UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN SISTEMAS DE INFORMACIÓN

GERENCIAL

ARTÍCULO CIENTÍFICO PREVIO A LA OBTENCIÓN DEL GRADO

ACADÉMICO DE MAGISTER EN SISTEMAS DE INFORMACIÓN

GERENCIAL

TEMA:

IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS DE LA RED DE

LA UNIDAD EDUCATIVA “GONZALO ZALDUMBIDE”

AUTOR: ING. SILVA TERÁN JORGE ANDRÉS

TUTORES: DR. ROMERO FERNÁNDEZ ARIEL JOSÉ, PHD

ING. SANDOVAL PILLAJO ANA LUCÍA, MG

IBARRA – ECUADOR

2019

APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN

CERTIFICACIÓN:

Quienes suscriben, legalmente CERTIFICAMOS QUE: El presente Trabajo de

Titulación realizado por el Ing. Silva Terán Jorge Andrés estudiante del programa de

Maestría en Sistemas de Información Gerencial, Facultad de Sistemas Mercantiles, con

el tema “IDENTIFICACIÓN DE VULNERABILIDADES Y AMENAZAS DE LA

RED DE LA UNIDAD EDUCATIVA GONZALO ZALDUMBIDE”, ha sido

prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa

pertinente de la Universidad Regional Autónoma de Los Andes -UNIANDES-, por lo

que aprobamos su presentación.

Ibarra, junio del 2019

_______________________________ _______________________________

Dr. Romero Fernández Ariel, Ph.D Ing. Sandoval Pillajo Ana Lucía, Mg

TUTOR TUTORA

DECLARACIÓN DE AUTENTICIDAD

Yo, Ing. Silva Terán Jorge Andrés, estudiante del programa de Maestría en Sistemas

de Información Gerencial, Facultad de Sistemas Mercantiles declaro que todos los

resultados obtenidos en el presente trabajo de investigación, previo a la obtención del

Grado Académico de MAGISTER EN SISTEMAS DE INFORMACIÓN

GERENCIAL, son absolutamente originales, auténticos y personales; a excepción de

las citas, por lo que son de mi exclusiva responsabilidad.

Ibarra, junio de 2019

DERECHOS DEL AUTOR

Yo, Ing. Silva Terán Jorge Andrés, declaro que conozco y acepto la disposición

constante en el literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma

de Los Andes, que en su parte pertinente textualmente dice: El Patrimonio de la

UNIANDES, está constituido por: La propiedad intelectual sobre las Investigaciones,

trabajos científicos o técnicos, proyectos profesionales y consultaría que se realicen en

la Universidad o por cuenta de ella;

Ibarra, junio de 2019

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

Yo, Ing. Checa Cabrera Marco Antonio, MBA. en calidad de Lector del Artículo

Científico.

CERTIFICO:

Que el presente trabajo de titulación realizado por el estudiante Ing. Silva Terán Jorge

Andrés sobre el tema: “IDENTIFICACIÓN DE VULNERABILIDADES Y

AMENAZAS DE LA RED DE LA UNIDAD EDUCATIVA GONZALO

ZALDUMBIDE”, ha sido cuidadosamente revisado por el suscrito, por lo que he

podido constatar que cumple con todos los requisitos de fondo y forma establecidos por

la Universidad Regional Autónoma de Los Andes, para esta clase de trabajos, por lo que

autorizo su presentación.

Ibarra, julio de 2019

_______________________________

Ing. Checa Cabrera Marco Antonio, MBA.

LECTOR

DEDICATORIA

El presente trabajo se lo dedico en primer lugar a Dios, quien siempre ha sido mi luz,

protector y guía para tomar el camino correcto y avanzar pese a las adversidades en el

camino y poder alcanzar este éxito profesional.

A mis padres: Marco y Anita, que son un ejemplo y una guía para seguir, brindándome

todo su amor, comprensión y por mostrarme el camino hacia la superación en mi

formación académica y personal.

A mi novia Johanna, por ser un pilar en mi vida y darme su apoyo incondicional en

todas las actividades que realizo, demostrándome su amor y afecto en todo momento.

A mi hijo Nickolás Alejandro, quien con su amor y ternura ha sido una inspiración

fundamental para poder continuar en el camino del esfuerzo y un motivo para seguir

adelante.

A todas las personas que sin esperar nada a cambio me han apoyado con gestos y

palabras de aliento para lograr que este objetivo se cumpla.

AGRADECIMIENTO

Quiero agradecer a todas las personas que hicieron posible esta investigación porque en

todo el camino ha sido una bendición.

También un agradecimiento especial a la Universidad Regional Autónoma de los Andes

“UNIANDES”, por haberme permitido formarme en ella y todos los conocimientos

recibidos por parte de los docentes durante el transcurso de la carrera; y a los tutores que

me apoyado para que todo sea de la mejor manera.

ÍNDICE GENERAL

Pág.

APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN

DECLARACIÓN DE AUTENTICIDAD

DERECHOS DEL AUTOR

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN

DEDICATORIA

AGRADECIMIENTO

ÍNDICE GENERAL

ÍNDICE DE TABLAS

ÍNDICE DE FIGURAS

RESUMEN

ABSTRACT

TEMA ............................................................................................................................... 1

LÍNEA DE INVESTIGACIÓN ........................................................................................ 1

INTRODUCCIÓN ............................................................................................................ 1

MATERIALES Y MÉTODOS ......................................................................................... 4

RESULTADOS ................................................................................................................ 5

Herramientas para la revisión de puertos .......................................................................... 6

Herramientas para la verificación del tráfico de red ......................................................... 6

Herramientas para la búsqueda de vulnerabilidades ......................................................... 7

Plataformas de análisis e inteligencia de negocios ........................................................... 8

Método de Deming ........................................................................................................... 9

Aplicación del método de Deming ................................................................................. 10

Fase 1: Plan (Planear) ..................................................................................................... 10

Fase 2: Do (Hacer) .......................................................................................................... 11

Fase 3: Check (verificar) ................................................................................................. 14

Fase 4: Act (actuar) ......................................................................................................... 15

DISCUSIÓN ................................................................................................................... 18

CONCLUSIONES .......................................................................................................... 19

REFERENCIAS BIBLIOGRÁFICAS

ÍNDICE DE TABLAS

Pág.

Tabla 1. Población. ........................................................................................................... 5

Tabla 2. Análisis de las herramientas de test o escaneo. .................................................. 6

Tabla 3. Análisis de las herramientas de tráfico de red. ................................................... 7

Tabla 4. Análisis de las herramientas de búsqueda de vulnerabilidades. ......................... 8

Tabla 5. Reporte de figuras 3-4-5 ................................................................................... 14

Tabla 6. Reporte de figuras 7-8-9 ................................................................................... 17

Tabla 7. Reporte General ................................................................................................ 18

ÍNDICE DE FIGURAS

Pág.

Figura 1. Cuadrante Mágico para plataformas de análisis e inteligencia de negocios ..... 9

Figura 2. Topología de la red de la Unidad Educativa Gonzalo Zaldumbide................. 10

Figura 3. Reporte de Nmap para revisión de puertos y script vuln................................. 11

Figura 4. Reporte de Nmap para revisión de antivirus ................................................... 12

Figura 5. Reporte de WireShark ..................................................................................... 13

Figura 6. Reporte de Greenbone ..................................................................................... 14

Figura 7. Cantidad de puertos abiertos por dirección ip ................................................. 15

Figura 8. Tipos de Puertos abiertos por dirección ip ...................................................... 16

Figura 9. Resumen de datos suministrados ..................................................................... 16

RESUMEN

La seguridad de la red se convierte en una necesidad en la Unidad Educativa “Gonzalo

Zaldumbide”, porque trata de no poner riesgo la integridad de la información y

estabilidad de los sistemas que son utilizados por los miembros que laboran en la

misma. Existen piratas informáticos que pueden descifrar claves de acceso, tanto a

sistemas como a la red; así como virus y spam que son muy frecuentes, por lo tanto, se

debe estar alerta ante las amenazas y vulnerabilidades y buscar las soluciones ante estas

posibles intrusiones. El objetivo principal fue la determinación de procedimientos que

identifiquen vulnerabilidades y amenazas de la red en la institución. El tipo de

investigación fue deductiva porque justificó el problema que es la inseguridad la red y

descriptiva porque caracteriza la existencia de la problemática. Las herramientas

utilizadas para la identificación de vulnerabilidades de red fueron Nmap, Wireshark y

Open VAS; y para el procesamiento de datos se usó Power BI mediante cuadros de

mando; estas fueron escogidas haciendo una comparación con otras herramientas

revisando características funcionales y no funcionales para seleccionar la mejor opción.

Los resultados obtenidos reflejan que la red es insegura, y la decisión fue contrarrestar

las amenazas, mitigando las vulnerabilidades mediante cierre de puertos que no deben

estar abiertos, actualizaciones de sistemas operativos y la revisión periódica de los

dispositivos; el beneficiario directo es toda la Comunidad Educativa, porque se ofrece

seguridades en la red para el uso del personal Administrativo, Docentes, Estudiantes y

Padres de Familia.

Palabras clave: Seguridad, red, vulnerabilidades, amenazas, herramientas.

ABSTRACT

Network security has become a “Gonzalo Zaldumbide" Educational Unit necessity,

because it doesn’t put the integrity of the information and stability of the systems which

are used by the members that work in it at risk. There are hackers who can decrypt

access codes, both systems and network; as well as viruses and spam that are very

frequent, therefore, we must be alert to threats and vulnerabilities and also look for

solutions to these possible intrusions. The main objective was the determination of

procedures that identify network vulnerabilities and threats for decision making at

institution. The research type was deductive because it the problem such as the network

insecurity and it was descriptive because it characterizes the existence of the problem.

The used tools were Nmap, Wireshark and Open VAS; for the existence of network

vulnerabilities and Power BI was used for data processing using dashboards; these were

chosen by making a comparison with other tools reviewing functional and non-

functional characteristics to select the best option. The obtained results reflect that the

network is insecure, and the decision was to counteract the threats which mitigate

vulnerabilities by means of closing ports which should not be open, operating system

updates and the periodic revision of the devices; the direct beneficiary is the entire

Educational Community, because it is offering security in the network for the use of

administrative staff, teachers, students and parents.

Keywords: Security, networking, vulnerabilities, threats, tools.

1

TEMA

Identificación de vulnerabilidades y amenazas de la red de la Unidad Educativa

“Gonzalo Zaldumbide”

LÍNEA DE INVESTIGACIÓN

Aplicación de los sistemas informáticos en la toma de decisiones gerenciales.

INTRODUCCIÓN

El presente artículo muestra resultados del proyecto que se desarrolló para tener una red

segura, libre de piratas informáticos y mantener la información que posee la institución

resguardada para que no tengan acceso personas no autorizadas. Se conoce que las

tecnologías de la información y comunicación han ido evolucionando; esto ha causado

que existan nuevos riesgos en la tecnología que si no se los detecta y depura pueden

tener efectos en contra de la seguridad (Santiso , Koller, & Bisaro, 2016).

El desarrollo web ha facilitado las supuestas vulnerabilidades específicas de cualquier

producto de tecnología. La cantidad de ataques va aumentando a diario; muchos se

basan en amenazas, antes que tener causas como errores de configuración, errores de

software, la inexperiencia del desarrollador, la falta de especialistas en seguridad de la

información y falta de información sobre la seguridad de la información. (Bernardo,

2015)

En la práctica, han existido casos en que el programador web considera que el código

solo puede ser conocido por personas escogidas, y él no da la atención necesaria a su

seguridad, así las vulnerabilidades salen a flote; ha pasado en algunos sistemas de

información grandes e importantes. Hay ocasiones en que ellos no conocen sobre estas

vulnerabilidades y mientras no ocurra nada siguen con su aplicación. (Pîrnău, 2015).

