1 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

CURSO: HESR01

HACKING ÉTICO DE SISTEMAS Y REDES

MÓDULO 1

Unidad 2: Ámbitos de la Seguridad IT

HESR01 1
2 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Índice:

1. Seguridad del equipo: Endpoint ......................................................................... 3

2. Seguridad de red................................................................................................. 8

3. Seguridad perimetral ........................................................................................ 10

4. Seguridad Web ................................................................................................. 13

5. Privacidad ......................................................................................................... 20

HESR01 2
3 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

1. Seguridad del equipo: Endpoint:

Una vez diferenciados los conceptos de seguridad de la información y seguridad

informática, que aunque la primera engloba a la segunda, son dos conceptos
totalmente diferentes. A partir de este módulo nos centraremos más en conceptos
técnicos de la seguridad; la seguridad informática.

En este módulo del curso describiremos las distintas áreas de la seguridad informática,
desde el punto de vista del ámbito de actuación de las políticas y prácticas que
adoptemos a la hora de aplicar seguridad a un entorno o sistema de información.

Empezaremos por lo más básico, no porque sea lo más simple, si no porque a día de
hoy es indispensable para el desarrollo de un trabajo en una organización, el equipo
informático.

En el módulo anterior ya vimos que los atacantes tienen considerados a los usuarios
como el eslabón más débil de la cadena de seguridad de la información de una
organización.

En realidad, no es sólo el propio usuario, sino más bien el tándem formado por
Usuario y Equipo Informático.

HESR01 3
4 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Sabiendo esto el atacante, las primeras técnicas de ataque que usará serán aquellas
relacionadas con el phishing, ingeniería social y la explotación de vulnerabilidades.

Con ingeniería social y phishing se intentará que el usuario acceda a algún sitio
malicioso o realice alguna tarea en beneficio del atacante, o simplemente, facilite
alguna información de utilidad para una tarea posterior del ataque, como puede ser la
obtención de una contraseña o la de un usuario.

Hay que recordar que existen ataques de fuerza bruta o de diccionario, donde
disponer del nombre de usuario ya es bastante importante para el atacante porque
puede dirigir todos sus esfuerzos al descubrimiento de la contraseña.

Este es uno de los motivos por los que desaconseja utilizar nombres de usuario tipo:

 Administrador
 Administrator
 Admin
 Manager
 Superusuario
 Root
 …

Pero no sólo los ataques de fuerza bruta o diccionario deben de preocuparnos en el

ámbito de la seguridad del equipo o Endpoint, que es como lo están bautizando ahora
los principales fabricantes de soluciones de seguridad.

La recepción de correos electrónicos maliciosos, suplantando la identidad de algún

banco, gestor de correo o red social se repite cada vez con más frecuencia. Supone un
auténtico “dolor de cabeza” para los administradores de sistemas, cuando estos
correos llegan a la bandeja de entrada de algún usuario que por falta de conocimiento
o por poca sensibilización en seguridad informática, cae en la trampa y acaba

HESR01 4
5 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

facilitando información sensible al atacante o dejando el equipo informático infectado

con algún tipo de malware.

Por desgracia la cantidad de personas que caen en la trampa es todavía muy

importante. La causa principal de este engaño es la falta de formación básica de
amenazas en Internet así como nociones básicas para sensibilizar al usuario, para no
caer en estafas o engaños de este tipo.

En las siguientes capturas se puede observar un caso reciente de un ataque de

phishing suplantado la identidad de Apple, donde a la víctima se le solicita que acceda
a un enlace para facilitar nuevamente, o modificar, los datos de su cuenta de Apple.
Entre la información solicitada se encuentra el id de Apple así como su contraseña.

¿Estamos hablando de seguridad en el equipo, seguridad Endpoint y todavía no hemos hablado

de antivirus? Pues sí, no nos hemos olvidado del antivirus, de hecho es la parte más
importante de la seguridad endpoint, pero sin concienciación, sensibilización y sentido común,
software de este tipo no será nuestra “bala de plata” para cualquier amenaza.

El antivirus o software antimalware no puede faltar en nuestro equipo informático. De hecho

se aconseja que después del sistema operativo, sea el siguiente software a instalar debido a
que un equipo en el momento que se conecta a Internet ya está prácticamente expuesto a
miles de amenazas.

