UNIVERSIDAD DON BOSCO

FACULTAD DE INGENIERÍA
ESCUELA DE ELECTRÓNICA
DISEÑO DE SISTEMAS DE SEGURIDAD PARA REDES DE DATOS
CICLO 02-2021

TEMA:
Caso de estudio 1:
“Análisis de vulnerabilidades”

INTEGRANTES:
• Ebony Gabriela Peña Gómez PG180491
• César Armando Romero López RL152226
• Luis Armando Chévez Durán CD161656

GRUPO DE LABORATORIO:
03L

DOCENTE:
Ing. Denis Alfredo Altuve Santamaría

FECHA DE ENTREGA:
Viernes 3 de septiembre de 2021
 ÍNDICE

Tabla de contenido
OBJETIVOS .............................................................................................................................. 3
OBJETIVO GENERAL ............................................................................................................ 3
OBJETIVOS ESPECÍFICOS ..................................................................................................... 3
CONTENIDO DE LA INVESTIGACIÓN ....................................................................................... 4
NESSUS ................................................................................................................................ 4
OpenVAS ............................................................................................................................. 6
Nexpose .............................................................................................................................. 8
GFI LanGuard .................................................................................................................... 10
Estándar CVSS (Common Vulnerability Score System) ..................................................... 13
Listas CVE (Common Vulnerabilities and Exposures) ....................................................... 19
RESULTADOS DE ANÁLISIS DE VULNERABILIDADES ENCONTRADAS EN EL SERVIDOR
VÍCTIMA POR MEDIO DE GFI LANGUARD ............................................................................. 22
CONCLUSIONES..................................................................................................................... 26
REFERENCIAS BIBLIOGRÁFICAS............................................................................................. 27

2
 OBJETIVOS

OBJETIVO GENERAL

o Identificar los riesgos y las amenazas presentes en los activos y/o procesos
tecnológicos de una empresa por medio de un informe detallado que
concentre todas las vulnerabilidades encontradas con su calificación de
riesgo y acciones recomendadas para su correcta solución, con el propósito
de aumentar la seguridad del entorno de trabajo evitando que se produzcan
posibles fallos o ataques.

OBJETIVOS ESPECÍFICOS

o Determinar las ventajas y desventajas entre las distintas herramientas de

análisis de vulnerabilidades que tenemos a nuestra disposición.

o Interpretar las vulnerabilidades encontradas y brindar soluciones precisas y

adecuadas en función del tipo de vulnerabilidad y el tipo de riesgo que
implique.

o Definir la importancia de realizar un análisis de vulnerabilidades informáticas

en la estructura tecnológica de una empresa por medio del mapeo de todos
los activos tecnológicos capaces de exponer a la empresa.

3
 CONTENIDO DE LA INVESTIGACIÓN

NESSUS

Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas

operativos.
Consiste en un demonio o diablo (tipo especial de programa que se ejecuta en
segundo plano, en lugar de ser controlado directamente por el usuario), nessusd,
que se encarga de realizar el escaneo en el sistema operativo, mientras que nessus,
el cliente basado en consola o entorno gráfico, muestra el avance e informa sobre
el estado de los escaneos.
Nessus presenta detección de activos de alta velocidad, auditoría de configuración,
creación de perfiles de destino, detección de malware, descubrimiento de datos
confidenciales y mucho más. Con la biblioteca de verificaciones de vulnerabilidad y
configuración más grande del mundo continuamente actualizada, Nessus establece
el estándar para la velocidad y precisión de escaneo de vulnerabilidades.
Mediante consola nessus puede ser programado para hacer escaneos con cron (en
sistema operativo Unix, es un administrador regular de procesos en segundo plano).
En operación normal, nessus empieza escaneando los puertos con nmap o con su
propio escáner de puertos con el objetivo de buscar puertos abiertos y
posteriormente intentar varios exploits para atacarlo.
Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son
escritos en NASL (Nessus Attack Scripting Language), un lenguaje scripting
optimizado para interacciones personalizadas en redes.
De forma opcional, Nessus brinda la posibilidad de exportar los resultados en
distintos formatos, tales como texto plano, XML, HTML y LaTeX. Además, los
resultados también pueden ser guardados en una base de conocimiento para
referencia en futuros escaneos de vulnerabilidades.

