Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

43Comportamiento espacial y temporal de la salinidad de suelos del Centro de Apoyo Manglaralto UPSE

Metodología breve para la

ejecución de pruebas de

intrusión. Caso de estudio

Martin Gonzalez Palomeque

Universidad de Cuenca

* martin.gonzalez@ucuenca.edu.ec

DOI: https://doi.org/ 10.26871/killkanatecnica.v6i1.949

Quick methodology for intrusion

testing. A case study

Resumen

En la presente investigación se desarrolla una metodología para la ejecución de

pruebas de intrusión que sea fácil y rápida de implementar para todo tipo de

empresas, especialmente para empresas pequeñas que no cuentan con personal de

TI o disponen de personal limitado en esta área. Para ello, la metodología desa-

rrollada se basa en la ejecución de herramientas automatizadas, a la vez que sumi-

nistra las técnicas y procesos necesarios para su correcta implementación. La

aplicación del caso de estudio permitió comprobar que la metodología desarrolla-

Artículo de Investigación. Revista Killkana Técnica. Vol. 6, No. 1, pp. 43-68, enero-abril, 2022.

ISSN 2528-8024. ISSN Elect. 2588-0888. Universidad Católica de Cuenca

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

da es efectiva, rápida y optimiza el uso de recursos. Los resultados demuestran la

falta de conciencia por parte de las empresas en temas de ciberseguridad y dejan

en evidencia el poco o nulo conocimiento de los profesionales de TI en esta área.

Palabras clave: ciberseguridad, seguridad de la información, pruebas de intrusión,

metodología.

Abstract:

This research develops a methodology for executing intrusion tests of easy and fast

implementation in all types of companies, especially in small companies that lack

or have limited personnel in the IT area. In order to achieve this, the methodology

uses of automated tools while providing the necessary techniques and processes

for its appropriate implementation. The application of the case study proved that

the methodology developed is eﬀective, fast and optimizes resources. The results

demonstrate the lack of awareness on the companies’ part regarding cybersecurity

issues and evidencing the lack of knowledge of IT professionals in this area.

Keywords: cybersecurity; information security; intrusion testing; methodology.

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

1. Introducción

La adopción de las tecnologías de la información

en los procesos críticos de las empresas trae consi-

go beneﬁcios que no se podrían obtener de otra

forma [1]. Debido a esto, el uso de las TIC’s se

ha masiﬁcado en los últimos años y no solo en el

campo empresarial e industrial, sino en el perso-

nal, educativo, de salud y demás ámbitos de la

sociedad. Sin embargo, esta hiperconectividad no

solo aporta beneﬁcios, también supone riesgos

latentes, que, de no gestionarse de manera adecua-

da, exponen a las empresas y sus activos digitales

a cualquier cantidad de amenazas [2].

Las amenazas tecnológicas han evolucionado de

tal manera, que resulta difícil etiquetarlas o clasi-

ﬁcarlas [3], el virus informático se ha convertido

en un abanico de herramientas soﬁsticadas que

actualmente invalida la utilidad de los sistemas

de detección y control tradicionales [2].

Así mismo, el incremento en el número de cibe-

rataques en los últimos años es alarmante [4]. El

mapa en vivo de ataques cibernéticos de Kaspers-

ky [5] nos demuestra que el ciber crimen no discri-

mina país, región, persona, empresa grande o

pequeña. El bajo costo y riesgo en la perpetración

de este tipo de ataques, considerando que solo se

precisa de un computador y una conexión a inter-

net, son un factor relevante para este aumento

acelerado. Un dato importante es que, las empre-

sas son el objetivo principal y a las que están diri-

gidos la gran mayoría de estos ataques [6].

El problema principal se debe a la falta de imple-

mentación u omisión de controles de seguridad [2]

muchas veces básicos dentro de las empresas, esto

a su vez, según [4], es consecuencia del descono

cimiento y falta de preparación de las empresas y

profesionales de TI, y del presupuesto que asignan

las empresas a asegurar sus activos digitales [7].

Continuando con [4], el problema va mucho más

allá. En América Latina y el Caribe son pocos los

países que han creado organismos dedicados a la

gestión de temas de ciberseguridad. De los 32 países

analizados, un tercio no cuenta con un marco legal

sobre delitos informáticos, 12 han aprobado una

estrategia nacional de ciberseguridad y tan solo 5

están adheridos a la convención de Budapest que

facilita la cooperación internacional en la lucha

contra el cibercrimen. Como si fuera poco, la brecha

de 600 mil profesionales en el área de ciberseguri-

dad, ha ocasionado que la lucha contra el cibercri-

men en la región tenga un avance muy conservador.

En este punto, se vuelve evidente la necesidad de

implementar políticas y controles a ﬁn de proteger

los activos digitales [8], dentro y fuera de las

empresas. Las nuevas modalidades de trabajo

remoto y teletrabajo, que vieron su popularidad

gracias a la emergencia sanitaria global del virus

COVID-19, representan nuevos retos para las

empresas y profesionales de TI, ya que los equipos

personales y las redes domésticas carecen de las

seguridades que posee una infraestructura empre-

sarial, por lo que es necesario personalizar las

políticas con el ﬁn de salvaguardar el bienestar de

los dispositivos personales y la información conte-

nida dentro de estos [9].

Como mencionamos anteriormente, las herra-

mientas de detección y prevención actuales no son

útiles frente a las nuevas amenazas cibernéticas,

y la materialización de éstas, representan pérdidas

de 50 mil millones por año, solo para América

Latina [10]. Tal es así, que se ha visto una crecien

te popularidad del CaaS (Crimen como servicio),

en el que un usuario novel y malicioso, puede

adquirir en foros abiertos (anteriormente solo

disponible en sitios clandestinos de la dark web),

cualquier tipo de herramientas de hacking, para

perpetrar ciberataques [11].

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Sin duda alguna resulta abrumador considerar el

escenario, es por esto que proteger los activos

tecnológicos requiere de soluciones con un enfo-

que holístico, a decir de [12], la ciberseguridad

involucra personas, procesos, tecnología e infor-

mación. De la misma forma, [13] establece que

la seguridad de la información se encarga de esta-

blecer las pautas, políticas o normas a seguir con

el ﬁn de proteger los activos digitales, y las cuales

se expanden a toda una organización (infraestruc-

tura física, personas, procesos, etc), y la diferencia

de la Seguridad Informática, la cual se limita a la

parte operacional de una infraestructura tecnoló-

gica, dejando de lado lo que [14] considera como

el eslabón más débil en la cadena de la ciberse-

guridad; el factor humano.

En este sentido, existen varios tipos de soluciones

que una empresa puede tomar como contramedida

a los ataques informáticos, como soluciones basa-

das en hardware, software, políticas, etc., sin embar-

go, resalta una que toma la óptica de un atacante y

expone las vulnerabilidades de una infraestructura

tecnológica con el ﬁn de subsanarlas antes de que

puedan ser aprovechadas por un atacante real, se

trata de la prueba de intrusión o pentest.

Una prueba de intrusión o pentest es un ataque

simulado y autorizado a una infraestructura en

búsqueda de vulnerabilidades, con el ﬁn de explo-

tarlas de la misma forma en que lo haría un atacan-

te real, y de esta manera proponer acciones correc-

tivas [15]. No obstante, la ejecución de pruebas

de intrusión no es una tarea sencilla. Esta actividad

requiere conocimiento profundo de los tipos de

ataques, las herramientas, métodos y técnicas [16],

por lo que está de más decir, que la mayoría de

empresas no cuentan con personal caliﬁcado, ni

con los recursos económicos para contratar este

tipo de servicios [17].