Existe multitud de software antimalware, entre ellos los mundialmente conocidos McAfee,
Panda Antivirus, Kaspersky, Symantec, Sophos, Trend Micro, etc. Y otros no tan conocidos
pero que por su filosofía inicial de gratuidad se hicieron famosos y los preferidos por una gran

HESR01 5
6 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

cuota de usuarios de antivirus. Destacan entre ellos los AVG, Avast y Avira, que aunque
disponen de versiones de pago, sus versiones Freeware funcionan más que bien y son muy
aconsejables.

No está dentro de los objetivos de este curso hablar en profundidad de los antivirus, pero si
hay que destacar que juegan un papel importante a la hora de defender el equipo de malware
o de exploits. Este último concepto lo veremos más adelante con más detalle.

Pero los fabricantes de soluciones de seguridad llevan varios años dándole una vuelta de
tuerca a sus programas, y éstos como no podía ser de otra forma, están evolucionando a una
solución más global, una solución integral.

Desde que las versiones “suite” de los antivirus incorporan sus propio cortafuegos o escudo de
navegación Web, los fabricantes no han parado de investigar y ver qué funcionalidades podían
seguir añadiendo a su software base; el antivirus.

El concepto de software endpoint va mucho más allá que servir de simple antimalware. La idea
es integrar esa funcionalidad, junto a la de cortafuegos, filtro de contenidos, cifrado de
ficheros e incluso políticas de cumplimiento (compliance). Además, a todo esto hay que añadir
la gestión desde una consola Cloud (en la nube).

En entornos de pequeña y mediana empresa, el centro de operaciones de los clientes con

software de tipo endpoint suele ser un dispositivo UTM (Unified Threat Management) situado
en la red, que sirve como núcleo para gestionar y mantener las distintas políticas de los
clientes endpoint.

UTM de Sophos

HESR01 6
7 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

A las ya conocidas funcionalidades de antivirus y cortafuegos, con una solución global como el
endpoint desde el UTM se les une funcionalidades como la posibilidad de realizar un filtro de
contenidos aplicando políticas de navegación Web, que serían únicas y personalizadas para el
usuario que hiciera uso del equipo informático.

Cabe recordar que la mayoría de dispositivos UTM tienen la capacidad de Single Sign-On lo
que permite al usuario identificarse sólo una vez en su dominio y usar esa identidad para el
uso de los distintos servicios de la organización. Esta capacidad es totalmente compatible con
servicios LDAP como el Active Directory de Windows.

Otra de las funcionalidades que están incorporando los fabricantes a sus soluciones es la de
cifrar ficheros, un sistema de ficheros o un disco duro al completo. Desde el punto de vista de
dispositivos móviles como los portátiles o tablets, esta función imposibilitaría a un atacante o
tercero ver el contenido cifrado en caso de pérdida o robo del dispositivo.

Por último, otra característica muy importante de los endpoints es la posibilidad de aplicar
políticas de cumplimiento, también conocido como compliance. Mediante el compliance
podemos obligar a un usuario que para que pueda iniciar sesión y conectarse a la red de la
organización cumpla los siguientes requisitos:

 Su sistema operativo esté totalmente actualizado

 La base de firmas de virus esté actualizada
 No tenga instalado cierto software
 Tenga instalado cierto software
 …

Esta característica es especialmente interesante de cara a usuarios móviles, tanto para

aquellos que se conecten de forma remota a través de una VPN como para los que viajan
constantemente y son usuarios esporádicos en la red de la organización.

Un claro ejemplo es el de los agentes comerciales de una organización. En muchos de estos

casos se dan casos de BYOD (Bring Your Own Device) donde el usuario utiliza el portátil de su
casa para trabajar y conectarlo a la red de la organización, o viceversa, se lleva el portátil de la
empresa a casa y le da un uso también particular, para tareas de ocio, como puede ser el uso
de redes sociales, juegos online o descargas de música, series y películas. Con el riesgo que
esto conlleva.

Para estos casos, un software endpoint controlando que el dispositivo cumple nuestros
requisitos de compliance para conectarse a la red de la organización, nos puede evitar futuros
problemas de seguridad, debido por ejemplo, a alguna infección de malware.

HESR01 7
8 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

2. Seguridad de red:

Antes de empezar a hablar de este apartado, tenemos que aclarar que en este curso
diferenciamos lo que es la seguridad de red de la seguridad perimetral. Cuando
hablamos de red de la organización nos referimos a la red interna, a las amenazas y
riesgos a la que está expuesta desde dentro. No nos referimos a amenazas externas.

A día de hoy es muy normal encontrarse una empresa con cientos de equipos,
servidores, impresoras, switches, etc. Todos estos dispositivos conectados entre sí,
compartiendo informado, accediendo de forma simultánea a los distintos servicios que
ofrecen los servidores, conexión compartida a Internet, trabajos de impresión y todas
las tareas normales de una red TCP/IP.

El problema es que cuando se creó este protocolo estaba pensado para funcionar,
pero no para ser seguro. El protocolo TCP/IP, nos guste o no, por naturaleza es
inseguro.

El ejemplo está en que tenemos que recurrir a otras capas de seguridad o protocolos
para proporcionar esa seguridad que TCP/IP por sí sólo, no nos da. Esto es debido a
que la base de la funcionalidad del protocolo data de los años 60 y 70, y como hemos
dicho antes, se priorizaba que funcionara, no que fuera seguro.

Esta inseguridad ha provocado que se crearan protocolos destinados a aportar esa

capa de seguridad, como es el caso de IPsec (Internet Protocol Security) utilizado para
montar VPN (Virtual Private Network). IPsec proporciona un túnel privado, donde
además la información viaja de forma cifrada.

HESR01 8
9 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

La versión 6 del protocolo TCP/IP, IPv6, pretende corregir los fallos de seguridad que
se han descubierto en la versión actual, IPv4. Aunque se antoja que no será una tarea
fácil, sobre todo por la implementación del protocolo en los sistemas y redes actuales.

Esta inseguridad actual afecta a todas las comunicaciones, tanto a las externas
(Internet) como las que se producen de forma interna, en la red interna de la
organización.

Y es que muchos de los ataques más efectivos a una organización se producen desde
dentro, o bien por un atacante que ha conseguido acceder o bien porque el “enemigo
lo tenemos en casa” como puede ser el caso de un empleado descontento con
intenciones maliciosas de provocar una denegación de un servicio o realizar una fuga
de información a una empresa de la competencia.

El hecho de que se produzcan ataques desde dentro muchas veces también viene
causado por la gran cantidad de información existente acerca de cómo llevar a cabo un
ataque, incluyendo video tutoriales de fácil acceso. Además a esto hay que unir que
muchos administradores de red y sistemas desconocen estas técnicas de ataque por lo
tanto no saben cómo defenderse de ellas.

Si a esto le unimos que muchos usuarios no tienen ningún tipo de problema a la hora
de aceptar mensajes de error o alertas de seguridad y que la respuesta de los
compañeros ante la consulta es “dile que si, no pasa nada” o “seguro que los
informáticos lo han configurado mal, pincha sin problema”, el escenario de ataque de
la red interna es un auténtico caramelo para un atacante.

Por ejemplo, nos podemos encontrar con uno de los ataques estrella para las redes
internas, el ARP Spoofing o ARP Poisoning. Aunque se verá con más detalle en
siguientes módulos, sólo decir que mediante esta técnica, el atacante es capaz de
engañar al resto de dispositivos y actuar como un router, de forma que todo el tráfico
pase y sea capturado por el ordenador del atacante.

Ejemplo – Preparando escenario ARP Poisoning

HESR01 9
10 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

3. Seguridad perimetral:

Esta quizás sea el área donde más énfasis se pone a la hora de aplicar medidas de
seguridad en una organización y obviamente tiene su lógica ya que es la puerta de
entrada desde el exterior, desde Internet.

Dispositivos como cortafuegos, IDS/IPS (Sistemas de Detección y Prevención de

Intrusos), filtros de contenido o sistemas globales de seguridad como son los UTM
(Unified Threat Management) son los protagonistas a la hora de defender nuestro
perímetro.

Hasta hace unos años lo que predominaba más eran los sistemas cortafuegos, que
desde la capa 3 del OSI (Open System Interconnection), se limitaban a permitir o
denegar el tráfico proveniente o con destino a ciertos servicios de red o lo que es lo
mismo a ciertos puertos (ya fueran TCP o UDP).

Por ejemplo, a los usuarios se les permitía el tráfico saliente hacia servicios de tipo http
y https, con los puertos 80 y 443 respectivamente. En cuanto al tráfico entrante, sólo
se permitía el acceso al servicio SMTP, puerto 25, del servidor de correo interno para
los comerciales.

HESR01 10
11 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Con la aparición de los sistemas de detección y prevención de intrusos, los famosos IDS
e IPS, se conseguía inspeccionar el tráfico de red hasta tal punto que se pueden
identificar patrones de ataque presentes en los paquetes que conformaban las
comunicaciones de red. Es decir, si el tráfico HTTP entrante hacia un servidor Web está
permitido, a través de este tráfico se podría realizar algún tipo de ataque que el
firewall (cortafuegos) aceptaría sin problemas, pero que un IDS detectaría al “cazar” el
patrón del ataque en cuestión.

Los sistemas de filtrado de contenido básicamente son servidores proxy a través de

los cuales pasa toda las comunicaciones con destino y origen la Web. Su objetivo es,
como su nombre indica, filtrar estas comunicaciones de forma que pueda detectar si la
Web a la que se va a acceder es maliciosa o si el usuario se va a descargar un archivo
malicioso de una Web. Esto último gracias a que estos sistemas suelen incorporar
algún motor antivirus, incluso más de uno, de forma que el tráfico es analizado por el
antivirus de red antes de ser entregado al usuario final.

El filtro de contenido Web puede ser usado también para simplemente denegar el
acceso a ciertos sitios Web, como pueden ser los de los juegos online, compras online,
descargas de multimedia o apuestas online. Los motivos son claros, la productividad
del empleado en su puesto de trabajo, aunque en el caso de las Web de descargas
también es por motivos de seguridad, ya que muchos de estos sitios Web contienen
malware.

Aunque es menos habitual en entornos empresariales, existen soluciones de filtrado

de contenido de tipo Open Source, como es el caso de Dansguardian, que apoyado en
un proxy como Squid, también Open Source, puede ser una solución casera pero
efectiva.

Dansguardian denegando acceso a una Web

HESR01 11
12 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Por último, y quizás lo que la mayoría de empresas están adoptando para aplicar
seguridad a sus sistemas y redes, son los dispositivos UTM, que como su nombre
indica, son dispositivos que de forma unificada permiten la gestión de las amenazas.
Para que se entienda mejor; integra cortafuegos, IDS/IPS, filtro de contenidos e incluso
más funcionalidades como un gateway (pasarela) de correo para filtrar malware o
SPAM a través del correo electrónico.

Debido a la integración de todas estas funcionalidades, y al ahorro que supone frente a

si se comprara por separado las soluciones, es una de las opciones más elegidas por las
empresas que desean adquirir este tipo de soluciones.

Cabe destacar también que los sistemas cortafuegos que vienen incorporados en estos
dispositivos, proveen también de la capacidad de VPN en caso de que la organización
lo precise. Tanto para montar redes privadas virtuales de tipo SITE-TO-SITE, donde se
conectarían dos delegaciones de la organización a través de una VPN, o bien para
usuarios móviles, también denominados RoadWarriors, donde el usuario con una
conexión a Internet es capaz de “levantar” un túnel VPN con su organización.

Suelen ser compatibles con los dos tipos de VPN más usados, como pueden ser IPsec y
SSL. IPsec, por su robustez y complejidad suele estar destinado para túneles tipo SITE-
TO-SITE, mientras que las VPN de tipo SSL suelen ser las usadas por los usuarios
móviles, debido a que son más fáciles de configurar y usar.

Finalmente, estos dispositivos suelen proveer de un portal para el usuario donde este
puede hacer uso de las capacidades de la propia VPN o de la pasarela de correo.
Algunas de las funciones que el usuario se puede encontrar en un portal de usuario
son:

 Descarga del software cliente para la VPN

 Información de configuración de la VPN
 Solicitud de soporte remoto
 Consulta de correos entrantes bloqueados por SPAM o malware
 Consulta de correos salientes bloqueados por malware
 Posibilidad de liberación de correos bloqueados
 ….

Palo Alto, Sophos, CheckPoint, Fortinet, Sonicwall son algunos de los muchos
fabricantes que ofrecen soluciones de este tipo, tanto por separado como integrados
en sus propios dispositivos UTM.

HESR01 12
13 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

4. Seguridad Web:

Por nuestra experiencia, la seguridad Web quizás sea la más descuidada. Son muy
pocos los diseñadores y desarrolladores de sitios o aplicaciones Web que se preocupen
no sólo de que su proyecto funcione, sino que además sea seguro.

Cuando hablamos de seguridad Web, tenemos que distinguir básicamente dos

aspectos:

 Seguridad del aplicativo Web

 Seguridad de la infraestructura Web

Esta distinción la hacemos ya que una aplicación Web puede estar desarrollada de una
forma muy segura, pero la infraestructura Web donde el proyecto está alojado puede
que no sea segura. Por ejemplo, el servidor Web puede estar ejecutando una versión
desactualizada de Apache, afectada por multitud de vulnerabilidades.

O el caso contrario, la infraestructura Web es muy segura, pero el desarrollo de la

aplicación no ha tenido en cuenta la seguridad, y ésta es vulnerable a multitud de
vulnerabilidades Web como SQL Injection o XSS. Estas y otras vulnerabilidades Web las
veremos con más detalle en otros módulos.

Seguridad del aplicativo Web

Este quizás sea el aspecto más importante y más complejo de llevar a cabo en un
proyecto Web, desde el punto de vista de la seguridad Web. Si se trata de un
desarrollo desde cero, donde se ha desarrollado por completo el código HTML,
Javascript, PHP o ASP de la aplicación, es muy importante que desde el primero
momento se haya tenido en mente la seguridad. Es lo que se conoce como desarrollo
seguro.

HESR01 13
14 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Para ello existen proyectos como OWASP, del que ya hemos hablado en el módulo
anterior en el apartado de metodologías y normativas donde podemos encontrar
guías, buenas prácticas y recursos que nos ayudarán a desarrollar nuestros proyectos
Web de forma segura.

Portada de la guía de desarrollo seguro de OWASP

A la hora de evaluar la seguridad de una aplicación o sitio Web, es importante tener en

cuenta si se trata de un CMS (Content Management System) como Joomla,
WordPress o Drupal, o si se trata de un diseño y desarrollo desde cero.

En los casos de los CMS, detrás del desarrollo de estas aplicaciones hay un equipo de
desarrolladores profesionales y una comunidad de usuarios que aportan su granito de
arena a la hora de encontrar fallos de seguridad en la aplicación.

Logotipos de Joomla, WordPress y Drupal

En el caso de desarrollos desde cero, en función del proyecto, habrá un desarrollador o

un grupo formado por especialistas en cada área del proyecto: análisis, diseño,
maquetación, sistemas, programador… Pero en muy pocos casos, dentro de este grupo
de profesionales nos vamos a encontrar a un especialista en seguridad Web.

HESR01 14
15 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

En el caso de los CMS, WordPress por ejemplo, sí tienen un grupo de especialistas que
evalúan la seguridad de sus aplicaciones. Así ocurre también con Joomla, Drupal o
Moodle, que más que un CMS es un LMS (Learning Management System) porque está
orientado a la formación en línea, E-Learning.

Evaluación de seguridad del aplicativo Web

Siguiendo la guía de OWASP Top 10, con las 10 amenazas más importantes en cuanto a
aplicaciones y sitios Web, a la hora de evaluar su seguridad, realizaremos
comprobaciones para detectar vulnerabilidades como:

 SQL injection
 Cross site scripting
 Command injection
 Remote file inclusion
 Local file inclusión
 Path disclosure
 Cross site request forgery
 …

Sobre todo las primeras son las que aparecen a causa de un mal desarrollo de la
aplicación, que la hace insegura. En la mayoría de los casos se trata de un mal
tratamiento de variables, que permiten a un atacante cambiar a su antojo el valor de
éstas, o como ocurre en SQL injection, modificar una consulta a una base de datos SQL.

Tabla comparativa del Top 10 de 2010 y 2013

En función de los privilegios del usuario, esta consulta se puede traducir también en
modificación o eliminación de registros de una tabla de la base de datos.

En otro módulo más adelante veremos con más detalle estas vulnerabilidades.

HESR01 15
16 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Para la evaluación y descubrimiento de estas vulnerabilidades, en función de nuestros

conocimientos en la materia podremos hacer pruebas manuales o podemos utilizar
alguno de los muchos escáneres de vulnerabilidades Web que hay en el mercado.

Como suele pasar con otros tipos de software, tenemos disponibles soluciones de pago
pero también podemos usar escáneres Open Source.

Algunos escáneres de vulnerabilidades Web:

 Acunetix (Comercial)
 IBM AppScan (Comercial)
 W3af (Open Source)
 Arachni (Open Source)
 Vega (Open Source)
 …

A la hora de elegir un escáner para auditar nuestra aplicación Web, además del precio,
tenemos que evaluar dónde destaca más a la hora de descubrir vulnerabilidades, y su
ratio de falsos positivos.

La mayoría de los escáneres de vulnerabilidades Web son capaces de descubrir la gran

mayoría de vulnerabilidades existentes, pero obviamente, no todos con el mismo
rendimiento y eficacia.

Por ejemplo, Acunetix es un escáner muy reconocido, pero destaca por su eficacia y
bajo ratio de falsos positivos a la hora de detectar XSS (Cross site scripting).

Pantalla de configuración de Acunetix

En el caso de W3af, uno de los escáneres favoritos de la comunidad Open Source,

precisamente la detección de XSS no es su fuerte, sin embargo sí es muy efectivo a la
hora de encontrar otro tipo de vulnerabilidades.

HESR01 16
17 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Otra opción es utilizar escáneres específicos para cada vulnerabilidad. Por ejemplo,
para la detección y explotación de SQL injection recomendamos el uso de SQLmap,
que es un script muy efectivo para la detección de esta vulnerabilidad, además con un
índice de falsos positivos realmente bajo. Y lo mejor, no es de pago.

Otro ejemplo de herramienta específica es XSSer para la detección de vulnerabilidades

de tipo XSS, también de tipo Open Source y muy efectivo. Acunetix dispone de una
versión free de su herramienta exclusiva para detección de XSS. Muy eficiente y con un
índice de falsos positivos realmente bajo.

Pantalla inicial de XSSer

Evaluación de seguridad de la infraestructura Web

Tal y como hemos nombrado ya en este módulo, a la hora de evaluar la seguridad de

un proyecto Web tenemos que diferenciar entre aplicación o sitio Web, y la
infraestructura donde está alojado el proyecto.

Para ello lo que tenemos que testear es la seguridad del servidor y comunicaciones
donde nuestro proyecto Web estará alojado, es decir, el entorno Web.

Este entorno puede variar en función del tipo de hosting contratado con el proveedor
de servicios, y según el tipo de hosting, también variará el grado de responsabilidad de
la seguridad que recaerá sobre el propio cliente o el proveedor de servicios.

Si es un servicio básico de hosting, el cliente tendrá que asumir la seguridad que el

proveedor tenga implementada. Pero si se trata de un servicio más profesional, como

HESR01 17
18 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

puede ser un servidor privado, el cliente será el responsable de la instalación y

mantenimiento del software del servidor, o lo que es lo mismo, será responsable de la
configuración de seguridad de éste así como que no esté afectado por
vulnerabilidades que puedan ser explotadas por atacantes.

Teniendo en cuenta esto, la mayoría de nuestros esfuerzos se centrarán en el

descubrimiento de vulnerabilidades del servidor Web. Como auditores de seguridad,
tendremos en mente que un servidor Web, como mínimo estaré compuesto por:

 Software servidor Web (por ejemplo Apache)

 Software de motor de programación de lado servidor (por ejemplo PHP)
 Software de servidor FTP (por ejemplo ProFTP)
 Software de servidor de base de datos (por ejemplo MySQL)
 …

Una vez definidos los posibles vectores de ataque, procederemos a buscar

vulnerabilidades de los distintos software así como “misconfigurations”, es decir,
malas configuraciones o configuraciones por defecto.

Al igual que en el proceso de evaluar la seguridad de la aplicación Web, en función de

nuestros conocimientos en la materia, podremos hacerlo manualmente o haciendo
uso de alguna herramienta diseñada para este propósito.

Este es el caso de Nikto, un script desarrollado en Perl que realiza un descubrimiento

de servicios y versiones de un servidor Web para a continuación, basándose en una
base de datos de vulnerabilidades, mostrar si el servidor está afectado por alguna
vulnerabilidad en alguno de sus servicios.

Como veremos más adelante, en este tipo de herramientas, el descubrimiento de

versión de un software (servicio) juega un papel fundamental a la hora de detectar
posibles vulnerabilidades.

Ejemplo de uso de la herramienta Nikto

HESR01 18
19 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Otra posibilidad es hacer uso de escáneres de vulnerabilidades como Nessus o

Nexpose, que no están orientados específicamente a entornos Web pero igualmente
son capaces de detectar vulnerabilidades en servicios utilizados normalmente en
entornos Web, como pueden ser en servidores FTP, servidores DNS o servidores de
correo.

Ejemplo de un reporte de vulnerabilidades con Nessus

Pero no sólo nos basaremos en las vulnerabilidades de software a la hora de evaluar la

seguridad de la infraestructura.

En ocasiones, por falta de tiempo o por falta de conocimiento, los administradores

dejan la configuración de los servicios tal y como viene por defecto en la instalación.
Esto implica que esa configuración es sabida por cualquiera que esté acostumbrado a
trabajar con ese software, incluso por un atacante, que se ha tomado su tiempo en ver
cómo queda una instalación por defecto de un software específico.

A este tipo de “malas costumbres” se le denomina en seguridad, misconfiguration. A

causa de estas malas costumbres, puedan quedar al descubierto fallos de seguridad o
simplemente que el nivel de seguridad del servicio no sea el óptimo.

Pongamos como ejemplo un servidor FTP que al instalarse, por defecto permite el
acceso al servidor a usuarios anónimos (anonymous) o invitados (guest). ¿Creéis que
realmente es una buena práctica de cara a la seguridad de nuestro servidor?
Obviamente, no.

Y no nos podemos olvidar de un tema que ya hemos nombrado en este curso, la

fortaleza de las contraseñas. Auditaremos también las contraseñas de los servicios que
el servidor Web ofrece. Para ello tenemos a nuestra disposición herramientas de
ataques de fuerza bruta o ataques por diccionario.

HESR01 19
20 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

5. Privacidad:

Una de las bases de la seguridad de la información es la confidencialidad, mediante la

cual se previene que información privada y sensible de la organización caiga en manos
de terceros y se haga pública, es decir, afecta directamente a la privacidad de la
información de la organización.

La información que se encuentra almacenada en los propios servidores físicos de la

organización, estará protegida por los sistemas de seguridad que eviten el acceso no
autorizado o fuga de esta información hacia el exterior.

¿Pero qué ocurre cuando decidimos almacenar esa información en Internet? ¿Qué
ocurre si decidimos almacenarla en la nube?

Al igual que ocurre con la seguridad Web, en función del servicio en la nube
contratado, esa responsabilidad recaerá en el propio cliente o en el proveedor de
servicio. No es objeto de este curso hablar sobre seguridad Cloud, pero si tenemos que
tener en cuenta, que desde el punto de vista de la seguridad, es otro ámbito más a
evaluar.

Por último, haremos referencia a los metadatos de los ficheros. Los metadatos pueden
revelar tanto o más que el contenido de las comunicaciones y su interceptación
constituye una invasión grave a la privacidad.

En el módulo de auditoría de seguridad veremos en profundidad cómo extraer

metadatos de algunos ficheros, con información que nos será útil para siguientes fases
de nuestra auditoría de seguridad.

Ejemplo de extracción de metadatos

HESR01 20
21 | Módulo 1 – Unidad 2: Ámbitos de la Seguridad IT

Para más información:

www.hacking-etico.com | formación@svtcloud.com

HESR01 21