2021

Informe de Auditoria de
Ciberseguridad

[SUBTÍTULO DEL DOCUMENTO]

NOMBRE DE AUTOR.

[NOMBRE DE LA COMPAÑÍA] | [Dirección de la compañía]

 Informe Personalizado Detallado | Cibersegurdad

CONTENIDO
1. INTRODUCCIÓN

1.1. OBJETIVO

2. ALCANCE

2.1. ACTIVOS

2.2. PROYECTOS

3. RESUMEN EJECUTIVO

3.1. OCURRENCIAS DETECTADAS

4. DETALLE DE OCURRENCIAS

4.1. VULNERABILIDADES DE APLICACIÓN

4.2. VULNERABILIDADES DE CONFIGURACIÓN

4.3. VULNERABILIDADES DE VERSIÓN DE PRODUCTO

4.4. RECOMENDACIONES

5. ANEXOS

5.1. REFERENCIAS

5.2. NOMENCLATURA

XX/XX/20XX 1
 Informe Personalizado Detallado | Cibersegurdad

1. INTRODUCCIÓN
1.1 OBJETIVO
Las pruebas de seguridad realizadas se han centrado sobre el activo "XXXXX” en modalidad de Caja Negra, por lo que cabe
Tras la corrección de las vulnerabilidades, se ha realizado una revisión confirmando que se encuentran corregidas
correctamente.

Las pruebas de seguridad se han realizado siguiendo las recomendaciones de las guías OWASP para evaluar la seguridad de
los diferentes activos facilitados, esto es, OWASP guide v4 y Top Ten OWASP.

Inicialmente se realiza una recogida y análisis de información.

Los siguientes puntos de la metodología OWASP

Determinar servicios y versiones existentes en la máquina Análisis de las vulnerabilidades según servicio y versión

 Recopilación y Análisis de metadatos Fuzzing y crawling

 Búsqueda de dominios, subdominios y virtual hosts
 Verificar los métodos HTTP (OPTIONS, TRACE…) de cada uno de los servidores Localización de 'Login Entry' (Passwords
avenue)
 Búsqueda de versiones antiguas y malas configuraciones Detección de fugas de información
 Búsqueda de información indexada por buscadores Búsqueda de información no indexada por buscadores Análisis del
código fuente de las aplicaciones

Con los datos obtenidos durante la Auditoria, se procederá en esta fase a un análisis más exhaustivo en modalidad “Caja xxx”
de los servidores, con objeto de determinar posibles vulnerabilidades sobre el Sistema Operativo, sus aplicaciones y servicios

Análisis

 Analizar la versión de SSL

 Verificar los algoritmos de cifrado disponibles para SSL Verificar la validación de los certificados digitales
 Verificar que no se pueda acceder a recursos por canales no seguros (SSL skip) Manipulación de parámetros
 Explotación de vulnerabilidades SQL Explotación de vulnerabilidades Xpath Explotación de vulnerabilidades LDAP
Explotación de vulnerabilidades CSPP
 Explotación de vulnerabilidades XSS (Cross-Site Scripting) Inyección de comandos remotos
 Modificación de parámetros
 Inclusión local y remota de ficheros (LFI y RFI)
 Búsqueda y explotación de Path disclosure y Path Transversal Acceso a directorios/archivos no autorizados
 Sistemas de subida de ficheros
 Ataques de diccionario contra los 'Login entry' en búsqueda de passwords débiles Análisis de servicios web

XX/XX/20XX 2
 Informe Personalizado Detallado | Cibersegurdad

2. ALCANCE
2.1 ACTIVOS
RESUMEN

Tipo Número

Servidores 1

Aplicaciones Web 1

Total 2

Tabla 1. Resumen de activos

ALCANCE

A continuación, se muestran los activos dentro del alcance de la auditoría.

Nombre Tipo Dirección

audit Host

Aplicacion Web Aplicación Web

Tabla 2. Activos dentro del alcance del informe

XX/XX/20XX 3
 Informe Personalizado Detallado | Cibersegurdad

2.2 PROYECTOS
A continuación, se muestran los proyectos de auditoría seleccionados, así como las ventanas de tiempo habilitadas para la
realización de las pruebas.

No se han seleccionado proyectos.

XX/XX/20XX 4
 Informe Personalizado Detallado | Cibersegurdad

3. RESUMEN EJECUTIVO
ESTADO ACTUAL

A continuación, se muestran dos diagramas circulares que representan en porcentaje la severidad de todas las ocurrencias
detectadas en esta auditoría y el riesgo sobre los activos definidos en este proyecto.

No se han encontrado ocurrencias.

