Identificar vulnerabilidades de seguridad de la página web INSTITUTO TECNÓLOGICO DEL PUTUMAYO

[pic 1]

MACROPROCESO: MISIONAL

Código: F-INV-048

PROCESO: INVESTIGACIÓN

Versión: 01

Fecha: 21-09-2018

FORMATO: PRESENTACIÓN PROPUESTA ESTUDIO DE CASO – DIPLOMADO

Página:  de 9

Ciudad:

Moca-Putumayo

Fecha:

Título Provisional de la Propuesta:

Identificar vulnerabilidades de seguridad de la página web  INSTITUTO TECNÓLOGICO DEL PUTUMAYO.

Nombre del asesor:

ING. Wilson Camilo Delgado

VoBo:

Descriptores / Palabras Claves:

Test de penetración, Protección web, Seguridad informática, Activo de información, , incidente de seguridad, ISSAF.

Nombre Completo:

Adriana Maricela Pejendino Mutumbajoy

No. de Identificación:

1124863376

Fecha y Lugar de Expedición:

Mocoa-Putumayo

Teléfono:

3115856925

E-mail:

adrianapejen@hotmail.com

Programa Académico:

Ingeniería de Sistemas

Nombre Completo:

Juan Pablo Rosero Carlosama

No. de Identificación:

1124864748

Fecha y Lugar de Expedición:

Mocoa-Putumayo

Teléfono:

3174667079

E-mail:

juanrc-4@hotmail.com

Programa Académico:

Ingeniería de Sistemas

Título Provisional

Identificar vulnerabilidades de seguridad de la página web  INSTITUTO TECNÓLOGICO DEL PUTUMAYO.

Resumen Ejecutivo

El diseño y desarrollo de una página web requiere tener en cuenta aspectos como la interactividad, usabilidad, accesibilidad y disponibilidad de la información, estos ayudan a plantear de manera significativa la seguridad y las políticas de esta, disminuyendo así la posibilidad que ocurran incidentes de seguridad que puedan afectar la información,  la página web representa un activo muy importante, debe estar en funcionamiento para la prestación del servicio y el cumplimiento de los objetivos de la organización o institución, así como también garantizar la disponibilidad, confidencialidad e integridad del servicio.

Por otro lado, se debe llevar seguimiento a los sistemas de información (páginas Web), aplicando pruebas y auditorías a la infraestructura para identificar posibles amenazas de ciberseguridad que pueden afectar la confidencialidad, disponibilidad e integridad de la información, y planear estrategias de mejoramiento con el fin prevenir tales eventualidades con el paso del tiempo.

La página web del Instituto Tecnológico del Putumayo, representa un activo de servicio crucial para la institución, esta contiene diversidad de información dirigida a la comunidad estudiantil y el público en general, también permite el ingreso de estudiantes y docentes a portales como el SIGEDIN, MODLE, etc.  en los cuales se maneja gran cantidad de información crítica para la entidad, dichos datos al estar inmersos en el mundo de la internet están sujetos a diversas vulnerabilidades, en donde si no se tiene en cuenta las directrices que rijan el funcionamiento y control de la información, podría desencadenar posibles incidentes de seguridad tales como robo de información, manipulación de credenciales, suplantación de identidad, estafas, en el cual no solo se vería comprometida la información, sino también la seguridad de cada uno de los usuarios que la visitan.

Es por ello que este trabajo busca identificar las posibles vulnerabilidades a las cuales está sujeta la página web del Instituto Tecnológico del Putumayo, a través del desarrollo de técnicas de test de penetración, con la utilización de herramientas de software libre, los cuales generan una serie de evidencias que permiten brindar recomendaciones en el mejoramiento de las políticas de seguridad que se manejan en la página web, por parte del instituto y actuar sobre dichas vulnerabilidades.

