Pruebas de intrusión y metodologías abiertas

Autores/as

  • Liliana Carolina Pinzón Fundación Universitaria Juan de Castellanos
  • MihdíBadí Talero Fundación Universitaria Juan de Castellanos
  • John Alexander Bohada Jaime Fundación Universitaria Juan de Castellanos

DOI:

https://doi.org/10.38017/2390058X.120

Palabras clave:

Metodología abierta, Prueba de intrusión, Seguridad, Análisis de vulnerabilidades.
Resumen Autores/as Referencias bibliográficas Cómo citar

Resumen

Debido al crecimiento de los ataques a las infraestructuras de las tecnologías de la información y comunicaciones (TIC), el cual para el año 2012 se incrementó en un 42% llegando, por ejemplo, en el caso de los ataques a sitios web, a 190.370 ataques diarios, según información de Symantec Corporation (2013). Los administradores de tecnología se han visto en la necesidad de realizar periódicamente pruebas de intrusión en cada uno de los elementos importantes que componen su infraestructura; este tipo de prácticas tienen como objetivo actuar proactivamente para blindar la información interna y de clientes, y también para evitar que personal malintencionado se apropie de ella sacando provecho económico o generando daño en la misma.   Por lo anterior, este artículo presenta la revisión y análisis de algunas fuentes de información acerca de las pruebas de intrusión y las principales metodologías abiertas que existen actualmente; con el fin de dar a conocer la importancia de ejecutar esta clase de evaluaciones de seguridad enmarcadas en una metodología que se acople a las necesidades de la empresa y que se convierta en un apoyo para lograr sus objetivos de negocio.

Biografía del autor/a

Liliana Carolina Pinzón, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

MihdíBadí Talero, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

John Alexander Bohada Jaime, Fundación Universitaria Juan de Castellanos

Grupo de investigación MUISCA Facultad de Ingeniería Especialización en Seguridad de la Información Fundación Universitaria Juan de Castellanos

Referencias bibliográficas

[1] Symantec Corporation, Internet Security Threat Report, 2013, pp. 10. [On-line]. Disponible en https://www.insight.com/content/dam/insight/en_US/pdfs/symantec/symantec-corp-internet-security-threat-report-volume-18.pdf

[2] E. Cruz, D. Rodríguez, Modelo de seguridad para la medición de vulnerabilidades y reducción de riesgos de datos, Instituto Politécnico Nacional, México, 2010.

[3] J. Rivera, "Ciclo de vida de una prueba de intrusión física", Universidad San Carlos de Guatemala, Guatemala, 2011. [On-line]. Disponible en http://biblioteca.usac.edu.gt/tesis/08/08_0562_CS.pdf

[4] Sec Track, Test de Intrusión, (2013, noviembre). [On-line]. Disponible en http://www.sec-track.com/test-de-penetracion.

[5] A. Villalon, Seguridad en Linux y redes, GNU, Free Documentation License. [On-line]. Disponible en http://www.rediris.es/cert/doc/unixsec/unixsec.pdf.

[6] M. Bisogno, "Metodología para el Aseguramiento de Entornos Informatizados– MAEI", Universidad de Buenos Aires, Buenos Aires, 2004. [On-line]. Disponible en http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf

[7] C. Barón, "Metodología de análisis de vulnerabilidades para la red de datos en la dirección de telemática de la Policía Nacional", Universidad Militar Nueva Granada, Bogotá, 2010. [On-line]. Disponible en https://www.yumpu.com/es/document/read/14079646/1-metodologia-de-analisis-de-vulnerabilidades-para-la-red-de-datos-

[8] M. Coello, Procedimiento Formal de Ethical Hacking para la Infraestructura tecnológica de los servidores por internet de la banca Ecuatoriana, Escuela Politécnica Nacional, Quito, 2012.

[9] M. Bishop, "About Penetration Testing", Security & Privacy, IEEE, California Vol. 5, 2007. doi: 10.1109/MSP.2007.159.

[10] MJ. Ochoa, "Seguridad física, prevención y detección", Universidad Autónoma de Nuevo León, México, 2013. [On-line]. Disponible en http://eprints.uanl.mx/3619/1/SEGURIDAD_FISICA_PREVENCION_Y_DETECCION.pdf

[11] A. Carvajal, Introducción a las técnicas de ataque e investigación forense, un enfoque pragmático, Global Tek Security: tecnologías globales para la seguridad de la información, Colombia, 2007. [On-line]. Disponible en https://acis.org.co/portal/sites/all/themes/argo/assets/img/Pagina/TecnicasAtaqueComputacionForense.pdf

[12] W. Mejía, Auditoría Forense, Revista de Información, Tecnología y Sociedad, Universidad Mayor de San Andrés, 2009.

[13] P. Engebretson, The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy, Elsevier Inc., USA, 2011. [On-line]. Disponible en https://wqreytuk.github.io/Patrick+Engebretson+The+Basics+of+Hacking+and+Penetration+Testing,+Second+Edition+%282013%29.pdf

[14] J. Bertolín, A. Bertolín, Test de penetración y gestión de vulnerabilidades, estrategia clave para evaluar la seguridad de red, España, 2009.

