Fundamentos de seguridad informática
David Gomez
Universidad Nacional Abierta a Distancia
Bogotá, Colombia
Resumen— este documento detalla varios conceptos de la
seguridad informática como pueden ser puertos de comunicación
o protocolos, DMZ, UTM, virus informáticos, HoneyNet y
HoneyPot; lista varias de las certificaciones disponibles a nivel de
seguridad informática y de la información, trata la ley 1273 de
2009 y los delitos más comunes en Colombia y por último
demuestra la forma de conseguir contraseñas en texto plano con
un minimo de conocimiento en el tema.
Palabras clave— DMZ, UTM, protocolos, HoneyNet, HoneyPot,
CEH, CCSA, CCSE, CCNA Security, Ley 1273 de 2009.
I. INTRODUCCIÓN
Se planteó el siguiente caso “El gobierno colombiano requiere
conformar un grupo especializado en Seguridad informática
por lo que deciden convocar inicialmente a un ingeniero
experto en seguridad para que se encargue de explicar al
gobierno algunos conceptos básicos de Seguridad informática
para convencer e iniciar la conformación del grupo. El grupo
llevará por nombre HACKGOV” [1]
En este momento HACKGOV tiene la tarea de fundamentar con
mayor profundidad a los directivos del proyecto con el fin de
que se canalice la idea de hacia donde va el grupo, es por esto
que el experto en seguridad desarrolla una base teorica con el
fin de explicar varios elementos como lo son, certificaciones
relacionadas con seguridad informatica, puertos de
comunicación, UTM, la ley 1273 de 2009, entre otros.
Adicionalmente se presento un problema de seguridad que se
convirtio en la primera tarea del profesional de HACKGOV y
se espera que explique como sucedió.
II. PRINCIPALES PUERTOS DE COMUNICACIÓN
Listar los principales puertos y sus respectivos servicios
asociados:
Según el problema presentado en [2], los principales puertos
que se pueden evidenciar son:
1. Servicio HTTP (Hypertext Transfer Protocol): HTTP
usa el puerto 80/TCP y es usado por defecto en los
servidores web para escuchar peticiones hechas por un
cliente.
2. Servicio HTTPS (Hypertext Transfer Protocol
Secure): HTTPS usa el puerto 443/TCP para escuchar
peticiones hechas por un cliente de la misma forma
que HTTP, con la diferencia de que HTTPS es la
versión segura del protocolo anterior.
3. Servicio SMTP (Simple Mail Transfer Protocol):
SMTP se encarga del envío de correos desde un
equipo, normalmente trabaja con los puertos 25/TCP,
587/TCP o 2525/TCP para conexiones no seguras, y
con los puertos 465/TCP o 25025/TCP para
conexiones seguras.
4. Servicio POP3 (Post Office Protocol versión 3): POP3
se encarga de adquirir los correos entrantes desde un
servidor de internet, tras obtener los correos los borra
del servidor, usa el puerto 110/TCP para conexiones
no seguras y el puerto 995/TCP para conexiones
seguras.
5. Servicio IMAP (Internet Message Access Protocol):
IMAP, al igual que POP se encarga de adquirir los
correos entrantes desde un servidor de Internet, solo
que, a diferencia de POP, este los deja en el servidor,
usa el puerto 143/TCP para conexiones no seguras y
993/TCP para conexiones seguras.
6. Servicio LDAP (Lightweight Directory Access
Protocol): LDAP es usado por diversos dispositivos
para adquirir información de directorios centrales en
una compañía, utiliza el puerto 389/TCP en
conexiones no seguras y el puerto 636/TCP para
conexiones seguras.
7. Servicio NTP (Network Time Protocol): NTP es usado
por los dispositivos de red para adquirir información
de la hora actual, utiliza el puerto 123/UDP
8. Servicio DNS (Domain Name System): DNS es usado
por todos los equipos conectados a una red para
traducir direcciones IP a nombres de dominio, utiliza
los puertos 53/UDP y 53/TCP.
9. Servicio DHCP (Dynamic Host Configuration
Protocol): DHCP es usado por las organizaciones
como un servicio entregado por un servidor DHCP
para configurar remotamente las propiedades de red de
los equipos que no tienen una configuración, se puede
configurar dirección IP, máscara, puerta de enlace
predeterminada, servidor DNS, dominio de red, etc.,
del lado del cliente usa el puerto 68/UDP y del lado
del servidor usa el puerto 67/UDP
10. Servicio Syslog (System Logging): Syslog es usado
por diversos equipos para el envío de mensajes de
 sistema asociados a alertas, mensajes, información
crítica, etc., utiliza el puerto 514/UDP.
III. CERTIFICACIONES
En un mundo donde la competencia se hace cada vez más dura,
donde la gente logra obtener cada vez más acceso a IES, hay
que saber diferenciarse y uno de los mejores métodos para esto
es estudiando, en las carreras de seguridad informática se tiene
la posibilidad de estudiar y presentar exámenes que certifiquen
a nivel mundial los conocimientos que se poseen, estas son
algunas de esas certificaciones:
certificaciones, si bien brindan bastantes
conocimientos en temas diversos que no
necesariamente tienen que estar ligados a una marca,
siempre se enfocan en que el profesional certificado
conozca la marca y como funciona a fondo, aun asi,
los conocimientos en general son bastante
provechosos ya sea que se trabaje con los mismos
equipos del fabricante o no (Tomar estas
certificaciones, sin embargo, significa que la meta es
trabajar de la mano de los dispositivos de los
fabricantes). Estas son algunas cualidades que se
deben saber para intentar acceder a una certificación,
las siguientes son algunas temáticas que se comparten:

1. CEH (Certified Ethical Hacking): Esta certificación a. Políticas de Backup.

capacita a los profesionales en seguridad informática b. Seguridad en redes.
en el arte del hacking con fines benignos, el fin de c. Tipos de amenazas y seguridad.
utilizar los conocimientos que posee un CEH es el d. VPN S2S y C2S.
hacerse pasar por intruso y medir la seguridad de una e. Routing y Switching.
empresa, también busca la mayor cantidad de f. Seguridad en dispositivos.
vulnerabilidades posibles con el fin de reportarlas, g. Buenas prácticas de seguridad.
nunca de explotarlas. La certificación constata que el h. Estándares y especificaciones de seguridad
portador conoce de: de la información.
i. Introducción a sistemas operativos de
a. Hackeo. seguridad
b. Reconocimiento y Obtención de huellas. j. Análisis y monitoreo de datos.
c. Escaneo de Redes. k. Forénsica digital.
d. Enumeración. l. Respuestas a emergencias de ciberseguridad.
e. Análisis de Vulnerabilidad.
f. Hackeo de Sistemas. A continuación, algunos precios:
g. Amenazas de Programa maligno (Troyanos,
Puertas Traseras, Virus y Gusanos). a. Curso de preparación para CCSA
h. Visibilidad de la red. (Checkpoint): USD $3000. Examen de
i. Ingeniería Social certificación: USD $2503.
j. Negación de Servicio (Técnicas y b. Curso de preparación CCNA Security
herramientas de ataque para DoS/DDoS y sus (CISCO): COP $850.000/nivel4. Examen de
contramedidas). certificación: USD $300.
k. Secuestro “Hijacking” de Sesión c. Curso de preparación HCIA-Security
l. Evasión de IDS, Firewalls y Honeypots (Huawei): Examen de certificación: USD
m. Hackeo de Servidores Web $200, curso disponible en INTITEC.
n. Hackeo de Aplicaciones Web
o. Inyección de SQL 3. CRISC (Certified in Risk and Information Systems
p. Hackeo de Redes Inalámbricas Control): La certificación CRISC se conoce por dar fe
q. Hackeo de Móviles (Vulnerabilidades y de que la persona certificada tiene las capacidades de
jailbreaking) gestionar los riesgos de TI en una organización, estos
r. Hackeo en Internet de las Cosas IoT. conocimientos incluyen:
s. Ataques y amenazas en la computación en la
nube (Cloud Computing) a. Identificación de riesgos de TI.
t. Criptografía b. Evaluación de riesgos de TI.
c. Mitigación y respuesta contra riesgos de TI.
Cursos de preparación para esta certificación pueden d. Monitoreo de control y reporte de riesgos.
estar alrededor de COP $5’000.0001 y certificarse
cuesta unos USD $6002. El costo del curso según INFOSEC Institute se
describe a continuación:
2. Carreras de seguridad de fabricantes como
Checkpoint, Cisco, Huawei, etc.,: Estas

1 Tomado de FEUD 3 Tomado de Check Point

4 Tomado de UNAL
2 Tomado de Gocertify
 Un curso de preparación puede tener costos rondando
los COP $ 2.300.0008. El examen de certificación tiene
un costo de USD $184.9

6. GSEC (GIAC Security essentials): Personas con esta

certificación poseen los conocimientos necesarios para
demostrar que pueden desenvolverse en trabajos
relacionados con seguridad y su entendimiento del
tema va más allá de simples conceptos y terminología,
entre los conocimientos necesarios están:

a. Administración de control de acceso y

contraseñas.
b. Defensa activa.
c. Planes de contingencia.
d. Controles críticos.
Ilustración 1. Precio del curso para CRISC. Fuente: e. Criptografía.
INFOSEC Institute5. f. Defensa en profundidad.
g. Seguridad en Endpoint.
4. CompTIA+ Security: Las personas que cuentan con h. Manejo y respuesta de incidentes.
esta certificación han demostrado tener los i. Administración de logs y SIEM.
conocimientos necesarios en materia de
ciberseguridad, los siguientes conocimientos son los Un curso de preparación del examen puede costar
necesarios para llegar a certificarse: USD $661010 e incluye el costo del examen, que si se
toma por separado tiene un costo de USD $1,899.
a. Administración de identidades y accesos.
b. Herramientas y tecnologías.
c. Administración de riesgos. IV. DMZ
d. Diseño y arquitectura.
e. Criptografía y PKI. La DMZ o zona desmilitarizada es una porción de red de una
f. Vulnerabilidades, ataques y amenazas. compañía con seguridad relativamente baja en la que se ubican
servicios que, por lo general, serán accedidos desde el exterior,
Los cursos de preparación para el examen tienen aunque no por ello signifique que la red interna de la compañía
costos aproximados de: USD $1860 - $31006 no pueda acceder también.
dependiendo de la modalidad en la que se tome el En la DMZ se suelen ubicar los servidores web (HTTP y
curso. El examen tiene un costo de USD $3397. HTTPS), los servidores DNS, los servidores FTP, entre otros
servicios de carácter público.
5. ISO 27001: Esta certificación constata que quien la En el ámbito de la documentación se encuentra una topología
porta, posee los conocimientos necesarios para aplicar que detalla donde y como se ubica la DMZ en una compañía,
la norma ISO/IEC27001:2013 al momento de generar aunque en el ámbito profesional también existen otras maneras
un SGSI para alguna compañía, los certificados tienen de ubicarla. En cualquier caso, la DMZ siempre se ubica tras un
conocimientos en: Firewall que está directamente conectado a una red externa
(casi siempre es internet). Las topologías de DMZ que se
a. Conceptos base en seguridad de la pueden encontrar son las dos siguientes:
información
b. Seguridad de red en dispositivos de capa 2 y
3
c. Seguridad en aplicaciones y bases de datos
d. Análisis Forense y Evidencia Digital
e. Gestión de continuidad de negocio y riesgos
(BCP, DRP)
f. Derecho Informático y Protección de Datos
g. Sensibilización estándar ISO 27001.
h. Auditoría estándar ISO 27001.

5 Tomado de INFOSEC Institute. 8 Tomado de FEUD.

6 Tomado de The Knowledge Academy 9 Tomado de EXIN.
7 Tomado de CompTIA 10 Tomado de SANS Institute.
 En la

Ilustración 2. Topología 1, DMZ.

Ilustración 2 e Ilustración 3 se pueden apreciar topologías de
DMZ usadas generalmente, ambas comparten el hecho de que
la DMZ está aislada de la red interna y está detrás de un Firewall
que la protege de la red externa y permite o deniega el acceso
desde la red interna.

La DMZ tiene unas condiciones en cuanto a control de acceso:

a. La DMZ tiene permiso para salir a la red externa y

tiene prohibido acceder a la red interna.
b. Los usuarios externos tienen permiso para acceder a la
DMZ solo por algunos servicios, pero no a la red
interna; junto con el punto anterior, se evita también
que personas en la DMZ accedan a la red interna.
c. Los usuarios de la red interna pueden acceder a la
DMZ y a la red externa (Esto según los permisos
definidos).

V. ELEMENTOS INFORMÁTICOS EN UNA INTRANET.

Tomando como ejemplo la Ilustración 3, se tiene una red interna

y una externa, si se deseara agregar una DMZ los elementos
informáticos más importantes en una organización son los
Ilustración 3. Topología 2, DMZ. siguientes:

1. Los firewall perimetral y firewall interno.

2. Seguridad Endpoint en los equipos de la intranet.
3. S.O. Windows Server o distribución Linux servidor y
hardware on-premise o virtualizado que brindaran los
servicios en la DMZ.
4. Switch.
5. Dependiendo si hay servidores en la nube o no se
puede pensar en soluciones de seguridad en la nube.
Firewall: Este es un elemento esencial en la topología ya que Red Hat Linux Enterprise:
cumple el propósito de separar las zonas en una red, en este caso
se ocupan 2, uno perimetral que separa internet de la extranet y
uno interno que separa la extranet de la intranet. El firewall es
necesario para controlar los permisos de acceso desde y hacia
la DMZ.

Se tienen varias marcas de firewall siendo Check Point una de

las más recomendadas, también se tienen otros como PAN,
Cisco ASA, Fortinet, Juniper, etc.

Algunos costos: Ilustración 5. Precios de Red Hat Linux. Red Hat

CP Cisco PAN Fortinet CentOS: Es gratis.
Costo A partir de A partir de A partir de A partir de
$600 USD $660 USD $1065 € para $737 USD
para PYMES para PYMES con para PYMES Ubuntu LTS: Es gratis.
con el 730 PYMES el PA-220. con el
gateway. con el FortiGate-80E. Seguridad Endpoint: Elemento primordial en la seguridad de
Cisco ASA
5506-X. los equipos de la DMZ, este software puede ser desde un
Tabla 1. Precios de lista de algunos vendedores de FW. antivirus hasta una suite de protección completa, algunos de sus
vendedores son:
Sistema operativo: Elemento primordial para la DMZ dado que
es el software sobre el que funcionarán los servicios, en el ▪ Sophos: AV & Malware Protection.
mercado se encuentran dos tipos de servidores, los que corren ▪ Palo Alto Networks: Threat Detection & Protection.
bajo Windows Server y los que corren bajo Linux (Red Hat ▪ FireEye: Advanced Threat Protection.
Enterprise por ejemplo), en ambos casos es posible encontrar ▪ Symantec: Endpoint, Cloud, & Mobile Security.
otras dos divisiones, los servidores que cuentan con hardware ▪ Check Point: Endpoint Complete Protection
físico independiente, muy probablemente alojado en racks (HP
o DELL por ejemplo), y los servidores que cuentan con Estas tecnologías ayudan a proteger a los equipos y la
hardware virtualizado, muy probablemente en la nube (AWS o información que almacenan brindado otra capa de seguridad la
Azure o VMware). cual se basa en la prevención, detección, contención y
Windows Server: Windows Server 2019 es el sistema eliminación de amenazas, algunos trabajan en contra de
operativo que une los entornos locales con Azure, agrega amenazas conocidas y otros, contra amenazas conocidas y
capas adicionales de seguridad a la vez que te ayuda a desconocidas.
modernizar tus aplicaciones e infraestructura. [3]. Es un
sistema operativo destinado a servidores que en los últimos Por lo general estas herramientas se venden a las empresas,
años ha ido apostando por la hibridación con la nube según el número de dispositivos a proteger, y dependiendo de
propietaria de la misma compañía, Azure®, esto permite a esto se da un precio, por esta misma razón es difícil conseguir
las compañías invertir tanto en hardware físico como alojado precios sin ser vendedor o tener los contactos correctos.
en nube, logrando versatilidad y escalabilidad en sus
negocios, presume de una seguridad avanzada e Precio del que se dispone al momento de realización del
infraestructura hipercorvegente, el costo aproximado de trabajo:
licenciamiento se despliega en la siguiente imagen:
Check Point (Precio por dispositivo/año):

Ilustración 4. Tabla de costos de licenciamiento para

Windows Server 2019. Microsoft Windows.

Linux: Linux como sistema operativo para servidores tiene

un sinfín de ediciones, las más populares son, pero no se
limitan a: Red Hat Enterprise, CentOS, Ubuntu LTS, Debian,
SUSELES, etc. Algunos precios son:
 Ilustración 6. Precio de la protección más completa de
Endpoint por Check Point. Check Point.
Switch: Este elemento de red permite la conexión de varios
dispositivos a nivel de capa 2, es esencial para realizar la
interconexión entre los servidores de la DMZ y los FW.
Aunque existen bastantes marcas, algunas de las más
representativas son: Cisco Systems, Inc., Juniper Networks,
Huawei Technologies Co., Ltd., entre otros.
Algunos precios:
Cisco Huawei
Costo Alrededor de $350 Alrededor de $200~350
USD para sus switch USD para su switch de
Catalyst 2960 series campus.
Tabla 2. Precios de lista de algunos vendedores de SW.
VI. UTM (UNIFIED THREAT MANAGEMENT)
Una unidad de gestión unificada de amenazas es un dispositivo
perimetral que reúne en una sola máquina múltiples soluciones
de seguridad y redes para proteger PYMES al tiempo que
simplifica su infraestructura.
La base de su funcionamiento se define en el término
“Balanceo de carga”, es gracias a esta funcionalidad que un
UTM determina la velocidad en la que establece el flujo de
datos de todas las comunicaciones, ya sean entrantes o salientes,
en la red en la que se implementa.
Hoy en día los UTM han combinado no solo seguridad en redes,
seguridad de email y seguridad web, ahora se han incluido
capacidades de networking a nivel alámbrico e inalámbrico,
también se cuentan con soluciones de Endpoint, de sandboxing,
protecciones en la nube, esto lo suele mostrar como una
solución económica All-in-one. [4]
Para las compañías, la implementación de cualquier sistema de
seguridad que supla sus necesidades de reducción de riesgos al
eliminar vulnerabilidades es una acción de gran valor en cuanto
a protección de activos. Las UTM son, para muchas compañías
que en general son PYMES, una carta muy poderosa en contra
de los ataques informáticos, gracias a su relativo bajo coste y
fácil instalación y despliegue, las UTM permiten proteger por
diferentes flancos la información y los sistemas de una
compañía. Viendo la otra cara de la moneda, la implementación
de una UTM tiene la característica de unificación de
protecciones en un solo dispositivo, esta característica es un
arma de doble filo, si bien permite administrar las protecciones
de forma cómoda, también abre la posibilidad de que en caso
de falla no solo afecte a unas aplicaciones o unos accesos sino
que en general afecte toda la continuidad del negocio, también
hay que tener en cuenta que estos elementos funcionan bajo
licencia y muchas protecciones si no tienen una licencia valida,
estas se desactivan.
Según lo comentado, una UTM presenta una solución cómoda,
aunque un riesgo grande, pero con una probabilidad de
ocurrencia media baja, se proveen tres soluciones para tratar el
riesgo:
a. Alta disponibilidad: Se puede trabajar con dos UTM
en alta disponibilidad (Un clúster de dispositivos), esto
viene dado por la capacidad de los fabricantes de
ofrecer esta característica.
b. Segmentación de soluciones: Es posible encontrar y
desplegar varios de los servicios ofrecidos por una
UTM en diferentes máquinas de tal forma que el fallo
de un servicio no afecte de manera significativa a los
demás.
c. Servicios en la nube: De vista al futuro, la
implementación de sistemas de seguridad está dando
pasos largos hacia los popularmente llamados “cloud-
based services”, en este ámbito las UTM no son la
excepción y se presentan oportunidades de despliegue
bajo estos modelos los cuales aseguran una alta
disponibilidad, alta tolerancia a fallos, precios bajos y
gran portafolio de servicios, valdría la pena apostar por
estos despliegues en cuando a temas de escalabilidad,
espacio y por su puesto precios.
Los precios que se encuentran en el mercado de algunos de sus
vendedores son:
a. Check Point: los dispositivos UTM inician desde $255
USD con el modelo más básico.
