Universidad de Guayaquil

Facultad de Ciencias Matemáticas y Físicas

Carrera de Ingeniería en Sistemas Computacionales

SEGURIDAD INFORMATICA
CAPITULO 2 – Evaluación de los
sistemas de validación y
contraseñas

Ing. Jimmy Sornoza M., Msc

 Objetivos:

Determina las Políticas de Seguridad basado en

normas internacionales

Implementa seguridad local a sistemas

operativos clientes.
Manejar las Herramientas de mayor demanda
del mercado para búsquedas de vulnerabilidades
en los sistemas.
Implementar hardening en los sistemas
operativos.

Describir los principales ataques a sistemas

¿Qué es norma ISO 27001?

ISO 27001 es una norma internacional

emitida por la Organización
Internacional de Normalización (ISO)
y describe cómo gestionar la seguridad
de la información en una empresa
ISO 27001 puede ser implementada en
cualquier tipo de organización, con o sin fines
de lucro, privada o pública, pequeña o grande.

Está redactada por los mejores especialistas

del mundo en el tema y proporciona una
metodología para implementar la gestión de
la seguridad de la información en una
organización.
También permite que una empresa
sea certificada; esto significa que una
entidad de certificación
independiente confirma que la
seguridad de la información ha sido
implementada en esa organización en
cumplimiento con la norma ISO
27001.
¿Cómo funciona la ISO 27001?

El eje central Es proteger la confidencialidad,

integridad y disponibilidad de la información
en una empresa.

Esto lo hace investigando cuáles son los

potenciales problemas que podrían afectar la
información (es decir, la evaluación de riesgos)
y luego definiendo lo que es necesario hacer
para evitar que estos problemas se produzcan
(es decir, mitigación o tratamiento del riesgo).
La filosofía principal de la norma ISO 27001 se
basa en la gestión de riesgos: investigar dónde
están los riesgos y luego tratarlos
sistemáticamente.
Las medidas de seguridad (o controles) que
se van a implementar se presentan, por lo
general, bajo la forma de políticas,
procedimientos e implementación técnica
(por ejemplo, software y equipos).

Sin embargo, en la mayoría de los casos, las

empresas ya tienen todo el hardware y
software pero utilizan de una forma no
segura.
La mayor parte de la implementación de ISO
27001 estará relacionada con determinar las
reglas organizacionales (por ejemplo, redacción
de documentos) necesarias para prevenir
violaciones de la seguridad.
Como este tipo de implementación
demandará la gestión de múltiples políticas,
procedimientos, personas, bienes, etc..

ISO 27001 ha detallado cómo mezclar todos

estos elementos dentro del sistema de gestión
de seguridad de la información (SGSI).
Por eso, la gestión de la seguridad de la
información no se acota solamente a la
seguridad de TI (por ejemplo, cortafuegos,
anti-virus, etc.), sino que también tiene que
ver con la gestión de procesos, de los
recursos humanos, con la protección
jurídica, la protección física, etc.
A menudo nos podemos encontrar con el
mismo problema: Una persona cree que la
norma describirá en detalle todo lo que
necesita hacer, por ejemplo, con qué
frecuencia necesitarán realizar una copia de
seguridad, a qué distancia se encuentra su
sitio de recuperación de desastres debe ser, o
peor aún, qué tipo de tecnología deben usar
para la protección de la red o cómo deben
configurar el enrutador.

ISO 27001 no prescribe estas cosas; Funciona

de una manera completamente diferente
 ¿Por qué la norma ISO 27001 no es
prescriptiva?

Imaginemos que el estándar prescribe que

necesita realizar una copia de seguridad cada
24 horas.

¿Es esta la medida adecuada para usted?

Puede ser, pero muchas empresas hoy en día

encontrarán esto insuficiente: La tasa de
cambio de sus datos es tan rápida que necesitan
hacer una copia de seguridad si no es en tiempo
real, al menos cada hora.
Por otro lado, todavía hay
algunas compañías que
encuentran la copia de seguridad
una vez al día con demasiada
frecuencia; su tasa de cambio es
aún muy lenta, por lo que realizar
una copia de seguridad con tanta
frecuencia sería excesivo.