Los piratas informáticos utilizan cada vez más el encubrimiento técnico, inventan

códigos difíciles con complejidad de análisis. La solución del antivirus de contrarrestar

el código de malware es demorosa y complicada según el tipo, así los hackers tienen

mayor cantidad de tiempo para robar más dinero a los afectados. Los procedimientos

utilizados para infectar a un dispositivo móvil han aumentado así como la expansión de

2

programas de malware por medio de tiendas en línea; los robots priorizan el envío de

mensajes de texto con malware a contactos de la víctima. (Iovan & Ramona, 2018).

Es muy importante la protección de datos y privacidad como herramienta primordial en

la defensa de los individuos y sus relaciones con las empresas: Amazon, Apple,

Facebook, Google y Microsoft; que han evolucionado y alcanzado una expansión y un

poder realmente desmedido creando monopolios (Morte, 2017).

La evolución del desarrollo de software, los inventos y las publicaciones desmedidas,

generan la aparición de aplicaciones nuevas en las tiendas, generando el rompimiento de

la información y el problema para descubrir aplicaciones necesarias, por lo que es

prudente que los programadores desarrollen las apps o módulos requeridos. Existe la

falta de profesionales idóneos, lo que crea que el contenido venga de una fuente dudosa

(Martinez, Martinez, Mud-Castelló, Mud-Castelló, & Moreno , 2015).

Se ha demostrado que la utilidad de las pruebas de inteligencia y valoraciones de

vulnerabilidades no son tan eficientes, hay que seguir con el avance de la tecnología y

las herramientas para detección y su funcionalidad evolucionan; los usuarios tomarán en

cuenta la importancia, previniendo que los sistemas sean más complicados en las

tecnologías de la información. (Mckinnel, Dargahi, Dehghantanha, & Choo, 2019)

Las vulnerabilidades y ataques encontrados en la red se establecen por medio de

observación directa, estudios de evaluaciones con herramientas de búsqueda de tráfico

de red, de envío y recepción de paquetes, y encuestas a usuarios que se encuentran en la

red. Se prosigue con el bajo nivel de preparación en seguridad de la información y

errores sin control, intrusiones y ataques; culminando con el diseño de un programa que

detecte problemas para resolver las amenazas existentes (Vega & Ramos, 2017).

La gestión de riesgos en la actualidad se ha convertido en un elemento vital para todo,

por lo que ahora las actividades que se realicen tienen que estar bajo control.

Dependiendo de los objetivos estratégicos, la ventaja competitiva en el mercado, las

regulaciones o restricciones de cumplimiento, las empresas de Tecnología de

información o los departamentos tecnológicos pueden ser certificados en cuanto a

estándares de sistemas de gestión con normas ISO (Barafort, Mesquida , & Mas, 2016).

3

La utilización de normas ISO como la 27001-2015 del Sistema de Gestión de la

Seguridad de la información son una ventaja competitiva y ayudan con el buen manejo

de la información basados en sus ejes principales como la confidencialidad, integridad y

disponibilidad de la información.

La ingeniería social es ahora una vulnerabilidad existente, debido a que, mediante

engaños a las personas; los atacantes que, generalmente están encubiertos y con perfiles

falsos, encuentran y reciben información suministrada por redes sociales con la

finalidad de realizar delitos informáticos, causados por exceso de confianza por parte de

las víctimas.

La Unidad Educativa “Gonzalo Zaldumbide” es una institución fiscal, la cual posee una

red que se encuentra vulnerable, sin un firewall externo disponible; lo que dificulta la

restricción desde y hacia algunos sitios no permitidos e inseguros y genera un riesgo

para los usuarios. También se encontró algunos dispositivos que son miembros de la red

con antivirus, anti-spyware, filtro anti-spam, anti-malware sin instalar y

desactualizados.

Se definió que el acceso a la red de la Unidad Educativa “Gonzalo Zaldumbide” por

personas no autorizadas es identificado; y solventan las dudas por el desconocimiento

de políticas de seguridad, para que no generen inseguridad de los docentes y personal

administrativo al ingresar en la red institucional.

La seguridad de la red se convierte en una necesidad en la Unidad Educativa “Gonzalo

Zaldumbide” como los puertos abiertos, el acceso de personal no autorizado y el

desinterés existente por revisar habitualmente las estaciones de trabajo de la red, han

permitido buscar soluciones; porque trata de no poner en riesgo la integridad de la

información y estabilidad de los sistemas que son utilizados por los miembros que

laboran en la misma para determinar procedimientos que identifiquen vulnerabilidades y

amenazas de la red en la institución.

En el laboratorio de la red de la unidad cada año se realizan las pruebas de Ser

Bachiller, donde la mayoría de las estaciones de trabajo no se encuentran en óptimas

condiciones; tienen virus y malware que dificultan la extracción de datos realizada con

dispositivos externos, resultando infectados y con la posibilidad de expandirse en todo

este espacio.

4

En la investigación se diagnosticó la vulnerabilidad de la infraestructura de

telecomunicaciones de la facultad de Ingeniería Industrial de la Universidad de

Guayaquil, y se describe el conocimiento de las vulnerabilidades en la seguridad, donde

se pueden obtener mejoras en los servicios ofertados, fortificar la seguridad de la red y

evitar el acceso de personas que no tengan permisos. (Garcia, 2017)

Usando Kali Linux se facilita la inspección por el alcance de sus herramientas para

análisis de la red, al hacer correr este programa se puede identificar las amenazas

existentes (Gonzalez, y otros, 2018)

Existen herramientas para mapeo y revisión de puertos como Network Mapper (Nmap),

Deepmagic Information Gathering Tool (Dmitry) y (Zmap); con Nmap se pueden

analizar múltiples puertos y detectar vulnerabilidades con los diferentes scripts que al

actualizar se obtiene, con Dmitry se puede obtener la información sobre un host objetivo

y hasta reportes de su tiempo de funcionamiento o para realizar un escaneo de puertos

TCP; con Zmap se pueden analizar de forma sistemática todas las direcciones IP versión

4 que se encuentran valederas en la web. (Paluch & Wünderlich, 2016)

En la parte de sniffer existen herramientas como Wireshark que es para capturar el

tráfico de la red y análisis, tiene interfaz gráfica integrada y los resultados se los puede

exportar en algunos formatos; otra herramienta es TCPdump que es un analizador de

paquetes en el nivel de línea de comando.

