EVALUACION DE SEGURIDAD EN HOST

GRUPO PANDORA
 TABLA DE CONTENIDO
CAPITULO 1 GENERALIDADES .............................................................................................................4
1.1 INTRODUCCION ............................................................................................................................5
1.2 ALCANCE ......................................................................................................................................6
1.3 METODOLOGIA ............................................................................................................................6
1.5 BITACORA DE ACTIVIDADES ..........................................................................................................8
1.6 HERRAMIENTAS UTILIZADAS.........................................................................................................8
1.7 EVALUACION DE RIESGOS .............................................................................................................9
1.8 DIAGRAMA DE UTILIZADO PARA LA EVALUACION DE SEGURIDAD .................................................9
CAPITULO 2 VULNERABILIDADES ...................................................................................................... 10
2.1 ACTUALIZACIONES AUTOMÁTICAS DE WINDOWS ESTAN DESACTIVADAS/NO CONFIGURADAS. ... 11
2.2 EL SISTEMA OPERATIVO NO ESTÁ ACTUALIZADO. ........................................................................ 12
2.3 PROGRAMAS OBSOLETOS INSTALADOS EN EL ORDENADOR. ....................................................... 14
2.4 SOFTWARE INSTALADO AL QUE NO DEBE TENER ACCESO EL USUARIO. ........................................ 17
2.5 PRIVILEGIOS DE ADMINISTRADOR A USUARIOS ESTANDART. ...................................................... 19
2.6 PARAMETOS DE USUARIO (VENCIMIENTO Y FORTALEZA DE CONTRASEÑA) ................................. 21
2.7 AUDITORIA DE WINDOWS NO ACTIVADA/CONFIGURADA ........................................................... 23
2.8 INFORMACION EN EQUIPO PORTATIL NO ENCRIPTADA ............................................................... 24
2.9 INFORMACION SENSIBLE COMPARTIDAD CON TERCEROS ............................................................ 25
2.10 ACCESO A CONTROL PANEL Y REGEDIT ...................................................................................... 27
2.11 SEGURIDAD PERIMETRAL EN EL ORDENADOR ........................................................................... 28
2.12 PUERTOS TCP/UDP ACTIVOS ..................................................................................................... 30
2.13 VULNERABILIDAD SLOWLORIS (DoS) ......................................................................................... 33
2.14 CONEXIONES AUTOMATICAS DESDE INTERNET EXPLORER. ........................................................ 34
2.15 LA IMAGEN DEL S.O ESTA COMPROMETIDA .............................................................................. 38
2.16 FOOTPRINTING ......................................................................................................................... 39
CAPITULO 3 RESUMEN EJECUTIVO .................................................................................................... 42
3.1 RESUMEN EJECUTIVO ................................................................................................................. 43
3.2 RESUMEN EJECUTIVO DE LOS HALLAZGOS ENCONTRADOS .......................................................... 44
CAPITULO 4 ..................................................................................................................................... 45
4.1 GLOSARIO DE TERMINOS ............................................................................................................ 46
4.2 BIBLIOGRAFIA ............................................................................................................................ 48

Página 2 de 48
 TABLA DE FIGURAS
FIGURA 1 CICLO DE VIDA HACKING ÉTICO ......................................................................................................................... 6
FIGURA 2 TABLA DE ACTIVIDADES .................................................................................................................................. 8
FIGURA 3 HERRAMIENTAS UTILIZADAS............................................................................................................................. 8
FIGURA 4 EVALUACIÓN DE RIESGOS ................................................................................................................................ 9
FIGURA 5 DIAGRAMA DE RED UTILIZADO EN LA EVALUACIÓN DESEGURIDAD. ............................................................................ 9
FIGURA 6 ACTUALIZACIONES AUTOMÁTICAS DESHABILITADAS/NO CONFIGURADAS .................................................................. 11
FIGURA 7 VULNERABILIDADES ASOCIADAS WINDOWS 7 .................................................................................................... 13
FIGURA 8 ACTUALIZACIONES INSTALADAS EN EL EQUIPO .................................................................................................... 13
FIGURA 9 VULNERABILIDADES EN OFFICE 2010 ............................................................................................................... 14
FIGURA 10 VULNERABILIDADES EN OFFICE 2010 32 BITS. ................................................................................................. 15
FIGURA 11 VULNERABILIDADES EN NET FRAMEWORK. ...................................................................................................... 15
FIGURA 12 PROGRAMAS INSTALADOS EN EQUIPO HOST .................................................................................................... 16
FIGURA 13 PROGRAMAS INSTALADOS EN EQUIPO HOST –OFFICE 2010- ............................................................................... 16
FIGURA 14 PROGRAMAS INSTALADOS –BRECHAS DE SEGURIDAD- ....................................................................................... 18
FIGURA 15 VISTA DE LAS PROPIEDADES DEL GRUPO ADMINISTRADORES ................................................................................ 20
FIGURA 16 RESULTADO DEL ESCANEO REALIZADO POR MBSA ............................................................................................ 20
FIGURA 17 PARAMETRO DE CONTRASEÑA – CONTRASEÑA NUNCA EXPIRA- ............................................................................ 22
FIGURA 18 RESULTADO DEL ESCANEO MBSA –PARÁMETROS DE VENCIMIENTO DE CONTRASEÑAS- ............................................. 22
FIGURA 19 AUDITORIA DE WINDOWS NO CONFIGURADA................................................................................................... 23
FIGURA 20 DISCO DURO SIN ENCRIPTACIÓN .................................................................................................................... 24
FIGURA 21 CARPETA USERS COMPARTIDA .................................................................................................................... 26
FIGURA 22 RESULTADO DEL ESCÁNER MBSA- CARPETAS COMPARTIDAS- ............................................................................. 26
FIGURA 23 ACCESOS A CONFIGURACIONES AVANZADAS DEL SISTEMA.................................................................................... 27
FIGURA 24 FIREWALL DE WINDOWS DESACTIVADO .......................................................................................................... 29
FIGURA 25 PUERTOS ABIERTOS/ACTIVOS EN EL ORDENADOR. ............................................................................................ 31
FIGURA 26 RESULTADO DEL NETSTAT -A ..................................................................................................................... 32
FIGURA 27 SESIONES ACTIVAS. .................................................................................................................................... 32
FIGURA 28 VULNERABILIDAD SLOWLORIS ...................................................................................................................... 34
FIGURA 29 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 35
FIGURA 30 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 35
FIGURA 31 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 36
FIGURA 32 RESULTADO DE WEB FILTER LINK 1................................................................................................................ 36
FIGURA 33 RESULTADO DE WEB FILTER LINK 1................................................................................................................ 37
FIGURA 34 RESULTADO DE WEB FILTER LINK 3................................................................................................................ 37
FIGURA 35 LICENCIA DE WINDOWS ACTIVADA POR UN TERCERO ......................................................................................... 38
FIGURA 36 FOOTPRINTING –TARINGA-.......................................................................................................................... 39
FIGURA 37 FOOTPRINTING –TWITTER- .......................................................................................................................... 39
FIGURA 38 FOOTPRINTING –FACEBOOK-........................................................................................................................ 39
FIGURA 39 FOOTPRINTING –YOU TUBE- ........................................................................................................................ 40
FIGURA 40 FOOTPRINTING –YAHOO RESPUESTAS- ........................................................................................................... 40
FIGURA 41 FOOTPRINTING –IMAGEN ISO DE WINDOWS 7 PARTE 1- ................................................................................... 41
FIGURA 42 FOOTPRINTING –IMAGEN ISO DE WINDOWS 7 PARTE 2- ................................................................................... 41