Si esta norma es para adaptarse

a cualquier tipo de empresa,
entonces este enfoque
prescriptivo no es posible.
Por lo tanto, es simplemente imposible no
solo definir la frecuencia de la copia de
seguridad, sino también qué tecnología
utilizar, cómo configurar cada dispositivo, etc.

Esta percepción de que la norma ISO 27001

prescribirá todo es el mayor generador de
mitos sobre la norma ISO 27001
5 grandes mitos sobre la norma ISO 27001

“La norma requiere que las contraseñas se

cambien cada 3 meses”. “La norma requiere que
haya múltiples proveedores”. “La norma requiere
que el sitio de recuperación de desastres esté al
menos a 50 km de distancia del sitio principal”.

La norma no dice nada de eso

"Dejaremos que el
departamento de TI lo
maneje"

“Lo implementaremos en
unos meses”

“Este estándar tiene que ver

con la documentación”

"El único beneficio de la

norma es para fines de
marketing"
La gente suele confundir la mejor práctica
con los requisitos de la norma, pero el
problema es que no todas las reglas de
seguridad son aplicables a todos los tipos
de organizaciones
IT solo no es suficiente

Si trabaja en el departamento de TI,

probablemente esté al tanto de que la mayoría
de los incidentes se producen no porque las
computadoras se averiaron, sino porque los
usuarios de la parte comercial de la
organización están utilizando los sistemas de
información de manera incorrecta.
Esas faltas no se pueden prevenir solo con
salvaguardas técnicas; lo que también se
necesita son políticas y procedimientos
claros, capacitación y concientización,
protección legal, medidas disciplinarias,
etc
 Conseguir la alta dirección a bordo
Puede proponer una nueva política para la
protección de documentos confidenciales,
pero si su alta dirección no hace cumplir
dicha política con todos los empleados (y
si ellos mismos no cumplen con ella),
dicha política nunca ganará un punto de
apoyo. tu compañía.
 ISO 27001 le proporciona una lista de verificación
sistemática de lo que debe hacer la alta dirección:

Establecer sus Designar las

Publicar una política
expectativas de principales
sobre cómo controlar
negocio (objetivos) responsabilidades
si se cumplen esas
para la seguridad de para la seguridad de
expectativas
la información la información.

Revisar regularmente
Proporcionar
si todas las
suficiente dinero y
expectativas fueron
recursos humanos.
realmente cumplidas
No permitiendo que su sistema se deteriore

Si trabaja en una empresa durante un par de años

o más, entonces probablemente sepa cómo
funcionan las nuevas iniciativas / proyectos.

Al principio, se ven bien y brillantes y todos (o al

menos la mayoría de la gente) están tratando de
hacer su trabajo., mejor hacer que todo funcione.

Sin embargo, con el tiempo, el interés y el celo se

deterioran, y con ellos, todo lo relacionado con
este proyecto también se deteriora.
Por ejemplo, es posible que haya tenido una
política de clasificación que funcionó bien
inicialmente, pero con el tiempo la tecnología
cambió, la organización cambió y la gente
cambió, y si a nadie le importa actualizar la
política, se volverá obsoleta.

