Auditoría de redes

Auditoría de redes

Incidentes de seguridad en las redes

Repaso del modelo OSI

Vulnerabilidad en redes

Protocolos de alto nivel

Auditoría en el área de comunicaciones

Auditoría de redes lógicas y físicas

Referencias

Revisión del módulo

Lección 1 de 9

Auditoría de redes

En esta última lectura, se trabaja sobre la auditoría de redes, desde el

contexto de modelo OSI, vulnerabilidades en redes y aspectos a considerar,
como así también protocolos de alto nivel, redes abiertas (TCP/IP).
Finalmente, se analizan las generalidades sobre los conceptos de la auditoría
del área de comunicaciones y la auditoría de redes lógicas y físicas.

La auditoría de un sistema de redes industrial y doméstico se

realiza con la finalidad de conocer su situación actual. De esta
manera, se sabe qué funciona bien, qué podría mejorar, cuáles
son sus fortalezas y, por supuesto, sus debilidades.

Esta la debe hacer un tercero, un trabajador externo, de manera

que pueda ser verdaderamente objetivo y tratar el sistema de
redes de telecomunicaciones como otro cualquiera. Solo así el
objetivo de la auditoría tendrá verdadero éxito.

De esta manera, se puede hacer un dictamen enfocado en

eliminar el máximo de amenazas y mejorar las debilidades, en
 potenciar las fortalezas o, simplemente, en mejorar el
funcionamiento de este sistema de telecomunicaciones. (Net
Cloud Engineering, s. f., https://bit.ly/3qfx1Km)

Ahora bien, ¿cómo se hace una auditoría de redes? Según lo que explica Net
Cloud Engineering (s. f.), se realiza un examen físico, un cibernético y, por
último, una evaluación.

A U D I T O RÍ A FÍ S I C A A U D I T O RÍ A C I BE RN É T I C A E V A LU A C I Ó N

La auditoría comienza por un examen físico.

Primero se conoce cuál es la estructura física de las redes. En la sala o salas en
cuestión, se mira detenidamente el orden existente, la limpieza de los elementos,
el estado de los cables, su etiquetado, el mantenimiento tanto de los servidores y
los equipos como del lugar en sí, el inventario, si aún cuentan con garantías para
sus equipos, etc.

A U D I T O RÍ A FÍ S I C A A U D I T O RÍ A C I BE RN É T I C A E V A LU A C I Ó N

Hemos llamado auditoría cibernética al examen de la información en la red, la que

va por dentro de ese cableado y esos equipos ya analizados.
Esto es, realizar un levantamiento total de la información. Se debe analizar y
diagnosticar la configuración lógica de la red, tratando puntos como la tabla y el
diagrama de vlans, el diagrama topológico, el plan ip, etc.

A U D I T O RÍ A FÍ S I C A A U D I T O RÍ A C I BE RN É T I C A E V A LU A C I Ó N

Es importante llevar a cabo una evaluación cuantitativa de los conceptos

integrados en el funcionamiento del sistema de redes, de cara a añadir, eliminar o
ajustar la situación. (Net Cloud Engineering, s. f., https://bit.ly/3qfx1Km)

C O NT I NU A R
Lección 2 de 9

Incidentes de seguridad en las redes

Según Vieites:

Se suele considerar que el primer bug o fallo informático tuvo

lugar el 9 de septiembre de 1945 en el laboratorio de cálculo
Howard Aiken de la Universidad de Harvard. Grace Murray
Hopper (1906-1992) trabajaba como programadora del
ordenador Mark II, cuando intentando averiguar la causa de un
fallo de este ordenador (uno de los primeros totalmente
electrónicos), descubrió que este era debido a la presencia de
una polilla (bug) que se había introducido entre los contactos de
una de las válvulas del ordenador.

