David Hernando Alonso Torres (Tesis)

67

ltimo, la forma de contribuir con la lucha contra el robo de celulares al

identificar de qu forma estos, al ser hurtados, se puedan dejar inservibles.

Los desafos del Cloud Computing: Esta infografa muestra a travs de 5

pasos, los retos para los usuarios y administradores de plataformas que

hacen uso del Cloud Computing en sus Sistemas de Informacin, hace

referencia los desafos en las fases y como deben ser abordados para obtener

resultados ideales y con la menor cantidad de riesgo existente.

7.3. PGINA WEB WWW.EXPLOITSABANATEAM.COM

Se ha creado el portal www.ExploitSabanaTeam.com, este ser el medio por el

cual se publicarn Noticias, Tutoriales, Actualizaciones, Legislacin, Estndares

y dems relacionado con Seguridad de La Informacin especialmente a Nivel

Nacional, recopila informacin de fuentes confiables que se identificaron en el

trascurso de la investigacin, como Portales de Noticias, Compaas

desarrolladoras de software de seguridad, entre otros.

Figura 3. Pgina www.ExploitSabanaTeam.com
http://www.exploitsabanateam.com/http://www.exploitsabanateam.com/

68

7.4. TWITTER @EXPLOITUSTEAM

FACEBOOK.COM/EXPLOITSABANATEAM

Por medio de las redes sociales populares como Twitter y Facebook, se dar a

conocer las novedades relacionadas con el mundo de la Seguridad de La

Informacin, ser un Feed de noticias, aparicin en los medios, eventos y todo lo

que gira alrededor del mundo de la Seguridad de la Informacin.

Figura 4. Facebook Exploit Sabana Team

Figura 5.Twitter @ExploitUSTeam

69

8. CONCLUSIONES

Al empezar este trabajo de investigacin se parti con la idea de que se

necesitaba un anlisis del estado actual de la seguridad de la informacin en

cuanto a legislacin, estndares y normatividad, sin embargo se identificaron otras

partes en el proceso de aseguramiento de Sistemas de Informacin que son muy

importantes, como las iniciativas del gobierno a travs de estrategias y grupos de

apoyo para incidentes relacionados con seguridad de la informacin, a pesar que

Colombia est lejos de los pases lderes en Seguridad Informtica como

mecanismo de Ciberdefensa, es uno de los destacados en la regin por este tipo

de iniciativas y la gestin de uno de los mejores ministerios, como es el MinTIC,

el vaco identificado en este aspecto es la falta de proliferacin de la informacin.

A lo largo del Proyecto de Investigacin la frontera de consulta se expandi debido

a la cantidad de procesos, datos, informacin y componentes involucrados,

especialmente en el anlisis de las vulnerabilidades y sus impactos en el proceso

de definicin, gestin e implementacin de una estrategia efectiva para

contrarrestar las amenazas por parte de los ataques maliciosos a Sistemas de

Informacin expuestos a internet, se concluye que para realizar un trabajo en

produccin aplicando lo visto en la Investigacin, se necesita la participacin

activa de todos los involucrados en los procesos de presupuesto, diseo,

implementacin y puesta en marcha de un servicio web y/o aplicativo.

Con el anlisis realizado se pudo identificar que a nivel mundial la tendencia se

mantiene, a travs de los aos las vulnerabilidades y su esencia no ha cambiado,

a pesar de la evolucin de las tecnologas, sin embargo se ha visto un avance en

las tcnicas de penetracin y ataque por parte de delincuentes, por esto se llega

a la conclusin que el Profesional de la Seguridad de La Informacin debe estar

siempre actualizado aplicando los ltimos mecanismos de defensa para mantener

un nivel de aseguramiento de los Sistemas de Informacin adecuado.

70

A travs de la gua metodolgica se logr identificar un factor muy importante, que

es la contextualizacin del problema, es posible que esta sea la causa de

procedimientos errneos en cuanto a remediacin de vulnerabilidades

informticas, ya que el profesional tiene una referencia de por qu, por cul

agujero y de qu forma puede ser atacado, sino simplemente se limita a aplicar

las herramientas y parches sugeridos, sin saber con certeza si los procedimientos

son los adecuados para el tipo de vulnerabilidad, esto deriva a que el conocimiento

por parte de Profesional de la Seguridad de la informacin debe tener una visin

global acerca de su infraestructura, la gua no reemplaza una auditora de

seguridad de la informacin, pero si puede mostrar el estado actual de la

organizacin objetivo a muy bajo costo.

Las empresas, sin importar su tamao e infraestructura encontrarn en el trabajo

de investigacin una referencia importante en su accionar y traza de objetivos en

cuanto a niveles de aseguramiento de la informacin, se concluye que la teora es

muy importante pero que nada vale si no se inculca una consciencia y se asume

una responsabilidad sobre el uso y las buenas prcticas en diferentes ambientes,

como la tecnologa mvil, cloud computing, aplicativos web y relacionados; en

cada uno de los involucrados en los procesos de las compaas. Se debe dar la

importancia necesaria a la Seguridad de la Informacin, tanto en esfuerzo humano

como en presupuesto por parte de la alta gerencia. En este punto es cuando toma

valor la implementacin de campaas de sensibilizacin con relevancia social

sobresaliente.

Para finalizar, el Trabajo de Investigacin, presenta un escenario para los

profesionales de las TIC y los estudiantes que motiva a profundizar ms en el

tema de la Seguridad de la Informacin, a nivel acadmico son las primeras

piedras para el avance en este campo, para retomar esta iniciativa, especialmente

71

a la que tiene que ver con el Grupo de Investigacin; se concluye que a pesar de

los esfuerzos de limitar este tema, el campo de conocimiento es muy amplio y

necesario entender, que requiere de un estudio a profundidad para cubrir todos

los componentes involucrados para la Ciberdefensa a nivel empresarial.

9. RECOMENDACIONES

El profesional de la seguridad de la informacin no se debe limitar con las

herramientas presentadas en este trabajo de investigacin, se sugiere la

bsqueda de tcnicas y metodologas que complementen lo presentado

anteriormente, esto en pro de motivar e incentivar el aprendizaje y el inters en

este campo.

Se recomienda consultar no solo el Top. 5 de vulnerabilidades que ms impacto

generen, si no todos los fallos posibles, porque en realidad una vulnerabilidad

representa una debilidad que puede ser trasformada en riesgo inmediatamente,

da a da las bases de datos de ataques y vulnerabilidades se estn actualizando

evidenciando un crecimiento notable en los ltimos aos debido a la facilidad de

acceso por parte del pblico en general a la tecnologa, esto los hace objetivos y

blancos fciles para ser atacados.

A nivel gubernamental, se destacan las iniciativas en pro de la seguridad, sin

embargo se sugiere que se publicite, informe y se realicen campaas que

publiciten dichas iniciativas, que hagan participe a la comunidad en general en

todos los niveles socio-econmicos del pas, se enteren del qu, el por qu y el

para qu y as se convierta la Seguridad de la Informacin en poltica defensa

nacional.

72

Para finalizar, se recomienda la capacitacin y certificacin de los profesionales

de la seguridad y/o Administradores de sistemas en cuanto a lo mencionado en el

trabajo de investigacin, realizar procesos de aseguramiento y defensa a

amenazas requiere un nivel de destreza y conocimiento bastante amplio.

73

10. BIBLIOGRAFA

PCI Security Standards Council. (12 de Enero de 2014). Acerca del PCI Security Standards

Council. Obtenido de https://es.pcisecuritystandards.org/minisite/en/about.php

27001 Academy. (20 de Enero de 2013). 27001Academy. Obtenido de

http://www.iso27001standard.com/es/que-es-iso-27001/

Aguilera Lpez, P. (2010). Seguridad informtica. Madrid.

Almanza, A. (2014 de Junio de 2014). ACIS: Revista Sistemas. Recuperado el 8 de Octubre de

2014, de http://acis.org.co/revistasistemas/index.php/component/k2/item/164-

tendencias-2014-encuesta-nacional-de-seguridad-inform%C3%A1tica

lvarez Huerta, L. (30 de Mayo de 2014). OpenWebinars.net. Obtenido de

https://openwebinars.net/openvas-en-linux-explorando-nuestros-sistemas/

Arias, R. (1 de Enero de 2013). Seguro de Estar Seguro. Obtenido de

http://segurodeestarseguro.blogspot.com/2013/01/metodologias-de-hacking-

etico_1.html

Balanta, H. (15 de Junio de 2014). DerechoInformtico.co. Obtenido de

http://derechoinformatico.co/legislacion-que-protege-la-informacion-en-colombia/

Benjumea, O. (10 de Noviembre de 2010). Sabes diferenciar la ISO 27001 y la ISO 27002?:

RedSeguridad.com. Recuperado el 8 de Octubre de 2014, de

http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-iso-27001-y-

la-iso-27002

Bloomberg Businessweek. (12 de Enero de 2014). Company Overview of The MITRE

Corporation.

CERT SEI. (s.f.). About Us: CERT. Obtenido de http://www.cert.org/about/

CLAD. (1 de Junio de 2007). Centro Latinoamericano de Administracin para el Desarrollo.

Recuperado el 9 de Junio de 2014, de http://programa.gobiernoenlinea.gov.co/apc-

aa-files/92e2edae878558af042aceeafd1fc4d8/cartagobelec.pdf

CRC, C. d. (23 de Diciembre de 2009). Resolucin 2258 de 2009. Recuperado el 2014 de

Octubre de 2014, de

http://www.etb.com.co/guiadeconsulta/contratos/Resolucion_2258.pdf

DISA. (s.f.). Our Work: DISA 101. Obtenido de http://www.disa.mil/About/Our-Work

74

El Espectador. (17 de Mayo de 2014). De Andrmeda a los 'hackers'. Obtenido de

http://www.elespectador.com/noticias/investigacion/de-andromeda-los-hackers-

articulo-492933

Enter.CO. (05 de Febrero de 2014). Buggly, la comunidad en la que el ejrcito camufl a sus

hackers. Obtenido de http://www.enter.co/chips-bits/seguridad/asi-es-la-presunta-

fachada-de-la-central-de-hackeo-del-ejercito/

Gallardo, S. (2014). Ms All de las TIC en MinDefensa. Revista Sistemas, 20-22.

Gonzlez Prez, P., Snchez Garcs, G., & Soriano de la Cmara, J. M. (2013). Pentesting con

Kali. Madrid: 0xWord.

Gonzlez Prez, P., Snchez Garcs, G., & Soriano, J. M. (2013). Pentesting con Kali. Madrid:

0xWord.

Hernandez, A. (1 de Agosto de 2011). InfoSecurity: InSeguridad de la Informacin en la

Empresa Colombiana. Recuperado el 7 de Octubre de 2014, de

http://www.infosecurityvip.com/newsletter/estadisticas_ago11.html

ISACA. (s.f.). Acerca de. Obtenido de http://www.isaca.org/spanish/Pages/default.aspx

Lozano Vila, A. (14 de Febrero de 2008). Sistema de Administracin del Riesgo de Lavado de

Activos y de la Financiacin del Terrorismo. Recuperado el 6 de Octubre de 2014, de

https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rj

a&uact=8&ved=0CB0QFjAA&url=http%3A%2F%2Fwww.sarlaft.com%2Fhtml%2FRES

UMEM%2520NORMA%2520TECNICA%2520COLOMBIANA%2520NTC%252052541.d

oc&ei=52c5VOL8JrWCsQTmpICgBg&usg=AFQjCNHAWxS8LZh9QN8Q

Marcela Daz Sandoval. (21 de Marzo de 2014). El Espectador. Obtenido de

http://www.elespectador.com/tecnologia/colombia-lider-inseguridad-informatica-

latina-articulo-482097

Martnez Rodrguez, J. C. (27 de Noviembre de 2014). La desmitificacin de los hacker.

Obtenido de http://www.elespectador.com/noticias/investigacion/los-hackers-

contexto-articulo-530053

Mifsud, E. (Lunes de Marzo de 2012). Datateca Universidad Nacional Abierta y a Distancia.

Obtenido de

http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/Proteccion_

seguridad_infomatica.pdf

MinTic. (Julio de 14 de 2011). Ministerio TIC. Obtenido de

http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf

MinTIC. (1 de Diciembre de 2011). MinTIC: Gobierno en Lnea. Recuperado el 8 de Octubre

de 2014, de http://programa.gobiernoenlinea.gov.co/apc-aa-

75

files/da4567033d075590cd3050598756222c/Modelo_Seguridad_Informacion_2_0.

pdf

OWASP. (2014 de Noviembre de 2014). Sobre OWASP. Obtenido de

https://www.owasp.org/index.php/Sobre_OWASP

OWASP, F. (2013). OWASP Project Top 10 - 2013.

Pacheco, F. (10 de Septiembre de 2013). ESET: WeLiveSecurity. Recuperado el 7 de Octubre

de 2014, de http://www.welivesecurity.com/la-es/2010/09/10/la-importancia-de-

un-sgsi/

Pacheco, F., & Jara, H. (2012). Ethical Hacking . Buenos Aires: USERS.

Piraquive, F. N. (2008). Principales estndares para la seguridad de la informacin IT. Revista

EOS, 77-109.

RAE. (1 de Septiembre de 2013). Diccionario panhispnico de dudas. Obtenido de

http://lema.rae.es/dpd/srv/search?key=hacker

Red, H. e. (15 de Agosto de 2012). Tipos de Hackers, Hackers en La Red. Obtenido de

https://hackersenlared.wordpress.com/2012/08/15/tipos-de-hackers/

SANS. (s.f.). About Us: SANS. Obtenido de http://www.sans.org/about/

Santos, P. J. (7 de Febrero de 2014). Agencia Nacional de Seguridad Ciberntica. (R. Radio,

Entrevistador)

Superfinanciera, C. (25 de Octubre de 2007). Circular Externa 052 de 2007. Recuperado el 25

de Octubre de 2014, de

https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rj

a&uact=8&ved=0CCEQFjAB&url=https%3A%2F%2Fwww.superfinanciera.gov.co%2F

descargas%3Fcom%3Dinstitucional%26name%3DpubFile7553%26downloadname%

3Dce05207.docx&ei=d4k-VK7HC_j8sAS924GgCA&usg

SYMANTEC CORP. (1 de Junio de 2014). Obtenido de Informe sobre las amenazas para la

seguridad de los sitios web: 2014: https://www.symantec-

wss.com/campaigns/15106/cala4/assets/symantec-wstr-2014-cala.pdf

SYMANTEC. (s.f.). Glosario de Seguridad 101. Obtenido de

http://www.symantec.com/es/mx/theme.jsp?themeid=glosario-de-seguridad

UNAD. (21 de Enero de 2014). Universidad Nacional Abierta y a Distancia: Test de

Penetracin. Obtenido de

http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_26_test_de_pen

etracin.html

Witigo's Blog. (8 de Enero de 2014). Witigo's Blog. Obtenido de

http://witigo.wordpress.com/seguridad/nessus/%C2%BFque-es-nessus/

76

11. ANEXOS

11.1. ANEXO No. 1 LEGISLACIN COLOMBIANA

Ley 527 de 1999: Por medio de la cual se define y reglamenta el

acceso y uso de los mensajes de datos, del comercio electrnico y

de las firmas digitales, y se establecen las entidades de certificacin

Ley 1032 de 2006: Modifica el Cdigo Penal en especial, sobre la

prestacin, acceso o uso ilegales de los servicios de

telecomunicaciones y Violacin a los mecanismos de proteccin de

derecho de autor y derechos conexos, y otras defraudaciones

Ley 1266 de 2008: Se dictan las disposiciones generales del

hbeas data y se regula el manejo de la informacin contenida en

bases de datos personales, en especial la financiera, crediticia,

comercial, de servicios y la proveniente de terceros pases

Ley 1273 de 2009: Se modifica el Cdigo Penal, se crea un nuevo

bien jurdico tutelado denominado de la proteccin de la

informacin y de los datos- y se preservan integralmente los

sistemas que utilicen las tecnologas de la informacin y las

comunicaciones, entre otras disposiciones.

Ley 1581 de 2012: Se dictan disposiciones generales para la

proteccin de datos personales

Decreto 1377 de 2013: Por el cual se reglamenta parcialmente la

Ley 1581 de 2012 habeas data.

Ley 1712 de 2014: Se crea la ley de transparencia y del derecho

de acceso a la informacin pblica nacional.

Conpes 3701 de 2011
http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-527-de-1999/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1032-de-2006/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1266-de-2008/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1273-de-2009/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1581-de-2012/http://derechoinformatico.co/centro-de-documentacion/legislacion/decreto-1377-de-2013/http://derechoinformatico.co/centro-de-documentacion/legislacion/ley-1712-de-2014/http://www.mintic.gov.co/portal/604/articles-3510_documento.pdf

77

11.2. ANEXO No.2 SEGURIDAD DE LA INFORMACIN EN

LEGISLACIN

LEY / RESOLUCIN CIRCULAR TEMA

Ley 527 de 1999 - COMERCIO

ELECTRNICO

Por medio de la cual se define y reglamenta el

acceso y uso de los mensajes de datos, del

comercio electrnico y de las firmas digitales, y

se establecen las entidades de certificacin y se

dictan otras disposiciones

Ley 599 DE 2000

Por la cual se expide el Cdigo Penal. En esta

se mantuvo la estructura del tipo penal de

violacin ilcita de comunicaciones, se cre el

bien jurdico de los derechos de autor y se

incorporaron algunas conductas relacionadas

indirectamente con el delito informtico, tales

como el ofrecimiento, venta o compra de

instrumento apto para interceptar la

comunicacin privada entre personas. Se tipific

el Acceso abusivo a un sistema informtico,

as: Art. 195. El que abusivamente se

introduzca en un sistema informtico protegido

con medida de seguridad o se mantenga contra

la voluntad de quien tiene derecho a excluirlo,

incurrir en multa.

78

Ley 962 de 2005

Por la cual se dictan disposiciones sobre

racionalizacin de trmites y procedimientos

administrativos de los organismos y entidades

del Estado y de los particulares que ejercen

funciones pblicas o prestan servicios pblicos.

Prev el incentivo del uso de medios

tecnolgicos integrados para disminuir los

tiempos y costos de realizacin de los trmites

por parte de los administrados.

Ley 1150 de 2007

Por medio de la cual se introducen medidas para

la eficiencia y la transparencia en la Ley 80 de

1993 y se dictan otras disposiciones generales

sobre la contratacin con Recursos Pblicos.

Especficamente, se establece la posibilidad de

que la administracin pblica expida actos

administrativos y documentos y haga

notificaciones por medios electrnicos, para lo

cual prev el desarrollo del Sistema Electrnico

para la Contratacin Pblica, Secop.

Ley 1273 de 2009

Por medio de la cual se modifica el Cdigo

Penal, se crea un nuevo bien jurdico tutelado -

denominado de la proteccin de la informacin

y de los datos- y se preservan integralmente los

sistemas que utilicen las tecnologas de la

informacin y las comunicaciones, entre otras

disposiciones.

Ley 1341 de 2009

Por la cual se definen principios y conceptos

sobre la sociedad de la informacin y la

organizacin de las tecnologas de la

Informacin y las Comunicaciones TIC, se crea

79

la Agencia Nacional del Espectro y se dictan

otras disposiciones.

Resolucin de la Comisin de

Regulacin de Comunicaciones

2258 de 2009

Sobre seguridad de las redes de los

proveedores de redes y servicios de

telecomunicaciones. Esta resolucin modifica

los artculos 22 y 23 de la Resolucin CRT 1732

de 2007 y los artculos 1,8 y 2,4 de la Resolucin

CRT 1740 de 2007. Esta regulacin establece la

obligacin para los proveedores de redes y/o

servicios de telecomunicaciones que ofrezcan

acceso a Internet de implementar modelos de

seguridad, de acuerdo con las caractersticas y

necesidades propias de su red, que contribuyan

a mejorar la seguridad de sus redes de acceso,

de acuerdo con los marcos de seguridad

definidos por la UIT, cumpliendo los principios de

confidencialidad de datos, integridad de datos y

disponibilidad de los elementos de red, la

informacin, los servicios y las aplicaciones, as

como medidas para autenticacin, acceso y no

repudio. As mismo, establece obligaciones a

cumplir por parte de los proveedores de redes y

servicios de telecomunicaciones relacionadas

con la inviolabilidad de las comunicaciones y la

seguridad de la informacin.

Circular 052 de 2007

(Superintendencia Financiera

de Colombia)

Fija los requerimientos mnimos de seguridad y

calidad en el manejo de informacin a travs de

medios y canales de distribucin de productos y

servicios para clientes y usuarios.

80

Ley 1581 de 2012

Se reglamentan aspectos relacionados con la

autorizacin del Titular de la Informacin para el

Tratamiento de Sus datos personales, las

polticas de Tratamiento de los Responsables y

Encargados, el ejercicio de los derechos de los

titulares de informacin y las transferencias de

datos personales.

81

11.3. ANEXO No.3 PRINCIPIOS DE LA SEGURIDAD Y LA

INFORMACIN: NORMATIVIDAD Y ESTNDARES

12. NORMATIVIDAD Y ESTNDARES

CO

NF

IDE

NC

IAL

IDA

D ISO

/IE

C 2

7001

A.11.2 Gestin del acceso de usuarios

A.15.1 Cumplimiento de los requisitos legales

A.11.3 Responsabilidades de los usuarios

A.11.6 Control de acceso a las aplicaciones y a la informacin

A.12.3 Controles criptogrficos

A.12.4 Seguridad de los archivos del sistema

A.5.1 Poltica de seguridad de la informacin

A.10.6 Gestin de la seguridad de las redes

A.10.8 Intercambio de la informacin

NT

C 5

254

3.2.2 Establecimiento del contexto externo

3.3 IDENTIFICACIN DE LOS RIESGOS

3.4.3 Consecuencias y posibilidad

3.6 TRATAMIENTO DE LOS RIESGOS

RF

C 2

196

Poltica de Privacidad

Poltica de Acceso

Poltica de Autenticacin

Declaracin de Disponibilidad

Poltica de informes de incidentes o violaciones de seguridad

DIS

PO

NIB

ILID

AD

ISO

/IE

C 2

7001

A.10.10 Monitoreo


A.11.7 Computacin mvil y trabajo remoto

A.13.1 Reporte sobre los eventos y las debilidades de la seguridad de la

informacin

A.10.9 Servicios de comercio electrnico

A.10.5 Respaldo


82

A.10.4 Proteccin contra cdigos maliciosos y mviles

A.12.6 Gestin de la vulnerabilidad tcnica

A.12.5 Seguridad en los procesos de desarrollo y soporte N

TC

5254

3.2.2 Establecimiento del contexto externo

3.2.5 Desarrollo de los criterios del riesgo


3.4.2 Evaluacin de los controles existentes


3.7 MONITOREO Y REVISIN

RF

C 2

196

Declaracin de Disponibilidad

INT

EG

RID

AD

ISO

/IE

C 2

7001

A.12.3 Controles criptogrficos

A.10.5 Respaldo

A.12.4 Seguridad de los archivos del sistema


A.10.8 Intercambio de la informacin

A.10.4 Proteccin contra cdigos maliciosos y mviles

NT

C 5

254

3.2.5 Desarrollo de los criterios del riesgo


3.4.3 Consecuencias y posibilidad


RF

C 2

196

Poltica de Responsabilidad

AU

TE

NT

ICA

CI

N

ISO

/IE

C 2

7001


A.11.4 Control de acceso a las redes

A.11.6 Control de acceso a las aplicaciones y a la informacin


83

NT

C 5

254


3.6 TRATAMIENTO DE LOS RIESGOS R

FC

2196

Poltica de Privacidad

Poltica de Acceso

Poltica de Responsabilidad

Poltica de Autenticacin

84

11.4. ANEXO No.4 HERRAMIENTAS PENTESTING Y DESCRIPCIN

HERRAMIENTA DESCRIPCIN

NetScan Tools

http://www.netscantools.com/

Conjunto de herramientas de

internet en un solo paquete para

plataformas Windows.

Nmap

http://nmap.org/

Es un programa por consola de

comandos que sirve para efectuar

rastreo de puertos y se usa para

evaluar la seguridad de sistemas

informticos. (Gonzlez Prez,

Snchez Garcs, & Soriano de la

Cmara, Pentesting con Kali,

2013)

Ncat

http://nmap.org/ncat/

Es la herramienta considerada

como la evolucin de Netcat, es un

utilidad que permite leer y escribir

datos a travs de conexiones de

red usando la pila

de protocolos TCP/IP. (Gonzlez

Prez, Snchez Garcs, & Soriano

de la Cmara, Pentesting con Kali,

2013)

Metasploit Framework

http://www.metasploit.com/

Provee informacin y herramientas

tiles para pruebas de

penetracin, investigadores de

seguridad y desarrolladores de

IDSs

.

85

Retina Network Security Scanner

http://www.beyondtrust.com/

Poderosa solucin para la

administracin de vulnerabilidades

diseada para ayudar a

las organizaciones de cualquier

tamao en la identificacin,

proteccin mitigacin de

Vulnerabilidades.

John The Ripper

http://www.openwall.com/john/

Software para password cracking,

actualmente disponible para varios

sistemas Unix, Windows, DOS,

BeOS y OpenVMS.

OpenVAS

http://www.openvas.org/

OpenVAS es una herramienta

diseada para ayudar a los

administradores de red/sistemas

en la identificacin de

vulnerabilidades, deteccin de

intrusiones y por tanto, amplio

abanico en la prevencin de

ataques. (lvarez Huerta, 2014)

Burp Suite

http://portswigger.net/burp/

Es una herramienta escrita

ntegramente en Java que permite

realizar test de intrusin en

aplicaciones web, permitiendo

combinar tcnicas manuales y

automticas para analizar,

detectar, atacar y explotar

aplicaciones web. (Gonzlez



2013)

86

Maltego

https://www.paterva.com/web6/

Es una aplicacin de minera y

recoleccin de informacin

utilizada durante la fase de Data

Gathering, proceso en el cual se

trata de obtener el mayor nmero

de informacin posible sobre un

objetivo para su posterior ataque.

(Gonzlez Prez, Snchez

Garcs, & Soriano de la Cmara,

Pentesting con Kali, 2013)

Nessus

http://www.tenable.com/

Es un programa de escaneo de

vulnerabilidades. Consiste en dos

partes nessusd, el daemon

Nessus, que es el encargado de

realizar el escaneo en el sistema

objetivo, y nessus, el cliente

(basado en consola o grfico) que

muestra el avance y resultados de

los escaneos. (Witigo's Blog, 2014)

Wireshark

https://www.wireshark.org/

Es un analizador de paquetes que

permite examinar datos de una red

viva o de un archivo de captura

salvado en disco. (Gonzlez



2013)

87

11.5. ANEXO 5 - CUNTOS TIPOS DE HACKERS CONOCES?

88

11.6. ANEXO 6 - ALERTA PROFESIONALES DE LAS TIC! TIPS:

SEGURIDAD = TRANQUILIDAD

89

11.7. ANEXO 7 - SEGURIDAD MVIL: UN PASO DELANTE DE LOS

DELINCUENTES

90

11.8. ANEXO 8 - LOS DESAFOS DEL CLOUD COMPUTING

91

11.9. ANEXO 9 GUA METODOLGICA PARA EL TOP 5 DE ATAQUES

MALICIOSOS VAINLEEC-

(Hacer Clc en la imagen para acceder a la gua)
http://www.mediafire.com/view/2d2e3dv9amaoxtn/Guia_Metodol%C3%B3gica_VAINLEEC_David_Alonso.pdf

David Hernando Alonso Torres (Tesis)

Documents

Transcript of David Hernando Alonso Torres (Tesis)