4
 Ventajas y desventajas de NESSUS

Ventajas
• Fácil de instalar, el proceso se ha reducido a la mínima expresión.
• Permite realizar auditorías de forma remota en una red en particular y
determinar si ha sido comprometida o usada de forma inadecuada.
• Proporciona la capacidad de auditar de forma local un equipo específico
para analizar vulnerabilidades, especificaciones de compatibilidad,
violaciones de directivas de contenido, etc.
• Diversos sistemas operativos que soportan la herramienta: Windows, Mac
OS, Linux, Unix, Solaris.
• La interfaz gráfica de usuario (GUI) muestra los resultados de los análisis
en tiempo real, por lo que no se debe esperar a que finalice el análisis para
ver los resultados.
• Los análisis se siguen ejecutando en el servidor, aún si se desconecta.
• La arquitectura cliente/servidor proporciona la flexibilidad necesaria para
implementar el analizador (servidor) y conectarse con la GUI (cliente)
desde cualquier equipo mediante un explorador web, con lo cual se
reducen los costos de administración.
Desventajas
• La versión Essentials no sería suficiente para la implementación en una
red muy grande.
• Los costos de licencia por año son relativamente altos para empresas
pequeñas o medianas.

5
 OpenVAS

Se trata de un completo escáner de vulnerabilidades que puede detectar problemas

de diferentes calibres, tanto de bajo riesgo para usuarios, como vulnerabilidades
más graves en equipos en dispositivos en red. Según cifras oficiales cuenta con
más de 50,000 test y datos de vulnerabilidades conocidas y alimentadas a diario por
la empresa y por parte de la comunidad y sus expertos, contando con una interfaz
gráfica para que todo el proceso de análisis sea más útil visualmente y sencillo para
el usuario.
OpenVAS surge a raíz del escáner y explorador de vulnerabilidades NESSUS, que
pasó del modelo de código abierto al de negocio de software propietario, y por uso
por medio de licencia en 2005. Fue desarrollado por la empresa Greenbone
Networks desde 2009 y en código abierto a la comunidad bajo la Licencia Pública
General de GNU (GNU y GPL).
OpenVAS es una herramienta principal de OSSIM, todos los productos que la
componen son software libre y la mayoría de ellos son distribuidos bajo licencia
GPL.
La versión 7 de OpenVAS introdujo 2 cambios en su arquitectura, por una parte, se
suprimió el módulo Administrador que se integró al módulo Mánager, y por otra
parte, se suprimió el cliente de escritorio GSD para en su lugar centrarse en los
avances de su cliente web. OpenVAS 8 introdujo nuevas características y mejoras
en virtualmente todas las áreas, no obstante, sin cambios estructurales.

6
 Ventajas y desventajas de OpenVAS

Ventajas
• Pruebas autenticadas.
• Pruebas no autenticadas.
• Cuenta con protocolos industriales y de internet de alto y bajo nivel.
• Ajustes personalizados de rendimiento para exploraciones a gran escala.
• Desarrollado en un potente lenguaje de programación interno para
implementar cualquier tipo de prueba de vulnerabilidad.
• Posibilidad de utilizarlo desde línea de comandos y modo gráfico con una
interfaz con muchas utilidades y datos de interés.
• Brinda la posibilidad de configurarlo con muchas opciones disponibles,
puede realizar miles de pruebas contra un objetivo en red.
• Extensa y definida documentación, existe gran cantidad de foros dedicados
a la utilización de este software, incluso en plataformas como Reddit.
• Software de uso libre, no requiere la compra de ningún tipo de licencia.
Desventajas
• Para grandes empresas, les es más fácil adquirir un software de análisis
de vulnerabilidades que sea de pago, el cual realice un análisis más
exhaustivo que OpenVAS.
• Más complicado de instalar y configurar debido a la cantidad de
componentes.
• Al tener más opciones también es más complicado de utilizar.
• Comparado a otras herramientas de análisis de vulnerabilidades, cubre
menos vulnerabilidades.

7
 Nexpose

Es una herramienta que permite ejecutar diferentes tipos de escaneos en búsqueda

de vulnerabilidades en un host o red, permite la definición de determinadas opciones
para acceder a un escaneo mucho más preciso con el uso de filtros por puertos,
equipos, segmentos de red, protocolos, etc.
Nexpose evalúa vulnerabilidades en:

• Páginas web, bases de datos, redes y sistemas operativos.

.
Con el objetivo de minimizar los riesgos de seguridad, Nexpose localiza amenazas,
vulnerabilidades de diferentes niveles de riesgo que se presentan en la
infraestructura, puertas traseras, entre otros. Cuenta con varias opciones de
escaneo, desde la más sencilla hasta la más robusta. Contiene escaneos de
aplicaciones web, así como el escaneo de su contenido, de sus aplicativos en busca
de amenazas críticas como, SQL injection, Cross site Scripting, los cuales pueden
poner en riesgo toda la infraestructura de una organización. Identifica problemas y
violaciones de seguridad, realizando una evaluación de vulnerabilidades exhausta
en las bases de datos.
Las opciones de escaneo más robusta con las que cuenta son las siguientes:

• Denegación de servicios (DoS).