Página 3 de 48
CAPITULO 1
GENERALIDADES

Página 4 de 48
 1.1 INTRODUCCION

En el presente informe se detalla la evaluación de seguridad realizada por el Grupo F a una imagen del
sistema operativo Windows 7 Ultímate Editión. Propiedad de GRUPO PANDORA S.A. La cual es utilizada
en la preparación de las computadoras portátiles del departamento de ventas de dicha organización.

Durante el desarrollo de esta evaluación se detectaron anomalías y vulnerabilidades que ponen en riesgo
la integridad, confidencialidad e integridad de los datos almacenados y procesados es estos equipos que
puede afectar de forma directa e indirecta a la infraestructura tecnológica de GRUPO PANDORA S.A.
exponiendo el activo más importante ¡LA INFORMACION!

Esta evaluación de seguridad fue desarrollada mediante el modelo de la caja negra y la misma fue
realizada en un ambiente virtual controlado evitado la exposición del equipo analizado.

GRUPO F no tuvo acceso a credenciales, información sensible, ni exploto vulnerabilidades o brechas de

seguridad de acuerdo a la solicitud de GRUPO PANDORA y se limitó a analizar, escanear, enumerar,
documentar y notificar las vulnerabilidad encontradas en dicho proceso. Las cuales se detallan en el
presente informe.

Esta evaluación fue solicitada por el departamento de TI y autorizada por la Alta Gerencia de GRUPO
PANDORA S.A. por tal razón GRUPO F no cometió infracciones a políticas, procedimientos, normas que
rigen esta organización y las leyes nuestro país.

Página 5 de 48
 1.2 ALCANCE

El alcance de esta evaluación se centra específicamente en analizar la seguridad y detención de

vulnerabilidades de una imagen del sistema operativo Windows 7 Ultimate Edition de 32 Bits. El cual es
utilizado por el departamento de sistemas de GRUPO PANDORA para la preparación de los equipos
portátiles del departamento de ventas.

El resultado de este informe detallara las vulnerabilidades encontradas en este equipo y los riesgos que
conlleva la implementación de continuar utilizando este sistema operativo.

A su vez se brindara una serie de sugerencias para mitigar los riesgos y corregir las brechas de seguridad
encontradas y minimizar los riesgos de una posible intrusión y/o ataque que ponga en riesgo la
disponibilidad, integridad y confidencialidad de la información de GRUPO PANDORA.

1.3 METODOLOGIA
Para realizar esta evaluación de seguridad realizaron las siguientes actividades las cuales forman parte del
ciclo de vida del Hacking Ético basado en la caja negra.

El resultado de las actividades está plasmadas en el capítulo II de este informe en la sección de hallazgos
y vulnerabilidades.

Figura 1 Ciclo de vida Hacking Ético

Página 6 de 48
 1.4 ANTECEDENTES

Figura 2 Carta de autorización para desarrollo de evaluación de seguridad

Página 7 de 48
 1.5 BITACORA DE ACTIVIDADES
A continuación se detallan las actividades realizadas en el proceso de evaluación de seguridad.

No. Actividad Fecha

1 Reunión Inicial Ricardo Munguia-GrupoF 16/06/2017
2 Entrega de Imagen Windows 7 Ultimate Edition 32 Bits 17/06/2017
3 Asignación de Labores GRUPO F 17/06/2017
4 Análisis Configuración de Sistema Operativo 17/06/2017
5 Footprintinf Grupo Pandora 18/06/2017
6 Footprintinf Grupo Desarrollador de S.O 18/06/2017
7 Análisis Vulnerabilidad con KALI-LINUX 18/06/2017
8 Análisis Vulnerabilidad Microsoft Baseline Security Analyzer 18/06/2017
9 Documentación de Vulnerabilidades 19/06/2017
10 Recomendaciones 19/06/2017
11 Desarrollo del Informe 21/06/2017
12 Presentación 22/06/2017
13 Liberación del Proyecto (Presentación y Discusión) 23/06/2017
14 Entrega del Proyecto y Presentación de Evaluación de Seguridad 24/06/2017
Figura 2 Tabla de Actividades

1.6 HERRAMIENTAS UTILIZADAS

A continuación se detallan las herramientas utilizadas en el proceso de evaluación de seguridad.

Herramienta Uso
Virtual Box Infraestructura Virtual para la Evaluación.
S.O Windows 7 Ultimate 32 Bits Objetivo del Análisis
DNSstuff: DNS tools | Manage Monitor Analyze
Recopilar información
Redes Sociales (Twitter/Facebook/You Tube)
Escaneo de Vulnerabilidades, Escaneo de Puertos,
Kali-Linux Conexiones,
Microsoft Baseline Analyzer System (MBSA) Escaneo de Vulnerabilidades
Documentación de Vulnerabilidades y Brechas de
Internet Seguridad y otros.
FOCA Análisis de METADATA
Web Filter Lookup (Fortiguard) Análisis de páginas Web en equipo cliente.
Herramientas Nativas de Windows. Análisis de la configuración y conexiones establecidas.
Figura 3 Herramientas utilizadas

Página 8 de 48
 1.7 EVALUACION DE RIESGOS

Los hallazgos y vulnerabilidades descritas en las páginas siguientes están clasificadas de acuerdo a la
metodología de GRUPO F, definida con base en el riesgo que representan para la infraestructura
tecnológica (Datos, Aplicaciones, instalaciones físicas, equipo de comunicaciones, servidores, dispositivos
y personal).

Los niveles de clasificación se describen a continuación:

Figura 4 Evaluación de Riesgos

1.8 DIAGRAMA DE UTILIZADO PARA LA EVALUACION DE SEGURIDAD

A continuación se presenta el esquema de red que se utilizó para la Auditoria de Evaluación

Figura 5 Diagrama de red Utilizado en la evaluación de seguridad.

Página 9 de 48
CAPITULO 2
VULNERABILIDADES

Página 10 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.1 ACTUALIZACIONES AUTOMÁTICAS DE WINDOWS ESTAN DESACTIVADAS/NO CONFIGURADAS.

NIVEL DE RIESGO:
Alto

IMPACTO:
La no activación y configuración de esta característica representa un riesgo operativo para la organización
ya que el sistema operativo no está actualizado. Esto permite que el equipo sea vulnerable a múltiple
tipos y formas de ataques debido a la explotación de las brechas de seguridad y puede servir de medio
de transporte o medio de ataque para llegar a los servidores.

Lo anterior pone en riesgo la información almacenada, procesada y distribuida por la organización

afectando la disponibilidad, integridad y confidencialidad de la misma.

RECOMENDACIÓN DEL AUDITOR:

 Las actualizaciones corrigen fallos de seguridad por eso es de vital importancia que los sistemas
operativos de los servidores, computadoras y dispositivos en la red cuentan con la última versión
liberada por el fabricante.
 Activar las actualizaciones Automáticas (Clientes y Servidores).
 Establecer controles, procedimientos y políticas que garanticen la activación de esta característica
en todos los equipos con sistema operativo Microsoft conectados en la red.

REFERENCIAS
 Habilitar Windows Updates (Actualizaciones Automáticas de Windows).
https://blogs.technet.microsoft.com/seguridaddigitalmexico/2008/04/10/tips-para-actualizar-
tu-sistema-operativo-windows/

 Link Alternativo.
http://windowsespanol.about.com/od/SeguridadEnWindows/ss/Actualizar-Windows-7-Con-
Windows-Update.htm
EVIDENCIAS

Figura 6 Actualizaciones automáticas deshabilitadas/no configuradas

Página 11 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.2 EL SISTEMA OPERATIVO NO ESTÁ ACTUALIZADO.

NIVEL DE RIESGO:
Alto

IMPACTO:
Un sistema operativo desactualizado representa un riesgo operativo para la organización ya que es
vulnerable a múltiple tipos y formas de ataques debido a la explotación de las brechas de seguridad. Lo
anterior pone en riesgo la información almacenada, procesada y distribuida por la organización afectando
la disponibilidad, integridad y confidencialidad de la misma. Ya que puede servir de medio de transporte
para llegar hacia los servidores.

RECOMENDACIÓN DEL AUDITOR:

 Exceptuando la actualización KB976932 la cual fue instalada por defecto se recomienda Actualizar
el sistema operativo una vez al mes.
 Establecer controles, procedimientos y políticas que garanticen la ejecución de este proceso para
que los sistemas operativos estén actualizados.
 Implementar el rol Windows Server Update Services (WSUS) que permite a los administradores
de tecnologías de la información implementar las actualizaciones de productos de Microsoft más
recientes. La actualización se puede programar de forma automática en todos los equipos. De lo
contrario se recomienda actualizar el sistema operativo de forma autónoma.
 Implementar laboratorios de pruebas para certificar las actualizaciones liberadas para no poner
en riesgo la estabilidad, disponibilidad de un servidor o estación de trabajo.

REFERENCIAS
 Implementación de Windows Server Update Services en la organización
https://msdn.microsoft.com/es-es/library/hh852340(v=ws.11).aspx

 Actualizar el agente de Windows Update

https://support.microsoft.com/es-uy/help/949104/how-to-update-the-windows-update-agent-
to-the-latest-version

Página 12 de 48
FUENTES

 VULNERABILIDADES ASOCIADAS A WINDOWS 7 SP1

Actualmente se han encontrado de forma oficial 769 vulnerabilidades que afectan o que puede
ser explotadas por tener instalado el sistema operativo sin actualizaciones.

https://www.cvedetails.com/product/17153/Microsoft-Windows-7.html?vendor_id=26

Figura 7 Vulnerabilidades asociadas Windows 7

EVIDENCIAS

Figura 8 Actualizaciones instaladas en el equipo

Página 13 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.3 PROGRAMAS OBSOLETOS INSTALADOS EN EL ORDENADOR.

NIVEL DE RIESGO:
Alto

IMPACTO:
La utilización de un programa no actualizado representa un riesgo operativo para la organización ya que
es vulnerable a múltiple tipos y formas de ataques debido a la explotación de las brechas de seguridad.
Lo anterior pone en riesgo la información almacenada, procesada y distribuida por la organización
afectando la disponibilidad, integridad y confidencialidad de la misma.

RECOMENDACIÓN DEL AUDITOR:

 Las actualizaciones corrigen fallos de seguridad por eso es de vital importancia que los programas
instalados en el ordenador estén actualizados con la última versión liberada por el fabricante.
 Actualizar los programas instalados en el ordenador hacia la última versión liberada por el
fabricante (Microsoft Office 2010, Net Framework, Winrar, Internet Explorer 9 y otros).
 Establecer controles, procedimientos y políticas que garanticen la actualización de todo el
software instalados en la red.

REFERENCIAS
No definidas por el auditor debido a que el procedimiento varía según el software a actualizar.

FUENTES
 VULNERABILIDADES OFFICE 2010.
Actualmente se han encontrado de forma oficial 344 vulnerabilidades que afectan o que
puede ser explotadas por tener instalado Microsoft Office 2010 sin actualizaciones.
Adicionalmente esta versión de office está obsoleta.

https://www.cvedetails.com/version-search.php?vendor=Microsoft&product=Office&version

Figura 9 Vulnerabilidades en Office 2010

Página 14 de 48
 https://www.cvedetails.com/version-search.php?vendor=Microsoft&product=office&version=2010

Figura 10 Vulnerabilidades en Office 2010 32 Bits.

 VULNERABILIDADES NET FRAMEWORK.

Actualmente existen 107 vulnerabilidades que afectan o pueden ser explotadas por no
contar con la última versión y actualización de Net Framework.

https://www.cvedetails.com/product/2002/Microsoft-.net-Framework.html?vendor_id=26

Figura 11 Vulnerabilidades en Net Framework.

Página 15 de 48
EVIDENCIAS

Figura 12 Programas instalados en equipo Host

Figura 13 Programas instalados en equipo Host –Office 2010-

Página 16 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.4 SOFTWARE INSTALADO AL QUE NO DEBE TENER ACCESO EL USUARIO.

NIVEL DE RIESGO:
Alto

IMPACTO:
La utilización del Software de Seguridad y Limpieza (Borrado de Huellas) no debe ser instalada ni
manipulada ni por el usuario. Ya que permite infringir procedimientos, políticas, extracción de
información sensible sin dejar ningún tipo de rastro o huella.

CCLEANER: Es una herramienta eficiente y fácil de utilizar que protege la privacidad digital mediante la
eliminación (limpieza profunda).

 Eliminar rastros de las actividades y los archivos temporales de manera definitiva

 Borrar espacio libre de unidades externas
 Limpiar el Registro de Windows
 Controlar los programas que se inician automáticamente cuando inicia el sistema operativo.
 Eliminar de manera permanente información sensible.
 Eliminar información almacenada en tus dispositivos de almacenamiento extraíbles tales como
CD’s y memorias USB
 Evitar auditorias
 Mantener tu computadora de modo que los archivos borrados no puedan ser recuperados en el
futuro.

MEGALINK DOWLOADER: Es una herramienta eficiente para descargar contenido de internet utilizando
todas las conexiones que la red dispone para conectarse al sitio de https://mega.nz/

El uso de esta aplicación puede provocar una saturación en la red y el usuario tiene acceso ilimitado a
descargar cualquier contenido que pueda poner en riesgo la seguridad de la información y estabilidad de
la red interna.

GOOGLE TOOLBAR: Es una barra de herramientas desarrollada por Google pero la misma permite a
terceros mediante Xploit’s ganar acceso no autorizado a el equipo explotando y modificando las zonas de
seguridad.

Las zonas de seguridad son:

 Zona 0 = Mi PC (nuestro equipo)

 Zona 1 = Intranet local (sitios Web de la red local)
 Zona 2 = Sitios de confianza (aquellos que sabemos seguros)
 Zona 3 = Internet (todos los sitios que no estén en las otras zonas)
 Zona 4 = Sitios restringidos (sitios que sabemos peligrosos)

Página 17 de 48
RECOMENDACIÓN DEL AUDITOR:

 Establecer controles, procedimientos y políticas que garanticen la integridad del sistema

Operativo.
 Establecer controles, procedimientos y políticas para evitar que los usuarios puedan descargar
contenido del internet.
 Crear un inventario del software instalado en la red de GRUPO PANDORA y crear una matriz de
riesgos para cada aplicación y determinar cuáles riesgos se asumen y cuales se pueden mitigar.
 Instalar un Aplication Control (Active Directory o Firewall) para evitar que ciertas aplicaciones no
puedan ejecutarse y/o conectarse a Internet.
 Desinstalar las aplicaciones anteriormente citadas en este hallazgo para minimizar la exposición
del equipo y eliminar vulnerabilidades que pongan en riesgo el equipo y la información.

REFERENCIAS
 CCLEANER

https://securityinabox.org/es/guide/ccleaner/windows/

 GOOGLE TOOLBAR:

http://www.mediavida.com/foro/hard-soft/vulnerabilidad-google-toolbar-134905

http://www.vsantivirus.com/zonas-ie.htm

 RESTRICCIÓN DE APLICACIONES.

http://es.wikihow.com/bloquear-una-aplicaci%C3%B3n-o-archivo-.exe-para-que-no-pueda-
ejecutarse-en-Windows

EVIDENCIAS

Figura 14 Programas instalados –Brechas de Seguridad-

Página 18 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.5 PRIVILEGIOS DE ADMINISTRADOR A USUARIOS ESTANDART.

NIVEL DE RIESGO:
Alto

IMPACTO:
El perfil administrador en un equipo permite acceso ilimitado a funciones y propiedades del sistema
operativo. Cuando este perfil es asignado a un usuario estandart se delega el control total del equipo para
que lo pueda manipular a su conveniencia.

Esto puede poner en riesgo la seguridad de la información e infraestructura tecnológica. Ya que el

departamento de IT no tiene control sobre los cambios que realiza o puede realizar el usuario con los
derechos asignados (Instalar Aplicaciones, Modificar propiedades del sistema, evadir controles de
auditoria, modificar accesos, cambiar registro de Windows, Extraer información sin autorización entre
otros).

Actualmente el usuario Cliente tiene un perfil de administrador en el equipo.

RECOMENDACIÓN DEL AUDITOR:

 Establecer controles, procedimientos y políticas que garanticen la correcta creación de una cuenta
de usuario y los permisos concedidos a dicha cuenta.
 El perfil de administrador deber ser asignado a cierto personal del departamento de TI (Soporte
Técnico, Administrador de Servidores y Gerente de IT).
 Realizar un laboratorio de pruebas utilizando el perfil (Usuarios Avanzados) para la ejecución de
ciertas tareas y programas que requieren permisos de administrador.

REFERENCIAS:

 Administración de permisos a usuarios y grupos.

https://www.welivesecurity.com/la-es/2015/05/22/como-administrar-permisos-
usuarios-grupos-usuarios-windows-7/

 Introducción a Usuarios y grupos locales

https://technet.microsoft.com/es-es/library/cc770756(v=ws.11).aspx

https://technet.microsoft.com/es-es/library/cc771990(v=ws.11).aspx

Página 19 de 48
EVIDENCIAS:

Figura 15 Vista de las propiedades del grupo Administradores

Figura 16 Resultado del escaneo realizado por MBSA

Página 20 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.6 PARAMETOS DE USUARIO (VENCIMIENTO Y FORTALEZA DE CONTRASEÑA)

NIVEL DE RIESGO:
Alto

IMPACTO:
Una contraseña es una forma de autentificación que utiliza el sistema operativo para garantizar y
controlar los accesos de un usuario hacia un recurso (Carpeta, Equipo, Servicio, Etc.).

Una contraseña débil o una contraseña que no tenga vencimiento implican un alto riesgo para la seguridad
de la información e infraestructura tecnológica debido a vulnerabilidades (Suplantación de Identidad,
Ataques de fuerza bruta, Contraseñas por defecto). Si la contraseña no se cambia frecuentemente se
garantiza y mantiene el acceso al intruso en caso que el sistema este comprometido y se detecta si existe
suplantación de identidad.

RECOMENDACIÓN DEL AUDITOR:

 Establecer controles, procedimientos y políticas que garanticen el uso de contraseñas fuertes y

que las mismas tengan periodo de caducidad para todos los usuarios.
 Documentar los accesos de perfil administrador para cada servidor, servicio y equipo.
 Crear un plan de mantenimiento para hacer efectivo el cambio de contraseñas en los equipos de
comunicaciones y servidores.

REFERENCIAS:

 Como crear contraseñas seguras:

http://atencion.ula.ve/guiausuario/cpassword.html

https://hostingdiario.com/5-consejos-para-hacer-tus-passwords-mas-seguros/

http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-
us/windows_password_tips.mspx?mfr=true

Página 21 de 48
EVIDENCIAS:

Figura 17 Parámetro de contraseña – Contraseña nunca expira-

Figura 18 Resultado del escaneo MBSA –Parámetros de vencimiento de contraseñas-

Página 22 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.7 AUDITORIA DE WINDOWS NO ACTIVADA/CONFIGURADA

NIVEL DE RIESGO:
ALTO

IMPACTO:
Por medio de la auditoria de Windows se puede realizar un seguimiento sobre los intentos exitosos y
fallidos de inicio y cierre de sesión. Adicionalmente permite auditar la administración de cuentas, accesos
a recursos, accesos a objetos, uso de privilegios y eventos del sistema.

Lo anterior permite diagnosticar si un equipo está comprometido o se está vulnerando algún algoritmo
de seguridad.

RECOMENDACIÓN DEL AUDITOR:

 Activar la auditoria de Windows para tener un monitoreo del sistema operativo y lo que sucede
en su entorno.

REFERENCIAS:

 Auditoria de Windows
https://technet.microsoft.com/es-es/library/cc730601(v=ws.11).aspx

https://blogs.msmvps.com/juansa/blog/2009/04/08/auditor-237-a-de-acceso-a-
objetos/

EVIDENCIAS:

Figura 19 Auditoria de Windows no configurada

Página 23 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.8 INFORMACION EN EQUIPO PORTATIL NO ENCRIPTADA

NIVEL DE RIESGO:
ALTO

IMPACTO:
El departamento de ventas utiliza equipo portátil el cual es utilizado fuera de las instalaciones de GRUPO
PANDORA. Al salir de la instalación el equipo esta propenso a múltiples riesgos entre ellos el robo o
pérdida del equipo e información.

RECOMENDACIÓN DEL AUDITOR:

 Activar la encriptación de los datos, unidades lógicas y dispositivos móviles.

REFERENCIAS:

 Cifrado de unidad con BitLocker.

https://technet.microsoft.com/es-es/library/dd835565(v=ws.10).aspx

http://www.conecta-pc.es/seguridad/tutorial-bitlocker-que-es-como-se-utiliza.html

EVIDENCIAS:

Figura 20 Disco duro sin encriptación

Página 24 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.9 INFORMACION SENSIBLE COMPARTIDAD CON TERCEROS

NIVEL DE RIESGO:
ALTO

IMPACTO:
El uso de unidades, carpetas y archivos compartidos debe limitarse por listas de accesos para impedir que
un tercero tenga acceso a información sensible. Ya que la información puede ser modificada, eliminada o
extraída si previa autorización y conocimiento.

El ordenador tiene la carpeta users compartida para todos.

RECOMENDACIÓN DEL AUDITOR:

 Limitar con lista de accesos los recursos compartidos.

 No utilizar el grupo todos/Everyone para dar accesos a recursos compartidos.

REFERENCIAS:

 Accesos mediante listas de acceso

https://technet.microsoft.com/es-es/library/cc730601(v=ws.11).aspx

https://blogs.msmvps.com/juansa/blog/2009/04/08/auditor-237-a-de-acceso-a-
objetos/

Página 25 de 48
EVIDENCIAS:

Figura 21 Carpeta USERS compartida

Figura 22 Resultado del escáner MBSA- Carpetas Compartidas-

Página 26 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.10 ACCESO A CONTROL PANEL Y REGEDIT

NIVEL DE RIESGO:
ALTO

IMPACTO:
El acceso a las propiedades del sistema, control panel y REGEDIT permite a los usuarios modificar
parámetros se seguridad, instalar y desinstalar programas, eliminar registros del sistemas, eliminar
archivos sin previa autorización y/o conocimiento, evadir controles entre otros. Este privilegio puede ser
explotado por un intruso para realizar múltiples ataques o utilizar el ordenador como zombi ya que el
acceso al equipo está garantizado.

RECOMENDACIÓN DEL AUDITOR:

 Establecer controles, procedimientos y políticas para limitar el acceso de los usuarios a Control
Panel, REGEDIT y Propiedades del sistema.

REFERENCIAS:

 Restricciones a control panel

https://technet.microsoft.com/es-es/library/ee617167(v=ws.10).aspx

http://www.fermu.com/articulos/guia-regedit/22-el-editor-de-politicas/33-evitar-el-acceso-
al-panel-de-control

 Restricciones a REGEDIT

http://www.caminogeek.com/impedir-el-acceso-a-el-editor-del-registro-de-windows-8-7/

EVIDENCIAS:

Figura 23 Accesos a configuraciones avanzadas del sistema

Página 27 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.11 SEGURIDAD PERIMETRAL EN EL ORDENADOR

NIVEL DE RIESGO:
ALTO

IMPACTO:
El equipo no cuenta con un programa de antivirus que permita la detección de virus, malware, spyware,
Backdoors, Rootkits entre otros adicionalmente el equipo no está protegido por un firewall
(Nativo/Tercero) que permita filtrar las conexiones entrantes y salientes del ordenador hacia otras redes.

Esta brecha de seguridad pone en riesgo la seguridad de la información y la estabilidad de la red. Ya que
los riesgos de ataques se incrementan en 300% cuando este equipo se conecte a internet, se conecte a
otras redes privadas o públicas.

RECOMENDACIÓN DEL AUDITOR:

 Establecer controles, procedimientos y políticas para garantizar que todo equipo conectado a la
red interna tenga un antivirus y firewall activado.
 Adquirir una solución de antivirus de forma legal (Bajo Licencia oficial del fabricante y soporte).
 Activar el firewall de nativo o realizar la adquisición de un tercero. Generalmente los antivirus
tienen incorporado un firewall de forma nativa.
 Descargar, instalar e implementar en todos los host con sistema operativo de Microsoft el
programa Microsoft Security Essentials para Windows 7 o Windows Defender para Windows 8,
8.2 y Windows 10.

REFERENCIAS:

 Activación de Firewall
https://support.microsoft.com/es-ve/instantanswers/c9955ad9-1239-4cb2-988c-
982f851617ed/turn-windows-firewall-on-or-off

http://windowsespanol.about.com/od/SeguridadEnWindows/f/Qu-E-Hago-Para-Activar-
O-Desactivar-El-Firewall-De-Windows-7.htm

 Solución de antivirus

https://support.microsoft.com/es-es/help/14210/security-essentials-download

Página 28 de 48
EVIDENCIAS:

Figura 24 Firewall de Windows desactivado

Página 29 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.12 PUERTOS TCP/UDP ACTIVOS

NIVEL DE RIESGO:
ALTO

IMPACTO: La gran mayoría de los programas que tenemos instalados en nuestro ordenador,
dependen de una salida (o conexión) a Internet para poder actualizarse o realizar otras
operaciones. Esta salida la obtienen mediante lo que se denomina puerto de conexión.

Todo puerto abierto supone un peligro, aunque esté solo "a la escucha", sin transferir datos.

A cada programa le corresponderá una determinada cantidad de puertos para desarrollar su

actividad. E.: El puerto 25 y 110 corresponden a la entrada y salida del correo electrónico, el
puerto 80 al navegador Internet Explorer, etc.

Los puertos, 137, 138, 139, 445 corresponden al NetBios, el cual podríamos decir que es el
responsable de grandes fallas de seguridad. El NetBios es un protocolo de red, que tiene como
función permitir compartir archivos, impresoras, entre equipos de una red de computadoras.

El puerto 5357 permite realizar búsquedas de otros dispositivos en la red.

Los puertos 5800 y 5900 utilizados por el Tight VNC permiten conexiones anónimas al
ordenador y conexiones visibles según la configuración y/o modo de conexión.

Los puertos 49152 al 49157 son puertos registrados que pueden ser utilizados por una aplicación o
software para establecer una conexión con el equipo tanto para fines benéficos o malignos.

RECOMENDACIÓN DEL AUDITOR:

 Establecer controles y políticas a nivel de Firewall para cerrar estos puertos ya que por medio de
ellos se puede establecer una sesión anónima hacia el ordenador.
 Realizar un escaneo de puertos en la red para determinar que equipos son vulnerables a
conexiones anónimas.
 Crear una matriz de riesgos para determinar los riesgos y mitigantes para cerrar o realizar una
excepción de estos puertos.

Página 30 de 48
REFERENCIAS:

 Bloquear puestos 137,138,139

https://webpath.wordpress.com/2010/11/02/cerrar-puertos-135-%E2%80%93-137-
%E2%80%93-138-%E2%80%93-139-%E2%80%93-445-%E2%80%93-5000-%E2%80%93-
1900-en-windows/

http://www.daboweb.com/foros/index.php?topic=4457.0

 Ataques mediante el puerto 445

http://morsa-net.blogspot.com/2009/10/tutorial-metasploit-puerto-445.html

 Ataques mediante el puerto 139

https://foro.hackhispano.com/threads/30602-Acceder-a-un-pc-atraves-del-puerto-139

EVIDENCIAS.
Comando Kali (nmap -f -sS -sV --script auth 192.168.0.26)

Figura 25 Puertos abiertos/Activos en el ordenador.

Página 31 de 48
Figura 26 Resultado del NETSTAT -A

Figura 27 Sesiones activas.

Página 32 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.13 VULNERABILIDAD SLOWLORIS (DoS)

NIVEL DE RIESGO:
ALTO

IMPACTO:
El ordenador evaluado es vulnerable a ataques de Slowloris mediante el puerto TCP 5800 y la aplicación
del Tight VNC.

Los ataques de DoS (Denegación de Servicios) es un tipo de ataque que se trata de un cliente HTTP capaz
de provocar una denegación de servicio (DoS) a servidores web con poco uso de ancho de banda.

Dicho cliente HTTP intenta abrir tantas conexiones como pueda al servidor web e intenta mantenerlas
abiertas tanto tiempo como sea posible. Periódicamente para evitar que el servidor web cierre la conexión
va añadiendo headers a la petición HTTP sin llegar a finalizarla nunca.

Esto provoca que en determinados servidores web se vayan quedando las conexiones abiertas hasta llegar
al máximo, bloqueando las peticiones legítimas.

RECOMENDACIÓN DEL AUDITOR:

 Clausurar el puerto 5357,5800 y 5900 para mitigar este riesgo.

 Eliminar el programa VNC de los ordenadores.

REFERENCIAS:

 Cómo funciona el ataque de DoS de Slowloris

http://systemadmin.es/2009/08/slowloris-ataque-de-denegacion-de-servicio-para-
apache-1x-y-2x

https://www.youtube.com/watch?v=8NcZnUfaDOo

https://www.youtube.com/watch?v=nsEzMHGjE-8

 Documentación del Slowloris

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=slowloris

 Descarga en GitHub
https://github.com/llaera/slowloris.pl

Página 33 de 48
EVIDENCIAS.

Figura 28 Vulnerabilidad Slowloris

DESCRIPCIÓN DEL HALLAZGO:

2.14 CONEXIONES AUTOMATICAS DESDE INTERNET EXPLORER.

NIVEL DE RIESGO:
ALTO

IMPACTO:
La imagen de Windows 7 utilizado por el departamento de IT de GRUPO PANDORA está infectado de algún
tipo de Malware o Spyware ya que al ejecutar Internet Explorer cargan páginas con contenido de dudosa
reputación

https://www.artistapirata.com/mega-downloader-1-7-descarga-sin-limites-mega-nz/

http://viid.me/917JY

http://www.rtwincustomize.net/

Se realizó un análisis en https://fortiguard.com/webfilter para determinar los riesgos y contenido de estas

páginas y el sistema diseñado por Fortigate indica que el contenido es altamente peligroso, contiene
código malicioso o puede contener contenido para propiciar un ataque.

Página 34 de 48
RECOMENDACIÓN DEL AUDITOR:

 Instalar una solución para analizar Spyware, Malware, Rootkits y Backdoors.

 Realizar un escaneo profundo en toda la red de datos.

REFERENCIAS:

 Solución de seguridad.
https://es.malwarebytes.com/
https://support.microsoft.com/en-us/help/14210/security-essentials-download
Evidencias.

Figura 29 Intento de Conexión en Internet Explorer

Figura 30 Intento de Conexión en Internet Explorer

Página 35 de 48
 Figura 31 Intento de Conexión en Internet Explorer

Analisis de la url a las cuales se intenta conectar el ordenador.

Figura 32 Resultado de Web Filter Link 1

Página 36 de 48
Figura 33 Resultado de Web Filter Link 1

Figura 34 Resultado de Web Filter Link 3

Página 37 de 48
DESCRIPCIÓN DEL HALLAZGO:

2.15 LA IMAGEN DEL S.O ESTA COMPROMETIDA

NIVEL DE RIESGO:
ALTO

IMPACTO:
La imagen de Windows 7 Ultimate Edition no es la versión oficial liberada por el fabricante. Según el
análisis realizado y documentos encontrados en el equipo. Esta es una versión de Windows 7 modificada
por Machine028@hotmaill.com.

Al ser una copia de Windows comprometida se pone en riesgo la seguridad de la información, estabilidad
de la infraestructura tecnológica y representa un riesgo para para toda la organización y los empleados ya
que este sistema operativo está siendo monitoreado por un intruso.

RECOMENDACIÓN DEL AUDITOR:

 Adquirir una copia genuina de Windows 7 Ultimate Editicion o Professional con Servi Pack 1.
 Formatear y eliminar este sistema operativo en los equipos asignados al departamento de ventas.
 Cambiar el passwords de todos los servidores, equipo de comunicaciones, impresoras, host,
cuentas de correo, cuentas de acceso a bancos, redes sociales, entre otros.
 Realizar un escaneo profundo en la red de datos.
 Realizar una evaluación de seguridad a toda la red de datos, internet, voz/IP.

REFERENCIAS:

 Partner de Microsoft en Honduras

https://www.microsoft.com/es-hn/

EVIDENCIAS.

Figura 35 Licencia de Windows activada por un tercero

Página 38 de 48
2.16 FOOTPRINTING

Se realizó un Footprinting para conocer más acerva de machine028@hotmail.com quien fue la(s)
persona(s) que modifico la imagen de Windows 7 utilizada por GRUPO PANDORA.

Se encontró un usuario asociado a la cuenta machine028@hotmail.com en www.taringa.net

Figura 36 Footprinting –Taringa-

No se encontró usuario que utilice la cuenta machine028@hotmail.com en www.twitter.com

Figura 37 Footprinting –Twitter-

No se encontró usuario que utilice la cuenta machine028@hotmail.com en www.facebook.com

Figura 38 Footprinting –Facebook-

Página 39 de 48
Se encontró un usuario asociado a la cuenta machine028@hotmail.com en www.youtube.com

Figura 39 Footprinting –You Tube-

Se encontró un usuario asociado a la cuenta machine028@hotmail.com en

https://espanol.answers.yahoo.com/

Figura 40 Footprinting –Yahoo Respuestas-

Página 40 de 48
Se encontró la imagen .iso de Windows 7 Ultimate Edition utilizada por el departamento de sistemas
de GRUPO PANDORA.

Figura 41 Footprinting –Imagen ISO de Windows 7 Parte 1-

Figura 42 Footprinting –Imagen ISO de Windows 7 Parte 2-

Página 41 de 48
 CAPITULO 3
RESUMEN EJECUTIVO

Página 42 de 48
3.1 RESUMEN EJECUTIVO
Una vez concluida la etapa de evaluación de seguridad a la imagen de Windows 7 Ultimate Edition
que utiliza el GRUPO PANDORA para la preparación de los equipos portátiles del área de ventas
se resume de la siguiente forma.

El Sistema Operativo está comprometido. Esta versión de Windows 7 no es la versión oficial

liberada por el fabricante (Microsoft). Por lo cual no se recomienda el uso y distribución de esta
versión modificada de Windows 7. Ya que es muy vulnerable.

Según el footprinting realizado por el GRUPO F se detectó que en Internet existe un sitio donde
se puede descargar gratuitamente esta versión modificada de Windows 7 mediante el siguiente
enlace http://desload.blogspot.com/2013/09/windows-7-ultimate-sp1-x64-suite.html

Adicionalmente este equipo es vulnerable a Slowloris (Ataque de tipo DoS) el cual puede afectar
la continuidad del negocio.

Debido a lo anteriormente citado se determina que las 15 vulnerabilidades encontradas en este

ordenador todas representan un alto riesgo para la organización ya que puede comprometer la
disponibilidad, integridad, y confidencialidad de la información.

Por lo tanto GRUPO F recomienda el formateo de todos los equipos que tienen este sistema operativo
modificado y realizar una revisión de seguridad profunda en toda la red de GRUPO PANDORA. Para
corregir las brechas de seguridad existentes y tratar mitigar aquellos riesgos que por continuidad del
negocio se deben asumir.

Página 43 de 48
3.2 RESUMEN EJECUTIVO DE LOS HALLAZGOS ENCONTRADOS

Figura 43 Resumen ejecutivo de los hallazgos

Página 44 de 48
CAPITULO 4
ANEXOS

Página 45 de 48
 4.1 GLOSARIO DE TERMINOS

Amenaza: Una amenaza a un sistema informático es una circunstancia que tiene el potencial de causar
un daño o una pérdida. Es decir, las amenazas pueden materializarse dando lugar a un ataque en el
equipo.

Como ejemplos de amenaza están los ataques por parte de personas, al igual que los desastres naturales
que puedan afectar a su computadora. También se pueden considerar amenazas los fallos cometidos por
los usuarios al utilizar el sistema, o los fallos internos tanto del hardware o cómo del software.

Auditor: Persona que efectúa una auditoría.

Auditoría: Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos de
evaluar la situación de la misma.

Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados. Y
es la habilidad de determinar que la información recibida es la misma que la información enviada.

Contraseña: Conocida también como 'clave de acceso'. Palabra o clave privada utilizada para confirmar
una identidad en un sistema remoto que se utiliza para que una persona no pueda usurpar la identidad
de otra.

Estándar: Es toda regla aprobada o práctica requerida para el control de la performance técnica y de los
métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de
Información.

Internet: Interconexión de redes informáticas que permite a las computadoras conectadas comunicarse
directamente.

.ISO: imagen ISO es un archivo informático donde se almacena una copia o imagen exacta de un sistema
de archivos.

Procedimiento: Método o sistema estructurado para la ejecución de actividades

Programa: Secuencia de instrucciones que obliga al ordenador a realizar una tarea determinada.

Permisos: Derechos de acceso hacia un servicio, archivo o carpeta en un sistema de archivos.

Protocolo: Es decir, es un conjunto de reglas y procedimientos que deben respetarse para el envío y la
recepción de datos a través de una red.

Puertos: Es una interfaz a través de la cual se pueden enviar y recibir los diferentes tipos de datos.

Red: Servicio de comunicación de datos entre ordenadores. Conocido también por su denominación
inglesa: 'network'.

Página 46 de 48
Riesgo: El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.

El riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Esté riesgo permite tomar
decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite que acepte para su
equipo, de tal forma que si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.

Servidor o servidores: Ordenador que ejecuta uno o más programas simultáneamente con el fin de
distribuir información a los ordenadores que se conecten con él para dicho fin. Vocablo más conocido bajo
su denominación inglesa 'server'.

T.I: Tecnologías de Información

Técnica: La técnica es el procedimiento o el conjunto de procedimientos que tienen como objetivo

obtener un resultado determinado, ya sea en el campo de la ciencia, de la tecnología, de las artesanías o
en otra actividad

Técnicas: Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas.

Vulnerabilidad: Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para
causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadora,
tanto en el hardware, el sistema operativo, cómo en el software

Página 47 de 48
 4.2 BIBLIOGRAFIA

Para una mayor comprensión de este documento o material de ayuda para futuros eventos y
evaluaciones de seguridad se detallan los siguientes enlaces los cuales fueron de utilidad para la
elaboración de este informe.

Vulnerabilidades y boletines de seguridad

https://www.cvedetails.com/product-search.php
https://technet.microsoft.com/es-es/security/bulletins.aspx
https://fortiguard.com/
https://www.welivesecurity.com/la-es/
http://www.segu-info.com.ar/

https://www.owasp.org/index.php/Main_Page
http://csrc.nist.gov/
https://www.us-cert.gov/
http://nist.org/

Software de Auditorias
https://nmap.org/
https://www.metasploit.com/
http://www.nesus.eu/
https://www.microsoft.com/en-us/download/details.aspx?id=7558

Página 48 de 48