[15] F. Pacheco, H. Jara, Hackers al descubierto, Fox Andina, Buenos Aires, 2010. [On-line]. Disponible en https://manualdehacker.com/wp-content/uploads/2018/06/91-Hackers-al-Descubierto-pdf.pdf

[16] K. Wyk, (2013, mayo), Adapting Penetration Testing for Software Development Purposes, Build Security In, [On-line]. Disponible en https://buildsecurityin.uscert.gov/articles/best-practices/security-testing/adapting-penetration-testing-software-development-purposes.

[17] S. Umrao, M. Kaur, G. Gupta, "Vulnerability assessment and penetration testing", International Journal of Computer & Communication Technology, 2012. doi:10.47893/IJCCT.2016.1367

[18] A. Vieites, Enciclopedia de la Seguridad Informática, México, Alfaomega, 2007.

[19] P. Mell, K. Scarfone, S. Romanosky, A Complete Guide to the Common Vulnerability Scoring System, 2007. [On-line]. Disponible en https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=51198

[20] H. Jara, F. Pacheco, Ethical hacking 2.0, Fox Andina, Buenos Aires.

[21] L. Flores, G. Hernández, "Pruebas de Hacking ético en un laboratorio de la Facultad de Ingeniería de la UNAM", Tesis de Licenciatura, Facultad de Ingeniería, Universidad Nacional Autónoma de México, 2012. [On-line]. Disponible en http://132.248.9.195/ptb2011/agosto/0671568/0671568_A1.pdf

[22] V. Baena, "La seguridad de Tecnología de la Información (TI) como una variable de la cultura organizacional", Universidad EA-FIT, Medellín, 2009. [On-line]. Disponible en https://repository.eafit.edu.co/bitstream/handle/10784/214/VictorManuel_BaenaCano_2010.pdf?sequence=1&isAllowed=y

[23] L. Sandoval, A. Vaca, "Implantación de técnicas y administración de laboratorio para investigación de ethical hacking", Escuela Politécnica del ejercito, Sangolquí, 2013. [On-line]. Disponible en http://repositorio.espe.edu.ec/bitstream/21000/6483/1/T-ESPE-047094.pdf

[24] A. Basta, W. Halton, computer security and penetration testing, Cengage Learning, Estados Unidos, 2007.

[25] T. J. Klevinsky, S. Laliberte, A. Gupta, Hack I.T., Security Through Penetration Testing, Pearson Education Inc., Indianapolis, 2004.

[26] J. Ramírez, "Desarrollo de un esquema de análisis de vulnerabilidades y pruebas de penetración en sistemas operativos para una organización de la administración pública federal", Escuela Superior de Ingeniería Mecánica y Eléctrica, México, 2009. [On-line]. Disponible en https://tesis.ipn.mx/bitstream/handle/123456789/8451/40.pdf?sequence=1&isAllowed=y

[27] A. Whitaker, D. Newman, Penetration Testing and Network Defense, Cisco Press, Indianapolis, 2006. [On-line]. Disponible en https://ptgmedia.pearsoncmg.com/images/9781587052088/samplepages/1587052083.pdf

[28] E. Nabbus, Penetration Testing A Vital System Security Assessment Method, Electrosoft, 2007. [On-line]. Disponible en https://electrosofttest.electrosoft-inc.com/sites/default/files/2017-03/Penetration%20Testing%202007.pdf

[29] A. Verdesoto, "Utilización de hacking ético para diagnosticar, analizar y mejorar la seguridad informática en la intranet de vía celular", comunicaciones y representaciones, Escuela Politécnica Nacional, Quito, 2007. [On-line]. Disponible en https://bibdigital.epn.edu.ec/bitstream/15000/548/1/CD-1053.pdf

[30] K. Xynos, I Sutherland, H. Read, Penetration testing and vulnerability assessments: A professional approach, University of Glamorgan, United Kingdom, 2010. [On-line]. Disponible en https://www.researchgate.net/publication/49285560_Penetration_Testing_and_Vulnerability_Assessments_A_Professional_Approach

[31] D. Parker, "The Strategic Values of Information Security in Business". Computers & Security, Vol. 16, 1997. doi: https://doi.org/10.1016/S0167-4048(97)80793-6

[32] E. Quispe, Asegurándose contra delitos informáticos, Universidad Mayor de San Andrés, Bolivia, 1997.

[33] G. Baker, A. "Vulnerability Assessment Methodology for Critical Infrastructure Facilities", James Madison University, Estados Unidos, 2005. doi: 10.13140/RG.2.1.3673.5841

[34] Risk Assessment Special Interest Group (SIG), PCI Security Standards Council, PCI Data Security Standard (PCI DSS), version 2.0, 2012.

[35] M. Simpson, K. Backman, J. Corley, Hands-on ethical hacking and network defense, 2nd Edition, Cengage Learning, 2010. [On-line]. Disponible en https://docplayer.net/186960674-Hands-on-ethical-hacking-and-network-defense.html

[36] G. Chicaiza, "Hacking ético para detectar vulnerabilidades en los servicios de la intranet del Gobierno Autónomo Descentralizado Municipal del Cantón Cevallos", Universidad Técnica de Ambato, Ambato, 2012. [On-line]. Disponible en https://repositorio.uta.edu.ec/bitstream/123456789/2900/1/Tesis_t764si.pdf

[37] E. Robayo, "Detección de intrusos en redes de telecomunicaciones IP usando modelos ocultos de Markov", Universidad Nacional de Colombia, Bogotá, 2009. [On-line]. Disponible en https://repositorio.unal.edu.co/bitstream/handle/unal/70224/299726.2009.pdf?sequence=1&isAllowed=y

[38] D. Garzón, J. Gómez, A. Vergara, "Metodología de análisis de vulnerabilidades para empresas de media y pequeña escala", Pontificia Universidad Javeriana, Bogotá, 2013. [On-line]. Disponible en https://repository.javeriana.edu.co/bitstream/handle/10554/7467/tesis181.pdf?sequence=1&i

[39] VeriSing, Libro Blanco, Introducción a las pruebas de vulnerabilidad de red. [On line]. Disponible en www.verisign.es.

[40] A. Espinosa, "Análisis de Vulnerabilidades de la Red LAN de la UTPL", Universidad Técnica Particular de Loja, Loja, 2010. [On line]. Disponible en https://dspace.utpl.edu.ec/bitstream/123456789/1352/3/Espinosa_Otavalo_Ang%C3%A9lica%20del%20Cisne.pdf

[41] D. Monrroy, "Análisis inicial de la anatomía de un ataque a un sistema informático". [On line]. Disponible en http://www.segu-info.com.ar/tesis/.

[42] J. Bolívar, C. Villarroel, "Propuesta de Best Practice para el análisis de vulnerabilidades, métodos de prevención y protección aplicados a la infraestructura de red del laboratorio de sistemas", Escuela Superior Politécnica de Chimborazo, Riobamba, 2012. [On line]. Disponible en http://dspace.espoch.edu.ec/bitstream/123456789/1943/1/98T00013.pdf

[43] K. Byeong-Ho, "About Effective Penetration Testing Methodology", Instituto de Investigación en Ingeniería de Seguridad, Journal of Security Engineering. Vol. 5, 2008.

[44] L. Navas Leydy, "Análisis, diseño e implementación de la metodología OSSTMM para aplicar penetration test y ethical hacking en la unidad administrativa de sistemas de información de la Universidad Técnica de Machala", Universidad Técnica de Machala, Ecuador, 2010. [On line]. Disponible en http://repositorio.utmachala.edu.ec/handle/48000/2052?mode=full

[45] M. Prandini, M. Ramilli, "Towards a practical and effective security testing methodology", IEEE Simposio sobre Computadores y Comunicaciones (ISCC), Italia, junio 22-25, 2010. doi: 10.1109/ISCC.2010.5546813

[46] National Institute of Standards and Technology (NIST), Special Publication 800-115, Technical Guide to Information Security Testing and Assessment, 2008. [On line]. Disponible en https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-115.pdf

[47] OWASP Fundation, OWASP TESTING GUIDE V3.0, 2008. [On line]. Disponible en https://owasp.org/www-pdf-archive/OWASP_Testing_Guide_v3.pdf

[48] OISSG, Information System Security Assessment Framework (ISSAF), Penetration Testing Framework (PTF), 2006. [On line]. Disponible en https://untrustednetwork.net/files/issaf0.2.1.pdf

[49] O. Acosta, "Análisis de riesgos y vulnerabilidades de la infraestructura tecnológica de la secretaría nacional de gestión de riesgos utilizando metodologías de ethical hacking", Escuela Politécnica Nacional, Quito, 2013. [On line]. Disponible en https://bibdigital.epn.edu.ec/bitstream/15000/6059/1/CD-4781.pdf

[50] ISECOM, OSSTMM 3 – The Open Sour-ce Security Testing Methodology Manual, 2009. [On line]. Disponible en https://www.isecom.org/OSSTMM.3.pdf

[51] A. López, "Estudio de metodologías para pruebas de intrusión a sistemas informáticos", Instituto Politécnico Nacional, México, 2011.

[52] T. Wilhelm Thomas, Professional Penetration Testing: Creating and Operating a Formal Hacking Lab, Elsevier Inc., USA, 2010.

Cómo citar

Pinzón, L. C., Talero, M., & Bohada Jaime, J. A. (2013). Pruebas de intrusión y metodologías abiertas. Revista Ciencia, Innovación Y Tecnología, 1, 25–38. https://doi.org/10.38017/2390058X.120

Descargas

Los datos de descargas todavía no están disponibles.

Descargas

Publicado

2013-11-25

Número

Vol. 1 (2013): Ciencia, Innovación y Tecnología

Sección

Artículo de Revisión

Licencia

Derechos de autor 2013 Ciencia, Innovación y Tecnología

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.