AUDITORIA INFORMATICA PARA

EL INSTITUTO DE FORMACION
DE ESTUDIANTES “LIDER”

Integrantes:

Carlos Enrique Maldonado Cuellar 21

Luis Alejandro Torres Rocha 21
David Mamani Condori 21
Maily Celina Valdez Payllo 21
Jorge Eduardo Cari Araca 216079187
Materia:
Auditoria Informática / INF SA
Empresa:
Instituto de Capacitación “Lider”

Santa Cruz - Bolivia

 Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

INDICE
1) ANTECEDENTES Y JUSTIFICACIONES.........................................................................................
2) PROBLEMA................................................................................................................................
2.1) Situación Problemática..........................................................................................................
2.2) Formulación del Problema....................................................................................................
3) FORMULACION DE HIPOTESIS..................................................................................................
3.1) Conceptualización.................................................................................................................
3.2) Operación de Variables.........................................................................................................
4) OBJETIVOS....................................................................................................................................
4.1) Objetivo General...................................................................................................................
4.2) Objetivos Específicos.............................................................................................................
5) MARCO REFERENCIAL...................................................................................................................
5.1) Contrato Laboral....................................................................................................................
6) MARCO TEORICO..........................................................................................................................
7) DISEÑO METODOLOGICO.............................................................................................................
7.1) Tipo de Estudio......................................................................................................................
7.2) Definición de población.........................................................................................................
7.3) Instrucciones y Técnicas de Investigación...........................................................................
GNS3:......................................................................................................................................
Kali Linux:................................................................................................................................
ParrotOS:................................................................................................................................
Maltego:.................................................................................................................................
Google Dorks:.........................................................................................................................
Yersinia:...................................................................................................................................
Wireshark:..............................................................................................................................
Aircrack:..................................................................................................................................
Hydra:.....................................................................................................................................
John The Ripper:.....................................................................................................................
ClamAV:...................................................................................................................................
Snamp:....................................................................................................................................
Sqlmap:...................................................................................................................................
Snort IDS:................................................................................................................................

25-07-2023
 Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Nessus:....................................................................................................................................
Dawn:......................................................................................................................................
Ataques a Contraseñas:..........................................................................................................
Ingeniería Inversa:..................................................................................................................
7.4) Trabajo De Campo...............................................................................................................
8) INFORME DE AUDITORIA............................................................................................................
8.1). Análisis de Riesgo...............................................................................................................
8.1.1) Topología de Red..........................................................................................................
8.1.2) Identificación de Activos..............................................................................................
8.1.3) Medir Riesgo................................................................................................................
8.1.4) Priorizar Riesgo.............................................................................................................
8.1.5) Gestión de Riesgo.........................................................................................................
8.2) Auditoria de Seguridad Informática....................................................................................
8.2.1) Auditoria de páginas web.............................................................................................
8.2.2) Auditoria de Servicios...................................................................................................
8.2.3) Auditoria de redes Wifi................................................................................................
8.2.4) Auditoria de fortaleza de contraseñas.........................................................................
8.2.5) Auditoria relacionada con malware.............................................................................
8.2.6) Auditoria de intrusión en SO........................................................................................
8.2.7) Recolección de información y vulnerabilidad..............................................................
8.2.8) Análisis forense............................................................................................................
8.2.9) auditoria de Base de Datos..........................................................................................
9) CONCLUSIONES..........................................................................................................................
10) BIBLIOGRAFÍA...........................................................................................................................
11) ANEXOS.....................................................................................................................................

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

1) ANTECEDENTES Y JUSTIFICACIONES
El instituto académico y de formación de estudiantes “ LIDER ” es un
instituto que opera desde hace bastante tiempo en la ciudad de Santa
Cruz , como un establecimiento dedicado a la formación y nivelación de
todo postulante que desea ingresar a la UAGRM , Academia Policía, etc.
tomando sus diferentes modalidades de ingreso.

Con el transcurrir de los años el instituto a llegado a ser reconocido como

un lugar de excelente calidad de enseñanza por tener equipos
actualizados y un plantel de docentes de nivel. Contando con gran
cantidad de sucursales la institución para la enseñanza de los postulantes.

