Detecciones de vulnerabilidades web a través de la evaluación de pruebas de penetración

Juan Manuel Bernal Ontiveros; Margarita Bailón Estrada; Anilu Flores Regalado; Juan Pedro Benítez Guadarrama; Susan Alexandra Cervantes Cardenas

doi:10.61273/neyart.v2i2.49

Autores/as

Juan Manuel Bernal Ontiveros Tecnológico Nacional de México https://orcid.org/0000-0002-3819-5750
Margarita Bailón Estrada Tecnológico Nacional de México https://orcid.org/0000-0003-2830-5829
Anilu Flores Regalado Tecnológico Nacional de México https://orcid.org/0000-0003-4352-259X
Juan Pedro Benítez Guadarrama Universidad Autónoma del Estado de México https://orcid.org/0000-0002-2826-6359
Susan Alexandra Cervantes Cardenas Tecnológico Nacional de México https://orcid.org/0009-0008-6125-3657

DOI:

https://doi.org/10.61273/neyart.v2i2.49

Palabras clave:

Vulnerabilidades, Infiltración, Seguridad, Prueba de Penetración, Pentesting

Resumen

A través de los últimos años los administradores de seguridad han influido en los desarrolladores de software para que diseñen software más resistente ante ataques de software mal intencionados, pero también en las metodologías y técnicas de seguridad que dan apoyo para detectar vulnerabilidades en la infraestructura de la información de una empresa, basado en el surgimiento de fraudes y robos de información que sufren organizaciones, emerge la práctica pentesting (Prueba de penetración), que es una de las técnicas más novedosas en cuanto a lo que a Seguridad Informática se refiere.
Esta técnica es una forma de detectar vulnerabilidades tras implementarse, en beneficio de una empresa para reforzar aquellas fallas que pudiesen explotar los atacantes, es por ello que la meta principal es encontrar vulnerabilidades en las aplicaciones web. Con el pentesting se llevará a cabo una rastreabilidad exhaustiva de todas las vulnerabilidades que puedan ser encontradas. Los impactos y la probabilidad de explotación de cada vulnerabilidad encontrada también será calificada según el esquema estándar de
puntuación de vulnerabilidad basándose en la metodología OWASP.
Además, las vulnerabilidades se clasificarán según las consecuencias de la explotación identificadas a través de los hallazgos. Por lo que se proporcionará un informe con la recomendación para cada vulnerabilidad para atenuar o detener la amenaza. La rastreabilidad de vulnerabilidades se basará en procesos de trabajo y formas innovadoras de proteger toda aplicación web de las amenazas. Este reporte apoyaría a los desarrolladores, proveedores y usuarios de aplicaciones web a comprender mejor los posibles problemas de seguridad relacionados con las aplicaciones web y cómo deben ser tratados.
Una manera de probar la robustez de un sitio es realizando una prueba de manera que se pueda atacar, esta técnica llamada prueba de penetración (Pentesting en inglés). Antes de lanzar un sitio, la seguridad de la red y de la aplicación web debe ser completamente segura y probada. Este estudio tiene como objetivo encontrar debilidades y fallas en las aplicaciones web. La prueba de penetración recopilará información sobre la fortaleza de las redes, los agujeros de seguridad y el acceso. El resultado del reporte es indicar las recomendaciones para mejorar la seguridad de una infraestructura de una organización. En cuanto a los resultados de las pruebas de penetración, la organización o empresa interesada puede corregir las vulnerabilidades que existen en el sitio web.
La importancia de tener un sistema fuerte ante ataques e infiltraciones es el de evitar las vulnerabilidades, que son explotadas por un atacante malintencionado (atacante/hacker), por lo que puede afectar la confidencialidad, integridad y disponibilidad de una aplicación web o información distribuida.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Bitdefender. (2023).¿Qué es un Exploit? Prevención de Exploits. Consumer Support.https://www.bitdefender.es/consumer/support/answer/22884/.

Campderrós Vilà, J. (2019), Ataques y vulnerabilidades web.Dipòsit Digital de la Universitat de Barcelona. http://hdl.handle.net/2445/143419.

Gómez González,I.C. (2012), Diseño de Metodología para Verificar la Seguridad en Aplicaciones Web Contra Inyecciones SQL. Universidad Militar Nueva Granada, Bogotá Colombia.

Hernández,M.(2022).Pentesting con OWASP: fases y metodología.https://www.hiberus.com/crecemos-contigo/pentesting-owasp-fases-metodologia/.

Incibe (Instituto Nacional de Ciberseguridad)(2023). Google Dorks te ayuda a encontrar información sobre ti en la Red. Oficina de seguridad del internauta.https://www.incibe.es/ciudadania/blog/google-dorks-te-ayuda-encontrar-informacion-sobre-ti-en-la-red.

KeepCoding. (2023). ¿Qué hace un pentester?.KeepCoding Tech School.https://keepcoding.io/blog/que-hace-un-pentester/.

Mendhurwar, S., y Mishra, R. (2021). Integration of social and IoT technologies: architectural framework for digital transformation and cyber security challenges. Enterprise Information System. DOI: https://doi.org/10.1080/17517575.2019.1600041

Montero,V.H.(2005).Técnicas de Penetration Testing.CYBSEC Security System, Buenos Aires Argentina.

Ortega,K.(2022).¿Qué tipos de pentesting existen?.Saint Leo University, https://worldcampus.saintleo.edu/noticias/que-tipos-de-pruebas-de-penetracion-existen-en-seguridad-informatica.

OSSTMM (Open Source Security Testing Methodology Manual). (2023). Manual de la Metodología de Pruebas de Seguridad de Recurso Abierto (Open Source).https://www.ciberseguridad.eus/ciberpedia/vulnerabilidades/open-source-security-testing-methodology-manual-osstmm.

OWASP (Open Web Application Security Project). (2017). Estándar de Verificación de Seguridad en Aplicaciones 3.0.1. OWASP. https://owasp.org/www-pdf-archive/Est%C3%A1ndar_de_Verificaci%C3%B3n_de_Seguridad_en_Aplicaciones_3.0.1.pdf.

OWASP (Open Web Application Security Project).(2021). Introducción: OWASP Top 10:2021. OWASP.https://owasp.org/Top10/es/A00_2021_Introduction/

Sánchez Cano,G. (2018).Seguridad Cibernética: Hackeo Ético y Programación defensiva. Alfaomega Grupo Editor.

Saucedo, A.L.H., yMiranda, J.M. (2015). Guía de ataques, vulnerabilidades, técnicas y herramientas para aplicaciones web. ReCIBE. Revista electrónica de Computación, Informática, Biomédica y Electrónica, (1), 1-12.

Siahaan, A. P. U. (2016). Intrusion Detection System in Network Forensic Analysis and Investigation. Journal of Computer Engineering, 11(5), 1-18.

Sreenivasa Rao B.,yKumar N. (2012). Web Application Vulnerability Detection Using Dynamic AnalysisWith Peneteration Testing.International Journal of Computer Science and Security, (6), 1-12.

Tori, C.(2008).HackingÉtico.Mastroianni Impresiones.

Vañó Chic,J.(2014).Exploits.Universitat Oberta de Catalunya.