1. PROYECTO 1 - CONCEPTOS
RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo
características de entornos y relacionándolas con sus necesidades
1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea
conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o
podría mejorar. Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía
no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le
puedes proponer?
• El edificio tiene un servicio de vigilancia a través de una empresa externa. Por
reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio
del otro lado de la calle.
o Deberían contratar más personal para la seguridad del edificio, aparte de eso,
la única persona encargada de esta función también tiene que atender el
edificio de enfrente, con la poca efectividad en ambos casos.
• El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la
centralita a partir de las 3, cuando termina el turno del recepcionista.
o Aquí tenemos el mismo problema que en anterior caso, falta personal para la
seguridad, con la ventaja de que al menos este vigilante está 100% pendiente
de su función hasta las 3.
• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el
cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una
emergencia.
o El personal de limpieza también debería tener una tarjeta particular que lleven
siempre consigo, podría haber un roco en el cajón de la mesa del vigilante y
tener acceso.
• Una vez a la semana se hace la copia de seguridad. Como solo disponen de un
dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que
solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima
de su servidor (cada servidor tiene una cinta en exclusiva).
o La copia de seguridad debería realizarse cada vez que se actualice algún dato,
para evitar pérdidas de los mismos. Las cintas deberían dejarse guardadas con
algún tipo de protección física, y a ser posible con otra digital para evitar su
fácil acceso y manipulación.
• El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por
tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para
combatir el calor que desprenden los ordenadores, las ventanas están siempre
abiertas.
o Al estar abiertas las ventanas se permite el acceso de varios elementos
inconvenientes para el mantenimiento de los equipos, por tanto habría que
buscar una forma de colocar el aire acondicionado u otra medida de
refrigeración
• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
2. • Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
• El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de
estas máquinas no está cifrado porque no se arriesgan al desastre que supondría
olvidar la contraseña.
o Deberían poner algún tipo de cifrado para proteger la información, por
ejemplo con una contraseña, varios caracteres, tanto letras como números,
como símbolos especiales, puesto que mayor desastre sería la pérdida de la
información que contienen esos ordenadores.
• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando
necesitan realizar alguna instalación o modificar un parámetro del sistema operativo.
Los empleados saben cuándo deben usar cada uno.
o Debería haber una copia de seguridad para cada usuario puesto que pueden
cometer errores, y sería el método más fácil para solucionar un problema
inesperado.
RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo
vulnerabilidades e instalando software específico
2. Al día siguiente continúa la entrevista. Termina la entrevista del segundo día porque tiene
otro compromiso. De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer? Tus
nuevas notas son:
• Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a
Internet. No tiene contraseña para que los clientes puedan utilizarla con total
comodidad.
o Debería haber al menos una contraseña para que solo pudiera entrar personal
autorizado, además de que no se deberían mezclar las dos redes por que
podría ralentizarse.
• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados
necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa
no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
o Deberían comprar Windows 10 ya que es la versión más reciente y hay menos
posibilidades de acceso que en las versiones anteriores, si llegara una
inspección y vieran que es un sistema pirata podrían multarles. Si el
presupuesto no fuera suficiente, podrían considerar la opción de usar Linux,
que es gratuito, pero sin soporte técnico.
• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre
ellos mediante dispositivos USB.
o Todos deberían instalar el mismo antivirus ya que cada uno puede tener un
problema distinto y perder mucho tiempo en encontrarlo en todos. En cuanto
a pasarlo por USB, tampoco deberían hacerlo, porque si hubiese malware en el
dispositivo, se iría pasando igual que el antivirus.
3. • Los ordenadores que hacen de servidores tienen activadas las actualizaciones
automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores
de empleados no se hace porque han visto que se satura la conexión a Internet.
o Deberían tener activadas las actualizaciones automáticas, ya que siempre es
mejor la última versión, puesto que se corrigen fallos de las versiones
anteriores. En cuanto a la saturación deberían programar un horario de
inactividad de ordenadores, para aprovechar y actualizar esos equipos.
• La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía
tienen hubs porque son fiables y el ancho de banda es suficiente.
o Deberían usar switch y routers, ya que aunque los hubs son más rápidos, los
switch y routers son más seguros.
• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo
de instalar.
o Se ahorra un dinero al ser gratuito pero al ser sencillo de instalar, también
tiene varias vulnerabilidades, mi opinión es que deberían utilizar otro tipo de
aplicación.
• El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu
Server 9.04.
o Se debería actualizar Linux a la última versión para cerrar posibles brechas de
seguridad y tener más funciones y mejores recursos que en las versiones
anteriores.