• Escaneo exhaustivo.
• Auditoría con Web Spider.
• Auditoría de internet en DMZ.
• Microsoft Hotfix.
• Test de penetración (Pen-testing)
• Auditoría web.
Nexpose brinda reportes con entornos de datos gráficos y en formatos Web, 7 PDF
y variados diseños estadísticos. Tiene 32 diferentes formatos de reportes en PDF y
se puede exportar a formatos como: Formatos de Reportes Activos, CSV o listado
de vulnerabilidades en documento Excel, XML, base de datos personal, base de
datos de Nexpose, entre otros (Rapid7, 2015). Su interfaz gráfica es sencilla de usar
y no se requiere gran conocimiento para el uso de la herramienta.

8
 Ventajas y desventajas de Nexpose

Ventajas
• Nexpose obtiene muy buenas marcas en despliegue de flexibilidad de BD
y aplicación de escaneo.
• Los usuarios con experiencia califican a Nexpose como un producto
fuerte, además de que tiene una capacidad de ventas muy alta.
• Obtención muy rápida de información sobre sistemas, equipos y
servicios.
• Facilita el trabajo de análisis y obtención de información a gente poco
experimentada en el tema.
Desventajas
• Su configuración esta aun madurando. Nexpose no soporta normalmente
la línea de base de configuración del gobierno de EE.UU. (USGCB) ni
templates DISA STIG o CIS, aunque está en los planes futuros.
• Nexpose debe balancear la demanda de rapidez de crecimiento y la
adquisición de clientes con el soporte técnico y el desarrollo de productos.
• Está limitados a la información de los plugin y firmas de los que se dispone
en el momento del análisis.
• No realiza un escaneo de puertos tan en profundidad como otras
herramientas (como Nmap), lo que implica que ciertos hosts o servicios
que utilicen puertos poco comunes o tengan barreras de Firewall pasen
desapercibidos por la herramienta.

9
 GFI LanGuard

GFI LanGuard es una solución completa de administración de vulnerabilidades, que

te permite escanear, detectar, evaluar y corregir vulnerabilidades de seguridad en
tu red. También proporciona las herramientas para remediar las vulnerabilidades e
instalar parches faltantes en la red. GFI LanGuard te brinda una imagen completa
de la configuración de tu red y te ayuda a mantener un estado de red seguro de
manera más rápida y eficaz.
Prácticamente esta herramienta se basa en la automatización de las actualizaciones
sin importar el tipo de sistema operativo, las brechas de seguridad de la red son
comúnmente causadas por la falta de actualizaciones, generalmente
actualizaciones generales o actualizaciones de seguridad y LanGuard escanea y
detecta estas vulnerabilidades en la red antes de que queden expuestas de acuerdo
a las políticas de cada organización, esto ayuda a reducir el tiempo para actualizar
los equipos en la red, cuando detecta que un sistema operativo no tiene una
actualización podría enviar una alerta.
También busca las vulnerabilidades en más de 60,000 evaluaciones de
vulnerabilidades que se realizan a través de las redes LanGuard, esto incluye
entornos virtuales, dispositivos móviles y datos de la red, tanto de infraestructura
como CISCO, TRICOM, datos de sistemas operativos como Windows, Linux, Mac,
entre otras. Generalmente escanea los sistemas operativos en entornos virtuales,
aplicaciones instaladas mediante las bases de datos de comprobación como puede
ser la OVAL (Open Vulnerability And Assessment Language). A diferencia de otras
herramientas como Acunetix y Nessus no se tiene un OWASP TOP TEN porque no
se está haciendo un escaneo a una página web, sin embargo, tiene otros tipos de
cumplimiento.
LanGuard proporciona múltiples plantillas de reportes como, cumplimiento análisis
de vulnerabilidades, reportes de técnicos, ejecutivos y reportes de manera general.
Esta herramienta es bastante utilizada por los precios, soporte y actualizaciones
constantes.

10
 Ventajas y desventajas de GFI LanGuard

Ventajas
• Realiza escaneos de forma local y de red.
• Soporta actualizaciones de Microsoft, Linux y MacOS, además de
aplicaciones de terceros como Adobe Acrobat, Chrome, Java o Adobe
Flash.
• Su función de administración de actualizaciones analiza la red
automáticamente o bajo demanda, escanea y detecta vulnerabilidades en
la red antes de que queden expuestas, reduciendo el tiempo necesario
para actualizar los equipos de la red.
• Brinda un análisis detallado sobre el estado de la red y una visión integral
para conocer el rendimiento: estado del hardware, dispositivos móviles que
se conectan a los servidores de Exchange, estado de las aplicaciones de
seguridad (antivirus, antispam, cortafuegos, etc.), puertos abiertos, y
cualquier otro recurso compartido existente y servicio en ejecución en la
red.
• Las auditorías de seguridad de GFI LanGuard realizan más de 60.000
evaluaciones de vulnerabilidad, utilizando una potente y extensa base de
datos de vulnerabilidades que incorpora los estándares OVAL (más de
11.500 comprobaciones) y SANS Top 20.
• GFI LanGuard permite analizar el estado de seguridad de la red, identificar
riesgos y dirigir la adopción de medidas antes de que se vea
comprometida.
• La auditoría de red de GFI LanGuard proporciona una vista integral de la
red: dispositivos USB, smartphones y tablets conectados; software
instalado; cualquier recurso compartido abierto, puertos abiertos y
contraseñas débiles en uso; e información del hardware.
• Permite analizar fácilmente los resultados utilizando filtros e informes, lo
que permite asegurar proactivamente la red mediante el cierre de puertos,
eliminando usuarios o grupos que ya no se usan, o deshabilitando puntos
de acceso inalámbricos.
• Los precios de este analizador de vulnerabilidades son muy bajos
comparados con otras herramientas, porque prácticamente es para una
red, no está orientado a la parte de consultoría como otras aplicaciones
como Nessus.
• Los reportes pueden ser exportados en formatos populares tales como
PDF, HTML, XLS, XLSX, RTF y CSV, y pueden ser programados y
enviados por correo electrónico.

11
 Desventajas
• Un solo usuario de consola puede usar el sistema, y tiene que utilizar RDP
(Remote Desktop Protocol) en el servidor, por lo que si está ejecutando
una tarea y otra persona inicia sesión en el servidor, tendrá una sesión
duplicada pero no funcionará.
• El amplio espectro de escaneos a gran escala es lento y puede resultar un
poco abrumador.
• El costo anual de renovación y mantenimiento. Es posible que deba
revisarse esto, ya que la capacidad de agregar usuarios a veces está
limitada por esta razón.
• El soporte técnico no es tan bueno comparado al que se brinda en otras
aplicaciones de análisis de vulnerabilidades. Los usuarios se quejan de las
respuestas lentas y que solo se pueden hacer por medio de correo
electrónico.
• Agregar más licencias después de la compra original podría no resultar tan
rentable.
• A pesar de los precios relativamente accesibles, hay que considerar que
GFI LanGuard es para realizar escaneos en una red, no está orientado a
la parte de consultoría.

12
 Estándar CVSS (Common Vulnerability Score System)

¿Qué es CVSS?
El Common Vulnerability Scoring System (también conocido como CVSS Scores)
proporciona una representación numérica (0-10) de la gravedad de una
vulnerabilidad de seguridad de la información. Los equipos de seguridad informática
suelen utilizar las puntuaciones CVSS como parte de un programa de gestión de
vulnerabilidades para proporcionar un punto de comparación entre las
vulnerabilidades y priorizar la corrección de las vulnerabilidades.
CVSS es un marco abierto mantenido por el Foro de Equipos de Seguridad y
Respuesta a Incidentes (FIRST), una organización sin fines de lucro con sede en
EE. UU. Con más de 500 organizaciones miembros en todo el mundo. Si bien la
calificación de vulnerabilidades basada en una metodología abierta y estandarizada
es poderosa, también es importante reconocer los inconvenientes y limitaciones de
CVSS para garantizar que se aplique de manera adecuada en su organización.

CVSSv2 frente a CVSSv3

CVSS se encuentra ahora en su tercera versión principal (v3.1), que fue diseñada
para abordar algunas de las deficiencias de su predecesor, v2. En particular, la
versión 3 presenta las miradas a los privilegios necesarios para explotar una
vulnerabilidad, así como la capacidad de un atacante para propagarse a través de
sistemas ("alcance") después de explotar una vulnerabilidad.

Métricas de puntuación CVSS

Una puntuación CVSS se compone de tres conjuntos de métricas
(Base, Temporal, Ambiental), cada una de las cuales tiene un componente de
puntuación subyacente.

13
Métricas base CVSS
Los factores base representan características de la propia vulnerabilidad. Estas
características no cambian con el tiempo y no dependen de la explotabilidad del
mundo real o de los factores de compensación que una empresa ha puesto en
marcha para prohibir la explotación. Las clasificaciones públicas de gravedad, como
las que se enumeran en la Base de datos nacional de vulnerabilidad (NVD) del
NIST, se refieren exclusivamente a las puntuaciones Base CVSS.
La fácil disponibilidad de las puntuaciones Base CVSS proporciona un punto de
partida atractivo para la priorización de parches, pero tiene un uso limitado ya que
no tiene en cuenta las vulnerabilidades del mundo real, la disponibilidad de parches
u otros controles ambientales o de mitigación que su organización haya
implementado.
Las métricas base de CVSS se componen de tres elementos de subpuntuaciones:
explotabilidad, alcance e impacto.
Explotabilidad: las métricas de explotabilidad se componen de características del
componente vulnerable, y la explotabilidad se compone de cuatro subcomponentes
adicionales.
• Vector de ataque: esta puntuación varía según el nivel de acceso necesario
para aprovechar una vulnerabilidad. La puntuación será más alta para los
exploits que se pueden ejecutar de forma remota (es decir, fuera de la red de
una empresa) que para los exploits que requieren presencia física (es decir,
deben tener acceso a un puerto físico en un dispositivo o acceso a una red
local dentro de un dato privado centrar).

