INTRODUCCIÓN
han ganado notoriedad. Es así que encontramos ejemplos como el bien conocidoWannaCryel
cual en el año 2017 generó muchas pérdidas tanto monetarias como de información,
infectando más de 300.000 ordenadores en más de 180 países usando una vulnerabilidad
conocida pero la cual no había sido correctamente parchada (Frieiro, Pérez & Pascual, 2017).
Luego de conocer los ejemplos anteriores nos damos cuenta que, adicional a la calidad
y utilidad de las aplicaciones web, es necesario que los desarrolladores presten especial
atención a la seguridad de las mismas. Debido a ello es que día a día los oficiales de
seguridad de las empresas, así como también los profesionales de seguridad, están en la
Se han encontrado casos en los que una vulnerabilidad, cuya solución ha sido
instituciones entre los que están instituciones educativas (BBC, 2017), así como también gran
Por lo general las fallas en la fuente de alimentación son provocadas por una sobre-
tensión, que es la subida inesperada de tensión de la toma de red eléctrica, otra causa del
problema es el sobrecalentamiento el cual se provoca por acumulación de polvo en la fuente
de alimentación, falla del ventilador u obstrucción de la ruta de evacuación del aire caliente
de la fuente de alimentación.
¿Cuáles son las fallas que presentan la fuente de alimentación de las máquina
de hemodiálisis B|Braun?
¿Cuáles son las teorías que fundamentan las fallas que presentan la
alimentación de las máquina de hemodiálisis B|Braun para así poder diseñar un protocolo de
mantenimiento correctivo.
La investigación va a hacer posible que en ante una falla de las fuente de alimentación de
de las máquina de hemodiálisis B|Braun, situación que pueden ser investigada por la ciencia,
una vez que sean demostrados su validez y confiabilidad podrán ser utilizados en otros
trabajos de investigación.
Peñafiel y Ramón (2013). En su trabajo de investigación, que lleva por título Diseño
y montaje de una fuente conmutada para alimentación de convertidor multinivel, este
proyecto tiene como objetivo brindar a los estudiantes y docentes una plataforma que
permita generar conocimiento a partir de procesos prácticos y experimentación. Una de las
conclusiones a las que se llego es que en fuentes de este tipo, y mas aun para aplicaciones
susceptibles a daños, es imprescindible brindar buenos niveles de protección, de allí la
importancia de la utilización de conectores de buena calidad, tespoints, fusible, disipadores.
Lozoya (2018), en su trabajo de investigación que lleva como título Desarrollo de una
fuente conmutada fuera de línea, tiene como objetivos 1. Diseñar y desarrollar una fuente de
voltaje constante con base en una topología conmutada fuera de línea. 2. Investigar y aplicar
algún método de compensación para el lazo de control de la fuente, que permita reducir los
efectos de sobretiro y velocidad de repuesta de la fuente ante perturbaciones súbitas de la
carga. 3. Investigar el procedimiento del diseño y desarrollo para los transformadores basados
en núcleo de ferrita, así como de tierras raras. Las conclusiones son 1. En el desarrollo de la
tesis se presentaron los pasos necesarios para obtener una fuente de alimentación a partir de la
línea eléctrica doméstica. Con la implementación de transformadores de núcleo de ferrita. 2.
La fuente de alimentación solo cuenta con una salida, sin embargo, se pueden colocar más
devanados en el lado del secundario, permitiendo obtener múltiples salidas. Por esta razón
consideramos que el diseño desarrollado sienta una base para el futuro desarrollo de
configuraciones más elaboradas que permitan el diseño de fuentes con un mayor desempeño.
3. Por último este trabajo nos permite observar cómo se conjugan diferentes ámbitos de la
Ingeniería en Electrónica, como es el diseño analógico, fundamentos de electrónica digital,
instrumentación electrónica y control analógico.
Rodríguez (2018), en su trabajo de fin de curso que lleva como título Diseño,
fabricación y validación de fuentes de alimentación, tiene como objetivos 1. Cálculo y diseño
esquemático del circuito electrónico. 2. Simulación del comportamiento del mismo. 3.
Selección de componentes. 4. Diseño e implementación del hardware. 5. Fabricación. 6.
Pruebas de validación y viabilidad. Las conclusiones son 1. En el conjunto del proyecto, se ha
calculado, diseñado y validado tres fuentes de alimentación conmutadas de topologia buck
para su posterior comercialización. 2. El proyecto de ha enmarcado dentro de los convertidores
DC/DC, una rama de la electrónica de potencia que ha ido evolucionando a lo largo de los
años de los reguladores lineales a las SMPS mas modernas, en pleno auge actualmente gracias
a la búsqueda de la miniaturización y de la eficiencia para su uso en aplicaciones de
alimentación, principalmente. 3. Apartir de una tabla de especificaciones y de unos
controladores inicialmente dados, se ha comenzado calculando los valores de los componentes
para cumplir con los requisitos, y posteriormente se han corregido algunos gracias a la
simulación del comportamiento de las fuentes de alimentación, pues las formas de las ondas
simuladas no se encontraban dentro de las especificaciones. 4. El diseño hardware ha sido la
parte central del proyecto. Tanto la PCB de las fuentes de alimentación como la de la carga
electrónica, han diseñadas en EAGLE, primero a nivel esquemático para posteriormente
conformar la placa con este programa de EDA. Tras el diseño se han propuesto una serie de
cambios y mejoras antes de ser enviadas a fabricar y, a posteriormente, ser montadas. 5. Para
la validación de los convertidores se han realizado unas pruebas de eficiencia. Para ello se han
probado en casos de carga nominal, de funcionamiento a plena carga y casos intermedios para
comprobar el correcto funcionamiento y que los resultados obtenidos están acordes con las
especificaciones inicialmente marcadas. 6. Visto los resultados de las pruebas de las fuentes de
alimentación, todas las fuentes funcionan y presentan unos rendimientos superiores a los
especificados, por lo que los resultados son positivos.
Romero y Roman (2015), en su trabajo de investigación que lleva como título Diseño
aplicaciones en iluminación led, tiene como objetivo determinar y proponer una metodología
topología Flyback para aplicaciones en iluminación LED. Una de las conclusiones a las que
se llego es que si fue posible elaborar un método de procedimiento paso a paso para diseñar
y dimensionar cada componente que integra una fuente en modo conmutado con topología
Flyback, para aplicaciones en iluminación LED. Además este procedimiento se puede usar
para diseñar fuentes de alimentación para cualquier equipo que necesite una fuente con
A. Definición de lavariable
Rafique et al. (2015) sostienen que las tecnologías de aplicaciones web proveen un
usuarios alrededor del mundo usan las aplicaciones web para obtener información, realizar
la información que es contenida por y enviada a través de aplicaciones web. De ese modo, las
a. Confidencialidad
evita que la información caiga en manos de aquellos a los que se debe impedir el acceso.
b. Disponibilidad
información está disponible para los procesos en los que se requiera, y que los controles y
c. Integridad
Propiedad en la que la información es precisa y completa (ISO / IEC, 2018: pág. 5).