Para facilitar esta tarea, existen varias metodolo-

gías en el mercado, algunas de gran relevancia y

reconocimiento como The Penetration Testing

Execution Standard [18], el OSSTMM [19] y la

NIST SP 800-115 [20], entre otras. La mayoría

de las cuales siguen el mismo modus operandi;

acercarse al objetivo, interactuar con el objetivo

en busca de vulnerabilidades, explotar las vulne-

rabilidades encontradas y generar un reporte [21].

Por otro lado, [22] aﬁrma que el uso de metodo-

logías para la ejecución de pruebas de intrusión,

no aporta mejoría alguna, ni en la ejecución, ni al

resultado ﬁnal de la misma. [21] expone que toda

implementación es distinta, y que se debe consi-

derar el uso de las metodologías, en base a los

requerimientos de cada empresa. Finalmente, [22]

concluye en su estudio, que las empresas que pres-

tan servicios de seguridad, implementan parcial-

mente estas metodologías dependiendo el caso, o

simplemente deciden no hacerlo, esto debido a la

complejidad requerida para su implementación.

Dentro de este marco, se busca con el desarrollo

del presente trabajo, contrarrestar algunas de las

problemáticas expuestas en párrafos anteriores,

al elaborar una metodología para la ejecución de

pruebas de intrusión orientada a empresas peque-

ñas, tomando la clasiﬁcación de [23], y con un

enfoque práctico, que sea relativamente fácil de

ejecutar, que, utilizando un mínimo de recursos

nos permita conocer el estado actual de una empre-

sa en materia de seguridad, y que sea adaptable y

repetible. De la misma forma, se espera con el uso

de la herramienta, generar una cultura de seguri-

dad en las empresas.

Es importante mencionar que la metodología

propuesta no se limita a su uso en infraestructuras

pequeñas, no obstante, en una escala macro, exis-

ten varias otras consideraciones que requieren de

soluciones a la medida y que ofrecen altos niveles

de ﬁabilidad en sus resultados.

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

2. Metodología

Empezaremos analizando a breves rasgos algunas

metodologías existentes [18] [19] [24] considera-

das de gran relevancia dentro de la industria a ﬁn

de obtener una visión genérica de una prueba o

test de intrusión, a la vez que podemos encontrar

técnicas o ciertos planteamientos que puedan servir

de base para la metodología propuesta.

2.1 Análisis de metodologías existentes

2.1.1 PTES (Penetration Testing Excecution Stan

dard)

Metodología desarrollada en el año 2009 por un

grupo de profesionales de todas las áreas. Se enfo-

ca en identiﬁcar el “valor de negocio” de los ries-

gos asociados a los activos tecnológicos. Consi-

derada muy completa, ya que se estructura de 7

fases que cubren todos los aspectos relacionados

a la ejecución de pruebas de intrusión, incluyendo

los aspectos no técnicos [18]. La guía técnica de

implementación provee los procedimientos y la

estructura básica para implementar un test de

intrusión [25].

Fases:

Interacciones Previas: Actividades previas a

la ejecución del test necesarias para elaborar

una adecuada planiﬁcación en la que se deﬁ-

nen el alcance, tiempos, fechas, horarios,

costos, y demás reglas de ejecución, con el

ﬁn de ser lo más claro y transparente en cuan-

to a requerimientos y evitar futuras contro-

versias.

Recolección de información: Consiste en

recolectar la mayor cantidad de información

sobre el objetivo a través de técnicas OSINT,

con el ﬁn de aumentar los posibles vectores

de ataque para fases posteriores. El PTES

provee una extensa colección de fuentes y

métodos en su sitio web para facilitar esta

actividad.

3. Modelado de amenazas: Consiste en antici-

par cualquier tipo de amenaza considerando

el valor de los activos para los atacantes,

cuanto les costaría llegar a comprometerlos,

bajo qué circunstancias podrían hacerlo y el

impacto que tendría la perdida de esos activos.

4. Análisis de vulnerabilidades: Consiste en la

búsqueda de vulnerabilidades presentes en

el objetivo utilizando varias técnicas auto-

máticas y manuales. A través de correlación

especíﬁca y categórica, se procede a realizar

una validación de las vulnerabilidades encon-

tradas. Finalmente se realiza una investigación

a fondo de las vulnerabilidades encontradas,

su forma y posibilidad de explotación, daño

potencial, etc.

Explotación: Se enfoca en establecer un acce-

so no autorizado a un sistema o recurso de

una infraestructura a través del uso de exploits

y pasando por alto la seguridad implemen-

tada.

6. Post explotación: Consiste en la valoración

del equipo comprometido, la relevancia de

la información contenida dentro de este y la

utilidad del mismo para comprometer otros

activos de la red. En esta fase, las Reglas de

Compromiso están diseñadas para proteger

los intereses tanto de cliente como de auditor,

al asegurarse que los activos no están sujetos

a riesgos innecesarios.

Reporte: El PTES considera 2 reportes ﬁna-

les, el Resumen ejecutivo, que está enfocado

en proveer un valor de negocio a la ejecución

y a los resultados del test, por lo que está

dirigido a quienes están a cargo de la direc-

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

ción y estrategia de la empresa. El reporte

técnico contiene los detalles técnicos del test

en cada una de sus fases, las recomendacio-

nes para subsanar los errores técnicos, cali-

ﬁca la exposición y riesgo de la organización

y provee una conclusión.

2.1.2 CEH (Certiﬁed Ethical Hacker)

Es un programa de certiﬁcación que valida los

conocimientos de los profesionales en temas de

seguridad y ethical hacking. Se diferencia de otras

metodologías al tomar un enfoque externo, ya que

provee las técnicas y herramientas utilizadas por

hackers maliciosos para la ejecución de pruebas

de penetración [24], sin embargo busca distan-

ciarse de la imagen de estos últimos, al proveer

un código de ética a sus profesionales, que de no

ser sostenido, signiﬁca el retiro y la invalidación

de su certiﬁcación [26]. Esta metodología está

orientada a la práctica y consta de 5 fases.

Fases:

1. Reconocimiento (footprinting): Consiste en

recolectar la mayor cantidad de información

del objetivo haciendo uso de técnicas de reco-

nocimiento activo y pasivo, siguiendo el

método provisto por el CEH. Es el punto de

partida que permite planiﬁcar las fases poste-

riores.

2. Escaneo de redes: Utiliza técnicas de escaneo

de red, puertos y vulnerabilidades, a ﬁn de

obtener una visión general de la infraestruc-

tura del objetivo.

3. Enumeración: A través de consultas directas

se busca obtener más información acerca de

los servicios que se están ejecutando, el esta-

do de los puertos, etc., a ﬁn de encontrar

posibles métodos de entrada a la infraestruc-

tura del objetivo.

4. Análisis de vulnerabilidades: Consiste en la

búsqueda de debilidades en un activo de red,

ya sea errores de conﬁguración, vulnerabi-

lidades conocidas, ausencia de parches, etc.,

para luego proceder a clasiﬁcar estas vulne-

rabilidades según su severidad. Por último,

a través de un informe recomendar las accio-

nes a seguir para remedias las vulnerabili-

dades encontradas.

5. System Hacking (Hackeo del sistema): Con

toda la información recolectada en las fases

previas, el auditor intenta vulnerar el sistema

comprometiendo su seguridad. La metodo-

logía en esta fase sigue de esta forma; obte-

ner acceso, escalar privilegios, mantener

acceso y eliminar rastros.

