Seminario Especializado: Equipos Estratégicos en Ciberseguridad: Red Team & Blue

team

Presentado a:

ALEXANDER LARRAHONDO

Presentado por:
ROGER GARIBELLO MARTINEZ

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021
 CONTENIDO

INTRODUCCIÓN...............................................................................................................3
JUSTIFICACIÓN................................................................................................................4
OBJETIVOS......................................................................................................................5
1.1 OBJETIVOS GENERAL....................................................................................................5
1.2 OBJETIVOS ESPECÍFICOS...............................................................................................5
DESARROLLO DEL TRABAJO.............................................................................................6
CONCLUSIONES.............................................................................................................14
BIBLIOGRAFÍA...............................................................................................................15
 INTRODUCCIÓN

En los últimos años se han venido implementando tecnologías que buscan reducir los
riesgos y vulnerabilidades a las cuales están sometidas las organizaciones y con las
cuales pueden obtener un mejor beneficio y desempeño.

En este documento se presenta una propuesta tecnológica para la empresa Quality

S.A., dado su bajo nivel de seguridad y vulnerabilidades encontradas en el análisis
realizado en la fase anterior y de esta forma establecer acciones que den una solución
de seguridad a los inconvenientes presentados.

Adicionalmente, cabe mencionar que gestionar la seguridad de la información de una

manera adecuada, permitirá no sólo cumplir con sus obligaciones, sino que además
genera confianza en sus cliente al garantizar que se cuenta con una infraestructura
tecnológica y medidas de seguridad pertinentes y responder eficientemente con las
actividades comerciales de la organización.

JUSTIFICACIÓN
Dentro de los parámetros de desarrollo y comprensión del curso y teniendo en cuenta
el escenario base de estudio, sea hace necesario identificar metodologías y
tecnologías que permitan fortalecer la seguridad.

OBJETIVOS

1.1 OBJETIVOS GENERAL

Reconocer los conceptos básicos para el análisis y detección de vulnerabilidades.

1.2 OBJETIVOS ESPECÍFICOS

- Realizar una descripción detallada de la tecnología propuesta

- Describir cada uno de los componentes que hacen parte de ella
- Establecer acciones para mantener la infraestructura segura.

DESARROLLO DEL TRABAJO

Dentro del margen legal en Colombia sobre delitos informáticos y protección de datos
personales redacte con sus propias palabras que legislación “leyes, decretos” existen
actualmente y las características principales de cada ley.

La protección jurídica efectiva de la intimidad ha sido tratada por varios autores

jurídicos, preocupadosdel impacto de las tecnologías creadas en la automatización de
la recolección de la información personal que se comparte y proponiendo soluciones
para incrementar la protección jurídica de las personas. La información encontrada es
el resultado del análisis sobre el desarrollo en forma gradual de la normatividad para
protección de datos: comenzando con la revisión crítica de 31 las leyes surgidas para
el control de la recolección y almacenamiento hasta terminar en las leyes más
recientes que abogan por dar mayo papel a las personas de quienes extraen la
información las empresas o instituciones gubernamentales.licenciamiento obtiene
acceso al software a través de interfaz de usuario que es basada en web o una
aplicación de escritorio. Las organizaciones que administran información confidencial
tienen a utilizar aplicaciones de escritorio ya que por este medio logran controlar el
acceso El Código Penal colombiano (Ley 599 de 2000) en su Capítulo séptimo del
Libro segundo, del Título III: Delitos contra la libertad individual y otras garantías, trata
sobre la violación a la intimidad, reserva e interceptación de comunicaciones:

Artículo 192: Violación ilícita de comunicaciones. Artículo 193: Ofrecimiento, venta o

compra de instrumento apto para interceptar la comunicación privada entre personas.
Artículo 194: Divulgación y empleo de documentos reservados. Artículo 195: Acceso
abusivo a un sistema informático. Artículo 196: Violación ilícita de comunicaciones o
correspondencia de carácter oficial. Artículo 197: Utilización ilícita de equipos
transmisores o receptores. Estos artículos son concordantes con el artículo 357: Daño
en obras o elementos de los servicios de comunicaciones, energía y combustibles.

Una norma posterior relacionada fue la Ley 679 de 2001, que estableció el Estatuto
para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con
niños menores de edad. De igual manera, consagra prohibiciones para los
proveedores o servidores, administradores o usuarios de redes globales de
información, respecto a alojar imágenes, textos, documentos o archivos audiovisuales
que exploten a los menores en actitudes sexuales o pornográficas. Sin embargo, la
norma no contiene sanciones penales, sino administrativas (Artículo 10), pues siendo
simple prohibición, deja un vacío que quita eficacia a la Ley, cuando se trata de
verdaderos delitos informáticos.