Así mismo, según Laybats y Tredinnick (2016) la integridad se refiere con
Teniendo en cuenta la cantidad de usos que se les puede dar a las aplicaciones web, es
necesario que éstas tengan algunas características que aseguren la calidad de la aplicación. Es
por ello que Offut (2002) determina 7 criterios para determinar la calidad de una aplicación
web:
a. Confiabilidad
Los usuarios de aplicaciones web esperan que éstas funcionen con la misma
confiabilidad como si fuesen a la tienda, banco o institución. En caso las aplicaciones web no
funcionen bien, los usuarios pueden dirigirse a otra tienda, banco o institución simplemente
ingresando a otras URL, suponiendo grandes pérdidas de dinero (Offut, 2002: pág. 5).
b. Usabilidad
Al ser una gran cantidad los usuarios que usan las aplicaciones web, ellos esperan que
estas aplicaciones sean fáciles de usar y / o cuenten con un entorno amigable. En caso de no
diseñar una aplicación web de esta manera, sumado a la mínima lealtad a los sitios web por
parte de los usuarios, supondrá la pérdida de gran cantidad de usuarios (Offut, 2002: pág: 5).
c. Seguridad
Debido a la gran cantidad de funciones que una aplicación web puede realizar, una
daños, consecuencias legales y pérdida de credibilidad ante los clientes. Es debido a esto, la
seguridad es esencial para las aplicaciones, sobre todo para aquellas que almacenan
Por obvias razones, este criterio es alrededor del cual girará la presente investigación.
d. Disponibilidad
Disponibilidad se entiende por estar operativo todos los días y por todos los
navegadores. Esto supone que las aplicaciones web no pidan algún complemento adicional
e. Escalabilidad
Esto significa que la aplicación web debe estar preparada para crecer tanto en
números de usuarios que ingresan como en servicios que puede ofrecer (Offut, 2002: pág. 6).
fallos en este criterio terminan en un ataque DoS, haciendo que la aplicación no seaaccesible.
f. Mantenibilidad
corrección pueda ser capaz de desplegarse en el menor tiempo posible, y sin usar recursos
Adicionalmente, toda actualización debe de pasar ciertos filtros previos ya que podrían
g. Oportuno
Por algunos puede no ser considerado muy importante, pero se debe saber que es igual
de crítico que los demás criterios. Este criterio supone que todo despliegue de aplicaciones
web debe tratarse siempre a tiempo y ser lo suficientemente novedoso para los usuarios
atacantes: atacantes web y atacantes de red. Un atacante web controla al menos un servidor
arbitrario elegido por el atacante. Los atacantes de red amplían las capacidades de los
atacantes web con la capacidad de detectar e interceptar todo el tráfico enviado entre dos
ataques de red son posiblemente más difíciles de llevar a cabo que los ataques web, pueden
tener consecuencias catastróficas ya que le otorgan al atacante control total sobre las páginas
A. Definición de lavariable
software. Sus siglas en inglés son:Open Web Application Security Project; que significa
Proyecto Abierto de seguridad de aplicaciones web. Tiene como misión hacer que la
seguridad de software sea visible, de manera que organizaciones e individuos puedan tomar
decisiones informadas. La forma en que opera es como comunidad, brindado herramientas y
B. OWASP Top 10 – 2017 The Ten Most Critical Web Application Security
Risks.
las aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más
críticos para las aplicaciones web. Los miembros del proyecto incluyen una variedad de
expertos en seguridad de todo el mundo que han compartido su experiencia para producir esta
ni una norma. Por el contrario, se trata de la lista de los riesgos a los que las aplicaciones
web están más expuestos, luego de hacer una consulta a diversos profesionales. La lista se
en los años anteriores, así como también de la “popularidad” que tienen algunos durante el
periodo.
a. A1:2017Inyección
De acuerdo a OWASP (2017), las inyecciones ocurren cuando los datos que no son de
confianza se envían a un intérprete como parte de una consulta o comando; de manera que los
datos que envía el atacante puede engañar al intérprete para que ejecute comandos no
comoelidentificador deusuario:
http://example.com/app/account?id=12345
http://example.com/app/account?id=’ or ‘1’=’1
siguiente:
usaSQL. Se debe tener en cuenta que la inyección no sólo ataca a este lenguaje para
consultas, sino también a otros comoLDAP, SOAP, XPathy consultas basadas enREST.
como también explotar otras fallas de implementación para asumir identidades de manera
temporal o permanente.
Para explicar mejor este riesgo, podemos brindar varios ejemplos de lo que un
e inyectar códigomalicioso.
Con los ejemplos anteriores, podemos observar que implicancias tiene el que una
sesiones adecuado.
proceso en el que se verifica que un usuario, entidad u aplicación web es quien dice ser. Esto
se logra utilizando nombres de usuario o números de ID, junto con alguna información
aplicaciones mantiene el estado de una entidad, el cual interactúa con el servidor (Keary et
al., 2017). Esto es necesario para que un servidor recuerde cómo reaccionar a solicitudes
un identificador de sesión que se puede pasar de un lado a otro entre el cliente y el servidor al
transmitir y recibir solicitudes. Las sesiones deben ser únicas por usuario y
permitiendo que un atacante pueda sustraer la información y realizar delitos como fraude con
podrían ser:
La base de datos de credenciales usa hashes simples o sin una clave secreta
la totalidad de la tabla y todas las credenciales podrían ser expuestas con una
entidades externas se pueden utilizar para divulgar archivos internos utilizando el manejador
Hay algunos tipos diferentes de entidades, en la que la entidad externa es aquella que
divulgar información confidencial que normalmente no podría ser accedida por la aplicación
(OWASP, 2017).
pueden hacer a menudo no se aplican correctamente, permitiendo que los atacantes puedan
explotar estos defectos para acceder a funcionalidades y/o datos no autorizados, así como
acceder a cuenta de otros usuarios, ver archivos confidenciales, modificar datos de otros
un recurso)
Como se conoce, los atacantes tratarán de sacar provecho de los defectos sin parchar o
acceder a cuentas por defecto, directorios o archivos desprotegidos con tal de ganar acceso no
autorizado al sistema. Cabe mencionar que estos errores pueden suceder a cualquier nivel de
preinstaladas.
OWASP(2017) nos brinda algunos ejemplos en donde podemos observar por qué
elservidor.
archivos Java, los que descompila y aplica ingeniería inversa para obtener
el código. Con esto, el atacante puede encontrar una falla para lograr
comprometer laaplicación.
datos no confiables en una nueva página web sin la validación adecuada, o actualiza una
página web con datos proporcionados por el usuario usando unaAPIde navegador que puede
víctima que pueden secuestrar sesiones de usuario, desfigurar sitios web o redirigir al usuario
a sitios maliciosos.
en sitios web benignos. Estos ataques ocurren cuando un atacante usa una aplicación web
para enviar un código malicioso a otro usuario. Los fallos que normalmente permiten estos
ataques son bien conocidos y ocurre siempre y cuando una aplicación web utiliza la
información de un usuario dentro de la salida que genera, sin validarla ni codificarla. De esta
manera, un atacante envía scripts maliciosos a un usuario, cuyo navegador no tiene forma de
saber que el script no es verídico ya que este proviene de un servidor confiable, logrando
XSS Reflejado (No persistente o Tipo 2): Ocurre cuando la entrada delusuario
proporcionada por el usuario como parte de la solicitud, sin que los datos sean seguros
XSS basado en DOM (Tipo 0): En este tipo, el flujo de datos contaminados
información nunca sale del navegador. Por ejemplo, la fuente (donde se leen
privilegios.
objeto a un formato de datos específico, que puede ser restaurado más adelante. Este proceso
es comúnmente usado para almacenar objetos o enviarlos a través de algún medio. Entendido
Existen muchos formatos para serializar y deserializar objetos, así como también
muchos lenguajes que ofrecen una capacidad nativa para realizar este proceso.
reutilizarse para efectos maliciosos cuando se opera con datos que no son de confianza,
llegando a ser víctima deDoS, control de acceso o ejecución remota de código (Dabirsiaghi y
Hsu, 2018).
Este tipo de ataques sucede cuando los desarrolladores no ponen restricciones a
inmutable. La solución que se les ocurrió fue serializar el estado del usuario y
marcos y otros módulos de software se ejecutan con los mismos privilegios que la aplicación;
debido a ello si se explota algún componente vulnerable, el ataque podría conducir a una
pérdida grave de información o al compromiso del servidor. Las aplicaciones oAPIsque usan
aplicaciones.
una violación de seguridad es mayor a 200 días, siendo normalmente detectados por terceros
estimar lo más preciso posible el nivel de riesgo al que están expuestos los sistemas. Así
mismo, el modelo da unas pautas acerca de cómo calificar el nivel de probabilidad e impacto.
D. Dimensionamiento de lavariable
a. Impacto
riesgo, es necesario considerar dos tipos de impacto: impacto técnico e impacto empresarial.
El impacto técnico tiene que ver con la aplicación, la información que utiliza y las funciones
que brinda. El impacto empresarial tiene que ver con el negocio, sus finanzas, reputación,
auditorías y privacidad.
b. Posibilidad
atacante descubra y aproveche una vulnerabilidad. Así mismo, indica que hay una serie de
que pueden existir múltiples agentes de amenaza que pueden explotar una
c. Riesgo
El riesgo está asociado con el potencial en que las amenazas pueden explotar
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
2.3. Marcoconceptual
objetos que los programadores pueden usar para crear software o interactuar con un sistema
externo.
Proporciona a los desarrolladores comandos estándar para realizar operaciones comunes para
no autorizado o hacer un uso no autorizado de los activos de una organización (ISO / IEC,
dispositivo, práctica, o cualquier otra acción que modifica el riesgo (ISO / IEC, 2018: pág. 3).
restringido basado en los requerimientos de seguridad y del negocio (ISO / IEC, 2018:
pág. 1).
3.1. Hipótesisgeneral
3.2. Hipótesisespecíficas
explotan para comprometer las aplicaciones web de las instituciones del sectoreducativo.
correctamente los riesgos a los que está expuesto una aplicación web y tomar unadecisión
para sumitigación.
3.3. Variables
Tabla 3.
Operacionalización de variable “X”
Dimensiones Indicadores Técnica / Instrumento / Rangos
4.3.1. Población
4.3.2. Muestra
ninguna fórmula estadística. Teniendo en cuenta los datos de ataques a aplicaciones web a
instituciones educativas listados enOWASP WASC Web Hacking Incidents Database Project,
se contarán con 27 casos de ataques a aplicaciones web entre 2010 y 2015. Se aplicarán
análisis de riesgos a las vulnerabilidades que fueron explotadas para que los ataques
recomendaciones técnicas.
Tabla 5.
Frecuencias de la muestra de estudio: Instituciones educativas atacadas poraño
2010 2
2011 7
2012 8
2014 3
2015 7
Total general 27
Nota.Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project, 2015
(Elaboración propia).
7%
26%
2010
26% 2011
2012
2014
2015
11%
30%
Figura 9. Frecuencia de la muestra de estudio: Instituciones educativas atacadas por año.
Fuente: Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project,2015
(Elaboraciónpropia).
Tabla 6.
Frecuencias de la muestra de estudio: Métodos de ataques registrados
Método de Ataque Cantidad
Abuso de funcionalidad 2
Envenenamiento de motor de búsqueda 1
Fuerza Bruta 2
Inyección de Código 1
Inyección SQL 15
Inyección XSS 1
Robo de Credenciales 4
Spoofing de contenido 1
Total 27
Nota.Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project, 2015
(Elaboración propia).
Abuso de funcionalidad
4% 4%
55%
Figura 10. Frecuencia de la muestra de estudio: Métodos de ataques registrados
Fuente: Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project, 2015
(Elaboración propia).
Tabla 7.
Frecuencias de la muestra de estudio: Vulnerabilidades explotadas registradas
Vulnerabilidad explotada Cantidad
Autenticación insuficiente 5
Configuración incorrecta de la aplicación 1
Indexación insegura 1
Insuficiente Anti-automatización 1
Manejo de entrada incorrecto 17
Manejo de salida incorrecto 1
Recuperación de contraseña insuficiente 1
Total 27
Nota.Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project, 2015
(Elaboración propia).
Autenticación insuficiente
63%
Figura 11. Frecuencia de la muestra de estudio: Vulnerabilidades explotadas registradas
Fuente: Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project,2015
(Elaboraciónpropia).
Tabla 8.
Frecuencias de la muestra de estudio: Impactosregistrados
Impacto Cantidad
Adquisición de cuenta 1
Desfiguración 2
Desinformación 1
Perdida de reputación por enlace spam 1
Fraude 3
Fuga de información 17
Secuestro de sesión 1
Spam 1
Total 27
Nota.Datos obtenidos de OWASP WASC Web Hacking Incidents Database Project, 2015
(Elaboración propia).
