CONFIDENCIAL Página |1

INFORME EJECUTIVO
Auditoria interna (Red)
Johnatan Mazo
Tatiana Vasquez
Edith Palacios
Juan Carlos Valencia
Jaime Soto

Especialización de Seguridad en
redes en computadores
Mayo del 2019
 CONFIDENCIAL Página |2

Información del documento

Información de evaluación

Evaluadores Cliente
Johnatan Mazo Ramírez

Tatiana Vásquez Jiménez

Edith Palacios Mosquera

Juan Carlos Valencia Uriel

Jaime Soto Gonzales Cy Cremalleras S.A

Coordinador de proyecto Cliente Contacto

Juan Pablo Jimenez

jpjimeneza@sena.edu.co

Tipo de evaluación Periodo de evaluación

Auditoria Interna (Networking) 15/05/2019 - 31/05/2019

Número de proyecto Fecha del informe

4398 31.05.19

revisión histórica

Fecha Autor Notas

26/05/2019 Analistas de seguridad Borrador

28/05/2019 Analistas de seguridad Copia final

 CONFIDENCIAL Página |3

CONTENIDO
INTRODUCCION .......................................................................................................................................... 4
OBJETIVO GENERAL ................................................................................................................................. 5
OBJETIVOS ESPECIFICOS ........................................................................................................................ 5
GLOSARIO ..................................................................................................................................................... 6
Resumen Ejecutivo.......................................................................................................................................... 8
Resumen de Fortalezas ................................................................................................................................... 8
Resumen de los puntos débiles ....................................................................................................................... 8
Recomendaciones estratégicas ....................................................................................................................... 8
1. Resumen vulnerabilidades ......................................................................................................................... 8
3. Gráfico de vulnerabilidades ..................................................................................................................... 10
4. Proceso y Metodología .............................................................................................................................. 12
RECOMENDACIONES............................................................................................................................... 13
 CONFIDENCIAL Página |4

INTRODUCCION

Este informe se realiza con el fin de conocer, entender y evaluar los riesgos, amenazas y
vulnerabilidades que existen dentro de la empresa, de igual forma se hará un estado inicial de la
seguridad de la información e infraestructura TI, teniendo en cuenta que es un ambiente totalmente
virtualizado.
 CONFIDENCIAL Página |5

OBJETIVO GENERAL

Por medio de diferentes herramientas de análisis de vulnerabilidades se busca identificar, analizar y

minimizar el riesgo que tiene la información dentro de la empresa.

OBJETIVOS ESPECIFICOS

• Diseñar un matriz de análisis de riesgos para detectarlas amenazas y debilidades en los sistemas de
información de la empresa.
• Investigar sobre los diferentes planes de tratamientos y definiciones de políticas para contrarrestar las
vulnerabilidades, riesgos y amenazas de los sistemas de información.
• Documentar y socializar las medidas a tomar una vez se detecten las vulnerabilidades en la red de la
empresa.
• Mantener documentados las vulnerabilidades detectadas y las soluciones al realizar los test de
vulnerabilidades dentro de la red de la empresa.
 CONFIDENCIAL Página |6

GLOSARIO

• Autenticidad: Aseguramiento de la identidad u origen.

• Certificación: Confirmación del resultado de una evaluación y de que los criterios de la evaluación
utilizados fueron correctamente aplicados.

• Confidencialidad: Aseguramiento de que la información es accesible sólo por aquellos autorizados a

tener acceso.

• Degradación: Pérdida de valor de un activo como consecuencia de la materialización de una amenaza

• Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a
la información y a sus activos asociados.

• Estado de riesgo: Caracterización de activos por riesgo residual. “Lo que puede pasar tomando en
consideración que las salvaguardas han sido desplegadas”.

• Evento de seguridad: Momento en que la amenaza existe y pone en riesgo activos, procedimientos o
información.

• Evaluación de Medidas de Seguridad: Evaluación de las medidas de seguridad existentes con relación
al riesgo que enfrentan.

• Frecuencia: Tasa de ocurrencia de una amenaza

• Gestión de riesgos: Selección de implementación de medidas de seguridad para conocer, prevenir,

impedir, reducir o controlar los riesgos identificados. La gestión de riesgos se basa en resultados
obtenidos en el análisis de riesgos.

• Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza.

• Impacto residual: Impacto remanente en el sistema tras la implantación de las medidas de seguridad
determinadas en el plan de seguridad de la información.

• Insider: Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica,
problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma
deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y procedimientos
establecidos, robando o hurtando activos (físicos o información) con objetivos económicos o
simplemente de daño deliberado.

• Integridad: Garantía de la exactitud y completitud de la información y los métodos de su

procesamiento.

• Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.

• Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones de
gestión de riesgos.

• Programa de seguridad: Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupación
se debe a que en singular las tareas carecerían de eficacia ya que todas tienen un objetivo común y
porque competen a una única unidad de acción.
 CONFIDENCIAL Página |7

• Proyecto de seguridad: Programa de seguridad cuya envergadura es tal que requiere una planificación
específica.

• Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños y / o perjuicios a la Organización.

• Riesgo acumulado: Toma en consideración el valor propio de un activo y el valor de los activos que
dependen de él. Este valor se combina con la degradación causada por una amenaza y la frecuencia
estimada de la misma.

• Riesgo repercutido: Se calcula tomando el valor propio de un activo y combinándolo con la

degradación causa por una amenaza y la frecuencia estimada de la misma.

• Medida de seguridad: Procedimiento o mecanismo tecnológico que reduce el riesgo.

• Seguridad: Capacidad de las redes o de los sistemas de información de resistir, con un determinado
nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la
disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y
de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

• Sistema de información: Computadoras y redes de comunicaciones electrónicas, datos electrónicos

almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso,
protección y mantenimiento.
• Conjunto de elementos físicos, lógicos, elementos de comunicación, datos y personal que permiten el
almacenamiento, transmisión y proceso de la información.

• Trazabilidad: Aseguramiento de que en todo momento se podrá determinar quien hizo qué y en qué
momento.

• Valor de un activo: Estimación del costo inducido por la materialización de una amenaza.

• Valor acumulado: Considera tanto el valor propio de un activo como el valor de los activos que
dependen de él.

• Vulnerabilidad: Cálculo o estimación de la exposición efectiva de un activo a una amenaza. Se

determina por dos medidas: frecuencia de ocurrencia y degradación causada..
 CONFIDENCIAL Página |8

Resumen Ejecutivo
Se llevó a cabo una prueba de análisis de Vulnerabilidades a la red interna e infraestructura TI. Esta
prueba se realizó para evaluar la postura defensiva y proporcionar asistencia de seguridad a través de
la identificación de las vulnerabilidades de forma proactiva, validando su gravedad, y la
disponibilidad para los pasos de corrección.

Por ende, se procede a examinar un análisis de vulnerabilidades y determinar un Alto riesgo de

compromiso de los atacantes externos e interno, como lo demuestra la presencia de graves
vulnerabilidades.

Los resultados detallados y recomendaciones de remediación para estas evaluaciones se pueden

encontrar más adelante en el informe.

Resumen de Fortalezas
La tarea de encontrar los problemas y vulnerabilidades relacionados con el medio tecnológico actual
es útil saber cuándo aparecen resultados positivos. La comprensión de los puntos fuertes del entorno
actual puede reforzar las mejores prácticas de seguridad y proporcionar la estrategia y la dirección
hacia una postura defensiva sólida. Los siguientes rasgos fueron identificados como puntos fuertes
en el entorno del desarrollo de dicho análisis.

• Reglas de cortafuegos fuertes, el cierre de muchos puertos y servicios comunes.

• Configuración de seguridad sólida en algunas estaciones de trabajo.

Resumen de los puntos débiles

Se descubrió e investigó muchas vulnerabilidades durante el curso de sus evaluaciones para dicha
infraestructura y red. Hemos clasificado estas vulnerabilidades en las debilidades generales en todo
el entorno actual, y proporcionar dirección hacia la recuperación de una empresa más segura por
medio de una de sus principales áreas dentro de la organizacion.

Recomendaciones estratégicas

No todos los fallos de seguridad son de carácter técnico, ni pueden todos ser remediados por personal
de seguridad. Las empresas a menudo tienen que centrarse en los problemas de seguridad de la raíz
y resolverlos en su núcleo. Estos pasos estratégicos son los cambios en la política operativa de la
organización. Y se recomienda las siguientes medidas estratégicas para mejorar la seguridad de la
empresa.

1. Resumen vulnerabilidades
 CONFIDENCIAL Página |9

Los analistas de Cy Cremalleras S.A llevna a cabo una prueba de analisis de vulnerabilidades (En la
red) desde el 15/05/2019 hasta el 31/05/2019. Esta evaluación utiliza herramientas tanto comerciales
como propietarias para la asignación inicial y de reconocimiento de la infraestructua, así como
herramientas personalizadas y scripts para vulnerabilidades únicas. Durante el análisis automatizado
y manual, los evaluadores trataron de aprovechar las vulnerabilidades descubiertas y prueba de los
fallos de seguridad clave. Las siguientes vulnerabilidades estaban decididas a ser de alto riesgo, sobre
la base de varios factores, incluyendo la criticidad de los activos, la probabilidad de amenazas, y la
gravedad de la vulnerabilidad.

Resumen
Un análisis a la infraestructura y red de Cy Cremalleras S.A. Se encontraron las siguientes
vulnerabilidades, lo que indica la calificación de riesgo global de las redes en el ámbito de aplicación
es Alto.

C= Critico
H=Alto
M=Medio
L=Bajo

En la siguiente tabla se describen los riesgos más destacados y comunes entre las estaciones de trabajo
y servidores analizados

ID VULNERABILIDAD RIESGO REMEDIACION

C1 Multiples Critico Actualizar Apache
Vulnerabilidades en Web Server De
Apache Web Server inmediato.
C2 El servicio de servidor Critico Microsoft ha lanzado
podría permitir la un conjunto de parches
ejecución remota de para Windows 2000,
código XP y 2003
C4 Actualización de Critico Microsoft ha lanzado
seguridad para un conjunto de parches
Microsoft Windows para Windows Vista,
SMB Server 2008, 7, 2008 R2,
(4013389) 2012, 8.1, RT 8.1,
(ETERNALBLUE 2012 R2, 10,
y 2016.
H3 35043 - PHP 5 <5.2.7 Alto Actualización de PHP
Vulnerabilidades
múltiples
M1 OpenSSL <0.9.8i Medio Actualizar a OpenSSL
Denegación de 0.9.8i o posterior.
servicio
H5 Detección de protocolo Alto Consulte la
SSL versión 2 y 3 documentación de la
aplicación para
deshabilitar SSL 2.0 y
3.0.
Utilice TLS 1.1 (con
conjuntos de cifrado
 CONFIDENCIAL P á g i n a | 10

aprobados) o superior
en su lugar.
C8 Detección de puerta Critico
trasera de concha de
enlace Verifique si el host
remoto ha sido
comprometido y
vuelva a instalar el
sistema si es
necesario.
C10 Detección de puerta Critico Vuelva a descargar el
trasera UnrealIRCd software, verifíquelo
utilizando las sumas
de comprobación
MD5 / SHA1
publicadas y vuelva a
instalarlo.
C14 Sistema operativo Critico Actualice a una
Unix Detección de versión del sistema
versión no compatible operativo Unix que
actualmente es
compatible

3. Gráfico de vulnerabilidades

➢ Topología

➢ Cantidad de servidores
 CONFIDENCIAL P á g i n a | 11

➢ Cantidad de riesgos y sistemas operativos más afectados

➢ Cantidad de vulnerabilidades encontradas

LINK POWER BI GRAFICOS COMPLETOS

https://app.powerbi.com/view?r=eyJrIjoiZTE2ZDljMzMtM2UzNC00YmNkLWExNGEtYjg
wMjU4MDU0YTBkIiwidCI6IjJlYWFmODFlLWQxMDQtNDJlYS1iNjY1LTk1MzhlZjI5NT
diMCIsImMiOjR9
 CONFIDENCIAL P á g i n a | 12

4. Proceso y Metodología
Se utilizo una metodología integral para proporcionar una revisión de seguridad web confiable. Este
proceso comienza con la exploración detallada y la investigación en la arquitectura y el medio
tecnológico, con el rendimiento de la prueba automatizada para vulnerabilidades conocidas. Manual
de la explotación de las vulnerabilidades sigue, con el fin de detectar los fallos de seguridad web.

Reconocimiento

Previo al análisis de vulnerabilidades, el primer paso para una prueba de penetración en la red es
recabar la mayor información posible acerca de los sistemas en su alcance. El objetivo principal de
este proceso es posible localizar los datos cruciales acerca de los sistemas operativos y sus servicios
proporcionando la base para una prueba de penetración a medida. Reconocimiento se lleva a cabo a
través de los escáneres automáticos (tales como Nessus), así como las huellas digitales del servidor
y el descubrimiento.
.

Las pruebas automatizadas

Se utilizaron un escáner de vulnerabilidades para llevar a cabo un análisis automatizado en la

Infraestructura. Esta exploración proporciona bases para la evaluación manual completo, y cada
hallazgo se verifica manualmente para asegurar la precisión y eliminar los falsos positivos.

Exploración y Verificación

Los resultados de la exploración automatizada, junto con su conocimiento experto y experiencia, para
llevar a cabo finalmente un análisis de seguridad manual de la infraestructura de red del cliente.
Nuestros asesores intentan explotar y obtener acceso no autorizado a los datos remota y sistemas.
Los resultados detallados de tanto el análisis de vulnerabilidades y la prueba manual se muestran en
las tablas siguientes
 CONFIDENCIAL P á g i n a | 13

RECOMENDACIONES

Debido al impacto en la organización general como al descubierto por esta prueba de penetración,
deben asignarse recursos para asegurar que los esfuerzos de remediación se lograran de manera
oportuna.

• Aplicar y hacer cumplir la aplicación de control de cambios en todos los sistemas: Error de
configuración y problemas de implementación inseguros fueron descubiertos a través de los
diferentes sistemas. Las vulnerabilidades que se presentaron pueden ser mitigados mediante el uso
de procesos de control de cambio en todos los sistemas de servidor.
• Implementar un programa de gestión de parches: Operar un programa de gestión de revisión
consistente. Esto ayudará a limitar la superficie de ataque que resulta de ejecutar sin parchear
servicios internos.
• Llevar a cabo evaluaciones de vulnerabilidad: Así permitirá a la organización a determinar si los
controles de seguridad están instalados correctamente,