PENTESTING

Docente: Jose Esquicha

Integrantes:
 Casas Bravo Kevin
 Huahuachampi Ccallata Aldair
 Salazar Arizanca Kristofer

2018
 Contenido
1. RESUMEN ............................................................................................................... 3
2. INTRODUCCION ................................................................................................... 3
3. OBJETIVOS ............................................................................................................ 4
3.1. Objetivo general ............................................................................................... 4
3.2. Objetivos específicos ........................................................................................ 4
4. VULNERABILIDADES ENCONTRADAS ......................................................... 5
5. APLICACIÓN DE INGENIERA SOCIAL .......................................................... 7
5.1.1. Llamadas Telefónicas ............................................................................... 7
6. CONCLUSIONES ................................................................................................... 8
7. RECOMENDACIONES ......................................................................................... 8

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 2

1. RESUMEN

El presente informe tiene como finalidad realizar una auditoría de seguridad a la red
de datos de la empresa Data Business S.A.C de la ciudad de Trujillo, el cual tiene
por objetivo formular controles y procedimientos con el fin de establecer un sistema
de gestión adecuado, identificando vulnerabilidades y amenazas por medio de
pruebas de penetración y los procesos de auditoria de sistemas.

Para el desarrollo de la auditoria se aplicarán tres fases:

 En la primera fase de planeación, se seleccionarán los respectivos
instrumentos de auditoria para la recolección de información y las pruebas
de penetración a ejecutar en la red de datos de la empresa Data Business
S.A.C.
 En la segunda fase de ejecución, se aplicarán los instrumentos seleccionados
y las pruebas de penetración, con el fin de detectar vulnerabilidades
existentes en la red de datos de la empresa Data Business S.A.C. Con estos
hallazgos, se realizará el análisis de riesgos para determinar la probabilidad y
el impacto que tienen estos riesgos sobre la red de datos de la empresa.

 En la tercera fase se organizarán los resultados de la anterior fase y se

determinara los niveles de madurez, respecto a la normatividad seleccionada.

Por último, se entregará el informe final de auditoria a la empresa

Data Business S.A.C para que realice las respectivas acciones preventivas,
defectivas y correctivas.

2. INTRODUCCION

Hoy en día las tecnologías de la información y la comunicación (TIC) son base

fundamental en las organizaciones ya que permiten realizar negocios, incrementar
ingresos, mejorar procesos e implementar nuevas herramientas dentro de las
compañías.
Las tecnologías de la información (TI) son fundamentales en todas las
organizaciones ya que su activo más valioso es la información; es por ello que se le
debe de brindar la importancia necesaria y la seguridad correspondiente.
Con la evolución en los últimos años de las redes empresariales y el crecimiento en
cuanto a la complejidad de estas, se ha visto la necesidad de crear sistemas más
seguros ante la presencia de posibles ataques informáticos, por lo que si una
empresa no decide actualizar los mecanismos de seguridad informática las convierte
en vulnerables y en un blanco fácil de las personas malintencionadas.

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 3

 Surge la necesidad de realizar una auditoría a la seguridad de la red de datos en la
empresa Data Business S.A.C ya que la importancia de la información manejada
por esta organización debe garantizar un sistema seguro frente a los distintos tipos
de ataques informáticos que se presentan en la actualidad, asegurando la seguridad
física y lógica de la red informática.

3. OBJETIVOS
3.1. Objetivo general
Desarrollar una auditoría a la seguridad de la red de datos a la empresa
para que esta pueda diseñar un sistema de gestión de seguridad
informático que sea capaz de soportar ataques malintencionados de
terceros.

3.2. Objetivos específicos

 Identificar el estado actual de la seguridad de parte lógica de la red de

datos, en la empresa Data Business S.A.C para verificar la existencia
de las vulnerabilidades y amenazas existentes en los activos
informáticos y de información.

 Seleccionar los instrumentos de recolección de información y pruebas

aplicables a la red de datos de la empresa Data Business S.A.C.

 Aplicar los instrumentos seleccionados y ejecutar las pruebas

necesarias que permitan evidenciar las vulnerabilidades, riesgos y
amenazas existentes en cuanto a seguridad de la red de datos de la
empresa Data Business S.A.C.

 Elaborar un informe de los resultados obtenidos en la auditoria que

contenga los hallazgos y recomendaciones para que la empresa pueda
aplicar a sus sistemas y así poder evitar cualquier ataque
malintencionado.

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 4

4. VULNERABILIDADES ENCONTRADAS

 Ataque: Explotando Vulnerabilidad en Puerto 135 TCP/IP

o Clasificación: Alta
o Seguridad: Confidencialidad, Integridad, Disponibilidad
o Sistema afectado: Windows XP, con escala a los sistemas de la
empresa.
o Descripción: El motivo de esta vulnerabilidad es una saturación del
búfer. Un atacante que explotara con éxito esta vulnerabilidad podría
lograr el control completo de un equipo remoto. Esto le daría la
posibilidad de llevar a cabo cualquier acción que deseara en el equipo, lo
que incluye modificar archivos, dar formato al disco duro o agregar
nuevos usuarios al grupo de administradores local.
o Impacto: Si un atacante pudiera realizar este tipo de ataque, tendría
control total del equipo de la víctima, permitiendo vulnerar la seguridad
con respecto a la información en detalles de disponibilidad, integridad y
confidencialidad.

 Ataque pasivo: Escaneo y Numeración

o Clasificación: Baja
o Seguridad: Confidencialidad
o Sistema afectado: Red LAN
o Descripción: Este tipo de Ataque empieza al haber tenido éxito al
conectarse a la red LAN y poder realizar un escaneo de toda la red.
o Impacto: Si un atacante pudiera realizar un escaneo y numeración de la
red LAN, tendría conocimientos de la cantidad de PC activas dentro de la
red además de los recursos de todas las PC como, hostname, grupo de
trabajo, IP, MAC Address, Espacios en disco, carpetas compartidas,
puertos abiertos y vulnerables, servicios disponibles, etc.
o Remediación: Activar el firewall de Windows de todas las
computadoras.

 Ataque: Explotando Vulnerabilidad en Puerto 445 TCP/IP

o Clasificación: Alta
o Seguridad: Confidencialidad, Integridad, Disponibilidad
o Sistema afectado: Windows XP, con escala a los sistemas de la
empresa.
o Descripción: Vulnerabilidad del puerto 445, apto a ataque Overflow que
es un tipo de vulnerabilidad de ejecución remota de código que utiliza
los puertos TCP 139 y 445 para un desbordamiento de buffer dentro del
servicio server.

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 5

 o Impacto: Si un atacante pudiera explotar esta vulnerabilidad, tomaría
control total de la computadora de la víctima, permitiendo vulnerar la
seguridad con respecto a la información en detalles de disponibilidad,
integridad y confidencialidad.

Pilares de la Seguridad de la Información

Ataques
Confidencialidad Integridad Disponibilidad
Explotando Vulnerabilidad
en Puerto 135 X X X
Explotando Vulnerabilidad
en Puerto 445 X X X
Escaneo y Numeración X

Impacto de Ataques a la Seguridad

0
Confidencialidad Integridad Disponibilidad

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 6

5. APLICACIÓN DE INGENIERA SOCIAL

5.1.1.Llamadas Telefónicas

 Se llamo al número telefónico que aparece de la Empresa ubicada en

Trujillo, en la cual se contacto con una asistente que no era del Área de
Sistemas, pero pudimos hacernos pasar unos clientes falsos solicitando
información acerca de sus productos y que nos hicieran un presupuesto,
todo esto solo para molestar a la empresa.

Ilustración 1: Llamada telefónica a la empresa

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 7

6. CONCLUSIONES

La auditoría finalizo cumpliendo cada una de las fases propuestas, en la primera

fase, en la recolección de información de la empresa, se realizó satisfactoriamente
ya que gran parte de la información solicitada estaba en internet y se podía obtener
con las herramientas de pentesting y así se logró detectar las primeras falencias,
respectivas a la auditoria vulnerabilidad en la red en su parte lógica.

En la fase de ejecución del pentesting, se aplicaron pruebas de penetración o testeo a

la red de la empresa Data Business S.A. donde se identificaron vulnerabilidades a
los que está expuesta la red de datos de la empresa Data Business S.A, estas
pruebas se aplicaron en su servicio de host, su aplicación web. Una vez aplicados
los instrumentos, se procedió a realizar el análisis de riesgos, con los hallazgos
obtenidos para determinar el nivel de criticidad de los riesgos encontrados tanto en
las pruebas de penetración como en los instrumentos.
Con el presente pentesting se pudo encontrar fallas a la seguridad de la información
en los sistemas informáticos de la empresa Data Business S.A,, Trujillo, al
identificar 05 vulnerabilidades existentes de calificación ALTA por causas de
puertos abiertos (135, 443, 445) y la vulnerabilidad por ataques DoS. Trayendo
consecuencia de un control parcial de las PC vulneradas.

7. RECOMENDACIONES

Debido al impacto descubierto en la organización como prueba de penetración, los

recursos apropiados deben ser asignados para asegurar que los esfuerzos de
remediación se llevan a cabo de manera oportuna. Mientras que una lista completa
de los artículos que se deben implementar está más allá del alcance de este
compromiso, algunos elementos de alto nivel son importantes de mencionar.
 Aplicar y hacer cumplir la aplicación de control de cambios en todos los
sistemas.
Cuestiones de mala configuración y despliegue de inseguridad fueron
descubiertos a través de los distintos sistemas.
 Implementar evaluaciones regulares del conjunto de reglas de firewall:
Revise la regla de firewall establecer sobre una base regular para
asegurarse de que todos los sistemas abiertos para el tráfico interno
siguen teniendo una razón de negocios.

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 8

  Llevar a cabo evaluaciones periódicas de la vulnerabilidad:
Como parte de una estrategia de gestión de riesgos eficaz de la
organización, las evaluaciones de vulnerabilidad deben llevarse a cabo
sobre una base regular.
 Restringir el acceso a la red a las interfaces de administración de
servidores:
Segmentación adecuada de la red reducirá la exposición a ataques
internos contra el entorno del servidor. La operación de un bien - DMZ
diseñado permitirá a Data Business SAC llevar a cabo su Sistema de
Gestión Comercial de una manera que no exponga los sistemas internos a
los ataques.
 Restringir el acceso a los sistemas críticos

Casas Bravo, Kevin - Huahuachampi Ccallata, Aldair – Salazar Arizanca, Jean 9