2)PROBLEMA

Se cree que el instituto tiene algunas falencias y vulnerabilidades en su

sistema de registro de actividades de los empleados semestralmente, se
pidió que realice una auditoría para encontrar las posibles falencias en su
sistema.

2.1) Situación Problemática

Los proyectos nacen a partir de una necesidad, la búsqueda de una

solución a un problema y también, en determinados casos ante una
oportunidad. Constituyen un esfuerzo tendiente a lograr un objetivo
específico mediante una serie de actividades interrelacionadas y la
utilización eficiente de recursos. Las organizaciones están
constantemente en la búsqueda de nuevas ideas de proyectos,
identificando problemas que puedan resolverse y oportunidades de
negocio que puedan aprovecharse.

El área que se presentan problemas en el sistema es el control de

asistencia de los empleados de la institución esto puede llegar a causar
fallas al momento de paga de sueldos a cada empleado y al control de su
trabajo en el área.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

2.2) Formulación del Problema

Al momento de hacer una auditoría informática se investigan todos y cada

uno de los aspectos importantes relacionados con los dispositivos
informáticos de la empresa para que estos tengan un funcionamiento
óptimo, todo aquello que se refiera a seguridad, prevención,
mantenimiento, entre otros, pero lo realmente importante es que haya una
política general de informática para conseguir sus objetivos.

Así, el objetivo primordial de la auditoría es ver qué se está haciendo bien,

qué se está haciendo mal y corregirlo, ver que se puede hacer mejor y
cuáles van a ser los protocolos de actuación (mantenimiento correctivo)
ante problemas para que estos no atenten a la productividad de la
empresa.

3) FORMULACION DE HIPOTESIS
Hipótesis directriz: Las auditorias informáticas incidirán en la funcionalidad
del sistema de asistencia.

 Variable independiente: auditoria informática.

 Variable dependiente: Sistema de Información y dispositivos.

3.1) Conceptualización

 Amenaza: causa potencial de un incidente no deseado, el cuela

puede causar el daño a un sistema o a la organización.
 Prueba de Caja Blanca: Son pruebas en los procedimientos del
software esto es muy ventajoso ya que proporciona resultados muy
óptimos, pero en nuestra situación no contamos con algún código
fuente
 Prueba de Caja Negra: Se tiene mínimos conocimientos sobre la
red de la organización
 Seguridad: Ofrecer protección frente a falencias y peligros externos
que afectan negativamente a la calidad de vida.
 Vulnerabilidad es el riesgo que una persona, sistema u objeto
puede sufrir amenazas de tipo natural, políticas, sociales.
 Análisis de riesgos: según [ISO/IEC Guía 73:2002]: usos
sistemáticos de la información para identificar fuentes y estimar
riesgo.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

 Auditor: persona encargada de verificar, de manera independiente,

la calidad e integridad del trabajo que se ha realizado en el área
particular
 Kali Linux: es la distribución basada en Debian GNU/Linux
diseñada principalmente para la auditoria y seguridad informática
en general, cuenta con herramientas, las cuales están destinadas a
varias tareas.
 Parrot-Security:
 Captura de información: obtención de datos sobre la red de la
organización y sus estructuras.
 Vulnerabilidades: riesgo de tipo natural, política o social que una
empresa puede llegar a sufrir.
 Hardware: conjunto de dispositivos de los que consiste un sistema.
Comprende componentes tales como el teclado. El Mouse, las
unidades de disco, Monitor.
 Información: en sentido general es todo lo que se reduce la
incertidumbre y sirve para realizar acciones y tomar decisiones.
 Internet: interconexión de redes informáticas que permite a las
computadoras conectadas comunicarse directamente.
 Políticas de seguridad: según [ISO/IEC 27002:2005]: intención y
dirección general expresada formalmente por la dirección.
 Red: servicio de comunicación de datos entre ordenadores.
Conocido también por su denominación inglesa: ‘Network’. Se dice
que una red esta débilmente conectada cuando la red no mantiene
conexiones permanentes entre los ordenadores que la forman. Esta
estructura es propia de redes no profesionales con el fin de
abaratar su mantenimiento.}
 Riesgo: según [ISO Guía 73:2002]: combinación de la probabilidad
de un evento y sus consecuencias.

3.2) Operación de Variables

Uso de los componentes de las tecnologías de información y comunicación (TIC)
uso de los procesos, productos y medios electrónicos derivados de las nuevas
tecnologías que crean, almacenan, recuperan y transmiten la información a
grandes velocidades y en grandes cantidades.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Planificación -. Método que a través de las herramientas permite

alcanzar objetivos propuestos por la organización, será medido a través
de la revisión y análisis de información.

4) OBJETIVOS
Realizar una auditoria informática enfocada al Instituto de Capacitación
“Lider”

4.1) Objetivo General

Analizar la seguridad de todo el sistema de del instituto de formación de

estudiantes “Líder” a través de un análisis exhaustivo usando
herramientas de hacking.

4.2) Objetivos Específicos

 Conocer la situación actual del área informática y sus respectivas

actividades de control.
 Elaborar un plan para la seguridad de datos, hardware, software e
instalaciones.
 Garantizar los procesos de seguridad, utilidad, confianza privacidad y
disponibilidad en el área informática.
 Minimizar las existencias de riesgo en el uso de la tecnología de la
información.
 Evitar fraudes y robo de información por parte del personal interno y
externo mediante la detección de intrusos.
 Analizar el tráfico de red y sus posibles contingencias en caso de
fallos.
 Analizar y testear el grado de confianza en las herramientas para la
auditoria informática.
 Diseñar un contrato de Auditoria.

5) MARCO REFERENCIAL
El presente proyecto bajo estudios tiene como objetivo la evaluación de
los sistemas de información en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtención de información.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

5.1) Contrato Laboral

6) MARCO TEORICO

Así como una auditoría contable controla sistemas y registros, una

auditoria informática se encarga de verificar que tus sistemas y procesos
informáticos estén funcionando correctamente para las que han sido
programados y que sus activos digitales estén debidamente protegidos.
Muchas empresas desconocen que tienen o no utilizan adecuadamente
sus recursos técnicos, lo que presenta ineficiencia en sus procesos. Las
áreas sujetas a auditoria informática son:

 Hardware
 Redes y comunicaciones
 Soporte y mantenimiento
 Seguridad lógica y física
 Software
 Desarrollo de sistemas
 Procesamiento de datos
 Normas, procedimientos y documentación
 Recursos humanos intervinientes en los procesos informáticos y
sus responsabilidades

7) DISEÑO METODOLOGICO
7.1) Tipo de Estudio
El estudio propuesto es un estudio experimental que se enfocará en
evaluar la fiabilidad del sistema de información del Instituto de
Capacitación "Lider". Se utilizarán las herramientas de seguridad
informática integradas en los sistemas operativos Kali Linux y ParrotOS
para investigar vulnerabilidades de software en la red y el software del
instituto.

El objetivo es manipular deliberadamente ciertos factores mediante el uso

de las herramientas tecnológicas para examinar cómo afectan al sistema
de información. Los auditores intentarán violar el sistema de la
organización utilizando estas herramientas para evaluar la eficacia de las
medidas de seguridad implementadas y detectar posibles
vulnerabilidades.

25-07-2023
 Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Al utilizar un enfoque experimental, el estudio se llevará a cabo de manera

estructurada y controlada. Los resultados obtenidos serán fundamentales
para implementar mejoras y fortalecer la seguridad informática del
instituto, garantizando la protección de datos y la integridad del sistema de
información.

7.2) Definición de población

El Instituto de Capacitación "Lider" es un ambiente virtual que refleja la

arquitectura original implementada en la institución, permitiendo el uso de
diferentes técnicas y herramientas disponibles. Se ha solicitado llevar a
cabo una auditoría para identificar posibles falencias y vulnerabilidades en
su sistema de registro de actividades de los empleados semestralmente.