2.1.3 OSSTMM (The Open Source Security Testing

Methodology Manual)

Creada por el ISECOM con la colaboración de

más de 150 profesionales de todas las áreas, está

orientada a la medición de la seguridad en un nivel

operacional [19]. Para esto se enfoca en el análisis

de las superﬁcies de ataque de una organización,

en los controles de seguridad implementados, en

la eﬁcacia de los mismos, y realiza un análisis de

brecha entre la situación actual y la deseada. Esta-

blece varios tipos de test genéricos para poner a

prueba los llamados canales operacionales, obte-

ner las métricas derivadas y ﬁnalmente elaborar

un informe. Es considerada todavía una metodo-

logía de mucha relevancia ya que considera la

totalidad de los canales de operación empresarial

(físico, humano, telecomunicaciones y redes de

datos) [27]. Consta de 4 fases.

Fases:

1. Inducción: Se basa en el análisis de la orga-

nización y su entorno. Consiste en la revisión

de la cultura, normativa, políticas, etc., para

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

obtener una idea del alcance, el tipo de test

requerido y sus restricciones.

2. Interacción: Consiste en interactuar con el

objetivo y sus activos digitales a través de

actividades de veriﬁcación y auditoria, con

el ﬁn de obtener respuestas y analizarlas.

3. Investigación: Consiste en identiﬁcar las

respuestas o emanaciones que produce el

objetivo en la fase de interacción, esto nos

revela los procesos y activos de valor, y sus

seguridades.

4. Intervención: Consiste en intervenir en los

recursos que consume el objetivo con el ﬁn

de provocar cambios en su comportamiento.

2.2 Estudio comparativo entre metodologías

existentes

Para este pase, se ha hecho uso del Método de

Estudio de Similitud entre Modelos y Estándares

MSSS [28] el cual parte considerando 3 aspectos:

• Alcance o enfoque de la aplicación del mode-

lo o estándar.

• Filosofía o principios básicos y parámetros

del modelo o estándar.

• Estructura de los pasos o fases que componen

el modelo o estándar.

Aplicándolo a nuestro estudio, obtenemos una

vista general de las metodologías analizadas, como

se ve en la tabla 1.

Tabla 1. Datos comparativos de las Metodologías seleccionadas.

Metodología Alcance Filosofía Estructura

PTES Para proveedores de

servicio y empresas que

requieren contratar este

tipo de servicios. Cubre

aspectos técnicos y no

técnicos relacionados a la

ejecución de pruebas de

penetración.

Se centra en proporcionar un

valor de negocio a los

riesgos y vulnerabilidades

asociados a los activos

digitales de una organiza-

ción.

1. Interacciones previas al

compromiso

2. Recolección de información

3. Modelado de amenazas

4. Análisis de vulnerabilidades

5. Explotación

6. Post explotación

7. Reportes

CEH Enfoque práctico y

orientado al profesional.

Se orienta en proveer el

conocimiento, las herramien-

tas, la práctica y la experien-

cia para la ejecución de

pruebas de penetración, con

una óptica externa o de un

atacante.

1. Footprinting

2. Escaneo

3. Enumeración

4. Análisis de vulnerabilidades

5. System Hacking

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Seguidamente, consideramos relevante comparar

las metodologías, en base a algunas características

relevantes en orden con nuestra orientación, para

lo que elaboramos una lista de veriﬁcación, la cual

se demuestra en la tabla 2.

Tabla 2. Lista de veriﬁcación de características relevantes

Tabla 3. Objetivos de las metodologías en relación con el enfoque práctico.

Metodología PTES CEH OSSTMM

Provee una guía técnica de aplicación X

Provee las herramientas para su aplicación X X

Enfoque especíﬁco en la práctica X

Contempla los pasos del proceso genérico de pentest X X

Cubre aspectos no técnicos relacionados al test X X

Por último, considerando el enfoque requerido

para nuestra metodología, analizamos los objetivos

y carencias de cada metodología estudiada, en

relación a la orientación práctica. Los resultados

se observan en la tabla 3.

Metodología Enfoque Objetivos Relación con la ejecución practica

PTES Metodología de

pruebas de

penetración

Cubrir todos los aspectos

relacionados a la ejecución de

pruebas de penetración

(técnicos y no técnicos),

analizar los riesgos y traducir-

los a un lenguaje de negocio

Contiene una guía técnica y las herra-

mientas para su ejecución. Su implemen-

tación va más allá de la práctica por lo

que le incrementa complejidad. Contem-

pla todas las fases del proceso genérico

de ethical hacking.

No provee lineamientos técnicos de como

ejecutar pruebas de penetración

OSSTMM

Se enfoca en analizar las

superﬁcies de ataque de una

organización, los controles

implementados, la eﬁcacia

de los controles, y realiza

un análisis de brecha entre

la situación actual y la

deseada.

Está orientada a la medición

de la seguridad en un nivel

operacional, y está diseñada

para ser repetible y adaptable

a cualquier tipo de auditoría.

1. Inducción

2. Interacción

3. Investigación

4. Intervención

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

CEH Metodología de

ethical hacking

La formación y acreditación de

profesionales y especialistas en

seguridad informática y ethical

hacking, en la aplicación de las

mismas técnicas y herramien-

tas de un atacante

Es una metodología 100% practica,

provee las herramientas y métodos para la

implementación de pruebas de penetra-

ción y contempla todas las fases del

proceso genérico de ethical hacking.

No contempla aspectos no técnicos

relacionados con pruebas de penetración

OSSTMM Metodología de

auditorías de

seguridad

Proveer una metodología

cientíﬁca que permita veriﬁcar

y medir los controles de

seguridad de una organización,

y presentar métricas en base a

hechos derivados de la

ejecución de las pruebas

Provee varios tipos de test para la

ejecución de las pruebas o auditorias de

seguridad, también provee técnicas para

la ejecución de los test en cada uno de los

canales.

No provee las herramientas para la

ejecución de las pruebas y no contempla

las fases del proceso genérico de ethical

hacking

La implementación del método MSSS nos permi-

tió observar que la metodología CEH es la que más

se alinea a lo requerido por nuestra metodología

por lo que la consideraremos como base principal

para el desarrollo de nuestra herramienta.

2.3 Desarrollo de la metodología propuesta

Gracias a la revisión y análisis comparativo de las

diferentes metodologías estudiadas, tenemos una

visión genérica del proceso de ejecución de prue-

bas de intrusión, por lo que estamos en la condi-

ción de sintetizar lo aprendido y adaptarlo en base

a los requerimientos de nuestra metodología.

De esta manera, hemos estructurado nuestro mode-

lo con la siguiente disposición:

Fase 1: Deﬁnición del alcance

Fase 2: Escaneo

Fase 3: Análisis de vulnerabilidades

Fase 4: Explotación

Fase 5: Reporte

De manera general, la tabla 4 presenta las carac-

terísticas más relevantes de la metodología propues-

ta, a la vez que justiﬁca las decisiones de diseño

con el ﬁn de proveerle sentido.

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Tabla 4. Características generales de la metodología propuesta.

Fases Objetivo Actividades Metodología Base Justiﬁcación

1. Deﬁnición

del alcance

Recolectar la

información

necesaria para

planiﬁcar las fases

posteriores y

organizar los

recursos disponi-

bles, con el ﬁn de

garantizar ﬂuidez

en la ejecución del

test y prevenir

inconvenientes

A través de

reuniones con el

beneﬁciario o su

representante se

debe deﬁnir:

Rangos de IP,

dominios,

puertos, Fechas

de inicio, ﬁn,

horarios de

ejecución y

honorarios de

ser el caso.