14
 • Complejidad del ataque: esta puntuación varía según los factores fuera del
control del atacante que se requieren para aprovechar la vulnerabilidad. La
puntuación será más alta para exploits que requieran trabajo adicional por
parte del atacante, como el robo de una clave secreta compartida o un ataque
de intermediario, que para un ataque que no requiera tal esfuerzo adicional.
• Privilegios requeridos: esta puntuación varía en función de los privilegios
necesarios para que el atacante realice la explotación. Una vulnerabilidad
que requiere privilegios administrativos para explotar tendrá una puntuación
más alta que una vulnerabilidad que no requiere autenticación o privilegios
escalados por parte del atacante.
• Interacción del usuario: esta puntuación varía en función de si el atacante
debe reclutar a un participante voluntario o involuntario para completar su
tarea. La puntuación será mayor si el atacante puede operar de forma
autónoma, sin la participación de un usuario.
Alcance: el alcance se refiere a si una vulnerabilidad en un componente puede
propagarse a otros componentes. La puntuación del alcance es mayor si la
propagación es posible. Los ejemplos de alcance incluyen la capacidad de acceder
y explotar el sistema operativo subyacente después de explotar una vulnerabilidad
en una aplicación de software, o un atacante que accede a una base de datos back-
end después de explotar con éxito una vulnerabilidad en un servidor web.
Impacto: el impacto se centra en el resultado real que un atacado puede lograr
como resultado de la explotación de la vulnerabilidad en cuestión. Las métricas de
impacto se componen de tres submétricas: confidencialidad, integridad y
disponibilidad.
o Confidencialidad: esta puntuación varía según la cantidad de datos a
los que accede el atacante. Será mayor si el atacante puede acceder
a todos los datos del sistema afectado, y menor si no hay datos
accesibles.
o Integridad: esta puntuación varía según la capacidad del atacante
para alterar o cambiar los datos del sistema afectado. Si es posible
realizar modificaciones completas o con consecuencias graves en los
datos, esta puntuación será alta.
o Disponibilidad: esta puntuación varía según la pérdida de
disponibilidad del sistema explotado. La puntuación será alta si el
sistema ya no es accesible o utilizable para usuarios autorizados como
resultado del ataque.

15
Métricas temporales de CVSS
Las métricas temporales de CVSS son exactamente como suenan: métricas
relacionadas con una vulnerabilidad que cambian con el tiempo. Estas métricas
miden la explotabilidad actual de la vulnerabilidad, así como la disponibilidad de
controles de corrección, como un parche. Los subcomponentes de las métricas
temporales incluyen la madurez del código de explotación, el nivel de corrección y
la confianza del informe.
• Madurez del código de explotación: hasta que exista un método para explotar
una vulnerabilidad, es relativamente benigno. Como ocurre con la mayoría
del software, el código disponible para realizar un exploit puede madurar,
volviéndose más estable y más disponible con el tiempo. A medida que esto
suceda, la puntuación de este subcomponente aumentará.
• Nivel de corrección: cuando se descubre una vulnerabilidad por primera vez,
es posible que no haya un parche u otra solución alternativa disponible. Con
el tiempo, las soluciones alternativas, las correcciones temporales y, en
última instancia, los parches oficiales están disponibles, lo que reduce la
puntuación de vulnerabilidad a medida que se mejora la reparación.
• Confianza del informe: la confianza mide el nivel de validación que demuestra
que una vulnerabilidad es real y explotable.
Métricas ambientales CVSS
Las métricas ambientales de CVSS permiten a la organización modificar el CVSS
base en función de los requisitos de seguridad y las modificaciones de las métricas
base.
• Requisitos de seguridad: los requisitos de seguridad caracterizan la
importancia del activo en cuestión. Los datos o activos de misión crítica
obtienen una puntuación más alta que los activos menos importantes. Por
ejemplo, una vulnerabilidad identificada en una base de datos de todos los
datos del cliente obtendría una puntuación más alta que una vulnerabilidad
identificada en la estación de trabajo de un usuario sin privilegios.
• Métricas base modificadas: una organización puede optar por modificar los
valores de las métricas CVSS base en función de las mitigaciones que hayan
implementado. Por ejemplo, "dejar un espacio vacío" en un servidor, o
eliminar cualquier conexión de red externa, impedirá que un atacante pueda
explotar una vulnerabilidad a la que de otro modo podría ser accesible de
forma remota. El resultado es que la métrica base del vector de ataque se
reduce en este caso.

16
Calificaciones cualitativas CVSS
A veces es útil, especialmente para fines de discusión con partes interesadas menos
técnicas, asignar las puntuaciones CVSS de 0 a 10 a puntuaciones
cualitativas. FIRST asigna los puntajes CVSS a estas calificaciones cualitativas de
la siguiente manera:

¿Cuál es la diferencia entre CVSS y CVE?

CVE significa Common Vulnerability Enumeration, que es un identificador único
para cada vulnerabilidad enumerada en el NIST NVD. CVSS proporciona una
indicación de la gravedad de cada CVE.
El formato CVE es el siguiente:
CVE- [Año de 4 dígitos] - [Identificador secuencial]
Por ejemplo, el CVE para la vulnerabilidad Heartbleed es: CVE-2014-0160
Lo que significa que fue la vulnerabilidad número 160 categorizada en NVD en 2014.
Su puntaje CVSS base es 7.5 (alto).

17
Limitaciones de CVSS
Como ya hemos comentado, los puntajes CVSS disponibles públicamente son solo
puntajes base. Representan la gravedad de una vulnerabilidad, pero no reflejan el
riesgo que la vulnerabilidad representa para su entorno. En otras palabras, CVSS
responde a la pregunta: “¿Es esto peligroso?”, Pero no,“¿Es esto peligroso para mi
empresa? "
Dada la gran (y creciente) cantidad de vulnerabilidades que enfrenta la organización
típica, la gestión eficaz de vulnerabilidades debe tener en cuenta no solo la
Puntuación Base, sino también los Factores Temporales y Ambientales. Para esta
parte, FIRST proporciona el marco, pero el NIST no puede ayudarlo a adaptar su
puntaje CVSS a estos factores, ya que requieren un conocimiento de primera mano
de la importancia comercial de los activos, la identificación de los controles de
mitigación y el uso del activo en cuestión. y la explotación actual de la vulnerabilidad
en el mundo real. Maximizar la eficiencia de su equipo de seguridad requiere
un enfoque basado en el riesgo para la gestión de vulnerabilidades que tenga en
cuenta estos factores.

18
 Listas CVE (Common Vulnerabilities and Exposures)

Uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio
y control de vulnerabilidades. Para ello existen organizaciones encargadas de tratar
temas relacionados a este aspecto, como es el caso de MITRE, FIRST e ICASI.
Veremos que estándares utilizan y cómo aprovecharlos para entender mejor los
problemas de seguridad.
MITRE es una organización sin ánimo de lucro que gestiona los CVE. Opera en
centros de investigación y desarrollo encargados del estudio de distintos campos
entre los que se encuentra la seguridad de la información. En la práctica, se
encarga de registrar y oficializar todos los datos relativos a vulnerabilidades,
debilidades y ataques conocidos en el mundo de la seguridad. Toda esta
información es de carácter público y puede ser consultada libremente.

¿Qué es el CVE?
CVE (Common Vulnerabilities and Exposures) es una lista de vulnerabilidades de
seguridad de la información públicamente conocidas. Es quizás el estándar más
usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de
identificación único. Se conoce como identificador CVE (CVE-ID) y está formado por
las siglas de este diccionario seguidas por el año en que es registrada la
vulnerabilidad o exposición y un número arbitrario de cuatro dígitos. Estos tres
elementos van separados por un guion resultando un identificador con el siguiente
formato:

Este formato se ha mantenido durante muchos años, pero hoy las cosas han
cambiado. Aunque aún no ha dado esta circunstancia, catalogar 9.999
vulnerabilidades en un año, parece que se han quedado corto. Así que desde el
primero de enero de 2014 este identificador puede contener más de cuatro dígitos
para su asignación a la vulnerabilidad. Lo que esto quiere decir es que si a partir de

19
2014, el rango de 0001 – 9999 no fuese suficiente, se podrán añadir oficialmente
más dígitos según sea necesario sin romper el estándar.
Se agregarán los dígitos a la derecha del número de vulnerabilidad. Los CVE-ID con
cinco o más dígitos solo serán utilizados para representar vulnerabilidades que
superen la barrera del 9999.

Ventajas del CVE:

La utilidad de este catálogo es múltiple:
• Permite tener una base para la evaluación de las vulnerabilidades.
• Es un estándar muy adoptado para referirse a ellas. En la mayoría de las
ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que,
de otra forma, resultarían muy complejas de describir y diferenciar desde un
punto de vista técnico.
• Realiza un proceso de actualización continua de las vulnerabilidades
registradas en la lista.
• La posibilidad de monitorizar cambios o actualizaciones sobre la lista y los
contenidos de las vulnerabilidades.
• Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser
registradas en el diccionario.

¿Cómo registrar una nueva vulnerabilidad en CVE?