Con esta evaluación, se busca brindar recomendaciones precisas que

permitan fortalecer la infraestructura tecnológica del Instituto de
Capacitación "Lider" y garantizar un entorno seguro y confiable para sus
operaciones.

Servidor
Sistema Operativo: Ubuntu
Memoria Ram: 3GB
Almacenamiento:20 GB
Procesador: Core i7 7473G 3.0Ghz
Cantidad: 1

Estación 2
Sistema Operativo: Windows 10
Memoria Ram: 4GB
Almacenamiento:30 GB
Procesador: Core i5 3546G 2.5Ghz
Cantidad: 2

Estación 1
Sistema Operativo: Windows 10
Memoria Ram: 4 GB
Almacenamiento:30 GB
Procesador: Core i5 3546G 2.5Ghz
Cantidad: 1

25-07-2023
 Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Estación del Auditor

Sistema Operativo: Kali Linux
Memoria Ram: 4GB
Almacenamiento: 30 GB
Procesador: Core i5 3546G 2.5Ghz
Cantidad: 1

7.3) Instrucciones y Técnicas de Investigación

Herramientas que plantearon en usar serán las siguientes:

 Entorno de auditoria:

o GNS3
o Kali Linux
o ParrotOS

 Entorno Desarrollo

o Maquinas SO Windows:
o Maquina Centos
o Servidor Ubuntu

 Herramientas de Explotación:

o Maltego
o Google Dorks
o Yersinia
o Wireshark
o Aircrack
o Hydra
o Jhon The Riper
o ClamAV
o Snamp
o Sqlmap
o Snort IDs
o Nessus
o Dawn

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

GNS3:
GNS3 es un simulador de red gráfico que permite a los usuarios diseñar,
configurar y emular redes complejas utilizando imágenes de sistemas
operativos reales. Es ampliamente utilizado por profesionales de redes y
estudiantes para practicar configuraciones y pruebas de redes en un
entorno seguro y virtual.

Kali Linux:
Kali Linux es una distribución de Linux especializada en pruebas de
penetración, también conocidas como pruebas de seguridad. Está
diseñada para proporcionar una plataforma todo en uno para los
profesionales de seguridad informática y entusiastas, ofreciendo una
amplia gama de herramientas y programas preinstalados para realizar
pruebas de seguridad, auditorías y evaluaciones de vulnerabilidades en
sistemas y redes.

ParrotOS:
ParrotOS es otra distribución de Linux centrada en la seguridad, basada
en Debian. Al igual que Kali Linux, también está diseñada para realizar
tareas de seguridad informática, pero se destaca por su enfoque en la
privacidad y anonimato. Además de herramientas de pruebas de
penetración, ParrotOS también incluye un conjunto de aplicaciones para la
protección de la privacidad y el anonimato en línea.

Maltego:
Maltego es una herramienta de inteligencia de código abierto utilizada
para el análisis de enlaces y la visualización de relaciones entre diferentes
entidades en línea. Ayuda a los investigadores a reunir información sobre
personas, dominios, direcciones IP y mucho más, proporcionando una
visión gráfica de cómo están interconectados.

Google Dorks:
Google Dorks son consultas de búsqueda avanzadas que aprovechan las
capacidades de Google para encontrar información sensible o expuesta
en sitios web. Estas consultas pueden ser utilizadas por expertos en
seguridad para encontrar vulnerabilidades y filtraciones de información.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Yersinia:
Yersinia es una herramienta de prueba de penetración que se utiliza para
realizar ataques en redes que utilizan diversos protocolos de nivel de red,
como SNMP, DHCP, STP, etc. Permite a los evaluadores de seguridad
simular varios ataques y evaluar la resistencia de las redes.

Wireshark:
Wireshark es una poderosa herramienta de análisis de tráfico de red y
captura de paquetes. Permite a los administradores de redes y
profesionales de seguridad analizar el tráfico en tiempo real y realizar
análisis forenses para identificar problemas de red y posibles amenazas.

Aircrack:
Aircrack-ng es una suite de herramientas de seguridad inalámbrica que se
utiliza para evaluar y auditar la seguridad de redes Wi-Fi. Puede capturar
paquetes y realizar ataques de fuerza bruta en contraseñas WEP y
WPA/WPA2.