Planteamiento del Problema y Preguntas de Reflexión

La página web se ha convertido en una herramienta cada vez más útil para todo tipo de organizaciones, incluidas las universidades, gracias a la accesibilidad, disponibilidad y difusión de la información. Esta evolución ha permitido que las páginas web sean un recurso indispensable para mantener informados tanto a alumnos como público en general de la diversidad de información que en ella se publica. Sin embargo, las brechas de seguridad siempre van a estar presentes en los sistemas de información, permitiendo acceso a los datos que muchas veces no es visto por los administradores de sistemas y por los cuales los ciberdelincuentes tienen una entrada directa para afectar información crítica de la Institución, por ejemplo cuentas de usuario, calificaciones, información personal de estudiantes y docentes entre otros, esto tendría un impacto alto para la institución ya que es su principal activo.

De acuerdo con lo expuesto anteriormente la página del ITP, presenta inconvenientes debido a que las políticas de seguridad solo se encuentran en borradores lo cual significa que no se están aplicando correctamente las medidas de seguridad necesarias a la página, esto puede ocasionar que personas mal intencionadas pueden sacar provecho realizando ataques como La Denegación de Servicio (DoS) o Denegación de Servicio Distribuida (DDoS), ataques de inyección, más específicamente SQLI (Structured Query Language Injection),  Cross-site Scripting (XSS), ataques de Fuerza Bruta, Phishing, con el fin de extraer, alterar o eliminar información.  Por otro lado, el Instituto pretende implementar el plan de pagos en línea para agilizar el proceso de matrícula de los estudiantes y así participar de forma activa en las políticas de gobierno digital con la reducción de tramites presenciales, esto implica que se deben mejorar las medidas de seguridad en cuanto a la detección de amenazas y vulnerabilidades de la página web protegiendo la información y mejorando la calidad del servicio.

Por ende, el interés del estudio es identificar las vulnerabilidades de seguridad que tiene la página web del Instituto Tecnológico del Putumayo, en cuanto a la protección de la información que se publica en la plataforma teniendo como herramienta de apoyo los test de penetración. De esta forma se podrá comprobar el nivel de seguridad que tiene la información contenida en está y generar recomendaciones de la factibilidad con respecto a la implementación del plan de pagos en línea y otros servicios que se pretendan implementar a futuro.

En el estudio de caso se pretende dar respuesta a los siguientes interrogantes:

• ¿Cómo se protege la información que está contenida en la página web, si las políticas de seguridad aún se encuentran en borrador?
• ¿Se han realizado algún tipo de seguimiento o auditoria para validad si tiene algún tipo de seguridad la página web?
• ¿Han detectado, si en algún momento la página web ha sufrido o ha sido víctima de algún ataque cibernético?
• ¿De acuerdo al nivel de seguridad que presenta la página web actualmente, estará en condiciones para implementar el plan de pagos en línea, si estaría seguro este proceso?
• ¿El acceso a la información contenida en la página es adecuadamente controlado, autorizado y monitoreado?
• ¿A qué tipo de vulnerabilidades está expuesta la información que está contenida en la página?
• ¿Qué vulnerabilidades existen actualmente dentro de la página web, que no han sido tomadas en cuenta en las políticas de seguridad?
• ¿Existe un plan de acción que se ejecute al momento de encontrar una vulnerabilidad de seguridad dentro de la página web?

Justificación en Términos de Relevancia y Pertinencia:

El nivel de seguridad que se le dan a los sistemas de información (páginas web) dentro de una organización es crucial, pero muchas veces no se le da la importancia que merece, sino hasta el momento que ocurre un evento inesperado y se pone en peligro toda la información, según estudios realizados por empresas de seguridad, en lo que lleva el presente año se han realizaron una serie de ataques coordinaros mediante los cuales se suplantaron portales web de 131 universidades en 16 países, con el fin de obtener información confidencial sobre la misma universidad y su personal.

Por lo anterior se pretende identificar las posibles vulnerabilidades que pueda tener la página web del ITP, haciendo uso de diversas fases que abarca la metodología ISSAF que hace parte del test de penetración, como son:

Fase I. Planificación y Preparación: Comprende los pasos para el intercambio de información inicial, planificación y preparación para las pruebas de seguridad.

Fase II. Evaluación: Se aplican las pruebas de seguridad de la metodología de penetración de ISSAF.

Fase III. Reportes, Limpieza y Destrucción de Artefactos: Toda la información creada y almacenada en los sistemas como parte de las pruebas de seguridad se eliminan. (González Brito & Montesino Perurena, 2018); y herramientas de software libre como Kali Linux que son muy utilizadas para tal fin, ya que no importa que tan bien este protegido el sistema, siempre existe la posibilidad de ser blanco de ataques, es por ello importante descubrir las fallas mediante el uso de las herramientas, de esta manera se podrá evidenciar el nivel de seguridad de la plataforma, y prever el grado de acceso a la información o a los datos de usuarios que tendría un atacante malicioso interno o externo, conocer las debilidades dentro de la infraestructura del sistema web, además de saber de qué forma se puede proteger, resguardar y/o asegurar la información atendiendo los pilares de la seguridad de la información como son la disponibilidad, confidencialidad e integridad.

En contexto a lo anterior, debemos tener en cuenta que el ITP en su plan estratégico de tecnologías de la Información plantea que la actual página web se encuentra en proceso de estudio para migrar a una nueva plataforma de gestión de contenido web (CMS wordpress), con el fin de ajustarse a las exigencias de diseño y contenido establecidas por parte del gobierno nacional en el MIPG. Los resultados obtenidos en la identificación de vulnerabilidades y las recomendaciones podrán ser de ayuda para el aseguramiento y protección de la información.

Propósito

Realizar pruebas de Testing al sitio web del Instituto Tecnológico del Putumayo en busca de agujeros de seguridad, que permitan detectar las vulnerabilidades que esta presenta teniendo en cuenta que la página web provee de enlaces que re direccionan a servicios como SIGEDIN académico, plataforma Moodle, Jardín botánico, etc.

Identificar qué amenazas y vulnerabilidades existen en la página web y determinar cuál es la causa de estos incidentes de seguridad.

Realizar el análisis y la evaluación de las vulnerabilidades de seguridad en comparación con las amenazas para detectar cual es el impacto que provocaría en el sitio web de la institución si llegase a ocurrir.

Generar recomendaciones que ayuden al mejoramiento de las políticas de seguridad con las que cuenta la página web del ITP

Marco de Referencia (Teórico, Conceptual, Contextual y Legal)

Marco Teórico

Test de penetración: “es un procedimiento que se realiza a través de un conjunto de técnicas y métodos que simulan un ataque al sistema, esto sirve para evaluar la seguridad de los sistemas informáticos, redes y aplicaciones” (Quispe Palacios & Pérez Vinueza, 2016).

Hacker: “es una persona que tiene una fascinación y conocimiento sobre redes informáticas programación de sistemas o sistemas operativos (Experto informático) cuyo objetivo es buscar debilidades en las seguridades de las mismas” (Santos & Daniela, 2016).

Integridad: “es una propiedad que indica la completitud y buen estado de los datos. La carencia de la misma provoca que la información pueda aparecer manipulada, corrupta o incompleta, afectando al desempeño de las funciones de la empresa” (Santos & Daniela, 2016, pág. 9).

Confidencialidad:

Es una propiedad que indica que la información llega solamente a las personas autorizadas. La carencia de la misma provoca fugas y filtraciones de información a persona no deseadas, así como accesos no autorizados, afectando la privacidad de la empresa. La confidencialidad es muy difícil de recuperar, pudiendo minar la confianza de los demás en la organización. (Santos & Daniela, 2016, pág. 9)

Disponibilidad: es una propiedad que indica que los servicios o activos de una empresa u organización estén cuando sea necesario. La carencia de la misma provoca una interrupción del servicio afectando a la productividad de la empresa (Santos & Daniela, 2016, pág. 10). 

 vulnerabilidad informática: es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado (Santos & Daniela, 2016, pág. 10).

Software libre: cumple cierta forma de licenciamiento. Esta forma contempla determinadas libertades

que, en teoría, puede ejercer el usuario. De estos derechos, uno significativamente importante es la libertad de estudiar cómo funciona el programa y adaptarlo a sus necesidades (Ruiz, Pacifico, & Pérez).

Políticas de seguridad: son un conjunto de reglas, normas y protocolos de actuación que se encargan de velar por la seguridad informática de la empresa.

Activo de información: son los recursos que utiliza un Sistema de Gestión de Seguridad de la Información para que las organizaciones funcionen y consigan los objetivos que se han propuesto por la alta dirección.

Marco Conceptual

ITP: se hace referencia al Instituto Tecnológico del Putumayo, es una institución de educación superior en el departamento del Putumayo.

PETI

El Plan Estratégico de las Tecnologías de la Información y Comunicaciones es el artefacto que se utiliza para expresar la Estrategia de TI. Incluye una visión, unos principios, unos indicadores, un mapa de ruta, un plan de comunicación y una descripción de todos los demás aspectos (financieros, operativos, de manejo de riesgos, etc.) necesarios para la puesta en marcha y gestión del plan estratégico. (Guzmán Orjuela & Canchala Delgado , 2017)

MIPG

Es un marco de referencia para dirigir, planear, ejecutar, hacer seguimiento, evaluar y controlar la gestión de las entidades y organismos públicos, con el fin de generar resultados que atiendan los planes de desarrollo y resuelvan las necesidades y problemas de los ciudadanos, con integridad y calidad en el servicio, según dispone el Decreto1499 de 2017. (Presidencia de la República, 2017)

Marco Contextual

El Instituto Tecnológico del Putumayo, es una institución pública de Educación Superior, creada mediante Ley 65 de 1989 como Establecimiento Público, de carácter Académico del Orden Departamental, con Personería Jurídica, Autonomía Administrativa y Patrimonio Independiente, adscrito al Departamento del Putumayo.

Es una institución comprometida con el desarrollo regional, dedicada a la formación de técnicos, tecnólogos y profesionales a través de Ciclos Propedéuticos para formar ciudadanos líderes en la transformación de su entorno. Como espacio de construcción del tejido social, fomenta el diálogo de los valores y saberes con los avances científicos, tecnológicos y sociales del mundo, a fin de consolidar la identidad y la integración

regional y nacional.

“El ITP en su plan estratégico de tecnologías de la información de 2019, establece que existen borradores de políticas de uso y seguridad de los recursos tecnológicos en la Institución” (Guzmán Orjuela & Canchala Delgado , 2017), debido a ello se pretende la adopción del MIPG, ordenado por el gobierno nacional, en el cual obliga a realizar ajustes a la web institucional, para cumplir con las exigencias de diseño y contenido.

Marco Legal

Norma NTC ISO/IEC 27001:2013: “es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa” (Cárdenas Herrera & Higuera Soto, 2016).

Norma NTC ISO/IEC 27001:2006: “Anexo A.12.6.1Control de vulnerabilidades técnicas, A.10.1.2 Gestión del cambio, A.10.3.1 Gestión de la capacidad, A.10.4.1 Controles contra códigos maliciosos, A.10.5.1 Respaldo de la información” (Icontec, 2006).

Norma ISO/IEC 27002: 2013

Esta norma denominada formalmente como Tecnología de información - Técnica de seguridad - Código de prácticas para controles de seguridad de la información ha sido diseñada de acuerdo con ISO (2015) para ser usada en organizaciones que intentan: (a) seleccionar controles dentro de un proceso de implementación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001; (b) implementar controles de seguridad de la información comúnmente aceptados; (c) Desarrollar sus propias guías de gestión de seguridad de la información. ( Valencia Duque & Orozco Alzate , 2017)

LEY 1581 DE 2012 (CONGRESO DE COLOMBIA 2012): “Por la cual se dictan disposiciones generales para la protección de datos personales” (Lee Olaya, 2018).

LEY 1273 Artículo 269A.  Acceso abusivo a un sistema informático (Código Penal)

El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes. (Código-Penal, 2019)

CONPES 3854 de 2016

El objetivo general de esta política es que los ciudadanos las entidades del Gobierno y los empresarios conozcan e identifiquen los riesgos a los que están expuestos en el entorno digital y aprendan cómo protegerse, prevenir y reaccionar ante los delitos y ataques cibernéticos.

Se basa en unos principios fundamentales, que contemplan: salvaguardar los derechos humanos y los valores fundamentales de los individuos, adoptar un enfoque incluyente y colaborativo, asegurar una responsabilidad compartida entre todos los actores involucrados y adoptar un enfoque basado en riesgos, que permita a los individuos el libre, confiable y seguro desarrollo de sus actividades en el entorno digital. (MinTIC, 2019)

LEY 527 DE 1999 - CONGRESO DE COLOMBIA: “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones” (Avance Jurídico Casa Editorial Ltda.©, 2019).

Unidades de Análisis y Métodos

En el estudio de la página web del Instituto Tecnológico del Putumayo, se realizarán las pruebas para identificar las vulnerabilidades a las que está expuesta. Se hará uso del test de penetración con un posicionamiento interno y de tipo pasivo, lo que ayudará en la detención de agujeros de seguridad presentes en la página web, asimismo esto servirá de base en la formulación de recomendaciones.

Además, se pretende dar respuesta a las preguntas que se plantearon en la formulación del problema en cuanto a las vulnerabilidades y las medidas de seguridad, por otro lado, también se busca conocer cómo se realizan los ataques a las páginas web por medio de test de penetración, para así poder generar recomendaciones sobre seguridad, teniendo en cuenta los resultados del estudio, y que se pongan en práctica por parte del administrador de la página o a quien competa, estrategias que contrarresten estas brechas de seguridad.

La metodología que se utilizara para el desarrollo de la investigación será cualitativa - descriptiva, además se aplicaran parámetros de la investigación exploratoria o también llamada interpretativa, con la cual se pretenderá resolver preguntas de qué, por qué, y como, en relación a la identificación de vulnerabilidades.

También abarca la  consulta de información, sobre las medidas de seguridad que debe tener una página web para minimizar los riesgos, tipos de vulnerabilidades existentes, revisión de la documentación de políticas de seguridad con las que cuenta la página web del ITP, entrevista al personal encargado de la administración de seguridad, y por otro lado la realización de pruebas de test de penetración a la página web, previo permiso por parte de la institución,  en busca de agujeros de seguridad que nos permitan acceder a información sensible del sistema, permitiendo así detectar las vulnerabilidades que presenta.

 Las actividades a desarrollar en el estudio son las siguientes:

• Consulta de información sobre las medidas de seguridad que debe tener una página web.
• Consulta sobre las técnicas y tipos de ataques que abarca el test de penetración para realizar ataques a las páginas web.
• Presentación de solicitud a la institución para el desarrollo de pruebas de seguridad en busca de vulnerabilidades de la página web, y consultas sobre las políticas de seguridad de la información.
• Investigación de las políticas de seguridad con las que cuenta el Instituto Tecnológico del Putumayo en cuanto a seguridad de la información en la página web.
• Selección de los programas de software libre adecuados para realizan los diferentes ataques cibernéticos.
• Realización de pruebas de ataques de test de penetración a la página web del Instituto, en busca de agujeros de seguridad que permitan el acceso a la información, previa autorización.
• Realización de informe de los resultados y vulnerabilidades encontradas durante el proceso de ataques realizados a la página.
• Análisis de los resultados obtenidos y dar las respuestas a los interrogantes propuestos en la investigación.
• Generar recomendaciones a las políticas de seguridad de la página web actual del ITP.

Referencias Bibliográficas

Valencia Duque, F., & Orozco Alzate , M. (Junio de 2017). RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação. Obtenido de http://www.scielo.mec.pt: http://www.scielo.mec.pt/scielo.php?script=sci_arttext&pid=S1646-98952017000200006

Avance Jurídico Casa Editorial Ltda.©. (8 de 10 de 2019). AJ Avance Jurídico . Obtenido de secretariasenado.gov.co: http://www.secretariasenado.gov.co/senado/basedoc/ley_0527_1999.html

Cárdenas Herrera, C. Y., & Higuera Soto, D. Y. (05 de 2016). Diseño de un sistema integrado de gestión basado en las normas ISO 9001:2015 e ISO 27001:2013 para la empresa La Casa del Ingeniero LCI. Obtenido de https://escuelaing-dspace.metabiblioteca.com.co: https://escuelaing-dspace.metabiblioteca.com.co/bitstream/001/393/1/C%C3%A1rdenas%20Herrera%2C%20Cristian%20Yohan%20-%202016.pdf

Código-Penal. (28 de Septiembre de 2019). Normatividad sobre delitos informáticos. Obtenido de POLICÍA NACIONAL DE COLOMBIA: https://www.policia.gov.co/denuncia-virtual/normatividad-delitos-informaticos

González Brito, H. R., & Montesino Perurena, R. (Octubre-Diciembre de 2018). Capacidades de las metodologías de pruebas de penetración para detectar vulnerabilidades frecuentes en aplicaciones. Obtenido de Revista Cubana de Ciencias Informáticas: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992018000400005&lng=pt&tlng=es.

Guzmán Orjuela, F., & Canchala Delgado , M. Á. (15 de Diciembre de 2017). Plan Estratégico de Tecnologías de la Información. Obtenido de www.itp.edu.co: http://www.itp.edu.co/web2016/index.php/transparencia-y-acceso-a-la-informacion/planeacion-institucional/category/206-planeacion-institucional-2019?start=20

Icontec. (22 de 03 de 2006). NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001. Obtenido de http://intranet.bogotaturismo.gov.co: http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf

Lee Olaya, Y. E. (Enero de 2018). Obtenido de Working papers: https://journal.poligran.edu.co/index.php/wpmis/article/view/1079

MinTIC. (14 de FEBRERO de 2019). Lo que usted debe saber del Conpes de Seguridad Digital. Obtenido de mintic.gov.co: https://www.mintic.gov.co/portal/inicio/Sala-de-Prensa/Noticias/15410:Lo-que-usted-debe-saber-del-Conpes-de-Seguridad-Digital

Presidencia de la República. (13 de Octubre de 2017). Modelo Integrado de Planeación y Gestión. Obtenido de www.itp.edu.co: http://www.itp.edu.co/web2016/index.php/centro-documentos/category/191-sistema-de-gestion-mipg#

Quispe Palacios, J. A., & Pérez Vinueza, D. E. (03 de Marzo de 2016). Propuesta metodológica para realizar pruebas de penetración en ambientes virtuales. Obtenido de Repositorio Institucional de la Universidad de las Fuerzas Armadas ESPE: http://repositorio.espe.edu.ec/handle/21000/11721

Ruiz, J., Pacifico, C., & Pérez, M. (s.f.). Clasificación y Evaluación de Métricas de Mantenibilidad Aplicables a Productos de Software libre. Obtenido de http://sedici.unlp.edu.ar: http://sedici.unlp.edu.ar/bitstream/handle/10915/61928/Documento_completo.pdf-PDFA.pdf?sequence=1

Santos, C., & Daniela, M. (23 de Agosto de 2016). ANÁLISIS Y DIAGNÓSTICO DE VULNERABILIDADES INFORMÁTICAS EN LA RED DE DATOS DE LA EMPRESA YOUPHONE CIA. LTDA. UTILIZANDO HACKING ÉTICO. Obtenido de http://repositorio.espe.edu.ec: http://repositorio.espe.edu.ec/jspui/bitstream/21000/12142/1/T-ESPE-053528.pdf