Para registrar una vulnerabilidad en esta lista se debe presentar su candidatura y
superar tres etapas. La primera es la de tratamiento, en la que el CVE Content Team
se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas
vulnerabilidades para la lista CVE. La segunda etapa es la de asignación del CVE-
ID, que puede llevarse a cabo de tres maneras distintas:

20
 • Una asignación directa por parte del CVE Content Team después de que éste
realice el estudio de la nueva propuesta de vulnerabilidad.
• Una asignación directa por parte del CVE Editor al ser difundida ampliamente
una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo
0day sin claro autor definido. Si no lo asume el fabricante, es esta
organización la que directamente debe asignar un CVE para identificarlo.
• Una reserva de un identificador CVE-ID, por parte de una organización o
individuo antes de hacer la propuesta. Habitualmente, los grandes
fabricantes reservan en el año un "lote" de CVE que van asignando a sus
boletines de seguridad.
La tercera y última etapa es la de publicación. Puede prolongarse un periodo de
tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla
en el sitio web del diccionario, sino que incluye también los procesos de
modificación. Durante este proceso podría sufrir cambios con respecto al contenido
de la descripción o incluso añadir nuevas referencias que la sustenten.
Se pueden dar casos "especiales", en los que un CVE-ID puede necesitar dividirse
en distintos identificadores por la complejidad de la vulnerabilidad. Aunque también
podría darse el caso inverso, es decir, que varios identificadores se agrupen para
formar un único CVE-ID.
Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con su
respectivo contenido. Por ejemplo, esto puede deberse a distintos factores:
• Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID.
• Que un posterior análisis de la vulnerabilidad demuestre que en realidad no
existe.
• Que el informe relativo a la vulnerabilidad deba ser reformulado en su
totalidad.

21
 RESULTADOS DE ANÁLISIS DE VULNERABILIDADES ENCONTRADAS EN
EL SERVIDOR VÍCTIMA POR MEDIO DE GFI LANGUARD

Se realizó un análisis de vulnerabilidades de la máquina virtual METASPLOITABLE

haciendo uso de la herramienta GFI LanGuard.
A continuación, se muestra el informe generado por la herramienta donde se
presentan algunos diagramas acerca de la distribución de vulnerabilidades según
su grado de riesgo.
Además, se muestra un listado de las vulnerabilidades encontradas, junto a su
grado de riesgo, la calificación CVSS y el código de lista CVE.

22
 Vulnerability Status

Description Shows statistical information related to the vulnerabilities detected on target computers.
Vulnerabilities can be grouped by computer name, vulnerability severity, timestamp and category.

Generated on 03/09/2021 15:26:06

Generated by DSS

Advanced Settings

Report items All

Target METASPLOITABLE

Grouped by 'Computer' - Ascending AND 'Vulnerability Severity' - Descending

Sorted by 'Vulnerability Timestamp' - Ascending

23
Vulnerability Status
Vulnerability Distribution by Severity

Vulnerability Distribution by Computer

Computer/IP High Medium Low Potential
METASPLOITABLE 0 0 10 6
Vulnerability Listing by Computer
METASPLOITABLE

Low

Vulnerability Name Product Severity CVSS Timestamp

Score

Service running: HTTP N/A Low - 2007-01-31

If this is not an web server, the HTTP service is most likely unnecessary.

Service running: FTP N/A Low - 2007-01-31

If this is not a FTP server, the FTP service is most likely unnecessary.FTP is very problematic and insecure service, use HTTP, HTTPS or SFTP
instead.

Service running: Telnet N/A Low - 2007-01-31

If this is not a Telnet server, this service is most likely unnecessary. Telnet is an obsolete and insecure service, use SSH instead.

Service running: SMTP N/A Low - 2007-01-31

If this is not a SMTP mail server, the SMTP service is most likely unnecessary.

Service running: DNS N/A Low - 2007-01-31

If this is not a internet domain name server, the DNS service is most likely unnecessary.

Service running: MySQL N/A Low - 2007-01-31

If this is not a database server, the MySQL service is most likely unnecessary.

Service running: PostgeSQL N/A Low - 2007-01-31

Page: 2 of 3

24
Vulnerability Listing by Computer
Service running: SAMBA SMB N/A Low - 2007-01-31

If this is not a SAMBA file server, the SMB service is most likely unnecessary.

Service running: SSH N/A Low - 2007-02-06

If this computer is not administered via secure shell, the SSH service is most likely unnecessary.

FTP anonymous access allowed N/A Low - N/A

It is recommended to disable anonymous logins

Potential

Vulnerability Name Product Severity CVSS Timestamp

Score

RLOGIN service enabled N/A Potential 7,5 1999-06-07

This service is vulnerable to TCP spoofing attacks. If possible use SSH instead.

REXEC service enabled N/A Potential 10 1999-06-07

This service is vulnerable to TCP spoofing attacks. If possible use SSH instead.

RSH service enabled N/A Potential 7,5 1999-06-07

This service is vulnerable to TCP spoofing attacks. If possible use SSH instead.

PHP module running (web server) PHP Potential - 2002-01-01

PHP is installed on this web server.

Open port commonly used by Trojans: TCP 6697 N/A Potential - N/A

Open port commonly used by Trojans: TCP 8787 N/A Potential - N/A

25
 CONCLUSIONES

Actualmente, las empresas han hecho de la informática una parte esencial de sus
negocios, ya sea para guardar información o como parte de su actividad diaria.
A pesar de la gran cantidad de ventajas que supone la informática para las
empresas, también trae algunos inconvenientes, ya que se expone a múltiples
riesgos como ataques cibernéticos, que tienen como objetivo el robo de información
personal y corporativa, ya sea para sacar algún beneficio, o simplemente para
fastidiar.
Debido a la gran cantidad de riesgos a los que se exponen las empresas, o incluso
una persona en general, es que se hace necesario el uso de herramientas de
análisis de vulnerabilidades como las estudiadas en esta investigación. Cada una
de estas herramientas tienen sus ventajas y desventajas y es necesario hacer un
estudio exhaustivo de cada una de ellas antes de elegir una para realizar un análisis
a gran escala, como lo es en el caso de una empresa.
Los análisis de vulnerabilidades brindados por cada una de las herramientas
cumplen su función de brindar un informe detallado de cada una de las
vulnerabilidades encontradas en un sistema o red. A partir de estos resultados
plasmados en el informe se hace necesario la toma de acciones preventivas o
incluso correctivas para disminuir lo menos que se pueda el riesgo a los que se
expone una entidad, y prevenir posibles pérdidas de información o incluso de dinero.
Para comprender de mejor manera los resultados arrojados en los análisis de
vulnerabilidades realizados, es necesario comprender la función del estándar CVSS
y las listas CVE, ya que a partir de ello se puede interpretar los resultados de los
análisis de una manera más clara, y definir la gravedad de una vulnerabilidad
cualquiera que aparezca en los informes, en base a su puntaje.
Por último, se realizó un análisis de vulnerabilidades haciendo uso de la herramienta
GFI LanGuard; dicho análisis mostró los resultados de escanear la máquina virtual
MetaSploitable.
A través de esta investigación se mostró la gran importancia de los análisis de
vulnerabilidades, especialmente en grandes corporaciones donde se cuenta con
gran cantidad de información confidencial. Por medio de los resultados brindados
en los análisis de vulnerabilidades es posible realizar acciones adecuadas para
corregir ciertas áreas que puedan significar un riesgo o amenaza para una empresa,
lo que previene la pérdida de datos o incluso de dinero.

26
 REFERENCIAS BIBLIOGRÁFICAS

• Villanueva, A. (2021, 1 abril). ¿Qué es el análisis de vulnerabilidades? OSTEC |

Segurança digital de resultados. https://ostec.blog/es/aprendizaje-
descubrimiento/que-es-el-analisis-de-vulnerabilidades/

• Rivas, G. (2021, 1 mayo). Nessus Pro vs. Tenable.sc vs. Tenable.io: ¿Cuál solución
de gestión de vulnerabilidades deberías elegir? GB Advisors. https://www.gb-
advisors.com/es/nessus-pro-tenable-sc-tenable-io-solucion-gestion-
vulnerabilidades/

• Vera, R. A. (2021, 18 agosto). Qué es OpenVAS. OpenWebinars.net.

https://openwebinars.net/blog/que-es-openvas/

• Orozco, M. V. (s. f.). 3.5 Nessus. Slideshare.net. Recuperado 1 de septiembre de

2021, de https://es.slideshare.net/meztli9/35-nessus

• Zaltor. (2021, 17 febrero). GFI LanGuard Auditoría de red y Gestión de

Actualizaciones. Zaltor Mayorista de Soluciones TIC. https://zaltor.com/gfi-languard/

• Eche un vistazo a 15 buenas razones para usar GFI LanGuard. (s. f.). GFI Hispana.
Recuperado 29 de agosto de 2021, de https://www.gfihispana.com/products-and-
solutions/network-security-solutions/gfi-languard/specifications

• What are CVSS Scores. (2020, 17 agosto). Balbix.

https://www.balbix.com/insights/understanding-cvss-scores/

• Vulnerabilidades: ¿qué es CVSS y cómo utilizarlo? (2014, 4 agosto). We live security.

https://www.welivesecurity.com/la-es/2014/08/04/vulnerabilidades-que-es-cvss-
como-utilizarlo/

• 3DJuegos. (s. f.). [Artículo] ¿Qué es CVE? Ocho siglas relacionadas con las
vulnerabilidades - Cyber-security. Recuperado 2 de septiembre de 2021, de
https://www.3djuegos.com/comunidad-foros/tema/48444082/0/articulo-que-es-
cve-ocho-siglas-relacionadas-con-las-vulnerabilidades/

• CVE - CVE. (s. f.). CVE. Recuperado 2 de septiembre de 2021, de

https://cve.mitre.org/

27