Hasta finales de 1988 muy poca gente se tomaba en serio el

tema de la seguridad en redes de ordenadores. Sin embargo, el
22 de noviembre de 1988 Robert Morris protagonizó el primer
gran incidente de la seguridad informática: uno de sus
programas se convirtió en el famoso worm o “gusano” de
Internet. Miles de ordenadores conectados a la red se vieron
inutilizados durante días y las pérdidas se estimaron en millones
de dólares. Desde ese momento, el tema de la seguridad en las
 redes de ordenadores ha sido un factor a tener muy en cuenta
por cualquier responsable o administrador de sistemas
informáticos.

Poco después de este incidente y a la vista de los potenciales

peligros que podía entrañar un fallo o un ataque contra los
sistemas informáticos estadounidenses, la agencia DARPA
(Defense Advanced Research Projects Agency, Agencia de
Proyectos de Investigación Avanzados de Defensa) creó el
famoso CERT (Computer Emergency Response Team, Equipo de
Respuesta a Emergencias Informáticas), un grupo constituido en
su mayor parte por voluntarios cualificados de la comunidad
informática, cuyo objetivo principal era facilitar una respuesta
rápida a los problemas de seguridad que afectaran a redes de
ordenadores conectados a Internet. (2004,
https://bit.ly/3j5R9wK)

Pregunta: ¿Cómo manejar tu sistema de redes tras una auditoría?

–
Llevar un sistema de redes no es una tarea sencilla. No solo hay que
instalar routers y switches, la cosa va mucho más allá. Controlar
cambios, administrar tráfico, eventos, la propia seguridad,
monitorear, administrar fallas, documentar, crear configuraciones y
ponerlas en práctica.
Como ves, no es un trabajo ligero. Por ello, aunque te enseñemos
cómo se hace una auditoría, el servicio de consultoría de redes
debe ser un imprescindible de vez en cuando para que profesionales
del sector como nosotros podamos asesorar y dar consejo sobre
las actuaciones en materia de sistema de telecomunicaciones por
parte de la empresa. (Net Cloud Engineering, s. f.,
https://bit.ly/3qfx1Km)

C O NT I NU A R
Lección 3 de 9

Repaso del modelo OSI

Para poder auditar redes, lo primero y fundamental es utilizar el mismo

vocabulario, por lo que repasaremos el modelo OSI y sus 7 capas.

Cuando hablamos del “modelo OSI” (por sus siglas en inglés, open systems
interconnection) nos referimos al modelo de interconexión de sistemas
abiertos (ISO/IEC 7498-1). Este modelo, desarrollado en 1980 por la
Organización Internacional de Normalización, funciona como referencia para
los protocolos de la red (no es una arquitectura de red).

En la siguiente figura se muestra un diagrama sobre el modelo OSI y sus

capas.
 Fuente: [imagen sin título sobre modelo OSI], s. f., https://bit.ly/35GRT3S

Figura 1. Modelo OSI con 7 capas y unidades de datos.

En esta imagen se puede observar la relación que existe entre cada una de las
capas con sus correspondientes unidades de datos.

Veamos, a continuación, cuáles son las capas del modelo OSI.

Capa 7 - Aplicación
–
Responsabilidad: se encarga de los servicios de red para las aplicaciones.

Descripción:

Difiere de las demás capas debido a que no proporciona servicios a

ninguna otra capa OSI, sino solamente a aplicaciones que se
encuentran fuera del modelo OSI… La capa de aplicación establece
la disponibilidad de los potenciales socios de comunicación,
sincroniza y establece acuerdos sobre los procedimientos de
recuperación de errores y control de la integridad de los datos.
(Universidad Nacional del Centro de la Provincia de Buenos Aires, s.
f., https://bit.ly/3d2jO2e)

Capa 6 - Presentación
–
Responsabilidad: transforma el formato de los datos y proporciona una interfaz
estándar para la capa de aplicación.

Descripción: tiene a su cargo la representación de la información para que,

aunque distintos equipos tengan diferentes representaciones internas de
caracteres, números, sonidos o imágenes, los datos lleguen de forma tal que
puedan ser reconocidos. Esta capa es la primera en trabajar más el contenido de
la comunicación que el cómo se establece. En ella se tratan aspectos tales como
la semántica y la sintaxis de los datos transmitidos, ya que distintas
computadoras pueden tener diferentes formas de manejarlas. Por lo tanto,
podemos resumir definiendo a la capa 6 como la encargada de manejar las
estructuras de datos abstractas y realizar las conversiones de representación de
datos necesarias para su correcta interpretación.