Para subsanar lo anterior, el 21 de julio de 2009, se sancionó la Ley 1336, "por medio
de la cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación,
la pornografía y el turismo sexual, con niños, niñas y adolescentes". En forma
específica, en su Capítulo VI, sanciona los "Tipos penales de turismo sexual y
almacenamiento e intercambio de pornografía infantil" con penas de prisión de diez
(10) a veinte (20) años y multas de ciento cincuenta (150) a mil quinientos (1.500)
salarios mínimos legales mensuales vigentes (SMLMV).

La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico
tutelado a partir del concepto de la protección de la información y de los datos, con el
cual se preserva integralmente a los sistemas que utilicen las tecnologías de la
información y las comunicaciones. El primer capítulo de los dos en que está dividida la
Ley, trata de los atentados contra la confidencialidad, la integridad y la disponibilidad
de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a los
atentados informáticos y otras infracciones.

A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en

los siguientes términos: acceso abusivo a un sistema informático (modificado del
Código Penal); obstaculización ilegítima del sistema informático o red de
telecomunicación; interceptación de datos informáticos; daño informático; uso de
software malicioso; hurto por medios informáticos y semejantes; violación de datos
personales; suplantación de sitios web para capturar datos personales y transferencia
no consentida de activos.

Este marco jurídico se ha convertido en una importante contribución y un instrumento

efectivo para que las entidades públicas y privadas puedan enfrentar los "delitos
informáticos", con definiciones de procedimientos y políticas de seguridad de la
información; y, en consecuencia, con las acciones penales que pueden adelantar
contra las personas que incurran en las conductas tipificadas en la norma. Con ella,
Colombia se ubica al mismo nivel de los países miembros de la Comunidad
Económica Europea (CEE), los cuales ampliaron al nivel internacional los acuerdos
jurídicos relacionados con la protección de la información y los recursos informáticos
de los países, mediante el Convenio 'Cibercriminalidad', suscrito en Budapest,
Hungría, en 2001 y vigente desde julio de 2004.

Con los desarrollos jurídicos hasta ahora logrados acerca de "la protección de la
información y de los datos y la preservación integral de los sistemas que utilicen las
tecnologías de información y comunicaciones", las organizaciones pueden amparar
gran parte de sus sistemas integrados de información: datos, procesos, políticas,
personal, entradas, salidas, estrategias, cultura corporativa, recursos de las TIC y el
entorno externo (Davenport, 1999), de manera que, además de contribuir a asegurar
las características de calidad de la información, se incorpora la administración y el
control, en el concepto de protección integral.

Retomando la estructura de la Ley 1273 de 2009, el capítulo I está orientado

especialmente a apoyar la labor de los grupos de Auditoría de Sistemas, al apuntar al
propósito de aseguramiento de las condiciones de calidad y seguridad de la
información en la organización, cuando se refiere a los "atentados contra la
confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas
informáticos". Corrobora la importancia de la información como activo de valor para las
organizaciones (ISO/IEC 17799/2005), que es necesario proteger adecuadamente
para garantizar la continuidad del negocio, la maximización del retorno de la inversión
y el aprovechamiento de las oportunidades del entorno, así como para disminuir y
contrarrestar los riesgos y delitos que la amenazan.

La gestión confiable de la seguridad de la información en las organizaciones parte del

establecimiento de políticas, estándares, procedimiento y controles eficientes, en
natural concordancia con las características del negocio y, en ese sentido, el capítulo I
de la Ley 1273 de 2009 contribuye a tal propósito, de la misma manera que los
estándares nacionales e internacionales sobre administración eficiente de la
información.

no autorizado.

VENTAJAS ON-PREMISES
- Independencia: El licenciamiento es independiente de los proveedores de
servicios externos y del licenciante. El acceso a la información y/o datos
siempre está garantizado, inclusive sin tener conexión a Internet.
 - Protección de datos: Con el modelo inhouse, el licenciamiento conserva todos
los datos en sus propios centros de datos; terceros no reciben ningún acceso a
estos datos, facilitando el cumplimiento de las regulaciones legales de
protección de datos, ya que los servidores en la nube a menudo se encuentran
en países con diferentes reglas de protección de datos.

