MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 1 de 2
DIPLOMADO

1. INFORMACIÓN GENERAL DE LA PROPUESTA

Ciudad: Mocoa Fecha:

Título Provisional de la
PRUEBA DE PENETRACION A LOS SISTEMAS INFORMATICOS DEL ITP
Propuesta:
Nombre del asesor: Álvaro Adrián Izquierdo Gómez VoBo:
Descriptores / Palabras
Seguridad Informática, Pentesting, Equipos de Cómputo, ITP.
Claves:

2. INTEGRANTES DEL ESTUDIO DE CASO

Nombre Completo: JHON FERNEY JAJOY DIAZ

No. de Identificación: 1124862390 Fecha y Lugar de Expedición: 14-Agosto-2013 Mocoa
Teléfono: 3223889781 E-mail: jhonjajoy1803@gmail.com
Programa Académico: Tecnología en Desarrollo de Software
Nombre Completo: KEVIN ALEXANDER RODRIGUEZ RIASCOS

No. de Identificación: 1006679762 Fecha y Lugar de Expedición: 02-Febrero-2018 Mocoa

Teléfono: 3134787634 E-mail: kevin0552009.kr@gmail.com
Programa Académico: Tecnología en Desarrollo de Software

3. ELEMENTOS DE LA PROPUESTA

Título Provisional

PRUEBA DE PENETRACION A LOS SISTEMAS INFORMATICOS DEL ITP

Resumen Ejecutivo

Con el paso del tiempo, en las redes de comunicaciones, en su crecimiento y la complejidad de las mismas,
surge la necesidad de crear sistemas más seguros ante la presencia de posibles ataques informáticos, que
amenacen la privacidad de los usuarios y la estabilidad (en este estudio de caso) de un sector académico.
Una inestabilidad al momento de salvaguardar la información del usuario frente al público llegaría a causar
repercusiones económicas en caso de hurto de información o de identidad, por consiguiente, la institución
que acoge al usuario deberá responsabilizarse por sus deficientes políticas de gestión y seguridad de la
información.

Por lo tanto, en el presente estudio de caso nos planteamos el objetivo de proporcionar una visión general
de las vulnerabilidades existentes dentro de los sistemas informáticos del ITP (Salas de Computo,
Red/Servidor, Usuarios), haciendo uso de referentes metodológicos y normativos como: la metodología
OSSTMM y la norma técnica colombiana ISO 27001:2013; posteriormente formular recomendaciones para
el buen manejo informático de las tecnologías de la información y la comunicación del Instituto Tecnológico
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 2 de 2
DIPLOMADO

del Putumayo.

El tipo de estudio es cuanti-cualitativo, será con base en pruebas de penetración y evaluación lógica de
vulnerabilidades; ejecutando los respectivos procedimientos prácticos de la metodología OSSTM; se busca
abstraer la garantía de la disponibilidad, confidencialidad e integridad de la información que debe contener
en sí, el sistema institucional en cuanto infraestructura informática y a la toma de decisiones (sistemáticas o
no) de sus recursos humano-tecnológicos en situaciones de gran exposición a pérdidas de información u
ataques informáticos.

Las pruebas de intrusión se van a desarrollar y aplicar acorde a la infraestructura tecnológica actual del I.T.P
(puede estar limitada), los módulos de cada sección para el test de seguridad que no se puedan desarrollar
se anexaran en una tabla de datos OSSTMM en el artículo. Entre la lista de módulos donde se van aplicar las
pruebas correspondientes, se destacan los siguientes: seguridad de la información (Revisión de Privacidad),
seguridad en los procesos (Testeo de Sugerencia Dirigida), seguridad en las tecnologías de Internet (Sondeo
de Red, Identificación de los Servicios de Sistemas, búsqueda y Verificación de Vulnerabilidades, Testeo de
Aplicaciones de Internet, Enrutamiento, Descifrado de Contraseñas). Se usara la distribución Kali Linux y las
fases de hacking ético (reconocimiento, exploración, obtener acceso, línea de informes) adoptando la
auditoria de “Caja Negra” para el desarrollo del trabajo.

Planteamiento del Problema y Preguntas de Reflexión

En varias instituciones del país se identifican una multitud de falencias significativas de ciberseguridad, y
esta falta de protección a la información puede comprometer las comunicaciones y la integridad de la
información de las personas, vulnerando los derechos que tienen como usuarios finales a la protección de
sus datos personales.

“Las empresas deben identificar sus vulnerabilidades e implementar medidas de protección. Y esto
comienza a veces con la asignación de recursos para estos temas. En promedio, apenas 10% del
presupuesto dedicado a tecnología es asignado a seguridad digital, cuando mucho. Eso debe cambiar”,
asegura Lugo, de Intel Security (La Rotta, 2016).