Capa 5 - Sesión
–
Responsabilidad: establece, administra y finaliza las conexiones entre las
aplicaciones locales y las remotas.

Descripción:

Esta capa también permite cifrar los datos y comprimirlos. Como

su nombre lo implica, la capa de sesión establece, administra y
finaliza las sesiones entre dos hosts que se están comunicando. La
capa de sesión proporciona sus servicios a la capa de
presentación. También sincroniza el diálogo entre las capas de
presentación de los dos hosts y administra su intercambio de datos.
Además de regular la sesión, la capa de sesión ofrece
disposiciones para una eficiente transferencia de datos, clase de
servicio y un registro de excepciones acerca de los problemas de la
capa de sesión, presentación y aplicación. (Universidad Nacional del
Centro de la Provincia de Buenos Aires, s. f., https://bit.ly/3d2jO2e)

Capa 4 – Transporte
–
Responsabilidad: proporciona transporte confiable y control del flujo a través de
la red.
Descripción:

La capa de transporte segmenta los datos originados en el host

emisor y los reensambla en una corriente de datos dentro del
sistema del host receptor. El límite entre la capa de transporte y la
capa de sesión puede imaginarse como el límite entre los
protocolos de aplicación y los protocolos de flujo de datos.
Mientras que las capas de aplicación, presentación y sesión están
relacionadas con asuntos de aplicaciones, las cuatro capas
inferiores se encargan del transporte de datos. (Universidad
Nacional del Centro de la Provincia de Buenos Aires, s. f.,
https://bit.ly/3d2jO2e)

Capa 3 – Red
–
Responsabilidad: lleva adelante el direccionamiento lógico y el dominio del
enrutamiento.
Descripción:

La capa de red es una capa compleja que proporciona conectividad

y selección de ruta entre dos sistemas de hosts que pueden estar
ubicados en redes geográficamente distintas. Si deseas recordar la
capa 3 en la menor cantidad de palabras posible, piensa en
selección de ruta, direccionamiento y enrutamiento. (Universidad
Nacional del Centro de la Provincia de Buenos Aires, s. f.,
https://bit.ly/3d2jO2e)

Por ejemplo, la familia de protocolos de red IPX/SPX, desarrollada por Novell para
ser utilizada por su sistema operativo de red netware. El protocolo de datagramas
IPX está orientado a comunicaciones sin conexión que se encarga de transmitir
datos a través de la red, incluyendo en cada paquete la dirección de destino. La
capa de enlace de datos proporciona tránsito de datos confiable a través de un
enlace físico.

Capa 2 - Enlace de datos

–
Responsabilidad: proporciona direccionamiento físico y procedimientos de
acceso a medios.
Descripción:

La capa de enlace de datos proporciona tránsito de datos confiable

a través de un enlace físico y procedimientos de acceso a medios.
Al hacerlo, la capa de enlace de datos se ocupa del
direccionamiento físico, la topología de red, el acceso a la red, la
notificación de errores, entrega ordenada de tramas y control de
flujo. (Universidad Nacional del Centro de la Provincia de Buenos
Aires, s. f., https://bit.ly/3d2jO2e)

Ethernet define las características de cableado y señalización de nivel físico y los

formatos de tramas de datos del nivel de enlace de datos. FDDI proporciona 100
Mbits/s óptico estándar para la transmisión de datos en una red de área local.

Capa 1 – Física
–
Responsabilidad: define todas las especificaciones eléctricas y físicas de los
dispositivos.
Descripción:
 La capa física define las especificaciones eléctricas, mecánicas, de
procedimiento y funcionales para activar, mantener y desactivar el
enlace físico entre sistemas finales. Las características tales como
niveles de voltaje, temporización de cambios de voltaje, velocidad
de datos físicos, distancias de transmisión máximas, conectores
físicos y otros atributos similares son definidos por las
especificaciones de la capa física. (Universidad Nacional del Centro
de la Provincia de Buenos Aires, s. f., https://bit.ly/3d2jO2e)

Bluetooth, por ejemplo, es una especificación industrial para redes inalámbricas

de área personal que hace posible la transmisión de voz y datos entre diferentes
dispositivos. ADSL consiste en una transmisión analógica de datos digitales
apoyada en el par simétrico de cobre que lleva la línea telefónica convencional.
USB es un estándar industrial desarrollado en los años 1990 que define los
cables, conectores y protocolos usados en un bus para conectar, comunicar y
proveer de alimentación eléctrica entre ordenadores, periféricos y dispositivos
electrónicos. Consiste en una transmisión analógica de datos digitales apoyada
en el par simétrico de cobre que lleva la línea telefónica convencional.

C O NT I NU A R
Lección 4 de 9

Vulnerabilidad en redes

Según Piattini y Del Peso:

Todos los sistemas de comunicación, desde el punto de vista de

auditoría, presentan en general una problemática común: La
información transita por lugares físicamente alejados de las
personas responsables. Esto presupone un compromiso en la
seguridad, ya que no existen procedimientos físicos para
garantizar la inviolabilidad de la información.

En las redes de comunicaciones, por causas propias de la

tecnología, pueden producirse básicamente tres tipos de
incidencias:

1 Alteración de bits. Por error en los medios de transmisión, una trama puede sufrir variación en
parte de su contenido. La forma más habitual de detectar, y corregir en su caso, este tipo de
incidencias, es fijar la trama con un Código de Redundancia Cíclico (CRC) que detecte
cualquier error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los
casos.
 2 Ausencia de tramas. Por error en el medio, o en algún nodo, o por sobrecarga, alguna trama
puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un
número de secuencia a las tramas.

3 Alteración de Secuencia. El orden en el que se envían y se reciben las tramas no coincide.

Unas tramas se han adelantado a otras. En el receptor, mediante el número de secuencia, se
reconstruye el orden original.

Por causas dolosas, y teniendo en cuenta que es físicamente posible

interceptar la información, los tres mayores riesgos a atajar son:

1 Indagación. Un mensaje puede ser leído por un tercero, obteniendo la información que
contenga.

2 Suplantación. Un tercero puede introducir un mensaje espurio que el receptor cree proveniente
del emisor legítimo.

3 Modificación. Un tercero puede alterar el contenido de un mensaje. (2000, p. 426)

Hay un punto especialmente crítico en los canales de

comunicaciones que son las contraseñas del usuario. Mientras
que en el sistema de almacenamiento las contraseñas suelen
guardarse cifradas, es inhabitual que los terminales o
computadores personales sean capaces de cifrar la contraseña
cuando se envía al computador central o al servidor. (Piattini y
Del Peso, 2000, p. 427)
C O NT I NU A R
Lección 5 de 9

Protocolos de alto nivel

Según Piattini y Del Peso (2000), como protocolos de alto nivel los más
importantes son: SNA, OSI, Netbios, IPX y TCP/IP.

SNA

System Network Architecture. Fue disertado por IBM con una red
estrictamente jerarquizada, y luego pasando a una estructura
más distribuida, fundamentalmente con el tipo de sesión
denominado LU 6.2.
El SNA se encuentra fundamentalmente en los computadores
centrales de IBM, donde sigue gozando de un extraordinario
vigor, especialmente para comunicación con terminales no
inteligentes de tipo 3270. (Piattini y Del Peso, 2000, p. 428)

OSI
 Fue disertado por el antiguo Comité Consultivo Internacional de
Teléfonos Telégrafos. Actualmente Unión Internacional de
Telecomunicaciones, básicamente compuesto por las
compañías telefónicas nacionales. Se disertaron todas las
capas, desde los medios físicos hasta las aplicaciones con
trasferencia de archivos o terminal virtual. Donde ha tenido éxito
es en el protocolo de Red X.25 y en el correo electrónico X.400.
(Piattini y Del Peso, 2000, p. 428)

Netbios

Este protocolo fue el que se propuso, fundamentalmente por

Microsoft, para comunicar entre sí computadores personales en
redes locales. Es una extensión a red (“net") del "Basic
Input/Output System" del sistema operativo DOS. Está orientado
a la utilización en LAN, siendo bastante ágil y efectivo. (Piattini y
Del Peso, 2000, p. 428)

IPX

“Es el protocolo propietario de Novell que al alcanzar en su

 Es el protocolo propietario de Novell que, al alcanzar en su
momento una posición de predominio en el sistema operativo en
red, ha gozado de gran difusión” (Piattini y Del Peso, 2000, p.
429).

TCP/IP

(Transfer Control Protocol/Internet Protocol). Diseñado

originalmente para sobrevivir incluso a ataques nucleares contra
los EE. UU. e impulsado desde los ámbitos académicos, la
enorme versatilidad de este protocolo y con aceptación
generalizada le ha hecho el paradigma de protocolo abierto,
siendo la base de interconexión de redes que forman la Internet.
Es el protocolo que está imponiéndose por derecho propio,
como gran unificador de todas las redes de comunicación.
Una vez más, el protocolo TCP/IP demuestra en este caso su
utilidad. Al haber sido este protocolo disertado para encontrar
rulas remanentes, inclusive ante caídas masivas, está
especialmente bien orientado para facilitar la reestructuración de
una red ante fallos de parte de sus componentes. (Piattini y Del
Peso, 2000, p. 429)
Según Robledano,

la definición de TCP/IP es la identificación del grupo de

protocolos de red que hacen posible la transferencia de datos en
redes, entre equipos informáticos e internet. Las siglas TCP/IP
hacen referencia a este grupo de protocolos:

TC P IP

Es el Protocolo de Control de Transmisión que permite establecer una conexión y

el intercambio de datos entre dos anfitriones. Este protocolo proporciona un
transporte fiable de datos.

TC P IP

O protocolo de internet, utiliza direcciones series de cuatro octetos con formato

de punto decimal (como, por ejemplo, 75.4.160.25). Este protocolo lleva los datos
a otras máquinas de la red.
El modelo TCP/IP permite un intercambio de datos fiable dentro
de una red, definiendo los pasos a seguir desde que se envían
los datos (en paquetes) hasta que son recibidos. Para lograrlo
utiliza un sistema de capas con jerarquías (se construye una
capa a continuación de la anterior) que se comunican
únicamente con su capa superior (a la que envía resultados) y su
capa inferior (a la que solicita servicios). (2019,
https://bit.ly/2SRt56i)

C O NT I NU A R
Lección 6 de 9

Auditoría en el área de comunicaciones

Según Piattini y Del Peso,

el primer punto de una auditoría es determinar que la función de

gestión de redes y comunicaciones esté claramente definida,
debiendo ser responsable, en general, de las siguientes áreas:

Gestión de la red. Inventario de equipamiento y normativa de conectividad.

Monitorización de las comunicaciones, registro y resolución de problemas.

Revisión de costes y su asignación de proveedores y servicios de transporte, balanceo de

tráfico entre rutas y selección de equipamiento.

Participación activa en la estrategia de proceso de datos, fijación de estándares a ser usados

en el desarrollo de aplicaciones y evaluación de necesidades en comunicaciones.

Como objetivos del control, se debe marcar la existencia de:

–
• Una gerencia de comunicaciones con autoridad para establecer procedimientos
y normativa
• Procedimientos y registros de inventarios y cambios.
• Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolución de problemas.
• Procedimientos para el seguimiento del coste de las comunicaciones y su
reparto a las personas o unidades apropiadas.
• Procedimientos para vigilar el uso de la red de comunicaciones, realizar ajustes
para mejorar el rendimiento, y registrar y resolver cualquier problema.
• Participación activa de la gerencia de comunicaciones en el diseño de las
nuevas aplicaciones on line para asegurar que se sigue la normativa de
comunicaciones. (2000, pp. 434-435)

 A modo de ejemplo: auditando la gerencia de comunicaciones

Lista de control

Comprobar que:

- La gerencia de comunicaciones despache con el puesto directivo

que en el organigrama tenga autoridad suficiente para dirigir y
controlar la función.

- Hay coordinación organizativa entre la comunicación de datos y la

de voz, en caso de estar separadas estas dos funciones.

- Existan descripciones del puesto de trabajo, competencias,

requerimientos y responsabilidades para el personal involucrado en
las comunicaciones.

- Existan normas en comunicaciones […].

- Los contratos con transportistas de información y otros

proveedores tienen definidas responsabilidades y obligaciones.
- Existan planes de comunicaciones a largo plazo.

- Existen, si fueren necesarios, planes para comunicaciones de alta

velocidad.

- Se planifican redes de cableado integral para cualquier nuevo

edificio dependencia que vaya a utilizar la empresa.

- El plan general de recuperación de desastres considera el respaldo

y recuperación de los sistemas de comunicaciones.

- Las listas de inventario cubren todo el equipamiento de

comunicación de datos, incluyendo módems, controladores,
terminales, líneas y equipos relacionados.

- Se mantienen los diagramas de red que documentan las

conexiones físicas y lógicas entre las comunicaciones y otros
equipos de proceso de datos.

- Se refleja correctamente, en el registro de inventario y en los

diagramas de red, una muestra seleccionada de equipos de
comunicaciones, de dentro y de fuera de la sala de computadores.

- Los procedimientos de cambio para equipos de comunicaciones.

- Están establecidos ratios de rendimiento que cubren los tiempos

de respuesta en los terminales y tasas de errores.

- Se vigila la actividad dentro de los sistemas on line y se realizan los

ajustes apropiados para mejorar el rendimiento.

- Existen procedimientos adecuados de identificación,

documentación y toma de acciones correctivas ante cualquier fallo
de comunicaciones.
- La facturación de los transportistas de comunicaciones. (Piattini y
Del Peso, 2000, pp.435-437)

C O NT I NU A R
Lección 7 de 9

Auditoría de redes lógicas y físicas

A continuación, analicemos los siguientes aspectos de las redes lógicas y

físicas.

¿Física o lógica?
–
Cuando se considera la protección de la información y de los
dispositivos de red, las auditorías pueden clasificarse en revisiones
de seguridad física y lógica. Por un lado, la revisión de seguridad
física está orientada en conocer y evaluar los mecanismos de
protección del hardware y del cableado, mientras que las revisiones
lógicas tienen como propósito verificar y evaluar las medidas de
protección sobre la información y los procesos.

En este sentido, la auditoría de seguridad física en redes puede

considerar la revisión de las conexiones y su apego a normas de
cableado estructurado establecidas por organismos como ANSI o
ISO, así como medidas que protegen tanto el cableado como los
dispositivos de red, incluso controles aplicados sobre los cuartos
de servidores (sites). En tanto, las evaluaciones lógicas consideran
mecanismos de control de acceso a la red, privilegios de cuentas
con autorización para conexiones o los protocolos utilizados, por
mencionar algunos ejemplos.
¿Interna o externa?
–
También, con base en la configuración de la red, la auditoría puede
considerar revisiones de red interna y externa. Las revisiones
externas son aquellas que se llevan a cabo desde fuera del
perímetro y pueden incluir la evaluación de configuraciones, revisión
de reglas en firewalls, configuración de IDS/IPS y listas de control de
acceso en routers, entre otras actividades.

La red interna, en cambio, puede considerar la revisión de la

configuración de segmentos de red, protocolos utilizados, servicios
desactualizados o topologías empleadas.

¿Red cableada o inalámbrica?

–
Además, también es posible clasificar la revisión en función del tipo
de red a evaluar, por ejemplo, si se trata de una revisión de red
cableada o inalámbrica. Si se trata de redes inalámbricas, se deberá
evaluar la conveniencia de los protocolos de cifrado utilizados para
las comunicaciones entre los puntos de acceso y los dispositivos
que se conectan a la red, así como el uso de llaves de cifrado
extensas y complejas, que reduzcan la probabilidad de éxito de
ataques de fuerza bruta o de diccionario.

