PorquéesimportantelametodologíaHackingparaestablecer

vulnerabilidades?

ELECTIVA- SEGURIDAD DE APLICACIONES WED NRC-50285

JEYNNER BAUTISTA LOZADA

METODOLOGIAS HACKING DE APLICACIONES WEB

SEMANA 5

JUAN CARLOS VALENCIA

DOCENTE

ESPECIALIZACIÓN SEGURIDAD INFORMÁTICA

UNIVERSIDAD CORPORACION UNIVERSITARIA MINUTO DE DIOS

OCTUBRE 6 DE 2024
¿Porque es necesario hacer uso de una metodología al momento de realizar
análisis de una aplicación web?

La metodología Hacking ético, especialmente en el contexto de la seguridad

informática, es importante porque proporciona un enfoque sistemático y
estructurado para identificar y explotar vulnerabilidades en sistemas informáticos.

pretende establecer las fases en que se debe abordar una tarea de Hacking ético a bases
de datos en una organización. Las pruebas de penetración permiten la identificación de
debilidades provocadas por una mala configuración de las aplicaciones, además
de categorizar las debilidades con base al impacto potencial y la posibilidad que se
convierta en realidad.

Metodología de Análisis de seguridad Se determina a partir de las siguientes referencias

metodológicas, cada una con su nivel de madurez propio:

• Open Source Security Testing Methodology Manual (OSSTMM): No solo abarca los
ámbitos técnicos y de operación de seguridad tradicionales, sino que también se encarga
de definir aspectos tales como las credenciales del profesional a cargo del test, la forma
en la que el test debe ser comercializado, la manera en la que los resultados de éste
deben ser presentados, las normas éticas y legales que deben tenerse en cuenta al
momento de concretar el test, los tiempos probables para cada una de las tareas.

• Information System Security Assessment Framework(ISSAF): Constituye un marco

de trabajo detallado respecto de las prácticas y conceptos relacionados las tareas que se
debe realizar al abordar un testeo de seguridad.

• Open Web Application Security Project (OWASP): Centrado en la seguridad sobre

aplicaciones web y cuya misión es hacer visible y consciente la seguridad en
aplicaciones, de manera que las organizaciones puedan tomar mejores
decisiones sobre sus riesgos de seguridad

Ejecución de escaneo

Ejecucióndelescaneo
Se establece con el Oficial de Seguridad POSITIVA realizar la prueba de escaneo con
explotación local, es decir, se ejercen funciones como atacante, con acceso previo a los
servidores residentes en su Casa Matriz, En este caso, la máquina asignada se utiliza
como plataforma de lanzamiento para conectarse a otros objetivos vulnerables.

Evaluación de riesgos: Al seguir una metodología de hacking, los equipos de seguridad

pueden evaluar mejor los riesgos asociados con diferentes vulnerabilidades. Esto les
permite priorizar que problemas abordar primero y asignar.
Evaluaciónderiesgos: Al seguir una metodología de Hacking, los equipos de

Mejora de la conciencia de seguridad: Al adoptar una metodología de hacking, las

organizaciones pueden mejorar la conciencia de seguridad entre su personal. Esto puede
incluir la capacitación en seguridad informática y la promoción de buenas practicas de
seguridad en toda la organización y recursos de manera más eficiente.
Protección de datos sensibles; La formulación web a menudo recopilan información
sensible de los usuarios, como nombres, direcciones, números de teléfono, direcciones de
correo electrónico y, en algunos casos, información financiera. Aplicar medidas de
seguridad ayuda a proteger esta información contra accesos no autorizados o filtraciones.
Protección  de  datos  sensibles: Los formularios web a menudo recopilan

Prevenciónde ataquesdeinyección: Los formularios web son vulnerables a

Prevención de ataques de inyección: Los formularios web son vulnerables a ataques
de inyección, como SQL injection o XSS (Cross-Site Scripting), donde los atacantes
pueden insertar código malicioso en los campos del formulario. Al aplicar
medidas de seguridad adecuadas, como la validación de entrada y la sanitización de
datos, se puede prevenir la ejecución de estos ataques.

