Documento Metodológico

Ámbito 2

Escán
er

Penetration Testing
 Estrategia de Seguridad y Privacidad de la
Información de la Alcaldía de Bogotá

Alcalde de Bogotá
Enrique Peñalosa Londoño

Secretario General
Raúl Buitrago Arias

Alto Consejero Distrital del TIC

Sergio Martínez Medina

Profesional Especializado en Seguridad de la Información

María del Pilar Niño Campos

Diciembre 2018
4 5
 1
ÍNDICE DE FIGURAS PÁG. PÁG.

Figura 1. Logo PTES 10 Figura 21. Openvas 40

Figura 22. Configuración de nuevo objetivo

INTRODUCCIÓN
Figura 2. Logo OSSTM 12 42
Figura 3. Modelo de seguridad y privacidad 13 Figura 23. Configuración de nueva tarea 42
de la información Figura 24. Ejecutar (Botón “play”) 43
Figura 4. Metodología para el pentesting 15 Figura 25. Tarea en ejecución 43
Figura 5. Ejemplo de ipconfig 18 Figura 26. Tarea finalizada 43
Figura 6. Ejecución de Pentesting 19 Figura 27. Informe de Openvas 44
Figura 7. Barrido de ping Nmap 20 Figura 28. Ejemplo de informe detallado 44 La velocidad y los cambios son conceptos que en tecnología evolucionan diariamente.
Figura 8. Escaneo SYN 21 Figura 29. Pantalla principal de Wireshark 45 Del mismo modo, la obsolescencia se hace presente debido a la velocidad de los
Figura 9. Escaneo TCP 21 Figura 30. Menú Wireshark 45 cambios en el software, hardware, procesos y políticas de las instituciones, de tal forma
Figura 10. Banner grabbing 22 Figura 31. Barra de herramientas Wireshark 46 que pone en evidencia que lo que hoy es un estándar, mañana podría ser obsoleto.
Figura 11. Escaneo de sistema operativo 23 Figura 32. Descripción barra de herramientas 47
Figura 33. Barra de filtros Por otro lado, la efectividad de la estrategia de seguridad de las instituciones se
Figura 12. Pantalla de inicio OWASP ZAP 24 47
Figura 34. Panel de lista de paquetes
demuestra cuando repetidamente se pone a prueba su tecnología, sus procesos y
Figura 13. Parametrización de url 29 25 47
Figura 35. Protocolos y campos de paquete
sus personas, y así identificar las vulnerabilidades de la institución, que con dichos
Figura 14. Resultados de OWASP ZAP 25 48
resultados se elaboran protocolos que busquen enfrentar las situaciones que se salgan
Figura 15. Ejemplo de vulnerabilidad encontrada 26 Figura 36. Panel bytes del paquete 48 de la normalidad, como un ataque.
Figura 16. Pantalla de inicio de Wireshark 26 Figura 37. Barra de estado 48
Figura 17. Selección de interfaz de captura 27 Figura 38. Consola de Metasploit 48 Por lo anterior, una adecuada estrategia de seguridad exige que las instituciones
Figura 18. Filtro método GET 28 Figura 39. Comandos de Metasploit 49 se sometan a pruebas de penetración o pentesting en inglés, con el fin de probar la
Figura 19. Follow TCP Stream 28 Figura 40. Opciones del exploit 50 efectividad de sus controles de seguridad implementados, ante hackers y especialistas
Figura 20. Metasploit 30 Figura 41. Opciones del Payload 50 en ciberseguridad, y este documento es una guía para hacer esto.
Figura 42. Ejemplo de explotación de
una vulnerabilidad 51

ÍNDICE DE TABLAS PÁG.

Tabla 1. Descripción de herramientas 32

7
2 4 OBJETIVOS
DEFINICIÓN ESPECÍFICOS
Penetration testing: prueba de penetración, o “pentest”, es un ataque controlado a un Usar técnicas y herramientas de ethical hacking para identificar vulnerabilidades
sistema informático con la intención de encontrar las debilidades o vulnerabilidades de como lo haría un atacante.
seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos 1. Verificar bajo situaciones de ataque, cuál es el comportamiento de los mecanismos
de defensa.
El pentest es la forma legal y autorizada para realizar el descubrimiento de Identificar los umbrales configurados por parte de la entidad, en los sistemas de
vulnerabilidades aplicando metodologías y uso de herramientas para obtener detección y protección contra de ataques.

5
información sensible, acceso no autorizado o vulnerar activos de información críticos

3
para la entidad.

OBJETIVO
GENERAL ALCANCE
El pentest busca la ejecución de pruebas, tanto de caja gris como de caja negra,
simulando un contexto real sobre posibles ataques a la entidad de potenciales ciber-
Realizar evaluaciones estructuradas de la seguridad de la red y los sistemas delincuentes que buscan atentar contra la confidencialidad, integridad o disponibilidad
de tecnologías de la información (TI) utilizando escenarios conocidos de de los activos de información.
ciberataques, incluyendo la explotación de las vulnerabilidades actuales
mediante exploits 2. En las pruebas de caja gris, los realizadores conocen algunos datos de la institución
como por ejemplo el mapa de red y los segmentos de direcciones relevantes, pero no se
Nota: Para ello se requiere contar con el consentimiento y autorización de la conoce el código fuente de los aplicativos a analizar, ni otros elementos de arquitectura de
entidad; La finalidad es identificar vulnerabilidades y puntos claves que carezcan software, despliegue de la solución (aplicativo) o credenciales y controles de seguridad
o cuenten con inapropiados mecanismos de protección 3 . en el despliegue de las soluciones, este es el ambiente de simulación de funcionarios,
contratistas, proveedores, ex-proveedores, ex-contratistas y ex-funcionarios.

Para las pruebas de caja negra la información que conoce el realizador de la prueba
es mínima, es decir se conoce a lo sumo el nombre del dominio (www) y la información
publicada, que por la Ley 1712 de 2014 (Congreso de la República de Colombia, 2014)
- de Transparencia y del Derecho de Acceso a la Información Pública y Nacional - se
1
[Link] pueda obtener.
2
Un exploit es un programa o código que explota una vulnerabilidad del sistema o de parte de él para aprovechar esta deficiencia en beneficio del creador
del mismo. Fuente: [Link] Las pruebas de vulnerabilidad se realizan a tres (3) aplicativos Web y tres (3) aplicativos
3
Anexo técnico del concurso de méritos SGA-CM-07-2018 realizado por la Alta Consejería de TIC. cliente/servidor definidos por la entidad, sobre el protocolo de internet IPv4. Se hacen las

8 9
recomendaciones pertinentes, para que la selección de los aplicativos pertenezca a los El PTES o Estándar de ejecución de pruebas de penetración, es un estándar diseñado
activos críticos de la entidad. Adicionalmente, se realizan las actividades para la vuelta a para ofrecer, tanto a las empresas como a los proveedores de servicios de seguridad, un
la normalidad, generando el menor impacto institucional aceptable, en caso de que las lenguaje y un ámbito común, para realizar pruebas de penetración 4.
pruebas de vulnerabilidad y análisis generen alguna interrupción de uno o más servicios
de TI, o de los sistemas de información que operan. El PTES consta de siete secciones principales que abarcan temas relacionados con
pruebas de penetración de la siguiente forma:
Para las pruebas realizadas a los aplicativos, se estudian los factores y/o recursos que
sean utilizados en el almacenamiento, transporte y procesamiento de la información, lo Interacciones previas al compromiso: El objetivo de esta sección del PTES es
anterior implica hardening, verificación de puertos, configuración de servicios, validación presentar y explicar las herramientas y técnicas disponibles que ayudan a tener un
de permisos críticos, existencia y uso de keyloggers, verificación de las actualizaciones preacuerdo exitoso de la prueba de penetración. La información de esta sección es el
de los antivirus y, estado de la actualización de parches críticos y de seguridad. resultado de los muchos años de experiencia combinada de algunos de los pentesters
más exitosos del mundo.
Los tipos de pruebas que se orientan en este documento son credenciales débiles, Cross Recopilación de información: Esta sección define las actividades de recopilación
Site Scripting, SQLi, explotación de vulnerabilidades de componentes Java y finalmente de inteligencia de un penetration testing. El propósito de esta sección es, proporcionar
ataques por buscadores web. un estándar diseñado específicamente para que el pentester realice un reconocimiento

6
contra un objetivo.
La sección detalla el proceso de pensamiento y los objetivos del reconocimiento del
pentesting, y cuando se usa adecuadamente, orienta al pentester a producir un plan

MARCO TEÓRICO altamente estratégico para atacar un objetivo.

Modelado de amenazas: Esta sección define un enfoque de modelado de
amenazas para una ejecución correcta de un pentesting. El estándar no utiliza un modelo

Y JURÍDICO específico, sino que requiere que el modelo utilizado sea consistente en términos de su
representación de amenazas, sus capacidades, las calificaciones según la organización
que se está probando, y la capacidad de aplicarse repetidamente a pruebas futuras
con los mismos resultados. El estándar se centra en dos elementos clave del modelado
6.1 Marco teórico tradicional de amenazas: activos y atacante.
Análisis de vulnerabilidades: La prueba de vulnerabilidad es el proceso de
6.1.1. PTES - Penetration Testing Execution Standard descubrir fallas en sistemas y aplicaciones que pueden ser aprovechadas por un
atacante. Estos defectos pueden variar desde la configuración incorrecta del host y del
Figura 1. Logo PTES servicio, hasta el diseño de aplicaciones inseguras. Aunque el proceso utilizado para
buscar fallas varía y depende en gran medida del componente particular que se está
probando, algunos principios clave se aplican al proceso.
Explotación: La fase de explotación de un pentesting, se centra en establecer
el acceso a un sistema o recurso eludiendo las restricciones de seguridad. Si la fase
previa, el análisis de vulnerabilidades, se llevó a cabo correctamente, esta fase debería
estar bien planificada y sería un ataque de precisión. El objetivo es identificar el punto de
entrada principal en la organización e identificar los activos objetivo de alto valor.
Informes: Esta sección está destinada a definir los criterios básicos para el informe
del pentest. Si bien se recomienda enfáticamente utilizar un formato personalizado y de
marca, debe proporcionar un alto nivel de comprensión sobre los elementos del informe,
y una estructura para que el informe ofrezca valor al lector.
Fuente: Tomada de [Link]

4
[Link]

10 11
6.1.2. OWASP - Open Web Application Security Project
Desde sus comienzos a finales del año 2.000, OSSTMM creció rápidamente para abarcar
OWASP es una comunidad abierta que ayuda a las organizaciones a concebir, todos los canales de seguridad con la experiencia aplicada de miles de colaboradores.
desarrollar, adquirir, operar y mantener aplicaciones en las que se pueda confiar. Todas Para el año 2005, OSSTMM ya no se consideraba sólo un marco de mejores prácticas,
las herramientas, documentos, foros y capítulos de OWASP son gratuitos y están abiertos sino que se había convertido en una metodología para garantizar que la seguridad se
a cualquier persona interesada en mejorar la seguridad de las aplicaciones. está haciendo de la forma correcta en el nivel operativo. En el año 2006, OSSTMM pasó
de definir pruebas basadas en soluciones (como pruebas de cortafuegos y pruebas
Abogan por abordar la seguridad de las aplicaciones como un problema de personas, de enrutadores), a ser un estándar para quienes necesitaban una prueba de seguridad
procesos y tecnología, ya que los enfoques más efectivos para la seguridad de las confiable, en lugar de solo un informe de cumplimiento para una regulación o legislación
aplicaciones incluyen mejoras en todas estas áreas. específica.

6.1.3. OSSTMM 3 – The Open Source Security Testing Methodology Manual 6.1.4. Pruebas de efectividad del MSPI propuesto por MinTIC

6
Figura 2. Logo OSSTM Figura 3. Modelo de seguridad y privacidad de la información

Fuente: Tomada de MinTIC

Fuente: Tomada de [Link] “La metodología de pruebas de efectividad es una serie de actividades, que tienen por
finalidad comprobar o medir la eficiencia de la implementación del modelo de seguridad
El OSSTMM – por su siglas en inglés Open source security testing methodology manual en las entidades.”
o Manual de la metodología abierta de testeo de seguridad. Es uno de los estándares
profesionales más completos y comúnmente utilizados a la hora de verificar la seguridad Esta metodología ha sido diseñada para ayudar a las entidades a entender y comprender
de los sistemas y se encuentra en constante desarrollo. la realización de pruebas, los objetivos de estas y el beneficio que se obtiene al identificar
sus etapas y gestionarlas.
OSSTMM es un proyecto mantenido por ISECOM - Institute for Security and open
methodologies, desarrollado por una comunidad abierta, y sujeto a revisión Esta metodología es desarrollada en diferentes etapas que permiten concluir que tanto
interdisciplinaria entre pares 5 . ha avanzado la entidad con la implementación del modelo; de esta manera, a través de
la valoración de diferentes aspectos se permite identificar vulnerabilidades y amenazas
OSSTMM provee una metodología para probar la seguridad operacional de las a las cuales está expuesta la entidad, así como también posibles debilidades en los
ubicaciones físicas, las interacciones humanas y todas las formas de comunicación, controles implementados.
como inalámbrica, cableada, analógica y digital.
Al igual que los demás procedimientos planteados en el modelo de seguridad
y privacidad de la información, se busca proteger la disponibilidad, integridad y
confidencialidad de la información de la entidad. Un factor externo de mucho impacto,
5
[Link] que se alinea con la ejecución de las pruebas de seguridad y privacidad y sus resultados,

12 13
son los intereses de lo que se denomina Alta dirección, que para nuestro caso son los
directivos de las entidades del estado, estos se ven reflejados en las capacidades de
las entidades de llevar a buen término la implementación del modelo de seguridad para
dar cumplimiento a la normatividad vigente; así como llevar a la entidad al siguiente nivel
de seguridad que permite que sus procesos y atención al ciudadano deje una buena
imagen en la sociedad colombiana” 6 .
7 DESARROLLO DE LA
METODOLOGÍA

!
6.2 Marco jurídico

La presente documento metodológico (guía) está alineado con la Ley 1581 de 2012
(Congreso de la Republica, 2012), por la cual se dictan disposiciones generales para
la protección de datos personales. Es la ley que desarrolla el derecho que tienen las
!
ADALID Corp. propone la siguiente metodología para desarrollar el penetration testing
en las entidades distritales, la cual contempla una etapa de 1) planeación de las pruebas,
otra de 2) ejecución de actividades para pruebas de pentesting, y una última etapa de 3)
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido entrega y presentación de informes.
sobre ellas en bases de datos o archivos. Al igual que la Ley 1273 de 2009 (Congreso Figura 4. Metodología para el pentesting
de la República de Colombia, 2009), que creó nuevos tipos penales relacionados
con delitos informáticos y la protección de la información y de los datos con penas de
prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales
vigentes.

Para más información consultar el anexo técnico de Buenas Prácticas y Marco Normativo
de la Seguridad Digital

Fuente: ADALID Corp.

Esta metodología describe los pasos para realizar las pruebas de penetración en dos
ámbitos determinados por la Alta Consejería Distrital de TIC.

Primero se realiza un análisis para tres (3) aplicativos web determinando los puertos y
servicios publicados por la dirección IP y el set de pruebas de Intrusión que incluyan
entre otras debilidades de autenticación, ataques de cross site script, ataques Java,
ataques al browser, pruebas de keylogger.

Segundo se hace un análisis para aplicativos cliente/servidor determinando los puertos

en escucha, configuraciones por default, actualizaciones pendientes y el set de pruebas
de intrusión, que incluyan entre otras debilidades de autenticación, ataques de cross site
script, ataques Java, ataques al browser, pruebas de keylogger.

Debido a su naturaleza y ancho de banda necesario, los aplicativos cliente/servidor

usualmente no se utilizan a través de redes públicas. Por lo tanto el primer escenario se
6
[Link] centrará, de ser posible, en pruebas desde redes públicas. Y el segundo escenario se

14 15
centrará en pruebas desde redes internas de la entidad; excepto en el caso en que haya 7.1.3 Definir activos tecnológicos para las pruebas
alguna aplicación cliente/servidor publicada en internet, en este caso esa aplicación se
probará externamente. Se realiza una reunión preparatoria con la entidad destino de las pruebas, donde se
A los dos escenarios se les aplicará en conjunto los tres pasos de la metodología: realizan las siguientes actividades para escoger los aplicativos web y los aplicativos

!
1. Planeación de las pruebas cliente/servidor objeto del análisis.
2.
3.

7.1
Ejecución de actividades de las pruebas de pentesting
Entrega y presentación de informes.

Planeación de las pruebas

!
ADALID Corp. recomienda que para el desarrollo de esta actividad se tenga en cuenta
los siguientes factores:
1. Resolver las posibles dudas sobre los activos de información (Incluyendo
La planeación de las pruebas para aplicativos web y cliente/servidor se realiza con aplicaciones web y aplicaciones cliente/servidor), seleccionados por la entidad para el
acompañamiento de la entidad destino de la prueba. ADALID Corp. entrega los desarrollo de las pruebas.
requisitos a la Alta Consejería Distrital de TIC, quien es el enlace entre la empresa y la 2. Prescindir de aplicaciones, que por motivos de negocio se considere inviable
entidad destino de las pruebas. la definición de una ventana de mantenimiento, durante los períodos disponibles para
aplicar las pruebas.
La planeación incluye los siguientes pasos: 3. Establecer un orden inicial de preferencia de selección por parte de los
representantes de la Entidad destino, tanto para las aplicaciones web como las cliente/
7.1.1 Inventario de aplicativos web de la entidad destino servidor.
4. Identificar los posibles riesgos de indisponibilidad, de corrupción y pérdida de
Se solicita a la entidad destino de las pruebas, un inventario de aplicaciones web información ante la aplicación de las pruebas, sus estrategias de mitigación y sus planes
funcionales, y que sea remitido a la Alta Consejería Distrital de TIC, con el fin de ser de continuidad o rollback, en caso de ser requeridos.
insumo para las pruebas. 5. Escoger las aplicaciones web y las aplicaciones cliente/servidor que tengan
La información que se requiere de las aplicaciones web es la siguiente: distintas metodologías de desarrollo, lenguajes de programación, o middleware.
- Dirección IP y nombre interno de publicación Buscando una mayor variabilidad de estos criterios en las aplicaciones escogidas.
- Dirección IP y nombre externo de publicación (en caso haberlos) 6. Definir la fecha y hora de aplicación de las pruebas y un estimado de duración de
- Lenguaje de programación la aplicación de la prueba.
- Base de datos utilizada (en caso de tenerla)
- Año de puesta en servicio 7.1.4 Definir el kit de herramientas para las pruebas
- Proceso que soporta, y si ese proceso es misional o de apoyo.
Con la información generada por la aplicación de la cartilla del Ámbito 1 - “Reconocimiento
7.1.2 Inventario de aplicativos cliente/servidor de la entidad destino de Área” y la información entregada por la entidad de cada aplicación se seleccionan las
herramientas a utilizar para cada una de ellas.
Se solicita a la entidad destino de las pruebas, un inventario de aplicaciones cliente/
servidor funcionales, y que sea remitido a la Alta Consejería Distrital de TIC, con el fin de 7.1.5 Generación de documento de propuesta de pruebas
ser insumo para las pruebas.
La información que se requiere de las aplicaciones cliente/servidor es la siguiente: Se generará un documento gerencial que contenga:
- Dirección IP y nombre interno de publicación del servidor Aplicaciones a las que se realizan las pruebas.
- Dirección IP y nombre externo de publicación del servidor (en caso haberlos) Períodos (fecha, hora y duración) estimados en que se aplicarán las pruebas.
- Lenguaje de programación del servidor Posibles riesgos de indisponibilidad y de corrupción y/o pérdida de información
- Lenguaje de programación del cliente ante la eventual aplicación de las pruebas, las estrategias de mitigación sugeridas y los
- Base de datos utilizada (en caso de haberla) planes de continuidad o rollback.
- Año de puesta en servicio
- Proceso que soporta, y si ese proceso es misional o de apoyo Este documento se entregará a la Alta Consejería Distrital de TIC, para solicitar una la
autorización de la ejecución de las pruebas por parte de la entidad objetivo.

16 17
Se requiere por parte de ADALID Corp. que, la Alta Consejería Distrital de TIC obtenga 7.2 Ejecución de actividades para pruebas de pentesting
aprobación y un permiso por escrito por parte de la entidad destino de las pruebas, para
la ejecución de estas. Figura 6. Ejecución de Pentesting

7.1.6 Definición del cronograma

Se procede a generar un documento técnico que contenga:

Personal requerido por parte de la entidad y de la Alta Consejería para realizar
acompañamiento en la realización de las pruebas.
Los acompañamientos, permisos, tareas previas y posteriores a las pruebas.
Activos de información objetivo de las pruebas
Costos asociados al desarrollo de las pruebas.
Herramientas utilizar en cada una de las pruebas.
Comportamiento esperado de las aplicaciones durante la ejecución de las
pruebas.
Fecha y hora de las pruebas
Tiempos de ejecución de las pruebas. Fuente: ADALID Corp.

!
Tiempos de indisponibilidad de los servicios.
Para realizar la ejecución de las pruebas, se aplican metodologías reconocidas como !
!
Este documento técnico se entrega a la Alta Consejería Distrital de TIC para coordinar las propuestas por Ec-Council, OSSTMM y pruebas de efectividad, mencionadas
!
con la entidad destino de las pruebas.

ADALID Corp. propone que, en caso de no tener la información de las IP por parte de
las entidades, esta se debe obtener de la siguiente forma: identificar los servidores que
tienen las aplicaciones que serán objeto de pruebas, y revisar su configuración de red
anteriormente en el marco teórico de esta guía.
 
ADALID Corp. propone las siguientes etapas para la ejecución de las pruebas:

7.2.1 Reconocimiento
a través del comando ipconfig, de esta forma determinar sus direcciones IP y CIDR. A
continuación, se detalla un ejemplo: Para el reconocimiento, se considera como entrada los resultados obtenidos en el
a. Acceder a la consola con el comando “cmd” Documento Metodológico 1 - Reconocimiento del Área. En el caso de no tener estos
b. Mostrar la configuración de red con el comando: “ipconfig” resultados, se deben efectuar las siguientes tareas.
c. Identificar la dirección IP, que está escrita en el formato: [Link]
Figura 5. Ejemplo de ipconfig Se realiza una búsqueda en la página web de la entidad sobre información útil
como: números telefónicos, direcciones de email, empresas asociadas, nombres
de funcionarios, redes sociales, etc. De la misma forma, se hace una búsqueda en la
sección de noticias sobre información filtrada de forma no intencional, como aquella
Información que es conocida por los funcionarios al interior de la entidad, pero que no es
de dominio público.

Se revisan los mensajes de datos (Congreso de la República de Colombia, 1999)

publicados en internet que haga referencia a la entidad, y que pueda revelar información
sobre tecnologías y equipos usados al interior.

Se hace una búsqueda en sitios que permitan consultas whois para conocer datos de
Fuente: Tomada de [Link] contacto y DNS. Whois es un protocolo que se usa para realizar consultas en una base
de datos y muestra el propietario de un dominio o de una dirección IP. Para América del

18 19
sur está LACNIC , que es una organización no gubernamental internacional establecida Se hace un escaneo SYN o TCP para descubrir puertos en los hosts activos. Posterior a
en Uruguay en el año 2002 y su función es la asignación y administración de los recursos ello, se requiere identificar los puertos activos que serán sujetos a análisis. Esto se hace
de numeración de Internet -IPv4 e IPv6- (LANIC, 2018). con el fin de reducir el rango de búsqueda y así ahorrar tiempo en pruebas innecesarias.
Se ejecuta una búsqueda en internet a través de buscadores como Bing, Google, Yahoo!, Para esta actividad se usa nmap con la opción “-sS”, que permite hacer un escaneo SYN.
Shodan, con ayuda de técnicas como Google hacking para conseguir información más El escaneo SYN se realiza rápidamente, ya que escanea una gran cantidad de puertos
detallada sobre la entidad. por segundo y no se ve obstaculizada por firewalls restrictivos. También es relativamente
discreto y sigiloso, ya que no completa las conexiones TCP.
También se hace una búsqueda en redes sociales como Facebook o Twitter, que
brinden información sobre la entidad.
Se revisan los metadatos de archivos de la entidad encontrados en internet. Los nmap -sS <rango de red>
metadatos son los datos que describen otros datos, por ejemplo, el autor de un archivo. Figura 8. Escaneo SYN

7.2.2 Escaneo de puertos, servicios, OS

Analizar en cada host cada uno de sus puertos, es un proceso lento y probablemente
innecesario. Por tanto, la primera tarea es reducir el rango de direcciones IP a una lista de
equipos activos.

Esta tarea se realiza mediante un escaneo de ICMP o barrido de ping, con el fin de
encontrar los hosts activos en la red, y hacer más efectivas las pruebas siguientes, de
esta manera, se limitan las pruebas, a la lista de hosts descubiertos.
Para el siguiente ejemplo se usan direcciones IP genéricas, sin embargo, las entidades
deberán usar las direcciones IP definidas previamente en la planeación de las pruebas.
Nmap permite hacer esta tarea de la siguiente forma: con el modificador “-sn”, se Fuente: ADALID Corp.
configura Nmap para que no haga un escaneo de puertos después del descubrimiento
de host. Luego, lista los hosts disponibles que respondieron al descubrimiento de host. En el caso de que no sea posible realizar un escaneo SYN por falta de privilegios para
modificar los paquetes, se usa un escaneo TCP.
nmap -sn <IP objetivo>
Figura 7. Barrido de ping Nmap Figura 9. Escaneo TCP

Fuente: ADALID Corp.

Fuente: ADALID Corp.

20 21
En este caso, Nmap pide al sistema operativo que establezca una conexión con la Figura 11. Escaneo de sistema operativo
máquina y el puerto de destino, emitiendo la llamada al sistema de conexión, esto es
pedir al sistema operativo que haga un Ping por TCP.

nmap -sT <rango de red>

A continuación, se ejecuta un banner grabbing e identificación de sistemas operativos

de los dispositivos de la red. Esto con el fin de enfocar cada vez más las pruebas y ganar
conocimiento de la red y sus hosts.
Nmap permite con el argumento “-sV --script=banner”, ejecutar el script de un sencillo
banner grabber, que se conecta a un puerto TCP abierto y lista todo lo enviado por el
servicio en escucha, durante cinco segundos.

nmap -sV --script=banner <target> Fuente: ADALID Corp.

Figura 10. Banner grabbing Fuente: ADALID Corp.

7.2.3 Identificación y análisis de vulnerabilidades

Se identifica plenamente el sistema operativo del host con los resultados obtenidos
previamente, para enfocar el análisis de vulnerabilidades.

Se identifica el administrador de contenidos – CMS por sus siglas en ingles Content

management system- en caso de que aplique, con análisis de banners. Esto es
importante porque los CMS y sus plugins, son una fuente importante de vulnerabilidades
conocidas, y en el caso de que las vulnerabilidades no estén subsanadas, es un
potencial punto de explotación.

Se hace un escaneo de vulnerabilidades a los dispositivos identificados. Para esto

se usan herramientas como Nessus, OpenVas, Nikto o Burp Suite entre otras. La
Fuente: ADALID Corp. descripción de estas herramientas se encuentra en el numeral 8 de este documento, que
corresponde a la descripción de las herramientas.
Una de las características más conocidas de Nmap es la detección remota del sistema
operativo, analizando la huella de la pila TCP/IP. Se envían paquetes TCP y UDP al [Link] Análisis de aplicación
host remoto y se examinan los bits en las respuestas. Reconocer el sistema operativo
de host remoto permite orientar la parametrización de las herramientas de análisis de OWASP ZAP es una herramienta basada en Java que sirve para probar la seguridad de
vulnerabilidades. las aplicaciones web. Tiene una Interfaz gráfica de usuario -GUI por sus siglas en inglés
graphical user interface- intuitiva y potentes funciones para hacer cosas como fuzzing,
nmap -O <target> scripting, spidering, proxying y atacar aplicaciones web. También es extensible a través
de una serie de complementos. Es una herramienta de prueba de aplicaciones web todo
en uno.

22 23
 7.2.3 Identificación y análisis de vulnerabilidades
El procedimiento para realizar un análisis con la herramienta OWASP ZAP, es el siguiente:
ejecutar el comando: “owasp-zap” Figura 13. Parametrización de url

En el momento que OWASP ZAP inicie, se observa la siguiente pantalla. En primera

instancia aparece su función “Ataque” en la ventana de la derecha. Con esta opción,
OWASP ZAP dirige una prueba agresiva al sitio web especificado y comienza a buscar
vulnerabilidades.
Figura 12. Pantalla de inicio OWASP ZAP

Fuente: Tomada de [Link]

OWASP ZAP lanzará el ataque y probará la aplicación web en busca de vulnerabilidades.

Cuando se haya completado el ataque, debería verse una pantalla como la que se
muestra en la figura 14.

Como se puede observar en la ventana inferior izquierda, OWASP ZAP reporta las
alertas. Estas alertas están categorizadas por el tipo de vulnerabilidad.
En el informe de OWASP ZAP, aparecen las vulnerabilidades que el usuario debe
clasificar e identificar, con el fin de determinar cuáles son verdaderas y cuáles pueden
Fuente: Tomada de [Link] ser falsos positivos que arroja la herramienta.
Figura 14. Resultados de OWASP ZAP
En el campo “URL to attack” se debe digitar la URL objetivo de la prueba y se hace clic en
el botón “Ataque” que se encuentra debajo.

Fuente: Tomada de [Link]

24 25
Como se muestra en el siguiente ejemplo, en la pestaña “Alertas”, una de ellas se Esto es importante porque es necesario saber si los datos que usa la aplicación viajan
identifica como “Cross Site Scripting”. Esta es una vulnerabilidad que permite a los cifrados o al contrario, viaja en texto claro exponiendo la información de los usuarios.
atacantes inyectar código malicioso en los campos de entrada de la aplicación web. ZAP
identifica que, al inyectar una carga en la URL del sitio web, la aplicación responderá de Para analizar el tráfico de las aplicaciones, lo primero que debe hacerse es iniciar
manera tal que procesará el código inyectado. Wireshark, y activar la escucha de la interfaz que tenga acceso al tráfico de la aplicación.

Figura 15. Ejemplo de vulnerabilidad encontrada Figura 17. Selección de interfaz de captura

Fuente: Tomada de [Link] Fuente: Tomada de [Link]

[Link] Análisis de tráfico de las aplicaciones Wireshark inicia a capturar los paquetes que logra escuchar la interfaz de red. A partir de
este momento, debe analizarse el tráfico para detectar si está cifrado o si no.
Figura 16. Pantalla de inicio de Wireshark
Por medio de filtros, una de las principales funciones de Wireshark, se logra agrupar los
paquetes que se trasmiten entre orígenes y destinos, de esta manera se logra entender
las comunicaciones que existen entre ellos. A continuación, se detalla un filtro para el
método GET:

Fuente: Tomada de [Link]

26 27
 Figura 18. Filtro método GET
[Link] Plan de explotación

Partiendo del inventario de vulnerabilidad encontradas, se realiza una clasificación por el

tipo de vulnerabilidad, su criticidad y si hay un exploit disponible. La disponibilidad de los
exploits se puede encontrar en sitios web como:
[Link]
[Link]

De esta clasificación tomamos las vulnerabilidades con exploit disponible, y las

separamos en cuatro (4) categorías, las que permiten hacer explotación remota (exploits
remotos), los que requieren tener un acceso a la máquina a explotar (exploits locales),
las que explotan vulnerabilidades de las aplicaciones web y las vulnerabilidades que
permiten generan indisponibilidad en el servicio.

El caso ideal de explotación es cuando se encuentra una vulnerabilidad con un exploit

remoto que permite un acceso privilegiado a la máquina; o cuando se encuentra un
Fuente: Tomada de [Link] exploit remoto que sirve como puerta de entrada para ejecutar un exploit local de una
vulnerabilidad detectada del sistema. Si este escenario se encuentra, esta se escogerá
Otros filtros muy usados son los siguientes: como el objetivo primario en el plan de explotación.
• Credenciales POP: [Link]
• Credenciales con IMAP: [Link] De ahí en adelante se genera una lista ordenada de las exploits a ejecutar, en el orden de
• Credenciales con SMTP: [Link] clasificación de criticidad de las vulnerabilidades asociadas al exploit.
• Filtrar peticiones HTTP: [Link]
7.2.4 Explotación de vulnerabilidades y evidencias
En el caso de que la comunicación no esté cifrada, con ayuda de la función Follow TCP
Stream, podría observarse algo como en el siguiente ejemplo: Se selecciona la herramienta y los exploits para explotar las vulnerabilidades
Figura 19. Follow TCP Stream seleccionadas. Para el desarrollo de estas pruebas se selecciona Metasploit. Los
exploits se seleccionan de acuerdo con el informe de vulnerabilidades.

Fuente: Tomada de [Link]

28 29
 Figura 20. Metasploit
7.3 Entrega y presentación de Informes

Durante esta etapa, se propone realizar la presentación ejecutiva y técnica de los

resultados de las pruebas de pentesting realizadas en las diferentes entidades y activos
tecnológicos designados.

Se presenta el informe previamente elaborado, de acuerdo con las condiciones

propuestas por el CIO o dirección de la entidad.

Fuente: ADALID Corp.

Se configura el framework de explotación. Esto es parametrizar cada una de las

opciones de ataque de Metasploit, de acuerdo con las vulnerabilidades encontradas y
las versiones tanto de sistema operativo, como de aplicación o servicio.

Se lanza el exploit, esto es ejecutar el exploit ya configurado en Metasploit contra el host

objetivo.
Se recolectan las evidencias de la explotación que informe Metasploit o las capturas que
se realicen durante la explotación.

7.2.5 Documentación y resultados

Se analizan y sintetizan las evidencias encontradas durante cada una de las pruebas y
se elabora el informe con los resultados obtenidos

30 31
8 DESCRIPCIÓN DE HERRAMIENTAS PARA REALIZAR

EL PENETRATION TESTING
Herramienta
Tabla 1. Descripción de herramientas

Descripción Características Licencia Requerimiento

Tabla 3. Herramientas

Descarga
Nmap Es una herramienta para
exploración de red y
Descubrimiento de servidores
Identifica puertos abiertos en un host
GPL v2 Multiplataforma
• Procesador de 64 or 32-bit x86.
[Link]

auditoría de seguridad objetivo. • 30 MB de espacio disponible en disco.

Determina qué servicios está • 512 MB de memoria RAM.
ejecutando un host.
Determinar qué sistema operativo y
versión utiliza un host.
Obtiene algunas características del
hardware de la máquina objeto de la
prueba.

Openvas Framework que integra

servicios y herramientas
Escaneo de varios hosts
simultáneamente
GNU General
Public License
Multiplataforma
• Procesador moderno de 64 or 32-bit
[Link]
html
para escaneo y gestión Soporte SSL para OTP x86.
de vulnerabilidades de Soporte de WMI (opcional) • 3 GB de memoria RAM.
seguridad Gestión de notas para resultados de • 1 GB de espacio disponible en disco.
escaneo
Gestión de falsos positivos
Escaneos programados
Gestión de usuarios

Fuente: ADALID Corp.

32 33
Herramienta Descripción Características Licencia Requerimiento Descarga
Wireshark Analizador de protocolos
/ Sniffer
Inspección profunda de protocolos
Captura en vivo y análisis fuera de línea
GNU General
Public License
• Multiplataforma
• Procesador moderno de 64 or 32-bit
[Link]
org/#download
Navegador de paquetes estándar de x86.
tres paneles • 400 MB de memoria RAM.
Los datos de red capturados se pueden • 300 MB de espacio disponible en
navegar a través de una GUI disco.
Los filtros de visualización • Resolución del monitor al menos de
Lee / escribe diferentes formatos de 1024 × 768, 16-bit color.
archivos de captura • Una tarjeta de red.
Soporte de descifrado para muchos
protocolos, incluidos Ipsec, ISAKMP,
Kerberos, SNMPv3, SSL / TLS, WEP y
WPA / WPA2
Las reglas de coloreado se pueden
aplicar a la lista de paquetes

Metasploit Framework para

pruebas de penetración,
Escanea importación de datos
Escaneo de descubrimiento
BSD / Proprietary Multiplataforma
• Procesador de 2 GHz+
[Link]
framework/wiki/Nightly-Installers
Pentesting Explotación manual • 4 GB de memoria RAM
Exportación de datos • 1 GB de espacio disponible
Integración de escaneo Nexpose
Gestión de sesiones

8
Gestión de credenciales
Pivote Proxy
Módulos post-explotación
interfaz web
Limpieza de la sesión

Fuente: ADALID Corp.

34 35
 9
-sA (sondeo TCP ACK) --scanflags (Sondeo TCP a medida)
Este sondeo es distinto de otros que se han Los usuarios realmente avanzados de
discutido hasta ahora en que no puede Nmap no tienen por qué limitarse a los tipos
determinar puertos abiertos (o incluso de sondeos preparados que se ofrecen.
DESCRIPCIÓN DE USO DE LAS abiertos|filtrados). Se utiliza para mapear La opción --scanflags le permite diseñar su
HERRAMIENTAS PARA REALIZAR reglas de cortafuegos, y para determinar
si son cortafuegos con inspección de
propio sondeo mediante la especificación
de banderas TCP arbitrarias.
EL PENETRATION TESTING estados y qué puertos están filtrados.

-sW (sondeo de ventana TCP) -sI <sistema zombi [:puerto_sonda]>

El sondeo de ventana («window», N. (Sondeo ocioso)
9.1 Nmap del T.) es exactamente igual al sondeo Este es un método de sondeo avanzado
ACK que se aprovecha de un detalle de que le permite hacer un sondeo de puertos
Esta descripción de uso es tomada de la “Guía de referencia de Nmap (Página de implementación de algunos sistemas que TCP a ciegas de verdad (lo que significa
manual)” disponible en: [Link] permite diferenciar puertos abiertos de los que no se envía ningún paquete al sistema
cerrados, en lugar de imprimir no filtrado objetivo desde su dirección IP real). En
La principal forma de usar Nmap es la siguiente: cuando se devuelve un RST. Algunos lugar de esto se utiliza un ataque con
nmap [ <Tipo de sondeo>...] [<Opciones>] {<especificación de objetivo>} sistemas fijan un tamaño de ventana un canal alternativo que se aprovecha
positivo para puertos abiertos, mientras de la generación de la secuencia de los
9.1.1. Tipos de sondeo que se utiliza una ventana de tamaño cero identificadores de fragmentación IP del
para los cerrados. Así, en lugar de listar el sistema zombi para obtener información de
-sU (sondeos UDP) puerto como no filtrado cuando se recibe los puertos abiertos en el objetivo.
-sS (sondeo TCP SYN) Aunque la mayoría de los servicios más un RST, el sondeo de ventana permite
El sondeo SYN es el utilizado por omisión habituales en Internet utilizan el protocolo listar el puerto como abierto o cerrado en -sO (sondeo de protocolo IP)
y el más popular por buenas razones. TCP, los servicios UDP también son muy función de si el valor de la ventana TCP El sondeo de protocolo IP le permite
Puede realizarse rápidamente, sondeando comunes. Tres de los más comunes en ese paquete RST es positivo o cero, determinar qué protocolos (TCP, ICMP,
miles de puertos por segundo en una red son los servicios DNS, SNMP, y DHCP respectivamente. IGMP, etc.) soportan los sistemas objetivo.
rápida en la que no existan cortafuegos. (puertos registrados 53, 161/162, y 67/68 -b <sistema de rebote ftp> (sondeo de
El sondeo SYN es relativamente sigiloso y respectivamente). El sondeo UDP se activa -sM (sondeo TCP Maimon) rebote FTP)
poco molesto, ya que no llega a completar con la opción -sU. Puede combinarse El sondeo Maimon debe su nombre a la
las conexiones TCP. con un tipo de sondeo TCP como el persona que lo descubrió: Uriel Maimon. Una funcionalidad interesante en el
sondeo SYN (-sS) para comprobar ambos Describió la técnica en la revista Phrack protocolo FTP (RFC 959) es la posibilidad
-sT (sondeo TCP connect()) protocolos al mismo tiempo. número 49 (noviembre de 1996). Nmap, de utilizar conexiones FTP de pasarela.
El sondeo TCP Connect() es el sondeo TCP que incluye esta técnica, se publicó dos Esta opción puede abusarse a muchos
por omisión cuando no se puede utilizar el -sN; -sF; -sX (sondeos TCP Null, FIN, y números más tarde. Esta técnica es niveles así que muchos servidores han
sondeo SYN. Esto sucede, por ejemplo, Xmas) exactamente la misma a los sondeos Null, dejado de soportarla. Una de las formas de
cuando el usuario no tiene privilegios para Estos tres tipos de sondeos aprovechan FIN, y Xmas, pero en los que se envía abusar de ésta es utilizar el servidor de FTP
enviar paquetes en crudo o cuando se una indefinición en la RFC de TCP que una sonda FIN/ACK. Según el RFC 793 para hacer un sondeo de puertos a otro
están sondeando redes IPv6. Nmap le diferencia los puertos abiertos y cerrados. (TCP), se debería generar un paquete sistema. Simplemente hace falta decirle
pide al sistema operativo subyacente que “Si el estado del puerto [destino] es RST cuando se responde a dicha sonda al servidor de FTP que envíe un fichero
establezcan una conexión con el sistema CERRADO .... un segmento entrante que independientemente de si el puerto está a cada puerto interesante del servidor
objetivo en el puerto indicado utilizando la contiene un RST hace que se envíe un cerrado o abierto. Uriel se dio cuenta, objetivo cada vez.
llamada del sistema connect(), a diferencia RST en la respuesta.” Cuando se sondean sin embargo, de que muchos sistemas
de otros tipos de sondeo, que escriben los sistemas que cumplen con el texto de esta derivados de BSD simplemente descartan
paquetes a bajo nivel. RFC, cualquier paquete que no contenga el paquete si el puerto está abierto.
los bits SYN, RST, o ACK resultará en el
envío de un RST si el puerto está cerrado.
36 37
9.1.2. Opciones 9.1.3. Especificación de objetivo

-p <rango de puertos> (Sólo sondea -p -S <Dirección_IP> (Falsifica la dirección de Puede darse la situación en que se que indica con una lista separada por
<rango de puertos> (Sólo sondea unos origen) desee analizar una red completa de comas, los objetivos que deben excluirse
puertos específicos) Nmap puede que no sea capaz de equipos adyacentes. Nmap soporta el del análisis.
Esta opción especifica los puertos que determinar tu dirección IP en algunas direccionamiento estilo CIDR para estos
desea sondear y toma precedencia sobre ocasiones. En esta situación, puede casos. Puede añadir /<numBits> a una --excludefile <archivo> (Excluir desde una
los valores por omisión. utilizar la opción -S con la dirección IP de dirección IP o nombre de sistema para Lista), al igual que --exclude, esta función
la interfaz a través de la cual quieres enviar que Nmap sondee toda IP cuyos primeros permite excluir objetivos, pero en lugar de
-F (Sondeo rápido (puertos limitados)) los paquetes. <numBits> sean los mismos que los de la utilizar la línea de órdenes toma el listado
Indica que sólo quiere sondear los puertos dirección IP o nombre de sistema indicado. de un <archivo>, que utiliza la misma
listados en el fichero nmap-services -oN <filespec> (Salida normal) Por ejemplo, [Link]/24 analizaría sintaxis que la opción -iL.
que se incluye con nmap (o el fichero de Solicita que la salida normal sea redirigida los 256 sistemas que existen entre la
protocolos si indica -sO). al archivo especificado. Como se ha dicho dirección [Link] y la dirección
anteriormente, esto difiere un poco de la [Link].
-sV (Detección de versiones) salida interactiva.
Activa la detección de versiones como se La notación CIDR es breve pero no
ha descrito previamente. Puede utilizar la -A (Opciones de sondeos agresivos) siempre es suficientemente flexible. Por
opción -A en su lugar para activar tanto la Esta opción activa algunas opciones ejemplo, puede querer sondear la red
detección de versiones como la detección avanzadas y agresivas. [Link]/16 pero omitir cualquier IP
de sistema operativo. que termine por .0 o por .255 ya que son
-V; --version (Mostrar el número de versión) habitualmente direcciones de difusión. Es
-O (Activa la detección de sistema Imprime el número de versión de Nmap y posible hacer esto con Nmap mediante el
operativo) aborta. direccionamiento por octetos.
Tal y como se indica previamente, activa la En lugar de especificar una dirección
detección de sistema operativo. También -h; --help (Mostrar la página resumen de IP normal puede especificar una lista
se puede utilizar la opción -A para activar ayuda) separada por comas de números o rangos
la detección de sistema operativo y de Imprime una pequeña pantalla de para cada octeto. Por ejemplo, si utiliza
versiones. ayuda con las opciones de órdenes más 192.168.0-255.1-254 se omitirán todas las
habituales. direcciones del rango que terminen en .0 o
-f (fragmentar los paquetes); --mtu (utilizar .255.
el MTU especificado)
La opción -f hace que el sondeo solicitado -iL <archivo_entrada> (Entrada de una
(incluyendo los sondeos ping) utilicen lista), que toma la especificación de
paquetes IP fragmentados pequeños. objetivos del archivo <archivo_entrada>.

-D <señuelo1 [,señuelo2][,ME],...> -iR <cant. sistemas> (Elegir objetivos

(Esconde un sondeo con señuelos) al azar), cuando se quieren realizar
Realiza un sondeo con señuelos. Esto encuestas que cubran toda Internet se
hace creer que el/los equipo/s que utilice puede elegir objetivos al azar.
como señuelos están también haciendo un --exclude <equipo1[,equipo2]
sondeo de la red. [,equipo3],...> (Excluir equipo o redes),

38 39
9.1.4 Openvas 9.1.5 Opciones de OpenVAS

Esta descripción de uso es tomada de “Cómo utilizar OpenVAS para la evaluación de Gestión de escaneo (Scan management): La gestión del escáner permite crear
vulnerabilidades”, de Eset. Consultada en la siguiente URL: [Link] nuevas tareas de exploración, modificar aquellas que se hayan creado previamente,
com/la-es/2014/11/18/como-utilizar-openvas-evaluacion-vulnerabilidades/ revisar las notas (comentarios asociados con un NVT que aparecen en los informes),
o invalidaciones (reglas para cambiar amenazas de elementos dentro de uno o varios
Para ingresar a la herramienta, de forma predeterminada se utiliza la siguiente URL: informes, especialmente utilizadas cuando se presentan falsos positivos).
[Link]
Gestión de activos (Asset management): En la pestaña de gestión de activos se
En la instalación de Openvas se configura el puerto 9392 como puerto de acceso a la enlistan los hosts que han sido analizados junto con el número de vulnerabilidades
aplicación. identificadas.

En este momento, solo existe la cuenta de acceso inicial con el usuario admin y la Configuración (Configuration): La tercera pestaña permite configurar los objetivos,
contraseña generada durante la configuración: asignar credenciales de acceso para revisiones de seguridad locales, configurar el
escaneo (selección de NVT, parámetros generales y específicos para el servidor de
Figura 21. Openvas exploración), programar escaneos, configurar la generación de los informes, entre otras
opciones.

Adcionales (Extras): En general, en esta pestaña se muestra información sobre

las opciones de configuración, del desempeño o de la gestión de seguridad de la
información de OpenVAS.

Administración (Administration): Permite gestionar los usuarios del escáner,

la configuración para la sincronización de NVT Feed y muestra las opciones de
configuración de OpenVAS.

Ayuda Help: Como su nombre lo indica, la sexta pestaña ofrece información de ayuda
para todos los elementos de la interfaz web. El inicio rápido se realiza desde la pestaña
Configuration, a través de configurar un objetivo o un conjunto de sistemas (hosts) a
analizar. Los sistemas se pueden identificar a través de sus direcciones IP, nombres de
host o por su notación de red CIDR (Classless Inter-Domain Routing)

Fuente: ADALID Corp.

Luego de iniciar la sesión de trabajo, se tienen las siguientes opciones para configurar e
iniciar el gestor y escáner de OpenVAS:

40 41
 Figura 22. Configuración de nuevo objetivo
Por último, es necesario ejecutar la tarea para obtener los resultados de las
comprobaciones realizadas por las NVT. En las siguientes imágenes se muestra el
proceso del escaneo:
Figura 24. Ejecutar (Botón “play”)

Fuente: Tomada de [Link]

Figura 25. Tarea en ejecución

Fuente: ADALID Corp. Fuente: Tomada de [Link]

Una vez realizada la configuración del objetivo, en la sección Scan Management es Figura 26. Tarea finalizada
necesario generar una nueva tarea (new task) para la ejecución del análisis y evaluación.
La tarea se conforma por un objetivo y una configuración de escaneo. La ejecución
significa iniciar el escaneo y como resultado se obtiene un informe con los resultados.
A continuación, se muestran las opciones de configuración de una tarea.

Figura 23. Configuración de nueva tarea Fuente: Tomada de [Link]

Con la conclusión del escáner, se obtienen los resultados de las vulnerabilidades

priorizadas de acuerdo con el impacto sobre los sistemas.
La herramienta Openvas cataloga la criticidad de la vulnerabilidad en alto, medio o bajo.

Fuente: ADALID Corp.

42 43
 Figura 27. Informe de Openvas
9.2 Wireshark

El manual de wireshark puede ser descargado desde el siguiente URL: [Link]

[Link]/download/docs/[Link]

Esta descripción de uso es tomada del manual de wireshark, mencionado previamente.

Al iniciar Wireshark, se observa la pantalla principal. La siguiente imagen muestra a
Wireshark normalmente después de capturar o cargar algunos paquetes.

Figura 29. Pantalla principal de Wireshark

Fuente: Tomada de [Link]

En el informe se muestra con mayor detalle la vulnerabilidad identificada y evaluada.

Incluye la prueba de red utilizada (NVT), un resumen del hallazgo, así como una posible
solución a la falla
Figura 28. Ejemplo de informe detallado

Fuente: ADALID Corp.

La ventana principal de Wireshark consiste en partes conocidas comúnmente en otros

programas con interfaz gráfica.

9.2.1 Menú Wireshark

El menú se usa para iniciar acciones. El menú principal se encuentra en la parte superior
de la ventana principal. Un ejemplo se muestra a continuación.
Figura 30. Menú Wireshark

Fuente: Tomada de [Link]

Fuente: ADALID Corp.

44 45
Archivo (File): Este menú contiene elementos para abrir y fusionar archivos de captura, El usuario no puede personalizar esta barra de herramientas, pero puede ocultarse
guardar, imprimir o exportar archivos de captura, y para salir de la aplicación Wireshark. usando el menú Ver si el espacio en la pantalla es necesario para mostrar más datos
Editar (Edit): Este menú contiene elementos para encontrar un paquete, referencia de de paquetes. Los elementos en la barra de herramientas se habilitarán o deshabilitarán
tiempo o marcar uno o más paquetes, manejar los perfiles de configuración y establecer (atenuados) de forma similar a sus elementos de menú correspondientes.
sus preferencias.
Figura 32. Descripción barra de herramientas
Ver (View): Este menú controla la visualización de los datos capturados, incluida la
coloración de los paquetes, el tamaño de la fuente, la visualización de un paquete en una
ventana separada, la expansión y contracción de los árboles en los detalles del paquete.

Ir (Go): Este menú contiene elementos para ir a un paquete específico.

Capturar (Capture): Este menú le permite iniciar y detener capturas, configurar opciones
y editar filtros de captura.
Analizar (Analyze): Este menú contiene elementos para manipular filtros de visualización,
activar o desactivar la disección de protocolos, configurar decodificaciones
especificadas por el usuario y seguir una transmisión TCP.

Estadísticas (Statistics): Este menú contiene elementos para mostrar varias ventanas
estadísticas, incluido un resumen de los paquetes que se han capturado, mostrar Fuente: Imagen tomada de: [Link]
estadísticas de jerarquía de protocolo y más.
La barra de herramientas de filtro proporciona una forma de manipular directamente el
Telefonía (Telephony): Este menú contiene elementos para mostrar varias ventanas filtro de visualización usado.
estadísticas relacionadas con la telefonía, incluyendo un análisis de medios, diagramas
de flujo, estadísticas de jerarquía de protocolo de visualización entre otras. Figura 33. Barra de filtros

Inalámbrico (Wireless): Los elementos en este menú muestran las estadísticas

inalámbricas Bluetooth e IEEE 802.11. Fuente: ADALID Corp.

Herramientas (Tools): Este menú contiene varias herramientas disponibles en Wireshark, El panel de la lista de paquetes muestra un resumen de cada paquete capturado. Al hacer
como la creación de reglas de ACL de firewall. clic en los paquetes en este panel, se controla lo que se muestra en los otros dos paneles.

Ayuda (Help): Este menú contiene elementos para ayudar al usuario, por ejemplo,
acceso a ayuda básica, páginas de manual de las diversas herramientas de línea de
comandos, acceso en línea a algunas de las páginas web y el diálogo habitual de ayuda.

9.2.2 Barra de herramientas Wireshark

La barra de herramientas principal proporciona acceso rápido a los elementos de uso

frecuente del menú.
Figura 31. Barra de herramientas Wireshark El panel de detalles del paquete muestra los protocolos y campos de protocolo del paquete
seleccionado en el panel “Lista de paquetes”.
Los protocolos y campos del paquete que se muestran en un árbol pueden expandirse y
colapsarse.
Fuente: ADALID Corp.

46 47
 Figura 35. Protocolos y campos de paquete Esta descripción de uso es basada en la información del siguiente sitio: [Link]
[Link]/[Link]. “Metasploit es una suite o conjunto de programas
en realidad. Está diseñada para explotar las vulnerabilidades de los equipos y es
sin duda es el programa más usado por los mejores hackers del mundo. Dentro de
Fuente: ADALID Corp. Metasploit, se dispone de multitud de herramientas y programas para ejecutar en las
diferentes vulnerabilidades de cada equipo, a cada una de estas aplicaciones se le
El panel de “Bytes del paquete” muestra los datos del paquete seleccionado en el panel llama sploit.”
de la lista de paquetes, y resalta el campo seleccionado en el panel de detalles del
paquete. Se debe digitar el comando “msfconsole” para ingresar a Metasploit.
También muestra un volcado hexadecimal canónico de los datos del paquete. Cada
línea contiene el desplazamiento de datos, dieciséis bytes hexadecimales y dieciséis Para listar los comandos de Metasploit, se digita el carácter ‘¿’.
bytes ASCII.
Figura 36. Panel bytes del paquete Figura 39. Comandos de Metasploit

Fuente: ADALID Corp.

La barra de estado muestra información detallada sobre el programa actual estado y los
datos capturados. En general, el lado izquierdo mostrará información relacionada con
el contexto, la parte central mostrará información sobre el archivo de captura actual y el
lado derecho mostrará el perfil de configuración seleccionado.

Figura 37. Barra de estado

Fuente: ADALID Corp.

9.3 Metasploit
Figura 38. Consola de Metasploit Fuente: Tomada de [Link]

En la pantalla de configuración de opciones del exploit seleccionado, en este caso se

usa el comando: “use exploit/unix/ftp/vsftpd_234_backdoor”.

Para mostrar las opciones de configuración se usa el comando: “show options”, lo cual
se muestra a continuación:

Fuente: Tomada de [Link]

48 49
 Figura 40. Opciones del exploit Para la ejecución del exploit se usa el comando: “exploit”
Figura 42. Ejemplo de explotación de una vulnerabilidad

10
Fuente: Tomada de [Link]

Con el comando “set”, se almacenan las opciones elegidas. Por ejemplo:

“set RHOST [Link]”

El payload es la carga útil que esta adjunta al exploit, que se ejecuta tan pronto haya
una explotación exitosa. Con el comando “show payloads” se observa los payloads
disponibles. Fuente: Tomada de [Link]

Figura 41. Opciones del Payload En la imagen se observa cómo se abre una Shell que demuestra la explotación exitosa
de la vulnerabilidad.

Fuente: Tomada de [Link]

10
[Link]

50 51
 10
Ciberataque : Un ciberataque es cualquier tipo de maniobra ofensiva hecha
PLANTILLAS DOCUMENTALES por individuos u organizaciones que atacan a sistemas de información como
lo son infraestructuras, redes computacionales, bases de datos que están

DE APOYO albergadas en servidores remotos, por medio de actos maliciosos usualmente

originados de fuentes anónimas que también roban, alteran o destruyen un
blanco específico mediante hackeo de un sistema vulnerable.
Checklist para hardening de servidores Linux y Windows: Esta
plantilla documental de apoyo se encuentra anexa a este documento. Ciberseguridad: La ciberseguridad o seguridad informática, es el área
relacionada con la informática y la telemática que se enfoca en la protección de
la infraestructura computacional y todo lo relacionado con esta, especialmente

11
la información contenida en una computadora o circulante a través de las
redes de computadoras.

CIDR: Classless Inter-Domain Routing. Enrutamiento entre Dominios sin

GLOSARIO Clases.

Confidencialidad: Propiedad de la información que se mantiene inaccesible

y no se revela a individuos, entidades o procesos no autorizados. [ISO/IEC
A continuación, algunos de los términos más importantes sobre el Documento 27000:2014]
Metodológico del Ámbito 2 Penetration testing por orden alfabético.
Control: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. Control es también
utilizado como sinónimo de salvaguarda o contramedida.

Daisy chaining: Obtener acceso a una red o computador y usar la misma

Activo de información: Conocimiento o información que tiene valor para el individuo u información para obtener acceso a múltiples redes o computadores, que
organización. contienen información deseada.

Ataque: Tentativa de destruir, exponer, alterar, inhabilitar, robar o acceder sin Disponibilidad: Propiedad de ser accesible y utilizable a demanda por una
autorización o hacer un uso no autorización de un activo. [ISO/IEC 27000:2017]. entidad autorizada. [ISO/IEC 27000:2017]

Autenticidad: Propiedad consistente en que una entidad es lo que dice ser. [ISO/IEC Doxing: Es una práctica basada en Internet, cuyo objetivo es investigar
27000:2014]. y publicar información privada o personal, sobre un individuo o una
organización.

Bot: Es una aplicación de software que puede ser controlada remotamente

para ejecutar o automatizar tareas predefinidas.
Exploit: Explotar o aprovechar un fragmento de software, fragmento de datos
o secuencia de comandos o acciones, utilizada con el fin de aprovechar una
vulnerabilidad de seguridad de un sistema de información para conseguir un
comportamiento no deseado del mismo.

52 53
 Ethical hacking: Prueba realizada por una empresa o individuo para ayudar a SYN Escaneo: Es un escaneo de red en el que se envía un paquete SYN,
identificar amenazas potenciales en una computadora o red. Para realizar las y después se espera una respuesta. Si se recibe un paquete SYN/ACK esto
pruebas se necesita tener un premiso por escrito, respeto por la privacidad de indica que el puerto está en escucha (abierto).
las personas o instituciones y dar a conocer las vulnerabilidades encontradas.

Framework (Entornos de trabajo): Es una abstracción en la cual el

software que proporciona una funcionalidad genérica, puede ser cambiado Three Way Handshake: Es el método utilizado por TCP para configurar una
selectivamente por un código adicional escrito por el usuario, proporcionando conexión TCP/IP a través de una red basada en el Protocolo de Internet. (SYN
así un software específico para cierta aplicación. -> SYN/ACK -> ACK).

Hacker ético: Es un profesional capacitado que entiende y sabe cómo Vulnerabilidad: Debilidad de un activo o de un control que puede ser
buscar debilidades y vulnerabilidades en los sistemas objetivo. Utiliza explotada por una o más amenazas. [ISO/IEC 27000:2017]
los mismos conocimientos y herramientas que un pirata informático
(sombrero negro), pero de una manera legal y legítima, para evaluar la
postura de seguridad de un sistema objetivo. Zero-day Attack (Ataque de día cero): Es un ataque contra una aplicación
o sistema que tiene como objetivo la ejecución de código malicioso gracias
al conocimiento de vulnerabilidades que, por lo general, son desconocidas
No repudio: Capacidad para corroborar que es cierta la reivindicación de para la gente y el fabricante del producto.
que ocurrió un evento o una acción y las entidades que lo originaron. [ISO/

O
IEC 27000:2017]

OWASP: Open Web Application Security Project

Payload (Carga útil): Es el conjunto de datos transmitidos, que es en realidad

el mensaje enviado. La carga útil excluye las cabeceras o metadatos, que
son enviados simplemente para facilitar la entrega del mensaje.

PTES: Penetration Testing Execution Standard:.

Seguridad de la información: Preservación de la confidencialidad,

integridad, y disponibilidad de la información. (ISO/IEC 27000

SQLi: Inyección SQL es un método de infiltración de código intruso que

se vale de una vulnerabilidad informática presente en una aplicación en
el nivel de validación de las entradas para realizar operaciones sobre
una base de datos.

54 55
 BIBLIOGRAFÍA 12
[Link]. (2018). MetaSploit, tomar control de equipos remotos. Obtenido de [Link]
com/[Link]

Catoira, F. (2018). Pruebas de penetración para principiantes: explotando una vulnerabilidad con metasploit framework.
Obtenido de [Link]
explotando-una-vulnerabilidad-con-metasploit-fra

Congreso de la Republica. (2012). Ley estatutaria No. 1581 del 17 de Oct de 2012. Ministerio de comerico, industria y
turismo. [Link]

ANEXOS
Congreso de la República de Colombia. (1999). Ley 527 de 1999. [Link]

Congreso de la República de Colombia. (2009). Diario Oficial. Ley 1273 de 2009. Diario Oficial LEY. Bogotá D.C. Recuperado
a partir de [Link]

Congreso de la República de Colombia. (2014). Ley 1712 de transparencia y del derecho a la información pública nacional. 6
De Marzo De 2014. Recuperado a partir de [Link]
jsp?i=60556

ISECOM. (2010). The Open Source Security Testing methodology Manual. Obtenido de [Link]
[Link]

LANIC. (2018). Portal LACNIC. Recuperado 9 de diciembre de 2018, a partir de [Link]

de-lacnic

MinTIC. (2016). Guía Metodológica de Pruebas de Efectividad. Obtenido de [Link]

articles-5482_G1_Metodologia_pruebas_efectividad.pdf

PTES Standard. (2018). PTES Technical Guidelines. Obtenido de [Link]

Technical_Guidelines

56
 Figura 1. SQLMap

Anexo 1.
Herramientas
alternativas

1. Análisis de aplicaciones web

SQLmap

SQLmap es una herramienta para pruebas de penetración de código abierto, que

automatiza el proceso de detección y explotación de fallas de inyección SQL y toma de
control de servidores de bases de datos. Fuente: ADALID CORP

Esta herramienta tiene un potente motor de detección, funciones para el pentester y una
amplia gama de switches, que están disponibles desde el reconocimiento de la base de
datos, hasta la obtención de datos desde la misma, que permiten acceder al sistema de Comodo SSL Analyzer
archivos subyacente y ejecutar comandos en el sistema operativo.

La herramienta está disponible en la URL:

[Link] SSL Analyzer es un comprobador de certificados SSL, escáner de vulnerabilidades
SSL y una herramienta de generación de informes de configuración del servidor SSL. Es
gratuita y desarrollada por COMODO.

La herramienta está disponible en la URL:

[Link]

58
Anexo 1
 Figura 2. Comodo SSL Analizer
Figura 3. SSL Server Test

Fuente: ADALID CORP

Fuente: ADALID CORP

SSL Server Test

Es un servicio gratuito y en línea, que realiza un análisis profundo de la configuración de

cualquier servidor web SSL en Internet. La información que se envía ahí, se usa solo para
proporcionar el servicio.

La herramienta está disponible en la URL:

[Link]

60 61
 Elaborado por:
Documento Metodológico
Ámbito 2

Penetration Testing

64