Se basa en la fase

de “Interacciones

previas al compro-

miso” del PTES

Aunque el método propuesto

está orientado a la ejecución

práctica, se ha integrado esta

fase por considerarse de gran

valor, al proporcionar cierto

grado de seguridad tanto para

el beneﬁciario como para el

equipo auditor, estableciendo

reglas claras y límites para la

ejecución de las fases

posteriores. Esta fase, aunque

corta, previene posibles

futuras controversias como

desbordamiento del alcance,

insatisfacción del cliente o

beneﬁciario, etc.

2. Escaneo La búsqueda de

vulnerabilidades y

vías de acceso a la

infraestructura

tecnológica del

objetivo a través de

la interacción con

herramientas

automatizadas

Escaneo de red

Escaneo de

puertos

Escaneo de

vulnerabilidades

Elaborar un

diagrama de red

Se basa en las fases

de “Escaneo de

redes” y “Enumera-

ción” de la metodo-

logía CEH

Ya que el método propuesto

se basa en un test de caja

blanca (o un test doble caja

gris según el OSSTMM), el

equipo auditor cuenta con

toda la información sobre la

infraestructura de la organi-

zación, siendo necesario

únicamente realizar un

escaneo automatizado de la

misma. Se ha combinado la

fase de Enumeración junto

con la fase de escaneo de

redes del CEH, ya que la

orientación, el alcance de

cierta forma genérico del test,

y las herramientas utilizadas,

permiten realizar la enumera-

ción de manera simultánea al

escaneo.

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

3. Análisis de

Vulnerabilida-

des

Aumentar la proba-

bilidad de una

explotación exitosa

al analizar las

vulnerabilidades

encontradas,

priorizarlas por

nivel de severidad

y posibilidad de

explotación.

Buscar y analizar

los métodos de

explotación.

Correlación

especíﬁca y

correlación

categórica de

vulnerabilidades

Se basa en la fase

de “Análisis de

vulnerabilidades”

de la metodología

PTES

Las herramientas utilizadas

para el escaneo de vulnerabi-

lidades, devuelven en la

mayoría de los casos,

vulnerabilidades conocidas,

por lo que, el proceso de

validación (de la fase

Análisis de Vulnerabilidades

del PTES), a través de

correlación especiﬁca (y

categórica en ciertos casos),

resulta más que suﬁciente

para encontrar métodos de

explotación.

4. Explotación Obtener evidencia

de una explotación

exitosa de un host,

dentro de la

infraestructura del

objetivo.

Búsqueda,

selección y

ejecución de

payloads y

exploits en un

host vulnerable

Se basa en la fase

de “System

hacking” de la

metodología CEH

La consecución de una

explotación exitosa a un host

dentro de la infraestructura

del objetivo, resulta de suma

importancia, ya que provee

evidencia “tangible” de que

una organización es vulnera-

ble, y ayuda al beneﬁciario a

interiorizar el peligro y los

riesgos de un ataque real

5. Reporte Presentar los

resultados del test

de una manera

entendible y

cuantiﬁcable

Generar reportes

de herramientas

utilizadas,

Elaborar reporte

ﬁnal

Se basa en la fase

“Reporte” de la

metodología PTES

Es necesario un entregable

con información relevante y

entendible, que provea una

visión holística de la situa-

ción en temas de seguridad

de la información, y que sirva

de soporte para la elabora-

ción de hojas de ruta y planes

de acción para subsanar las

vulnerabilidades encontradas.

Podría considerarse la fase

más importante del método,

ya que, sin este documento, el

beneﬁciario no tendría

conocimiento del estado de

su infraestructura, por lo que,

la ejecución del test habría

sido en vano.

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

A continuación, desarrollaremos el planteamien-

to de cada fase y facilitaremos el conocimiento

para su correcta aplicación.

2.3.1 Fase 1: Deﬁnición del alcance

A pesar de tener enfoque práctico, se ha conside-

rado importante incluir una fase previa a la ejecu-

ción en la que se establezcan acuerdos y compro-

misos necesarios para garantizar una adecuada

logística que resulte beneﬁciosa tanto para el clien-

te como para el auditor. En esta fase se realiza la

planiﬁcación del test y se deﬁnen aspectos como:

• Rangos de IP

• Dominios

• Puertos

• Horarios para la ejecución del test

• Fechas de inicio y ﬁn

• Entregables

• Honorarios

• Restricciones y exclusiones

• Acuerdos de conﬁdencialidad, entre otros.

Luego de deﬁnir estos y otros aspectos no contem-

plados anteriormente, se generan los documentos

que autorizan legalmente al auditor a iniciar la

ejecución del test.

En esta fase pueden ser útiles los siguientes docu-

mentos:

• Contratos de trabajo

• Formularios de autorización

• Acuerdos de conﬁdencialidad, etc.

2.3.2 Fase 2: Escaneo

Se ha omitido la fase de reconocimiento ya que la

misma se encuentra implícita en la fase anterior,

por lo que podríamos decir, que nuestra metodo-

logía está basada en un test de caja blanca.

Esta fase es la combinación de las fases de escaneo

y enumeración del CEH, ya que la naturaleza del

método se basa en la ejecución de herramientas

automatizadas, las que en la práctica, permiten

realizar estas acciones al mismo tiempo. La fase

consta de 2 actividades:

Escaneo de red y puertos: Con el uso de herra-

mientas automatizadas, se procede a escanear la

red con el objetivo de encontrar los hosts que se

encuentran activos, los puertos que se encuentran

abiertos y los servicios que ejecutan. También es

importante elaborar un diagrama de red con el ﬁn

de obtener una visión general de la infraestructu-

ra del objetivo, a la vez que podemos anotar hallaz-

gos importantes y consultarlos de forma visual.

Escaneo de vulnerabilidades: Consiste en obtener

un listado de las vulnerabilidades presentes en la

infraestructura del objetivo a través de escáneres

automatizados, para proceder a analizarlas en la

fase posterior.

Se recomienda a partir de esta fase, documentar

todo lo relacionado a la ejecución del test con el

ﬁn de respaldar el trabajo realizado, los hallazgos

encontrados y facilitar la elaboración del reporte

ﬁnal. Herramientas útiles para esta fase son, nmap,

nessus, draw.io para la elaboración de diagramas

y keepnote o cherry tree para realizar anotaciones.

2.3.3 Fase 3: Análisis de vulnerabilidades

Consiste en el análisis de las vulnerabilidades

encontradas a través del método de correlación

especíﬁca, del proceso de validación de la fase de

análisis de vulnerabilidades del PTES. El cual

consiste en cotejar las vulnerabilidades encontra-

das, en bases de datos de vulnerabilidades utili-

zando su id de CVE (Common Vulnerabilities and

Exposures).

Para ello es necesario, antes que nada, clasiﬁcar

u ordenar las vulnerabilidades encontradas, de

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

acuerdo a su daño potencial o criticidad. Aquellas

de criticidad alta tendrán más probabilidades de

una explotación exitosa, por lo que se recomienda

empezar por ellas.

Seguidamente, se procede a la búsqueda de un

exploit adecuado haciendo uso de bases de datos

de vulnerabilidades como cve.mitre, exploit-db,

rapid7 o vuldb. Estas bases de datos generalmen-

te contienen los métodos de explotación, exploit,

payloads, el código fuente y las indicaciones nece-

sarias para la explotación.

La correlación especiﬁca no siempre es exitosa,

por lo que también será necesario realizar una

búsqueda manual en base a los puertos, servicios

y versiones encontrados en la fase anterior. En

este paso son útiles herramientas como searchsploit

o metasploit framework. Es sumamente impor-

tante recalcar que los exploits encontrados están

desarrollados para el sistema, servicio y versión

que se ejecuta en el host objetivo, ya que, de no

hacerlo, podríamos perjudicar de forma perma-

nente el sistema.

Debe señalarse, que lo que busca la metodología

es poner a prueba la seguridad de una infraestruc-

tura, y bajo ningún motivo perjudicar los sistemas

y activos digitales dentro de ésta, por lo que la

búsqueda de exploits y payloads estará orientada

a la obtención de un shell remoto únicamente, y

no a alterar la operación normal de los equipos,

como por ejemplo, el uso de ataques DOS.

Una vez encontrado el exploit adecuado, proce-

demos a la fase de explotación.

2.3.4 Fase 4: Explotación

Esta fase consiste en poner a prueba el exploit

encontrado. Nuevamente se recomienda hacerlo

desde un inicio con las vulnerabilidades de criti-

cidad alta y en los hosts que tienen mayor rele-

vancia para el beneﬁciario del test, a ﬁn de proveer

evidencia de los riesgos existentes y concientizar

al cliente sobre el impacto de negocio que ocasio-

naría un host comprometido.

Para la ejecución de esta fase, es posible utilizar

los exploits descargados de las bases de datos de

vulnerabilidades utilizando las guías disponibles

o los menús de ayuda que generalmente vienen

contenidos dentro del mismo exploit. Otra herra-

mienta muy útil para la explotación es Metasploit

Framework, la cual contiene gran cantidad de

auxiliares, exploits, payloads y otras utilidades

que facilitan en gran manera la tarea de explotación.

[29] recomiendan de manera insistente, realizar

pruebas de los exploits descargados de internet en

ambientes controlados antes de utilizarlos en un

ambiente real, esto con el ﬁn de evitar daños a los

sistemas y a la operación normal de la empresa.

Los exploits podrían hacer más de lo que dicen

hacer y podríamos estar perjudicando en lugar de

proporcionando un servicio a la empresa.

Al obtener un Shell remoto en un host objetivo

ﬁnaliza la fase de explotación, ya que es evidencia

suﬁciente de haber vulnerado la infraestructura

del cliente. Puesto que en la práctica no resulta

tan sencillo, en el caso de haber fallado el exploit,

es necesario repetir el proceso con la siguiente

vulnerabilidad de criticidad alta encontrada en la

fase anterior.

Si el exploit ha tenido éxito, no se recomienda dar

seguimiento al resto de vulnerabilidades encon-

tradas, sobre todo por cuestiones de tiempo y

seguridad. En este punto se ha cumplido el obje-

tivo del test al exponer los riesgos presentes en la

infraestructura objetivo.

Como en las fases anteriores, se recomienda docu-

mentar todo el proceso, tomar capturas y guardar

la ejecución de comandos en archivos de texto, ya

que servirán de anexos para el reporte ﬁnal, además

de que sirven de evidencia del trabajo realizado.

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

2.3.5 Fase 5: Reporte

Consiste en la elaboración de un reporte ﬁnal en

base a lo realizado y los resultados obtenidos en

cada una de las fases del test. El auditor debe ser

capaz de sintetizar la información relevante y gene-

rar un resumen ejecutivo de fácil comprensión, consi-

derar que no todas las personas a quienes va dirigi-

do el reporte ﬁnal poseen entendimiento en temas

de tecnología ni manejan terminología técnica.

Seguido, se recomienda incorporar todo lo reali-

zado a modo de narrativa, a ﬁn de proveer una

línea de tiempo que ayude a comprender de prin-

cipio a ﬁn el proceso ejecutado. Por último, se

requiere el criterio del auditor sobre el estado

general de la infraestructura y una breve recomen-

dación. Los archivos de texto con la ejecución de

los comandos, las capturas de pantalla y los repor-

tes generados de la ejecución de las herramientas,

serán parte del apéndice y servirán de soporte para

el tratamiento de las vulnerabilidades encontradas

a través de hojas de ruta y planes de acción y

prevención de riesgos.

A manera de plantilla, se recomienda incluir por

lo menos los siguientes puntos:

• Resumen ejecutivo

• Metodología Utilizada (por ejemplo, caja

gris orientada al network assesment)

• Narrativa o cronología del test

• Conclusiones y recomendaciones

• Apéndice

2.3.6 Flujograma

Para ilustrar lo desarrollado en párrafos anteriores,

se ha elaborado un ﬂujograma (ﬁgura 1) de la

metodología propuesta, con el objeto de ofrecer

una herramienta visual y de fácil comprensión, al

mismo tiempo que servirá de soporte para una

correcta ejecución.

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Figura 1. Diagrama de ﬂujo metodología propuesta

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

2.4 Aplicación del caso de estudio

Luego de haber desarrollado la metodología, lo

siguiente es evaluar la utilidad de la misma a través

de un caso de estudio. En las siguientes líneas vamos

a ir desglosando la metodología y aplicando los

conocimientos aprendidos en cada una de sus fases.

La infraestructura seleccionada para el caso de

estudio corresponde a una pequeña empresa ecua-

toriana en la ciudad de Azogues que cuenta con

17 empleados, cada uno con un equipo de cómpu-

to con conexión a internet. Luego de que se ha

recibido la autorización para la aplicación de la

metodología por parte del dueño de la empresa,

procedemos con la primera fase.

Antes que nada, es importante mencionar que la

información de carácter sensible y conﬁdencial,

obtenida por el resultado de la ejecución de coman-

dos y herramientas ha sido enmascarada con el

ﬁn de preservar la anonimidad de la empresa,

evitar poner en riesgo sus activos digitales y dar

cumplimiento al acuerdo de conﬁdencialidad.

2.4.1 Deﬁnición del alcance

En esta fase, hemos mantenido una reunión con

la Gerencia de la empresa y con el área de TIC’s

con el objeto de deﬁnir lo establecido en el apar-

tado anterior. Para ello y como resultado de la

reunión, se han elaborado 2 documentos:

• Formulario de autorización de prueba de

intrusión: en el que se deﬁnen los aspectos

técnicos (rangos de ip, puertos, dominios,

horarios de ejecución, etc) y se recibe la auto-

rización expresa para ejecutar esta labor.

• Acuerdo de conﬁdencialidad: Establece las

condiciones para el uso de la información

proporcionada por la información y resulta-

do de la ejecución del test.

Existen en internet disponibles varias plantillas

de los documentos enumerados anteriormente los

cuales podemos modiﬁcar en beneﬁcio del clien-

te y el auditor, y según los requerimientos del test.

En la gran mayoría de los casos, será necesario

notarizar estos documentos a ﬁn de contar con un

respaldo legal en al caso de presentarse contro-

versias futuras.

2.4.2 Escaneo

Empezamos conectando el equipo auditor (hack

box) a la red de la empresa y veriﬁcando el segmen-

to de red en el que nos encontramos (ﬁgura 2).