En este sentido, también es importante llevar a cabo

comprobaciones sobre la vulnerabilidad de los dispositivos,
relacionada con ataques comunes a redes inalámbricas, por
ejemplo, suplantación de puntos de acceso o denegación de
servicio (DoS). Ya hemos visto por qué es importante este punto, si
consideramos el peligro de la mala gestión del wifi en empresas.
¿Revisiones técnicas o de cumplimiento?
–
Otro tipo de auditorías están relacionadas con las personas que
llevan a cabo las revisiones y su especialización en el tema, por lo
tanto se pueden llevar a cabo revisiones técnicas y de
cumplimiento. Las revisiones técnicas deben comprender
conocimientos de los protocolos y dispositivos utilizados, de
manera que las debilidades puedan ser identificadas y
posteriormente corregidas. Para esto, es importante aplicar la
perspectiva ofensiva, en la cual se simulan ataques, claro está,
siempre con la autorización debida y en ambientes controlados
(incluyen evaluaciones de vulnerabilidades o pruebas de
penetración).

Las revisiones de cumplimiento o gestión permiten conocer el

estado de apego en las prácticas que se llevan a cabo en las
organizaciones relacionadas con la protección de las redes, en
comparación con lo que establecen documentos especializados,
como pueden ser estándares de seguridad, marcos de referencia o
requisitos que deban ser cumplidos. (WeLiveSecurity, 2015,
https://bit.ly/3vLe0AK)

 A modo de repaso y para afianzar conocimientos, te invito a que

respondas la siguiente pregunta: ¿cuáles son los objetivos de
control en la auditoría de red física?
Como hemos visto, según Piattini y Del Peso, los objetivos de control en la
auditoría de red física son:

Áreas controladas para los equipos de comunicaciones, previniendo los accesos inadecuados.

Protección y tendido adecuado de cables y líneas de comunicaciones, para evitar accesos

físicos.

Controles de utilización de los equipos de pruebas de comunicaciones, usados para

monitorizar la red y su tráfico, que impidan su utilización inadecuada.

Atención específica a la recuperación de los sistemas de comunicación de datos en el plan de

recuperación de desastres en sistemas de información.

Controles específicos en caso de que se utilicen líneas telefónicas normales con acceso a la
red de datos para prevenir accesos no autorizados al sistema o a la red. (2000, p. 438)

 Lectura obligatoria: Formación de Auditores Internos ISO27001 y

Técnicas de Hacking ético

Indicaciones sobre la lectura:

En este documento se dará una introducción en los

principios en la formación de Auditores internos en la
norma ISO27001, explicando algunos conceptos
básicos sobre seguridad de la información, algunas
definiciones básicas asociadas con la seguridad,
aspectos importantes en el proceso de auditoría,
cómo construir un plan de auditoría y cómo llevar a
cabo el proceso de auditoría.
 Adicionalmente se describirán algunas técnicas de
hacking ético, en donde tendremos algunos conceptos
generales, cómo realizar el descubrimiento,
enumeración, análisis de vulnerabilidades y cómo sería
la explotación de estas. (Ruiz Gómez, 2018,
https://bit.ly/3iWvSFW)

L4 - Formación de Auditores Internos ISO27001 y Técnicas de

Hacking ético.pdf
352.2 KB

Fuente: Ruiz Gómez, J. C. (2018). Formación de Auditores Internos ISO27001 y Técnicas de Hacking ético.

Colombia: Universidad Piloto de Colombia. Recuperado de

http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/ 4648/00004886.pdf?

sequence=1&isAllowed=y

A modo de síntesis, podemos decir que

Las auditorías juegan un papel relevante, ya que permiten

mostrar el estado en el que se encuentra la protección de la
información y de los activos dentro de las organizaciones.
Involucran la identificación, análisis y evaluación de debilidades
en las medidas de seguridad que han sido aplicadas, así como
de los componentes tecnológicos de la empresa.

