Task 3 - Modeling Threats

Marlon Jair Velez Ruiz

Código: 1003481568

Grupo:
136

Tutor
Liliana Espinosa Ramirez

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERA - ECBTI
2024
 INTRODUCCION
La seguridad de la información es un aspecto crítico en el mundo digital actual,
donde las organizaciones enfrentan amenazas y vulnerabilidades cada vez más
sofisticadas. Este trabajo tiene como objetivo explorar y analizar los principios
fundamentales de la seguridad de la información, la clasificación de
vulnerabilidades, las amenazas a la seguridad informática y las propiedades de un
software seguro. A través de un enfoque colaborativo, los estudiantes revisarán
lecturas relevantes y compartirán sus perspectivas en un foro de discusión,
contribuyendo así a una comprensión más profunda de estos temas esenciales.
 OBJETIVO
Fomentar un aprendizaje colaborativo sobre la seguridad de la información,
mediante la revisión de lecturas y el análisis crítico de los conceptos clave. Se
espera que los estudiantes seleccionen una de las preguntas propuestas, formulen
una respuesta fundamentada y la publiquen en el foro, además de interactuar con
sus compañeros para enriquecer el debate. Esta dinámica no solo permite
profundizar en el conocimiento individual, sino que también promueve el trabajo en
equipo y el intercambio de ideas.
 ACTIVIDAD
GRUPAL:
Los sistemas informáticos seguros cumplen estas características:
1. Integridad
2. Confidencialidad
3. Disponibilidad
4. Autenticación
5. Irretutabilidad (No-Rechazo o No Repudio)
1. Confidencialidad
La confidencialidad se refiere a la capacidad de proteger la información sensible
de ser accesible por personas no autorizadas. Esto implica el uso de mecanismos
como la encriptación para asegurar que solo los usuarios o sistemas autorizados
puedan acceder a los datos.
2. Integridad
La integridad garantiza que los datos sean precisos y no hayan sido alterados de
manera no autorizada. Esto incluye mecanismos para detectar y prevenir
modificaciones no autorizadas, así como la verificación de la validez de los datos.
Por ejemplo, los algoritmos de hash se utilizan a menudo para asegurar que los
datos no hayan sido alterados durante la transmisión o almacenamiento.
3. Disponibilidad
La disponibilidad se refiere a la capacidad de un sistema para estar operativo y
accesible cuando se necesita. Esto implica implementar medidas para prevenir
interrupciones en el servicio, como ataques de denegación de servicio (DDoS) o
fallos de hardware.
Secure computer systems meet these characteristics:
1. Integrity
2. Confidentiality
3. Availability
4. Authentication
5. Non-Repudiation
---
1. Confidentiality:
Confidentiality refers to the ability to protect sensitive information from being
accessed by unauthorized persons. This involves the use of mechanisms such as
encryption to ensure that only authorized users or systems can access the data.
2. Integrity:
Integrity ensures that data is accurate and has not been altered in an unauthorized
manner. This includes mechanisms to detect and prevent unauthorized
modifications, as well as verification of the validity of the data. For example,
hashing algorithms are often used to ensure that data has not been altered during
transmission or storage.
3. Availability:
Availability refers to the ability of a system to be operational and accessible when
needed. This involves implementing measures to prevent service interruptions,
such as denial of service (DDoS) attacks or hardware failures.
 https://www.canva.com/design/DAGTCZS7Zag/XAtxhseW7Iygfrl3K4b3ZQ/edit?ut
m_content=DAGTCZS7Zag&utm_campaign=designshare&utm_medium=link2&ut
m_source=sharebutton

INDIVIDUAL:
Diagrama de flujo de datos (DFD).

Tabla 1 – Documentación de las amenazas.

Falsificación de la base de datos SQL del almacén de datos de

Descripción de la origen
amenaza Un atacante puede falsificar la base de datos SQL y esto puede
provocar que se entreguen datos incorrectos al servidor web.

El objetivo de la amenaza es desinformar y ingresar datos

Objetivo
que provoquen datos en la BD.

utilizar un mecanismo de autenticación estándar para

Técnicas de ataque
identificar el almacén de datos de origen.

La amenaza de Cross-Site Scripting (XSS) se refiere a una

Descripción de la vulnerabilidad de seguridad que afecta a aplicaciones web que
amenaza no validan adecuadamente los datos ingresados por el usuario.
En este caso, el servidor web (`Web Server`) es susceptible a un
 ataque XSS debido a la falta de control sobre los datos de
entrada.

o Robo de información sensible

o Suplantación de identidad
Objetivo
o Redirección a sitios maliciosos

Reflected XSS: El atacante inserta un script malicioso en una

URL o formulario, que es reflejado directamente al navegador sin
ser validado.
Stored XSS: El atacante inserta el código malicioso en una parte
persistente de la aplicación (como comentarios o perfiles de
Técnicas de ataque usuario), afectando a todos los que accedan a esa parte.
DOM-based XSS: La vulnerabilidad está en el lado del cliente y
se explota manipulando el Document Object Model (DOM) en el
navegador.

Persistent Cross Site Scripting

La amenaza de Persistent Cross-Site Scripting es un tipo de
vulnerabilidad de seguridad que ocurre cuando el atacante puede
Descripción de la insertar un script malicioso de forma permanente en una
amenaza aplicación web, de manera que el código queda almacenado en
el servidor y se ejecuta cada vez que un usuario accede a esa
sección.

Robo continuo de datos: Permite al atacante acceder a datos

sensibles (cookies, tokens de sesión, datos de usuario) de
cualquier usuario que visite la página infectada.
Suplantación de identidad: A través de las cookies o tokens de
Objetivo sesión capturados, el atacante puede realizar acciones en
nombre de otros usuarios.
Difusión de malware: Los usuarios pueden ser redirigidos
automáticamente a sitios maliciosos o descargados con malware
sin darse cuenta.
 Uso de funcionalidades de usuario: Como la vulnerabilidad afecta
a los datos que persisten en el servidor, afecta a todos los
usuarios que acceden a esa área de la aplicación.
Técnicas de ataque
Encubrimiento en inputs: El atacante puede esconder el script
dentro de un campo que parece inofensivo, como descripciones,
etiquetas o comentarios.
Potential Data Repudiation by Web Server
La amenaza de Data Repudiation se refiere a la posibilidad de
que un usuario o atacante realice ciertas acciones o
transacciones en una aplicación web y, posteriormente, niegue
Descripción de la
haberlas llevado a cabo. Esto es un riesgo particularmente
amenaza
importante en aplicaciones que manejan transacciones o
registros de actividad sin mecanismos de autenticación o de
auditoría adecuados.

• Negación de transacciones
Objetivo • Alteración de datos
• Desconfianza en la integridad de la aplicación
Manipulación de logs o registros: Si no se guardan registros
seguros, el atacante puede manipular o eliminar evidencia de
acciones realizadas.
Técnicas de ataque
Uso de identidades falsas : Al acceder sin mecanismos de
autenticación seguros, un usuario puede realizar acciones bajo
una identidad falsa
Weak Access Control for a Resource
La amenaza de Weak Access Control for a Resource se refiere a
la falta de controles adecuados para restringir el acceso a un
Descripción de la recurso específico dentro de una aplicación o sistema. Esto
amenaza permite que usuarios no autorizados puedan acceder, modificar o
eliminar recursos que deberían estar protegidos,
comprometiendo la seguridad y la integridad de los datos o
funcionalidades.
 • Exposición de información confidencial
Objetivo • Modificación de recursos sensibles
• Acceso no autorizado
Escalada de privilegios: Los atacantes pueden aprovechar las
deficiencias en los controles para obtener permisos adicionales y
acceder a recursos restringidos.
Técnicas de ataque
Acceso directo a URLs : Sin validación adecuada, un atacante
puede manipular URLs para acceder directamente a recursos
restringidos

Tabla 2 – Calculo del riesgo

Probabilidad de Impacto P I Riesgo
Ocurrencia (P) Potencial (I)
Amenaza R E DI D A (R+E+DI) (D+A) PxI
Potential Process 3 3 2 4 3 8 7 12
Crash or Stop for Web
Server
Cross Site Scripting 3 4 2 3 3 9 6 12
Elevation by Changing 4 3 3 4 3 10 7 1
the Execution Flow in
Web Server
Data Flow 3 3 2 3 2 8 5 9
AcessoWeb_In Is
Potentially Interrupted
Spoofing of the Admin 4 4 3 4 3 11 7 16
External Destination
Entity
Tabla 3 – Salvaguardas
Descripción
Cross-Site Scripting
de la amenaza
Para prevenir este tipo de ataques, es importante validar y
Medidas
sanitizar correctamente todos los datos de entrada antes de
mitigación
mostrarlos al usuario.

Descripción Persistent Cross Site Scripting

de la amenaza

Para mitigar esta amenaza, es esencial sanitizar y validar

exhaustivamente todos los datos de entrada antes de
Medidas almacenarlos o mostrarlos en el cliente, además de emplear
mitigación políticas de seguridad como Content Security Policy (CSP).

Descripción
Inyección de comandos SQL
de la amenaza
Validar la entrada, filtrando el contenido del campo usuario,
Medidas
utilizar un procedimiento almacenado que utilice parámetros
mitigación
para acceder a la base de datos.

Descripción Potential Data Repudiation by Web Server

de la amenaza

Para mitigar esta amenaza, es fundamental implementar

sistemas de auditoría robustos, como logs seguros y controles
Medidas de autenticación, y asegurar que los registros de acciones
mitigación sean inalterables y estén asociados de forma única a los
usuarios que los realizan.

Descripción
Inyección de comandos SQL
de la amenaza
Validar la entrada, filtrando el contenido del campo usuario,
Medidas
utilizar un procedimiento almacenado que utilice parámetros
mitigación
para acceder a la base de datos.
Descripción Weak Access Control for a Resource
de la amenaza

Para mitigar esta amenaza, se deben implementar controles

de acceso robustos basados en roles o permisos,
Medidas verificaciones de autenticación en cada solicitud, y prácticas
mitigación de seguridad como la minimización de privilegios y la
verificación continua del usuario en áreas sensibles.

Descripción
Inyección de comandos SQL
de la amenaza
Validar la entrada, filtrando el contenido del campo usuario,
Medidas
utilizar un procedimiento almacenado que utilice parámetros
mitigación
para acceder a la base de datos.
Falsificación de la base de datos SQL del almacén de datos de
Descripción origen
de la amenaza

Medidas utilizar un mecanismo de autenticación estándar para

mitigación identificar el almacén de datos de origen.

Reporte de amenaza se adjunta como PDF en archivo comprimido

file:///C:/Users/marlo/OneDrive/Documentos/SEMESTRE%208/SEGURIDAD/Repo
rte%20de%20Amenazas.htm
 CONCLUSION
La seguridad de la información es un componente esencial para proteger los
activos digitales de cualquier organización. A través de esta actividad, los
estudiantes han podido identificar y discutir principios de seguridad,
vulnerabilidades, amenazas y las características de un software seguro. El trabajo
colaborativo en el foro ha enriquecido el aprendizaje, permitiendo una
comprensión más amplia de cómo abordar los desafíos de la seguridad
informática. Esta experiencia no solo prepara a los estudiantes para enfrentar
problemas reales en el ámbito de la tecnología, sino que también enfatiza la
importancia del análisis crítico y la colaboración en la búsqueda de soluciones
efectivas.
 REFERENCIAS

Chris Bronk. (2016). Amenaza cibernética: el auge de la geopolítica de la

información en la seguridad nacional de Estados Unidos . Praeger.
https://bibliotecavirtual.unad.edu.co/login?url=https://search.ebscohost.com/login.a
spx?direct=true&db=e000xww&AN=1140402&lang=es&site=eds-
live&scope=site&ebv=EB&ppid=pp_41
Muerte, D. (2017). Gestión de riesgos de seguridad de la información . En S.
Editing (Eds), Manual de seguridad de la información (pp 66 – 83). Packt
Publishing.
https://bibliotecavirtual.unad.edu.co/login?url=http://search.ebscohost.com/login.as
px?direct=true&db=nlebk&AN=1655557&lang=es&site=eds-
live&scope=site&ebv=EB&ppid=pp_183

https://www.grupocibernos.com/blog/11-caracteristicas-de-un-sistema-informatico-
seguro