El Open Web Application Project es la sociedad plenamente abierta 
conformada por un conjunto de personas que se ofrecen a velar por la 
seguridad de la base de datos dedicadas a ayudar con las evaluaciones y 
correcciones de las diferentes aplicaciones, el cual va a conectar los diferentes 
errores que son realizados a nivel de códigos de las aplicaciones, por los 
investigadores de las aplicaciones, para llegar a verificar los riesgos, que van a 
originar las fallas a la organización y produce un determinado plan de 
rectificación de las aplicaciones que se han encontrado con riesgo (Astudillo, 
2018). 
45 
 
 
Figura 6. Esquema de Open Web Application Project (OWASP). Fuente: 
(Cuthbert, Estándar de Verificación de Seguridad en Aplicaciones 3.0.1, 2017) 
 
1.3.12.4. PTES (Penetration testing execution standard) 
 
Esta metodología fue realizada en base a otras de pruebas de penetración 
existentes a fin de hacer un standard a pesar que se enmarca en la metodología 
OSSTMM. 
 
En cuanto a Ámbito y enfoque se adapta a cualquier ámbito de aplicación y se 
combina perfectamente con OWASP, dándole agilidad y cimentación a la 
auditoría de seguridad. Así, de acuerdo al Alcance PTES está orientada a 
46 
 
niveles técnicos específicamente; por otro lado, en cuanto a la Profundidad, 
Elkan, (2017), afirma que PTES son métodos básicos y guías en ciertos 
escenarios; pretende unir esfuerzos de analistas y expertos en seguridad para 
hacer un estándar que pueda completar una auditoría en todos sus procesos 
más habituales, cubriendo una prueba de penetración. En cuanto a evaluación 
al riesgo, esta metodología maneja niveles de riesgo dirigidos a un lenguaje 
para negocio y una descripción cualitativa, lo que permite una fácil 
comunicación con el cliente. 
 
Por lo tanto, las 7 fases que maneja esta metodología. La primera llamada Pre-
compromiso; en esta etapa se define el alcance de la auditoría de seguridad, la 
estimación del tiempo, tipo de pruebas, detalles de ingeniería social, gerentes 
de unidad, administradores de sistemas, denegación de servicio, calendario 
periódico, entregas de informe de estado y permisos para probar. Luego viene 
la segunda fase de Recolección de información, la cual busca levantar 
información publicada en motores de búsqueda, también se define el objetivo 
de la prueba. La tercera fase es el modelado de amenazas donde se identifican 
y clasifican los activos primarios y secundarios, realizando un mapa contra los 
mismos. Sigue el análisis de vulnerabilidades, que es la cuarta fase, aquí se 
realizan escáneres de aplicaciones web, ataques de fuerza bruta, monitoreo de 
tráfico. Luego, en la quinta fase que es explotación junto con las dos fases 
anteriores, se realiza la evasión de software o hardware que trate de impedir la 
auditoría, como, por ejemplo, un firewall, IDS, IPS, WAFS. En sexta fase, de 
post-explotación se centra la recopilación de evidencias y en cómo valorar el 
impacto real del ataque y hasta dónde puede llegar el sistema comprometido, 
incluyendo borrado de huellas y hacer persistente la intrusión mediante 
conexión inversa, rootkits y puertas traseras entre otros. En la última fase, 
involucra la realización de informes técnicos y ejecutivos como resultado de la 
auditoría de seguridad. 
 
 
 
 
47 
 
1.3.12.5. Comparación de las Metodologías 
Para, Ortega, (2018), indica que se llevan a cabo las medidas tomadas como 
mención en el trabajo de titulación, las vulnerabilidades y análisis de riesgos de 
las infraestructuras tecnológica, de la gestión de riesgos usando las diferentes 
metodologías de hacking ético, y son los siguientes: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
48 
 
Tabla 1. 
Comparación de las metodologías. 
CARACTERISTICAS 
METODOLOGIAS 
OSSTMM OWASP ISSAF PTES 
Determina los pasos que se deben 
seguir para ejecutar una buena 
evaluación 
NO NO SI NO 
Permite ejecutar estudios de 
seguridad a cualquier sistema 
informático 
SI NO SI SI 
Contiene plantillas para realizar las 
pruebas 
SI SI SI SI 
Define áreas de alcance NO SI SI NO 
Contiene pruebas de ejemplos y 
resultados 
NO SI SI NO 
Detalla técnicas para las evaluaciones NO SI SI NO 
Da a conocer procesos evaluación de 
riesgos 
SI SI SI SI 
Recomienda Herramientas para cada 
prueba 
NO SI SI NO 
Enumera y clasifica las 
vulnerabilidades encontradas 
NO NO SI NO 
Define dimensiones de seguridad a 
evaluar 
SI NO NO SI 
Es un estándar SI SI NO NO 
Produce informes SI SI SI SI 
Da recomendaciones NO NO SI SI 
Contiene referencias a documentos y 
enlaces 
NO SI SI NO 
Presenta Evaluaciones a aplicaciones 
web 
SI SI SI NO 
Presenta acuerdo de confidencialidad SI NO SI NO 
Mantiene actualizaciones al día SI SI NO NO 
Nota: La comparación de metodologías que ha usado el autor para ver cuál es 
la mejor. Fuente: (Molina & Zea, Comparación de metodologías en aplicaciones 
web, 2018) 
 
49 
 
1.3.13. Definición de términos básicos 
ACK: Hace referencia a la respuesta que se da como confirmación de 
recepción de un mensaje. Por ejemplo, si un dispositivo ha recibido la 
información que se le ha enviado, este enviará una señal afirmando la 
recepción de la misma. 
ARP: Hace posible conocer y localizar la dirección Media Access Control que 
es proporcional a cierta dirección de protocolo de internet, presentándose como 
interprete e intercesor. 
Ataque: Hace referencia al acto que se ejecuta en otro lugar, distinto al del 
hablante y del destinatario

Más contenidos de este tema

Contenido elegido para ti

Metodologia-de-seguridad-en-redes-de-computadoras
224 pag.

Metodologia-de-seguridad-en-redes-de-computadoras

Buenas-practicas-para-la-implementacion
197 pag.

Buenas-practicas-para-la-implementacion

Metodologia-de-auditoria-en-seguridad-informatica-para-redes-de-computadoras
294 pag.

Metodologia-de-auditoria-en-seguridad-informatica-para-redes-de-computadoras

Sistema-de-gestion-de-seguridad-de-la-informacion-para-la-Escuela-Nacional-Preparatoria-No-5-Jose-Vasconcelos
244 pag.

Sistema-de-gestion-de-seguridad-de-la-informacion-para-la-Escuela-Nacional-Preparatoria-No-5-Jose-Vasconcelos

Auditoria-de-la-seguridad-informatica-del-departamento-de-control-de-gestion-e-informatica-de-la-SRGHBS-de-CFE
127 pag.

Auditoria-de-la-seguridad-informatica-del-departamento-de-control-de-gestion-e-informatica-de-la-SRGHBS-de-CFE

Preguntas de este disciplina

Question Icon

El 22 de Abril Castillo integra su compromiso con efectivo $ 150.000, Mercaderías, $ 200.000 (IVA incluido). DOCUMENTACION RESPALDATORIA Recibo X...