Figura 2. Veriﬁcación segmento de red

Figura 3. Escaneo de red con nmap

Pasamos al escaneo de red, en la misma terminal

utilizando la herramienta nmap con el siguiente

comando (ﬁgura 3):

nmap -Pn 10.0.10.0/24 -o /home/comando1.txt

• -Pn: evita el bloqueo de host Discovery

• -o: almacena el resultado de la ejecución del

comando en un archivo de texto

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Figura 4. Escaneo de puertos con nmap

Figura 5. Enumeración de puertos con nmap

Figura 6. Diagrama de red

De esta forma obtenemos los hosts que se encuen-

tran activos. También se obtiene información

adicional como puertos, información de tarjetas

de red, y algunos servicios que están en ejecución,

sin embargo, en este caso solo nos interesan los

hosts activos, con los que podemos ir elaborando

un diagrama de red y con los que realizaremos el

escaneo de puertos más profundo, para ello utili-

zamos el siguiente comando:

nmap -T4 -p- 10.0.10.1

• -T4: utiliza una plantilla predeterminada (0:

sigiloso y lento, 5: ruidoso y rápido)

• -p-: selecciona todos los puertos (65535)

para el análisis

La salida del comando la podemos ver en la ﬁgu-

ra 4.

El comando devolvió información adicional en

comparación con el anterior, ahora procedemos a

enumerar cada puerto disponible. Ya que el ejem-

plo anterior corresponde al escaneo de puertos en

un router, procederemos de ahora en adelante, por

ﬁnes académicos, a demostrar la ejecución de

comandos en un host de la red. El comando para

enumerar los puertos es el siguiente:

nmap -A -T4 -p80,135,139,443,445,3306,3389,5

357,5800,5900,7070,49152,49154,49180,49206

,49207,49318 10.0.10.16

• -A: combina detección de sistema operativo,

versiones, ejecución de scripts y otros más.

• -p: especiﬁca el puerto, puertos o rango de

puertos dentro del análisis

La salida del comando la podemos ver en la ﬁgu-

ra 5.

La ejecución del comando nos devuelve informa-

ción valiosa como el sistema operativo, su versión,

el nombre de host y grupo de trabajo, también nos

presenta información importante en cuanto a puer-

tos y servicios en ejecución y sus versiones respec-

tivas. Esta información será de gran utilidad para

la fase de análisis de vulnerabilidades.

En este punto podemos ir actualizando nuestro

diagrama de red, por considerarse una herramien-

ta de consulta rápida y útil como nos demuestra

la ﬁgura 6. Para ello se ha utilizado la herramien-

ta draw.io y se recomienda incluir sistemas

(Windows 7 para todos los hosts en este caso),

números de puertos y servicios activos.

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Posteriormente, pasamos al escaneo de vulnera-

bilidades. Ya que hemos encontrado únicamente

10 hosts disponibles en la red, utilizaremos la

herramienta Nessus que en su versión gratuita nos

permite escanear hasta 16 hosts al mismo tiempo.

Para redes que contengan más de 16 hosts dispo-

nibles se recomienda considerar el uso de la herra-

mienta OPENVAS que es igual de potente que

Nessus, pero de libre uso.

Iniciamos la herramienta y seleccionamos la opción

Basic Network Scan, dentro de la sección New

Scan. Le damos un nombre y una descripción a

nuestro escáner e ingresamos las direcciones IP

de los hosts activos descubiertos en los pasos ante-

riores, como se ve en la ﬁgura 7.

Figura 7. Conﬁguración básica Nessus 1

Figura 9. Resultado Nessus - Escaneo

Figura 10. Resultados Nessus – ordenados por severidadFigura 8. Conﬁguración básica Nessus 2

De las conﬁguraciones por defecto, partimos a

modiﬁcar únicamente la opción Scan Type a todos

los puertos como se ve en la ﬁgura 8.

Acto seguido, guardamos el test y procedemos a

ejecutarlo desde la sección My Scans. Una vez

concluido el escaneo, ingresamos a los resultados

para continuar con la siguiente fase.

2.4.3 Análisis de vulnerabilidades

Como nos muestra la ﬁgura 9, la interfaz de la

herramienta Nessus nos permite veriﬁcar el núme-

ro total de vulnerabilidades encontradas, a la vez

que las clasiﬁca por host y sub clasiﬁca de forma

visual, por severidad.

Si seleccionamos un host, Nessus nos muestra las

vulnerabilidades presentes dentro de ese host clasi

ﬁcándolas por grupo de amenaza. Para continuar

con el ﬂujo propuesto, deshabilitamos la clasiﬁ-

cación de amenazas y ordenamos los resultados

por severidad, empezando por las de carácter críti-

co y accedemos a la primera vulnerabilidad lista-

da, tal como se muestra en la ﬁgura 10.

La herramienta despliega múltiples vulnerabili-

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Figura 11. Información Nessus - vulnerabilidad Apache

Figura 12. Resultados CVE – productos afectado

Figura 13. Información Nessus - vulnerabilidad MS17-010

dades encontradas y la información relacionada

a cada una. Al ﬁnal, como demuestra la ﬁgura 11,

se encuentra la id de la CVE que podemos consul-

tar en las bases de datos de vulnerabilidades por

sus respectivos exploits, o podemos usar herra-

mientas como searchsploit o metasploit framework

para validad su aplicabilidad en este caso, toman-

do en cuenta siempre, los sistemas, servicios y

versiones en ejecución en el sistema objetivo.

Luego de realizar una búsqueda exhaustiva en

searchsploit y metasploit sin encontrar un exploit

adecuado para nuestro caso, procedemos a utilizar

una base de datos de vulnerabilidades. Al igual que

con las otras herramientas, no tenemos éxito en la

búsqueda de un exploit apropiado. Como podemos

ver en la ﬁgura 12, existen varios exploits disponi-

bles, pero ninguno para sistemas Windows 7.

Ya que no hemos tenido éxito en la búsqueda de

exploits para esta vulnerabilidad, continuamos

con el ﬂujo y seleccionamos la siguiente vulnera-

bilidad en la lista. Como podemos ver en la ﬁgu-

ra 13, hemos encontrado la vulnerabilidad MS17-

010 del protocolo smb.

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Haciendo una búsqueda rápida en Google, encon-

tramos que la vulnerabilidad MS17-010 o más

conocida como Eternal Blue [30], es una vulne-

rabilidad muy destacada, es explotable en sistemas

Windows y permite la ejecución de código remo-

to que es lo que buscamos. Dando seguimiento al

hallazgo, realizamos una búsqueda en Metasploit

Framework y encontramos el exploit ms17_010_

eternalblue (ﬁgura 14), por lo que procedemos a

la siguiente fase.

Figura 14. Resultados Metasploit Framework – Búsqueda

eternalblue

Figura 15. Resultados Metasploit Framework – Selección y

ejecución de exploit

Figura 16. Metasploit Framework – Sesión de Meterpreter

2.4.4 Explotación

La explotación es la fase más sencilla, si hemos

realizado bien las fases anteriores. En este caso

hemos encontrado el exploit eternalblue en la

herramienta Metasploit Framework, por lo que

procedemos a seleccionarlo para su uso con el

comando use, tal como se observa en la ﬁgura 15.

En la misma podemos observar también, el payload

cargado por defecto. Si no tenemos problema con

el payload seleccionado, procedemos a conﬁgurar

el parámetro rhosts con la dirección IP del obje-

tivo, y ﬁnalmente utilizamos el comando run para

ejecutar el payload. Si todo se ejecuta de manera

adecuada, veremos la palabra WIN (o FAIL en el

caso de que el exploit ha fallado) y en la última

línea de la terminal de comandos, el prompt de

nuestro Shell remoto.

En este caso, el payload seleccionado ha funcio-

nado en el primer intento. Dependiendo de varios

factores, puede ser necesario ejecutar el exploit

un par de veces para que funcione, o en otros casos

será necesario cambiar el tipo de payload (modu-

lar o no modular, reverse o bind) hasta encontrar

uno q funcione.

En este punto, el auditor puede ejecutar comandos

para comprobar el nivel de privilegios (ver ﬁgura

16), revisar conﬁguraciones, o realizar acciones

de post explotación como escalar privilegios. Para

nuestra metodología, hemos cumplido en demos-

trar una explotación exitosa por lo que documen-

tamos todo el proceso, notiﬁcamos a la Gerencia

o Dirección de Tecnología, y pasamos a la siguien-

te fase.

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

Figura 17. Nessus – Resultados generales

2.4.5 Reporte

El reporte ﬁnal elaborado para este caso es exten

so y contiene información sensible que de ser

publicada podría llegar a comprometer la seguri-

dad de la empresa, por lo que el mismo fue entre-

gado directamente a la gerencia para su gestión

interna. Las indicaciones para la elaboración del

reporte se encuentran en el apartado 2.3.5.

3. Resultados y

Discusión

La ﬁgura 17 nos muestra un numero alarmante de

vulnerabilidades encontradas, sobre todo si consi-

deramos el tamaño de la infraestructura. Las

amenazas de severidad critica señalan una infraes

tructura altamente vulnerable que fácilmente podría

ser comprometida y pondría en riesgo los activos

digitales de la empresa.

Las herramientas utilizadas para hacerlo además

de un computador y un navegador de internet

fueron, Kali Linux, Nmap, y Nessus, las cuales

son herramientas gratuitas (Nessus permite esca-

near hasta 16 hosts en su versión gratuita) coin-

cidiendo con el Reporte Ciberseguridad 2020:

riesgos, avances y el camino a seguir en América

Latina y el Caribe (2020) en el bajo costo que

requiere un ataque informático. Así mismo, la

implementación de la metodología en el caso de

estudio ha tomado alrededor de 20 horas de traba

jo, dando un promedio de 4 horas por fase, el cual

podrá variar en cada caso, dependiendo del alcan-

ce del test y la experiencia del auditor.

Cabe destacar, que la explotación fue relativamen-

te fácil, seguramente debido al alto número de

vulnerabilidades presentes en la infraestructura.

También se veriﬁcó que la empresa continúa utili-

zando software desatendido como es el caso del

sistema operativo Windows 7. Esto quiere decir

que el sistema utilizado ya no recibe actualizacio

nes de seguridad y por lo tanto es vulnerable.

Resulta evidente pensar que en la empresa, la

seguridad de la información no es un tema prio-

ritario, probablemente por desconocimiento del

riesgo al que están expuestos, ya sea por parte de

la gerencia o por el área de TI. Dado que no pode-

mos generalizar los resultados, esperamos que el

caso sea aislado.

Cabe destacar la importancia de una fase previa

a la ejecución de una prueba de intrusión, como

lo es en este caso la Deﬁnición del Alcance. Si

bien en la metodología propuesta, es una fase muy

pequeña, nos permite obtener información rele-

vante y los documentos necesarios para elaborar

una adecuada planiﬁcación que garantice la ejecu-

ción del test en un ambiente seguro tanto para el

cliente como para el auditor.

4. Conclusiones y

recomendaciones

Los resultados del caso de estudio nos proveen

una clara idea de cómo se gestiona la seguridad

en las empresas pequeñas. A experiencia del autor,

el escenario es genérico y se repite en la mayoría

de los casos. La implementación de soluciones

basadas en hardware y software como ﬁrewalls y

antivirus proporcionan un falso sentido de segu-

ridad, en la que los profesionales de TI entran en

una zona de confort básicamente a la espera de

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

ataques informáticos y poniendo en riesgo los

activos tecnológicos de las empresas. En ese senti-

do, es necesario considerar a la seguridad de la

información desde un enfoque holístico, como una

solución integral que considere los aspectos tanto

técnicos como no técnicos de una empresa, como

infraestructura, personal, políticas, etc., y no como

la suma de herramientas que trabajan de forma

aislada.

Al igual que las otras metodologías analizadas, la

metodología propuesta contempla todos los pasos

de un proceso genérico de pentest, sin embargo,

al tener una orientación al análisis de red, permi-

te ser mas especiﬁca en sus requerimientos. Esto

minimiza la ambigüedad en la comprensión de

criterios, que, en comparación con las otras meto-

dologías, complican su implementación

En este aspecto, la metodología presentada ha

cumplido con los objetivos propuestos al ofrecer

una herramienta útil, completa y sencilla en su

ejecución. La aplicación del caso de estudio nos

permitió comprobar su efectividad al analizar una

infraestructura tecnológica, encontrar sus vulne-

rabilidades y darles seguimiento hasta obtener una

explotación exitosa. El reporte ﬁnal nos da una

idea de los riesgos a los que está expuesto la infraes-

tructura, a la vez que compromete a la Dirección

de Tecnologías a subsanar las mismas y a tomar

acciones para prevenir riesgos futuros o mitigar

su impacto.

La brecha de profesionales en el área de seguridad

de la información se hace tangible cuando encon-

tramos infraestructuras tan desatendidas que

demuestran el poco conocimiento de los profesio-

nales a cargo, y que se traduce en empresas suscep-

tibles a todo tipo de ataques. La seguridad de la

información debería ser un tema de interés para

todo tipo de empresas, y la socialización de este

tipo de temas a través de talleres y capacitaciones

a su personal, generando una cultura de seguridad,

una prioridad.

Se considera que el método propuesto puede ayudar

a cubrir, de cierta forma, el déﬁcit de profesiona-

les de ciberseguridad, ya que es una herramienta

simple, pero a la vez efectiva, requiere de pocos

recursos (humanos, económicos y tiempo) y es

relativamente fácil de ejecutar. Como en el caso

de cualquier auditoria de seguridad, es muy impor-

tante implementarla de manera periódica, sea

semestral o anual, de esta forma podemos llevar

un control de la efectividad de las acciones toma-

das y soluciones provistas para los riesgos encon-

trados. Lo más beneﬁcioso de todo esto, es que se

establece una cultura de seguridad en las empresas,

sin importar su tamaño.

Bibliografía

[1] M. L. S. Limón y M. H. D. la G.

Cárdenas, “Tecnologías de información y

desempeño organizacional de las pymes

del noreste de México”, Rev. Venez.

Gerenc., vol. 23, núm. 82, pp. 298–313,

2018.

[2] E. J. Santiago y J. Sánchez Allende,

“Riesgos de ciberseguridad en las

Empresas”, Tecnol. Desarro., vol. 15,

núm. 0, Art. núm. 0, dic. 2017,

Consultado: el 9 de enero de 2022. [En

línea]. Disponible en: https://revistas.uax.

es/index.php/tec_des/article/view/1174

[3] K.-K. R. Choo, “The cyber threat

landscape: Challenges and future research

directions”, Comput. Secur., vol. 30,

núm. 8, pp. 719–731, nov. 2011, doi:

10.1016/j.cose.2011.08.004.

