ADMINISTRACIÓNY NEGOCIOS

Reconocimiento PasivoEmpresa Movistar Chile

NOMBRES: Cristian Alcaíno; Pedro Cáceres; Juan Tapia; Juan Peña.CARRERA: Ingeniería Informática.ASIGNATURA: Seguridad y Auditoria Informática.PROFESOR: Román Pablo Gajardo Robles.FECHA: 04/11/2015

1 Descripción de la empresa.

Telefónica Chile, conocida comercialmente por su marca comercial Movistar, es una empresa de

telecomunicaciones chilena, que encuentra sus orígenes en la extinta Compañía de Teléfonos de Chile. El

origen de ésta se remonta al siglo XIX, tratándose generalmente de una empresa multinacional y/o asociada

a capitales externos. La excepción es el período comprendido entre 1971, año en el que la empresa fue

intervenida para su nacionalización y 1987, cuando se dio su privatización.

Desde 1930, se le conoció como Compañía de Teléfonos de Chile (CTC); en aquel entonces, la propiedad

estaba bajo control de la poderosa multinacional estadounidense ITT (Telephone and Telegraph

Corporation). A mediados de la década de 1990, la empresa pasó a la propiedad de sus actuales

dueños, Telefónica de España.

En 1999, se enfrentó con Telefónica del Sur por el cambio de nombre comercial desde CTC a,

simplemente, Telefónica; Telsur, entonces propiedad del Grupo Luksic, alegó que la palabra “telefónica”

es un nombre genérico, debiendo revertir el cambio de nombre, denominándose entonces Telefónica CTC

Chile. En febrero de 2006, propuso a sus accionistas cambiar su nombre a simplemente Telefónica Chile; la

operación fue aprobada por la junta de accionistas el 20 de abril de ese año.

En 2005, separó su división móvil de su matriz, llamada Telefónica Móvil, a Telefónica Móviles, con el

objetivo de fusionarla con la recién adquirida Bellsouth Chile (actual AT&T). Dicha operación dio origen a

la entonces solamente móvil Movistar Chile.

2 Reconocimiento Pasivo

2.1 Correos Electrónicos

Para la búsqueda de correos electrónicos, utilizamos “Kali Linux”. Esta es una distribución basada

en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general.

Para rescatar la información, se ingresó el siguiente comando:

- theharvester -d movistar.cl -c -b all

Se encontraron distintos correos electrónicos, con el dominio de Movistar.

Logo de PassiveRecon

2.2 PassiveRecon

Para rescatar información sobre nuestro sitio web, utilizamos PassiveRecon. Este es un complemento que

se añade al navegador Firefox, con la finalidad de entregar información sobre páginas web de diferentes

empresas. El tipo de información que uno puede obtener es:

- DNS.

- Email.

- IP.

- Dominio.

- PDF, XLS, DOC, PPT, TXT, entre otros.

2.2.1 Información General.

Mediante la página http://www.shodan.io se obtuvo información sobre los equipos en la red que interactúan

con el sitio web de nuestra empresa.

Como podemos observar, se obtiene un resumen de la información del sitio web, que será detallada más

adelante.

- Dirección IP.

- País Origen.

- Organización.

- ISP.

- Última actualización del sitio.

- Nombre de Host.

- ASN

Mediante la página web http://www.netcraft.com/ rescatamos información general sobre el sitio de nuestra

empresa.

Esta imagen nos entrega información valiosa, al igual que la anterior, pero esta vez contiene información

adicional, como por ejemplo:

- Rango de acceso al sitio web de la empresa.

- Fecha de la primera vez que el sitio web estuvo online.

- Nombre del servidor.

- Administrador de DNS.

- País del Hosting.

La imagen anterior entrega información sobre el historial del Hosting del sitio web. En donde la

información a rescatar es la dirección IP del Hosting, Nombre del sistema que suministra información de

los servidores (Citrix Netscaler) y el Servidor Web, que en este caso sería APACHE.

2.2.2 Dominio

A través de la página web http://whois.domaintools.com/ se obtuvo información acerca del dominio de

nuestra empresa.

En la imagen, podemos observar la siguiente información:

- Dirección IP (186.148.3.26).

- Localización IP (Providencia, Región Metropolitana).

- Historial de archivos que se han publicado, desde el año 2007 hasta la actualidad.

- ASN (Número de Sistema Autónomo). Grupo de red IP que posee una política de ruta propia e

independiente. En este caso sería AS7004 CTC Transmisiones Regionales S.A.

Esta la imagen podemos observar la siguiente información:

- Nombre de sitio web.

- Cantidad de imágenes que se encuentran en el sitio web.

- Cantidad de link’s que existen en el sitio web.

- Contacto administrativo y técnico.

- Dirección IP de los servidores de dominio que utiliza el sitio.

- Fecha de expiración del dominio.

2.2.3 Búsqueda en Google.

Para realizar un reconocimiento pasivo en nuestro sitio web, mediante el buscador Google, se utilizarón los

siguientes comandos:

- intext:@movistar.cl filetype:xls

- site: movistar.cl filetype:pdf

A continuación los resultados obtenidos por el primer comando ingresado.

La información que contienen estas imágenes, muestran actividades que realizó la empresa Movistar Chile

con el Servicio de Impuestos Internos, entregando un usuario y contraseña, de diferentes clientes del SII,

para poder ingresar y loguearse en el sitio web de SII.

El segundo comando ingresado, arrojó información sobre catálogos de equipos celulares e información

sobre sobre las bases notariales de un concurso realizado por Movistar Chile. No será necesario adjuntar

imágenes, ya que la información que entregan no es relevante para esta investigación.

3 Directorio Personal Movistar Chile

La imagen muestra información como:

- Nombre.- Rut.- Cargo.- Cargo Ejecutivo Personal.- Fecha de Nombramiento.

4 Proveedores

N° Amenaza Nombre del

riesgo

Descripción

del riesgo

Tipos de

factores que

los originan

Impacto Temporalidad Medidas de

prevención

Medidas de

mitigación

1 Hackeo Extracción de

datos

hacker Externo Muy Grave ocasionalmente Protocolos de

seguridad

Detección de

vulnerabilidades

en la seguridad

y resguardar

información.

2 Ataque a la

persona

Extracción

datos

personales

Mal uso de los

datos

personales

Externo Grave ocasionalmente Ocultar

información

personal

Se debe tratar

de resguardar de

mejor manera

los datos

personales, ya

que se puede

generar un

atentado a la

persona.

3 Virus Extracción de

datos

Robo o pérdida

de información

del historial

Externo Muy Grave Ocasionalmente Antivirus Detección y

destrucción de

virus para

posteriormente

recuperar la

información

extraída.

4 Información

Exhibida

Se muestra

información

valiosa

Se puede hacer

mal uso del

usuario y la

password

prestadas a

Servicio

impuestos

internos

Interno Muy Grave Ocasionalmente Mejorar la

confidencialidad

Detectar datos

vulnerables

como users y

passwords y

luego ocultarlos

utilizando algún

medio de

resguardo.

5

‐ Matriz de riesgo ¡?¡?¡?¡?¡