Además, pueden tener distintas intenciones, por lo tanto, las

revisiones de seguridad varían de acuerdo a condiciones como
el alcance, los criterios que se utilizan como parámetros de
comparación, las personas que las llevan a cabo, los propósitos
que se desean alcanzar, entre otros elementos que determinan
el tipo de revisión. Así, se da lugar a distintas clasificaciones que
abordaremos a continuación. (WeLiveSecurity, 2015,
https://bit.ly/3vLe0AK)

C O NT I NU A R
Lección 8 de 9

Referencias

[Imagen sin título sobre modelo OSI], (s. f.). Recuperado de

https://es.wikipedia.org/wiki/Modelo_OSI#/media/Archivo:OSI_Model_v1.sv
g

Net Cloud Engineering, (s. f.). Auditoría de Redes: ¿cómo se hace?

Recuperado de https://netcloudengineering.com/auditoria-redes-barcelona/

Piattini, M. G.; Del Peso, E. (2000). Auditoría Informática. Un Enfoque

Práctico. Madrid, España: Alfaomega Ra-Ma.

Robledano, A. (2019). Qué es TCP/IP [entrada de blog]. Recuperado de

https://openwebinars.net/blog/que-es-tcpip/

Ruiz Gómez, J. C. (2018). Formación de Auditores Internos ISO27001 y

Técnicas de Hacking ético. Colombia: Universidad Piloto de Colombia.
Recuperado de
http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/4648/000
04886.pdf?sequence=1&isAllowed=y
Universidad Nacional del Centro de la Provincia de Buenos Aires, (s. f.). El
modelo OSI [apunte de cátedra]. Recuperado de
https://users.exa.unicen.edu.ar/
catedras/comdat1/material/ElmodeloOSI.pdf

Vieites, Á. G. (2014). Auditoría de Seguridad Informática. Madrid, España: RA-

MA, S. A. Recuperado de
https://www.academia.edu/25536658/CERTIFICADO_DE_
PROFESIONALIDAD_%C3%81LVARO_G%C3%93MEZ_VIEITES

WeLiveSecurity, (2015). Conoce los tipos de auditorías de redes y qué puede

revisar cada una [entrada de blog]. Recuperado de
https://www.welivesecurity.com/la-es/2015/04/20/auditorias-de-redes/

C O NT I NU A R
Lección 9 de 9

Revisión del módulo

Hasta acá aprendimos

Principales aspectos de la auditoría informática

–
En esta lectura se tratan los principales enfoques de la auditoría informática,
tomando en cuenta los objetivos en los que se aplican, como así también, las
herramientas y técnicas generales. Además, se estudia el concepto de auditoría
de la ofimática, su implicancia en el mercado y los controles en el ámbito de
seguridad que deben ser considerados.

Auditoría de base de datos y aplicaciones

–
Aquí se identifican los principales aspectos orientados a la metodología para
auditar base de datos y aplicaciones. Se establecen los objetivos de control en el
ciclo de vida de una base de datos y se realiza una auditoría de control interno en
un contexto de base de datos. Además, se tratan técnicas de control y
verificación, como así también problemáticas, herramientas y etapas a
desarrollar.
Auditoría de seguridad
–
Los aspectos más relevantes en el contexto de seguridad enfocados al entorno
físico, lógico y de desarrollo de aplicaciones. Además, se analiza el área de
producción de datos y tratamientos de los mismos, junto con la comunicación y
tratamiento en redes. Finalmente, nos enfocamos en la importancia de las
técnicas, métodos y herramientas.

Auditoría de redes
–
En esta última lectura, se trabaja sobre la auditoría de redes, desde el contexto de
modelo OSI, vulnerabilidades en redes y aspectos a considerar, como así
también, protocolos de alto nivel, redes abiertas (TCP/IP). Finalmente, se analizan
las generalidades sobre los conceptos de la auditoría del área de
comunicaciones y la auditoría de redes lógicas y físicas.

C O NT I NU A R