Evitar  la  manipulación  de  datos: Los formularios web pueden ser objeto de

Evitar la manipulación de ataques: Los formularios web pueden ser objeto de
manipulación de datos por parte de usuarios malintencionados. Esto podría incluir la
alteración de datos en formularios de pedido en línea, por ejemplo. Al aplicar medidas de
seguridad, como la autenticación y la autorización adecuadas, se puede evitar la
manipulación no autorizada de datos.

Protección  contra  bots y  spam: Los formularios web son susceptibles a ser

Protección contra bost y spam: Los formularios web son susceptibles hacer utilizados
por bots para enviar spam o realizar actividades maliciosas, como ataques de
denegación de servicio. La implementación de medidas de seguridad, como CAPTCHA o
reCAPTCHA, puede ayudar a mitigar este tipo de actividad no deseada.

Cumplimientonormativo: En muchos casos, hay regulaciones y estándares de

Cumplimiento normativo: En muchos casos hay regulaciones y estándares de seguridad

que exigen las aplicaciones de medidas de seguridad en las aplicaciones web para
proteger la privacidad y seguridad de los datos de los usuarios. Esto incluye regulaciones
como GDPR en la Unión Europea o HIPAA en los Estados Unidos

Mejoradelaconcienciadeseguridad: Al adoptar una metodología de Hackin

¿Como las normas inciden en la eficiencia y efectividad de los análisis en las

aplicaciones web?

El comportamiento de la eficiencia del desempeño como característica de calidad en las

aplicaciones, ha ganado valor a nivel nacional e internacional para la aceptación del
software. Siendo un factor importante a tener en cuenta desde inicio del desarrollo del
sistema, pues el mal desempeño de esta característica afecta la satisfacción del usuario.
En el presente se establece algunas formas de evitar y asegurar las buenas prácticas, con
el objetivo identificar características de la eficiencia del desempeño, actividades de
calidad, formas de medirla y los riesgos más comunes asociados a esta. A partir de ello,
se proponen buenas prácticas a incorporar desde inicios del ciclo de vida del software que
permitan prevenir los riesgos asociados a esta característica y aumentar la calidad del
producto.

¿Qué  beneficios  trae  la  búsqueda  y  explotación  de  vulnerabilidades 

de
seguridad?
Una organización puede utilizar herramientas para la evaluación de
vulnerabilidades, que permiten conocer la situación real de un sistema y mejorar su
seguridad, verificando que los mecanismos de seguridad funcionan correctamente.
Así mismo, estas herramientas pueden analizar y evaluar las vulnerabilidades del
sistema informático, estableciendo un ranking en función de su severidad.

En la revisión de equipos y servidores se deberían de analizar y evaluar los siguientes

aspectos:

 Parches del sistema operativo

 Seguridad del sistema de ficheros.
 Cuentas de usuario.
 Servicios y aplicaciones instaladas.
 Protocolos y servicios de red.
 Control de accesos a los recursos.
 Registro y auditoria de eventos.

Configuración de las herramientas de seguridad: Antivirus, corta juegos personales,

gestores de copias de seguridad. A la hora de utilizar una de estas herramientas para
análisis y evaluación de vulnerabilidades en un sistema informativo, debemos de tener en
cuenta varios aspectos importantes para garantizar el éxito de las pruebas realizadas en
los sistemas.

 Definición del alcance y objetivos de las pruebas a realizar.

 Conocimiento y experiencia del equipo que analiza las vulnerabilidades y realiza
las pruebas de intrusión en el sistema.
 Nivel de automatización de las pruebas realizadas, contando con el apoyo de las
herramientas y metodologías adecuadas.
 Actualización periódica de la base de datos de vulnerabilidades a realizar.
 Controlar y limitar los posibles riesgos que se deriven de las pruebas: disminución
del rendimiento de los equipos, denegación de servicio, exposición de información
sensible.
 Realización de las pruebas de forma periódica o en momentos puntuales ( antes
de la puesta en función de un nuevo sistema.
 Registrar las puntuaciones y resultados obtenidos en las distintas pruebas
realizadas, para poder analizar la evolución en el tiempo de la seguridad en la
organización.

Es importante elaborar una completa documentación con los resultados de las pruebas,
constituida por lo menos por estos dos tipos de documentos:

 Resumen ejecutivo dirigido a personal no técnico, con una breve

  Resumen ejecutivo dirigido a personal no técnico con una breve descripción de
los trabajos realizados y las principales conclusiones y recomendaciones,
de forma clara y sencilla (tratando de no abusar de la terminología técnica).

 Informe técnico detallado, que describa el sistema objeto de estudio y los

 Informe técnico detallado, que describa el sistema objeto de estudio y los recursos
analizados, todas las pruebas realizadas, las vulnerabilidades que han sido
detectadas y las medidas propuestas para remediarlas y mejorar la seguridad del
sistema

Las recomendaciones del proyecto OWASP (Open Web Application Security

Project) para evaluar la seguridad de las aplicaciones Web, así como la guía de pruebas
de seguridad de red (Guideline on Network Security Testing) del NIST (National Institute
of Standards and Technology), definida en el estándar NIST SP 800-42

Los test de penetración: Representan una valiosa herramienta metodológica, una

prueba de penetración consta de las siguientes etapas:

 Reconocimiento del sistema para averiguar qué tipo de información podría obtener
un atacante o usuario malicioso.
 Escaneo propiamente dicho, consistente en la detención y verificación de
vulnerabilidades en servidores estándar y en aplicaciones desarrolladas por la
propia organización.
 Penetración: intento de explotación de las vulnerabilidades detectadas.
 Generación de informes, con el análisis de los resultados y la presentación de las
conclusiones sobre la seguridad del sistema informático.

LosTestsdePenetraciónExternos: se realizan desde el exterior de la red de la

Los test de penetración externos: se realizan desde el interior de la red de la
organización, para tratar de forzar la entrada en algunos de sus servidores o comprometer
su seguridad, mediante pruebas como el escaneo de puertos y la detección de los
protocolos utilizados; el análisis del tráfico cursado, del rango de direcciones utilizado y de
los servicios ofrecidos a través de la red; pruebas de usuarios y de la política de
contraseñas; intentos de conexión vía Internet, líneas telefónicas, centrales telefónicas
o redes inalámbricas; intentos de ataque de Denegación de Servicio (DoS);
explotación de agujeros de seguridad conocidos; propagación del ataque a otros sistemas
adyacentes (si se consigue tomar el control de un determinado sistema informático);
etcétera.

LosTestsdePenetraciónInternos: se llevan a cabo desde el interior de la red

Los test de penetración internos: se llevan a cabo desde el interior de la red de la
organización, mediante pruebas como el análisis de los protocolos utilizados y de los
servicios ofrecidos; la autenticación de usuarios y la revisión de la política de contraseñas;
la verificación de la seguridad lógica (permisos, acceso a recursos compartidos,
restricciones en el uso de los servicios de red); la explotación de agujeros de seguridad
conocidos en los principales servicios y aplicaciones instalados, como los sistemas
operativos, bases de datos o servidores de correo interno; el análisis de la seguridad en
las estaciones de trabajo; la evaluación del comportamiento de los antivirus y otras
herramientas de seguridad; el nivel de detección de la intrusión en los sistemas.

Un Especialista en Seguridad Informática necesita conocer las metodologías de Hacking

para testear y mitigar vulnerabilidades en aplicaciones web por varias razones
fundamentales:

Open-source security testing methodology manual (OSSTMM)

Open-SourceSecurityTestingMethodologyManual(OSSTMM)
Metodología de fuente abierta para realizar pruebas de seguridad intensivas,
precisas y eficientes, publicada por el Institute for Security and Open
Methodologies (ISECOM). Se pueden considerar cuatro fases:

a. Inducción donde se establece el alcance, los requerimientos y restricciones de

a) Inducción donde se establece el alcance, los requerimientos y restricciones de la
auditoría.
b) Interacción aquí se trata de descubrir relaciones entre el alcance, los objetivos y
los activos involucrados.
c) Requerimientos donde se realizan verificaciones de procesos, de configuraciones,
capacitaciones, propiedad intelectual, información expuesta y otros.
d) Intervención esta se enfoca en la penetración de los objetivos y su afectación.

La metodología se puede dividir en aspectos mas importantes de la organización.

 Seguridad de la información
 Seguridad de los procesos
 Seguridad de las tecnologías del internet
 Seguridad en las comunicaciones
 Seguridad inalámbrica
 Seguridad física.

Se pueden distinguir fases como

a) Fase de inducción
b) Fase de interacción.
c) Fase de investigación
d) Fase de intervención

Security information Systems Assessment Framework (ISSAF)

Metodología del marco de evaluación de la seguridad de los sistemas de información,
esta misma cuenta con el apoyo del grupo de seguridad de los sistemas de información
abiertos (OISSG).

ISSAF divide el proceso de pentesting en tres fases

1. Planificación y preparación
2. Evaluación
3. Informar, limpiar y destruir artefactos

Debe utilizarse principalmente para cumplir con los requisitos de evaluación de

seguridad de una organización y, además, puede utilizarse como referencia para
satisfacer otras necesidades de seguridad de la información. Dentro de las
principales ventajas de esta metodología se tiene que no requiere un conocimiento previo
sobre pruebas de seguridad o metodologías de intrusión. Además, brinda suficiente
información para que un especialista con pocos conocimientos comprenda cómo
aplicar las pruebas de seguridad.

Comprender las técnicas utilizadas por los atacantes: Los hackers suelen usar una
variedad de técnicas para encontrar y explotar vulnerabilidades en las aplicaciones web.
Al conocer estas metodologías, un especialista en seguridad puede anticipar mejor como
podrían ser atacadas las aplicaciones y tomar medidas preventivas adecuadas en el
software.

Realizar pruebas efectivas: Las pruebas de seguridad en las aplicaciones web requieren
un enfoque meticuloso y sistemático. Las metodologías de hacking proporcionan un
marco estructurado para realizar pruebas exhaustivas que aborden una amplia gama de
posibles vulnerabilidades.

Identificar vulnerabilidades especificas: Las metodologías de hacking incluyen técnicas

especificas para identificar vulnerabilidades comunes en las aplicaciones web, como
inyección SQL, cross-site scripting (XSS), vulnerabilidades de autenticación y
autorización. Conocer estas metodologías permite al especialista en seguridad buscar de
manera mas efectiva este tipo de vulnerabilidades y tomar medidas para mitigarlas.

Priorizar las acciones de mitigación: no todas las vulnerabilidades son iguales

No todas las vulnerabilidades son iguales
en términos de su impacto en la seguridad de una aplicación web. Al utilizar metodologías
de Hacking, un especialista en seguridad puede evaluar el riesgo asociado con diferentes
vulnerabilidades y priorizar las acciones de mitigación en consecuencia.

Mejorar las medidas de seguridad: Al comprender como los hackers podrían intentar
explotar las vulnerabilidades en una aplicación web, un especialista en seguridad puede
sugerir mejoras especificas en el diseño, la implementación y la configuración de la
aplicación para hacerse mas resistencia a los ataques.

¿Cuál es la finalidad de ejecutar exámenes técnicos de identificación de

vulnerabilidades para la debida protección de datos personales?
El objetivo de ejecutar exámenes técnicos de identificación de vulnerabilidades para la
debida protección de datos personales es garantizar la seguridad y privacidad
de la información sensible de los individuos.

Se destacan los siguientes aspectos:

Cumplimiento normativo: Muchas regulaciones y leyes de protección de datos, como el
reglamento general de protección de datos (GDPR) En la unión europea o la ley de
privacidad del consumidor de california (CCPA) en estados unidos, requieren que las
organizaciones implementen medidas de seguridad adecuadas para proteger los datos
personales. la realización de exámenes técnicos de identificación de vulnerabilidades
ayuda a cumplir con estos requisitos al abordar posibles brechas de seguridad.

Prevención de violación de datos: identificar y corregir vulnerabilidades en sistemas y

aplicaciones ayuda a prevenir posibles violaciones de datos. Las violaciones de datos
pueden tener graves repercusiones para las organizaciones incluida la perdida de la
confianza del cliente, multas regulatorias y daños a la reputación.

Protección de la privacidad: los datos personales son información sensible puede incluir
detalles sobre la identidad, salud, finanzas y otros aspectos personales de los individuos.
La protección de estos datos es fundamental para garantizar la privacidad de las personas
y evitar su uso indebido por parte de personas no autorizadas.

Mitigación de riesgos de seguridad: Las vulnerabilidades en sistemas y aplicaciones

pueden ser explotadas por ciberdelincuentes para acceder, robar o manipular datos
personales. Al identificar y mitigar estas vulnerabilidades, se reduce el riesgo de que
ocurran incidentes de seguridad que comprometen la información personal.

Generalmente las aplicaciones web, así como también APls, no cuenta con la habilidad
esencial de detectar, prevenir y responder ataques; por lo tanto, una aplicación web tiene
que ir más allá que las típicas validaciones en los formularios de ingreso de datos, y tratar
de que sea capaz de detectar, documentar, responder e incluso detener ataques hacia si
misma ( the OWASP fundation, 2017).

El "OWASP Top 10" es una lista de las 10 vulnerabilidades de seguridad más críticas en
aplicaciones web, compilada por la Open Web Application Security Project (OWASP). Los
beneficios de esta lista son varios:

Priorización de riesgos: El OWAST top 10 proporciona una guía clara sobre las
vulnerabilidades de seguridad mas criticas que deben abordarse en las aplicaciones web.
Esto ayuda a los desarrolladores y profesionales de seguridad a priorizar sus esfuerzos y
recursos en áreas donde son más necesarios.
Priorizaciónderiesgos: El OWASP Top 10 proporciona una guía clara sobre las

Conciencia: Al resaltar las vulnerabilidades mas comunes y peligrosas el OWASP Top 10

aumenta la conciencia sobre los riesgos de seguridad en el desarrollo y mantenimiento de
aplicaciones web. Esto ayuda a fomentar una cultura de seguridad en la comunidad de
desarrollo de software
Conciencia: Al resaltar las vulnerabilidades más comunes y peligrosas, el
Educación: La lista proporciona información detallada sobre cada vulnerabilidad
incluyendo ejemplos de ataques, impactos potenciales y medidas de mitigación, esto sirve
como una valiosa herramienta educativa para desarrolladores, administradores de
sistemas y profesionales de seguridad que deseen comprender mejor las enseñanzas y
como abordarlas.
Educación: La lista proporciona información detallada sobre cada vulnerabilidad,

Mejoras en el diseño y desarrollo: Al conocer las vulnerabilidades mas comunes, los

desarrolladores pueden tomar medidas proactivas para evitar su introducción en el código
desde las etapas iniciales de diseño y desarrollo. Esto puede reducir significativamente el
riesgo de que las aplicaciones web sean vulnerables a ataques.
M

ejoras  en  el  diseño  y  desarrollo: Al conocer las vulnerabilidades más

Mejora de seguridad de las aplicaciones existentes: para las aplicaciones web ya en

producción, el OWASP top 10 proporciona una guía sobre las áreas donde pueden ser
mas vulnerables. Esto permite a los equipos de seguridad y desarrollo identificar y corregir
las vulnerabilidades existentes, mejorando así la seguridad general de la aplicación web.

Mejoradelaseguridaddelasaplicacionesexistentes:Para las aplicacione

Cumplimiento normativo: Muchos estándares de seguridad y regulaciones como PCI
DSS y GDRP hacen referencia a OWASP Top 10 como una guía para la protección de
aplicaciones web. Cumplir con estas normativas puede requerir la identificación y
mitigación de las vulnerabilidades incluidas en la lista.

Cumplimiento  normativo: Muchos estándares de seguridad y regulaciones,

Protección de datos sensibles; La formulación web a menudo recopilan información

sensible de los usuarios, como nombres, direcciones, números de teléfono, direcciones de
correo electrónico y, en algunos casos, información financiera. Aplicar medidas de
seguridad ayuda a proteger esta información contra accesos no autorizados o filtraciones.
Protección  de  datos  sensibles: Los formularios web a menudo recopilan

Prevenciónde ataquesdeinyección: Los formularios web son vulnerables a

Prevención de ataques de inyección: Los formularios web son vulnerables a ataques
de inyección, como SQL injection o XSS (Cross-Site Scripting), donde los atacantes
pueden insertar código malicioso en los campos del formulario. Al aplicar
medidas de seguridad adecuadas, como la validación de entrada y la sanitización de
datos, se puede prevenir la ejecución de estos ataques.

Evitar  la  manipulación  de  datos: Los formularios web pueden ser objeto de

Evitar la manipulación de ataques: Los formularios web pueden ser objeto de
manipulación de datos por parte de usuarios malintencionados. Esto podría incluir la
alteración de datos en formularios de pedido en línea, por ejemplo. Al aplicar medidas de
seguridad, como la autenticación y la autorización adecuadas, se puede evitar la
manipulación no autorizada de datos.

Protección  contra  bots y  spam: Los formularios web son susceptibles a ser

Protección contra bost y spam: Los formularios web son susceptibles hacer utilizados
por bots para enviar spam o realizar actividades maliciosas, como ataques de
denegación de servicio. La implementación de medidas de seguridad, como CAPTCHA o
reCAPTCHA, puede ayudar a mitigar este tipo de actividad no deseada.

Cumplimientonormativo: En muchos casos, hay regulaciones y estándares de

Cumplimiento normativo: En muchos casos hay regulaciones y estándares de seguridad

que exigen las aplicaciones de medidas de seguridad en las aplicaciones web para
proteger la privacidad y seguridad de los datos de los usuarios. Esto incluye regulaciones
como GDPR en la Unión Europea o HIPAA en los Estados Unidos

b. Interacción aquí se trata de descubrir relaciones entre el alcance, los objetivos y

d. Intervención esta se enfoca en la penetración de los objetivos y su afectación

BIBLIOGRAFIA

 Arboledas, D. (2016). Criptografía sin secretos con Python. RA-MA Editorial.

 Najera-Gutierrez, G., & Ansari, J. A. (2018). Web penetration testing with Kali
Linux: Explore the methods and tools of ethical hacking with Kali Linux. Packt
Publishing Ltd. https://ebookcentral.proquest.com/lib/bibliouniminuto-
ebooks/reader.action?docID=5314613&query=pentesting
 Association for Computing Machinery Special Interest Group on Security, Audit,
and Control. (2017). CPSS '17: proceedings of the 3rd ACM Workshop on Cyber-
Physical System Security. April 2,, Abu Dhabi, UAE. https://dl-acm-
org.ezproxy.uniminuto.edu/action/showFmPdf?doi=10.1145%2F3055186