Para la detección de vulnerabilidades y la topología de la red se tiene herramientas

como Open Vulnerability Assessment System (openVAS) que es un framework con la

finalidad de escanear las vulnerabilidades de la red y su base de datos está actualizada

regularmente en Network Vulnerability Tests (NVT), con más de 50000 tipos de

vulnerabilidades; además de la consola tiene su interfaz gráfica Greenbone para

facilidad de uso y mejor entendimiento de los reportes; otra herramienta que se tiene es

Nessus que es un escáner de redes que detecta posibles vulnerabilidades que se basan en

una lista de fallas conocidas; las dos son gratuitas y de código abierto. (Revay, 2019)

MATERIALES Y MÉTODOS

Según la finalidad, la investigación fue deductiva porque justificó el problema que es la

inseguridad la red de la Unidad Educativa, enfocada en la identificación de

5

vulnerabilidades y amenazas como una deducción de la existencia, para buscar la

resolución de esta problemática usando los resultados para mitigar la vulnerabilidad de

la red.

Según el alcance la investigación que se realizó fue descriptiva porque caracteriza la

existencia de una problemática que es la inseguridad la red de la institución y existe la

necesidad de evitar que piratas informáticos puedan acceder y robar la información

usando pruebas de penetración en ambientes virtuales.

La encuesta generada se la realizó a los 36 docentes que laboran en la institución para

determinar el grado de inseguridad que tienen los docentes al ingresar a la red de la

institución y no se aplicó un muestreo ni un método muestral porque el universo es

menor a 100; ellos usan con frecuencia los dispositivos conectados a la red, donde tres

de los encuestados cumplen con las actividades del área administrativa, y la entrevista

directa que se hizo al Licenciado Jorge Chapi, rector de la Unidad; estas técnicas fueron

utilizadas para la recopilación de la información, la población se definió como se

presenta en la tabla 1. La herramienta para la encuesta fue un cuestionario con preguntas

que ayudaron a conocer la frecuencia y uso de los ordenadores, la existencia de

problemas que hayan tenido con el ingreso a la red y las restricciones de acceso a sitios

con riesgos.

Tabla 1.

Población.

Cantidad Personal Técnica de investigación

36 Docentes Encuesta

1 Rector Entrevista

Fuente: Autor

RESULTADOS

En la investigación se buscó la mejor alternativa para determinar las vulnerabilidades de

la red de la institución; usando una máquina virtual de Oracle Virtual Box Versión 6.0.8

r130520 donde se instaló Kali-Linux 4.19.0 por ser usada para auditoría y seguridad

informática, y por tener más de 600 programas preinstalados; se ha tomado en cuenta a

las herramientas Nmap para el escaneo de puertos y vulnerabilidades, Open VAS para la

detección de vulnerabilidades y Wireshark para la revisión de tráfico de red; porque son

utilizables en los distintos sistemas operativos (Windows, Linux, IOS, Android), y son

de código abierto y gratuitas.

6

(Narayan & Mehtre, 2015) dicen que existen muchas herramientas de código abierto, de

alta calidad para evaluación de vulnerabilidades y herramientas de prueba de

penetración disponibles en el mercado con su propia experiencia y limitación y realizan

una tabla para su elección en una de sus publicaciones.

Herramientas para la revisión de puertos

Entre las herramientas para mapeo y revisión de puertos se revisó tres con licencia free

que son: Nmap Versión 7.70, que permitió ver los equipos que se encontraron activos en

la red, los puertos abiertos vulnerables para realizar ataques y las aplicaciones

ejecutadas; además ayudó a encontrar vulnerabilidades explotables en con los scripts

asociados a la herramienta con ingresos ocultos a otras estaciones de trabajo; Zmap

posee características parecidas para escaneo de un puerto, utiliza grupos multiplicativos

cíclicos, lo que permite el escaneo del mismo espacio más rápido que Nmap; con

DMitry se puede recopilar mayor cantidad de información posible sobre un host, reunir

posibles subdominios, escaneo del puerto TCP, direcciones de correo electrónico,

información sobre el tiempo de actividad, y búsquedas de IP con whois.

Tabla 2.

Análisis de las herramientas de test o escaneo.

N° Nombre de la

herramienta

Tipo de

licencia Escaneo

Modo

Gráfico

1 Nmap Libre Multipuerto Zenmap

2 Zmap Libre Un Puerto No posee

3 Dmitry Libre TCP Si

Fuente: Autor

Para la decisión de uso de la herramienta Nmap en escaneo de puertos se analizó la

Tabla 2. y se comparó con Zmap y Dmitry tomando en consideración los parámetros

tipo de licencia, escaneo y modo gráfico; las tres herramientas son de software libre y la

licencia es gratuita, se especifica que Dmitry y Nmap poseen modo gráfico para mejor

visualización, así mismo en escaneo Nmap tiene la opción de realizar por multipuerto

por lo que se puede ocultar el ingreso a otras estaciones de trabajo, y en las otras pueden

ser descubiertos.

Herramientas para la verificación del tráfico de red

Entre las herramientas de verificación de tráfico de red se revisaron 2, la primera es

Wireshark versión 2.6.6 que es muy reconocida por ser un analizador de protocolos en

7

tiempo real y con modo gráfico, con ella se realizó un monitoreo de paquetes enviados y

recibidos, mediante un filtro se especificó los hosts que tenían problemas en la

transmisión y se realizó una prueba de intrusión, en la cual se observó el puerto por

donde se ingresó denominado puerta trasera, también posee un modo consola para su

revisión que no es muy detallada; la segunda es TCPDump en la que se hizo un análisis

mediante comandos y sin poder observar gráficamente el tráfico, también el fue

revisado en tiempo real con menor entendimiento, también se utiliza esta herramienta

para rastrear problemas y actividades de la red y tiene una versión para Windows

conocida como WinDump que posee iguales características como el modo consola con

lenguaje de código del Sistema Operativo.

Tabla 3.

Análisis de las herramientas de tráfico de red.

N°

Nombre de la

herramienta

Tipo de

licencia Librería

Modo

gráfico

1 Wireshark Libre Libpcap Incluído

2 TCPDump Libre Libpcap No

Fuente: Autor

Para la decisión de uso de la herramienta WireShark en revisión de transferencia de

paquetes se analizó en la Tabla 3 teniendo en consideración los parámetros tipo de

licencia, librerías y modo gráfico; con características iguales, pero WireShark posee su

interfaz gráfica y TCPDump es un analizador de paquetes en el nivel de línea de

comando.

Herramientas para la búsqueda de vulnerabilidades

Entre las herramientas para la búsqueda de vulnerabilidadesse hizo la revisión de 2 que

son: OpenVAS 9.0 con una interfaz web Greenbone Security Assistant versión 7.0.3, se

trata de un framework que tiene como base servicios y herramientas para la evaluación

de vulnerabilidades y puede utilizarse de forma individual o como parte del conjunto de

herramientas de seguridad, también puede utilizarse desde Metasploit, el framework

para la explotación de vulnerabilidades, el gestor es el servicio que lleva a cabo tareas

como el filtrado o clasificación de los resultados del análisis, control de las bases de

datos que contienen la configuración o los resultados de la exploración y la

administración de los usuarios, incluyendo grupos y roles. El proyecto OpenVAS

mantiene una colección de NVT (OpenVAS NVT Feed) que crece constantemente y

que actualiza los registros semanalmente. Los equipos instalados con OpenVAS se

8

sincronizan con los servidores para actualizar las pruebas de vulnerabilidades y Nessus

es una herramienta de seguridad de código abierto basado en plugins, tiene una interfaz

basada en la biblioteca de componentes gráficos GIMP Toolkit (GTK), y realiza más de

1200 pruebas de seguridad remotas en su versión pagada; en la versión gratuita se pudo

realizar un test a 16 estaciones de trabajo por una sola ocasión en la misma red.

Tabla 4.

Análisis de las herramientas de búsqueda de vulnerabilidades.

N° Nombre de la herramienta Tipo de licencia Modo Gráfico

1 OpenVAS Libre Greenbone

2 Nessus Libre / pagada Incluído

Fuente: Autor

Para la decisión de uso de la herramienta OpenVAS en análisis de vulnerabilidades se

analizó la Tabla 4. y se comparó con Nessus teniendo en cuenta los parámetros tipo de

licencia y modo gráfico; donde OpenVas fue designada porque es gratuita y Nessus

tiene su versión free para una revisión de máximo 16 hosts y de solo una red y no tiene

activadas todas sus características.

Herramientas de análisis e inteligencia de negocio

Entre las herramientas de bussiness intelligence se tiene a Power BI es un servicio de

análisis de negocios de Microsoft que tiene gran afinidad con sus productos, es pagada y

con el directorio activo y los correos institucionales otorgados por el Ministerio de

Educación se la utiliza con esa licencia; con su uso se proporcionó visualizaciones

interactivas y capacidades de inteligencia empresarial con una interfaz entendible para

todo el personal administrativo de la institución; Tableau es otra de las herramientas de

Business Intelligence que, también tiene buenas características, pero al ser pagada y

como las instituciones fiscales no poseen recursos ha sido descartado en el uso de este

proyecto.

9

Figura 1. Cuadrante Mágico para plataformas de análisis e inteligencia de negocios

Fuente: Gartner (febrero, 2019)

En la figura 1 se observa el cuadrante mágico que indica que Microsoft Power BI

durante 3 años ha sido el líder en herramientas líderes y visionarias, la herramienta ha

sido elegida por los clientes por dos razones principales que son la experiencia en ventas

y los precios bajos; además de la facilidad de uso para análisis complejos y la visión

global del producto. (Gartner, 2019)

Método de Deming

A continuación, se aplicó el método de Deming Plan-Do-Check-Act (PDCA o PHVA)

para encontrar las vulnerabilidades y mitigarlas; este ciclo repetitivo está basado en la

norma ISO/IEC 27001 y consta de 4 fases que son:

Fase 1: Plan (Planificar): En esta fase se realiza la topología de la red, colocando los

hosts con sus respectivas direcciones IP.

Fase 2: Do (Hacer): En esta fase se escanean puertos abiertos y sus servicios, sistemas

operativos, firewall, el tráfico de red diario, por cada host y se hace la constatación de

que todos los equipos que se definieron en la fase 1 se encuentren en la red.

10

Fase 3: Check (verificar): En esta fase se realiza la detección y evaluación de

vulnerabilidades y la verificación de la topología de la red expuesta.

Fase 4: Act (actuar): En esta fase se realiza un informe del análisis efectuado para poder

mitigar las vulnerabilidades.

Aplicación del método de Deming

Usando el método de Deming se realizan las actividades de cada fase expuesta y se

tiene como resultado lo siguiente.

Fase 1: Plan (Planear)

En esta fase con la persona responsable de la red y con el uso de la herramienta Nmap

se procede a revisar cada una de las estaciones de trabajo y se realiza un diagrama de la

topología de la red con sus respectivas direcciones IP, puertas de acceso y las

conexiones hacia el módem y switch que son los encargados de enviar y recibir datos

para tener acceso al Internet.

Figura 2. Topología de la red de la Unidad Educativa Gonzalo Zaldumbide

Fuente: Autor

En la figura 2 se observa la cantidad de equipos conectados a la red de la Unidad

Educativa con su respectiva dirección IP, el módem mediante el cual se realiza la

11

conexión del cableado de red y el router que posee la institución con un ancho de banda

que fue subido de 4 Mb a 10 Mb. El proveedor del servicio es la Corporación Nacional

de Telecomunicaciones (CNT) y el tipo de enlace es de fibra óptica.

Fase 2: Do (Hacer)

Figura 3. Reporte de Nmap para revisión de puertos y script vuln

Fuente: Autor

En esta fase se inició con el uso de la herramienta Nmap con la cual se busca los puertos

que se encontraban abiertos con su servicio y versión, en cada uno de los dispositivos

conectados en la red, como indica la Figura 3, y la obtención del sistema operativo.

Además, se usaron los scripts de la herramienta Nmap para la buscar la existencia de

firewalls, con los seguimientos sin pasar por estos filtros. Dentro de kali Linux se usó la

herramienta Zenmap que es una interfaz gráfica de la línea de comandos de Nmap para

observar las instrucciones que se ha ejecutado con Nmap.

Como ayuda de la revisión de los puertos se usó la herramienta Drancnmap que posee

código de Nmap con una interfaz más amigable para acceder a distintas funcionalidades

y poder aprovechar la fuerza de Nmap Script Engine (NSE), y cumplir el test de

penetración en sistemas; el código generado sirvió para ingresar comandos en el

terminal de Nmap que sirve en el análisis de una forma más detallada de los hosts.

12

Figura 4. Reporte de Nmap para revisión de antivirus

Fuente: Autor

En la figura 4 los resultados que genera el script de vulnerabilidades reflejan los puertos

abiertos y el antivirus que no permite la intrusión porque el firewall está habilitado para

algunos servicios, también se encuentra el nombre asignado al host, el grupo de red al

que pertenece y el sistema operativo que usa cada estación de trabajo que se ha

solicitado con la línea de comandos.

Con esta herramienta se realiza las pruebas de intrusión para ingresar a los puertos TCP

que se encontraban abiertos identificando si existe el riesgo por encontrarse en ese

estado; también se puede observar los hosts que se encuentran subidos y la existencia de

algún otro equipo conectado a la red sin el permiso respectivo.

También se verificó la dirección MAC y se realizó pruebas de intrusión usando

máquinas virtuales, evadiendo firewalls y accediendo a otras estaciones de trabajo por

puertas traseras, se comprobó mediante el acceso a la consola MicroSoft Disk Operating

System (MS-DOS), de donde se ejecutó tareas del host victñ9imario como cambios en

el inicio de sesión; se realizó una prueba donde se logró crear y abrir archivos, así como

copiar, editar y borrarlos desde el host atacante hacia la víctima.

13

Figura 5. Reporte de WireShark

Fuente: Autor

En la figura 5 se refleja el uso de la herramienta WireShark, se realizó un test de la

transferencia de datos enviados y recibidos por cada computador que se encuentra

asociado a una red con una ip única; además se realizó una captura de paquetes en vivo

desde una interfaz de red obteniendo una muestra paquetes con información detallada,

desde que dirección se conectan para el envío de paquetes, el tamaño del paquete, la

dirección del destino, el tiempo que se demoran las transacciones y la información del

comportamiento del paquete usado; cada color corresponde a un puerto y se exportó al

formato de archivo de para después hacer una comparativa con otras exportaciones.

Con la ventana de gráficos se observa el rendimiento de la red; tiempo donde existe un

tráfico alto y momentos donde se encuentra calmado el envío y recepción de paquetes,

los retardos de los protocolos en forma individual y se comprobó las efusiones de datos

simultáneos.

En la jerarquía de protocolos se obtiene una estadística, para observar de mejor manera

la situación se divisan los protocolos de la capa de aplicación y las conexiones usadas

Transfer Control Protocol (TCP) y User Datagram Protocol (UDP); también los

porcentajes transacciones completadas y el tamaño en bytes lo que ayuda a solucionar e

incluso prevenir los posibles problemas que puedan surgir.

14

Tabla 5.

Reporte de figuras 3-4-5

N° de

figura

Tipo de

herramienta Actividad Reporte

3 Nmap Escaneo de puertos Puertos abiertos por servicio y versión,

descripción de sistema operativo

4 Nmap Escaneo de estaciones

de trabajo

Puertos abiertos y firewall y

vulnerabilidades

5 Wireshark Sniffing Captura de paquetes, test de

transferencia de datos

Fuente: Autor

En la tabla 5 se observa las actividades realizadas y reportes que se encontraron en cada

figura descrita; para la figura 3 se usaron los comandos “nmap --script vulscan --script-

args vulscandb=exploitdb.csv -sV” donde arrojó como resultados la descripción de la

IP, los puertos abiertos, servicios con su versión y la descripción del sistema operativo;

en la figura 4 se utilizaron los comandos: “nmap -sV --script= vulscan.nse” para cada

dirección IP que se encontraba en uso, el resultado encontrado indicó que de los puertos

abiertos existían algunos, en donde el firewall estaba activo y no se podía tener acceso a

esos puertos, y en otros dispositivos se tenía un libre acceso que es una vulnerabilidad

para esas estaciones de trabajo. En la figura 5 se ejecutó Wireshark donde se encontró

los datos enviados y recibidos en vivo de cada dirección IP, la transferencia se visualiza

por cada puerto y servicio; con el filtro se obtuvo resultados con mejor definición.

Fase 3: Check (verificar)

Figura 6. Reporte de Greenbone

Fuente: Autor

15

Para encontrar las vulnerabilidades se puede observar en la figura 6 el uso de la

herramienta OpenVAS con su interfaz gráfica web Greenbone en la dirección

https://127.0.0.1:9392 se autentica y se procede a realizar tareas como escaneo de hosts,

de puertos y con una base de datos actualizada de vulnerabilidades refleja como

resultado la cantidad y el tipo de vulnerabilidad por cada host, cada vulnerabilidad

indica el nivel de riesgo y los falsos positivos; también se genera una topología de red

con los equipos de la red y al final se exporta el reporte en formatos conocidos como

pdf, cvs, html y otros con la fecha en que se ejecutó el escaneo. al ver el reporte de estas

aplicaciones de Vulnerabilidades y Exposiciones Comunes (CVE) se ingresó al sitio

cve.mitre.org en donde se encontró una lista con los nombres estandarizados para saber

a qué tipo de vulnerabilidades y otras manifestaciones de seguridad de la información se

encuentra expuesta la red.

Fase 4: Act (actuar)

Figura 7. Cantidad de puertos abiertos por dirección ip

Fuente: Autor

En la fase 4 se realizó el informe como se observa en la figura 7, obteniendo un reporte

de Power BI del total de puertos que se encuentran abiertos por dirección IP; tomando

en cuenta los resultados que se obtuvieron con las herramientas de pentesting y se

elaboró una matriz con los datos obtenidos para generar este reporte.

16

Figura 8. Tipos de Puertos abiertos por dirección IP

Fuente: Autor

En la figura 8 con el reporte obtenido de Power BI se puede observar cuales son los

tipos de puertos que se encuentran abiertos por dirección IP; el reporte está elaborado

con los datos que se obtuvieron con la herramienta Nmap.

Figura 9. Resumen de datos suministrados

Fuente: Autor

17

En la figura 9 se observa un reporte general de todas las tablas y se puede identificar la

gráfica con la cantidad de vulnerabilidades total; también se tiene la curva que indica la

cantidad de equipos que usan los sistemas operativos; además se obtuvo un reporte por

mes de paquetes enviados y recibidos en kb/seg en el tráfico de red.

En el sistema operativo Windows 8 se localizó una estación de trabajo, en Windows 10

se encontraron 3 ordenadores y en Windows 7 se encontraban usando 12 hosts; de las

cuales 4 se encontraban desactualizadas y sin parches lo que generó la vulnerabilidad

CVE-2019–0708 donde un atacante remoto podía aprovecharla para tomar el control del

sistema afectado, la explotación no necesita ninguna autentificación específica; el

servicio de terminal por defecto se ejecuta en el puerto 3389/TCP y también es usado

por los atacantes de Ransomware para hacer un ataque de fuerza bruta apoderarse del

servidor y luego saltarse a un servidor local de Base de datos y cifrar archivos

importantes.

Tabla 6.

Reporte de figuras 7-8-9

N° de

figura

Tipo de

herramienta Actividad

7 Power BI Cantidad de puertos abiertos por dirección IP

8 Power BI Tipos de puertos abiertos por dirección IP

9 Power BI Dirección IP, nombre del equipo, Sistema Operativo, Firewall,

Datos enviados y recibidos por mes

Fuente: Autor

Como indica la tabla 6 se tiene que en la figura 7 se hizo un análisis de los puertos

abiertos por dirección IP, obteniendo como indicadores la cantidad de puertos para cada

uno de los hosts y en la figura 8 se describió cada uno de los puertos abiertos y servicios

de los hosts activos; en la figura 9 se observa un análisis general, donde se encuentra

que en las estaciones de trabajo, el 31,25% no tienen puertos abiertos, el 25% tienen 1

puerto abierto, el 18,75% tienen 4 puertos abiertos, el 12,50% tienen 2 puertos abiertos,

el 6,25% tiene 9 puertos abiertos y el 6,25% tiene 5 puertos abiertos. En la parte del uso

de Sistema Operativo se obtiene que el 75% usan Windows 7, el 18,75% Windows 10 y

el 6,25 % Windows 8; del total el 25% se encuentra sin actualizaciones y se visualiza

que son vulnerables. También se observa que el firewall estaba activo en las estaciones

con un porcentaje de 18,75% siendo una protección en forma mínima, teniendo el

81,25% desprotegido como se visualiza en la tabla 7.

18

Tabla 7.

Reporte General

N° Sistema Operativo Porcentaje de equipos

instalados

1 Windows 7 75%

2 Windows 8 6,25%

3 Windows 10 18,75%

N° Actualizaciones

de Windows 7

Porcentaje de ordenadores

actualizados

1 Si 75%

2 No 25%

N° Firewall Porcentaje

1 Activado 18,75%

2 Desactivado 81,25%

N° Puertos Porcentaje

1 Cerrados 31,25%

2 Abiertos 68,75%

Fuente: Autor

DISCUSIÓN

De los dispositivos que tenían uno o varios puertos abiertos se tenía que el 68,75%

tenían esta vulnerabilidad; el cambio que se ha producido es la revisión de puertos que

se pueden quedar abiertos sin que tengan ningún problema y los que solo se requiera

para accesos predeterminados se abren cuando sea necesario y así mismo se cierran

cuando ya se haya ejecutado el proceso o transferencia.

Se mejoró la seguridad de la red con revisiones periódicas y mitigando las

vulnerabilidades, antes del proyecto los ordenadores y programas que se encuentran

instalados no se encontraban actualizados, había un 25% de estaciones de trabajo en

donde el Sistema Operativo se encontraba sin el parche de seguridad lo que generaba

que los datos e información pueda ser interceptada.

Otra de las mejorías con el proyecto es la instalación de un firewall a todos los hosts

para protección contra el acceso a sitios web no permitidos, y las posibles intrusiones de

hackers, el porcentaje de hosts sin instalarlo estaba en un 81,25%; y en la nueva

medición tiene un 0%.

Las vulnerabilidades siempre van a existir, por lo tanto, se debe realizar una revisión

periódica de los ordenadores para estar atentos y poder contrarrestar las amenazas para

que el riesgo desaparezca de una forma parcial.

19

CONCLUSIONES

Las vulnerabilidades con esta identificación y análisis se han podido mitigar con la

actualización de Sistemas Operativos y software, cierre de puertos, uso de antivirus,

instalación de antimalware y revisión periódica de los dispositivos conectados a la red.

Con la herramienta Power BI se efectuó informes obteniendo como resultado que el

grado de vulnerabilidad que tiene la red de datos en las estaciones de trabajo que la

componen es nivel medio, esto fue producto de software obsoleto o desactualizado; para

que se impida la contaminación de los ordenadores con virus, troyanos, que generan

intrusiones.

El beneficiario directo es toda la Comunidad Educativa, porque se ofrece seguridades en

la red para el uso del personal Administrativo, Docentes, Estudiantes y Padres de

Familia; así no serán víctimas de intrusiones y robo de información.

Docentes, Estudiantes y Padres de Familia pueden navegar con resguardo por las redes

sociales, así como el envío y recepción de correos; porque la solución presentada evita

técnicas de hackeo como pishing, pharming y punycode; estableciendo medidas que

permitan disminuir el porcentaje del riesgo.

Con los resultados obtenidos y las medidas tomadas; la información académica de los

estudiantes que reposa en la Unidad Educativa “Gonzalo Zaldumbide” está protegida y

es entregada a tiempo, sin novedades para el uso requerido, mediante solicitud y trámite

personal.

REFERENCIAS BIBLIOGRÁFICAS

Bajpai, P., Sood, A., & Enbody, R. (Abril de 2018). The art of mapping IoT devices in

networks. Network Security, 8-15. doi:https://doi.org/10.1016/S1353-

4858(18)30033-3

Barafort, B., Mesquida , A., & Mas, A. (2016). Integrating Risk Management in IT

settings from ISO Standards and Management Systems Perspectives. Computer

Standards & Interfaces,, 38-64. doi:http://dx.doi.org/10.1016/j.csi.2016.11.010

Barreño, R., Navarro, W., Cardenas, S., Sarmiento, H., Duarte, N., & Vargas, G. (2016).

Análisis de la seguridad en la implementación de servicios corporativos sobre el

protocolo IPV. Revista de Tecnología, 14(1), 127-138.

Bas, M., Özgür, C., & Gül, E. (Enero de 2018). Detection of attack-targeted scans from

the Apache HTTP Server access logs. Applied Computing and Informatics,

14(1), 28-36. doi:https://doi.org/10.1016/j.aci.2017.04.002

Bernardo, D. (2015). Clear and present danger: Interventive and retaliatory approaches

to cyber threats. Applied Computing and Informatics, 11(2), 144-157.

doi:https://doi.org/10.1016/j.aci.2014.11.002

Effiong , C., Sassatelli, G., & Gamatie, A. (Julio de 2018). Exploration of a scalable and

power-efficient asynchronous Network-on-Chip with dynamic resource

allocation. Microprocessors and Microsystems, 60, 173-184.

doi:https://doi.org/10.1016/j.micpro.2018.05.003

Gonzalez, G., Dubus, S., Motzek, A., García, J., Alvarez, E., Merialdo, M., . . . Debar,

H. (Junio de 2018). Dynamic risk management response system to handle cyber

threats. Future Generation Computer Systems, 83, 535-552.

Hespersen, A., & Hasle, P. (Noviembre de 2017). Developing a concept for external

audits of psychosocial risks in certified occupational health and safety

management systems. Safety Science, 99, 227-234.

doi:https://doi.org/10.1016/j.ssci.2016.11.023

Iovan, S., & Ramona, M. (2018). MALWARE FOR MOBILE DEVICES AND THEIR

SECURITY. Fiabilitate şi Durabilitate, 267-272.

Martinez, J., Martinez, O., Mud-Castelló, S., Mud-Castelló, F., & Moreno , L. (2015).

Análisis de la calidad y seguridad de la información de aplicaciones móviles en

prevención terciaria. Farmaceúticos Comunitarios, 7(4), 23-27.

Mckinnel, T., Dargahi, T., Dehghantanha, A., & Choo, K.-K. (Febrero de 2019). A

systematic literature review and meta-analysis on artificial intelligence in

penetration testing and vulnerability assessment. Computers and Electrical

Engineering, 75, 175-188.

doi:https://doi.org/10.1016/j.compeleceng.2019.02.022

Morte, R. (2017). ¿Protección de datos/privacidad en la época del Big Data, IoT,

wearables…? Sí, más que nunca*. Dilemata, 219-233.

Narayan, J., & Mehtre, B. (2015). Vulnerability Assessment & Penetration Testing as a

Cyber Defence Technology. Procedia Computer Science 5, 57, 710-715.

doi:https://doi.org/10.1016/j.procs.2015.07.458

Paluch, S., & Wünderlich, N. (Julio de 2016). Contrasting risk perceptions of

technology-based service innovations in inter-organizational settings. Journal of

business research, 2424-2431.

Petrov, S., Ahramenko, D., Goroshko, S., & Pulko, T. (2018). ACCESS CONTROL IN

A LOCAL NETWORK USING THE BASIC CONFIGURATION OF

NETWORK DEVICES. Sistemnyj Analiz i Prikladnaâ Informatika, 3, 55-61.

doi:10.21122/2309-4923-2018-3-55-61

Pîrnău, M. (2015). General Aspects of some Causes of Web Application Vulnerabilities.

Memoirs of the Scientific Sections of the Romanian Academy, 55-66.

Revay, L. (2019). From Malware Testing to Virtualization. Procedia Computer Science,

150, 751-756.

Santiso , H., Koller, J. M., & Bisaro, M. (Septiembre de 2016). Seguridad en entornos

de educación virtual. Memoria Investigaciones en Ingeniería, 14, 67-88.

Stenholm, D., Mathiesen, H., & Bergsjo, D. (2015). Knowledge Based Development in

Automotive Industry Guided by Lean Enablers for System Engineering.

Procedia Computer Science, 44, 244-253.

doi:https://doi.org/10.1016/j.procs.2015.03.047

Vega, G., & Ramos, R. (2017). Vulnerabilidades y amenazas a los servicios web de la

intranet de la Universidad Técnica de Babahoyo. 3c Tecnología, 6, 53-66.