b. Fortinet: Los dispositivos UTM inician con el modelo
Fortigate 30 Series desde los $350 USD.
VII. VIDEO.
Para ver el video referente a amenazas informáticas del tipo
“Virus” se puede seguir el siguiente enlace: Enlace a video
“Virus informáticos”.
VIII. LEY 1273 DE 2009
La ley 1273, “De la Protección de la información y de los
datos”, se crea de tal forma que se regulen los delitos
informáticos y se les pueda un método para proteger los
sistemas que hacen uso de las TIC. En la ley se listan los
siguientes aspectos:
ARTÍCULO 1o. Adicionase el Código Penal con un Título VII
BIS denominado, del siguiente tenor:
CAPITULO I
De los atentados contra la confidencialidad, la integridad y
la disponibilidad de los datos y de los sistemas informáticos:
a. Artículo 269A: Acceso abusivo a un sistema
informático: Este artículo penaliza el acceso no
autorizado a los sistemas de información, ya sea que
fuerce o no la seguridad de este, también penaliza el
 mantenimiento del acceso a los sistemas sin permiso información.
explicito.
b. Artículo 269B: Obstaculización ilegítima de sistema CAPITULO II
informático o red de telecomunicación: Este articulo
penaliza a todo aquel que impida el buen De los atentados informáticos y otras infracciones
funcionamiento de un sistema informático o de
telecomunicaciones sin ningún permiso. i. Artículo 269I: Hurto por medios informáticos y
c. Artículo 269C: Interceptación de datos informáticos: semejantes: Este artículo penaliza el robo de
Este articulo penaliza a todo aquel que intercepte información producto de la violación de las medidas
información cualquiera de un sistema informático ya de seguridad de un sistema informático.
sea ingresando a la red o captando emisiones j. Artículo 269J: Transferencia no consentida de activos:
electromagnéticas. Este artículo penaliza las transferencias de activos de
d. Artículo 269D: Daño Informático: Este articulo forma no consentida por medio de alguna
penaliza toda acción que perjudique un sistema manipulación informática. [5]
informático o la información que allí se encuentre, va
desde borrado de información hasta destrucción de los Los delitos mas comunes en los que se incurre con respecto a la
elementos que la contienen. ley 1273 de 2009 en Colombia son los siguientes:
e. Artículo 269E: Uso de software malicioso: Este
articulo penaliza el uso de software malicioso ya sea
produciéndolo, vendiéndolo (nacional o
internacionalmente), usándolo, etc.
f. Artículo 269F: Violación de datos personales: Este
articulo penaliza el uso no consentido de datos
personales de las bases de datos con fines propios o
para distribución a un tercero, entre las acciones
condenables que se realicen a los datos se incluyen,
pero no se limitan a, sustracción, venta o intercambio,
compra, divulgación, etc.
g. Artículo 269G: Suplantación de sitios web para
capturar datos personales: Este articulo condena el uso
de sitios web falsos con el fin de extraer datos
personales. Aplica para casos de manipulación de
resolución de nombres de dominio con el fin de
reenviar tráfico de páginas verídicas a páginas falsas.
h. Artículo 269H: Circunstancias de agravación punitiva:
Este artículo describe los causales por los cuales se
agravarían las penas en las que se incurra por los
artículos anteriores, los siguientes son esos causales:
a. Si el delito se realiza sobre redes o sistemas
informáticos o de comunicaciones estatales u
oficiales o del sector financiero, nacionales o
extranjeros.
b. Si el delito se realiza por un servidor público
en ejercicio de sus funciones.
c. Si el delito se realiza aprovechando la
confianza depositada por el poseedor de la
información o por quien tuviere un vínculo
contractual con este.
d. Si el delito se realiza revelando o dando a
conocer el contenido de la información en
perjuicio de otro.
e. Si el delito se realiza obteniendo provecho
para sí o para un tercero.
f. Si el delito se realiza con fines terroristas o
generando riesgo para la seguridad o defensa
nacional.
g. Si el delito se realiza utilizando como
instrumento a un tercero de buena fe.
h. Si el delito lo realiza el responsable de la
administración, manejo o control de dicha

Ilustración 7. Delitos informáticos desde el 01/01/2018 a
25/03/2019, Delitos según la ley 1273 de 2009 (Arriba),
Modalidad (Centro) y Sector (Abajo). Fuente:
https://caivirtual.policia.gov.co/ciberincidentes/tiempo-
real/historico.
IX. HONEYNET Y HONEYPOT
Cada vez mas atacantes ingresan y mantienen acceso a los
sistemas informáticos por meses o años antes de ser detectados,
una técnica usada para ayudar a identificar esta actividad
maliciosa en un sistema o red es usando una HoneyPot y de ahí
parte el concepto de HoneyNet. Un HoneyPot es básicamente
un señuelo y una HoneyNet es una red de HoneyPot.
El HoneyPot es un dispositivo que se coloca en un sitio de la
red, ya sea en la DMZ, fuera o dentro del FW, en fin, en
cualquier sitio y tiene el propósito especifico de identificar
quien está tratando de probar puertos, atacar o conectarse a ese
dispositivo. Gracias a que no cuenta con datos críticos o
sensibles, no se tiene ningún riesgo teniéndolo en la red; del
HoneyPot se puede conseguir toda la información al respecto
de esa máquina, por ejemplo, intentos de inicio de sesión o
puertos y direcciones de origen.
Una HoneyNet es una red de HoneyPot que simula una reden
producción y está configurada de tal forma que toda la actividad
en ella esta monitoreada y de alguna forma regulada.
Ilustración 8. Red con una HoneyNet y un par de HoneyPot.
X. RESPUESTA A LOS INTERROGANTES DEL ANEXO 2.
¿Por qué exponer la computadora a un tercero puede poner
en peligro cualquier sistema de control de acceso?
Exponer la computadora a un tercero sin supervisión abre las
puertas a todos los sistemas asociados directa o indirectamente
a ese equipo, poniendo un ejemplo:
Juan es un empleado de un cargo medianamente alto y con
privilegios de acceso bastante permisivos, el utiliza el equipo
de trabajo para realizar sus tareas, pero en ciertas ocasiones
del día realiza pagos, compras, revisa correo personal,
accede a Facebook, entre otras cosas, como a Juan no le
gusta iniciar sesión cada vez que ingresa a un sitio, el guarda
las contraseñas (empresariales o privadas) en su navegador.
Un día, un colega nuevo le pregunta a Juan si puede usar su
computadora en lo que Juan almuerza, le miente diciendo
que la suya cuenta con problemas de inicio y debe adelantar
un trabajo, Juan le cree y le da acceso sin vigilancia, como
Juan hace de todo en su equipo, el colega (que es un
infiltrado de otra compañía) roba datos del equipo, de la
compañía, logra acceder a algunos sistemas de seguridad y
modifica permisos, datos personales y hasta da con la tarjeta
de crédito de Juan con la que él realiza algunos pagos por
internet. Cuando Juan regresa todo se encuentra en orden y
no se percata de lo sucedido, tampoco lo hará hasta algunos
días que se de cuenta de lo sucedido…
Como le pasa a Juan le puede pasar a cualquiera, en el mundo
de la seguridad informática, el obrar de buena fe, ser confiado
es una vulnerabilidad, el dar acceso y no vigilar lo que alguien
hace por confiar en los demás puede provocar fallas de
seguridad, es mejor ser desconfiado y evitarse algún problema.
En el anexo 2 se presenta un problema similar al ejemplo, tras
analizarlo se puede deducir que el atacante realizo los siguientes
pasos para conseguir la contraseña en texto plano.
1. El atacante encuentra el equipo así:
 c. Lo primero que hace es ingresar a la consola
(F12) y ejecutar el comando $0.value que le
devuelve la contraseña:

XI. PASO A PASO PARA LA RESOLUCIÓN DEL PROBLEMA DE

CONTRASEÑA EN TEXTO PLANO DE GMAIL

Lo que se realizo fue una búsqueda en Google sobre como ver

texto plano un campo de tipo contraseña, tras una corta
búsqueda se evidencia que el campo donde se ingresa la
2. Ejecuta una de 3 tareas tarea para ver la contraseña: contraseña tiene un atributo password, con una investigación
a. Lo primero que hace es hacer clic en el botón igual de corta se encuentra que es posible modificar un campo
del ojo para revelarla: directamente en el navegador y no es un bug sino una
característica (solo se debe presionar F12), estando en el código
de la página, basta con buscar la definición del formulario,
cambiar el tipo de atributo a text en vez de password y ya está.

Realizar esto no lleva mucho tiempo y requiere un

conocimiento básico de navegadores (teclas de función) y
programación en HTML (lo básico para crear una página,
internet cuenta con un sinfín de tutoriales).

En conclusión, con unas horas o menos de investigación se

puede lograr realizar este ataque, no se requiere ser un experto
en el tema para lograrlo ni ningún conocimiento avanzado.
b. Lo primero que hace es ingresar a la consola
de la página (F12) y modifica el campo type
de “password” a “text”: XII. BIBLIOGRAFÍA

[1] J. F. Quintero, ANEXO 1. INTRODUCCIÓN A LA

SEGURIDAD INFORMÁTICA., Bogotá, 2019.
[2] J. F. Quintero, ANEXO 2. CONCEPTOS BÁSICOS DE LA
SEGURIDAD INFORMÁTICA., Bogotá, 2019.
[3] Microsoft, «Microsoft,» Microsoft, 2019. [En línea].
Available: https://www.microsoft.com/es-es/cloud-
Antes platform/windows-server. [Último acceso: 20 Marzo
2019].
[4] Y. Casas Moreno, «UTM: Administración Unificada de
Amenazas,» Ventana Informática, nº 22, pp. 173-185,
2010.
[5] A. D. García, «Secretaria Senado, Ley 1273 de 2009,»
2009. [En línea]. Available:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1
273_2009.html. [Último acceso: 20 Marzo 2018].
[6] J. Costas Santos, Seguridad informática, Madrid: RA-MA
Después (nótese que el botón de visualizar contraseña esta Editorial, 2014.
desactivado y aun asi se ve).
[7] G. Escrivá Gascó, R. M. Romero Serrano y D. J. Ramada,
Seguridad informática, Madrid: Macmillan Iberia, S.A.,
2013.
[8] G. B. Urbina, Introducción a la Seguridad informática,
México: GRUPO EDITORIAL PATRIA, 2016.