Y, como usted bien sabe, nadie querrá cumplir

con un documento obsoleto, lo que significa
que su seguridad empeorará.
Para evitar esto, ISO 27001 ha descrito un
par de métodos que evitan que se produzca
tal deterioro; Más aún, esos métodos se
utilizan para mejorar la seguridad a lo
largo del tiempo, lo que lo hace aún mejor
de lo que era en el momento en que el
proyecto estaba en su nivel más alto. Estos
métodos incluyen monitoreo y medición,
auditorías internas, acciones correctivas,
etc.
Por lo tanto, no debe ser negativo con
respecto a la norma ISO 27001: puede
parecer vago en la primera lectura, pero
puede resultar un marco
extremadamente útil para resolver
muchos problemas de seguridad en su
empresa
 La Política de Seguridad de la Información
Debe establecer las directrices
fundamentales que
regirán todas las acciones
relacionadas con la Seguridad
de la Información dentro de la
empresa.
Desde la definición de los
Procesos del Sistema de
Gestión de la Seguridad de
la Información, como en la
determinación de los Objetivos
de Seguridad que se
establezcan.
La norma ISO 27001 establece
explícitamente como requisito, la
necesidad de definir una Política de
Seguridad de la Información
adecuada a las necesidades de la
organización.

Esto hace que en muchas ocasiones, se

defina una Política de
Seguridad únicamente para
cumplir dicho requisito. Lo cual es un
error, ya que puede ser utilizado como una
herramienta de Liderazgo de la Dirección y
de Concienciación para los empleados.
La Política de Seguridad de la Información no
tiene por que ser un documento en papel, ya que
pese a formar parte de la Información
Documentada del Sistema de Gestión de la Seguridad
de la Información, se pueden utilizar otros
soportes que faciliten su posterior difusión y
distribución.

Una presentación grabada en video o una página del

sitio web de la empresa, son soportes válidos.
 Requisitos de la Política de Seguridad

Deberá cumplir unos requisitos básicos para ser

conforme a la norma ISO 27001.

Éstos fijan unos contenidos mínimos que la

Política debe incluir, y que siempre tienen que
aparecer.

Los requisitos mínimos que debe cumplir nuestra

Política de Seguridad de la Información, son:
Ser apropiada a la organización:

• La Política de Seguridad de la Información

debe de ser coherente con los Activos de
Información de la empresa, así como con
los Riesgos y Amenazas de su entorno.
Definir una Política de Seguridad muy
genérica o sin contenido, hace que sea un
documento inservible para la organización,
y esta misma idea se asocie a todo el
Sistema de Gestión.
Servir de referencia a los
Objetivos:
• Los Objetivos del Sistema de Gestión,
deben estar alineados con la Política
de Seguridad de la Información. De
tal forma, que si se indica la prioridad
de garantizar la seguridad de los
datos de los clientes, un objetivo
coherente será reducir el número de
incidencias de éste tipo.
Cumplir los compromisos
aplicables:
• En la Política de Seguridad de la
Información se deberá indicar el
compromiso de la Dirección en
cumplir los requisitos que le apliquen
en esta materia. Tanto los requisitos
legales que nos afecten o los
compromisos adquiridos con sus
clientes u otras partes interesadas.
Garantizar la mejora continua:

• Todo Sistema de Gestión de

Seguridad de la Información está
obligado a aplicar el ciclo de
mejora continua en todos sus
procesos. La Dirección tiene que
comprometerse a aplicar acciones
de mejora continua en la Política de
Seguridad de la Información.
 La Política de Seguridad de la
Información es un documento
vivo, por lo que se debe revisar de
manera periódica para que sea
adecuada a las necesidades de la
organización en cada momento.

Los cambios internos o del entorno, la

aparición de nuevas amenazas, el desarrollo de
nuevas líneas de negocio en otros mercados, o
trabajar para nuevos clientes... pueden ser
motivos para requerir una
actualización.
Comunicación de la Política de Seguridad

Otro requisito de la norma ISO

27001, es el deber
de comunicar correctamente la
Política de Seguridad de la
Información dentro de organización,
y de ponerla a disposición del
resto de las Partes Interesadas
cuando se considere necesario. Para
realizar esta comunicación, podemos
utilizar los siguientes canales:
Sitio web corporativo:

• Utilizar la intranet de la empresa

para realizar la comunicación
interna, y publicarla en el sitio
web de la organización para su
puesta a disposición de las Partes
Interesadas, suele ser la solución
más sencilla y eficiente.
Tablón de anuncios:

• Si no disponemos de intranet, es la
solución más clásica para la consulta de
los empleados. Lo malo es que la falta
de espacio en el tablón de anuncios,
puede hacer que esta quede tapada o
sea eliminada por error. O que si se
publica en varios tablones, quede
alguna versión obsoleta publicada
Formaciones internas:

• Las nuevas incorporaciones de la

empresa, suelen recibir una formación
básica sobre la Seguridad de la
Información, y es donde se explica la
Política de Seguridad. Para el resto de
empleados: las formaciones de
reciclaje, charlas de concienciación o
reuniones departamentales, son
buenas ocasiones para recordar su
contenido e importancia.
Comunicados de la Dirección:

• Los canales habituales utilizados

por la Dirección para la comunicación
con los empleados (circulares, cartas,
comunicados...), son perfectos para la
notificación de una versión de la
Política de Seguridad de la
Información. Además reforzará
el Liderazgo de la Dirección en la
Gestión de la Seguridad.
Newsletters, revistas, catálogo
de productos:
• Cuando la comunicación va dirigida
a clientes, proveedores,
colaboradores, accionistas... se
pueden utilizar estos otros canales
para difundir la Política de
Seguridad de la Información entre
estas otras Partes Interesadas.
 La Política de Seguridad de la
Información debe ser conocida por
todos los empleados de la empresa. Y no sólo
deben saber cómo localizarla, sino que
deben entenderla y ser capaces
de explicar cómo influye en su trabajo.

Por eso es fundamental que la Política utilice

un vocabulario adecuado a cualquier nivel
cultural, y que esté traducida a los
idiomas que se considere necesario para
cumplir su misión.
 Seguridad en S.O Confiables
El diseño es delicado y no es fácil agregar
seguridad a S.O. que no incluyeron seguridad en
su diseño original.

Características:
• El acceso se basa en • Las decisiones de control
la identidad de los de acceso son
individuos, los S.O. independientes del dueño
confiables requieren de un objeto. Existe
identificación segura de una autoridad central que
individuos. decide qué información es
accesible por quién, y
el individuo no puede
cambiar permisos.

Identificación y
Control de acceso
autentificación de
mandatorio. (MAC)
usuarios.
• Opuesto a MAC. El usuario fija los
permisos sobre sus objetos. Más
usado en ambientes comerciales. Se
puede usar MAC y DAC sobre un
mismo objeto con MAC mayor
precedencia que DAC. Ejemplo:
Protección de Reutilización de Objeto
Un atacante puede
utilizar memoria, registros de procesa
dor, disco, etc. que fueron
previamente usados y liberados por
otro usuario con el fin de “conseguir”
información

Control de acceso discreto

(DAC).
• Para que MAC y DAC • Todas las acciones que
sean efectivos, todos los tengan que ver con la
accesos deben ser seguridad deben ser
controlados. Es registradas y
insuficiente, almacenadas en lugares
proteger archivos si el “seguros”
atacante tiene “luz verde”
en memoria.

Mediación
Auditoría.
completa.
• La idea aquí es reducir
el volumen sin perder
información importante. Se
suele trabajar con este log
reducido y en caso de
necesidad se puede recurrir al
log completo. En general se
utilizan herramientas especial
izadas para esta tarea.

Reducción de logs.
• Es altamente deseable que • El sw de detección de
nadie intercepte un camino intrusos crea patrones
de comunicación donde de comportamiento normal
viaje información es sobre el uso
confidencial. Por ej.: logueo del sistema y dispara
de teclado cuando alguien alarmas frente al
escribe su password, comportamiento anormal.
spoofing en red, etc

Detección de
Caminos confiables. intrusos.
• El sw de detección de
intrusos crea patrones
de comportamiento nor
males sobre el uso
del sistema y dispara
alarmas frente al
comportamiento
anormal.

Detección de
intrusos.
Se consideran 3 propiedades para la
implementaciones de seguridad en el diseño
de sistemas operativos:

Diseño del Kernel (menor privilegio - economía de

mecanismo)

Aislamiento (extensión de menor privilegio)

Estructura de Anillo (diseño abierto - mediación
completa).
Kernel

Software que constituye una parte fundamental

del sistema operativo.

Principal responsable de facilitar a los distintos

programas acceso seguro al hardware de
la computadora.

Encargado de gestionar recursos, a través de servicios

de llamada al sistema.

También se encarga de decidir qué programa podrá

hacer uso de un dispositivo de hardware y durante
cuánto tiempo, lo que se conoce como multiplexado.
Acceder al hardware directamente puede ser
realmente complejo, por lo que los kérneles suelen
implementar una serie de abstracciones del
hardware.
Esto permite esconder la complejidad, y
proporciona una interfaz limpia y uniforme al
hardware subyacente, lo que facilita su uso
al programador.

El kérnel (o kernel) se puede

definir como el corazón del sistema
operativo. Es el encargado de que
el software y el hardware de
la computadora puedan trabajar
juntos.
Funciones del kérnel

Administración de la memoria para todos

los programas y procesos en ejecución.

Administración del tiempo de procesador

que los programas y procesos en ejecución
utilizan.

La comunicación entre los programas que

solicitan recursos y el hardware.

Gestión de los distintos programas

informáticos (tareas) de una máquina.

Gestión del hardware (memoria, procesador,

periférico, forma de almacenamiento, etc.).
HARDENING

es el proceso de asegurar un sistema mediante la

reducción de vulnerabilidades en el mismo.

Se logra eliminando software, servicios, usuarios, etc;

innecesarios en el sistema; así como cerrando puertos
que tampoco estén en uso además de muchas otros
métodos y técnicas

Un conjunto de actividades que son

llevadas a cabo por el
administrador de un sistema
operativo para reforzar al máximo
posible la seguridad de su equipo
Entre las actividades propias de un proceso de hardening se
pueden contar las siguientes:

Configuraciones necesarias para protegerse de posibles

ataques físicos o de hardware de la máquina.

Entre otras actividades, destacan el upgrade de

firmware, el establecimiento de contraseñas
complejas para el arranque del equipo y la
configuración de la BIOS, la deshabilitación de
inicio de sistema para cualquier unidad que no sea
el disco duro principal, y en casos de servidores, la
deshabilitación de dispositivos ópticos, usb o
similares, para evitar cualquier entrada de malware
desde un medio de almacenamiento externo.
Instalación segura del sistema operativo.

Esto implica, entre otras cosas, el considerar al

menos dos particiones primarias (1 para el
sistema operativo en sí y otra para carpetas y
archivos de importancia), el uso de un sistema
de archivos que tenga prestaciones de
seguridad, y el concepto de instalación
mínima, es decir, evitando la instalación de
cualquier componente de sistema que no sea
necesario para el funcionamiento del sistema.
Activación y/o configuración adecuada de servicios
de actualizaciones automáticas,

para asegurar que el equipo tendrá todos los

parches de seguridad que entrega el proveedor
al día. En caso de que se encuentre dentro de
una corporación, es adecuado instalar un
servidor de actualizaciones, que deberá probar
en un entorno de laboratorio el impacto de la
instalación de actualizaciones antes de
instalarlas en producción.
Instalación,
Configuración
configuración y
de opciones de Restricciones
mantención de
seguridad de software
programas de
generales
seguridad
como aquellas
relacionadas
basado en lo
tales como con rutas de
posible en el
Antivirus, acceso
uso de listas
Antispyware, y compartido,
blancas de
un filtro apagado de
software
Antispam sistema, inicio
permitido más
según las y cierre de
que en listas
necesidades sesión y
negras del
del sistema. opciones de
mismo.
seguridad de
red.
Configuración de la política local del sistema