[4] “Reporte Ciberseguridad 2020: riesgos,

avances y el camino a seguir en América

Latina y el Caribe”, Banco

Interamericano de Desarrollo, 2020,

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

2020. Consultado: el 14 de agosto de

2020. [En línea]. Disponible en: https://

publications.iadb.org/publications/

spanish/document/Reporte-

Ciberseguridad-2020-riesgos-avances-y-

el-camino-a-seguir-en-America-Latina-y-

el-Caribe.pdf

[5] “MAPA | Mapa en tiempo real de

amenazas cibernéticas Kaspersky”,

MAPA | Mapa en tiempo real de

amenazas cibernéticas Kaspersky.

https://cybermap.kaspersky.com/es

(consultado el 13 de enero de 2022).

[6] “The Top 6 Industries At Risk For Cyber

Attacks - RedTeam Security”. https://

www.redteamsecure.com/blog/the-top-6-

industries-at-risk-for-cyber-attacks

(consultado el 29 de marzo de 2022).

[7] R. Vargas Borbúa, L. Recalde Herrera, y

R. P. Reyes Ch., “Ciberdefensa y

ciberseguridad, más allá del mundo

virtual: modelo ecuatoriano de

gobernanza en ciberdefensa”, Cyber-

defense and cybersecurity, beyond the

virtual world: Ecuadorian model of

cyber-defense governance, jun. 2017,

Consultado: el 14 de agosto de 2020. [En

línea]. Disponible en: http://repositorio.

ﬂacsoandes.edu.ec/handle/10469/12199

[8] D. Santo Orcero, Pentesting con Kali:

aprende a dominar la herramienta Kali

para hacer tests de penetración y

auditorías activas de seguridad. 2018.

[9] M. Ortiz Osorio, “Importancia de las

buenas prácticas en ciberseguridad en el

trabajo remoto de entidades públicas de

Colombia en época de pandemia.”, nov.

2021, Consultado: el 13 de enero de

2022. [En línea]. Disponible en: http://

repository.unad.edu.co/

handle/10596/44501

[10] R. Gonzalez, “Estiman en $87 mil 940

millones pérdidas anuales por ataques

cibernéticos | La Prensa Panamá”, La

Prensa, el 20 de junio de 2019.

Consultado: el 7 de agosto de 2020. [En

línea]. Disponible en: https://www.

prensa.com/economia/Estiman-millones-

perdidas-anuales-

ciberneticos_0_5331966763.html

[11] U. Akyazi, “Measuring Cybercrime as a

Service (CaaS) Oﬀerings in a Cybercrime

Forum”, p. 15, 2021.

[12] Á. M. Rea Guamán, “Madurez en la

identiﬁcación y evaluación de riesgos en

ciberseguridad”, phd, E.T.S. de

Ingenieros Informáticos (UPM), 2020.

Consultado: el 9 de enero de 2022. [En

línea]. Disponible en: https://doi.

org/10.20868/UPM.thesis.65871

[13] J. A. Figueroa-Suárez, R. F. Rodríguez-

Andrade, C. C. Bone-Obando, y J. A.

Saltos-Gómez, “La seguridad informática

y la seguridad de la información”, Polo

Conoc., vol. 2, núm. 12, Art. núm. 12,

mar. 2018, doi: 10.23857/pc.v2i12.420.

[14] V. Greavu Serban y O. Serban, “Social

Engineering A General Approach”,

Inform. Econ., vol. 18, núm. 2/2014, pp.

5–14, jun. 2014, doi: 10.12948/

issn14531305/18.2.2014.01.

[15] J. L. Guillen Zafra, “Introducción al

pentesting”, Universitat de Barcelona,

2017. [En línea]. Disponible en: http://

diposit.ub.edu/dspace/

bitstream/2445/124085/2/memoria.pdf

[16] V. Casola, A. De Benedictis, M. Rak, y

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

U. Villano, “Towards Automated

Penetration Testing for Cloud

Applications”, en 2018 IEEE 27th

International Conference on Enabling

Technologies: Infrastructure for

Collaborative Enterprises (WETICE),

jun. 2018, pp. 24–29. doi: 10.1109/

WETICE.2018.00012.

[17] J. S. Ferrer Bustos, “Pruebas de

penetración en las redes de datos en

cualquier entidad pública o privada.”,

mar. 2021, Consultado: el 10 de enero de

2022. [En línea]. Disponible en: http://

repository.unad.edu.co/

handle/10596/40111

[18] “The Penetration Testing Execution

Standard”. http://www.pentest-standard.

org/index.php/Main_Page (consultado el

6 de junio de 2020).

[19] ISECOM, “OSSTMM 3”. 2010. [En

línea]. Disponible en: www.isecom.org/

OSSTMM.3.pdf

[20] kaitlin.boeckl@nist.gov, “NIST SP

800-115”, NIST, el 12 de enero de 2020.

https://www.nist.gov/privacy-framework/

nist-sp-800-115 (consultado el 13 de

enero de 2022).

[21] C. A. Castro Vasquez, “Pruebas de

penetración e intrusión”, jul. 2019,

Consultado: el 10 de enero de 2022. [En

línea]. Disponible en: http://repository.

unipiloto.edu.co/

handle/20.500.12277/6273

[22] N. J. van den Hout, “Standardised

Penetration Testing? Examining the

Usefulness of Current Penetration Testing

Methodologies”, Royal Holloway,

University of London, 2019. [En línea].

Disponible en: https://www.researchgate.

net/publication/335652869_

Standardised_Penetration_Testing_

Examining_the_Usefulness_of_Current_

Penetration_Testing_Methodologies

[23] G. Chávez Cruz, J. Campuzano Vásquez,

y V. Betancourt Gonzaga, “Las micro,

pequeñas y medianas empresas.

Clasiﬁcación para su estudio en la carrera

de Ingeniería en Contabilidad y Auditoría

de la Universidad Técnica de Machala”,

Conrado, vol. 14, pp. 247–255, dic. 2018.

[24] Ec Council, CEH Ethical Hacking and

Countermeasures v11. 2020.

[25] D. Dalalana Bertoglio y A. F. Zorzo,

“Overview and open issues on

penetration test”, J. Braz. Comput. Soc.,

vol. 23, núm. 1, p. 2, feb. 2017, doi:

10.1186/s13173-017-0051-1.

[26] R. Slayton, “Certifying ‘ethical hackers’”,

ACM SIGCAS Comput. Soc., vol. 47,

núm. 4, pp. 145–150, jul. 2018, doi:

10.1145/3243141.3243156.

[27] O. Sierra, “ANALISIS Y PRUEBAS DE

NIVELES DE SEGURIDAD DE LA

INFORMACIÓN BASADOS EN LAS

GUIAS DEL OSSTMM v3”, p. 11, nov.

2018.

[28] G. P. Gasca Hurtado, “Estudio de

similitud del proceso de gestión de

riesgos en proyectos de outsourcing de

software: utilización de un método”, Rev.

Ing. Univ. Medellín, vol. 9, núm. 17, pp.

119–130, jul. 2010.

[29] R. Martí y J. Lloret, “Desarrollo e

implementación práctica de un

PENTEST”, sep. 2016, Consultado: el 25

de agosto de 2020. [En línea]. Disponible

Gonzalez Palomeque, Martin

Revista Killkana Técnica. Vol. 6, No. 1, enero-abril, 2022

en: https://riunet.upv.es/

handle/10251/70164

[30] Z. Liu, “Working mechanism of

Eternalblue and its application in

ransomworm”, ArXiv211214773 Cs, dic.

2021, Consultado: el 17 de enero de

2022. [En línea]. Disponible en: http://

arxiv.org/abs/2112.14773

Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio