Unidad 2.

Gestión de vulnerabilidades

2.1 Introducción a la unidad - Concepto

2.2 Montaje de entornos vulnerables

2.3 Análisis de posibles vulnerabilidades

2.4 Explotación de vulnerabilidades

2.5 Obtención de evidencias

2.6 Generación de reportes

Referencias
Página 1 de 7

2.1 Introducción a la unidad - Concepto

La gestión de vulnerabilidades es parte del proceso de seguridad de la información que debe ser manejado
por una organización. En general, se tiene una mala idea al respecto, porque las organizaciones
malinterpretan el concepto y se cree que con la sola identificación del riesgo y la detección de una
vulnerabilidad es suficiente. Claramente, esto no es así, por lo que hay que hacer mucho foco en cómo una
organización realiza el paso siguiente a la detección de una vulnerabilidad, que es la gestión de esta.

Qué se debe interpretar con ello, pues bien, lo podemos resumir en lo siguiente: debemos pasar a la acción,
lo que implica que cada vulnerabilidad detectada debe ser analizada y se debe comenzar un largo camino
hasta tenerla controlada. Es una visión cortoplacista pensar que con la sola detección el problema está
resuelto, cuando en realidad el problema recién comienza.

Lo interesante es que, si una organización ha llegado hasta este estadio, significa que está avanzando en un
nivel de madurez de seguridad, está a unos pocos pasos de llegar a resolver sus problemas de seguridad.

Para no perder la visión global y tener un adecuado contexto, lea el artículo "Gestión de seguridad de la
información: revisión bibliográfica", de Cárdenas-Solano, L. J., Martínez-Ardila, H. y Becerra-Ardila, L. E., que
podrá encontrar en la biblioteca virtual.

La siguiente es una de las figuras que me interesa que analice:

Figura 1. Marco de trabajo de seguridad de la información

Fuente: Cárdenas-Solano, Martínez-Ardila y Becerra-Ardila, 2016, p. 937.
Para complementar los conceptos, el libro La seguridad informática en la pyme. Situación actual
y mejores prácticas, de Jean-François Carpentier, dentro del capítulo “Seguridad informática:
aspectos generales”, el punto “Los riesgos informáticos”, le dará una vista más detallada
respecto de las vulnerabilidades que puede presentar un sistema.

C O NT I NU A R
Página 2 de 7

2.2 Montaje de entornos vulnerables

Es muy importante que se entienda que, cuando hablamos de seguridad ofensiva, va a ser necesaria la
utilización de técnicas y herramientas cuyo mal uso nos puede llevar a cometer un delito. Por ello cobra una
gran importancia el montaje de un entorno que esté bajo nuestro total control, lo que implica que tengo que
estar en todo momento sabiendo el tipo de ataque que estoy realizando, el alcance real de todas las
herramientas utilizadas y por dónde estoy ejecutando dicho ataque.

Esto significa que en ninguna circunstancia y por ninguna causa debo lanzar un ataque, un dispositivo, a una
aplicación, a una página web, a una organización, etc., en ninguna de las capas, incluyendo ataque de
ingeniería social, sin que esté 100 % autorizado y notificado.

Para poder realizar prácticas o para probar vectores de ataque, va a ser necesario montar en nuestro entorno
la red o sistema que posteriormente vamos a atacar. Es decir, que estamos obligados a montar nuestro
laboratorio de pruebas.

Lo que debemos hacer es:

1 montar las máquinas virtuales;

2 montar las herramientas de ataque;

3 montar las aplicaciones / sistemas / páginas web vulnerables;

4 lanzar los ataques;

 5 recolectar evidencias;

6 presentar reportes.

Comencemos con el montaje de las máquinas virtuales.

Las máquinas virtuales más utilizadas son VMware Workstation, que tiene dos versiones: la versión Pro, que
es paga, y la versión Player, que es gratis.

La otra máquina virtual, que es la que utilizaremos en este curso, es la VirtualBox, que es gratis y se puede
bajar de la siguiente página: https://www.virtualbox.org/wiki/Downloads.

Para facilitar el proceso de instalación y configuración, en el siguiente video podrán seguir el paso a paso de
todo el proceso:

Video 1. Cómo instalar y configurar VirtualBox en español

YOUTUBE

Cómo instalar y con gurar VirtualBox en Español

 Cómo instalar y configurar VirtualBox en Español
Bienvenidos a Soluciones Informáticas Online. Este es un vídeo-tutorial sobre cómo
instalar y configurar VirtualBox correctamente para poder instalar cualqui...
VER EN YOUTUBE 

Fuente: SIO | Soluciones Informáticas Online. (2013). Cómo instalar y configurar VirtualBox en español. [Video de

YouTube]. Recuperado de https://www.youtube.com/watch?v=jos3MTgIBJE

Sigamos con el montaje de las herramientas de ataque.

Se debe realizar la instalación de una distribución de Linux, Kali. Esto parece sencillo, pero, para que puedan
avanzar seguros de tener un buen entendimiento, deben descargarse el siguiente libro que es de libre
distribución: https://kali.training/downloads/Kali-Linux-Revealed-1st-edition.pdf. Es fundamental que lean el
capítulo 1.

Kali Linux Revealed.pdf

10.3 MB

Para iniciar el proceso de descarga, instalación y configuración pueden dirigirse a https://www.kali.org/ o

bien continuar con el capítulo 2 de la bibliografía propuesta. Para aquellos que no estén familiarizados, les
recomiendo ver los videos tutoriales de instalación de esta herramienta.

C O NT I NU A R
Página 3 de 7

2.3 Análisis de posibles vulnerabilidades

Lo primero que deberíamos preguntarnos es qué es una vulnerabilidad; si bien hay varias respuestas,
podemos decir que una vulnerabilidad es un defecto o falla que se presenta en nuestro sistema, la cual
puede ser aprovechada por una amenaza. Dicho en otras palabras, una amenaza puede explotar una
vulnerabilidad de nuestro sistema.

Pongamos un ejemplo para clarificar el concepto. Nuestro data center está expuesto a amenazas naturales,
como la caída de rayos; si nuestros equipos no tienen un sistema de protección para la sobretensión,
entonces tenemos una vulnerabilidad, es decir, que no tener protectores contra picos de sobretensión es
una vulnerabilidad que presenta nuestro sistema.

Si juntamos los conceptos vistos hasta el momento, nos debe quedar bien claro que un sistema puede
presentar vulnerabilidades en todas y cada una de las capas, es decir, desde la capa uno hasta la capa siete
y, por supuesto, debemos incluir a aquellas vulnerabilidades que incorpora el usuario del sistema. (Es posible
que escuchen que a la capa del usuario la llamen capa ocho, que, independientemente de cómo la llamen,
es correcto incluirla en nuestro análisis).

Para ampliar el estudio de las posibles vulnerabilidades que presenta nuestro sistema, voy a tomar el
análisis de vulnerabilidades que expone OWASP (Open Web Aplication Security Proyect). Esta organización
sin fines de lucro regularmente presenta un informe en el que se publican los ataques más comunes que
sufren las aplicaciones web. Este informe se puede ver en https://wiki.owasp.org/images/5/5e/OWASP-
Top-10-2017-es.pdf

OWASP Top 10 2017 es pdf

 OWASP-Top-10-2017-es.pdf
1.4 MB

La publicación anterior fue en 2013 y en estos momentos se está terminando de compaginar la que será
publicada este año o a más tardar el año que viene.

Como se ve, los ataques de inyección son los más frecuentes, por lo que nuestra conclusión directa es que
los desarrolladores de aplicaciones no tienen los cuidados suficientes a la hora de asegurar los accesos a
las bases de datos y dejan expuestos fallos de seguridad que luego serán explotados por los atacantes.

C O NT I NU A R
Página 4 de 7

2.4 Explotación de vulnerabilidades

Una amenaza explota una vulnerabilidad. Un ciberdelincuente es una amenaza, por lo tanto, si vamos a
explotar una vulnerabilidad, debemos transformarnos en ciberdelincuentes. Esto es efectivamente así en
tanto y en cuanto no pongamos en práctica los puntos explicados en este curso. Quiere decir que, para
poder explotar una vulnerabilidad de un sistema, debo hacerlo con los permisos adecuados y en un entorno
local que esté bajo mi absoluto control.

Entonces, dado que nos encontramos en un entorno que está bajo nuestro control, podemos avanzar en el
proceso de explotación de vulnerabilidades.

Antes de pasar a explotar una vulnerabilidad, debemos validar que el hallazgo que estamos analizando es
efectivamente una vulnerabilidad. Para ello nos vamos a apoyar primariamente en las publicaciones
realizadas por una organización llamada Mitre (su sitio web es cve.mitre.org), en la que se publican muchas
de las vulnerabilidades de los sistemas. Pensemos en sistemas operativos, web services, aplicaciones,
etc.

Tomemos el siguiente ejemplo:

Se detecta una vulnerabilidad: existe en el sistema una marcada obsolescencia de software y lenguajes de
programación. Analizados los sistemas operativos, se pudo observar que muchas máquinas tienen una
versión vieja de estos y que el web service tiene una versión de Apache 2.2 que no se encuentra actualizada.

 Luego, vamos a la página de Mitre para investigar respecto de las vulnerabilidades que
presenta Apache: https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-
66/version_id-35676/Apache-Http-Server-2.2.html
Esto nos estará dando información muy valiosa porque se encuentran detalladas todas las vulnerabilidades
reportadas en las distintas versiones de Apache.

Por último, solo nos queda encontrar o escribir el exploit o vector que vamos a utilizar para montar el ataque.
Para esto hay páginas que nos facilitan mucho esta actividad. Una de ellas es una página donde se
encuentran publicados cientos de explots (https://www.exploit-db.com/). Es decir, que ya existen ciertos
programas que, una vez que son ejecutados, se aprovechan del fallo de seguridad para realizar, por ejemplo,
una denegación de servicio.

C O NT I NU A R
Página 5 de 7

2.5 Obtención de evidencias

Es una muy buena práctica que, a medida que vaya haciendo el estudio de las vulnerabilidades, vaya
reservando un tiempo en el que consolido el avance en documentos borradores, que luego voy a colocar en
el informe final.

La recolección de evidencias es una actividad sumamente importante porque permite complementar la

explicación del hallazgo de seguridad.

Analicemos un caso concreto:

Me encuentro haciendo captura de tráfico; teniendo el sistema activado, me voy a conectar a alguna página
que requiera nombre de usuario y contraseña para poder acceder. Es de esperar que la información, tanto del
nombre de usuario como la de la contraseña, viaje encriptada. Pero, con la simple utilización de un
analizador de protocolo, se puede observar que tanto el usuario como la contraseña viajan en texto plano.

Obsérvese en la figura 1 que se trata de la evidencia en donde se muestra el fallo de seguridad. En esta
figura se ve la página de inicio de una entidad bancaria en donde el usuario tiene que poner el nombre de
usuario y contraseña.

Figura 1. Colocación de datos de acceso en un portal seguro

 Fuente: Captura de pantalla.

Tal como se había indicado, se va a colocar una herramienta, que es un analizador de protocolo, que me
permitirá ver todo el tráfico. A continuación, en la figura 2, se muestra que en el paquete capturado tanto el
nombre de usuario como la contraseña van en texto plano, lo que implica que el atacante podría descubrir el
nombre de usuario y la contraseña con el solo hecho de conectarse a la red.

Figura 2. Captura de tráfico en el proceso de login

También debemos saber que este tipo de evidencia documentada de esta forma facilita mucho el análisis
posterior, dado que se cuenta con toda la información tanto del vector de ataque como de la evidencia del
envío del paquete con el usuario y contraseña, en donde se ve que están siendo enviados en texto plano.

C O NT I NU A R
Página 6 de 7

2.6 Generación de reportes

Todo el trabajo realizado debe ser expuesto en un informe final, en el cual se debe poner la información de
contexto más la información separada de cada hallazgo. Es importante que el cliente cuente con este
informe, porque, entre otras cosas, le permitirá, en otro momento, poder reproducir el problema detectado.

Es recomendable que el reporte final incluya los siguientes puntos:

1 Resumen ejecutivo (no incluir detalles muy técnicos. Incluir de tres a seis problemas, que sean
los más significativos detectados, y explicar el impacto en el negocio de la organización).

2 Introducción (dar una visión general de lo realizado: alcance, personal involucrado, quién,
dónde, cuándo, por qué).

3 Metodología (qué es lo que hizo el equipo).

4 Problemas detectados (high, medium, low) (incluir las recomendaciones).

5 Conclusiones.

 Para profundizar en los elementos abordados en la unidad, deberá dirigirse a:

SANTO, Orcero, David. (2018). “Kali Linux”, RA-MA Editorial

Extensión: Cap1 La Distribución Kali.
Enlace de biblioteca: https://elibro.net/es/ereader/biblioues21/106508?page=15
Asimismo, sugerimos la lectura complementaria de:

Jean-François CARPENTIER (2016). La seguridad informática en la PYME

Extensión: capítulo “Seguridad Informática, aspectos generales” el punto “Los
Riesgos Informáticos”.
Enlace de biblioteca: https://www-eni-training-com.ebook.21.edu.ar/portal/
client/mediabook/home

Leidy-Johanna Cárdenas-Solano, Hugo Martínez-Ardila y Luis-Eduardo Becerra-

Ardila (2016). GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN: REVISIÓN
BIBLIOGRÁFICA:
Extensión: Artículo completo.
Enlace de biblioteca: https://eds-a-ebscohost-com.ebook.21.edu.ar/eds/
pdfviewer/pdfviewer?vid=10&sid=5e88daa9-b257-4c28-8f24-
d3ec01e99fda%40sessionmgr103

C O NT I NU A R
Página 7 de 7

Referencias

Cárdenas-Solano, L. J., Martínez-Ardila, H. y Becerra-Ardila, L. E. (2016). Gestión de seguridad de la

información: revisión bibliográfica. El profesional de la información, 25(6), 931-948.

Hertzog, R., O’Gorman, J. y Aharoni, M. (2017). Kali Linux Revealed. USA: Offsec Press. Recuperado de
https://kali.training/downloads/Kali-Linux-Revealed-1st-edition.pdf

OWASP. Top 10 - 2017. Los diez riesgos más críticos en aplicaciones web. (2017). Recuperado de
https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

Security Vulnerabilities. (s.f.). Recuperado de https://www.cvedetails.com/vulnerability-list/vendor_id-

45/product_id-66/version_id-35676/Apache-Http-Server-2.2.html

SIO | Soluciones Informáticas Online. (2013). Cómo instalar y configurar VirtualBox en español. [Video de
YouTube]. Recuperado de https://www.youtube.com/watch?v=jos3MTgIBJE

C O NT I NU A R