“Esto no aplica únicamente para el caso de las empresas, sino, para cualquier otra entidad”, en las
instituciones educativas de hoy en día, surge el problema de optar el enfoque de desarrollo hacia nuevas
tecnologías, sin considerar la seguridad informática de la comunidad estudiantil como una parte integral de
un sistema de gestión. No solo el estudiantado se encontraría en riesgo a un posible ataque informático,
también la parte administrativa y financiera de la institución, provocando graves daños, posiblemente
irreparables si no se posee el conocimiento del proceso necesario para responder a este tipo de situaciones
delictivas. Es por esto que los sistemas de información pueden correr el riesgo de ser vulnerados si no
cuentan con unos parámetros de seguridad mínimos que pueden ser cubiertos con algunas técnicas
desarrolladas y perfeccionadas a lo largo del tiempo. Una de ellas, por ejemplo, es el Pentest – o Prueba de
Intrusión realizadas sobre los sistemas de información; con el objetivo de encontrar fragilidades en la
seguridad de la empresa. Así, dar posibilidad de evitarlos y solidificar una estrategia de defensa.
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 3 de 2
DIPLOMADO

Antecedentes y posibles riesgos:

En modelo de que los presentes autores se han desempeñado como monitores de las salas de cómputo, se
pueden tomar estas evidencias a manera de práctica de campo a lo largo de la jornada académica 2019-
SEGUNDO PERIODO. Así poder destacar que la institución no aplica adecuadamente (según lo que se ha
observado y descrito en este apartado hasta ahora) políticas de seguridad de la información, por lo tanto,
es un problema que a mediano plazo se debe llegar a corregir.

Los ordenadores de cada sala informática (Ver anexo N° 3-4) únicamente disponen de Windows
Defender y USB-AV Antivirus para garantizar la seguridad del sistema operativo; el problema aquí es
que los equipos no poseen un sistema de detección de intrusos para la prevención de amenazas
malware (antivirus) u ataques informáticos dentro del entorno académico.

La infraestructura de red es fácilmente violable debido a que no se mantiene activo un firewall

fuertemente marcado para garantizar el flujo de datos respectivo dentro de la red institucional. Así
que en función de ingeniería social y explotación con scripts maliciosos; tantos las señales como
dispositivos de difusión y de conmutación pueden ser interferidos y explotados por agentes externos
a causa de la falta de restricciones en la conexión de dispositivos ajenos a la red interna del ITP.

Se ocultan las credenciales de red (SSID, Password) y los dispositivos (en el cuarto de máquinas) que
se manejan en las salas de cómputo, no obstante debido a que las instalaciones son abiertas al
público, está presente el riesgo de que cualquier persona se haga pasar por personal de institución
para pedir la información a los encargados de monitorear las salas informáticas y manipular los
dispositivos tecnológicos, aprovechándose del desconocimiento de los monitores sobre el personal
académico correspondiente a la institución.
Esto podría ser una falencia, tanto de la falta de un perímetro para el ingreso a la institución o a aulas
con un correspondiente carnet de identificación, como también el error humano del encargado que
no lograría identificar si el usuario pertenece o no a un funcionario del ITP.

Y únicamente no se presentaría lo anteriormente mencionado, cuyas características corresponderían a un

ataque de ingeniería social. Sino también, a una escala mucho mayor gracias a las herramientas de hacking
actualmente en el mercado de la informática ilegal o legal, este tipo de personas pueden robar información
y hacerse pasar por otras personas con cargos más acomodados, mientras que el sujeto que fue “victima” ni
se daría cuenta de que es un medio o un exploit- para que los hackers se aprovechen de este y roben
mucha más información dentro de una entidad.

En cuanto a seguridad de la información e informática, el estado actual de los equipos de cómputo y la

infraestructura de red del I.T.P, tal como se mencionó anteriormente en los antecedentes y posibles
riesgos; es algo ineficiente, lo que daría lugar a perdida de activos informáticos de gran relevancia para la
institución ej: Información; documentos, informes, programas, archivos etc -Equipos que soportan la
información; servidores, bases de datos, aplicativos web.
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 4 de 2
DIPLOMADO

¿Qué tipo de pruebas se pueden emplear en un PENTEST según la metodología OSSTMM con el fin de
identificar y dar respuesta a las vulnerabilidades presentes en el sistema?

Según la normatividad ISO-NTC-27001. ¿Cómo se puede prevenir los riesgos de un ataque cibernético
interno o externo a la red de computadoras del ITP?

Justificación en Términos de Relevancia y Pertinencia:

A día de hoy, resulta imposible crear un entorno informático inaccesible a delincuentes informáticos,
aunque si se puede constituir un entorno preventivo que dificulte el acceso a los hackers, incorporando
medidas preventivas (Fernández Rodríguez, s.f.). Aun cuando exista superficialmente un control de
seguridad en los sistemas informáticos en el ITP, la exposición frente a un ataque externo sigue siendo un
factor de riesgo que se debe atender. En el desarrollo del estudio se debe reconocer que un Sistema de
Gestión de Seguridad es importante para el crecimiento de una organización, la falta de medidas y planes
estratégicos para prevenir los riesgos informáticos dejaría vulnerable a la institución, causando pérdidas de
activos informáticos ej: perdida de información confidencial, interrupción de las operaciones, impacto
negativo en la calidad del sector académico, daño a la propiedad física y daño a la vida humana.

Pero cuando se habla de auditoría de seguridad, test de penetración o pentest nos referimos al conjunto de
actividades emprendidas con el objetivo de identificar y explotar vulnerabilidades en una red o sistema,
para así poder subsanar los fallos encontrados antes de que sean aprovechados por un atacante no
autorizado.

En términos de alcance en el trabajo solo se pretende hallar algunas vulnerabilidades no todas, además ira
enfocado en ciertos sectores específicos donde el usuario tiene interacción directa con el sistema
informático del ITP, omitiendo las pruebas a activos informáticos como la documentación en registro y
control, routers, programas aun en implementación, bases de datos. Sin embargo, en caso de encontrar
alguna falla durante el desarrollo del artículo dentro de los activos mencionados se aplicaran las pruebas
correspondientes.

Con el apoyo del presente estudio de caso, se contemplará un plan de prevención y mejoramiento situando
al ITP como principal beneficiario; la realización de un análisis y una prueba de intrusión al sistema
informático del ITP, (con el permiso del supervisor a cargo de las salas TICS, ver ANEXO 2-3), dará la
posibilidad de diseñar una política de seguridad de la información en la que se establezcan las
responsabilidades y reglas a seguir para evitar amenazas o minimizar los efectos de ataques informáticos,
infecciones de malware o perdidas de información en caso de que llegasen a suceder.

El beneficio de una política de seguridad de la información pretende asegurar que no haya inconvenientes
en la estabilidad tecnológica, y en la calidad competitiva de la institución (en cuanto a la protección o
seguridad de los datos, la privacidad o el control de la tecnología de la información –TI), como bien se sabe,
los riesgos dentro del campo informático están presentes para perjudicar a quien sea que esté conectado a
la internet en cualquier momento; con enormes repercusiones a una Institución de Educación Superior si no
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 5 de 2
DIPLOMADO

se controla de buena manera. Por lo tanto, con el fin de prevenir daños humanos, tecnológicos y
financieros, se aplicaran medidas de control en colaboración al ITP, como por ejemplo: mantener los
equipos de cómputo actualizados, desinfectados y monitoreados, concientizar a los usuarios para prevenir
riesgos informáticos, recomendar el establecimiento de un IDS en la red, la configuración del firewall y
recomendar el control de credenciales de identidad para el personal que se involucra con el sistema
informático del ITP.

De igual manera estudiar y verificar el cumplimiento de las siguientes normatividades ya previamente

planteadas por el I.T.P:

VER ANEXO N°1. Reglamento sala de cómputo Acuerdo No. 011 junio 05 de 2006. & El Plan Estratégico de
Tecnologías de la Información elaborado por (Guzman Orjuela & Canchala, 2017)

Este proceso tendrá la intención de cumplir con las correspondientes regulaciones en el control de la
auditoría interna y velar por la confidencialidad en los datos de los usuarios, garantizando que el sistema
mejore continuamente y sea capaz de asegurar su eficacia, eficiencia y efectividad según las normatividades
estipuladas en la NTC-ISO: 27001.

Propósito

Hallar las vulnerabilidades que se encuentran invisibles en los sistemas informáticos del ITP empleando
"pentesting" o pruebas de penetración en función de hacking ético siguiendo la metodología OSSMTT. Se
atenderán las buenas prácticas de la ISO 27001 en materia de seguridad de la información; de manera que
se reconozca la utilidad y efectividad de la norma y metodología al momento de determinar las debilidades
de seguridad del sistema, con base a ese conocimiento, el Instituto Tecnológico del Putumayo aplicará los
mecanismos planteados y las posibles consideraciones dentro de su plan estratégico de tecnologías de la
Información, para crear un entorno de seguridad y concienciación enfocado a la prevención, detección,
recuperación y respuesta ante posibles fallos de seguridad no previstos.

Como resultado del estudio de caso se difundirá la comprensión y la ejecución -con evidencia- de los
procesos técnicos, tecnológicos e instrumentos vigentes relacionados con la prueba de seguridad dentro de
los sistemas informáticos del ITP. En búsqueda de que la institución asesore y brinde soporte técnico a
aquellos que hacen manejo de los sistemas de información y uso de recursos informáticos durante todo el
año académico correspondiente.
Marco de Referencia (Teórico, Conceptual, Contextual y Legal)
MARCO TEÓRICO

Seguridad Informática

La seguridad informática consiste en asegurar en que los recursos del sistema de información de una
organización se utilizan de la manera que se decidió y que el acceso a la información allí contenida así como
su modificación solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 6 de 2
DIPLOMADO

autorización.

Un sistema informático es un conjunto de elementos que hace posible el tratamiento automático de la

información. Las partes de un sistema informático son: • Componente físico: está formado por todos los
aparatos electrónicos y mecánicos que realizan los cálculos y el manejo de la información. • Componente
lógico: se trata de las aplicaciones y los datos con los que trabajan los componentes físicos del sistema. •
Componente humano: está compuesto tanto por los usuarios que trabajan con los equipos como por
aquellos que elaboran las aplicaciones. Este mismo puede ser protegido desde un punto de vista lógico (con
el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las
amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como
un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a distintos
sistemas).

La seguridad lógica para la protección de la información es vital, porque permite: restringir el acceso a
programas y archivos mediante claves y/o encriptación; asignar las limitaciones correspondientes a cada
usuario del sistema informático, esto significa, no dar privilegios extra a un usuario, sino solo los que
necesita para realizar su trabajo; asegurarse de que los archivos y programas que se emplean son los
correctos y se usan correctamente, por ejemplo, el mal uso de una aplicación puede ocasionar agujeros en
la seguridad de un sistema informático; control de los flujos de entrada/salida de la información, esto
incluye que la información enviada llegue al destino deseado, pero no cuenta con un modelo con el cual se
guíen para la creación de un sistema de seguridad informático a nivel lógico, lo que no permite medir el
nivel de protección que tiene una organización (Guerrero Julio & Gómez Flórez, 2012).

El diagnóstico permitirá en un futuro el diseño, implementación e implantación de un Sistema de Gestión

de Seguridad de la Información - SGSI alineado al estándar ISO/IEC 27001, capaz de controlar las
vulnerabilidades, amenazas y los riesgos de seguridad a que se ve expuesta la organización. Para lograr una
adecuada protección de los activos informáticos, los sistemas de información, los datos y la información, es
necesaria la intervención de todo el personal de la empresa, incluyendo a los directivos que deben avalar el
proyecto y brindar el apoyo a todo el personal que esté involucrado en el manejo de los activos y sistemas
informáticos. Estas acciones deben estar enmarcadas en un proceso lógico, sistemático, documentado, que
pueda ser difundido internamente para garantizar la gestión correcta de la seguridad informática y de la
información, siguiendo el ciclo de mejora continua (planear, hacer, verificar y actuar - PHVA) (Solarte
Solarte, Enriquez Rosero, & Benavides Ruano, 2015).

Las amenazas

Las amenazas de un sistema informático pueden provenir desde un hacker remoto que entra en nuestro
sistema desde un troyano, pasando por un programa descargando de forma gratuita que nos ayuda a
gestionar nuestras fotos pero que supone una puerta trasera a nuestro sistema permitiendo la entrada a
espías hasta la entrada no deseada al sistema mediante una contraseña de bajo nivel de seguridad; se
pueden clasificar por tanto en amenazas provocadas por personas, lógicas y físicas.

Cuando se realiza un análisis de vulnerabilidad en sus sistemas de información, puede identificar todas las
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 7 de 2
DIPLOMADO

vulnerabilidades técnicas relacionadas con ellas (por ejemplo, inyección de SQL, XSS, CSRF, contraseñas
débiles, etc.). Pero, para su explotación, debe realizar una prueba de penetración. Si desea cumplir con la
norma ISO 27001: 2013, solo puede realizar el análisis de vulnerabilidad , aunque la prueba de penetración
es una práctica recomendada, y es muy recomendable si desea saber qué tan vulnerables son sus sistemas
(en nuestro ejemplo, queremos saber qué información puede ver una persona no autorizada). De acuerdo
con el control A.12.6.1 del Anexo A de ISO 27001: 2013 , debe evitar la explotación de vulnerabilidades
técnicas (Segovia , 2016).

Entonces, ¿cuándo hacer un test de intrusión?

El plan de penetración testing debería ser llevado a cabo en cualquier momento cuando una (o varias) de
las siguientes situaciones ocurra:

 Se han aplicado parches de seguridad

 Se ha modificado de forma considerable la infraestructura o red

 Se ha añadido una aplicación web o elemento de infraestructura nuevos

 Se ha cambiado de ubicación nuestra oficina o se ha añadido una sede a la red corporativa

(Alejandro, s.f.)

El pentesting ayuda a las empresas a comprender cuales son los puntos débiles de la infraestructura y del
entorno de TI, así mismo a identificar también que soluciones deben aplicarse, en otras palabras, las
empresas pueden entender la necesidad de fortalecer sus defensas, pero esto no se logra con una simple
evaluación de vulnerabilidades hecha con alguna de las herramientas usadas, sino que el pentesting agrega
el ingenio humano a las medidas de descubrimiento y hace que sea invaluable evaluar las necesidades de
las empresas con respecto a la seguridad (Vanegas & Alfonso , 2019).

Para ello Kali Linux es un sistema operativo distribuido basado en Debian GNU/Linux diseñada
principalmente para la auditoría y seguridad informática en general. Tiene preinstalados más de 600
programas incluyendo Nmap (un escáner de puertos), Wireshark (un sniffer), John the Ripper (un
crackeador de passwords) y la suite Aircrack-ng (software para pruebas de seguridad en redes
inalámbricas). Kali puede ser usado desde un Live CD, live-usb y también puede ser instalada como sistema
operativo principal.

Maltego: Es una herramienta que une información desde base de datos públicas y provee detalles
sorprendentemente precisos acerca de la organización objetivo. Estos detalles pueden ser de carácter
técnico como es la localización de direcciones IP del firewall o pueden ser personales como la localización
física del vendedor.

Nmap: El objetivo es conocer el sistema operativo del servidor, detección de la versión utilizada por el SO,
como también todos los puertos abiertos de la web, abrimos un terminal del sistema operativo de kali, y
ejecutamos los siguientes códigos. (Gonzales Cotera, 2017).
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 8 de 2
DIPLOMADO

Wireshark: Analizador de protocolos open-source que actualmente está disponible para plataformas de
Windows y Unix. Su objetivo es el análisis de tráfico, pero además es una excelente aplicación didáctica
para el estudio de las comunicaciones y para la resolución de problemas de red.

Ettercap: Es un interceptor/ sniffer/ registrador para LANs con switch. Soporta direcciones activas y pasivas
de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS).

Aircrack-ng: Es una colección de herramientas para la auditoria de redes inalámbricas entre las que se
encuentran:

• Airodump-ng: programa para la captura de paquetes 802.11.

• Aireplay-ng: Programa para la inyección de paquetes 802.11.
• Aircrack-ng: Recuperador de claves estáticas WEP, WPA-PS.
•

(Narvaez Portillo, 2015)

MARCO CONCEPTUAL

¿Cuántos controles hay en ISO 27001?

Hay 114 controles listados en ISO 27001 – sería una violación de los derechos de propiedad intelectual si se
señalan todos los controles acá, por lo que solo se explicara cómo se estructuran los controles, y señalar el
propósito de cada una de las 14 secciones del Anexo A:

5 Políticas de seguridad de la Información – controles acerca de cómo deben ser escritas y revisadas las
políticas.

6 Organización de la seguridad de la información – controles acerca de cómo se asignan las

responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.

7 Seguridad de los Recursos Humanos – controles antes, durante y después de emplear.

8 Gestión de recursos – controles acerca de lo relacionado con el inventario de recursos y su uso aceptable,
también la clasificación de la información y la gestión de los medios de almacenamiento.

9 Control de Acceso – controles para las políticas de control de acceso, gestión de acceso de los usuarios,
control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.

10 Criptografía – controles relacionados con la gestión de encripción y claves.

 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 9 de 2
DIPLOMADO

11 Seguridad física y ambiental – controles que definen áreas seguras, controles de entrada, protección
contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.

12 Seguridad Operacional – muchos de los controles relacionados con la gestión de la producción en TI:
gestión de cambios, gestión de capacidad, malware, respaldo, bitácoras, espejos, instalación,
vulnerabilidades, etc.

13 Seguridad de las Comunicaciones – controles relacionados con la seguridad de redes, segregación,

servicios de redes, transferencia de información, mensajería, etc.

14 Adquisición, desarrollo y mantenimiento de Sistemas – controles que definen los requerimientos de

seguridad y la seguridad en los procesos de desarrollo y soporte.

15 Relaciones con los proveedores – controles acerca de qué incluir en los contratos, y cómo hacer el
seguimiento a los proveedores.

16 Gestión de Incidentes en Seguridad de la Información – controles para reportar los eventos y

debilidades, definir responsabilidades, procedimientos de respuesta, y recolección de evidencias.

17 Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio – controles que

requieren la planificación de la continuidad del negocio, procedimientos, verificación y revisión, y
redundancia de TI.

18 Cumplimiento – controles que requieren la identificación de las leyes y regulaciones aplicables,

protección de la propiedad intelectual, protección de datos personales, y revisiones de la seguridad de la
información.

Uno de los grandes mitos acerca de ISO 27001 es que está enfocada en la TI – como se puede ver en las
secciones mostradas, esto no es totalmente cierto: no se puede negar que la TI es importante, pero la TI
por sí sola no puede proteger la información. La seguridad física, la protección legal, la gestión de recursos
humanos, los aspectos organizacionales – todos ellos juntos son requeridos para asegurar la información.

La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del
que se pueden seleccionar – de los 114 controles que se señalan en el Anexo A, se pueden seleccionar los
que apliquen en el contexto problemático del ITP.

Relación con la Norma ISO 27002

La verdad es que el Anexo A de la Norma ISO 27001 no señala muchos detalles acerca de cada control.
Normalmente hay una oración para cada control, que le da una idea acerca de lo que necesita para
cumplirlo, pero no le da una idea acerca de cómo hacerlo. Ese es el propósito de la Norma ISO 27002 –
tiene exactamente la misma estructura del Anexo A de la Norma ISO 27001: cada control del Anexo A existe
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 10 de 2
DIPLOMADO

en ISO 27002 (anteriormente denominada ISO 17799), así como una explicación detallada acerca de cómo
implementarlo.

Además de profundizar en el tipo de controles que se van a aplicar en el estudio de caso, este mismo se
guiara dependiendo de los resultados de las pruebas realizadas. Según la documentación, la norma ISO se
incluye en el diseño de la auditoria y el testeo desde el exterior al interior complementándose con el
desarrollo de la seguridad de la información del estándar OSSMTT. Por lo tanto, por su inclusión y
complementación, la aplicación de ambos procesos irá de la mano para contribuir a la implementación de
una política de seguridad informática del Instituto Tecnológico del Putumayo.

Metodología OSSTMM:

El objetivo principal de esta metodología es establecer un estándar en metodologías de testeo de

seguridad que cuando sea utilizado reúna condiciones de seguridad prácticas y funcionales. El resultado
indirecto es forjar una disciplina que pueda hacer el papel de punto de referencia en todos los tests de
seguridad sin importar el tamaño de la organización, la tecnología o las defensas.

Las secciones en este manual son:

 1 Seguridad de la Información
 2 Seguridad de los Procesos
 3 Seguridad en las tecnologías de Internet
 4 Seguridad en las Comunicaciones
 5 Seguridad Inalámbrica
 6 Seguridad Física

La lista de módulos del mapa de seguridad son los elementos primarios de cada sección. Cada módulo debe
incluir todas las Dimensiones de Seguridad que están integradas con tareas a ser desarrolladas.

La metodología fluye desde el módulo inicial hasta completar el módulo final. La metodología permite la
separación entre recolección de datos y tests de verificación de y sobre los datos recolectados. El flujo
también determina los puntos precisos de cuando extraer e insertar estos datos.

El análisis de seguridad finaliza con el inicio de la fase de análisis y la construcción del informe final. Esta
metodología no afecta la forma, tamaño, estilo o contenido del informe final ni especifica como los datos
deben ser analizados. Esto es responsabilidad del analista de seguridad o la organización.

Las secciones son el modelo total de seguridad dividido en porciones manejables y analizables. El módulo
requiere una entrada para ejecutar las tareas del módulo y de otros módulos en otras secciones. Las tareas
son los tests de seguridad a ejecutarse dependiendo de la entrada del módulo. Los resultados de las tareas
pueden ser inmediatamente analizados para actuar como un resultado procesado o se pueden dejar en
bruto (sin analizar). De cualquier modo, estos son considerados la salida del módulo. (Herzog, 2003)
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 11 de 2
DIPLOMADO

Según, la Ley 872 de 2003, adopta la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004,
donde los siguientes términos y definiciones son aplicables para el propósito del estudio de caso:

Acción correctiva: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad
detectada u otra situación no deseable. Según este enfoque se plantearán medidas de control para corregir
las actuales deficiencias del sistema informático del I.T.P. (Equipos de Cómputo, Red/Servidor, Usuarios)

Acción preventiva: Conjunto de acciones tomadas para eliminar la(s) causa(s) de una no conformidad
potencial u otra situación potencialmente indeseable. Se puede inferir que la prevención se dará en base al
conocimiento de los funcionarios o pasantes de las TICS, ellos deberán saber cómo mantener el control
dentro del sistema informativo y como realizar un seguimiento para evitar posibles situaciones indeseables.

Auditoría interna: Proceso sistemático, independiente y documentado para obtener evidencias que, al
evaluarse de manera objetiva, permiten determinar la extensión en que se cumplen los criterios definidos
para la auditoría interna. Se realiza una auditoria interna dentro de la red informática del I.T.P, que se
explota y analiza en forme a las vulnerabilidades existentes en el campo investigado. Por lo tanto, la
evaluación o resultados se definirán en un plano documentando para que la institución lleve un orden
dentro del conducto regular correspondiente a la seguridad de la información de los sistemas analizados
por los autores.

Conceptos tomados de (DIARIO OFICIAL AÑO CXL. N. 45761. 13, 2004)

MARCO CONTEXTUAL

Ubicación y contextualización de la problemática:

El instituto tecnológico del putumayo fue fundado el 27 de febrero de 1995 en Mocoa, situada en el
suroccidente de Colombia.
Es una institución de educación superior privada comprometida con el desarrollo regional, creada mediante
ley 65 de 1989 como establecimiento público, de carácter académico del orden departamental, con
personería jurídica, autonomía administrativa y patrimonio independiente, adscrito al departamento del
putumayo. Surge en nuestro territorio como respuesta a una necesidad académica de profesionalización,
con capacidad de compromiso frente a las propuestas idóneas de desarrollo regional, en un proceso
formativo para que se consoliden los discursos y responsabilidades en torno a la tarea histórica que
debemos asumir (Instituto Tecnologico del Putumayo, s.f.).

1. Actúa en el ejercicio de autonomía y la libertad de enseñanza acorde a la Ley 30 de 1992.

El Instituto Tecnológico del Putumayo tiene dentro de sus instalaciones, 4 salas de cómputo en la parte
occidental disponibles para el uso de docentes y estudiantes. 2 de ellas (Sala de Computo 1-2) están
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 12 de 2
DIPLOMADO

completamente abiertas al público; según lo que se ha podido observar en el transcurso del periodo
académico y de acuerdo a la información dada por el supervisor de las salas TIC.

Evidentemente, no hay que excluir que se realiza un respectivo seguimiento por parte de los monitores ha
cuidado de dichas salas; con formatos de uso y control para atención al usuario. Sin embargo no todo el
tiempo están pendientes de las personas que llegan a ingresar.

El instituto Tecnológico del Putumayo cuenta con 39 empleados de planta dividido en el siguiente nivel de
jerarquía: Directivos: 3 Administrativos: 16 Docentes: 20.

El Instituto Tecnológico del Putumayo se encuentra en un proceso de adaptación de tecnologías modernas

de la información a sus procesos misionales y administrativos. En el tema de los aplicativos han adquirido
SIGEDIN en el tema misional y SYS APOLO en el tema administrativo. Además, adoptaron la herramienta
MOODLE, que es una herramienta gratuita.

El Instituto en la actualidad cuenta con conexiones cableadas y punto de acceso wifi. Todos los
componentes son de marca ubiquiti. Esto permite un adecuado balanceo de cargar de la red en cada punto,
permite itinerancia o roaming de los puntos de acceso permitiendo una movilidad transparente para el
usuario sin necesidad de estar pendiente a que punto debe enlazarse para tener servicio. Además, la
administración de la red está centralizada y es más sencillo su monitoreo y control del tráfico y de los
componentes del sistema.

La troncal principal de la red LAN, está conformado por una troncal de fibra óptica, y las terminales se
encuentran en categoría 7 con conectores tipo tera para las zonas de salas de cómputo y categoría 6 para
las zonas administrativas. El backbone está compuesto de fibra óptica.

La red inalámbrica de la Institución tiene un punto de acceso para la comunidad académica denominada
NEPTUNO, igualmente existe otro punto de acceso para la comunidad en general denominado LIKA.

Como bien se ha dicho, el desarrollo del presente estudio de caso se fundamenta en las buenas prácticas
de la normatividad ISO-NTC-27001; aplicando los procesos de la metodología OSSMTT dentro de las fases
del hacking ético, así se hará un control preventivo y correctivo de cómo se deben estandarizar (en cuanto a
seguridad y privacidad de la información) los sistemas informáticos del Instituto Tecnológico Del Putumayo,
Sede Principal Mocoa, a fin de concientizar a la institución sobre las políticas y procedimientos que deben
mantener para evitar violaciones a sus sistemas informáticos y a los riesgos inherentes que conlleva este
tipo de problemática.

MARCO LEGAL

Ley 872 de 2003

Artículo 1°. Adoptase la Norma Técnica de Calidad en la Gestión Pública, NTCGP 1000:2004, la cual
determina las generalidades y los requisitos mínimos para establecer, documentar, implementar y
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 13 de 2
DIPLOMADO

mantener un Sistema de Gestión de la Calidad en los organismos, entidades y agentes obligados conforme
al artículo 2° de la Ley 872 de 2003. El establecimiento y desarrollo del Sistema de Gestión de la Calidad en
los organismos y entidades pública; será responsabilidad de la máxima autoridad de la entidad u organismo
correspondiente y de los jefes de cada dependencia de las entidades y organismos, así como de los demás
funcionarios de la respectiva entidad.

Ley 1273 de 2009 – “De la Protección de la Información y los Datos‟

Con esta ley se preservan integralmente los sistemas que utilicen de las tecnologías de la información y la
comunicación, entre otros. En esta ley se tipificaron como delitos, el uso abusivo de los datos personales
por lo que es de resulta de gran importancia para las empresas que se blinden jurídicamente en este ámbito
para evitar incurrir en ciertas conductas estipuladas como delitos penales. La Ley 1273 de 2009 se compone
de dos (2) capítulos y de diez (10) artículos. A continuación, se sintetizarán aquellos artículos que
correspondan al desarrollo del presente estudio de caso:

Artículo 269A: Acceso abusivo a un sistema informático. Toda persona que acceda a un sistema
informático y permanezca en el sin autorización.

Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. Incurre en

este delito toda persona que sin estar autorizado no permita el acceso a una red, sistema informático o los
datos informáticos.

Artículo 269C: Interceptación de datos informáticos. Incurrirá en este delito toda persona que sin tener
orden judicial intercepte ya sea en su origen, trasmisión, destino o al interior de un sistema informático los
datos informáticos.

Artículo 269D: Daño Informático. Este delito contempla que toda persona quien no tenga la debida
autorización que borre, altere, suprima o modifique datos informáticos o dentro de un sistema sus partes o
componentes lógicos.

Artículo 269E: Uso de software malicioso. Aquí se contempla como delito la producción, tráfico, venta,
distribución importación o exportación de software considerado como dañino o malicioso.

Artículo 269F: Violación de datos personales. Incurrirá en este delito toda persona que obtenga beneficio
para sí mismo o para terceros de información personal contenida en bases de datos, ficheros.

Artículo 269G: Suplantación de sitios web para capturar datos personales. Este delito contempla el diseño,
creación distribución o venta de sitios web, enlaces o ventanas emergentes diseñados para capturar
ilegalmente datos personales.

Artículo 269I: Hurto por medios informáticos y semejantes. Incurrirá en este delito toda persona que, a
través de un sistema informático, red de un sistema electrónico o telemático cometa hurto u otro medio
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 14 de 2
DIPLOMADO

semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos.

Artículo 269J: Transferencia no consentida de activos. Este delito contempla la trasferencia no autorizada
de activos en perjuicio de otra persona, mediante manipulaciones de tipo informático.

Entre los delitos más comunes en Colombia se encuentran: Hurto por medios informáticos y semejantes,
uso de software malicioso, violación de datos personales y acceso abusivo a un sistema informático.

Unidades de Análisis y Métodos

El plan de mejoras para el desarrollo de la unidad de análisis del caso será planificar, solucionar y controlar
la seguridad de la información e informática dentro de los sistemas informáticos del Instituto Tecnológico
del Putumayo basándose en el siguiente tipo de estudio:

Investigación cuanti-cualitativa: La finalidad de realizar esta investigación será descubrir los problemas de
seguridad de la información e informática dentro de la infraestructura tecnológica del ITP. Por medio de la
observación directa, practica de campo y métricas cuantificables.
Previo a la investigación los antecedentes o datos similares eran escasos; por ende, se tendrá que explorar
todos los temas referentes al desarrollo, búsqueda de vulnerabilidades (Pentesting) y gestión de la
seguridad según la aplicación de las fases de hacking ético empleando como guía la metodología OSSTMM,
para posteriormente organizar la información obtenida de los resultados (tabulación), realizar un análisis;
con el fin de plantear posibles recomendaciones y consideraciones para el mejoramiento del sistema de
seguridad de la Institución y, al mismo tiempo evitar dañar la infraestructura de los recursos tecnológicos a
auditar.

Métodos

Para aplicar una evaluación efectiva al desarrollo del presente estudio de caso; se busca adaptar y analizar
cada fase de las pruebas del hacking ético según la metodología OSSTMM y las buenas prácticas de la
normatividad ISO 27001 a distintos sistemas informáticos establecidos por la Institución ej: biblioteca, salas
de computo, aplicativos web.

Así dar respuesta a las preguntas de reflexión como recomendaciones generales; con el hecho de evitar el
uso de los equipos electrónicos, por parte de los usuarios, sin antes tener en cuenta ciertas medidas de
precaución necesarias para salvaguardar su información.

Cabe decir que algunas pruebas dentro de cada sección no se podrán realizar generalmente por falta de
presupuesto técnico, limitaciones, falta de experiencia-tiempo y debido a la rigurosidad que es necesaria
para cada prueba según el Manual de la Metodología Abierta de Testeo de Seguridad OSSTMM 2.1.
Referencias Bibliográficas
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 15 de 2
DIPLOMADO

Jiménez Rojas, J. R. (10 de 04 de 2008). LA SEGURIDAD INFORMÁTICA Y EL USUARIO FINAL. 9(4).

Alejandro. (s.f.). ¿Cada cuánto tiempo debería realizar un test de penetración? Obtenido de
https://protegermipc.net/2017/01/31/cada-cuanto-tiempo-deberia-realizar-un-test-de-
penetracion/

Amit, I. I. (16 de 08 de 2014). Vulnerability Analysis. Obtenido de http://www.pentest-

standard.org/index.php/Vulnerability_Analysis

DIARIO OFICIAL AÑO CXL. N. 45761. 13. (13 de 12 de 2004). Norma Técnica de Calidad en la Gestión Pública.

ESET. (9 de 09 de 2016). Definición de virus, códigos maliciosos y ataques remotos. Obtenido de

https://support.eset.com/kb186/?viewlocale=es_ES

Fernández Rodríguez, B. (s.f.). Pasos a seguir ante un ataque informático. (Deloitte Legal) Obtenido de
https://www2.deloitte.com/es/es/pages/legal/articles/Pasos-a-seguir-ante-un-ataque-
informatico.html

Guerrero Julio, M. L., & Gómez Flórez, L. C. (13 de 12 de 2012). Gestión de riesgos y controles en sistemas de
información: del aprendizaje. Obtenido de
https://www.sciencedirect.com/science/article/pii/S0123592312700116?via%3Dihub

Guzman Orjuela, F., & Canchala, M. A. (15 de Diciembre de 2017). ITP. Recuperado el 14 de Noviembre de
2019, de http://www.itp.edu.co/web2016/index.php/centro-documentos/category/206-
planeacion-institucional-2019?start=20

Herzog, P. (23 de Agosto de 2003). OSSTMM 2.1. Obtenido de ISECOM – Instituto para la Seguridad y las
Metodologías Abiertas. : www.isecom.org - www.osstmm.org

Instituto Tecnologico del Putumayo. (s.f.). Historia. Obtenido de

http://www.itp.edu.co/web2016/index.php/la-universidad/acerca-del-itp/historia

ISOTools Excellence. (2016). ISO 27001: ¿Cuál es la situación actual de las empresas? Obtenido de
https://www.pmg-ssi.com/2016/07/iso-27001-situacion-actual-empresas/

ISOTools Excellence. (12 de 09 de 2019). ISO 27001: ¿Qué significa la Seguridad de la Información?
Obtenido de https://www.pmg-ssi.com

La Rotta, S. (28 de 01 de 2016). Obtenido de https://www.elespectador.com/tecnologia/seguridad-digital-

una-responsabilidad-social-articulo-613371

Luzardo, I. (30 de 11 de 2010). CONOZCA LAS AMENAZAS INFORMÁTICAS MÁS COMUNES (DISI 2010).
Obtenido de https://www.enter.co/cultura-digital/entretenimiento/conozca-las-amenazas-
informaticas-mas-comunes-disi2010/

Segovia , A. J. (18 de 01 de 2016). Cómo utilizar las pruebas de penetración para ISO 27001 A.12.6.1.
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 16 de 2
DIPLOMADO

Obtenido de https://advisera.com/27001academy/blog/2016/01/18/how-to-use-penetration-
testing-for-iso-27001-a-12-6-1/

Solarte Solarte, F. N., Enriquez Rosero, E. R., & Benavides Ruano, M. d. (12 de 2015). Metodología de
análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma
ISO/IEC 27001. Obtenido de http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/456

Vanegas , R., & Alfonso , Y. (11 de 07 de 2019). Pentesting, ¿Porque es importante para las.

ANEXOS:
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 17 de 2
DIPLOMADO

Anexo N°1: Reglamento sala de cómputo Acuerdo No. 011 junio 05 de 2006
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 18 de 2
DIPLOMADO
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 19 de 2
DIPLOMADO

Anexo N° 2 Petición de autorización para el estudio de caso en el ITP

 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 20 de 2
DIPLOMADO

Anexo N° 3 Autorización para realizar pruebas de penetración en el ITP

 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 21 de 2
DIPLOMADO

Anexo N°4 Equipos Sala de Computo 1 – 2

Sala 1:
 MACROPROCESO: MISIONAL Código: F-INV-048

Versión: 01
PROCESO: INVESTIGACIÓN
Fecha: 21-09-2018
FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO –
Página: 22 de 2
DIPLOMADO

Sala 2: