Metodología breve para la ejecución de pruebas de intrusión. Caso de estudio.
DOI:
https://doi.org/10.26871/killkanatecnica.v6i1.949Resumen
En la presente investigación se desarrolla una metodología para la ejecución de pruebas de intrusión que sea fácil y rápida de implementar para todo tipo de empresas, especialmente para empresas pequeñas que no cuentan con personal de TI o disponen de personal limitado en esta área. Para ello, la metodología desarrollada se basa en la ejecución de herramientas automatizadas, a la vez que suministra las técnicas y procesos necesarios para su correcta implementación. La aplicación del caso de estudio permitió comprobar que la metodología desarrollada es efectiva, rápida y optimiza el uso de recursos. Los resultados demuestran la falta de conciencia por parte de las empresas en temas de ciberseguridad y dejan en evidencia el poco o nulo conocimiento de los profesionales de TI en esta área.
Descargas
Citas
M. L. S. Limón y M. H. D. la G. Cárdenas, “Tecnologías de información y desempeño organizacional de las pymes del noreste de México”, Rev. Venez. Gerenc., vol. 23, núm. 82, pp. 298–313, 2018.
E. J. Santiago y J. Sánchez Allende, “Riesgos de ciberseguridad en las Empresas”, Tecnol. Desarro., vol. 15, núm. 0, Art. núm. 0, dic. 2017, Consultado: el 9 de enero de 2022. [En línea]. Disponible en: https://revistas.uax.es/index.php/tec_des/article/view/1174
K.-K. R. Choo, “The cyber threat landscape: Challenges and future research directions”, Comput. Secur., vol. 30, núm. 8, pp. 719–731, nov. 2011, doi: 10.1016/j.cose.2011.08.004.
“Reporte Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe”, Banco Interamericano de Desarrollo, 2020, 2020. Consultado: el 14 de agosto de 2020. [En línea]. Disponible en: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
“MAPA | Mapa en tiempo real de amenazas cibernéticas Kaspersky”, MAPA | Mapa en tiempo real de amenazas cibernéticas Kaspersky. https://cybermap.kaspersky.com/es (consultado el 13 de enero de 2022).
R. Vargas Borbúa, L. Recalde Herrera, y R. P. Reyes Ch., “Ciberdefensa y ciberseguridad, más allá del mundo virtual: modelo ecuatoriano de gobernanza en ciberdefensa”, Cyber-defense and cybersecurity, beyond the virtual world: Ecuadorian model of cyber-defense governance, jun. 2017, Consultado: el 14 de agosto de 2020. [En línea]. Disponible en: http://repositorio.flacsoandes.edu.ec/handle/10469/12199
D. Santo Orcero, Pentesting con Kali: aprende a dominar la herramienta Kali para hacer tests de penetración y auditorías activas de seguridad. 2018.
M. Ortiz Osorio, “Importancia de las buenas prácticas en ciberseguridad en el trabajo remoto de entidades públicas de Colombia en época de pandemia.”, nov. 2021, Consultado: el 13 de enero de 2022. [En línea]. Disponible en: http://repository.unad.edu.co/handle/10596/44501
R. Gonzalez, “Estiman en $87 mil 940 millones pérdidas anuales por ataques cibernéticos | La Prensa Panamá”, La Prensa, el 20 de junio de 2019. Consultado: el 7 de agosto de 2020. [En línea]. Disponible en: https://www.prensa.com/economia/Estiman-millones-perdidas-anuales-ciberneticos_0_5331966763.html
U. Akyazi, “Measuring Cybercrime as a Service (CaaS) Offerings in a Cybercrime Forum”, p. 15, 2021.
Á. M. Rea Guamán, “Madurez en la identificación y evaluación de riesgos en ciberseguridad”, phd, E.T.S. de Ingenieros Informáticos (UPM), 2020. Consultado: el 9 de enero de 2022. [En línea]. Disponible en: https://doi.org/10.20868/UPM.thesis.65871
J. L. Guillen Zafra, “Introducción al pentesting”, Universitat de Barcelona, 2017. [En línea]. Disponible en: http://diposit.ub.edu/dspace/bitstream/2445/124085/2/memoria.pdf
V. Casola, A. De Benedictis, M. Rak, y U. Villano, “Towards Automated Penetration Testing for Cloud Applications”, en 2018 IEEE 27th International Conference on Enabling Technologies: Infrastructure for Collaborative Enterprises (WETICE), jun. 2018, pp. 24–29. doi: 10.1109/WETICE.2018.00012.
J. S. Ferrer Bustos, “Pruebas de penetración en las redes de datos en cualquier entidad pública o privada.”, mar. 2021, Consultado: el 10 de enero de 2022. [En línea]. Disponible en: http://repository.unad.edu.co/handle/10596/40111
“The Penetration Testing Execution Standard”. http://www.pentest-standard.org/index.php/Main_Page (consultado el 6 de junio de 2020).
ISECOM, “OSSTMM 3”. 2010. [En línea]. Disponible en: www.isecom.org/OSSTMM.3.pdf
kaitlin.boeckl@nist.gov, “NIST SP 800-115”, NIST, el 12 de enero de 2020. https://www.nist.gov/privacy-framework/nist-sp-800-115 (consultado el 13 de enero de 2022).
C. A. Castro Vasquez, “Pruebas de penetración e intrusión”, jul. 2019, Consultado: el 10 de enero de 2022. [En línea]. Disponible en: http://repository.unipiloto.edu.co/handle/20.500.12277/6273
N. J. van den Hout, “Standardised Penetration Testing? Examining the Usefulness of Current Penetration Testing Methodologies”, Royal Holloway, University of London, 2019. [En línea]. Disponible en: https://www.researchgate.net/publication/335652869_Standardised_Penetration_Testing_Examining_the_Usefulness_of_Current_Penetration_Testing_Methodologies
Ec Council, CEH Ethical Hacking and Countermeasures v11. 2020.
G. P. Gasca Hurtado, “Estudio de similitud del proceso de gestión de riesgos en proyectos de outsourcing de software: utilización de un método”, Rev. Ing. Univ. Medellín, vol. 9, núm. 17, pp. 119–130, jul. 2010.
R. Martí y J. Lloret, “Desarrollo e implementación práctica de un PENTEST”, sep. 2016, Consultado: el 25 de agosto de 2020. [En línea]. Disponible en: https://riunet.upv.es/handle/10251/70164
Z. Liu, “Working mechanism of Eternalblue and its application in ransomworm”, ArXiv211214773 Cs, dic. 2021, Consultado: el 17 de enero de 2022. [En línea]. Disponible en: http://arxiv.org/abs/2112.14773
Publicado
- Resumen 80
- PDF 48
- HTML 11
