Introduccin a las

metodologas de
penetracin de
sistemas

Que
Que es una prueba de
penetracin?
De acuerdo con el Instituto SANS (SysAdmin
SysAdmin Audit, Networking and Security
Institute) una prueba de penetracin es::
El proceso de intentar obtener acceso a los recursos sin el conocimiento de
nombres de usuario, contraseas y otros medios normales de acceso. [] Lo
principal que separa a una prueba de penetracin de un atacante es el permiso.
El pentester tendr el permiso del propietario de los recursos informticos que
se estn probando y sern responsable de proporcionar un informe. El objetivo
de una prueba de penetracin es aumentar la seguridad de la computacin
recursos estn probando [1].

Una aproximacin para definir una prueba de penetracin podra ser un mtodo
utilizado para evaluar el nivel de seguridad de una organizacin, donde quien
realiza dicha evaluacin simula ser un atacante real que aplica una diversa
variedad de tcnicas y cuyo objetivo es encontrar vulnerabilidades (conocida o
no) a partir de errores en las configuraciones de los equipos o bien en distintos
procesos o contramedidas, sean estos de ndole tcnica o no

Tipos de pruebas de penetracin

Las pruebas de penetracin se enfocan principalmente en las siguientes

perspectivas:
Pruebas de penetracin con objetivo: se buscan las vulnerabilidades en partes
especficas de los sistemas informticos crticos de la organizacin.
Pruebas de penetracin sin objetivo: consisten en examinar la totalidad de los
componentes de los sistemas informticos pertenecientes a la organizacin. Este
tipo de pruebas suelen ser las ms laboriosas.
laboriosas
Pruebas de penetracin a ciegas: en estas pruebas slo se emplea la informacin
pblica disponible sobre la organizacin.

Pruebas de penetracin informadas: aqu se utiliza la informacin privada,

otorgada por la organizacin acerca de sus sistemas informticos. En este tipo
de pruebas se trata de simular ataques realizados por individuos internos de
la organizacin que tienen determinado acceso a informacin privilegiada.
Pruebas de penetracin externas: son realizas desde lugares externos a las
instalaciones de la organizacin. Su objetivo es evaluar los mecanismos
perimetrales de seguridad informtica de la organizacin.
Pruebas de penetracin internas: son realizadas dentro de las instalaciones de
la organizacin con el objetivo de evaluar las polticas y mecanismos internos
de seguridad de la organizacin.

Metodologas
Las metodologas de anlisis funcionan como guas para realizar determinados
objetivos, e implican una serie de mtodos.
mtodos Se dice que un mtodo es el
procedimiento para alcanzar el objetivo y, la metodologa es el estudio en s.
Aplicado este concepto al anlisis de seguridad, se refiere a las distintas maneras
de conseguir los resultados de un testeo de manera organizada y de comn
acuerdo entre distintos profesionales.

Existen un gran nmero de metodologas y cada una presenta diferentes etapas

A continuacin se presenta una breve descripcin de las metodologas:

NIST-800-42
OSSTMM
ISSAF
OWASP

NIST-800
800-42
Proporciona directrices para la planificacin y realizacin de las pruebas de
seguridad de la informacin y evaluaciones de la seguridad tcnica, anlisis de
los resultados y el desarrollo de la mitigacin estrategias.
Proporciona recomendaciones prcticas para el diseo, implementacin y
mantenimiento tcnico informacin relativa a las pruebas de seguridad y los
procesos y procedimientos de evaluacin, que puede ser utilizado para varios
propsitos, tales como la bsqueda de vulnerabilidades en un sistema o red y
verificar el cumplimiento de una poltica o de otro tipo.

Esta gua presenta un resumen

de los elementos clave de las
pruebas de seguridad tcnica y
la evaluacin con nfasis en
tcnicas
especficas,
sus
beneficios y limitaciones y
recomendaciones para su uso.
De acuerdo con el NIST-800-42
una prueba de penetracin se
divide en 4 fases, estas fases se
pueden ver en la figura 1.

Figura1. Etapas de una prueba de penetracin

(NIST-800-42)

En la fase de planificacin, se identifican las normas, la aprobacin de la

gestin y se establecen los objetivos de prueba.
La fase de planificacin establece las bases para una prueba de penetracin
exitosa. No se realizan pruebas durante esta fase.
La fase de descubrimiento comienza la prueba real. El escaneado en red
(escaneo de puertos), se utiliza para identificar objetivos potenciales. Adems
de la exploracin de puertos, otras tcnicas se utilizan habitualmente para
reunir informacin sobre la red objetivo:
objetivo

La segunda parte de la fase de descubrimiento es el anlisis de la vulnerabilidad. Durante

esta fase, servicios, aplicaciones y sistemas operativos escaneados se comparan con las
bases de datos de vulnerabilidad (por escneres de vulnerabilidad de este proceso es
automtico).
La ejecucin de un ataque es donde las vulnerabilidades potenciales previamente
identificados son verificadas intentando explotarlas.
Con frecuencia, los ataques que se ejecutan durante la ejecucin del ataque no otorgan el
mximo nivel de acceso que se pueden obtener por un atacante. En su lugar se puede
ocupar un equipo de pruebas para aprender ms sobre la red objetivo y sus posibles
vulnerabilidades.
En cualquiera de los casos, se requiere anlisis y pruebas adicionales para determinar el
verdadero nivel de riesgo para la red. Esto se representa en el ciclo de realimentacin entre
el ataque y la fase de descubrimiento que se puede ver en la figura 2.

Figura 2. Fase de ataque

(NIST 800-42)
800

Mientras que en el escaneo de vulnerabilidades slo se comprueba que puede

existir una vulnerabilidad, en la fase de ataque de una prueba de penetracin se
explota la vulnerabilidad, lo que confirma su existencia. La mayora de las
vulnerabilidades explotadas se dividen en las siguientes categoras:
categoras
Buffer Overflow
Ingeniera social
Troyanos
Permisos en directorios y archivos

La fase de reporte de informacin se produce de forma simultnea con los otros

tres fases de la prueba de penetracin (tal y como se puede ver en la figura 1).
En la fase de planificacin, se han desarrollado normas, los planes de prueba y el
permiso por escrito.
En la fase de descubrimiento y ataque generalmente se mantienen informes
peridicos.
Al final una prueba se entrega un informe general donde se describen las
vulnerabilidades identificadas, adems se proporcionan una calificacin de
riesgo, y orientaciones sobre la mitigacin de las vulnerabilidades descubiertas.

Information System Security

Assessment Framework (ISSAF)
De acuerdo con la metodologa ISSAF, un proceso completo de evaluacin de
seguridad de un Sistema de Informacin debe dividirse en las fases:
I. Planeacin y preparacin
II. Evaluacin
III. Reporte, Limpieza y Destruccin de huellas

Estas 3 fases definen el trabajo total de un hackeo tico, estas tres fases y las
partes que las componen se pueden observar en la figura 3.

Figura 3. Metodologa ISSAF

Fuente figura: http://datateca.unad.edu.co/contenidos/233016/EXE_SAM/leccin_29_issaf.html

En esta fase comprende los pasos iniciales para el intercambio de informacin,

planificar y prepararse para la prueba. Asimismo se especificar la participacin
del equipo, las fechas exactas, los tiempos de la prueba, la escalada de
privilegios y otros arreglos.
Las siguientes actividades son previstas en esta fase.
Identificacin de las personas de contactos de ambas partes
Apertura de Reunin para identificar el alcance, el enfoque y la metodologa, de acuerdo a
los casos de pruebas, la escalada de privilegios y los Path.

La fase de evaluacin el proceso central de la metodologa ya que es la intrusin o

penetracin en los sistemas. Para lograr una intrusin exitosa se requiere dividir el
proceso de ataque diferentes fases donde cada una tiene un objetivo en especfico
para lograr la intrusin.
Recoleccin de Informacin
Mapeo de la red de trabajo
Identificacin de vulnerabilidades
Penetracin
Obtener Acceso y escalada de privilegios
Enumeracin
Comprometer usuarios remotos y sitios
Mantener Acceso

En la fase de reportes, Limpieza y Destruccin de Objetos se presentan reportes

En el curso de pruebas de penetracin en caso de que una cuestin crtica sea identificada, se debe
informar de inmediato para garantizar que la organizacin este consciente de ello. En este punto
crtico debe ser discutido y buscar contramedidas para resolverlos problemas.
Despus de la terminacin de todos los casos de prueba definidos, un informe escrito general que
describa los resultados detallados de las pruebas y los exmenes debe ser entregado adems debe
contener recomendaciones para la mejora. El informe debe seguir una estructura bien documentado
debe contener:
1. Resumen
2. Alcance del proyecto
3. Herramientas utilizadas (Incluyendo Exploits)
4.. Fechas y horas reales en las que se llev a cabo las pruebas en el sistema

Todos y cada una de las salida de las pruebas realizadas (con exclusin de informes de anlisis de
vulnerabilidad que pueden ser incluidos como documentos adjuntos).
Toda la informacin que se crea y / o son almacenados en los sistemas de prueba deben ser
removido de estos sistemas. Si estos es por alguna razn no fueran posibles remover desde un
sistema remoto, todos estos archivos (con su ubicacin) deben mencionarse en el informe
tcnico para que el cliente y el personal tcnico fuera capaz de eliminar estos despus de que el
informe haya sido recibido.

Open Web Application Security

Project (OWASP)
La metodologa de pruebas de intrusin de aplicacin web OWASP se basa en un
enfoque / acercamiento de caja negra. La persona que realiza las pruebas tiene
poca, o ninguna, informacin sobre la aplicacin que va a ser comprobada.
El modelo de pruebas consta de:
Auditor:: La persona que realiza las actividades de comprobacin
Herramientas y metodologa: El ncleo de este proyecto de gua de pruebas
Aplicacin: La caja negra sobre la que realizar las pruebas

Las pruebas se dividen en 2 fases:

Modo pasivo: en el modo pasivo, la persona a cargo de la realizacin de las
pruebas intenta comprender la lgica de la aplicacin, juega con la aplicacin;
puede usarse una utilidad para la recopilacin de informacin, como un proxy
HTTP, para observar todas las peticiones y respuestas HTTP.
Al final de esta fase esta persona debera comprender cuales son todos los
puntos de acceso (puertas) de la aplicacin (p.e. cabeceras HTTP, parmetros,
cookies).
Todos los datos encontrados en esta fase representan un punto a ser
comprobado. Una hoja de clculo con el rbol de directorios de la aplicacin y
todos los puntos de acceso puede ser til para la segunda fase.

Modo activo: en esta fase la persona a cargo de la comprobacin empieza a

realizar las pruebas.
El conjunto de pruebas se divide en 9 subcategoras:
Pruebas de gestin de la
configuracin
Pruebas de la lgica de
negocio
Pruebas de Autenticacin
Pruebas de Autorizacin
Pruebas de gestin de
sesiones

Pruebas de validacin de
datos
Pruebas de denegacin de
Servicio
Pruebas de Servicios Web
Pruebas de AJAX

La primera fase en la evaluacin de seguridad se centra en recoger tanta

informacin como sea posible sobre una aplicacin objetivo.
La recopilacin de informacin es un paso necesario en una prueba de intrusin.
Esta tarea se puede llevar a cabo de muchas formas. Utilizando herramientas de
acceso pblico (motores de bsqueda), scanners, enviando peticiones HTTP
simples, o peticiones especialmente diseadas, es posible forzar a la aplicacin a
filtrar informacin al exterior va los mensajes de error devueltos, o revelar las
versiones y tecnologa en uso por la aplicacin.

Open Web Application Security

Project (OSSTMM)
OSSTMM es un manual de metodologas para pruebas y anlisis de seguridad.
Se encuentra publicado bajo la licencia Creative Commons 3.0, permitiendo la
libre utilizacin y distribucin.
Como proyecto de Software Libre, est abierto para que cualquier analista de
seguridad pueda contribuir a la mejora del manual.
El manual est realizado por ISECOM (Institute for Security and Open
Methodologies), bajo la direccin de Pete Herzog.
Esta metodologa busca establecer un mtodo cientfico para el anlisis de la seg
uridad, evitando basarse en la experiencia y subjetividades del analista.

Se trata de realizar una medicin del estado de la seguridad en un ambiente operativo, teniendo
en cuenta los controles (medidas de seguridad) en las interacciones y las limitaciones
(debilidades o vulnerabilidades) que stos puedan presentar.
Define el concepto de seguridad operacional como una combinacin entre separacin
y controles, donde la separacin de una amenaza y el activo representan la seguridad total, y
en caso de no poder separar la amenaza del activo, es posible establecer controles para
ofrecer proteccin.
OSSTMM define diez tipos de controles (que abarcan todas las medidas de
proteccin posibles) y tambin propone el anlisis de las limitaciones que pueden encontrarse en
dichos controles. En pocas palabras, la separacin ofrece seguridad total, y en los casos que no
se pueda brindar separacin, se aplican controles para aumentar la proteccin. A su vez, stos
cuentan con limitaciones, que disminuyen dicha proteccin. Cada una de estas caractersticas es
medida de tal forma que se obtiene un valor que indica el estado de la seguridad operacional en
un instante dado.

Se compone de las siguientes fases:

Seccin A -Seguridad de la Informacin
Revisin de la inteligencia competitiva
Revisin de la privacidad
Recoleccin de documentos

Seccin B - Seguridad de los Procesos

Testeo de Solicitud
Testeo de sugerencia guiada
Testeo de las Personas Confiables.

Seccin C - Seguridad en las tecnologas de

Internet
Sondeo de la Red
Escaneo de Puertos

Identificacin de Servicios
Identificacin del Sistema
Bsqueda de Vulnerabilidades y Verificacin
Testeo de Aplicaciones de Internet
Testeo del Router
Testeo de Sistemas de Confianza
Testeo de Firewall
Testeo de Sistemas de Deteccin de Intrusos
Testeo de Medidas de Contencin
Password Cracking
Testeo de Denegacin de Servicio
Revisin de las Polticas de Seguridad

Seccin D - Seguridad en las

Comunicaciones
Testeo de PBX
Testeo de Buzn de Voz/Contestador
Revisin de los faxes
Testeo de Mdems

Seccin E - Seguridad Inalmbrica

Testeo de Radiacin Electromagntica
Testeo de Redes Wireless
Testeo de Redes Bluetooth
Testeo de Dispositivos Inalmbricos
Testeo de Dispositivos Inalmbricos
de Mano
Testeo de Comunicaciones Inalmbricas

Dispositivos de Vigilancia Inalmbricos

Dispositivos de Transacciones inalmbricas
Testeo de RFID
Testeo de Infrarrojos
Revisin de privacidad.

Seccin F - Seguridad Fsica

Revisin de Permetro
Revisin de Monitorizacin
Testeo de Controles de Acceso
Revisin de Respuesta ante Alarma
Revisin de Localizacin
Revisin del Entorno

Fase 1: Regulaciones
Postura de revisin: Identificacin de regulaciones y polticas legislativas que aplican al objetivo.
Logstica: Evaluar la latencia de la red, la locacin del servidor; ya que podra modificar los resultados
del proyecto.
Fase 2: Definiciones
Visibilidad: Una vez que se define el enfoque del proyecto, se procede a definir el alcance en base a la
visibilidad de los equipos.
Verificacin de accesos: Identificacin de puntos de acceso al objetivo.
Verificacin de confianza: Comnmente los sistemas tienen relaciones de confianza con otros
sistemas; este mdulo determina dichas relaciones.
relaciones
Verificacin de controles: Este mdulo mide la capacidad de vulnerar la confidencialidad, integridad,
privacidad y no repudio de un sistema ya que los controles usados no pudieron prevenir el ataque.

Fase 3: Informacin
Verificacin de procesos: El asesor examina que procesos estn colocados para asegurar la
postura de seguridad del sistema; para evaluar la efectividad de dichos procesos.
Verificacin de configuracin: Este mdulo examina los procedimientos por omisin del
negocio y luego se comparan con los requeridos por el negocio.
Validacin de propiedad: Identifica la propiedad intelectual de los objetivos y valida el
licenciamiento de estos.
Revisin de segregacin: Intentos para identificar informacin personal en el sistema; en el
cual la informacin puede ser accedida por usuarios autenticados o no autorizados.
Validacin de informacin expuesta: Identifica que informacin se tiene expuesta desde
internet, referente a los sistemas objetivos.
Bsqueda de informacin competitiva: Identifica la informacin de los competidores que
podra impactar al propietario de los sistemas.
sistemas

Fase 4:
Prueba de controles interactivos
Verificacin de cuarentena: Valida la capacidad del sistema de aislar accesos al sistema de
manera externa y datos de manera interna.
Auditora de privilegios: Examina la capacidad de elevar privilegios en el sistema
Validacin de supervivencia: capacidad del sistema para subsistir a mltiples situaciones
adversas.
Revisin de bitcoras: Revisin de todos los servicios de auditora.

Referencias
[1] Northcutt, S., Shenk, J., Shackleford,, D., Rosenberg, Tim., Siles, R., y Mancini, S.
Penetration Testing: Assessing Your Overall Security Before Attackers Do. SANS Institute.
Recuperado el 1 de Agosto de 2016, del sitio web del Instituto SANS (SysAdmin Audit,
Networking and Security Institute): https://www.sans.org/readinghttps://www.sans.org/reading
room/whitepapers/analyst/penetration-testing
testing-assessing-security-attackers-34635.
NIST 800-42 Guideline on Network Security Testing. Recuperado el 1 de febrero de
2016, del sitio de NIST (National Institute of Standards and Technology):
http://csrc.nist.gov/publications/nistpubs/800
csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Gua de pruebas de OWASP. Recuperado el 2 de febrero de 2016, del sitio de OWASP:
https://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.p
://www.owasp.org/images/8/80/Gu%C3%ADa_de_pruebas_de_OWASP_ver_3.0.p
df

OSSTMM 2.1. Manual de la Metodologa Abierta de Testeo de Seguridad.

Recuperado el 2 de febrero de 2016 del sitio de ISECOM:
http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf.
isecom.securenetltd.com/OSSTMM.es.2.1.pdf.
OSSTMM 3.0. The Open Source Security Testing Methodology Manual.
Manual