Академический Документы
Профессиональный Документы
Культура Документы
GRUPO PANDORA
TABLA DE CONTENIDO
CAPITULO 1 GENERALIDADES .............................................................................................................4
1.1 INTRODUCCION ............................................................................................................................5
1.2 ALCANCE ......................................................................................................................................6
1.3 METODOLOGIA ............................................................................................................................6
1.5 BITACORA DE ACTIVIDADES ..........................................................................................................8
1.6 HERRAMIENTAS UTILIZADAS.........................................................................................................8
1.7 EVALUACION DE RIESGOS .............................................................................................................9
1.8 DIAGRAMA DE UTILIZADO PARA LA EVALUACION DE SEGURIDAD .................................................9
CAPITULO 2 VULNERABILIDADES ...................................................................................................... 10
2.1 ACTUALIZACIONES AUTOMÁTICAS DE WINDOWS ESTAN DESACTIVADAS/NO CONFIGURADAS. ... 11
2.2 EL SISTEMA OPERATIVO NO ESTÁ ACTUALIZADO. ........................................................................ 12
2.3 PROGRAMAS OBSOLETOS INSTALADOS EN EL ORDENADOR. ....................................................... 14
2.4 SOFTWARE INSTALADO AL QUE NO DEBE TENER ACCESO EL USUARIO. ........................................ 17
2.5 PRIVILEGIOS DE ADMINISTRADOR A USUARIOS ESTANDART. ...................................................... 19
2.6 PARAMETOS DE USUARIO (VENCIMIENTO Y FORTALEZA DE CONTRASEÑA) ................................. 21
2.7 AUDITORIA DE WINDOWS NO ACTIVADA/CONFIGURADA ........................................................... 23
2.8 INFORMACION EN EQUIPO PORTATIL NO ENCRIPTADA ............................................................... 24
2.9 INFORMACION SENSIBLE COMPARTIDAD CON TERCEROS ............................................................ 25
2.10 ACCESO A CONTROL PANEL Y REGEDIT ...................................................................................... 27
2.11 SEGURIDAD PERIMETRAL EN EL ORDENADOR ........................................................................... 28
2.12 PUERTOS TCP/UDP ACTIVOS ..................................................................................................... 30
2.13 VULNERABILIDAD SLOWLORIS (DoS) ......................................................................................... 33
2.14 CONEXIONES AUTOMATICAS DESDE INTERNET EXPLORER. ........................................................ 34
2.15 LA IMAGEN DEL S.O ESTA COMPROMETIDA .............................................................................. 38
2.16 FOOTPRINTING ......................................................................................................................... 39
CAPITULO 3 RESUMEN EJECUTIVO .................................................................................................... 42
3.1 RESUMEN EJECUTIVO ................................................................................................................. 43
3.2 RESUMEN EJECUTIVO DE LOS HALLAZGOS ENCONTRADOS .......................................................... 44
CAPITULO 4 ..................................................................................................................................... 45
4.1 GLOSARIO DE TERMINOS ............................................................................................................ 46
4.2 BIBLIOGRAFIA ............................................................................................................................ 48
Página 2 de 48
TABLA DE FIGURAS
FIGURA 1 CICLO DE VIDA HACKING ÉTICO ......................................................................................................................... 6
FIGURA 2 TABLA DE ACTIVIDADES .................................................................................................................................. 8
FIGURA 3 HERRAMIENTAS UTILIZADAS............................................................................................................................. 8
FIGURA 4 EVALUACIÓN DE RIESGOS ................................................................................................................................ 9
FIGURA 5 DIAGRAMA DE RED UTILIZADO EN LA EVALUACIÓN DESEGURIDAD. ............................................................................ 9
FIGURA 6 ACTUALIZACIONES AUTOMÁTICAS DESHABILITADAS/NO CONFIGURADAS .................................................................. 11
FIGURA 7 VULNERABILIDADES ASOCIADAS WINDOWS 7 .................................................................................................... 13
FIGURA 8 ACTUALIZACIONES INSTALADAS EN EL EQUIPO .................................................................................................... 13
FIGURA 9 VULNERABILIDADES EN OFFICE 2010 ............................................................................................................... 14
FIGURA 10 VULNERABILIDADES EN OFFICE 2010 32 BITS. ................................................................................................. 15
FIGURA 11 VULNERABILIDADES EN NET FRAMEWORK. ...................................................................................................... 15
FIGURA 12 PROGRAMAS INSTALADOS EN EQUIPO HOST .................................................................................................... 16
FIGURA 13 PROGRAMAS INSTALADOS EN EQUIPO HOST –OFFICE 2010- ............................................................................... 16
FIGURA 14 PROGRAMAS INSTALADOS –BRECHAS DE SEGURIDAD- ....................................................................................... 18
FIGURA 15 VISTA DE LAS PROPIEDADES DEL GRUPO ADMINISTRADORES ................................................................................ 20
FIGURA 16 RESULTADO DEL ESCANEO REALIZADO POR MBSA ............................................................................................ 20
FIGURA 17 PARAMETRO DE CONTRASEÑA – CONTRASEÑA NUNCA EXPIRA- ............................................................................ 22
FIGURA 18 RESULTADO DEL ESCANEO MBSA –PARÁMETROS DE VENCIMIENTO DE CONTRASEÑAS- ............................................. 22
FIGURA 19 AUDITORIA DE WINDOWS NO CONFIGURADA................................................................................................... 23
FIGURA 20 DISCO DURO SIN ENCRIPTACIÓN .................................................................................................................... 24
FIGURA 21 CARPETA USERS COMPARTIDA .................................................................................................................... 26
FIGURA 22 RESULTADO DEL ESCÁNER MBSA- CARPETAS COMPARTIDAS- ............................................................................. 26
FIGURA 23 ACCESOS A CONFIGURACIONES AVANZADAS DEL SISTEMA.................................................................................... 27
FIGURA 24 FIREWALL DE WINDOWS DESACTIVADO .......................................................................................................... 29
FIGURA 25 PUERTOS ABIERTOS/ACTIVOS EN EL ORDENADOR. ............................................................................................ 31
FIGURA 26 RESULTADO DEL NETSTAT -A ..................................................................................................................... 32
FIGURA 27 SESIONES ACTIVAS. .................................................................................................................................... 32
FIGURA 28 VULNERABILIDAD SLOWLORIS ...................................................................................................................... 34
FIGURA 29 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 35
FIGURA 30 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 35
FIGURA 31 INTENTO DE CONEXIÓN EN INTERNET EXPLORER ............................................................................................... 36
FIGURA 32 RESULTADO DE WEB FILTER LINK 1................................................................................................................ 36
FIGURA 33 RESULTADO DE WEB FILTER LINK 1................................................................................................................ 37
FIGURA 34 RESULTADO DE WEB FILTER LINK 3................................................................................................................ 37
FIGURA 35 LICENCIA DE WINDOWS ACTIVADA POR UN TERCERO ......................................................................................... 38
FIGURA 36 FOOTPRINTING –TARINGA-.......................................................................................................................... 39
FIGURA 37 FOOTPRINTING –TWITTER- .......................................................................................................................... 39
FIGURA 38 FOOTPRINTING –FACEBOOK-........................................................................................................................ 39
FIGURA 39 FOOTPRINTING –YOU TUBE- ........................................................................................................................ 40
FIGURA 40 FOOTPRINTING –YAHOO RESPUESTAS- ........................................................................................................... 40
FIGURA 41 FOOTPRINTING –IMAGEN ISO DE WINDOWS 7 PARTE 1- ................................................................................... 41
FIGURA 42 FOOTPRINTING –IMAGEN ISO DE WINDOWS 7 PARTE 2- ................................................................................... 41
Página 3 de 48
CAPITULO 1
GENERALIDADES
Página 4 de 48
1.1 INTRODUCCION
En el presente informe se detalla la evaluación de seguridad realizada por el Grupo F a una imagen del
sistema operativo Windows 7 Ultímate Editión. Propiedad de GRUPO PANDORA S.A. La cual es utilizada
en la preparación de las computadoras portátiles del departamento de ventas de dicha organización.
Durante el desarrollo de esta evaluación se detectaron anomalías y vulnerabilidades que ponen en riesgo
la integridad, confidencialidad e integridad de los datos almacenados y procesados es estos equipos que
puede afectar de forma directa e indirecta a la infraestructura tecnológica de GRUPO PANDORA S.A.
exponiendo el activo más importante ¡LA INFORMACION!
Esta evaluación de seguridad fue desarrollada mediante el modelo de la caja negra y la misma fue
realizada en un ambiente virtual controlado evitado la exposición del equipo analizado.
Esta evaluación fue solicitada por el departamento de TI y autorizada por la Alta Gerencia de GRUPO
PANDORA S.A. por tal razón GRUPO F no cometió infracciones a políticas, procedimientos, normas que
rigen esta organización y las leyes nuestro país.
Página 5 de 48
1.2 ALCANCE
El resultado de este informe detallara las vulnerabilidades encontradas en este equipo y los riesgos que
conlleva la implementación de continuar utilizando este sistema operativo.
A su vez se brindara una serie de sugerencias para mitigar los riesgos y corregir las brechas de seguridad
encontradas y minimizar los riesgos de una posible intrusión y/o ataque que ponga en riesgo la
disponibilidad, integridad y confidencialidad de la información de GRUPO PANDORA.
1.3 METODOLOGIA
Para realizar esta evaluación de seguridad realizaron las siguientes actividades las cuales forman parte del
ciclo de vida del Hacking Ético basado en la caja negra.
El resultado de las actividades está plasmadas en el capítulo II de este informe en la sección de hallazgos
y vulnerabilidades.
Página 6 de 48
1.4 ANTECEDENTES
Página 7 de 48
1.5 BITACORA DE ACTIVIDADES
A continuación se detallan las actividades realizadas en el proceso de evaluación de seguridad.
Herramienta Uso
Virtual Box Infraestructura Virtual para la Evaluación.
S.O Windows 7 Ultimate 32 Bits Objetivo del Análisis
DNSstuff: DNS tools | Manage Monitor Analyze
Recopilar información
Redes Sociales (Twitter/Facebook/You Tube)
Escaneo de Vulnerabilidades, Escaneo de Puertos,
Kali-Linux Conexiones,
Microsoft Baseline Analyzer System (MBSA) Escaneo de Vulnerabilidades
Documentación de Vulnerabilidades y Brechas de
Internet Seguridad y otros.
FOCA Análisis de METADATA
Web Filter Lookup (Fortiguard) Análisis de páginas Web en equipo cliente.
Herramientas Nativas de Windows. Análisis de la configuración y conexiones establecidas.
Figura 3 Herramientas utilizadas
Página 8 de 48
1.7 EVALUACION DE RIESGOS
Los hallazgos y vulnerabilidades descritas en las páginas siguientes están clasificadas de acuerdo a la
metodología de GRUPO F, definida con base en el riesgo que representan para la infraestructura
tecnológica (Datos, Aplicaciones, instalaciones físicas, equipo de comunicaciones, servidores, dispositivos
y personal).
Página 9 de 48
CAPITULO 2
VULNERABILIDADES
Página 10 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
La no activación y configuración de esta característica representa un riesgo operativo para la organización
ya que el sistema operativo no está actualizado. Esto permite que el equipo sea vulnerable a múltiple
tipos y formas de ataques debido a la explotación de las brechas de seguridad y puede servir de medio
de transporte o medio de ataque para llegar a los servidores.
Las actualizaciones corrigen fallos de seguridad por eso es de vital importancia que los sistemas
operativos de los servidores, computadoras y dispositivos en la red cuentan con la última versión
liberada por el fabricante.
Activar las actualizaciones Automáticas (Clientes y Servidores).
Establecer controles, procedimientos y políticas que garanticen la activación de esta característica
en todos los equipos con sistema operativo Microsoft conectados en la red.
REFERENCIAS
Habilitar Windows Updates (Actualizaciones Automáticas de Windows).
https://blogs.technet.microsoft.com/seguridaddigitalmexico/2008/04/10/tips-para-actualizar-
tu-sistema-operativo-windows/
Link Alternativo.
http://windowsespanol.about.com/od/SeguridadEnWindows/ss/Actualizar-Windows-7-Con-
Windows-Update.htm
EVIDENCIAS
Página 11 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
Un sistema operativo desactualizado representa un riesgo operativo para la organización ya que es
vulnerable a múltiple tipos y formas de ataques debido a la explotación de las brechas de seguridad. Lo
anterior pone en riesgo la información almacenada, procesada y distribuida por la organización afectando
la disponibilidad, integridad y confidencialidad de la misma. Ya que puede servir de medio de transporte
para llegar hacia los servidores.
Exceptuando la actualización KB976932 la cual fue instalada por defecto se recomienda Actualizar
el sistema operativo una vez al mes.
Establecer controles, procedimientos y políticas que garanticen la ejecución de este proceso para
que los sistemas operativos estén actualizados.
Implementar el rol Windows Server Update Services (WSUS) que permite a los administradores
de tecnologías de la información implementar las actualizaciones de productos de Microsoft más
recientes. La actualización se puede programar de forma automática en todos los equipos. De lo
contrario se recomienda actualizar el sistema operativo de forma autónoma.
Implementar laboratorios de pruebas para certificar las actualizaciones liberadas para no poner
en riesgo la estabilidad, disponibilidad de un servidor o estación de trabajo.
REFERENCIAS
Implementación de Windows Server Update Services en la organización
https://msdn.microsoft.com/es-es/library/hh852340(v=ws.11).aspx
Página 12 de 48
FUENTES
https://www.cvedetails.com/product/17153/Microsoft-Windows-7.html?vendor_id=26
EVIDENCIAS
Página 13 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
La utilización de un programa no actualizado representa un riesgo operativo para la organización ya que
es vulnerable a múltiple tipos y formas de ataques debido a la explotación de las brechas de seguridad.
Lo anterior pone en riesgo la información almacenada, procesada y distribuida por la organización
afectando la disponibilidad, integridad y confidencialidad de la misma.
Las actualizaciones corrigen fallos de seguridad por eso es de vital importancia que los programas
instalados en el ordenador estén actualizados con la última versión liberada por el fabricante.
Actualizar los programas instalados en el ordenador hacia la última versión liberada por el
fabricante (Microsoft Office 2010, Net Framework, Winrar, Internet Explorer 9 y otros).
Establecer controles, procedimientos y políticas que garanticen la actualización de todo el
software instalados en la red.
REFERENCIAS
No definidas por el auditor debido a que el procedimiento varía según el software a actualizar.
FUENTES
VULNERABILIDADES OFFICE 2010.
Actualmente se han encontrado de forma oficial 344 vulnerabilidades que afectan o que
puede ser explotadas por tener instalado Microsoft Office 2010 sin actualizaciones.
Adicionalmente esta versión de office está obsoleta.
https://www.cvedetails.com/version-search.php?vendor=Microsoft&product=Office&version
Página 14 de 48
https://www.cvedetails.com/version-search.php?vendor=Microsoft&product=office&version=2010
https://www.cvedetails.com/product/2002/Microsoft-.net-Framework.html?vendor_id=26
Página 15 de 48
EVIDENCIAS
Página 16 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
La utilización del Software de Seguridad y Limpieza (Borrado de Huellas) no debe ser instalada ni
manipulada ni por el usuario. Ya que permite infringir procedimientos, políticas, extracción de
información sensible sin dejar ningún tipo de rastro o huella.
CCLEANER: Es una herramienta eficiente y fácil de utilizar que protege la privacidad digital mediante la
eliminación (limpieza profunda).
MEGALINK DOWLOADER: Es una herramienta eficiente para descargar contenido de internet utilizando
todas las conexiones que la red dispone para conectarse al sitio de https://mega.nz/
El uso de esta aplicación puede provocar una saturación en la red y el usuario tiene acceso ilimitado a
descargar cualquier contenido que pueda poner en riesgo la seguridad de la información y estabilidad de
la red interna.
GOOGLE TOOLBAR: Es una barra de herramientas desarrollada por Google pero la misma permite a
terceros mediante Xploit’s ganar acceso no autorizado a el equipo explotando y modificando las zonas de
seguridad.
Página 17 de 48
RECOMENDACIÓN DEL AUDITOR:
REFERENCIAS
CCLEANER
https://securityinabox.org/es/guide/ccleaner/windows/
GOOGLE TOOLBAR:
http://www.mediavida.com/foro/hard-soft/vulnerabilidad-google-toolbar-134905
http://www.vsantivirus.com/zonas-ie.htm
RESTRICCIÓN DE APLICACIONES.
http://es.wikihow.com/bloquear-una-aplicaci%C3%B3n-o-archivo-.exe-para-que-no-pueda-
ejecutarse-en-Windows
EVIDENCIAS
Página 18 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
El perfil administrador en un equipo permite acceso ilimitado a funciones y propiedades del sistema
operativo. Cuando este perfil es asignado a un usuario estandart se delega el control total del equipo para
que lo pueda manipular a su conveniencia.
Establecer controles, procedimientos y políticas que garanticen la correcta creación de una cuenta
de usuario y los permisos concedidos a dicha cuenta.
El perfil de administrador deber ser asignado a cierto personal del departamento de TI (Soporte
Técnico, Administrador de Servidores y Gerente de IT).
Realizar un laboratorio de pruebas utilizando el perfil (Usuarios Avanzados) para la ejecución de
ciertas tareas y programas que requieren permisos de administrador.
REFERENCIAS:
https://technet.microsoft.com/es-es/library/cc771990(v=ws.11).aspx
Página 19 de 48
EVIDENCIAS:
Página 20 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
Alto
IMPACTO:
Una contraseña es una forma de autentificación que utiliza el sistema operativo para garantizar y
controlar los accesos de un usuario hacia un recurso (Carpeta, Equipo, Servicio, Etc.).
Una contraseña débil o una contraseña que no tenga vencimiento implican un alto riesgo para la seguridad
de la información e infraestructura tecnológica debido a vulnerabilidades (Suplantación de Identidad,
Ataques de fuerza bruta, Contraseñas por defecto). Si la contraseña no se cambia frecuentemente se
garantiza y mantiene el acceso al intruso en caso que el sistema este comprometido y se detecta si existe
suplantación de identidad.
REFERENCIAS:
https://hostingdiario.com/5-consejos-para-hacer-tus-passwords-mas-seguros/
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-
us/windows_password_tips.mspx?mfr=true
Página 21 de 48
EVIDENCIAS:
Página 22 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
Por medio de la auditoria de Windows se puede realizar un seguimiento sobre los intentos exitosos y
fallidos de inicio y cierre de sesión. Adicionalmente permite auditar la administración de cuentas, accesos
a recursos, accesos a objetos, uso de privilegios y eventos del sistema.
Lo anterior permite diagnosticar si un equipo está comprometido o se está vulnerando algún algoritmo
de seguridad.
Activar la auditoria de Windows para tener un monitoreo del sistema operativo y lo que sucede
en su entorno.
REFERENCIAS:
Auditoria de Windows
https://technet.microsoft.com/es-es/library/cc730601(v=ws.11).aspx
https://blogs.msmvps.com/juansa/blog/2009/04/08/auditor-237-a-de-acceso-a-
objetos/
EVIDENCIAS:
Página 23 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
El departamento de ventas utiliza equipo portátil el cual es utilizado fuera de las instalaciones de GRUPO
PANDORA. Al salir de la instalación el equipo esta propenso a múltiples riesgos entre ellos el robo o
pérdida del equipo e información.
REFERENCIAS:
https://technet.microsoft.com/es-es/library/dd835565(v=ws.10).aspx
http://www.conecta-pc.es/seguridad/tutorial-bitlocker-que-es-como-se-utiliza.html
EVIDENCIAS:
Página 24 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
El uso de unidades, carpetas y archivos compartidos debe limitarse por listas de accesos para impedir que
un tercero tenga acceso a información sensible. Ya que la información puede ser modificada, eliminada o
extraída si previa autorización y conocimiento.
REFERENCIAS:
https://blogs.msmvps.com/juansa/blog/2009/04/08/auditor-237-a-de-acceso-a-
objetos/
Página 25 de 48
EVIDENCIAS:
Página 26 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
El acceso a las propiedades del sistema, control panel y REGEDIT permite a los usuarios modificar
parámetros se seguridad, instalar y desinstalar programas, eliminar registros del sistemas, eliminar
archivos sin previa autorización y/o conocimiento, evadir controles entre otros. Este privilegio puede ser
explotado por un intruso para realizar múltiples ataques o utilizar el ordenador como zombi ya que el
acceso al equipo está garantizado.
Establecer controles, procedimientos y políticas para limitar el acceso de los usuarios a Control
Panel, REGEDIT y Propiedades del sistema.
REFERENCIAS:
http://www.fermu.com/articulos/guia-regedit/22-el-editor-de-politicas/33-evitar-el-acceso-
al-panel-de-control
Restricciones a REGEDIT
http://www.caminogeek.com/impedir-el-acceso-a-el-editor-del-registro-de-windows-8-7/
EVIDENCIAS:
Página 27 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
El equipo no cuenta con un programa de antivirus que permita la detección de virus, malware, spyware,
Backdoors, Rootkits entre otros adicionalmente el equipo no está protegido por un firewall
(Nativo/Tercero) que permita filtrar las conexiones entrantes y salientes del ordenador hacia otras redes.
Esta brecha de seguridad pone en riesgo la seguridad de la información y la estabilidad de la red. Ya que
los riesgos de ataques se incrementan en 300% cuando este equipo se conecte a internet, se conecte a
otras redes privadas o públicas.
Establecer controles, procedimientos y políticas para garantizar que todo equipo conectado a la
red interna tenga un antivirus y firewall activado.
Adquirir una solución de antivirus de forma legal (Bajo Licencia oficial del fabricante y soporte).
Activar el firewall de nativo o realizar la adquisición de un tercero. Generalmente los antivirus
tienen incorporado un firewall de forma nativa.
Descargar, instalar e implementar en todos los host con sistema operativo de Microsoft el
programa Microsoft Security Essentials para Windows 7 o Windows Defender para Windows 8,
8.2 y Windows 10.
REFERENCIAS:
Activación de Firewall
https://support.microsoft.com/es-ve/instantanswers/c9955ad9-1239-4cb2-988c-
982f851617ed/turn-windows-firewall-on-or-off
http://windowsespanol.about.com/od/SeguridadEnWindows/f/Qu-E-Hago-Para-Activar-
O-Desactivar-El-Firewall-De-Windows-7.htm
Solución de antivirus
https://support.microsoft.com/es-es/help/14210/security-essentials-download
Página 28 de 48
EVIDENCIAS:
Página 29 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO: La gran mayoría de los programas que tenemos instalados en nuestro ordenador,
dependen de una salida (o conexión) a Internet para poder actualizarse o realizar otras
operaciones. Esta salida la obtienen mediante lo que se denomina puerto de conexión.
Todo puerto abierto supone un peligro, aunque esté solo "a la escucha", sin transferir datos.
Los puertos, 137, 138, 139, 445 corresponden al NetBios, el cual podríamos decir que es el
responsable de grandes fallas de seguridad. El NetBios es un protocolo de red, que tiene como
función permitir compartir archivos, impresoras, entre equipos de una red de computadoras.
Los puertos 5800 y 5900 utilizados por el Tight VNC permiten conexiones anónimas al
ordenador y conexiones visibles según la configuración y/o modo de conexión.
Los puertos 49152 al 49157 son puertos registrados que pueden ser utilizados por una aplicación o
software para establecer una conexión con el equipo tanto para fines benéficos o malignos.
Establecer controles y políticas a nivel de Firewall para cerrar estos puertos ya que por medio de
ellos se puede establecer una sesión anónima hacia el ordenador.
Realizar un escaneo de puertos en la red para determinar que equipos son vulnerables a
conexiones anónimas.
Crear una matriz de riesgos para determinar los riesgos y mitigantes para cerrar o realizar una
excepción de estos puertos.
Página 30 de 48
REFERENCIAS:
http://www.daboweb.com/foros/index.php?topic=4457.0
EVIDENCIAS.
Comando Kali (nmap -f -sS -sV --script auth 192.168.0.26)
Página 31 de 48
Figura 26 Resultado del NETSTAT -A
Página 32 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
El ordenador evaluado es vulnerable a ataques de Slowloris mediante el puerto TCP 5800 y la aplicación
del Tight VNC.
Los ataques de DoS (Denegación de Servicios) es un tipo de ataque que se trata de un cliente HTTP capaz
de provocar una denegación de servicio (DoS) a servidores web con poco uso de ancho de banda.
Dicho cliente HTTP intenta abrir tantas conexiones como pueda al servidor web e intenta mantenerlas
abiertas tanto tiempo como sea posible. Periódicamente para evitar que el servidor web cierre la conexión
va añadiendo headers a la petición HTTP sin llegar a finalizarla nunca.
Esto provoca que en determinados servidores web se vayan quedando las conexiones abiertas hasta llegar
al máximo, bloqueando las peticiones legítimas.
REFERENCIAS:
http://systemadmin.es/2009/08/slowloris-ataque-de-denegacion-de-servicio-para-
apache-1x-y-2x
https://www.youtube.com/watch?v=8NcZnUfaDOo
https://www.youtube.com/watch?v=nsEzMHGjE-8
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=slowloris
Descarga en GitHub
https://github.com/llaera/slowloris.pl
Página 33 de 48
EVIDENCIAS.
NIVEL DE RIESGO:
ALTO
IMPACTO:
La imagen de Windows 7 utilizado por el departamento de IT de GRUPO PANDORA está infectado de algún
tipo de Malware o Spyware ya que al ejecutar Internet Explorer cargan páginas con contenido de dudosa
reputación
https://www.artistapirata.com/mega-downloader-1-7-descarga-sin-limites-mega-nz/
http://viid.me/917JY
http://www.rtwincustomize.net/
Página 34 de 48
RECOMENDACIÓN DEL AUDITOR:
REFERENCIAS:
Solución de seguridad.
https://es.malwarebytes.com/
https://support.microsoft.com/en-us/help/14210/security-essentials-download
Evidencias.
Página 35 de 48
Figura 31 Intento de Conexión en Internet Explorer
Página 36 de 48
Figura 33 Resultado de Web Filter Link 1
Página 37 de 48
DESCRIPCIÓN DEL HALLAZGO:
NIVEL DE RIESGO:
ALTO
IMPACTO:
La imagen de Windows 7 Ultimate Edition no es la versión oficial liberada por el fabricante. Según el
análisis realizado y documentos encontrados en el equipo. Esta es una versión de Windows 7 modificada
por Machine028@hotmaill.com.
Al ser una copia de Windows comprometida se pone en riesgo la seguridad de la información, estabilidad
de la infraestructura tecnológica y representa un riesgo para para toda la organización y los empleados ya
que este sistema operativo está siendo monitoreado por un intruso.
Adquirir una copia genuina de Windows 7 Ultimate Editicion o Professional con Servi Pack 1.
Formatear y eliminar este sistema operativo en los equipos asignados al departamento de ventas.
Cambiar el passwords de todos los servidores, equipo de comunicaciones, impresoras, host,
cuentas de correo, cuentas de acceso a bancos, redes sociales, entre otros.
Realizar un escaneo profundo en la red de datos.
Realizar una evaluación de seguridad a toda la red de datos, internet, voz/IP.
REFERENCIAS:
https://www.microsoft.com/es-hn/
EVIDENCIAS.
Página 38 de 48
2.16 FOOTPRINTING
Se realizó un Footprinting para conocer más acerva de machine028@hotmail.com quien fue la(s)
persona(s) que modifico la imagen de Windows 7 utilizada por GRUPO PANDORA.
Página 39 de 48
Se encontró un usuario asociado a la cuenta machine028@hotmail.com en www.youtube.com
Página 40 de 48
Se encontró la imagen .iso de Windows 7 Ultimate Edition utilizada por el departamento de sistemas
de GRUPO PANDORA.
Página 41 de 48
CAPITULO 3
RESUMEN EJECUTIVO
Página 42 de 48
3.1 RESUMEN EJECUTIVO
Una vez concluida la etapa de evaluación de seguridad a la imagen de Windows 7 Ultimate Edition
que utiliza el GRUPO PANDORA para la preparación de los equipos portátiles del área de ventas
se resume de la siguiente forma.
Según el footprinting realizado por el GRUPO F se detectó que en Internet existe un sitio donde
se puede descargar gratuitamente esta versión modificada de Windows 7 mediante el siguiente
enlace http://desload.blogspot.com/2013/09/windows-7-ultimate-sp1-x64-suite.html
Adicionalmente este equipo es vulnerable a Slowloris (Ataque de tipo DoS) el cual puede afectar
la continuidad del negocio.
Por lo tanto GRUPO F recomienda el formateo de todos los equipos que tienen este sistema operativo
modificado y realizar una revisión de seguridad profunda en toda la red de GRUPO PANDORA. Para
corregir las brechas de seguridad existentes y tratar mitigar aquellos riesgos que por continuidad del
negocio se deben asumir.
Página 43 de 48
3.2 RESUMEN EJECUTIVO DE LOS HALLAZGOS ENCONTRADOS
Página 44 de 48
CAPITULO 4
ANEXOS
Página 45 de 48
4.1 GLOSARIO DE TERMINOS
Amenaza: Una amenaza a un sistema informático es una circunstancia que tiene el potencial de causar
un daño o una pérdida. Es decir, las amenazas pueden materializarse dando lugar a un ataque en el
equipo.
Como ejemplos de amenaza están los ataques por parte de personas, al igual que los desastres naturales
que puedan afectar a su computadora. También se pueden considerar amenazas los fallos cometidos por
los usuarios al utilizar el sistema, o los fallos internos tanto del hardware o cómo del software.
Auditoría: Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos de
evaluar la situación de la misma.
Confidencialidad: Se refiere a que la información solo puede ser conocida por individuos autorizados. Y
es la habilidad de determinar que la información recibida es la misma que la información enviada.
Contraseña: Conocida también como 'clave de acceso'. Palabra o clave privada utilizada para confirmar
una identidad en un sistema remoto que se utiliza para que una persona no pueda usurpar la identidad
de otra.
Estándar: Es toda regla aprobada o práctica requerida para el control de la performance técnica y de los
métodos utilizados por el personal involucrado en el Planeamiento y Análisis de los Sistemas de
Información.
Internet: Interconexión de redes informáticas que permite a las computadoras conectadas comunicarse
directamente.
.ISO: imagen ISO es un archivo informático donde se almacena una copia o imagen exacta de un sistema
de archivos.
Programa: Secuencia de instrucciones que obliga al ordenador a realizar una tarea determinada.
Protocolo: Es decir, es un conjunto de reglas y procedimientos que deben respetarse para el envío y la
recepción de datos a través de una red.
Puertos: Es una interfaz a través de la cual se pueden enviar y recibir los diferentes tipos de datos.
Red: Servicio de comunicación de datos entre ordenadores. Conocido también por su denominación
inglesa: 'network'.
Página 46 de 48
Riesgo: El riesgo es la posibilidad de que una amenaza se produzca, dando lugar a un ataque al equipo.
Esto no es otra cosa que la probabilidad de que ocurra el ataque por parte de la amenaza.
El riesgo se utiliza sobre todo el análisis de riesgos de un sistema informático. Esté riesgo permite tomar
decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite que acepte para su
equipo, de tal forma que si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.
Servidor o servidores: Ordenador que ejecuta uno o más programas simultáneamente con el fin de
distribuir información a los ordenadores que se conecten con él para dicho fin. Vocablo más conocido bajo
su denominación inglesa 'server'.
Técnicas: Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas.
Vulnerabilidad: Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para
causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadora,
tanto en el hardware, el sistema operativo, cómo en el software
Página 47 de 48
4.2 BIBLIOGRAFIA
Para una mayor comprensión de este documento o material de ayuda para futuros eventos y
evaluaciones de seguridad se detallan los siguientes enlaces los cuales fueron de utilidad para la
elaboración de este informe.
https://www.owasp.org/index.php/Main_Page
http://csrc.nist.gov/
https://www.us-cert.gov/
http://nist.org/
Software de Auditorias
https://nmap.org/
https://www.metasploit.com/
http://www.nesus.eu/
https://www.microsoft.com/en-us/download/details.aspx?id=7558
Página 48 de 48