- Integración: El software licenciado es más fácil de integrar en la infraestructura

del cliente e interconectarse con otros programas

- Costos únicos: Los licenciamientos on-premises pagan una tarifa única que
incluye la compra del software y el uso ilimitado. Sin embargo, los costes de
inversión son, en consecuencia, superiores a los de los modelos basados en
suscripciones.

- Control: El licenciamiento obtiene control total sobre todos los datos y pueden
decidir quién obtiene acceso. Los clientes también son responsables del
manejo y uso de los recursos tanto de software como de hardware.

DESVENTAJAS ON-PREMISES

- Falta de soporte: Normalmente, el desarrollo posterior del software es

descontinuado por el fabricante tarde o temprano. Una vez que esto sucede, el
soporte también tiende a llegar a su fin.

- Costos de licencia: Una licencia está limitada a un determinado número de

estaciones de trabajo. Por lo tanto, las empresas con muchos empleados
pueden enfrentar altos costos.

- Hardware: El licenciamiento del software requiere que sea compatible con el

hardware. Por su parte, la responsabilidad del mantenimiento queda a cargo del
cliente.

- Recursos: Aunque los licenciatarios tienen control total sobre el uso del
software, están obligados a confirmar sus propios recursos.

- Costos continuos: Especialmente en el caso de software personalizado, pueden

surgir altos costos continuos para los ajustes de software y actualizaciones con
el fin de mantener el software operativo y corregir errores.

- Carga de trabajo: Los licenciamientos deben contar con instalación,

actualización, revisiones, corrección de errores, garantizar estabilidad y realizar
copias de seguridad. Por lo que se hace necesario que la organización cuente
contar con personal idóneo y con conocimientos técnicos suficientes para dicha
labor.
 Base de datos.

Fases de un test de penetración

1-Contacto

En esta fase inicial se debe acordar con el cliente en que va a consistir el test de
penetración, entendiendo cuál es el objetivo de este pentest, cuales son los servicios
críticos para la empresa y que supondría un mayor problema en caso de ataque.
Dependiendo de la empresa, una web caída durante algunas horas puede suponer un
grave daño económico mientras que para otras sería mucho más grave que se robara
información de sus bases de datos.

En esta fase se han de hablar y acordar por escrito diversos aspectos del test de
penetración, como por ejemplo cuál sería el ámbito de nuestro pentest, que IPs,
servicios o dispositivos podemos incluir en el pentest y cuáles no. Se podrán utilizar
exploits contra servicios vulnerables o únicamente identificarlos? Se podrá ejecutar el
pentest en cualquier momento o solo a determinadas horas? A quien debemos
contactar en caso que encontremos alguna vulnerabilidad crítica para la empresa...

Además de estos puntos en esta fase se ha de obtener del cliente un escrito en el que
se autorize este test de penetración y limite nuestra responsabilidad en caso de que
surjan problemas y finalmente todo lo relacionado a pagos,etc..

2-Fase de recolección de información

En esta fase del pentest nos dedicaremos a obtener toda la información posible de la
empresa disponible a través de arañas y de scanners para hacernos una idea de los
sistemas y programas en funcionamiento. La actividad de los empleados en redes
sociales de la empresa también puede revelar que sistemas utilizan, sus correos
electrónicos,etc.. Toda esta información nos será de gran utilidad.nuestro trabajo.

3-Fase de modelado de amenaza

En este momento y a partir de la información recogida previamente, debemos pensar

como si fuéramos atacantes en cual va a ser nuestra estrategia de penetración.
Cuales deben ser nuestros objetivos y que manera tendríamos de llegar hasta ellos.
Puede ocurrir que posteriormente y sobre la marcha lo que creíamos sería nuestra
puerta de entrada se convierta en un callejón sin salida y acabemos siguiendo un
camino diferente e inesperado, de todas maneras siempre es necesario plantear
inicialmente esta estrategia

4-Fase de Análisis de vulnerabilidades

Llegados a este punto debemos valorar el posible éxito de nuestras estrategias de
penetración a través de la identificación proactiva de vulnerabilidades. En este
momento es cuando la habilidad del pentester se pone de manifiesto ya que la
creatividad del mismo es determinante para seleccionar y utilizar correctamente todo
el arsenal de herramientas a su disposición para conseguir los objetivos establecidos
en pasos anteriores

Fase de Informe

Finalmente tenemos que presentar el resultado de la auditoría al cliente, de manera

que este comprenda la seriedad de los riesgos emanantes de las vulnerabilidades
descubiertas, remarcando aquellos puntos en los que la seguridad se había
implantado de manera correcta y aquellos que deben ser corregidos y de que manera.
Esta fase es para las dos partes posiblemente la más importante. Como posiblemente
este informe sea leído tanto por personal de IT como por responsables sin
conocimientos técnicos conviene separar el informe en una parte de explicación
general y en otra parte más técnica lo que vendría a ser por una parte el informe
ejecutivo y el informe técnico.

Las herramientas de ciberseguridad son de vital importancia, además que existe un

gran abanico de posibilidades de herramientas existentes y software especializado
para desarrollar herramientas propias. Usted como futuro experto debe definir y
explicar las siguientes herramientas:

Qué es Metasploit

Metasploit es una herramienta desarrollada en Perl y Ruby en su mayor parte, que

está enfocada a auditores de seguridad y equipos Red Team y Blue Team.

Red Team es el equipo ofensivo o encargado del hacking ético, que hace pruebas de
intrusión, mientras que el Red Team es el equipo que lleva a cabo la securización y
toda la parte defensiva.

Características principales

Es una herramienta muy completa que tiene muchísimos exploits, que son
vulnerabilidades conocidas, en las cuales tienen también unos módulos, llamados
payloads, que son los códigos que explotan estas vulnerabilidades.

También dispone de otros tipo de módulos, por ejemplo, los encoders, que son una
especie de códigos de cifrado para evasión de antivirus o sistemas de seguridad
perimetral.
Otra de las ventajas de este framework es que nos permite interactuar también con
herramientas externas, como Nmap o Nessus, como ya veremos durante el curso de
Metasploit.

Además ofrece la posibilidad de exportar nuestro malware a cualquier formato, ya sea

en sistemas Unix o Windows.

Destacar también que es multiplataforma y gratuita, aunque tiene una versión de pago,
en la que se nos ofrecen exploits ya desarrollados, pero cuyo coste es bastante
elevado. La versión gratuita es muy interesante porque contiene todas las
vulnerabilidades públicas.

Herramienta Nmap, abreviatura de Network Mapper, es una herramienta gratuita de

código abierto para la exploración de vulnerabilidades y la detección de redes. Los
administradores de red utilizan Nmap para identificar qué dispositivos se están
ejecutando en sus sistemas, descubrir los hosts disponibles y los servicios que
ofrecen, encontrar puertos abiertos y detectar riesgos de seguridad.

Nmap puede ser utilizado para monitorear hosts individuales, así como redes extensas
que abarcan cientos de miles de dispositivos y multitudes de subredes.

Aunque Nmap ha evolucionado a lo largo de los años y es extremadamente flexible,

en el fondo es una herramienta de escaneo de puertos, que recopila información
enviando paquetes sin procesar a los puertos del sistema. Escucha las respuestas y
determina si los puertos están abiertos, cerrados o filtrados de alguna manera. (Otros
términos utilizados para el análisis de puertos incluyen descubrimiento o enumeración
de puertos).

Para qué sirve OpenVAS

Este scanner cuenta con diversas funciones posibles, entre las que se encuentran:

Cuenta con protocolos industriales y de Internet de alto y bajo nivel.

Ajustes personalizados de rendimiento para exploraciones a gran escala.
Desarrollado en un potente lenguaje de programación interno para implementar
cualquier tipo de prueba de vulnerabilidad.

Al hablar de las características de este software que ofrece una explotación de

vulnerabilidades y su gestión, la que más me gusta y llama la atención, y destacaría
como principal es que es de Licencia Pública General de GNU (GNU GPL). Todos los
que apreciamos el software y trabajamos con él de una u otra forma siempre
buscamos aplicaciones y utilidades así, sobretodo en aplicaciones que nos ofrecen
tantos servicios y son de tanta utilidad. Es cierto que este tipo de aplicaciones cada
vez son más frecuente por la aceptación que tienen y la involucración de la comunidad
en ellas.

Posibilidad desde línea de comandos y en modo gráfico con una interfaz con utilidades
y repleta de datos de interés, capaz de sacar informes de interés.
 1.1.1 EXPLOITDB.

Este tipo de herramienta permite realizar una copia de seguridad del proceso realizado
en la web exploitdb, permitiéndonos realizar una búsqueda más de talladas de la
información fuera de línea de a través de un proceso de copia local.

1.1.2 CVE.

Tipo de herramienta cuya característica son las vulnerabilidades y exposiciones

comunes, en las bases de datos.

1.1 INSTALACIÓN BANCO DE TRABAJO.

1.1.1 PRUEBA DE CONECTIVIDAD ENTRE MAQUINAS “WIN 7

– - X64” Y MAQUINA “WIN 7 – ”

Paso 1: Encendemos las dos máquinas correspondientes de prueba.

Figura 1 Entorno máquina Virtual win 7 x64 y x86.

Fuente: Autor

Paso 2: Identificamos la dirección IP asignada a la maquina “win 7 – SE2020”. IP:

192.168.1.74 MODO RED: Adaptador Puente.
Figura 2 Dirección IP win 7 se2020.
 Fuente: Autor

Paso 3: Identificamos la dirección IP asignada a la maquina “win 7 – SE2020- 64”.

IP: 192.168.1.71 MODO RED: Adaptador Puente.
 Figura 3 Dirección IP win7 SE2020 x64.

Fuente: Autor

Paso 4: Verificamos conectividad entre las máquinas virtuales.

Figura 4 Verificación conectividad win 7 SE 2020.

Fuente: Autor
 Figura 5 Verificación conectividad win 7 SE2020 x64.

Fuente: Autor

1.1.2 PRUEBA DE CONECTIVIDAD ENTRE MAQUINAS “KALI -

SEMINARIO” Y MAQUINA “WIN 7 – SE2020”

Paso 1: Encendemos las dos máquinas correspondientes de prueba.

Figura 6 Entorno máquinas virtuales win 7 SE 2020 y Kali seminario.

Fuente: Autor
Paso 2: Cargamos los archivos de Kali – seminario.
Figura 7 Cargue archivos Kali - seminario.

Fuente: Autor

Paso 3: El ping es exitoso desde la máquina de Kali – seminario a la maquina win 7 –

SE2020
Figura 8 Conectividad entre Kali seminario y win 7 SE 2020.

Fuente: Autor
Paso 4: Configuración MODO Adaptador Puente. IP 192.168.1.72
Figura 9 Dirección IP Kali seminario.

Fuente: Autor

Paso 5: Ping éxitos con la maquina win 7 – SE2020.

Figura 10 Conectividad win 7 SE 2020.

Fuente: Autor
Paso 6: Ping éxitos con la maquina Kali – seminario.
Figura 11 Conectividad Kali seminario.

Fuente: Autor

1.1.3 PRUEBA DE CONECTIVIDAD ENTRE MAQUINAS “KALI -

SEMINARIO” Y MAQUINA “WIN 7 – SE2020X64”

Paso 1: Encendemos las dos máquinas correspondientes de prueba.

Figura 12 Entorno máquinas virtuales.

Fuente: Autor
Paso 2: Realizamos las pruebas de conectividad desde la maquina Kali –
seminario hacia la maquina win 7 – SE2020X64. Exitoso.
Figura 13 Conectividad win 7 SE 2020 x 64.

Fuente: Autor

Paso 3: Realizamos las pruebas de conectividad desde la maquina win 7 –

SE2020X64 hacia la maquina Kali – seminario. Exitoso.
Figura 14 Conectividad Kali seminario.

19
 Fuente: Autor

CONCLUSIONES

- Con el desarrollo de la guía de trabajo se logró afianzar en los conceptos

tecnológicos y metodologías más seguras para implementación en una
organización.

20
 BIBLIOGRAFÍA

Baca Urbina, G. (2016). Introducción a la seguridad informática. México D.F,

Mexico: Grupo Editorial Patria. (pp 290-319) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/40458?page=46

Gómez Vieites, Á. (2015). Gestión de incidentes de seguridad informática. Madrid,

Spain: RA-MA Editorial. (pp 15-52) Recuperado de https://elibro-
net.bibliotecavirtual.unad.edu.co/es/ereader/unad/62467?page=13

OWASP. (2017). OWASP Top Ten. Recuperado de https://owasp.org/www-

project-top-ten/

Illa Gay, R. (2019). Seguridad en servidores empresariales. Control y análisis de

configuraciones de seguridad y de vulnerabilidades. (pp 36-43) Recuperado de
http://hdl.handle.net/10609/95326

Peña Hidalgo, H. J. (2020). Vulnerabilidades en servicios informáticos [Archivo de

video]. Recuperado de https://repository.unad.edu.co/handle/10596/38516

21