Considerando varios puntos relevantes: Política

de contraseñas robusta, con claves caducables,
almacenamiento histórico de contraseñas (para no
usar contraseñas cíclicas), bloqueos de cuentas por
intentos erróneos y requisitos de complejidad de
contraseñas. Renombramiento y posterior
deshabilitación de cuentas estándar del
sistema, como administrador e
invitado. Asignación correcta de derechos de
usuario, de tal manera de reducir las
posibilidades de elevación de privilegios, y
tratando siempre de limitar al mínimo los
privilegios y/o derechos de los usuarios activos.
Activación de auditorías
de sistema
Claves para tener un
registro de algunos intentos
de ataque característicos
como la adivinación de
contraseñas.
Configuración de servicios de sistema.

En este punto es necesario tratar siempre

de deshabilitar todos aquellos servicios que
no vayan a prestar una funcionalidad
necesaria para el funcionamiento del
sistema. Por ejemplo, si su equipo no posee
tarjetas de red inalámbrica, el servicio de
redes inalámbricas debería estar
deshabilitado.
Configuración de los protocolos de Red.

En la medida de lo posible, es recomendable

usar sistemas de traducción de direcciones
(NAT) para direccionar los equipos internos
de una organización. Deshabilitar todos
aquellos protocolos de red innecesarios en el
sistema y limitar el uso de los mismos al
mínimo. TCP/IP es un protocolo que no nació
pensando en seguridad, por lo que limitar su
uso al estrictamente necesario es imperativo.
Configuración adecuada de permisos de
seguridad en archivos y carpetas del
sistema.

En la medida de lo posible, denegar

explícitamente cualquier permiso de
archivo a las cuentas de acceso anónimos
o que no tengan contraseña. Un correcto
set de permisos a nivel de carpetas y
archivos es clave para evitar acceso no
deseado al contenido de los mismos.
Configuración de opciones
Configuración adecuada de
de seguridad de los
cuentas de usuario
distintos programas

Tratando de trabajar la
mayor parte del tiempo
con cuentas de acceso
limitado y deshabilitando
como clientes de correo
las cuentas de
electrónico, navegadores
administrador. Es
de internet y en general
absolutamente
de cualquier tipo de
recomendable usar la
programa que tenga
impersonificación de
interacción con la red.
usuarios para realizar
labores administrativas
en vez de iniciar sesión
como administradores.
Configuración de acceso remoto.

En caso de no ser estrictamente necesario, es

bueno deshabilitar el acceso remoto. Sin
embargo, cuando es necesario tener control
remoto de la máquina, es preciso configurarlo
de manera adecuada, restringiendo el acceso a
un número muy limitado de usuario,
restringiendo al mínimo las conexiones
concurrentes, tomando cuidado en la
desconexión y cierre de sesión y estableciendo
un canal cifrado de comunicaciones para tales
propósitos, como SSH.
 Realizar y programar
Cifrado de archivos o
un sistema de
unidades según las
respaldos frecuente a
necesidades del
los archivos y al estado
sistema
de sistema.

considerando un
almacenamiento En la medida de lo
externo para las posible, administrar
llaves de descifrado. los respaldos vía red
Considerar además o llevar los respaldos
la opción de trabajar a unidades físicas
con sistemas de que estén alejadas
cifrado de mensajería del equipo que las
instantánea y correo origina.
electrónico.
El espectro de actividades que deben ser
llevadas a cabo dentro de este proceso es bien
amplio y tiene actividades de todo tipo.

Sin embargo, la consigna para todas estas

actividades es siempre la misma: Dejar el
sistema operativo lo más restringido
posible.
 ¿Hasta qué punto el hardening es una ayuda y
no una molestia?

A medida que se busca una seguridad mayor en

los sistemas, la versatilidad y facilidad de uso
del mismo se ven limitados, puesto que la
cantidad de decisiones que puede tomar el
usuario se reduce y la cantidad de posibilidades
ajenas al propósito inicial del sistema en sí
disminuye drásticamente.
El aumentar la versatilidad y la
facilidad de uso de los sistemas
pareciera estar muy relacionado
con el aumento en las decisiones y
posibilidades del usuario, lo que
por consiguiente aumenta la
probabilidad del mismo de
equivocarse y poner en peligro la
seguridad de todo el sistema

El Hardening es una ayuda

hasta el momento exacto en
que entorpece el objetivo
inicial que tiene el sistema
El Hardening es una ayuda indispensable por
parte de los administradores de sistemas.

Entre sus ventajas, se puede contar:

• La disminución por incidentes de seguridad

• Mejoras en el rendimiento al disminuir niveles de
carga inútil en el sistema
• Una administración más simple y mayor rapidez en la
identificación de problemas

Finalmente la posibilidad – en muchos casos – de poder

hacer un seguimiento de los incidentes y en algunos
casos identificar el origen de los mismos.
Ejercicio aplicando hardening en ubuntu

Crear 3 usuarios en linux:

sudo adduser prueba

sudo adduser prueba2
sudo adduser prueba3

Crear 1 grupo de usuarios

sudo addgroup menores

 Visualizar los usuarios creados

cat /etc/passwd El archivo "passwd" es el

encargado de almacenar los
usuarios en nuestro sistema
operativo, este archivo puede
ser modificado solamente por el
súper-usuario o root y su
estructura es la siguiente:
ej:

root:x:0:0:root:/root:/bin/bash
juan:x:1001:1001:Juan Carlos:/home/juan:/bin/bash
 Campos separados por (:) dos puntos, cada columna
representa una configuración para ese usuario, el orden es el
siguiente:

Nombre del usuario "juan"

Contraseña oculta (las contraseñas se almacenan cifradas en el

archivo "/etc/shadow")
UserID, es un número entero que representa al usuario en el
sistema, generalmente un número mayor a 500 ya que de 0–500
son reservados para usuarios del sistema y no tienen nada que
ver con una persona física
GroupID, es un número entero que representa al grupo que
pertenece este usuario
Nombre descriptivo del usuario

Ubicación de su directorio HOME o carpeta de trabajo

Intérprete de comandos que va a utilizar este usuario (hay

varios intérpretes de comandos, BASH es el más utilizado en
Linux)
 Visualizar los grupos creados

sudo cat /etc/group

Cambiar el grupo al usuario creado

sudo usermod –g menores prueba

Modificación de usuarios mediante
el comando usermod.

Para modificar un usuario existente se usa

el comando usermod . Con este comando puede
cambiar la ubicación del directorio de inicio del usuario,
el nombre de inicio de sesión, el shell predeterminado,
etc. También puede bloquear y desbloquear un
usuario. Este comando acepta una serie de opciones:
 Imprimir información del usuario por pantalla

Comando id: imprime información sobre el usuario dado, o

el proceso que lo ejecuta si no se especifica usuario .

id usuario
Ranking de ataques

Según verizon 2017

Clasificación de Amenazas en un sitio WEB

Autenticación
Fuerza Bruta
Un ataque de fuerza bruta es un proceso
automatizado de prueba y error utilizado para adivinar
1
un nombre de usuario, contraseña, número de tarjeta
de crédito o clave criptográfica.

Autenticación Insuficiente
La autenticación insuficiente ocurre cuando un sitio
web permite a un atacante acceder a contenido
2
sensible o funcionalidades sin haberse autenticado
correctamente.

Débil Validación en la Recuperación de Contraseñas

La débil validación en la recuperación de contraseñas
3 se produce cuando un sitio web permite a un atacante
obtener, modificar o recuperar, de forma ilegal, la
contraseña de otro usuario.
Autorización
Predicción de Credenciales/Sesión
4 La predicción de credenciales/sesión es un método de
secuestro o suplantación de un usuario del sitio web.

Autorización Insuficiente
La autorización insuficiente se produce cuando un sitio
5 web permite acceso a contenido sensible o
funcionalidades que deberían requerir un incremento de
las restricciones en el control de acceso.

