Departamento de Seguridad Informática

Manual de Procedimientos de Pentesing

Alejandro Parra Retana

1
Índice
Contenido Pagina

Introducción 3

I Objetivos 3

II Marco Legal 3

III. Listado de Procedimientos 4

IV. Descripción de Procedimientos 5

Administración de Recursos.

 Mantenimiento y Manejo de Redes 5

o Manejo y Actualización de Bases de Datos 6

Desarrollo de Software
 Proyectos de Desarrollo con Recursos Internos 7
 Proyectos de Desarrollo con Recursos Externos 8

Seguridad Informática
 Copias de Seguridad de los Servicios, Usuarios y Sistemas 9
 Administración de Usuarios de Red 10
 Administración de Servidor de Correo 11
 Administración de Seguridad Perimetral 12

Monitoreo
 Monitoreo de Servicios Web 13
 Monitoreo de Firewall 13
 Monitoreo de Filtrado de Contenidos 14
 Procedimiento de Pentesting 21
 Aplicación del Pentesting 26

Resultados 51

Conclusiones 52

2
Introducción

En base a las normativas y/o políticas de la auditoria de Pentesting, y dependiendo del giro
y/o tipo de empresa, se elaboraron los procedimientos correspondientes, en los que se
describen las diferentes actividades de acuerdo a lo definido en las mismas, además de las
personas o grupos responsables de la implantación, mantenimiento y el seguimiento de su
nivel de cumplimiento.

En los procedimientos se declaran todas las actividades que lo componen y se definen

todos los controles necesarios (y sus indicadores de seguimiento) para cumplir con los
requerimientos específicos, siguiendo de forma detallada y concreta todos los pasos en los
que se estructura.

Su contenido presenta los objetivos del manual, su base legal, la identificación de los
procedimientos, la descripción de los procedimientos y los formularios que se utilizan.

I. Objetivos

Los procedimientos de Pruebas de Penetración establecen de manera detallada las

operaciones que necesitan realizarse para satisfacer la necesidad de un ambiente de
desarrollo, comunicación y prestación de servicios de información más seguro
especificados en el Estándar que se aplica a una actividad determinada, proceso de
seguridad o protección a un recurso informático, de acuerdo a las Normas y/o Políticas de
Pentesting.

II. Marco Legal:

Según los estándares de seguridad informática como lo son la norma ISO 17799, tiene su
operatividad ligada a diversas metodologías de Pentesting como la PTES, OWASP, entre
otras. Cada una de las anteriores legisladas y aprobadas por diversos institutos y empresas
consultoras de seguridad, apoyadas también de leyes propuestas por algunos países
como:

3
  Ley de Protección de Datos Personales en Posesión de los Particulares
 Norma ISO 17799Codigo Penal Federal Mexicano. - Libro Segundo.- Artículo 211
bis 1 a Artículo 211 bis 7.
 III. Lista de Procedimientos
 Administración de Recursos
 Mantenimiento y Manejo de Redes
 Manejo y Actualización de Bases de Datos.
 Desarrollo de Software Proyectos de Desarrollo con Recursos Internos
 Proyectos de Desarrollo con Recursos Externos

Seguridad Informática
Copias de Seguridad de los Servicios, Usuarios y Sistemas
Administración de Usuarios de Red
Administración de Servidor de Correo
Configuración de Certificados de seguridad en las páginas web

Monitoreo
Monitoreo de Red
Monitoreo de Servidor de Correo
Monitoreo de Servicios web
IV. Descripción de Procedimientos Administración de Recursos

Procedimiento de: Mantenimiento y Manejo de Redes

No. Responsable Descripción Tiempo Valor Agregado
1 Administrador de Red Diariamente verifica 30 Min.
y Monitorea el buen a
funcionamiento del 2 Verificación de
servicio de red Horas. Red

4
2 Administrador de Red Diariamente verifica 30 Min. Verificación de
y Monitorea el buen a Redes
funcionamiento de 2
las redes Horas.
implantadas (Red
empresarial y
subredes).
3 Usuario Informa sobre: 5 Min. Solicitud
Problemas de a
operación de la red, 15 Min.
fallos en la conexión,
mala tasa de datos,
lentitud en los
procesos de carga
de los servicios.
4 Jefe de Unidad de Realiza la evaluación 5 Min. Solicitud
Informática técnica del a Marginada
problema. 30 Min.
5 Técnico Unidad de Realiza las 1 Hora. Servicio
Informática/Administrador adecuaciones a realizado
de necesarias para 3 Horas
Red solventar el aprox.
problema.
6 Técnico Unidad de Supervisa el uso y 15 Min. Funcionamiento
Informática/Administrador operación de la red, a de la Red en
de hasta que los 30 Min. prueba.
Red usuarios estén de
acuerdo en su
operación

5
Procedimiento de: Mantenimiento y Actualización de Bases de Datos

No. Responsable Descripción Tiempo Valor Agregado

1 Administrador Diariamente monitorea el 30 Min. Verificación de
de Red buen funcionamiento de los a Servidores
Servidores: Sitio Web y de 4 Horas.
Aplicaciones (Bases de
Datos)
2 Desarrollador Diariamente verifica la 15 Min. Verificación de
de Software Operación y funcionamiento a Aplicaciones
de los sistemas de 30 Min.
Información implementados
3 Usuario/Oficina Es el responsable de 5 Min. Digitación de
ingresar diariamente la a Datos
información (Datos) a los 15 Min.
sistemas de Información
Implantados.
4 Usuario/Oficina Informa de problemas o 5 Min. Solicitud
inconsistencias de operación a
en los sistemas de 30 Min.
información por cualquier
medio (Hoja de Servicio,
Memo, Nota, Teléfono y
Correo Electrónico).
5 Jefe de Evalúa técnicamente el 5 Min. Solicitud
Proyectos problema. a Marginada
30 Min.
6 Desarrollador Realiza las correcciones y/o 4 Horas. Servicio
de Software actualizaciones necesarias a Realizado
para solventar el problema o 8 Horas.
inconsistencias.

6
 7 Desarrollador Da seguimiento al uso y 15 Min. Sistema de
de Software operación del sistema de a Información en
información, con las 30 Min. prueba
correcciones y/o
actualizaciones realizadas,
hasta que los usuarios estén
de acuerdo con el
funcionamiento
8 Desarrollador Proporciona el Informe al 15 Min. Bitácoras
Jefe de la Unidad de a Actualizadas
Informática del uso y 30 Min.
operación del sistema,
debidamente firmado.
Actualiza las bitácoras de
los sistemas de información
correspondientes
9 Jefe de Recibe el informe de las 5 Min. Documentación
Proyectos correcciones o del Servicio
actualizaciones realizadas y
lo entrega a oficina para su
registro en los controles
correspondientes

Desarrollo de Software

Procedimiento de: Proyecto de Desarrollo con Recursos Internos (Sitio Web /

Aplicaciones Web/ Cliente-Servidor

No. Responsable Descripción Tiempo Valor Agregado

1 Usuario/Oficina Solicita el servicio 5 Min.
a Solicitud
15 Min.

7
2 Jefe de Evalúa el requerimiento: 1 Hora. Solicitud
Proyectos Planificación: a Marginada
Determina los 2 Horas.
recursos logísticos
necesarios. Proporciona
la solicitud e instrucciones
correspondientes al
Desarrollador
3 Desarrollador Planifica el desarrollo del 1 Día a Cronograma del
de proyecto, de acuerdo a un 2 Días. Proyecto
Aplicaciones cronograma de trabajo de
las Fases del mismo:
Estrategia y Análisis,
Diseño (Desarrollo,
Construcción)
Implementación y
Producción.
4 Desarrollador Realiza la primera fase del 1 Día a Documento de
de proyecto: Estrategia y 15 Días. Análisis
Aplicaciones Análisis
5 Usuario/Oficina Entrega documentos que 5 Días
solicita el desarrollador de
aplicaciones, para
verificación de
procedimientos
6 Usuario/Oficina Aprueba el Documento de 1 Día Documento de
análisis Análisis
aprobado
7 Desarrollador Realiza la segunda fase 1 Día a Documento de
de aplicaciones del proyecto: Diseño 15 Días. Diseño Aprobado
8 Jefe de Aprueba el documento de 1 Día Documento de
Proyectos Diseño Diseño Aprobado

8
9 Desarrollador Realiza el Desarrollo y 30 Días a Sistema de
de Construcción del Sistema 150 Días Información
Aplicaciones Informático
10 Desarrollador Se inicia el periodo de 1 Día a Sistema de
de pruebas correspondientes 5 Días Información
Aplicaciones al sistema informático, aprobado
previa inducción
11 Desarrollador Realiza la cuarta fase del 1 Día a Sistema de
de Proyecto: Transición e 45 Días Información
Aplicaciones Implementación del Implementado a
Sistema nivel de pruebas
12 Usuario/Oficina Se inicia el periodo de 1 Día a Sistema de
pruebas correspondientes 30 Días Información
al sistema informático, Aprobado
previa inducción
13 Desarrollador Realiza Informe de todo el 1 Día Informe
de trabajo realizado, he inicia Completado
Aplicaciones la última fase del
proyecto; producción.
14 Desarrollador Proporciona el informe al 5 Min Documentación
de jefe de proyectos completada del
Aplicaciones debidamente completada Servicio
y firmada realizado
15 Jefe de Recibe el informe y lo 15 Min. Plan de trabajo
Proyectos registra en los controles Actualizado
correspondientes.

9
Procedimiento de: Proyecto de Desarrollo con Recursos Externos (Sitio Web /
Aplicaciones Web/ Cliente-Servidor

No. Responsable Descripción Tiempo Valor Agregado

1 Usuario/Oficina Solicita el servicio 5 Min.
a Solicitud
15 Min.
2 Jefe de Proyectos Evalúa el requerimiento: 1 Hora. Análisis de la
Planificación: a Solicitud
Determina los 2 Horas.
recursos logísticos
necesarios.
Proporciona la
solicitud e
instrucciones
correspondientes al
Desarrollador
3 Jefe de Proyectos Prepara documentación e 1 Día. Documentación
información del proyecto a para la empresa
a desarrollar, para la 3 Días. contratada
empresa contratada
4 Empresa Planifica el desarrollo del 1 Día. Cronograma del
Contratada proyecto, de acuerdo a a Proyecto
un cronograma de trabajo 5 Días
de las Fases del mismo:
Estrategia y Análisis,
Diseño (Desarrollo,
Construcción)
Implementación y
Producción.
5 Jefe de Proyectos Aprueba el cronograma 1 Día Cronograma
de proyectos aprobado

10
6 Empresa Realiza la primera fase 1 Día Documento de
Contratada del proyecto a Análisis
5 Días
7 Jefe de Proyectos Aprueba el documento de 1 Día. Documento de
análisis análisis
Aprobado
8 Empresa Realiza la Segunda Fase 1 Día Documento de
Contratada del Proyecto a Diseño
5 Días
9 Jefe de Proyectos Aprueba el documento de 2 Días Documento de
diseño Diseño
Aprobado
10 Empresa Realiza el Desarrollo y 30 Días Sistema de
Contratada Construcción del Sistema a Información
90 Días
11 Jefe de Realiza Taller de Casos 1 Día Sistema de
Proyectos/Empresa con el Sistema de a Información
Contratada Información para 5 días Aprobado
someterlo a pruebas
12 Empresa Realiza la cuarta Fase del 1 Día Sistema de
Contratada Proyecto: Transición e a Información
Implementación del 10 días Implementado
Sistema
13 Empresa Completa los Manuales 5 días Manuales de
Contratada Operativos y Técnicos Operación y
correspondientes Técnicos
Completados
14 Jefe de Recepción del Servicio a 1 Día Carta de
proyectos/usuario entera satisfacción recepción
firmada
15 Jefe de Proyectos Recibe los Manuales de 1 Día. Manuales de
Operación y Técnicos Operación y
correspondientes Técnicos.

11
Seguridad Informática

Procedimiento de: Respaldos de información de los sistemas de información

(Aplicaciones web y bases de datos).

No. Responsable Descripción Tiempo Valor Agregado

1 Desarrollador de Realiza los Respaldos de 1 Hora. Copia de
Aplicaciones/ información de cada uno a Seguridad de
Administrador de de los Servidores de la 2 Horas. información
Red siguiente manera:
Semanalmente de forma
incremental en el servidor
y mensualmente elabora
una serie de respaldos
totales
2 Administrador de Verificar si al finalizar las 5 Min. Verificación de
Red/Desarrollador copias de respaldo no Copia Realizada
de Aplicaciones presentan un error o
advertencia. Si existe
algún mensaje, reiniciar el
proceso de respaldo
3 Desarrollador de Escribir en el rotulo del 5 Min. Respaldo
Aplicaciones/ dispositivo de etiquetado
Administrador de almacenamiento la fecha
Red correspondiente del
respaldo realizado
4 Desarrollador de Guarda el dispositivo de 5 Min. Respaldo
Aplicaciones/ almacenamiento en la resguardado
Administrador de cubierta y/o en el lugar de
Red resguardo correspondiente
5 Desarrollador de Actualiza la Bitácora de 5 Min. Bitácora
Aplicaciones/ respaldos correspondiente Realizada
(se debe de tener una

12
 Administrador de bitácora por cada respaldo
Red realizado)

Procedimiento de: Administración de Usuarios de Red

(Creación/Eliminación/Modificación de accesos a la conexión de red de la empresa).

No. Responsable Descripción Tiempo Valor Agregado

1 Gerentes y Jefes de Deben comunicar a la 10 Min Movimientos en
Oficina unidad de informática red y Personal
de cualquier evento
sospechoso en la
red, sea mala
conexión, retraso en
la carga de páginas o
de conexión.
También donde se
presente involucrado
personal como:
Jubilación de
Personal, Ingreso de
Nuevo Personal, etc.
2 Administrador de Red Recibe la Notificación 15 Min. Asignación de
de la red y del Permisos
personal para
otorgar/denegar los
permisos
correspondientes en
la red. Realiza
asignaciones de
accesos y permisos
según la jerarquía
empresarial y de
datos

13
3 Administrador de Red Ingresa al 15 Min. Mapa de red
servidor/Red como a
usuario 45 Min.
administrador. Se
realizan monitorios
constantes de la red
para analizar el
tráfico y los usuarios
conectados a la
misma
4 Administrador de Red Si se detecta 30 Min.
actividad sospechosa
en la red, se
analizaran las
direcciones IP para
verificar que
direcciones
pertenecen a la lista
de las direcciones
previamente
asignadas y si no
corresponden se
procede a
bloquearles y
negarles el acceso a
la red
5 Unidad de En el caso de que la 45 Min.
Informática/Administrador red se caiga, se a
de procederá a reiniciar 1 Hora
Red todos los nodos
activos en la red para
evitar que se pierda
la operación de
desarrollo.

14
 6 Administrador de Red Proporcionar la 15 Min. Funcionamiento
conexión a de la Red en
nuevamente a los 30 Min. prueba.
usuarios
designados
7 Administrador de Red Registrar las 5 Bitácora de
conexiones que se Min conexiones
vayan realizando a la a
red y hacer mapeos 10 Min.
constantes

Procedimiento de: Administración de Correos Electrónicos

(Creación/Eliminación/Modificación de Cuentas de Correo)

No. Responsable Descripción Tiempo Valor Agregado

1 Gerentes/ Deben Comunicar 15 Min Movimientos de
Jefes de cualquier evento y/o Personal (Notificación)
Oficina solicitud donde se
involucre personal:
Clientes
Ingreso de Nuevo
personal
Despido de Personal,
Renuncia de Personal y
Traslados de Personal.
2 Jefe de Recibe notificación de los 15 Min. Recibe Notificación
Proyectos Movimientos de
Personal, para asignar
las cuentas de correo
correspondientes
3 Administrador Ingresa al panel 5 Min. Acceso al Servidor de
de Red administrador del correos
servidor de correo

15
4 Administrador Selecciona la opción de 5 Min. Acción a realizar
de Red creación de cuentas de
correo o bien selecciona
la cuenta de correo que
desea eliminar/modificar
5 Administrador En el caso de Nuevo 15 Min. Creación/Actualización
de Red Usuario: de Cuenta de correo
Escribir los datos del
usuario que se va a crear
de acuerdo a los
estándares establecidos.
Selecciona el servidor de
Dominio y el usuario que
va a utilizar esta cuenta.
Escribir la dirección de
correo electrónico de
acuerdo a los
estándares.

En el caso de
Modificación de Usuario:
Modifica los datos que
sean necesarios.

En el caso de Eliminar
Usuario: Elimina la
cuenta/cuentas
seleccionada/s
6 Administrador Registra los cambios de 5 Min. Actualiza Bitácoras
de Red acuerdo al requerimiento
solicitado

16
Procedimiento de: Administración de Seguridad Perimetral

No. Responsable Descripción Tiempo Valor Agregado

1 Administrador Crea nuevas políticas de 1 Hora Creación de
de red configuración que permitan a Políticas
mejorar la seguridad y el 5 días.
buen funcionamiento del
servicio de internet
2 Administrador Crea Respaldos de las 30 Min. Respaldos
de Red configuraciones y políticas
del servidor de contenido
web y firewall
3 Gerentes/Jefes Deben comunicar a la 15 Min.
de Oficina unidad de Informática de
cualquier traslado e
incorporación, donde se
encuentre involucrado
personal que utilice servicio
de internet
4 Jefe de Recibe la notificación del 15 Min. Recibe
Proyectos movimiento de personal Notificación
para asignar el tipo de
acceso a la red
5 Administrador Recibe la instrucción sobre 15 Min. Asignación de
de Red el tipo de accesos que se Permisos
otorgaran al usuario del
servicio de internet según
las políticas informáticas
6 Administrador Se modifica la política y/o se 1 Hora.
de Red adiciona el usuario a la a
política existente, y se 5 días.
realizan
pruebas
17
 7 Administrador Se notifica al usuario (vía Pruebas de
de Red telefónica y/o por correo) funcionamiento
15 Min.
por parte del
usuario

Monitoreo

Procedimiento de: Monitoreo de Servicios Web

No. Responsable Descripción Tiempo Valor Agregado

1 Administrador Realiza monitoreo de los 1 Hora
de Red servidores diariamente a
2 horas.
2 Administrador Inicia la sesión del 1 Min a Servicio
de Red proceso de monitoreo con 5 Min. Suministrado
apoyo de la consola
3 Administrador Revisa el comportamiento 20 Min a Servicio
de Red de los servicios y sitios 40 Min. Suministrado
web por medio de consola
4 Administrador Determina 1 Hora a Servicio
de Red Procedimientos a seguir 4 Horas. Suministrado
con los servicios que
presenten incidencias al
momento de su
operación, fallo en
consultas a la BD, fallo al
cargar scripts, etc.
5 Administrador Resuelve los problemas 20 Min a Bitácora
de Red encontrados y se 30 Min. actualizada y
actualiza la bitácora y se matriz de errores
llenan las matrices de llenada
errores

18
 6 Jefatura de Presentar informes para 1 Día a Informe
Informática toma de decisiones, en 3 días.
caso de ser necesario

Procedimiento de: Monitoreo de Firewall

No. Responsable Descripción Tiempo Valor Agregado

1 Administrador Realiza el monitoreo del 1 Hora a
de red Firewall semanalmente 2 Horas.
2 Administrador Inicia sesión del proceso 1 Min a Servicio
de Red de monitoreo con el 5 Min. Suministrado
apoyo de la consola
3 Administrador Verifica el 20 Min a Servicio
de Red comportamiento del 40 Min. Suministrado
tráfico en tiempo real de
los usuarios
4 Administrador Supervisa las condiciones 1 Hora a Servicio
de Red técnicas actuales para el 4 Horas. Suministrado
buen funcionamiento de
los servicios
5 Administrador Realiza los reportes 20 Min a Reportes
de Red necesarios 30 Min

6 Administrador Análisis de reportes 30 Min. Bitácora

de Red generados y actualización a Actualizada
de bitácora 1 Hora.
7 Jefe de Recibe el informe del 1 día. Informe
Unidad de monitoreo para toma de
Informática decisiones, en caso de
ser necesario.

19
Procedimiento de: Monitoreo de Filtrado de Contenido

No. Responsable Descripción Tiempo Valor Agregado

1 Administrador Realiza el monitoreo del 1 Hora a
de red servidor semanalmente 2 Horas.
2 Administrador Inicia sesión del proceso 1 Min a Servicio
de Red de monitoreo con el 5 Min. Suministrado
apoyo de la consola
3 Administrador Verifica el funcionamiento 20 Min a Servicio
de Red de las políticas de filtrado 40 Min. Suministrado
de contenido de los
usuarios con acceso a
internet
4 Administrador Supervisa las condiciones 1 Hora a Servicio
de Red técnicas actuales para el 4 Horas. Suministrado
buen funcionamiento de
los servicios
5 Administrador Realiza los reportes 20 Min a Reportes
de Red necesarios 30 Min

6 Administrador Análisis de reportes 30 Min. Bitácora

de Red generados y a Actualizada
actualización de bitácora 1 Hora.
7 Jefe de Recibe el informe del 1 día. Informe
Unidad de monitoreo para toma de
Informática decisiones, en caso de
ser necesario.

20
Procedimiento de Pruebas de Pentesting

Herramientas utilizadas según las fases

Fase de Reconocimiento

HTTRACK: Es una aplicación que permite copias de sitios web en internet, permite la
descarga de los directorios, imágenes u otros archivos desde el servidor web. Httrack
organiza la estructura de enlaces relativa del sitio original la estructura de enlaces relativa
del sitio original. Al abrir una página del sitio web en el navegador se podrá navegar por el
sitio de enlace, como si estuviera en línea.

WHOIS: Es una base de datos que contiene nombres de información de resolución DNS.
El protocolo DNS asocia un nombre de dominio a una o más direcciones IP.

NETCRAFT: Es una compañía de seguridad informática que realiza auditorias y presta

servicios de consultoría. Poseen una herramienta pública que permite analizar rápidamente
servidores y subdominios para identificar que versiones de sistemas están utilizando y así
identificar vulnerabilidades.

Fase de Escaneo:

NMAP: Es un programa de código abierto de rastreo de puertos.

Envía diferentes paquetes TCP y UDP para descubrir que puertos están abiertos o
cerrados, a fin de conocer que servicios se encuentran activos.

WIRESHARK: Es un programa que analiza protocolos en una red a fin de realizar un

análisis profundo, dar solución a problemas u otros.

Fase de Explotación de Vulnerabilidades

METASPLOIT: Es un framework para desarrollo y prueba de exploits que aprovecha

diferentes vulnerabilidades. Utiliza una gran base de datos donde se encuentran payloads
y exploits que se pueden usar dependiendo de las debilidades encontradas.

Inyecciones SQL: Es un método de inscripción de código de lenguaje de consulta

estructurado en un campo de entrada de datos en un formulario web, con el objetivo de
conseguir acceso al sistema, modificar y/o eliminar datos de la base de datos.

21
XSS: Cross-site scripting ataca sitios web que utilizan motores de bases de datos. El código
interpretado es un código que está cargándose dinámicamente, se construye el sitio web
cada vez que hay una solicitud a partir de una base de datos.

El código quedara almacenado de forma permanente en la base de datos de ese sitio y al

momento en que un usuario acceda al contenido, va a mostrarse el contenido que el
atacante elija. Por lo general se suele usar el lenguaje JavaScript.

Fase de Post Explotación

METERPRETER: Es un intérprete de consola de Metasploit que permite establecer

sesiones remotas, garantiza las comunicaciones encriptadas. Se debería evitar la creación
de un nuevo proceso en el sistema, que contenga toda la actividad dentro del alcance de
los payloads en sí. Debería permitir la escritura de scripts, pero sin crear nuevos archivos
en el disco, ya que esto podría activar el software antivirus.

Sistema Web de Gestión Administrativa

El sistema web de gestión de la empresa Virtua MX, se encarga de registrar el control de

asistencia del personal que labora en la empresa. El trabajador inicia sesión con un usuario
y contraseña. Luego registra la hora de ingreso y/o salida, ya que las horas de trabajo son
contabilizadas por el sistema.

El administrador ingresa al panel de control para revisar las asistencias de los trabajadores
así como los registros de las actividades realizadas. Las actividades se muestran en un
listado a partir del cual se encuentran los objetivos alcanzados por cada trabajador al día.
Así mismo registrar a un nuevo trabajador. A continuación se muestra el formulario de inicio
de sesión del administrador y creación de nuevo trabajador.

22
Otras opciones relacionadas a los trabajadores son registro y seguimiento de las horas
extras, adelantos e incentivos

Por otro lado se registran los ingresos y egresos, transacciones, prestamos, pago a
proveedores, entre otros para mantener un control monetario.

23
 Finalmente se registran los datos de los clientes, los servicios que se prestan,
precios de servicios, duración y recursos a utilizar, luego se registra el seguimiento para la
evaluación final de los servicios prestados.

24
 Recolección de Datos

Para la recolección de datos se utilizó un Checklist para la evaluación inicial del sistema
web.

Evaluador: Alejandro Parra Retana

Empresa: Virtua MX

Así mismo se recolectó datos en cada fase del Pentesting:

Fase 1: Reconocimiento

Fase 2: Escaneo

25
Fase 3: Explotación de vulnerabilidades

Aplicación del Pentesting

Identificación y Clasificación de vulnerabilidades

Fase 1: Reconocimiento

Durante la primera etapa se realizó el reconocimiento de la información relacionada al

sistema web de la empresa. Los resultados que se obtuvieron con cada una de las
herramientas destinadas a esta fase fueron:

HTTRACK:

Se utilizó esta herramienta para verificar que el sistema web no permita la descarga de
todos los archivos. Obteniendo como resultado la descarga de la mayor parte de los
archivos. Obteniendo la mayor parte de los archivos del sistema web. La descarga de los
archivos luego de la ejecución del comando httrack –mirror –bN – sN 173.249.47.41 –O
/copia. En el cual se indica “mirror” para realizar una copia exacta del sitio web, la opcion
“bN” permite la descarga de las cookies del sitio, la opción “sN” permite el seguimiento a
etiquetas meta de robots. Finalmente la opción “O” indica que los archivos descargados
serán almacenados en la carpeta que se señala luego.

26
Los resultados de la descarga de archivos se almacenan en la carpeta Copia previamente
definida como se ve en la imagen

La descarga de archivos con Httrack también incluyo las carpetas que estaban indexadas
al domino principal ya que estas no estaban protegidas, teniendo como resultado el inicio
de sesión del sistema interno de Gestión Administrativa como se muestra en la imagen. Por
otro lado se obtuvo una copia idéntica del formulario de marcación de horarios de los
colaboradores de la empresa el cual se ejecutó localmente en Kali Linux.

27
WHOIS

Se utilizó como parte del reconocimiento pasivo mediante el dominio del sitio web. El
reconocimiento pasivo hace una recolección de toda la información disponible de manera
pública relacionada al dominio. Luego de la ejecución del comando whois devartscs.tk se
obtienen datos del lugar de procedencia del dominio, servidor y persona que registro el
dominio así como el lugar donde se encuentra el servidor, tal y como se muestra en la
imagen a continuación:

28
NETCRAFT

Se utilizó para realizar el reconocimiento pasivo. Obteniendo como resultados datos de la

red, direcciones IP del servidor web, y principalmente que el sitio no cuenta con certificado
SSL/TLS calificándolo como inseguro.

29
Fase 2: Escaneo

NMAP

Se realizó un primer escaneo con la herramienta NMAP para conocer los puertos en
funcionamiento y servicios que se encuentran disponibles. Nmap utiliza el protocolo TCP
para realizar el descubrimiento también conocido como Discovery.

TCP está orientado a la conexión y garantiza la conectividad de un punto a otro, por medio
del saludo de tres vías SYN (saludo), SYN (saludo de retorno)+ACK (confirmación de
recepcion), ACK (confirmación) y finaliza la comunicación con FIN ACK en el origen y FIN
ACK en el destino. Basado en ello se obtuvo el listado de puertos y servicios en respuesta
luego del barrido de puertos de acuerdo con la siguiente imagen.

NMAP Scripting

El motor de Scripts de NMAP permite utilizar los diferentes parámetros o recursos

disponibles propios de la herramienta, automatizar tareas u otros. El script banner de NMAP
obtiene la cabecera de la información que se envía a través de los primeros paquetes que
inician una comunicación TCP después que se completa el saludo de 3 vías envía
información sobre el puerto. Los script recorren todos los que puertos que estén disponibles
y recoge todos los banners para brindar mayor información sobre los servicios que están
ejecutándose. Luego de ejecutar el comando nmap –script banner <ip> se muestran las
versiones y otros detalles de los diferentes servicios como muestra la siguiente imagen:

30
Otro script de Nmap es vuln, el cual permite realizar un primer análisis de vulnerabilidades
de la máquina, luego de la ejecución nmap –script vuln <ip> se muestran los puertos
filtrados

31
Se obtuvo el hallazgo de 1 vulnerabilidad en el puerto 80 de la cual podría ser aprovechada
por Slowloris DDOS attack

El puerto 443 utilizado por HTTPS también encontró una vulnerabilidad susceptible a
Ataque Slowloris DOS.

Por otro lado se encontró la vulnerabilidad susceptible a la explotación del cifrado

criptográfico Diffie-Hellman Key Exchange en el puerto 110 que utiliza el protocolo pop3.
32
 Diffie-Hellman permite negociar una conexión segura en muchos
protocolos como HTTPS, SSH, IPSEC, SMTP y otros. El ataque LOGJAM se aprovecha de
la longitud de llave pública, siendo actualmente una llave de 2048 bits. La longitud actual
de la llave es de 1024 bits como se muestra en la imagen a continuación:

El puerto 143 utilizado por IMAP presenta una vulnerabilidad que podría ser aprovechada
por el ataque LOGJAM que permite a un atacante intermediario o man in the middle que
degrada las conexiones TLS vulnerables a criptografía de grado de exportación de 512 bits.

El puerto 993 IMAPS 995 POP3S tal como se ve en la imagen muestra la misma
vulnerabilidad.

33
El puerto 465 utilizado por SMTPS y 587 SMTP presentan la vulnerabilidad CVE2010-4344
con una variante del 2018. Consiste en el desbordamiento de búfer que permite a atacantes
remotos ejecutar código arbitrario a través de una sesión SMTP que incluye dos comandos
MAIL junto con un mensaje grande que contiene encabezados elaborados.

34
El puerto 3306 utilizado por MYSQL tiene la vulnerabilidad CVE2012-2122 puede afectar a
todas las versiones 5.1.61, 5.2.11, 5.3.5, 5.5.22 y anteriores de los motores de base datos
MySQL y MariaBD, que permite a un atacante evadir la autenticación de la base de datos.

Respecto al puerto 3389 utilizado por RDP Remote Desktop Protocol, la vulnerabilidad
CVE-2012-020 no procesa correctamente los paquetes en la memoria, lo que permite a
atacantes remotos ejecutar código arbitrario mediante el envío de paquetes RDP
modificados.

FASE 3. Explotación de vulnerabilidades

Se realizó un análisis a la entrada de datos de los formularios de inicio de sesión del sistema
interno y al formulario de marcación de asistencia.

INYECCIONES SQL
Mediante el uso de código SQL se realizaron pruebas para lograr acceso mediante el
formulario de inicio de sesión del sistema web interno. El uso de nombres de usuario y
contraseña muy comunes es bastante utilizado por usuarios. Se verificó que el nombre de
usuario admin existe dentro de la base de datos, se logró realizar mediante una consulta al
listado de nombres de usuarios más utilizados.

35
Mediante la verificación de una sentencia verdadera 0 = 0 logramos validar que no
requerimos el nombre de usuario para conocer la contraseña.

Para obtener más datos se ingresando otras consultas SQL dando como resultados la
obtención de la cantidad de campos de la tabla que almacena a los usuarios, para ello se

36
 ingresa %’ or ‘0’ = ‘0’ unión select null, null, null, versión(). El uso del
símbolo % permite ingresar.

Se determina que existen siete campos en la tabla que almacena a los usuarios. Ya que el
mensaje de salida indica que la contraseña es incorrecta por tanto el valor introducido en
el campo nombre de usuario resulta verdadero.

37
 Si ingresamos nuevamente el código SQL la devolución es un listado
de los datos del usuario admin. Se muestra la devolución de datos desde la base de datos
como resultado de la consulta de usuario.

Finalmente para verificar los datos completos que se han devuelto, inspeccionamos el
código dentro de navegador como muestra la imagen. Se evidencia que la contraseña
almacenada en la base de datos no se encuentra encriptada.

38
Resumen de vulnerabilidades encontradas:
Luego de la ejecución de cada una de las fases se analizó la información obtenida dando
como resultados el listado de vulnerabilidades que se muestran en la tabla a continuación:

39
40
MATRIZ DE RIESGOS INICIAL

Se asocia cada vulnerabilidad a una o más amenazas que podrían aprovecharse de la

misma, también se relaciona al principio de seguridad de la información que afecta
principalmente tal como se muestra en la tabla. La probabilidad de ocurrencia y el nivel de
impacto se definen mediante una escala de 5.

41
42
43
44
45
MATRIZ DE RIESGO RESIDUAL

46
47
48
49
50
 Finalmente, la Matriz de Riesgo Residual se construye a través de la
evaluación del impacto y la probabilidad de ocurrencia de la materialización de los riesgos
luego de aplicados los controles.

RESULTADOS
La clasificación de vulnerabilidades según la gravedad muestra que se identificaron 4
vulnerabilidades de tipo Crítica que representa el 40%, 1 vulnerabilidad tipo importante
10%, 3 vulnerabilidades de tipo moderado que ocupa un 30% y 2 vulnerabilidades de nivel
bajo con un porcentaje del 20%.

51
 Finalmente el resultado de la evaluación de riesgos en posibles
escenarios luego de aplicado el control de seguridad es una reducción del 39.72% en el
impacto general y una reducción mínima de 16.67% y máxima de 55.56% del impacto del
aprovechamiento de una vulnerabilidad.

Conclusiones

Con el presente manual de Procedimientos se busca que su aplicación en las empresas

interesadas facilite y garantice la seguridad tanto en sus operaciones como en sus servicios
y busca también la implementación de nuevas técnicas y practicas agiles para resolver los
problemas que se presenten dentro de las labores de la empresa así como también facilitar
la resolución de dichos problemas de una manera entendible y sencilla para los usuarios.
Garantizando su total operatividad este manual es aplicable a todo tipo de empresa sea de
software, sea del sector económico entre otros.
La integración de este manual en las políticas y/o normas de las empresas generara una
agilidad y total operación al momento de realizar sus tareas también garantiza un entorno
de seguridad y control en los procesos que se realicen.

52