4% 4% 3%
7% Adquisición de cuenta Desfiguración Desinformación Enlace spam
4% Fraude
Fuga de información Secuestro de sesión Spam
4%
11%
63%
impacto, posibilidad y riesgo que tuvieron las aplicaciones web de las instituciones
clasificará el riesgo según elOWASP Top 10: The Ten Most Critical Web ApplicationSecurity
Risks, a partir del cual se realizarán recomendaciones técnicas o controles para poder mitigar
obtenidos.
nivel de impacto, se hará un promediado y redondeo de cada tipo de impacto para obtener el
nivel de impacto final. Se determinarán tanto impacto técnico como impacto empresarial.
49
Tabla 9.
Impacto Técnico
Impacto Técnico
(OWASP Risk Rating Methodology), en la cual los valores serán representados del 1 al 5
obtener el nivel de posibilidad final. Se determinarán tanto posibilidad del factor agente de
Tabla 11.
Posibilidad – Factor Agente de Amenaza
Posibilidad – Factor Agente de Amenaza
Oportunidades
Motivación
Nivel de Habilidad (¿Qué recursosy Tamaño
Nivel Puntaje (¿Qué motiva a los agentes
(¿Qué tan habilidosos oportunidades se requieren (¿Qué tan grande es
de amenaza a buscar y
técnicamente son los para que este grupo deagentes el grupo de agentes de
explotar una
agentes de amenaza?) de amenazas encuentre y explote amenaza?)
vulnerabilidad?)
estavulnerabilidad?)
Habilidades de
Usuarios anónimos de
Muy posible 5 penetración de Gran recompensa No requiere acceso o recursos.
internet.
seguridad.
Habilidades de
Requiere algunos accesos o Usuarios externos
Posible 4 networking y -
recursos. autenticados.
programación.
Desarrolladores y/o
Muy poco Algunas habilidades
2 - - administradores de
posible técnicas.
sistemas.
Facilidad de
Facilidad de explotación
descubrimiento Conocimiento Detección
Nivel Puntaje (¿Qué tan fácil es para este
(¿Qué tan fácil es para (¿Cuán conocida esesta ¿Cuán probable
grupo de agentes de
este grupo de agentes vulnerabilidad para elgrupo es que se
amenazas explotar esta
de amenazas descubrir de agentes deamenaza? detecte un
vulnerabilidad?)
esta vulnerabilidad?) exploit?)
Herramientas
Herramientas automatizadas No se mantiene
Muy posible 5 automatizadas Conocimiento público.
disponibles. registro.
disponibles.
Se mantiene
Posible 4 Fácil. - Obvia. registro y no
se monitorea.
Poco
3 - Fácil Oculta. -
posible
Se mantiene un
Muy poco
2 Difícil. Difícil. - registro y se
posible
monitorea.
Prácticamente Detección activa
Imposible 1 Teórico. Desconocida.
imposible. en la aplicación.
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Así mismo, nos basaremos en el siguiente cuadro para obtener el nivel de riesgo.
siguiente:
Riesgo Bajo: Se acepta el nivel deriesgo.
mes.
mayor a 1semana.
V. ANALISIS E INTERPRETACION DERESULTADOS
Tal como se indicó, se realizó la estimación del nivel de riesgo antes y después de
proponer las recomendaciones técnicas, las cuales debido a la extensión de las mismas, el
obtenidos:
Tabla 13.
Comparación de Niveles de Riesgo antes y después de aplicar las recomendaciones
ycontroles OWASP
% de Reducci
Ataque
N°
Previo a las
recomen
daciones
/
controle
s de
OWASP
Luego de
aplicadas las
recomendaci
ones
/controlesdeO
WASP
realizado
Nivel
Nivel ónRiesgo
de
deImpacto
Nivel de
Posibilidad
Nivel de
Riesgo
Nivel de
Impacto
Nivel de
Posibilidad
WHID 2010-
203:
Confessed
1 3 5 15 3 2 6 60%
student
hacker
speaks
WHID 2011-
155: Hacker
2 4 5 20 4 2 8 60%
breaks into
MIT website
WHID 2011-
7: Hacker
Breaks Into
3 4 5 20 4 2 8 60%
UConn
Husky Store
Website
WHID 2011-
84:Hackers
access
4 personal info 4 5 20 4 2 8 60%
of Lancaster
County
students
WHID 2012-
377: Hackers
deface old
5 4 5 20 4 2 8 60%
UTS system,
dump user
database
WHID 2012-
382:
GhostShell
6 4 5 20 4 2 8 60%
university
hack: By the
numbers
WHID 2012-
63:
7 Singapore 3 4 12 3 2 6 50%
University
hacked
WHID 2014-
034: Hacker
attempts to
8 hold Johns 3 4 12 3 2 6 50%
Hopkins
hostage using
student data
WHID 2015-
008:
9 Universities 4 4 16 4 2 8 50%
hacked, data
dumped
WHID 2015-
013: U. of
Hawaii and
10 3 4 12 3 2 6 50%
Cornell
University
hacked
WHID2015-
025: Hacker
breached
Metropolitan
11 4 5 20 4 2 8 60%
State
University
databasewith
personalinfo
WHID 2015-
030:
philsacra.ust.
12 4 4 16 4 2 8 50%
edu.ph
website
hacked
WHID 2015-
035: U.
13 4 4 16 4 2 8 50%
Chicago
hacked
WHID 2015-
041: Victor
Valley
14 College hit 3 4 12 3 2 6 50%
by computer
security
breach
WHID 2015-
042: Higher
Education
15 4 4 16 4 2 8 50%
Commission
Pakistan
Hacked
WHID 2011-
238: US uni
16 3 5 15 3 2 6 60%
warned, then
hacked
WHID2012-
155: Hackers
17 Elect 3 5 15 3 2 6 60%
Futurama's
Bender tothe
Washington
DC School
Board
WHID 2011-
94: High
school
hackers
18 expose 3 4 12 3 2 6 50%
security gap
in Seattle
Public
Schools
WHID 2012-
113: Students
busted for
19 hacking 3 4 12 3 2 6 50%
computers,
changing
grades
WHID 2012-
298:
Pennsylvania
mom
allegedly
20 3 4 12 3 2 6 50%
hacked
school
website to
change kids'
grades
WHID 2014-
028: U-Md.
computer
security
21 4 4 16 4 2 8 50%
attack
exposes
300,000
records
WHID 2014-
017: School
District Still
Using
Default
Login For
22 4 4 16 4 2 8 50%
Admin
Account
Surprised To
Learn ItsSite
Has Been
Hacked
WHID 2010-
103: SEO
SPAM
23 network - 2 5 10 2 2 4 60%
Details of the
wp-includes
infection
WHID 2012-
257: UMass
website
hacked,
24 2 5 10 2 2 4 60%
Google
searchers get
offer to sell
Viagra
WHID 2011-
229: Yale
Social
Security
25 Numbers 4 4 16 4 2 8 50%
Exposed In
Latest Case
Of 'Google
Hacking'
WHID 2011-
20: Hackers
Get Access
26 4 5 20 4 2 8 60%
to New
JerseySchool
DataSystem
WHID 2012-
299: Hackers
breached
password
27 security to 3 4 12 3 2 6 50%
steal UEA
climate
change
emails
Nota.Fuente: Elaboración Propia.
Como vemos en la tabla 13, los niveles de riesgo que significaba la vulnerabilidad
encontrada en conjunto con el impacto del ataque, nos daba niveles de riesgo comprendidos
entre alto y crítico. Dichos niveles de riesgo pasaban a ser aceptables (nivel medio o bajo)
luego de ser aplicadas las recomendaciones y controles propuestos por OWASP. En la Figura
14, se observa la comparación de niveles de riesgo antes del ataque y después de implementar
20
15
10
0
123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
27
algunos casos. Revisando la clasificación OWASP en las que recaen los riesgos de los
Tabla 14.
Clasificación OWASP de los ataques estudiados
Cantidad de
Clasificación OWASP
Ataques
A1:2017 Inyección 17
A2:2017 Ruptura de autenticación 7
A3:2017 Exposición de información confidencial 17
A4:2017 Entidades Externas de XML 0
A5:2017 Ruptura de control de acceso 2
A6:2017 Errores en las configuraciones de seguridad 10
A7:2017 Cross-Site Scripting (XSS) 2
A8:2017 Deserialización insegura 0
A9:2017 Uso de componentes con vulnerabilidades
1
conocidas
A10:2017 Registro y monitoreo insuficientes 27
Nota.Fuente: Elaboración propia.
Como vemos en la tabla 14, notamos que un punto en el que todas las empresas
siempre deben mejorar y por las que un ataque puede hacer mucho daño es el “Registro y
Luego de ello, notamos que los siguientes riesgos más comunes son “Inyección” y
OWASP, los cuales ayudarán a cualquier aplicación a mantener un nivel de riesgo tolerable.
aplicaciones móviles.
configuracióninsegura.
Cada vez que se realice un cambio o actualización en el sistema, este debe ser
producción.
criptográficamentefuerte.
un estándarpotente.
factor de trabajo (factor de retardo), como Argon2, scrypt, bcrypt o PBKDF2. Esto es la segunda
esta lista.
definida por cada equipo de TI. El tiempo de bloqueo no debería exceder los 15
minutos.
Implementar una suficientemente fuerte política de recuperación de contraseñas.
el usuario. Cabe decir que las respuestas deben ser escritas (no elegibles) en
html simple.
Utilizar un canal aparte para enviar un token de recuperación. Cabe decir que
este token debe ser enviado a otro medio que no se/a un correo. Puede ser por
contraseña.
credenciales yAPIs.
de clienteTLS.
El control de acceso solo será efectivo si se aplica un código confiable del lado del
servidor o en una API sin servidor, en el cual el atacante no será capaz de modificarla
manerapredeterminada.
Asignar propiedades a los registros, en lugar de aceptar que un usuario pueda crear,
leer, actualizar o eliminar cualquier registro. Así mismo, un usuario no debe acceder
esa página.
componentes (por ej. frameworks o bibliotecas) tanto del cliente como delservidor.
contra la debilidaddetectada.
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
5.2.1. Hipótesisgeneral
OWASP sería posible mejorar la seguridad en las aplicaciones web de instituciones del sector
educativo”.
Al respecto, como se presentó en la Tabla 13, se observó que el nivel de riesgo luego
de aplicar las recomendaciones y controles OWASP reduce en gran medida el nivel de riesgo
de las aplicaciones web, llegando a un nivel de reducción del nivel de riesgo de hasta 60%,
Debido a que tenemos tres hipótesis específicas, contrastaremos cada una de ellas.
a. Primera HipótesisEspecífica
La primera hipótesis específica indica: “Sería posible determinar los ataques más
Al respecto, en la Tabla 6 queda expuesto que los ataques más comunes reportados
hacia las instituciones del sector educativo son los ataques de inyección SQL, comprobando
la hipótesis.
que los atacantes más explotan para comprometer las aplicaciones web de las instituciones
Al respecto, en la Tabla 7 queda expuesto que la vulnerabilidad que los atacantes más
explotan para comprometer las aplicaciones de las instituciones del sector educativo es el
de OWASP para identificar correctamente los riesgos a los que está expuesto una aplicación
correcta identificación de los riesgos a los que se está expuestos. El detalle del análisis se
encuentra en el anexo A.
Acorde con los resultados obtenidos, notamos que las recomendaciones y controles
son efectivos para mejorar la seguridad de las aplicaciones web de las instituciones
educativas, pudiendo demostrar además que se pueden aplicar y evaluar con la metodología
OWASP.
VI. CONCLUSIONES YRECOMENDACIONES
6.1. Conclusiones
Se demuestra que es posible evaluar los niveles de riesgo a los que está expuesto una
Es posible reducir el nivel de riesgo a los que se encuentran expuestos las aplicaciones
60% de disminución con respecto al nivel de riesgo obtenido del análisis previo a los
ataques.
Se determinó los ataques más comunes reportados hacia las aplicaciones web de
institucioneseducativas.
Los niveles de riesgo catalogados como nivel de riesgo medio y bajo sonaceptables.
De haber sido implementadas las recomendaciones y controles propuestos por
sermitigados.
integrar la metodología OWASP con CVSS, sistema utilizado para poder evaluar la
enfoque.
6.2. Recomendaciones
información.
diferentesideas.
REFERENCIAS BIBLIOGRÁFICAS
Banco Interamericano de Desarrollo (BID), Organización de los Estados Americanos. (Marzo
Desarrollo:https://publications.iadb.org/handle/11319/7449?locale-
attribute=es&
Obtenido de
OWASP:https://www.owasp.org/index.php/OWASP_WASC_Web_Hacking_Incidents
_Databas
e_Project
BBC:https://www.bbc.com/mundo/noticias-39929920
forWeb Security.Obtenido
de:http://www.dais.unive.it/~calzavara/papers/jlamp16.pdf
Techterms:https://techterms.com/definition/api
Curtis, P. & Carey, M. (Deloitte & Touche LLP). (Octubre de 2012).Risk Assesment
inPractice.Obtenido de
Deloitte:https://www2.deloitte.com/content/dam/Deloitte/global/Documents/Governa
nce-Risk-
Compliance/dttl-grc-riskassessmentinpractice.pdf
Obtenido de FireEye:https://www2.fireeye.com/WEB-Regional-Advanced-Threat-
Report-Latin-America-1H-2015.html
Frieiro, R., Pérez, P. & Pascual, X. (Deloitte) (Junio de 2017).¿Qué impacto ha tenido
Deloitte:http://perspectivas.deloitte.com/hubfs/Campanas/WannaCry/Deloitte-ES-
informe-
WannaCry.pdf
ISO:
http://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_201
8_E.zip
Keary, E., Manico, E., Goosen, T., Krawczyk, P., Neuhaus, S. & Aude, M. (OWASP). (Abril
OWASP:https://www.owasp.org/index.php/Authentication_Cheat_Sheet
MITRE:https://cwe.mitre.org/data/definitions/284.html
MITRE. (Marzo de 2018).CWE-502: Deserialization of Untrusted Data.Obtenido de
MITRE:https://cwe.mitre.org/data/definitions/502.html
de:https://pdfs.semanticscholar.org/ea5f/224ba8f122ee6e8bfe0d732c55c1c5280cd4.p
df
OWASP. (Octubre de 2017).OWASP Top 10 – 2017. The Ten Most Critical Web
ApplicationSecurity Risks.Obtenido de
OWASP:https://www.owasp.org/images/7/72/OWASP_Top_10-
2017_%28en%29.pdf.pdf
OWASP:https://www.owasp.org/index.php/Cross-
site_Scripting_(XSS)
OWASP:https://www.owasp.org/index.php/Main_Page
OWASP:https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodolog
andforecasts.Obtenido de Positive
Technologies:https://www.ptsecurity.com/upload/corporate/ww-
en/analytics/Cybersecurity-
threatscape-2017-eng.pdf
Positive Technologies (17 de Julio de 2018).Cybersecurity threatscape: Q1 2018. Obtenido
de Positive Technologies:https://www.ptsecurity.com/upload/corporate/ww-
en/analytics/Cybersecurity-threatscape-2018-Q1-eng.pdf
Rafique, S., Humayun, M., Hamid, B., Abbas, A., Akhtar, M. & Iqbal, K. (Junio de
Rapid7:https://www.rapid7.com/data/national-
exposure/2017.html#
Trustwave:https://www2.trustwave.com/GlobalSecurityReport.html
OWASP:https://www.owasp.org/images/3/33/Automated-threat-handbook.pdf
Wichers, D., Dabirsiaghi, A., Di Paolo, S., Heiderich, M., Vela, E. & Williams, J. (OWASP).
OWASP:https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting
Williams, J., Manico, J. & Mattatall, N. (OWASP). (Agosto de 2018).XSS (Cross
OWASP:https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_
Cheat_She
et#XSS_Prevention_Rules
Yergeau, F., Sperberg-McQueen, C.M., Maler, E., Paoli, J. & Bray, T. (W3C
1.0.Obtenido de W3C:https://www.w3.org/TR/REC-xml/
ANEXOS
ANEXO A
a) Impacto:Fuga deinformación
b) Clasificación OWASP:
A1:2017Inyección
aplicaciones móviles.
aplicativo enproducción.
criptográficamentefuerte.
Garantizar que los algoritmos, protocolos y claves estén actualizados y se guíen de un
estándarpotente.
factor de trabajo (factor de retardo), como Argon2, scrypt, bcrypt o PBKDF2. Esto es la segunda
validación de entradas de datos del lado del servidor se pueden registrar para
un eventual análisisforense.
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
resguardadocorrectamente.
d.1) Nivel de Impacto – Previo al ataque
Impacto Técnico
Clasificación Justificación Puntaje
Debido a que no cifraron la información
Confidencialidad correctamente, la totalidad de lainformación 5
pudo serexpuesta.
No hubo modificación de información, solo
Integridad 1
hurto.
Impacto Empresarial
Clasificación Justificación Puntaje
Causo que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de cientos de personas fueron
3
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 15 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
e) Escenario 2:WHID 2011-155: Hacker breaks into MIT website. A pesar de su vasta
se libró de los piratas informáticos que irrumpieron en su sitio web y publicaron los
Impacto Técnico
Clasificación Justificación Puntaje
Se publicaron nombres, números de teléfono
Confidencialidad 4
e inicios de sesión.
No hubo modificación de información, solo
Integridad 1
hurto.
Publicaron la información confidencial en su
Disponibilidad 3
portal.
Debido a que se mantiene un registro, es
Rastreabilidad 4
posible que se rastree.
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Causo que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de miles de personas fueron
4
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
f) Escenario 3:WHID 2011-7: Hacker Breaks Into UConn Husky Store Website. Un
atacante logró acceder a la base de datos de la tienda web del equipo de fútbol
Impacto Técnico
Clasificación Justificación Puntaje
Cantidad considerable de información
Confidencialidad 4
sensible expuesta.
Integridad No se dañó información de los clientes. 1
Luego de detectada la brecha, se
Disponibilidad 5
interrumpieron los servicios de la aplicación.
Fue ejecutado por un usuario anónimo de
Rastreabilidad 5
internet.
Nivel de Impacto Técnico: 4
Impacto Empresarial
Clasificación Justificación Puntaje
Efecto significativo en el balance anual, por
Daño Financiero reparaciones financieras a clientes, multas 4
que hubiese y controles adicionales.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la .Aproximadamente 18000 registros de
4
privacidad clientes fueron afectados.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
students. Atacantes hurtaron 25000 registros de estudiantes del distrito escolar del
años.
g.1) Nivel de Impacto – Previo al ataque
Impacto Técnico
Clasificación Justificación Puntaje
Cantidad considerable de información
Confidencialidad 4
sensible expuesta.
Integridad No se dañó información de los estudiantes. 1
No se vieron afectados los servicios de la
Disponibilidad 1
aplicación.
Fue ejecutado por un usuario anónimo de
Rastreabilidad 5
internet.
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Efecto significativo en el balance anual, por
Daño Financiero 4
multas que hubiese y controles adicionales.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la .Aproximadamente 25000 registros de
4
privacidad estudiantes fueron afectados.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
h) Escenario 5:WHID 2012-377: Hackers deface old UTS system, dump userdatabase.
desfiguró uno de sus subdominios y al mismo tiempo, una base de datos antigua fue
plano.
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de cientos de personas fueron
3
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
York entre otros. Los registros contenían nombres, direcciones, contraseñas, fechas de
Impacto Técnico
Clasificación Justificación Puntaje
Debido a que no cifraron la información
Confidencialidad correctamente, la totalidad de lainformación 5
pudo serexpuesta.
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de miles de personas fueron
4
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
k) Escenario 8:WHID 2014-034: Hacker attempts to hold Johns Hopkins hostage using
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
l) Escenario 9:WHID 2015-008: Universities hacked, data dumped. En un post de
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
m) Escenario 10:WHID 2015-013: U. of Hawaii and Cornell University hacked. La
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
Philippiniana Sacra fue víctima de un robo de una base de datos, la cual seencuentra
expuesta en internet. Dicha base de datos contiene numerosos registros de sus
usuarios, entre los que están: nombre, usuario, fecha de nacimiento, entre otros.
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
Valley llevó una investigación debido a que, en ese momento, detectó una brechade
seguridad, la cual fue perpetrada por un usuario interno. No hubo fuga de
información.
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Daño a la
Daño a la imagen corporativa. 5
reputación
Violación a la
No hubo violación a la privacidad. 1
privacidad
Nivel de Impacto Empresarial: 3
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
como también información personal de los estudiantes. El ataque fue perpetrado por el
grupo Anonsec.
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Causó que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
a) Impacto:Desfiguración
b) Clasificación OWASP:
A1:2017Inyección
aplicaciones móviles.
configuracióninsegura.
Cada vez que se realice un cambio o actualización en el sistema, este debe ser
producción.
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Establezca una monitorización y alerta efectivos de tal manera que las actividades
Impacto Técnico
Clasificación Justificación Puntaje
Confidencialidad No se expuso información. 1
Integridad No se dañó información de la universidad. 1
Se interrumpieron la totalidad de los servicios
Disponibilidad 5
de la aplicación web.
Fue ejecutado por un usuario anónimo de
Rastreabilidad 5
internet.
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Causa un efecto mínimo en el balance anual
Daño Financiero 2
al tener que aplicar controles y medidas.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la
No hay violación a la privacidad. 1
privacidad
130
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 15 (Alto)
d.4) Nivel de Impacto – controles y recomendaciones aplicados:Debido a
Riesgo(controles_implementados)= 6 (Medio)
a) Impacto:Fraude
b) Clasificación OWASP:
A1:2017Inyección
aplicaciones móviles.
configuracióninsegura.
componentes (por ej. frameworks o bibliotecas) tanto del cliente como delservidor.
contra la debilidaddetectada.
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar de que las transacciones de alto impacto tengan una pista de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
una vulnerabilidad para ejecutar una inyección de Shell script en el sistema de voto
(framework Ruby on Rails), de manera que lograron acceder y realizar cambios. Con
esto, lograron que un personaje de la serie Futurama (Bender) ganara la elección. Así
(user: admin, password: admin) y también se detectó que cierto archivo pdf contenía
Impacto Técnico
Clasificación Justificación Puntaje
Confidencialidad No hubo filtración de información. 1
Integridad Se dañaron los votos de los electores. 4
Se modificó la pantalla de inicio del sistema,
Disponibilidad 5
así como también modificó las votaciones.
Rastreabilidad Posiblemente rastreable. 4
Nivel de Impacto Técnico: 4
Impacto Empresarial
Clasificación Justificación Puntaje
Daño Financiero Efecto mínimo en el balance anual. 2
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 15 (Alto)
Riesgo(controles_implementados)= 6 (Medio)
b) Clasificación OWASP:
desplegar en producción.
esta lista.
definida por cada equipo de TI. El tiempo de bloqueo no debería exceder los 15
minutos.
configuracióninsegura.
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
d) Escenario 18:WHID 2011-94: High school hackers expose security gap in Seattle
algunos estudiantes con el objetivo de cambiar las notas. El método para sustraerlas
Impacto Técnico
Clasificación Justificación Puntaje
Se vieron involucrados no solo credenciales
Confidencialidad de profesores, sino también de alumnos o 4
cualquier otro usuario de dicha PC.
Se pudieron haber modificado la totalidad de
Integridad información referente a alumnos y 4
profesores.
No se vieron afectados los servicios de la
Disponibilidad 1
aplicación.
Impacto Empresarial
Clasificación Justificación Puntaje
140
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
y así mismo, obtener exámenes para venderlos. Se usó un keylogger para obtener las
credenciales.
Impacto Técnico
Clasificación Justificación Puntaje
Se vieron involucrados credenciales de
Confidencialidad profesores, pudiendo acceder a las notas de 3
los demás alumnos.
Se pudieron haber modificado la totalidad de
Integridad información referente a alumnos y 4
profesores.
No se vieron afectados los servicios de la
Disponibilidad 1
aplicación.
Impacto Empresarial
Clasificación Justificación Puntaje
Daño Financiero Efecto mínimo en el balance anual. 2
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
e.4) Nivel de Impacto – controles y recomendaciones aplicados:Debido a
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
calificaciones de sus hijos después de iniciar sesión con las credenciales del
para el distrito.
Impacto Técnico
Clasificación Justificación Puntaje
Al obtener las credenciales del
superintendente del distrito, se hubiera
Confidencialidad 3
podido acceder a las notas de los demás
alumnos.
Se pudieron haber modificado la totalidad de
Integridad información referente a alumnos y 4
profesores.
No se vieron afectados los servicios de la
Disponibilidad 1
aplicación.
Impacto Empresarial
Clasificación Justificación Puntaje
Daño Financiero Efecto mínimo en el balance anual. 2
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
f.4) Nivel de Impacto – controles y recomendaciones aplicados:Debido a
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)
de 300000, los que incluyen nombres, números de seguro social, fechas denacimiento y
acuerdo a la investigación, la brecha se debió a que los atacantes lograron robar credenciales, con
las que pudieron acceder a la plataforma y escalar hasta obtener la información. Luego de la
brecha, algunos de los afectados reportaron intentos de fraude con tarjetas decrédito.
Impacto Técnico
Clasificación Justificación Puntaje
Impacto Empresarial
Clasificación Justificación Puntaje
Efecto significativo en el balance anual,
debido a que la universidad dispondrá de
Daño Financiero 4
apoyo económico en investigación y encaso
de fraude a losafectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
150
Riesgo(previo_al_ataque)= 16 (Crítico)
Riesgo(controles_implementados)= 8 (Medio)
a) Impacto:Desfiguración
b) ClasificaciónOWASP:
esta lista.
Así mismo se propone algunas políticas adicionales:
definida por cada equipo de TI. El tiempo de bloqueo no debería exceder los 15
minutos.
configuracióninsegura.
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Establezca una monitorización y alerta efectivos de tal manera que las actividades
d) Escenario 22:WHID 2014-017: School District Still Using Default Login For Admin
Account Surprised To Learn Its Site Has Been Hacked. Atacantes realizaron un
admin1.
Impacto Técnico
Clasificación Justificación Puntaje
Al obtener las credenciales de administrador,
Confidencialidad se hubiera podido acceder a otro tipo de 4
información clasificada.
Se pudieron haber modificado la totalidad de
Integridad 4
información.
Se vio afectada la aplicación web del distrito
Disponibilidad 5
escolar.
Impacto Empresarial
Clasificación Justificación Puntaje
Daño Financiero Efecto mínimo en el balance anual. 2
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
Incumplimiento Infracción moderada. 3
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
aplicación
b) Clasificación OWASP:
Asignar propiedades a los registros, en lugar de aceptar que un usuario pueda crear,
leer, actualizar o eliminar cualquier registro. Así mismo, un usuario no debe acceder
esa página.
configuracióninsegura.
Asegurar de que todos los errores de inicio de sesión, de control de acceso y de
validación de entradas de datos del lado del servidor se pueden registrar para
un eventual análisisforense.
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
infection. Una red SEO SPAM que utilizó miles de sitios para aumentar su
nombre del script era aleatorio y realizaba dos funciones: Para motores de búsqueda,
Impacto Técnico
Clasificación Justificación Puntaje
Debido a que no se vieron expuestos datos
Confidencialidad 1
sensibles / no sensibles.
Debido a que no la información no fue
Integridad 1
modificada.
Debido a que los servicios primarios /
Disponibilidad 1
secundarios no fueron interrumpidos.
Al ser redirigidos a un dominio, el dominio
Rastreabilidad 1
era completamente rastreable.
Nivel de Impacto Técnico: 1
Impacto Empresarial
Clasificación Justificación Puntaje
Causa un efecto mínimo en el balance anual
Daño Financiero 2
al tener que depurar el script.
Daño a la Debido a que el dominio redirigía a otros
5
reputación malicioso, la imagen se veía dañada.
Violación a la
No hubo violación a la privacidad. 1
privacidad
Nivel de Impacto Empresarial: 3
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 10 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 4 (Bajo)
a) Impacto:Spam
b) Clasificación OWASP:
A7:2017 Cross-Site Scripting(XSS)
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
d) Escenario 24:WHID 2012-257: UMass website hacked, Google searchers get offer
Impacto Técnico
Clasificación Justificación Puntaje
Confidencialidad No hubo filtración de información. 1
Integridad No hubo modificación de información. 1
La página no fue accesible por motores de
Disponibilidad búsqueda, siendo redireccionado a una tienda 3
de viagra.
Rastreabilidad Completamente anónimo. 5
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Daño Financiero Efecto mínimo en el balance anual. 2
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 10 (Alto)
d.4) Nivel de Impacto – controles y recomendaciones aplicados:Debido a
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 4 (Bajo)
5. Ataques que explotaron la vulnerabilidad de Indexacióninsegura
a) Impacto:Fuga deinformación
b) Clasificación OWASP:
criptográficamentefuerte.
un estándarpotente.
factor de trabajo (factor de retardo), como Argon2, scrypt, bcrypt o PBKDF2. Esto es la segunda
configuracióninsegura.
validación de entradas de datos del lado del servidor se pueden registrar para
un eventual análisisforense.
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
un ejemplo de una falla de seguridad expuesta por el "Google Hacking", que implica
consultar al popular motor de búsqueda por vulnerabilidades del sitio web. Mediante
ser almacenados.
Impacto Técnico
Clasificación Justificación Puntaje
Se pudo obtener una cantidad considerable de
Confidencialidad 4
números de seguro social.
Integridad No se dañó información de la universidad. 1
No se vieron interrumpidos los servicios de la
Disponibilidad 1
universidad.
Al ser accedido por el motor de búsqueda de
Rastreabilidad Google, cualquier usuario externo podía 5
usarlo y no podían ser rastreados.
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Causo que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de miles de personas fueron
4
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 16 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
a) Impacto:Secuestro desesión
b) Clasificación OWASP:
definida por cada equipo de TI. El tiempo de bloqueo no debería exceder los 15
minutos.
desplegar en producción.
esta lista.
criptográficamentefuerte.
un estándarpotente.
factor de trabajo (factor de retardo), como Argon2, scrypt, bcrypt o PBKDF2. Esto es la segunda
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar de que las transacciones de alto impacto tengan una pista de auditoríacon
Establezca una monitorización y alerta efectivos de tal manera que las actividades
d) Escenario 26:WHID 2011-20: Hackers Get Access to New Jersey School Data
línea utilizado por un distrito escolar de Nueva Jersey después de que la cuenta de
poopnugget).
Impacto Técnico
Clasificación Justificación Puntaje
Al obtener la cuenta de administrador, se
Confidencialidad pudo obtener una gran cantidad de 4
información sensible.
Cantidad considerable de información
Integridad 4
gravemente dañada.
Cantidad considerable de servicios primarios
Disponibilidad 4
interrumpidos.
Completamente anónimo, al ser publicado en
Rastreabilidad 5
un foro.
Nivel de Impacto Técnico: 4
Impacto Empresarial
Clasificación Justificación Puntaje
Causo que se mejoraran los controles, y se
Daño Financiero 4
paguen reparaciones a los afectados.
Daño a la
Daño a la imagen corporativa. 5
reputación
Infracción escandalosa, ya que no se tenía el
Incumplimiento 4
cuidado debido.
Violación a la Los datos de miles de personas fueron
4
privacidad comprometidos.
Nivel de Impacto Empresarial: 4
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 20 (Crítico)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 8 (Medio)
insuficiente
a) Impacto:Adquisición decuenta
b) Clasificación OWASP:
el usuario. Cabe decir que las respuestas deben ser escritas (no elegibles) en
html simple.
Utilizar un canal aparte para enviar un token de recuperación. Cabe decir que
este token debe ser enviado a otro medio que no se/a un correo. Puede ser por
la contraseña.
de credenciales yAPIs.
de clienteTLS.
El control de acceso solo será efectivo si se aplica un código confiable del lado del
servidor o en una API sin servidor, en el cual el atacante no será capaz de modificar
manerapredeterminada.
Asignar propiedades a los registros, en lugar de aceptar que un usuario pueda crear,
validación de entradas de datos del lado del servidor se pueden registrar para
Asegurar de que las transacciones de alto impacto tengan una pista de auditoría con
Asegurar que todas las transacciones de alto valor poseen una traza de auditoría con
Establezca una monitorización y alerta efectivos de tal manera que las actividades
rango, sustrayendo no sólo los correos, sino también la investigación realizada porél.
Luego de ello, los correos fueron publicados desprestigiando la investigación del
Impacto Técnico
Clasificación Justificación Puntaje
Cantidad considerable de información
Confidencialidad 4
sensible expuesta.
Integridad No hubo modificación de información. 1
No se vio afectada la funcionalidad de la
Disponibilidad 1
aplicación.
Rastreabilidad Completamente anónimo. 5
Nivel de Impacto Técnico: 3
Impacto Empresarial
Clasificación Justificación Puntaje
Efecto significativo en el balance anual, ya
Daño Financiero que el monto de la investigación robada fue 4
valuada en $112000
Daño a la Pérdida de buena voluntad, debido a
3
reputación desconfianza.
siguientefórmula:
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(previo_al_ataque)= 12 (Alto)
𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁=𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁× 𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁𝑁
Riesgo(controles_implementados)= 6 (Medio)