4. 3. Realiza una memoria con los pasos que has realizado, incluyendo capturas.
1. Hacemos ifconfig en Kali Linux para saber la dirección IP que tenemos.
2. Hacemos ping desde Metasploit a Kali Linux y vemos que hay conexión a la red.
5. 3. Hacemos lo mismo desde Kali Linux a Metasploit.
4. Introducimos el comando “nmap –Sp (Nuestra red, en este caso 192.168.1.0).
6. 5. Aquí localizamos la máquina a la que vamos a atacar.
6. A continuación para hacer el escáner introducimos el comando “nmap -sT -O (IP del equipo
a atacar, en este caso 192.168.1.158)”.
7. 7. Introducimos el comando "nmap -sT -sV (IP del equipo a atacar, en este caso
192.168.1.158)" para obtener la versión de los servicios y saber que ataque ejecutar.
8. Introducimos el comando “telnet (IP del equipo a atacar) y (puerto de telnet)”, después
ponemos el usuario y la contraseña.
8. 9. Ahora ejecutaremos programas como ftp con el comando “ftp (IP del equipo a atacar)” o ssh
con el comando “ssh (IP del equipo a atacar)”. En ftp nos pedirá usuario y contraseña, y para
salir solo hay que escribir “exit”. Mientras que en el ssh nos preguntará si estamos seguros de
que queremos seguir conectando, y decimos que sí.
9. 10. Introducimos el comando “msfconsole” para ejecutar nuestro ataque.
11. Para terminar escribimos el exploit necesario para realizar el ataque, en el apartado PHOST
introducimos la IP de “Metasploit”, en el apartado PAYLOAD el comando correspondiente, y en
LHOST la IP de “Kali Linux”, por último escribimos exploit para ejecutar el ataque, y veremos
que se realiza.
10. 4. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y
último día de auditoría. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones
que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones.
Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria
introduce los datos en una hoja Excel en su ordenador.
• ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la
creación del fichero que contiene los datos?
o Sí, porque la Ley les obliga, y establece los derechos y obligaciones de los
ciudadanos.
• ¿Qué nivel de seguridad requerirá el fichero?
o Básico
• ¿Qué medidas de seguridad requiere este nivel?
o Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios
con acceso a los datos de carácter personal y a los sistemas de información
estarán claramente definidas y documentadas en el documento de seguridad.
o También se definirán las funciones de control o autorizaciones delegadas por
el responsable del fichero o tratamiento.
o El responsable del fichero o tratamiento adoptará las medidas necesarias para
que el personal conozca de una forma comprensible las normas de seguridad
que afecten al desarrollo de sus funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento.
• Haz un listado de las infracciones que podrían cometerse con respecto al fichero y
destaca cuáles de ellas supondrían una sanción mayor.
o Son infracciones leves: Sanciones entre 601,01 € y 60.101,21 €
▪ No solicitar la inscripción del fichero en la Agencia Española de
Protección de Datos (AEDP)
▪ Recopilar datos personales sin informar previamente
▪ No atender a las solicitudes de rectificación o cancelación
▪ No atender las consultas por parte de la AGPD.
o Son infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 €
▪ No inscribir los ficheros en la AGPD.
▪ Utilizar los ficheros con distinta finalidad con la se crearon.
▪ No tener el consentimiento del interesado para recabar sus datos
personales
▪ No permitir el acceso a los ficheros.
▪ Mantener datos inexactos o no efectuar las modificaciones
solicitadas
▪ No seguir los principios y garantías de la LOPD
▪ Tratar datos especialmente protegidos sin la autorización del
afectado
▪ No remitir a la AGPD las notificaciones previstas en la LOPD.
▪ Mantener los ficheros sin las debidas condiciones de seguridad.
o Son infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €
11. ▪ Crear ficheros para almacenar datos que revelen datos
especialmente protegidos.
▪ Recogida de datos de manera engañosa o fraudulenta.
▪ Recabar datos especialmente protegidos sin la autorización del
afectado.
▪ No atender u obstaculizar de forma sistemática las solicitudes de
cancelación o rectificación.
▪ Vulnerar el secreto sobre datos especialmente protegidos.
▪ La comunicación o cesión de datos cuando ésta no esté permitida.
▪ No cesar en el uso ilegítimo a petición de la AGPD.
▪ Tratar los datos de forma ilegítima o con menosprecio de principios
y garantías que le sean de aplicación.
▪ No atender de forma sistemática los requerimientos de la AGPD.
▪ La transferencia temporal o definitiva de datos de carácter personal
con destino a países sin nivel de protección equiparable o sin
autorización