Gráfico 1. Porcentaje de Ocurrencias por Severidad

No se han encontrado ocurrencias.

Gráfico 2. Porcentaje de Ocurrencias por Tipo y Ámbito

XX/XX/20XX 5
 Informe Personalizado Detallado | Cibersegurdad

3.1 OCURRENCIAS DETECTADAS

La siguiente tabla muestra el número de ocurrencias por severidad encontradas en la auditoría para cada uno de los activos.

No se han encontrado ocurrencias.

XX/XX/20XX 6
 Informe Personalizado Detallado | Cibersegurdad

La siguiente tabla muestra las vulnerabilidades encontradas por tipo y las agrupa por vulnerabilidad y activo, detallando la
severidad.

No se han encontrado ocurrencias.

XX/XX/20XX 7
 Informe Personalizado Detallado | Cibersegurdad

A continuación, se muestra una tabla resumen de cuántas recomendaciones se han encontrado en este proyecto y el listado
de activos afectados por las mismas.

No se han encontrado recomendaciones.

XX/XX/20XX 8
 Informe Personalizado Detallado | Cibersegurdad

4. DETALLE DE OCURRENCIAS
4.1 VULNERABILIDADES DE APLICACIÓN
No se han encontrado ocurrencias.

XX/XX/20XX 9
 Informe Personalizado Detallado | Cibersegurdad

4.2 VULNERABILIDADES DE CONFIGURACIÓN

No se han encontrado ocurrencias.

XX/XX/20XX 10
 Informe Personalizado Detallado | Cibersegurdad

4.3 VULNERABILIDADES DE VERSIÓN DE PRODUCTO

No se han encontrado ocurrencias.

XX/XX/20XX 11
 Informe Personalizado Detallado | Cibersegurdad

4.4 RECOMENDACIONES
No se han encontrado ocurrencias.

XX/XX/20XX 12
 Informe Personalizado Detallado | Cibersegurdad

5. ANEXOS
5.1 REFERENCIAS
OWASP. http://www.owasp.org/
OWASP es una comunidad abierta dedicada a facilitar que las organizaciones desarrollen, adquieran, mantengan y
operen aplicaciones seguras.
OWASP Guide. Guía para diseñar, desarrollar y desplegar aplicaciones web y sistemas seguros
OWASP Testing Guide. Guía que define una metodología de pruebas de seguridad de aplicaciones web no solo
centrada en pruebas de intrusión sino también en el ciclo de vida de desarrollo de software, definición de modelos
de riesgo y revisión de código fuente.
Open Source Security Testing Methodology Manual (OSSTMM). http://www.isecom.org/
Metodología Abierta de Testeo de Seguridad que reúne diversas pruebas y métricas de seguridad utilizadas por los
profesionales durante las Auditorías de Seguridad desarrollado por Institute for Security and Open Methodologies
(ISECOM)
SANS Institute References. http://www.sans.org
El Instituto SANS tiene como principales objetivos reunir información sobre todo lo referente a seguridad informática y
ofrecer capacitación y certificación en el ámbito de la seguridad informática.
CVSS - Common Vulnerability Scoring System. http://nvd.nist.gov/cvss.cfm
Common Vulnerability Scoring System (CVSS) proporciona un marco abierto para la comunicación de las características y
el impacto de las vulnerabilidades de Tecnologías de Información. Se trata de un sistema de puntuación de las
vulnerabilidades estandarizado para clasificar las vulnerabilidades de TI. Ayuda a priorizar y coordinar una respuesta
conjunta a las vulnerabilidades de seguridad mediante la comunicación de las propiedades base, temporales y
ambientales de una vulnerabilidad.
CVE - Common Vulnerabillity and Exposures http://www.cve.mitre.org/
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido
por MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de
los Estados Unidos de América de información sobre vulnerabilidades
CAPEC - Common Attack Pattern Enumeration and Classification http://capec.mitre.org/
Provee una lista de patrones de ataque comunes según un esquema exhaustivo y una taxonomía de clasificación. Esta
información permite tener una sólida comprensión de la perspectiva del atacante y los métodos utilizados para explotar los
sistemas de software. CAPEC proporciona esta información con el fin de ayudar a mejorar la seguridad de todo el ciclo de
vida de desarrollo software y apoyar las necesidades de los desarrolladores, probadores y educadores.
CWE - Common Weakness Enumeration http://cwe.mitre.org/
CWE proporciona un conjunto de debilidades software unificado y medible. Permite una mejor comprensión y gestión de
los puntos débiles relacionados con la arquitectura y diseño del software.

XX/XX/20XX 13
 Informe Personalizado Detallado | Cibersegurdad

5.2 NOMENCLATURA
Vulnerabilidad
Un error, fallo, debilidad, o exposición de una aplicación, sistema, dispositivo o servicio que podría comprometer la
confidencialidad, integridad o disponibilidad del sistema o de la información que trata.

Recomendación
No llegan a ser vulnerabilidades, pero permiten obtener información sobre un posible ataque que aproveche alguna(s)
vulnerabilidad(es) detectada(s). Sirven para mejorar el nivel de seguridad de los sistemas y activos digitales, y son
consideradas como mejores prácticas para proteger la organización de amenazas.

Ocurrencia
Un concepto propio que utiliza Vamps es el de ocurrencia. Una ocurrencia es la instancia concreta de una vulnerabilidad del
diccionario de Vamps que afecta a un activo de la organización, facilitando de este modo que no existan repeticiones y
homogeneizando las definiciones independientemente del módulo que la detectó.

Activo
Recurso de valor empleado en una empresa u organización.

Amenaza
Se trata de circunstancias o eventos que tienen una probabilidad de ocasionar un daño a un recurso de información al explotar
las vulnerabilidades que posea.

Riesgo
Se trata de la probabilidad de que una amenaza explote una vulnerabilidad y pueda ocasionar un daño potencial a los activos
de la organización.

N.I.D.
NID es Nessus ID correspondiente al script NASL de Nessus.

B.I.D.
Bugtrack ID, es un identificador de los resultados de las vulnerabilidades encontradas por programas de seguimiento de
vulnerabilidades.

O.S.V.D.B.
Es una base de datos independiente y de código abierto, creada por un grupo de especialistas en el ámbito de la seguridad.

C.V.E.
Provee una nomenclatura común para las vulnerabilidades de los sistemas de información. Este sistema es mantenido por
MITRE. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, el repositorio de los
Estados Unidos de América de información sobre vulnerabilidades.

XX/XX/20XX 14
Common Vulnerability Scoring System o C.V.S.S.
Es un conjunto de valores estándar para medir la severidad de una vulnerabilidad en la seguridad de un sistema informático.
Establece una serie de parámetros comparados para poder establecer prioridades en el tratamiento de una vulnerabilidad. El
vector CVSS Base tiene el siguiente formato:

(AV:[L,A,N]/AC:[H,M,L]/Au:[N,S,M]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C])

Las letras entre paréntesis representan los valores posibles de una métrica CVSS.

Se debe seleccionar una opción entre cada conjunto de corchetes. Las letras que aparecen fuera de los corchetes son
obligatorias y deben incluirse a fin de crear un vector CVSS válido. Cada letra o par de letras es una abreviatura de un valor de
métrica en valor CVSS. Estas abreviaturas se definen a continuación.

Métricas: AV = Vector de Acceso (Relacionado con el rango de

explotación) Posibles valores: L = acceso local, A = Red
adyacente, N = Internet
Métricas: AC = Complejidad de Acceso (Requerido ataque
complejidad) Posibles valores: H = Alta, M = Mediano, L = Bajo
Métricas: Au = Autenticación (Nivel de autenticación necesarios para explotar)
Posibles valores: N = No se requiere, S = Requiere única instancia, M = Requiere varias
instancias Métricas: C = ConfImpact (Impacto a la Confidencialidad)
Posibles valores: N = No, P = Parcial, C =
Completa Métricas: I = IntegImpact (Impacto a la
Integridad)
Posibles valores: N = No, P = Parcial, C =
Completa Métricas: A = AvailImpact (Impacto a la
Disponibilidad)
Posibles valores: N=No, P=Parcial, C=Completa

NVD Valoración de Severidad de Vulnerabilidad

La NVD, Base de Datos Nacional de Vulnerabilidades de Estados Unidos de América, proporciona clasificaciones de la
gravedad de las vulnerabilidades:

La vulnerabilidad etiquetada de ' Baja ' gravedad tienen un CVSS base de puntuación de
0.0-3.9. La vulnerabilidad etiquetada de ' Media ' gravedad tienen un CVSS base de
puntuación de 4.0-6.9. La vulnerabilidad etiquetada de ' Alta ' gravedad tienen un CVSS
base de puntuación de 7.0-10.0.

CPE
Common Platform Enumeration (CPE) Se trata de esquema de nomenclatura estructurado para sistemas informáticos,
plataformas y paquetes. Basado en la sintaxis de uso general “Uniform Resource Indentifiers” (URI). CPE incluye un formato
para la definición de nombres, un lenguaje que permite describir plataformas complejas y un método que permite buscar
sistemas a partir de nombre.