Expiración de Sesión Insuficiente

La expiración de sesión insuficiente se produce cuando
6 un sitio web permite a un atacante reutilizar credenciales
de sesión o IDs de sesión antiguos para llevar a cabo la
autorización.
Fijación de Sesión
La fijación de sesión es una técnica de ataque que fuerza
7
al ID de sesión de un usuario a adoptar un valor
determinado.
Ataques en la parte cliente
Suplantación de Contenido
La suplantación de contenido es una
técnica de ataque utilizada para engañar al
8 usuario haciéndole creer que cierto
contenido que aparece en un sitio web es
legítimo, cuando en realidad no lo es.

Cross-site Scripting
Cross-site Scripting (XSS) es una técnica
de ataque que fuerza a un sitio web a
9
repetir código ejecutable facilitado por el
atacante, y que se cargará en el navegador
del usuario.
Ejecución de comandos
Desbordamiento de Buffer
La explotación de un desbordamiento de buffer es un ataque
10
que altera el flujo de una aplicación sobreescribiendo partes de
la memoria.
Ataques de Formato de Cadena
Los ataques de formato de cadena alteran el flujo de una
11 aplicación utilizando las capacidades proporcionadas por las
librerías de formato de cadenas para acceder a otro espacio de
memoria.
Inyección LDAP
La inyección LDAP es una técnica de ataque usada para
12
explotar sitios web que construyen sentencias LDAP a partir de
datos de entrada suministrados por el usuario.
 Comandos de Sistema Operativo
Los comandos de sistema operativo es una técnica de ataque
13 utilizada para explotar sitios web mediante la ejecución de
comandos de sistema operativo a través de la manipulación de
las entradas a la aplicación.
Inyección de código SQL
La inyección de código SQL es una técnica de ataque usada
14
para explotar sitios web que construyen sentencias SQL a partir
de entradas facilitadas por el usuario.
Inyección de código SSI
La inyección de código SSI (Server-side Include) es una técnica
de explotación en la parte servidora que permite a un atacante
15
enviar código a una aplicación web, que posteriormente será
ejecutado localmente por el servidor web.
 Inyección XPath
La inyección XPath es una técnica de ataque utilizada
16
para explotar sitios web que construyen consultas Xpath
con datos de entrada facilitados por el usuario.
Revelación de información
Indexación de Directorio
La indexación/listado automático de directorio es una función del
17
servidor web que lista todos los ficheros del directorio solicitado
si no se encuentra presente el fichero de inicio habitual.

Fuga de Información
La fuga de información se produce cuando un sitio web revela
18 información sensible, como comentarios de los desarrolladores o
mensajes de error, que puede ayudar a un atacante para
explotar el sistema.
Path Traversal
La técnica de ataque Path Traversal fuerza el acceso a ficheros,
19
directorios y comandos que potencialmente residen fuera del
directorio “document root” del servidor web.
Localización de Recursos Predecibles
La localización de recursos predecibles es una técnica de ataque
20
usada para descubrir contenido y funcionalidades ocultas en el
sitio web.
Ataques lógicos
Abuso de Funcionalidad
El abuso de funcionalidad es una técnica de ataque que usa
21 las propias capacidades y funcionalidades de un sitio web
para consumir, estafar o evadir mecanismos de control de
acceso.
Denegación de Servicio
La denegación de servicio (Denial of Service, DoS) es una
22
técnica de ataque cuyo objetivo es evitar que un sitio web
permita la actividad habitual de los usuarios.
Anti-automatización Insuficiente
La anti-automatización insuficiente se produce cuando un
23
sitio web permite a un atacante automatizar un proceso que
sólo debe ser llevado a cabo manualmente.
Validación de Proceso Insuficiente
La validación de proceso insuficiente se produce cuando un
24
sitio web permite a un atacante evadir o engañar el flujo de
control esperado por la aplicación.