Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
UNIVERSIDAD NACIONAL DEL CENTRO DEL PERÚ FACULTAD DE INGENIERÍA DE SISTEMAS TESIS PRESENTADA POR: DAMIAN RETAMOZO, Miriam PARA OPTAR EL TÍTULO PROFESIONAL DE: INGENIERA DE SISTEMAS HUANCAYO - 2020 POLÍTICAS DE SEGURIDAD BASADAS EN ETHICAL HACKING PARA MEJORAR LOS SISTEMAS DE INTRANET EN LA DIVISIÓN DE SOPORTE INFORMÁTICO DEL HOSPITAL RAMIRO PRIALÉ PRIALÉ – HUANCAYO ii ASESOR: Dr. Henry George Maquera Quispe iii DEDICATORIA A mis padres y mis hermanos por su motivación, esfuerzo a diario y que son los pilares de seguir adelante, por su lucha constante, estar en cada etapa acompañándome sin condición alguna. iv AGRADECIMIENTOS A DIOS Por el don de la vida y por llenar mi vida de alegrías y bendiciones. A MI ALMA MÁTER Por acogerme durante mi vida universitaria. A GERSON Por su apoyo en esos momentos difíciles y ser la persona quien me ayudo a desarrollar esta investigación. A MI ASESOR HENRY Por su persistencia para poder desarrollarme dentro de la carrera. A MIS AMIGAS SARELLA, LEDY, MISHELL Y THANIA Por cada momento de risas y alegrías que pasamos en las aulas de clases. v LISTA DE CONTENIDOS LISTA DE TABLAS ........................................................................................................................... vii LISTA DE FIGURAS ........................................................................................................................ viii RESUMEN ............................................................................................................................................ ix ABSTRACT ........................................................................................................................................... x INTRODUCCIÓN ............................................................................................................................... 11 CAPÍTULO I: GENERALIDADES .................................................................................................... 3 1. PLANTEAMIENTO DEL PROBLEMA .................................................................................. 3 1.1. Seguridad informática en sistemas de intranet en el mundo ......................................... 3 1.2. Seguridad Informática en los sistemas de intranet en el Perú ...................................... 5 1.3. Seguridad Informática en los sistemas de Intranet en el Hospital Ramiro Prialé Prialé 6 2. FORMULACIÓN DEL PROBLEMA .................................................................................... 18 2.1. Problema General ........................................................................................................... 18 2.2. Problemas Específicos ..................................................................................................... 18 3. OBJETIVOS .............................................................................................................................. 18 3.1. Objetivo General ............................................................................................................. 18 3.2. Objetivos Específicos ....................................................................................................... 18 4. JUSTIFICACIÓN ..................................................................................................................... 18 5. HIPÓTESIS ............................................................................................................................... 19 5.1. Hipótesis General ............................................................................................................ 19 5.2. Hipótesis Específicas ....................................................................................................... 19 6. METODOLOGÍA DE LA INVESTIGACIÓN ...................................................................... 20 CAPÍTULO II: MARCO DE REFERENCIA .................................................................................. 24 1. ANTECEDENTES DE LA INVESTIGACIÓN ..................................................................... 24 2. MARCO TEÓRICO ................................................................................................................. 30 2.1. Seguridad de sistemas de Información .......................................................................... 30 2.2. Marco ISO 27001:2013 ................................................................................................... 33 2.3. Metodología MAGERIT ................................................................................................. 33 2.4. Hacker .............................................................................................................................. 33 2.5. Metodología de Prueba de Penetración ......................................................................... 35 2.6. Intranet ............................................................................................................................. 36 2.7. Herramientas para el uso de Ethical Hacking .............................................................. 36 2.8. Protocolos ......................................................................................................................... 38 2.9. Criptografía ..................................................................................................................... 39 3. MODELO APLICATIVO ........................................................................................................ 40 4. MARCO CONCEPTUAL ........................................................................................................ 42 CAPÍTULO III: INTERVENCIÓN METODOLÓGICA ............................................................... 45 1. Interacción Pre-Compromiso................................................................................................... 45 2. Recopilación de Información ................................................................................................... 45 vi 3. Modelado de amenazas ............................................................................................................. 51 4. Escaneo y análisis de vulnerabilidades.................................................................................... 58 5. Explotación de vulnerabilidades .............................................................................................. 64 6. Post –Explotación ...................................................................................................................... 68 7. Informe General de Ethical Hacking ...................................................................................... 70 8. Políticas de Seguridad ............................................................................................................... 70 CAPÍTULO IV: DISCUSIÓN DE RESULTADOS ......................................................................... 74 4.1. Validación de hipótesis............................................................................................................. 74 4.2. Discusión de resultados ............................................................................................................. 80 CONCLUSIONES ............................................................................................................................... 82 RECOMENDACIONES ..................................................................................................................... 83 REFERENCIAS ..................................................................................................................................84 APÉNDICES ........................................................................................................................................ 87 ANEXOS ............................................................................................................................................ 139 vii LISTA DE TABLAS Tabla 1. Características detalladas de los Servidores. ....................................................................... 8 Tabla 2. Cantidad de Switches en el Hospital Ramiro Priale Priale ................................................ 9 Tabla 3. Lista de IPs en los rangos correspondientes ........................................................................ 9 Tabla 4. Sistemas de Intranet usados en el Essalud ......................................................................... 14 Tabla 5.Sistemas Intranet – Hospital Ramiro Priale Priale ............................................................ 15 Tabla 6. Operacionalización de Variables. ....................................................................................... 20 Tabla 7. Valorización de los activos ................................................................................................... 53 Tabla 8.Indicadores de disponibilidad, Integridad y Confidencialidad ......................................... 53 Tabla 9. Valorización de las amenazas .............................................................................................. 57 Tabla 10. Distribución de todas las vulnerabilidades por puntaje CVE ........................................ 63 Tabla 11. Identificación de amenazas ................................................................................................ 63 Tabla 12: Número de controles en los Sistemas de División de Soporte Informático ................... 70 Tabla 13.Resultados descriptivos del número de controles en fase Pre Test – Post Test ............. 78 file:///C:/Users/user68/Documents/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc44060641 viii LISTA DE FIGURAS Figura 1.Virus e IPs Afectados .................................................................................................... 5 Figura 2. PC vulnerados según el Sistema Operativo ................................................................ 11 Figura 3. Antivirus SOPHOS instaladas y no instaladas ............................................................ 12 Figura 4. Carpeta “Soporte” ..................................................................................................... 12 Figura 5.Tipo de Usuario ........................................................................................................... 13 Figura 6. Tipo de Usuario “Soporte” ......................................................................................... 14 Figura 7.Ciberataques en la PCs del Hospital Ramiro Priale Priale .......................................... 16 Figura 8. Caídas del sistema de los servidores en el Hospital Ramiro Priale Priale.................... 17 Figura 9: Imagen de Virtual box ............................................................................................... 37 Figura 10:Imagen Kali Linux .................................................................................................... 37 Figura 11: Imagen de Wireshark ............................................................................................... 37 Figura 12: Figura NMAP .......................................................................................................... 38 Figura 13: Nessus Vulnerability Scanner ................................................................................... 38 Figura 14. Modelo aplicativo basado en Ethical Hacking .......................................................... 40 Figura 15.Dominio de ESSALUD utilizando el sitio web de Netcraff ......................................... 46 Figura 16. Dominio de Essalud con Whois ................................................................................. 47 Figura 17 . Dominio de Essalud con NSLookup ......................................................................... 47 Figura 18 . Dominio de Essalud con Internet Archive................................................................ 48 Figura 19 . Usando theharvester con el dominio de Essalud ...................................................... 48 Figura 20 . Identificando los correos electrónicos en relación con Essalud ................................ 49 Figura 21. Uso de dig con el dominio de essalud.gob.pe ............................................................. 50 Figura 22. Uso de wappalyzer-python ....................................................................................... 50 Figura 23. Diagrama de los niveles y relación de activos de tecnologías de Información .............. 1 Figura 24.Salida de escaneo rápido NMAP realizado en una sola dirección IP .......................... 58 Figura 25. Detección de Puertos abiertos en el sistema del DSI ................................................. 59 Figura 26. Salida de escaneo rápido NMAP realizado en una sola dirección IP ......................... 60 Figura 27. Topologia de red ....................................................................................................... 61 Figura 28. Servidor de la División de Soporte Informático ........................................................ 61 Figura 29. Vulnerabilidad del SMB ........................................................................................... 62 Figura 30. Arquitectura de red en los servidores del DSI .......................................................... 62 Figura 31. La creación de diccionario con medusa .................................................................... 64 Figura 32.El ataque de fuerza bruta .......................................................................................... 65 Figura 33.Uso de webScarab – Recorrido de mapa.................................................................... 65 Figura 34. Uso de WebScarab-Pestaña summary ...................................................................... 66 Figura 35. Ubicación del archivo sis_setError.sql ...................................................................... 66 Figura 36.Archivo speed Tree – Identificación de Usuario y contraseña .................................... 67 Figura 37. Código suelto en el archivo security.php ................................................................... 67 Figura 38. Aplicativo de la División de Soporte Informático ...................................................... 68 Figura 39.Aplicativo de la División de soporte Informático- Dentro de la Plataforma ............... 69 Figura 40.Pruebas de normalidad ............................................................................................. 76 Figura 41. Variación del N° de controles aplicados en fase pre y post test ................................. 79 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971120 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971121 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971122 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971123 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971125 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971130file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971131 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971132 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971133 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971141 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971146 file:///C:/Users/user68/Documents/miriam/TESIS%20-MIRIAM%20DAMIAN%20RETAMOZO%20diciembredocx-----iuiuiuiuiui.docx%23_Toc50971149 ix RESUMEN En las últimas décadas ha cambiado la seguridad de la información. En lugar de ser un producto básico que ayuda a las empresas a desarrollarse, la información es ahora el activo clave de la mayoría de las empresas, esta valiosa información es cada vez más vulnerable, debido al crecimiento de redes y puntos finales que se extienden por todo el mundo. El papel de la política es codificar los principios rectores, dar forma al comportamiento, proporcionar orientación a quienes tienen la tarea de tomar decisiones presentes y futuras, servir como una hoja de ruta de implementación; una política de seguridad de información es una directiva que define como la organización protegerá sus activos de información, asegurará el cumplimiento de los requisitos legales, reglamentarios y mantener un ambiente que respalde los principios. En el Hospital Ramiro Prialé Prialé se hace uso del antivirus SOPHOS que casi en un 50% no se encuentra instalada en los equipos de escritorio permitiendo que los distintos malwares tengan el control de ello, generando falencias dentro de la institución, así también el área de informática maneja un servidor dedicado al almacenamiento de diferentes archivos, el cual esta direccionado con un IP y es accedido por cualquier equipo dentro de la institución, para el acceso a este servidor en muchos equipos no se observa la solicitud de identificación y se puede manejar los documentos dentro del servidor al antojo del posible usuario infiltrado. El presente trabajo de investigación propone determinar políticas de seguridad basadas en ethical hacking para mejorar los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé - Huancayo; para tal objetivo se propuso desarrollar la Metodología Penetration Testing Execution Standard (PTES), con el uso de las herramientas NMAP, NESSUS y John the Ripper. Estas herramientas vienen instaladas en la distribución libre de Linux, kali Linux y también se hizo uso del lenguaje de programación Python, como apoyo a las herramientas mencionadas. Se concluye que al hacer uso de ethical Hacking mediante el modelo aplicativo planteado, ayuda a implementar Políticas de seguridad para mejorar los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale - Huancayo. Palabras clave: Políticas de Seguridad, Ethical Hacking, Sistemas Intranet, Herramientas de PTES, Kali Linux, Python x ABSTRACT Information security has changed in recent decades. Instead of a basic product that helps companies to function, information is now the key asset of most companies, this valuable information is increasingly vulnerable, due to the growth of networks and endpoints that extend throughout the world. The role of the policy is to codify the guiding principles, shape the behavior, provide guidance to those who have the task of making present and future decisions, serve as an implementation roadmap, an information security policy is a directive that defines As the organization will protect its information assets, it will ensure compliance with legal, regulatory requirements and maintain an environment that supports the principles. In the Ramiro Priale Priale Hospital there is the SOPHOS antivirus that almost 50% are not installed on the desktop computers allowing malware to have control of it, making known flaws within the institution, as well as the computer area manages a server dedicated to the storage of different files, which is addressed with an IP and is accessed by any team within the institution, for access to this server on many computers the request for identification and handling documents within the server is not observed in his opinion. This research paper proposes to carry out security policies based on ethical hacking to improve intranet services in the Computer Support Division of the Ramiro Priale Priale-Huancayo Hospital; The Penetration Testing Execution Standard (PTES) Methodology was proposed for this purpose, using the NMAP, Veil, Metasploit, Burp Suite, Hydra, John the Ripper, oclHashcat tools. Kali Linux will use a Linux distribution and the Python programming language. It is concluded that by making use of ethical Hacking through the proposed application model, it helps to determine security policies to improve intranet systems at the Ramiro Priale Priale - Huancayo Hospital. Keywords: Security Policies, Ethical Hacking, Intranet Systems, PTES Tools, Kali Linux, Python xi INTRODUCCIÓN En el Hospital Ramiro Prialé Prialé se tiene información confidencial de los asegurados, actualmente casi en un 50% de los equipos de escritorio no se encuentran actualizados o no tienen instalados el antivirus Sophos, en consecuencia, se evidencia gran cantidad de filtraciones de malware como troyanos, gusano y virus, dejando vulnerable a los datos. Las políticas de seguridad tienen el fin de asegurar y proteger consistentemente la información que fluye a través de todo el sistema. Dicha información debe estar protegida durante todo el proceso en todo momento, en tal sentido se desarrolla el ethical hacking para detectar vulnerabilidades e identificar fortalezas en los sistemas. El objetivo de este trabajo de investigación es hacer uso de Ethical Hacking para la implementación de Políticas de Seguridad Informática en la División de Soporte Informático del Hospital Ramiro Prialé Prialé. El trabajo desarrollado comprende cuatro capítulos, desarrollados de la siguiente manera: El capítulo I, se ha considerado las generalidades como el planteamiento del problema, el cual permitió conocer la situación real en la que se encuentra el Hospital Ramiro Priale Priale, en cuanto a la seguridad informática de los sistemas de intranet; así mismo se muestra la formulación del problema, se indican los objetivos de la investigación, para luego exponer los motivos que justifican la concreción de este trabajo y su importancia; además se da a conocer la hipótesis como también la operacionalización de variables. El capítulo II, se muestra todo lo concerniente al marco de referencia, en el cual se ha desarrollado los antecedentes de la investigación, el marco teórico que aborda la disciplina de ethical hacking y todo lo fundamental en cuanto a las Políticas de seguridad y los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale, también se cuenta con la definición de términos básicos empleado en la investigación. El capítulo III, se plantea la metodología de investigación a ser empleada, en el cual se realiza la descripción del tipo de investigación realizada, el nivel de investigación en la que se encuentra el presente estudio, el diseño para el mismo, el método de investigación usado, la población y muestra que está conformada por el Sistema Administrativo de la DSI en el Hospital Ramiro Prialé Prialé - Huancayo. El capítulo IV, contempla la intervención metodológica donde se describe la aplicación de Ethical Hacking para la detección de vulnerabilidadesen los sistemas de intranet, en el cual se muestra los pasos de: Interacción Pre-Compromiso, recopilación de información, Reconocimiento, Escaneo, Explotación, Post – Explotación, Informes y Políticas de Seguridad. El capítulo V, denominado discusión de resultados, se inicia haciendo énfasis en el objetivo principal planteado para esta investigación, así mismo se da a conocer la evaluación de la hipótesis 1 2 general basado en el análisis de los resultados obtenidos al aplicar Ethical Hacking: por otro lado, se compara los resultados con otros trabajos mencionados en los antecedentes y por último se evalúa las hipótesis específicas apoyando estas afirmaciones con el trabajo desarrollado. Finalmente se da a conocer las conclusiones, recomendaciones, referencias, apéndices y anexos obtenidos luego del desarrollo del trabajo de investigación. Miriam Damian Retamozo 3 CAPÍTULO I: GENERALIDADES En el presente capítulo se dará a conocer la seguridad informática en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé y en la actualidad existe una serie de vulnerabilidades dentro de los activos del Hospital que son esenciales, dando consistencia a esta situación con información clara y detallada, con la cual se reforzará el objetivo, la justificación teórica, práctica y metodológica, además de la hipótesis y la operacionalización de variables. 1. PLANTEAMIENTO DEL PROBLEMA En la actualidad la seguridad de la información es cada vez mayor, debido al crecimiento exponencial de las TIC y el crecimiento directamente proporcional de los riesgos que conllevan los mismos. La importancia de elaborar formas o métodos de mitigar estos riesgos implica la elaboración de normas o políticas que permitan la mejor gestión en términos de seguridad, debido a ello las organizaciones están poniendo un interés muy elevado en este tema, pues muchos de ellos se apoyan en la tecnología y en el día a día vienen actualizándose para ofrecer sus productos y/o servicios. La inseguridad informática en estos últimos tiempos está constituyendo un gran problema en términos sociales, económicos, etc. Por lo que este tema deja mucho que desear en términos de privacidad, ya que mucha de la información que se maneja informáticamente puede ser sustraída y usada inadecuadamente, y puede traer consigo resultados negativos. A continuación, se detalla la seguridad informática en los distintos límites de la investigación. 1.1. Seguridad informática en sistemas de intranet en el mundo La demanda y el uso creciente y no planificado de las TI para el manejo de la información está dejando un lado oscuro y opuesto ligado al tema de seguridad de la información, lo 4 que acarrea un crecimiento enorme de delitos informáticos a través de las vulnerabilidades presentes en los distintos sistemas informáticos de una organización. Las operaciones en sistemas que generan energía, aceite, gas, agua, medicina, son muy importantes, pues estos aparecieron incluso antes de la internet. Como consecuencia de la interconexión de estos sistemas y la generación y almacenamiento de datos, estos están siendo expuestos a amenazas y vulnerabilidades. En los últimos 10 años el uso de protocolos propios de seguridad se ha trasladado al uso de los mismos estándares globales y soluciones de gestión de la seguridad. El uso de herramientas automatizadas en la actualidad para la evaluación de vulnerabilidades es bastante atractivo, pero mientras estas herramientas encuentran problemas comunes, a la vez pierden un número significante de vulnerabilidades complejas y críticas (Serrano Latorre, 2013). Estas herramientas pueden agregar una sensación de seguridad durante el ciclo de desarrollo de software, pero al final de la observación de las vulnerabilidades críticas y complejas, aun con las mejores herramientas, se puede encontrar un pequeño porcentaje de vulnerabilidades serias. Esto en otras palabras nos afirma que las herramientas libres y comerciales para la evaluación de vulnerabilidades puede generar resultados positivos como negativos (Serrano Latorre, 2013). Esta realidad de encontrar las mejores herramientas que ayuden a mitigar los riesgos en la información, es un trabajo del día a día; los profesionales enfocados en este tema buscan actualizar sus herramientas y adecuarlas a todos los posibles escenarios, pero como se puede evidenciar, así como se quiere mejorar las técnicas y metodologías, de la misma manera las formas de ataques a la información van mejorando y haciéndose más resistentes y causando más perdidas. El Hospital Axxis de Quito no es ajena a la problemática planteada anteriormente, pues se evidenció que hubo robo de información de pacientes, y la venta de la base de datos a farmacéuticas como lo detalla Estrella, (Estrella, 2018). Por otro lado, la implementación de software de historias clínicas electrónicas en el mismo hospital se realizó sin tener en cuenta una planificación adecuada para la reducción de las vulnerabilidades que afecten a la información del paciente. Esto trae consigo como resultado que se detecte una mala gestión del departamento de TI en el manejo de la seguridad de la información. De los hallazgos encontrados en la auditoría realizada al Hospital Axxis, se puede visualizar en la Figura 1 una lista de posibles amenazas que lograron infectar las máquinas de la red por la falta de control de periféricos. A continuación, se muestra la Figura 1. 5 Tal como se muestra en la Figura 1, se puede evidenciar una lista con los nombres de las amenazas encontradas y los IPs de las máquinas afectadas. En esta lista de amenazas se puede ver nombres como Barracuda, CBL y Spamhaus ZEN. La piratería es un campo existente, sucede todos los días e implica una creciente demanda de protección. Se escuchó sobre el hackeo de Sony cuando PlayStation estuvo inactiva durante un tiempo considerable. Hace algún tiempo, alguien encontró una forma de forzar la contraseña de restauración en Facebook en su sitio web móvil, porque Facebook no comprobó la cantidad de veces que ingreso el PIN incorrecto. La persona que lo hizo, se lo advirtió a Facebook y fue recompensado con $ 20,000, debido a que Facebook cuenta con un programa de recompensas. (Sabih, 2018) 1.2. Seguridad Informática en los sistemas de intranet en el Perú El avance tecnológico conlleva a muchas de las organizaciones a acceder al mismo, dichas organizaciones en un nivel básico e importante enfocan sus esfuerzos en conservar la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad de la información. De este concepto se puede llegar a la conclusión que el activo principal para toda organización que haga uso de las TIC es la información. La implementación de las TIC en salud ayuda a tener a la mano información oportuna, eficiente y confiable para una óptima toma de decisiones. Tomando en cuenta lo anterior las TIC son unas herramientas de cambio por excelencia, y como todo cambio enorme necesita la definición de planes alineadas a muchos temas como lo es la seguridad informática (Curioso, 2015). Como lo indica Alvarado, (Alvarado, 2016) los sistemas informáticos que manejen bancos de datos personales, deberán buscar las mejores formas para el registro e identificación de usuarios, la debida gestión y verificación de los privilegios asignados. También se debe implementar medidas de seguridad en los Figura 1.Virus e IPs Afectados Fuente: Hospital Axxis Elaboración: (Estrella, 2018) 6 ambientes que se procese, almacene o transmita la información tomando como guía las mejores prácticas o políticas de las distintas normas. El Hospital Regional de Lambayeque, en la actualidad, maneja cierta cantidad de información que día adía es generada por la atención de los ciudadanos, así como también de información de gestión institucional. Del diagnóstico que se hizo en cuanto al tema de seguridad de la información se evidenció que la gestión de la seguridad no está contemplada en un proyecto, donde se pueden gestionar los riesgos a los que podría estar expuesto la información del hospital (Puyén Santos & Rivas Palacios, 2018). Dentro de esta problemática en el hospital y las consecuencias que acarrea, se identificó que el no contar con un sistema de gestión de riesgos no se puede listar los activos trascendentes, no se puede conocer los posibles escenarios de riesgos, no se puede realizar una valoración de los impactos y probabilidades de la acción de las amenazas. Todo este tema conlleva no solo hacer planes sino también tener una idea clara de lo que se quiere mejorar, para lo cual es necesario realizar las distintas evaluaciones que ayuden a identificar las debilidades en cuanto a la seguridad de la información en el hospital (Puyén Santos & Rivas Palacios, 2018). Según Mendoza, (Mendoza Riofrío, 2018) en una entrevista realizada a Franz Erni, country manager de Fortinet Perú, indica que el Perú se encuentra en el puesto quinto entre los países más atacados, destacando que las empresas en el Perú solo invierten un 20% de su presupuesto en seguridad. Debido a los innumerables ataques tanto a la infraestructura como a los clientes, los bancos invierten en TI significativamente. Por otro lado, el 64% de los bancos aseguran que mejorarán todo lo concerniente a la seguridad de la información tanto corporativa como la de sus usuarios, con el fin de satisfacer la demandas de los distintos interesados (CIO, 2017). También se menciona que el uso de dispositivos móviles para las distintas transacciones que se pueden hacer, expone a los bancos a nuevas amenazas cibernéticas. El 42% de los bancos encuestados supone que la mayoría de sus clientes utilizarán transacciones bancarias a través de sus móviles, pero la contraparte a este tema es que los usuarios son descuidados en su comportamiento por la red. De esta encuesta se dio a conocer que el 70% de los bancos informo sobre incidentes de fraude financiero (CIO, 2017) 1.3. Seguridad Informática en los sistemas de Intranet en el Hospital Ramiro Prialé Prialé El Hospital Ramiro Priale Priale, se fundó un 8 de enero de 1990 al inicio como Instituto Peruano de Seguridad Social (ex IPPS) en las que actualmente se tiene 22 establecimientos de salud y centro de referencias de la macro región centro, con una cartera de servicios de salud complejos, con infraestructura adecuada y recursos humanos 7 calificados. El Hospital Ramiro Prialé Prialé de la Red Asistencial Junín de EsSalud maneja información concerniente a todos los pacientes e información de gestión institucional y personal de trabajo, información que debe ser procesada de forma continua para brindar el servicio adecuado. (Perú, 2019) El creciente desarrollo de las tecnologías de información en las instituciones, empresas, gobiernos está siendo parte de esta evolución, por consecuencia se ha registrado una gran ola de ataques cibernéticos, que son destructivos y obtienen información confidencial esto significa que se debe estar preparado ante estas amenazas. En este sentido, es muy importante la seguridad cuyo objetivo es proteger los activos de la organización, en base de tres elementos principales confidencialidad, integridad y disponibilidad. En el entorno de la entidad se tiene una infraestructura tecnológica con una integración de redes, comunicaciones y sistemas de información para desarrollar, probar, entregar, monitorear, controlar y dar soporte a los usuarios. 1.3.1 Infraestructura Informática De Hardware Hace referencia a todas las tecnologías que se utilizan para ejecutar en la institución, tales como cableados técnicos, diagramas de conectividad, equipos de computación, diseño de redes y procesamiento de datos a nivel de la aplicación que se considera en el diseño de infraestructura. Servidores Los servidores son otras computadoras en términos de recursos, que permite a los usuarios acceder y compartir información, la infraestructura tecnológica con la que cuenta el Hospital Ramiro Priale Priale se basa en 3 gabinetes, cada uno contiene diferentes servidores y que actualmente cuenta con 15 equipos instalados en la red, que cumple un determinado servicio acorde a su capacidad y configuración. A continuación, se observa una lista detallada de los servidores y sus capacidades de proceso, encargadas de proveer diferentes servicios a la red de datos, permitiendo accesos a cuentas de correo electrónico, dominios web, bases de datos etc., tales servidores están en funcionamiento las 24 horas del día y los 365 días del año; se tiene 3 UPS permitiendo que durante un corte de energía eléctrica se pueda proporcionar la energía necesaria por un tiempo limitado a los servidores. Las características son detalladas en la Tabla 1. 8 Tabla 1. Características detalladas de los Servidores. Fuente: Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia Como se observa en la Tabla 1 los servidores tienen características sobresalientes, se puede mencionar la capacidad alta de los discos duros para un buen rendimiento y almacenamiento de los datos, además hay una variedad de núcleos en los procesadores que permite mejorar las funcionalidades en el tráfico de red que varía demasiado. Estaciones de Trabajo En el hospital se cuenta con una enorme cantidad de ordenadores, que generan una alta capacidad de procesamiento de datos y que además deberían ofrecer fiabilidad, compatibilidad, escalabilidad y arquitectura muy avanzada, ideales para entornos Servidor Marca Modelo Sistema operativo Procesador HP DL 180GS-Proliant Linux - Red Hat Enterprise Intel Xeon APPLE MC509EA IMac iMAC (21.5-inch, Mid 2010) / iMac11,2 / Intel Core3 1.33 Mhz HP DC7900 ULTRASLIM Linux - Red Hat Enterprise Intel Core 2 Duo E8400 3.00 Ghz 2 nucleos / 6 Mb cache DELL OPTIPLEX 755 DCTR Linux - Ubuntu Intel Core2Duo / 2 Mb cache Laboratorio DELL POWER EDGE R730 Vmware Xeon 16 cores DELL POWER EDGE R730 Windows 2012 Xeon 16 cores HP HP COMPAQ 6300 Centos release 6.5 (Final) Intel Pentium 3.4 Ghz 2 nucleos / 2 Mb cache LENOVO 9632 M2S Linux - Red Hat Enterprise Intel Core 2 Duo 6300 1.86 Ghz 2 nucleos / 2 Mb cache HP HP COMPAQ DC 7900 ULTRA S Linux - Red Hat Enterprise Intel Core 2 Duo E8400 3.00 Ghz 2 nucleos / 6 Mb cache HP HP COMPAQ 6300 Ubuntu Server 12.04 LTS + Otros 3.3.5 Intel Core I5 DELL POWER EDGE 730 Linux - Red Hat Enterprise Xeon 16 cores DELL POWER EDGE 730 Windows 2012 Xeon 16 cores IBM XSERIES 206M Linux - Red Hat Enterprise Intel Pentium 4 3.20 Ghz 2 nucleos / 2 Mb cache HP DC7900 ULTRASLIM Linux - Red Hat Enterprise Intel Core 2 Duo E8400 3.00 Ghz 2 nucleos / 6 Mb cache DELL Power Edge R7 de10 Linux - Red Hat Enterprise Intel Xeon E5520 2.27 Ghz 8 nucleos / 8Mb cache 9 diferentes áreas. Actualmente el hospital cuenta aproximadamente 648 PCs de las marcas HP, DELL, LENOVO, distribuidas entre sus diferentes estaciones de trabajo donde se, utilizan diferentes servicios. Tecnología de Red Los tramos de conexión en el Hospital Ramiro Priale Priale se enlazan al servidor principal “Linux” y los switches de cada piso, se enlazan a través de cables UTP 5e y llegan a la sala de servidores. Los switches que se usan en el hospital se observa en la en la Tabla 2. Tabla 2. Cantidad de Switches en el Hospital Ramiro Priale Priale Nombre del Switch Cantidad 3 COM D-Link Encore Alcatel HP Satra NewLinkCisco Ethernet Hub Leone 14 15 4 17 3 4 2 1 1 2 Fuente: Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia. Se puede evidenciar que existe actualmente 63 switches en toda la red de datos del Hospital Ramiro Priale Priale distribuidos en los diferentes pisos, las variedades de switch es evidente y la marca Alcatel es más usada, ya que son 17 switch instalados en las diferentes áreas de trabajo. En la tabla 3 se visualiza en si cuantos ordenadores están siendo utilizados para cada sub red y cuantos no: existen 5 rangos que toman en cada uno 253 IPs para su uso. Tabla 3. Lista de IPs en los rangos correspondientes Rango de IP Ordenadores ocupados Ordenadores libres 172.26.105.0/24 172.26.108.0/24 172.26.140.0/24 172.26.25.0/24 172.26.65.0/24 180 hosts 41 hosts 37 hosts 166 hosts 224 hosts 73 hosts 212 hosts 216 hosts 87 hosts 29 hosts Fuente: Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia En el Hospital Ramiro Priale Priale se tiene un total de 648 Pcs, cada uno pertenece a una sub red, los broadcast son el primer IP de cada sub red; la máscara de red es 255.255.255.0 y se tiene un total de 617 que están en uso. 10 La división de soporte informático cuenta con distintas redes dentro del hospital, y así como cuenta con distintas redes también cuenta con distintos niveles de acceso a la información externa. Estos niveles son clasificados de 5 maneras: - Nivel 1: Asignado al personal médico en los consultorios, quienes solo pueden acceder a los aplicativos institucionales, mas no tiene acceso a internet. - Nivel 2: Asignado al personal médico que necesita acceder a información externa de Essalud y necesitan de internet. Su ingreso solo es a determinadas páginas externas de internet. - Nivel 3: Asignado al personal médico o administrativo que necesita de mayor acceso a páginas externas, por ejemplo, correos de Gmail. - Nivel 4: Asignado a los jefes de Área, tienen casi un acceso total, solo cuenta con algunas restricciones. - Nivel 5: Asignado al Gerente General de Essalud y tiene acceso a toda la información fuera de la red de Essalud. Así como se tienen distintos niveles de acceso a la información externa, también las vulnerabilidades son mayores por niveles, por ejemplo, el nivel 5 que tiene acceso total también es más vulnerable a los ataques por entes externos. Es importante mencionar que las asignaciones de IP con los niveles altos de acceso a información externa son emparejadas con la MAC del equipo del usuario; haciendo que cualquier usuario que conozca la IP, con un nivel alto de acceso no puede ser usada por otro usuario, pero a la vez hace que el equipo con la IP sea más vulnerable debido a que el IP es estático y que el craker tiene más facilidades para el direccionamiento de su ataque. Sistemas Operativos Las PCs del hospital actualmente están corriendo bajo sistemas operativos como XP, Windows 7, 8 y 10 y Linux, donde los primeros S.O ya están desfasados, según (Aguilar, 2019)se ha descubierto vulnerabilidades en Windows que afecta a las versiones Windows XP y Windows 7 la cual es posible ejecutar código de forma remota sin requerir interacción por parte del usuario, propagándose el problema de PC a PC y por consiguiente aumentan las deficiencias en cuanto a seguridad; existe un pequeño grupo de PCs con mejores características técnicas que hacen uso del Sistema Operativo Windows 10. A continuación en la Figura 2, se muestra la cantidad de PCs vulneradas, estas están clasificadas según el Sistema Operativo. 11 En la Figura 2, se hace reconocimiento de las PCs vulneradas, dentro de las cuales se puede hacer hincapié en las PCs con sistema operativo XP y Windows 7, pues hay 152 de ellas que fueron manipuladas, además se puede evidenciar que un número alto de PCs con Windows 10 también fueron vulneradas, constatándose que ni las PCs con sistemas operativos actualizados escapan de los ataques maliciosos. 1.3.2 Infraestructura Informática De Software El antivirus está diseñado para prevenir infecciones en la computadora, el detectar software malicioso que a menudo se auto protege y se esconde en el fondo de un sistema operativo. Tomando en cuenta este concepto, en el Hospital Ramiro Prialé Prialé cuenta con el servicio de antivirus otorgada por la empresa Sophos el cual con la ayuda de un servidor está instalada en los equipos de escritorio, en la siguiente Figura 3 se muestra el porcentaje de PCs instaladas y no instaladas con el antivirus: Figura 2. PC vulnerados según el Sistema Operativo Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia 12 En la Figura 3 se puede evidenciar que casi la mitad de las PCs que se utilizan en el Hospital Ramiro Prialé Prialé no tienen instalados el antivirus, permitiendo que de alguna manera los malware no tengan un control restringido en los equipos. Cabe mencionar que, aun teniendo el servicio de antivirus con licencias para todos los equipos del hospital, se tenga casi el 50% de los equipos sin el mismo, dando a conocer las falencias dentro de la institución. El área de informática del Hospital Ramiro Prialé Prialé maneja un servidor dedicado al almacenamiento de los distintos archivos de gestión dentro de las cuales se puede mencionar al registro de equipos informáticos, papeletas de distribución de equipos, la lista de cuenta de usuarios para el acceso de los aplicativos institucionales en modo administrador. A la vez se encuentra almacenados los instaladores de los aplicativos de escritorio como el Office, SAP, etc., también se evidencia el almacenamiento de los drivers de las impresoras. Este servidor esta direccionado con un IP el cual puede ser accedido por cualquier equipo dentro de la institución ya sea en el mismo en el hospital o en las periferias; para el acceso a este servidor en muchos de los equipos no se observa la solicitud de autentificación permitiendo que cualquier usuario que sepa la dirección IP del servidor puede acceder a la misma sin restricciones y manejar los documentos dentro del servidor a su parecer. A continuación, en la Figura 4 se muestra la captura de pantalla del servidor luego del acceso al mismo. Figura 3. Antivirus SOPHOS instaladas y no instaladas Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia Figura 4. Carpeta “Soporte” Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia 13 En la Figura 4 se observa 6 carpetas compartidas dentro de los cuales está la carpeta “soporte” en el cual se aloja todo lo descrito en el párrafo anterior, por el contrario, para el acceso a las otras carpetas compartidas es necesario la autentificación desde cualquier equipo. Tomando en cuenta el uso de los equipos dentro de la institución, en primera instancia los equipos vienen configurados con dos usuarios, uno es el usuario “soporte” en el cual cuenta con privilegios de administrador y puede realizar cualquier cambio dentro del equipo y el otro usuario se denomina “usuario” el cual cuenta con muchas restricciones dentro de los cuales se puede mencionar que no puede instalar ningún aplicativo. El usuario soporte es exclusivamente para los colaboradores de la división de soporte informático quienes ante una falla del equipo y con la ayuda de este usuario realizan las configuraciones o cambios pertinentes para el funcionamiento adecuado del equipo por el contrario el usuario “usuario” es para el uso del personal asistencial del hospitaly administrativo. Luego de una revisión exhaustiva de los equipos informáticos se evidencia que una gran cantidad de ellos no tiene los dos usuarios y solo cuenta con uno, resaltando que esta última cuenta con todos los privilegios, a continuación, en la Figura 5 se evidencia el listado de equipos. Figura 5.Tipo de Usuario Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia En la Figura 5 se visualiza, el inventario realizado en las diferentes áreas del Hospital Ramiro Priale Priale, el campo del “tipo de usuario”, obteniendo el total de los equipos del hospital, identificando el porcentaje con ambos usuarios o solo con uno a continuación en la Figura 6. 14 En la Figura 6 se evidencia que el 71% de los equipos no cuentan con el usuario soporte permitiendo que cualquier persona que haga uso del equipo pueda hacer las configuraciones o cambios que desee por ejemplos eliminar archivos, carpetas e instalar aplicativos, robar información, instalar software malicioso por consiguiente se tiene equipos vulnerables. También se tiene la información que el 29% de los equipos que tienen el usuario “usuario” no tienen asignada una contraseña de acceso al equipo. Software de Aplicación A continuación, se muestra la lista de los principales servicios de intranet. Tabla 4. Sistemas de Intranet usados en el Essalud N° Tipo N° Tipo 1 Tramite Documentario – SIAD 23 Sacad Web – Sistema de actos Administrativos 2 Sistema de Gestión de Servicios de Salud 24 SAS – Sistema de Aseguramiento 3 Sistema de Información de Salud para centros de Atención Primaria 25 Seace (Multiples sistemas) 4 Sistema de referencia y contra referencia 26 Seace V3 5 Laboratorio – Microbiología 27 SGSS- Catálogos 6 Acreditación – Link Externo 28 SGSS 7 Atención y certificación de personas con discapacidad 29 SIGI – Sistema Integrado de Gestión de Capacidades 8 Gerencia de estimación y control de bienes estratégicos 30 SIGTB – Sist . Inf Gerencial de Tuberculosis 9 31 Sin Anemia 10 Defensoría del Asegurado – Ficha de registro de reclamos 32 SINADEF – Defunciones Figura 6. Tipo de Usuario “Soporte” Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia 15 11 Defensoría del asegurado – Registro Informático de intervención Defensoría 33 SIOMED - Medicamentos y dispositivos médicos 12 Explotación de datos del Sistema de gestión de servicios de salud 34 Sistema anatomía patológica 13 Facturación electrónica – Essalud 35 Sistema control de personal 14 Ficha Unica de personal 36 Sistema de programación de prestaciones de Salud SPSS 15 Gerencia Central de Prestaciones de Salud 37 Sistema de Registros de Hechos Vitales 16 Impresión Registro Nacional de Proveedores 38 Sistema de Vigilancia Perinatal – Obstetricia 17 Manuales Guia / Usuario – Siscap 39 RSAIP – Reporte de Solicitudes de Acceso a la información publica 18 PACs La Oroya – H.II Alberto Hurtado Abadia 40 RENIPRESS 19 41 Registro de Violencia de Familiar 20 PACS Nacional 42 Presupuesto 21 Patrimonio – Sistema Integrado Patrimonial Contable 43 Portal Intranet de Essalud 22 Portal Essalud Fuente: Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia En la Tabla 4 se puede apreciar que hay 43 sistemas de intranet, los cuales son usados en todo el Seguro Social de Salud a nivel nacional, de tales se identifica que para el Hospital Ramiro Priale Priale la gran mayoría de estas son sistemas son de extranet, identificándose que los únicos sistemas de intranet para el hospital son: Tabla 5.Sistemas Intranet – Hospital Ramiro Priale Priale N° Tipo Descripción 1 Sistema de Correo Institucionales 1 servidor 2 PACs Local H.N Ramiro Priale Priale (almacena imágenes de resonancia magnetica) 1 servidor 3 Sistema de Essalud en línea 1 servidor 4 Antivirus de sophos 3 servidores 5 Sistema SGH 1 servidor 6 Sistema Administrativo de la DSI 1 servidor Fuente: Área de División de Soporte Informático. Hospital Ramiro Prialé Prialé Elaboración: Propia En la Tabla 5, se muestra un total de 6 servidores de los cuales, el primer sistema alberga información de 400 usuarios, el segundo sistema es exclusivo del servicio de laboratorio que almacena imágenes de resonancia magnética, los cuales perduran por 5 años, el tercer sistema ayuda en la comunicación de los asegurados con el hospital por medio telefónico, el cuarto sistema es el que alberga el software de antivirus para todo el hospital, el quinto sistema SGH almacena historias clínicas, imágenes de Rx, etc., el cual ha sido desplazado por el sistema SGSS, pero 16 que aún sigue en funcionamiento y por último el sistema administrativo de la División de Soporte Informático en el cual se almacena los instaladores, documentos de gestión, sistema de control de desplazamiento de equipos, etc. Luego de realizar el diagnóstico en la infraestructura informática de hardware y software en el Hospital Ramiro Prialé Prialé, se evidencia un alto nivel de vulnerabilidades en términos teóricos poniendo en riesgo la información permitiendo su modificación o extracción en su totalidad, lo cual ocasionaría un efecto grande en el manejo de la información, donde aún en la mayoría de las vulnerabilidades provienen de parte del personal interno de la institución. Por otra parte, los ciberataques están al orden del día, situación que no es ajena al Hospital Nacional Ramiro Priale Priale, pues más aun siendo una institución pública la información que se maneja es enorme, de lo anterior se hizo una recaudación de la información de los ataques recibidos en la infraestructura mostrándose los datos en la Figura 7. Figura 7.Ciberataques en la PCs del Hospital Ramiro Priale Priale Fuente: Base de datos. Área de División de Soporte Informático. Hospital Ramiro Priale Priale Elaboración: Propia De los datos mostrados en la Figura 7, se realiza un análisis neuronal de seguridad, se identifica la causa raíz de los ataques y la rutas de infección, se genera el código malicioso y las claves del registro creados por los programas maliciosos cada uno de estos ataques son manipulados de diferentes maneras como los troyanos que ejecutan operaciones maliciosas bajo la apariencia de una operación deseada, ataca los privilegios de los usuarios adjuntando archivos no ejecutables; los gusanos son códigos maliciosos que se replican mediante la explotación independiente de vulnerabilidades en las redes. 17 Otro de los puntos en contra a la seguridad de la información, son las caídas de los sistemas, que pueden ser generadas por distintos factores, desde manipulaciones físicas mal realizadas hasta ataques externos; estas incidencias producen perdidas de datos confidenciales que pueden manipularse por entes externos a la institución para conveniencia propia, este tipo de situaciones son más frecuentes en sistemas que no tienen la tecnología adecuada, como por ejemplo no contar con servidores de respaldo que puedan actuar ante estos fallos sin dejar de funcionar los servicios. De esto en la Figura 7, se muestra las caídas del sistema registradas. Figura 8. Caídas del sistema de los servidores en el Hospital Ramiro Priale Priale Fuente: Base de datos. Área de EsSalud en Línea. Hospital Ramiro Priale Priale Elaboración: Propia Para mayor evidencia de lo mostrado en la Figura 8, en la nota periodística presentada por Radio Programas del Perú Noticias, se indica que el sistema informático del Hospital se cayó, causando malestar entre los asegurados, generando problemas en las diferentes áreas como Farmacia, Emergencia, Estadística. Se puedeevidenciar otras caídas en los meses de abril, junio y agosto, pero que fueron controladas en su debido tiempo, a diferencia del mes de setiembre que duro aproximadamente 3 días consecutivos. Por tal motivo en el Hospital Ramiro Priale Priale se requiere llevar a cabo la implementación de políticas de seguridad basadas en Ethical Hacking que trabaja en la detección de vulnerabilidades en los sistemas de intranet, con el que se pretende mejorar los servicios en la red de datos, disminuir vulnerabilidades, ser segura ante los distintos ataques de intrusos para hacer frente a las amenazas informáticas. 18 2. FORMULACIÓN DEL PROBLEMA 2.1. Problema General ¿De qué manera influye las políticas de seguridad basadas en ethical hacking para la mejora de los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé –Huancayo? 2.2. Problemas Específicos ¿De qué manera las políticas de seguridad permiten reducir el nivel de riesgo en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale? ¿De qué manera las políticas de seguridad influyen en el número de controles aplicados en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale? 3. OBJETIVOS 3.1. Objetivo General Determinar la influencia de las políticas de seguridad basadas en ethical hacking para la mejora de los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale - Huancayo. 3.2. Objetivos Específicos Determinar las políticas de seguridad que permiten reducir el nivel de riesgo en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale - Huancayo. Evaluar la influencia de las políticas de seguridad en el número de controles aplicados en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale 4. JUSTIFICACIÓN 4.1. Justificación Teórica La presente investigación describe, Políticas de Seguridad basadas en ethical hacking que ayuda a proteger a la organización, a sus empleados y usuarios del daño resultante intencional o accidental, mal uso o divulgación de información, proteger la integridad de la información y asegurar la disponibilidad de sistemas de intranet encontrada en el Hospital Ramiro Priale Priale, con el uso de la metodología Penetration Testing Execution Standard que son 8 fases cada uno con diferentes herramientas para identificar los puntos más vulnerables en los sistemas de intranet, la prueba de penetración da un paso adelante por que explota estas vulnerabilidades para evaluar sus consecuencias y las 19 más usadas son: NMAP (Network Mapper), whois, theharvester, NESSUS, Hydra y NETCAT. 4.2. Justificación Práctica El presente trabajo de investigación pretende resolver la problemática existente en el Hospital Ramiro Priale Priale con respecto a la seguridad informática observando la multiplicidad de información que se maneja, tratando lo posible de mantener los datos en forma confidencial, para lo cual se necesita detectar vulnerabilidades en los servicios de intranet a través de Ethical Hacking para poder determinar Políticas de Seguridad y mejorar los servicios de intranet, determinar el grado de riesgo de las mismas en cuanto a la seguridad de la información se refiere, de esta manera posibles soluciones para proteger la información. 4.3. Justificación Metodológica Existe información sustentable de investigadores que, aplicando el Ethical hacking teorías muy próximas a la planteada en este trabajo de investigación, lograron evidenciar el análisis de riesgos, las vulnerabilidades existentes y establecer Políticas de Seguridad basándose en la rama de Seguridad Informática. Es por ello que se utiliza las pruebas de penetración, cada uno de sus pasos, con el propósito de prevenir resultados desfavorables en la seguridad informática en la División de Soporte Informático del Hospital Ramiro Prialé Prialé. 5. HIPÓTESIS 5.1. Hipótesis General La implementación de políticas de seguridad basadas en ethical hacking influye positivamente para la mejora de los sistemas de la intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé - Huancayo. 5.2. Hipótesis Específicas Las políticas de seguridad reducen el nivel de riesgo por debajo del 60% en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale – Huancayo. Las políticas de seguridad influyen de manera positiva aumentando el número de controles aplicados en los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Priale Priale – Huancayo. 20 VARIABLES DEFINICIÓN CONCEPTUAL DIMENSIONES INDICADOR INDEPENDIENTE Políticas de Seguridad Asegurara el cumplimiento de los requisitos legales y respalde los principios de la organización. Eficacia Nivel de riesgos en los sistemas de intranet Control Número de controles aplicados CA = CT - (CNE+CNA) CT= N° cantidad de controles CA= N° de controles aplicados CNE= N° de controles existentes CNA = N° de controles aplicables DEPENDIENTE Sistemas de Intranet Son aplicativos de uso exclusivo para el personal de una organización. Integridad Grado de vulnerabilidades detectadas Grado de amenazas detectadas 6. METODOLOGÍA DE LA INVESTIGACIÓN En este apartado se presentará todo lo concerniente a la teoría detrás de la forma de investigación, como el tipo de investigación, el nivel de investigación, diseño de investigación, método de investigación, población y muestra, sistema de referencia e instrumentos de investigación. 1.1. Tipo de Investigación Según (Hernández Sampieri, Fernández Collado, & Baptista Lucio, Metodología de la Investigación, 2014), la investigación cumple dos propósitos fundamentales: el producir conocimiento y teorías, investigación básica, y el de resolver problemas, investigación aplicada. En consecuencia y basado en lo anterior, la presente investigación es de tipo aplicada, debido a que se busca resolver el problema de determinar Políticas de Seguridad basadas en Ethical Hacking para mejorar los sistemas de intranet en el Hospital Ramiro Prialé Prialé- Huancayo. 1.2. Nivel de Investigación De acuerdo a Hernández (Hernández Sampieri, Fernández Collado, & Baptista Lucio, Metodología de la Investigación, 2014), los niveles de investigación son: Tabla 6. Operacionalización de Variables. Fuente: Propia Elaboración: Propia 21 Nivel Exploratorio. Es cuando el objetivo es examinar un tema o problema de investigación poco estudiado, la cual se tienen muchas dudas y no se ha abordado antes. Nivel Descriptivo. Pretenden medir o recoger información de manera independiente o conjunta sobre las variables, su objetivo no es indicar como se relacionan. Nivel Correlacional. Tiene como finalidad conocer la relación o grado de asociación que exista entre dos o más conceptos, categorías o variables en una muestra o contexto particular. Nivel Explicativo. En este nivel están dirigidos a responder por las causas de los eventos y fenómenos físicos o sociales se centra en explicar porque ocurre un fenómeno y en qué condiciones se manifiesta o por que se relacionan dos o más variables. En consecuencia y basado en lo anterior, la presente investigación es de nivel Correlacional, puesto que se busca establecer la relación entre las variables de Políticas de Seguridad y los sistemas de la intranet. 1.3. Diseño de Investigación Según Carrasco (Carrasco Díaz, 2006) el diseño de investigación tiene la siguiente clasificación: experimental y no experimental. El diseño experimental requiere la manipulación intencional de una o más variables para analizar sus posiblesresultados. El diseño no experimental no hay manipulación de las variables, por lo que tampoco se observan los resultados de la manipulación, las variables ya han sucedido, o sea ya están en su contexto natural. El diseño experimental se divide en pre-experimentos, experimentos puros y cuasi- experimentales. El diseño pre-experimental es aquella donde el grado de control es mínimo y de la aplicación de un estímulo se realiza una medición a una o más variables. El experimento puro consiste en la manipulación de la o las variables dependientes como independientes. El diseño cuasi-experimental es aquel donde no se asignan los sujetos al azar, puesto que los grupos de trabajo existen previamente al experimento. De lo anterior, se afirma que la presente investigación es de diseño pre-experimental, debido a que, se determinará Políticas de Seguridad basadas en Ethical Hacking para mejorar los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé – Huancayo. 1.4. Población y muestra La población es el conjunto de elementos que forman al espacio territorial donde se desarrolla el trabajo de investigación (Carrasco Díaz, 2006). La población para este 22 trabajo se consideró los 6 sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé. La muestra es una parte o fragmento representativo de la población, con el objetivo de tener resultados que se generalicen a los elementos que conforman la población. Donde hay dos tipos de muestra probabilística y la no probabilística; la primera se basa en principios estadísticos para la toma de muestra y la segunda solo depende de la voluntad y la decisión del investigador. Dentro de esta muestra no probabilística existen dos: muestras intencionadas la cual el investigador selecciona su propio criterio y que sea más representativa posible y muestra por cuotas que lo clasifica a la población en grandes categorías (Carrasco Díaz, 2006). La muestra, tomando los descrito anteriormente para esta investigación es de tipo no probabilística, exactamente la muestra intencionada. Esta muestra será conformada por el Sistema Administrativo de la DSI en el Hospital Ramiro Prialé Prialé - Huancayo. 1.5. Sistema de referencia El sistema de referencia de la presente investigación es el sistema Administrativo de la DSI del Hospital Ramiro Prialé Prialé – Huancayo para un mejor servicio dentro de la institución. 1.6. Instrumentos de recopilación de información Según Hernández (Hernández Sampieri, Fernández Collado, & Pilar Baptista, 2014), se disponen de múltiples tipos de instrumentos para medir las variables y en algunos casos llegan a combinarse técnicas de recolección de datos, como: registros del contenido, observación cuantitativa, pruebas estandarizadas etc. Observación Cuantitativa. Este método de recolección de datos consiste en el registro sistemático, valido y confiable de comportamientos y situaciones observables a través de un conjunto de categorías y subcategorías. Registro de datos. Este método de registro de datos nos permite analizar la información que contienen relacionados con el estudio, la cual se mencionó anteriormente de los antivirus instalados y no instalados los que se pueden visualizar en el anexo 01. Experimentación. Se experimenta verificando comportamientos, puntos de acceso y resultados sobre los ataques. Como se observó en el presente capítulo se ha descrito la situación actual de los sistemas de intranet en la División de Soporte Informático del Hospital Ramiro Prialé Prialé, los riesgos que están expuestas la información confidencial de los asegurados las cuales son: virus, troyanos, gusanos y otros, e intervienen otros factores mencionados en la problemática descrita, el estudio en específico así siendo el punto de partida para futuras mejoras. Asimismo, se dio a conocer el 23 tipo de investigación, el nivel de investigación, el diseño de investigación, la población, la muestra y los instrumentos de recopilación de información ayudaron en el desarrollo para el presente trabajo de investigación, debido a que dieron una guía y delimitaron el alcance en cuanto a que tipo de trabajo es, esperando a que se llegue al entendimiento del trabajo que se está desarrollando. 24 CAPÍTULO II: MARCO DE REFERENCIA Antes de aplicar una solución al problema planteado, es necesario definir las herramientas y metodologías con las que se abordará el problema, esta es Ethical Hacking disciplina que ha sido usada para la detección de vulnerabilidades, donde se ha demostrado que es una herramienta muy útil para dicho trabajo. 1. ANTECEDENTES DE LA INVESTIGACIÓN A. Añazco Bedon, John Paul & Ortiz Rodríguez, Bryan Fernando (2018). Análisis de vulnerabilidades en el Portal Web de una Institución de Educación Superior del Ecuador mediante Hacking Ético. Tesis para optar el Título Profesional de Ingeniero de Sistemas de Computación e Informática. Universidad de las Américas. Ecuador. En este trabajo realizado por Añazco, da a conocer que en el portal web de la institución de Educación Superior del Ecuador se encuentra alrededor del 68.50% al público pueda acceder a información de matriculados, aun estudios de modalidades presencial, semipresencial y a distancia, es importante asegurar la integridad, seguridad y disponibilidad. De tal manera se evaluó vulnerabilidades en el portal web y dio recomendaciones de mitigación de ataques de hackeo usando herramientas de penetración web con la guía Abierta de Seguridad para las aplicaciones web (OWASP) específicamente la obtención de información, pruebas de validación de información y pruebas de denegación de servicio y así creando un plan de mitigación de ataques informáticos contando con la guía de NIST (Computer Security Incident Handling Guide) que son pasos principales para la preparación, identificación, explotación e informe ante incidentes computacionales para la respuesta ante incidentes computacionales, identificando prioridades, activos, riesgos y amenazas dando a conocer como objetivo el reconocimiento de las vulnerabilidades y amenazas sobre sistemas críticos, los mismos que son usados por hackers para alterar y vender información. El estado actual de la página web de la institución, ha cambiado su forma de gestión de la información a 25 servicios extranjeros relegando la función de mantenimiento de equipos y de adquisición de personal a terceros (Añasco, John, & Bryan , 2018) El aporte de la mencionada investigación está relacionado con respecto a la metodología OWASP, donde las herramientas utilizadas fueron netcraff, SiteDigger, SQLMap, SQLInjection que permiten visualizar las vulnerabilidades encontradas en el portal web y por consiguiente servirán como base para el desarrollo de la metodología en esta investigación. B. Bravo Sánchez, Marco Vinicio & Sánchez Prieto, David Alberto (2018). Análisis de amenazas, riesgos y vulnerabilidades del portal web del colegio Jose Engling mediante Hackeo Ético para el diseño y desarrollo de un aplicativo web de monitoreo de incidencias. Tesis para optar el Título Profesional de Ingeniero de Sistemas. Universidad Politécnica Salesiana sede Quito. Quito. En este trabajo realizado por Bravo, refleja que se necesita una mejor protección para el control de acceso al sistema. Actualmente el portal web del Colegio Católico José Engling brinda servicios de notas académicas, facturación electrónica y correo institucional, los cuales son de mucha importancia para la comunidad educativa y requieren exigentes seguridades, de tal modo de oponerse al objetivo de los hackers, que es tener acceso y manipulación de los datos de usuarios; por lo tanto el autor busca realizar una auditoria informáticaweb, mediante ataques controlados que permitan reforzar la protección de acceso no autorizados al portal web de la institución. Se realiza el uso de herramientas de recopilación de información, escaneo de puertos de lo cual se genera un reporte de los puertos abiertos en formato XML, enumeración y explotación de hacking ético con pruebas de penetración, con la ejecución de ataques de denegación de servicio, escaneo de puertos, inyección SQL y fuerza bruta a los servicios disponibles que ayuda a reforzar los niveles de seguridad del portal web del Colegio Católico José Engling, de tal modo que según el resultado obtenido de los análisis se entregó un plan de recomendaciones de mitigación, adicionalmente desarrollaron un aplicativo web de monitoreo de incidencias, garantizando la administración y gestión de incidencias a través de un proceso y solución, con el objetivo de mantener actualizada la política de seguridad informática del portal web para velar por su vigencia y nivel de eficacia. (Sanchez, Vinicio, Sanchez, & Alberto, 2018) El aporte de la investigación descrita es identificar las herramientas que se usaron para identificar las vulnerabilidades y riesgos en el portal web, logrando ciertos parámetros para la presente investigación que dan por medio de las herramientas usadas en cada una de las fases que se dio en el Hacking Ethico. 26 C. Yash Patel & Dr. Ravi Sheth (2017). Web Services Pen- testing for Cyber Security: A Review. International Journal of Scientific Research in computer Science, Engineering and Information Technology. India En este trabajo realizado por Yash, da a conocer que las aplicaciones web proporcionan una interfaz con los usuarios finales y los servidores a través de un conjunto de páginas web que se generan en el extremo, los cuales contienen código de script para ejecutarse dinámicamente dentro el navegador web del cliente. Los atacantes pueden explotar procesadores XML vulnerables, dependencias o integraciones. El atacante ocupa una aplicación web para obtener información UDDI, como la entidad comercial, plantilla de enlace y el modelo, los atacantes insertan código XML malicioso en solicitudes SOAP para realizar manipulaciones de nodos XML o envenenamiento de esquemas XML para generar errores en la lógica de análisis XML y romper la lógica de ejecución, puede manipular referencias de entidades externas XML que pueden conducir a archivos arbitrarios o aperturas de conexión TCP y puedan explotar para otros ataques de servicio web. El objetivo fundamental de utilizar los servicios de web hoy en día es que trabajen cooperativamente con otras aplicaciones a través de una red común y que el diseño de XML enfatice la simplicidad, la generalidad y la usabilidad en internet, las pruebas de estructura XML sirven para crear documentos estructurados que generan un ataque de denegación de servicio al sobrecargar el analizados XML, enviar un mensaje XML grande o con formato incorrecto al servidor y verificar todos los parámetros que se validan como: Enumeración, fractiondigts, longitud, maxexclusive etc. (Patel & Ravi) El aporte del trabajo mencionado está relacionado con el uso de las etapas a través de las pruebas de penetración que se da en los servidores web con las pruebas de ataque de huella, envenenamiento XML e inyección SQL. D. Villares Saltos, Christian Andres (2017). Estrategia de Hacking Ético y los niveles de seguridad en la intranet de la cooperativa de ahorro y crédito 13 de abril LTDA de la ciudad de “Ventanas”. Tesis de Maestría en informática empresarial. Universidad Regional Autónoma de los Andes. Ecuador. En su trabajo, Villares realiza el desarrollo de Hacking Ético a la infraestructura tecnológica con el fin de verificar el estado de la seguridad en la intranet y servicios para otorgar niveles de seguridad con el objetivo de analizar vulnerabilidades que se encuentran expuestas en la Cooperativa de Ahorro y crédito 13 de Abril Ltd. Se desarrolla con las herramientas de Kali Linux teniendo en cuenta las fases de: análisis de vulnerabilidades para recopilar información de los puertos, fase de reconocimiento que permite analizar la red y los dispositivos conectados como nombre y sistema operativo utilizado con la herramienta de CAIN la cual es opensource en versión de Linux, fase de 27 escaneo a nivel de software de todos los equipos informáticos obteniendo información de los sistemas operativos utilizando las herramientas Zmap que brinda información los protocolos que se encuentra en cada equipo y su dirección IP y herramienta OpenVas mostrando la vulnerabilidad que está expuesto el puerto de un servicio, la fase de explotación usa el framework Meta-exploit para explotar las vulnerabilidades de las redes inalámbricas utilizando Airodump e aircrack para el análisis de ataques, también el ataque de Hping3 que es exclusivo de Ubuntu y por ultimo culminar el informe de hallazgos en la infraestructura tecnológica e implementar las soluciones para mejorar los niveles de seguridad en la intranet de la cooperativa aplicando soluciones de mitigación en los equipos, a través de la implementación del producto de seguridad antivirus, ESET Smart Security 6, además el módulo de análisis en tiempo real permitió eliminar aplicaciones peligrosas indeseables que son causantes de generación de ataques. (Villares Saltos, 2017) El aporte del trabajo mencionado permite analizar las herramientas utilizadas para el Hacking Ethical, con el uso adecuado de Zmap, Cain & Abel y el framework de meta – exploit que permite identificar los dispositivos conectados como nombre y sistema operativo, de tal modo que tales herramientas pueden servir de apoyo en esta investigación. E. Santos Castañeda, Daniela Mercedes (2016). Análisis y Diagnóstico de vulnerabilidades informáticas en la red de datos de la empresa YOUPHONE CIA. LTDA. Utilizando Hacking Ético. Tesis para optar el Título de Ingeniero de Sistemas. Universidad de las Fuerzas Armadas. Ecuador. En el trabajo realizado por Santos, emite recomendaciones que minimicen los riesgos asociados en la empresa “YOUPHONE CIA LTDA”, teniendo como objetivo realizar el análisis y diagnóstico de vulnerabilidades informáticas en la red de datos, a través de técnicas, herramientas de Hacking ético, basado en la metodología OSSTMM (Open Source Security Testing Methodology Manual) utilizando listas de comprobación o CheckList; dentro de estas herramientas se utilizaron Wireshark, Advanced Port Scanner, Angry IP Scanner, Nessus y Visual Route los cuales permitieron encontrar fallas de seguridad, básicamente en puertos abiertos, además se analiza el tráfico de toda la red de datos entrante y saliente con wireshark informático, con el cual se concluyó que tener una adecuada documentación de los equipos informáticos, equipos de red, recursos, personal, información, se podrá solventar de una manera más óptima ante una caída producida por un ataque informático. Las fases usadas dentro de hacking ethical son: reconocimiento utilizando las herramientas de WHOIS, nslookup, tracert y VisualRoute, escaneo con las herramientas de Angry IP Scanner, Advanced Port Scanner y Network 28 Auditor Security y por último enumeración con las herramientas de Nessus y wireshark, al final se logró tener un conocimiento real de las vulnerabilidades y fallas del sistema informático, estado de equipos y parches de seguridad, determinar configuraciones erróneas o de baja seguridad en los equipos de red como routers y switches, por último redactar las políticas de seguridad y uso de los sistemas informáticos para un manejo correcto de los recursos. (Santos Castañeda, 2016) El aporte del trabajo descrito anteriormente nos da a conocer que herramientas puedan ayudar a la investigación y ver las vulnerabilidades de las fallas informáticas para determinar configuraciones
Compartir