Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INTRODUCCIÓN
En la presente semana, el tema a tratar es el análisis de vulnerabilidades (AV). Se hablará entonces de las
tareas a desarrollar, cómo detectarlas y los métodos para obtener información sobre aquellas
vulnerabilidades existentes en una organización.
Un somero análisis permitirá entender cuáles son los ámbitos comprendidos por la Seguridad
Computacional en una red de datos y se enunciarán aquellos criterios más relevantes de esta área de
estudios, relacionados con la existencia de vulnerabilidades sobre la información y la seguridad de los
datos.
Los objetivos perseguidos por las actividades de AV y los métodos para el análisis de vulnerabilidades
también son parte de este apunte, lo mismo que los tipos de vulnerabilidades más habitualmente
detectables en una red.
Adicionalmente, se ahondará en las herramientas existentes para el AV, así como la metodología
establecida para llevar a cabo un adecuado proceso de análisis de este tipo en una organización.
APRENDIZAJES ESPERADOS
Se espera que al final de este capítulo, el alumno sea capaz de identificar y reconocer en forma clara y
precisa las herramientas necesarias para el análisis de vulnerabilidades en entornos corporativos o redes
de este tipo, así como otros conceptos relacionados con este tema, tales como sus objetivos y métodos de
análisis.
Asimismo, deberá ser capaz de señalar y describir, pero principalmente aplicar correctamente,
metodología básica para el análisis de vulnerabilidades en una red de datos al interior de una
organización.
LAS VULNERABILIDADES Y SU ANÁLISIS
Desde el punto de vista de la información, tal como fue tratado en la primera semana de este curso, se
podría decir que una vulnerabilidad es cualquier fallo que atente contra alguno de los principios básicos
que persigue proteger la Seguridad Computacional, es decir, Confidencialidad, Integridad y Disponibilidad,
según el gráfico mostrado a continuación:
Puerto Servicio
21-22 FTP
23 TELNET
25 SMTP
53 DNS
80 HTTP
139 NetBIOS
Dada esta estructura de puertos, algunas técnicas de hacking consisten en explorar en forma ordenada y
metódica los puertos lógicos de comunicaciones para conocer cuáles de ellos están abiertos y escuchando
y, sobre todo, detectar los servicios que puedan ser vulnerables y que se ejecutan sobre ellos.
Esto es casi un ataque por fuerza bruta, dado que los ataques y hackers más experimentados y
sofisticados, se llevan a cabo sobre puertos específicos, pues se sabe qué servicios es posible escuchar
en ellos. El reto aquí es no ser detectado, pues así como existe el escaneo de puertos por parte de un
externo a la red, también existen los llamados “escaneadores de puertos de troyanos” a modo de defensa
para este tipo de ataques.
VULNERABILIDADES DE IMPLEMENTACIÓN
VULNERABILIDADES DE CONFIGURACIÓN
VULNERABILIDADES DE DISPOSITIVO
VULNERABILIDADES DE PROTOCOLO
PASSWORDS CRACKERS
INGENIERÍA SOCIAL
TRASHING
METODOLOGÍA
La metodología es en rigor la aplicación de una serie o conjunto de métodos en una investigación
científica. La realización de un análisis de vulnerabilidades es también, en esencia, la aplicación de una
serie de pasos que se desarrollan en forma ordenada con el objetivo de que este proceso entregue
finalmente resultados confiables y verificables respecto de las vulnerabilidades existentes en la red, que
constituyen riesgos reales de pérdida de las características de integridad, confidencialidad y disponibilidad
de la información.
Estos pasos incluyen al menos los siguientes:
1. Establecer un Acuerdo de Confidencialidad entre las partes.
2. Establecer las Reglas del Juego.
3. Reunir información.
4. Realizar un Test Interior.
5. Realizar un Test Exterior.
6. Documentar e Informar.
ESTABLECER UN ACUERDO DE CONFIDENCIALIDAD
REUNIR INFORMACIÓN
REALIZAR UN TEST INTERIOR
DOCUMENTAR E INFORMAR
CONCLUSIÓN
El análisis de vulnerabilidades (AV) es, sin duda, una de las actividades centrales en la amplia tarea que
persigue la Seguridad Computacional. Esto se explica desde la perspectiva de que no es posible proteger
la información sin saber algunas cosas tales como: qué debemos proteger y de quién. Una vez
determinadas estas variables, el siguiente paso es establecer en qué forma puede verse comprometida la
información, especialmente dentro de una red corporativa; a esto se le llama Análisis de Vulnerabilidades.
Este ha sido precisamente el tema de la semana. Para saber cómo puede verse expuesta la información,
se debe obligatoriamente someter la red y sus dispositivos a exhaustivos exámenes para comprobar las
áreas y los canales a través de los cuales una organización se hace vulnerable a los ataques que atentan
contra la integridad y confidencialidad de su información.
Lo anterior obviamente supone el desarrollo de diversas tareas necesarias para analizar vulnerabilidades,
detectarlas e implementar los métodos necesarios para obtener información sobre aquellas existentes en
una organización.
La adopción de criterios para garantizar la seguridad computacional, el tener claros los objetivos que
persigue el análisis de vulnerabilidades así como la implementación de sus métodos, son el primer paso
en dirección a proteger el principal activo de una empresa, sus datos. Sabiendo además cuáles son los
tipos de vulnerabilidades existentes para focalizar su búsqueda, es posible, utilizando las herramientas
adecuadas para su análisis, aplicar una metodología de trabajo en forma rigurosa y correcta, que permita
si no eliminar, al menos minimizar los riesgos y el impacto que puede tener un ataque externo sobre los
datos confidenciales que fluyen a través de una red de datos corporativa.