Hydra:
Hydra es una herramienta de ataque de fuerza bruta que se utiliza para
probar contraseñas débiles o desconocidas en diversos servicios, como
FTP, SSH, HTTP, entre otros.

John The Ripper:

John The Ripper es otra herramienta de ataque de fuerza bruta, pero se
enfoca principalmente en romper contraseñas cifradas en sistemas UNIX
y Windows.

ClamAV:
ClamAV es un antivirus de código abierto diseñado para detectar y
eliminar software malicioso, como virus, troyanos y otros tipos de
malware.

Snamp:
Snamp es una herramienta que combina SNMP (Simple Network
Management Protocol) con Nmap para descubrir y enumerar dispositivos
de red.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Sqlmap:
Sqlmap es una herramienta de prueba de penetración de código abierto
que automatiza la detección y explotación de vulnerabilidades de
inyección SQL en aplicaciones web.

Snort IDS:
Snort es un Sistema de Detección de Intrusos (IDS) de código abierto que
supervisa y analiza el tráfico de red en busca de comportamientos y
patrones sospechosos que puedan indicar ataques o intrusiones.

Nessus:
Nessus es una herramienta de escaneo de vulnerabilidades que ayuda a
identificar debilidades y brechas de seguridad en sistemas y redes.

Dawn:
Dawn es una herramienta de código abierto para análisis forense digital,
que permite a los investigadores extraer y analizar datos de sistemas
comprometidos o sospechosos.

Estas herramientas se utilizan en diversas etapas de la seguridad

informática y son valiosas tanto para profesionales de la seguridad como
para entusiastas que buscan proteger y mejorar la seguridad de sus
sistemas y redes.

Ataques a Contraseñas:
Un ataque de fuerza bruta es un intento de descifrar una contraseña o
nombre de usuario, de buscar una página web oculta o de descubrir la
clave utilizada para cifrar un mensaje, que consiste en aplicar el método
de prueba y error con la esperanza de dar con la combinación correcta
finalmente.

Ingeniería Inversa:
La ingeniería inversa de código permite a los programadores invertir los
procesos de desarrollo y producción de un software y, de esta forma,
echar un vistazo entre las bambalinas de un programa. La deconstrucción
y el desarrollo invertido de un software permiten estudiar el código fuente
de una aplicación

7.4) Trabajo De Campo

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

El trabajo de campo consistió en desarrollar el análisis y el uso de

herramientas en un ambiente virtualizado que incluía Ubuntu Server, ,
Windows 10 y máquinas virtuales en VMware, junto a máquinas con Kali
Linux. Se replicó un escenario similar al de una compañía, cargando los
sistemas operativos y sistemas de información necesarios. Todas las
prácticas y actividades se llevaron a cabo desde una estación con el
sistema operativo Kali Linux, especializado en seguridad informática y
pruebas de penetración. Se utilizaron diversas herramientas para el
análisis de redes, pruebas de seguridad y detección de intrusos, lo que
proporcionó una experiencia práctica y conocimientos valiosos en el
campo de la ciberseguridad.

8) INFORME DE AUDITORIA

8.1). Análisis de Riesgo

Hay una gran variedad de formas de evaluar la topología de red de la

institución, en esta ocasión se pretende utilizar el método de “Matriz
Clásica” dando como resultado un análisis completo con respecto a los
dispositivos de la red y teniendo una clasificación entendible para los
clientes.

8.1.1) Topología de Red

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

8.1.2) Identificación de Activos

ID Recurso Amenaza + Vulnerabilidad

Configuración mal adecuada, sin
protección
R1 Router Puertos dañados
Configuración de puertos mal adecuados
Lugar no adecuado del dispositivo
Cableado no adecuado
R2 Switch Exceso de puertos sin utilizar
Mal configuración en el acceso
Permisos no adecuados a los usuarios
Contraseñas no adecuadas al acceso al
Server
R3 server
Ubuntu
Puertos abiertos
Mala configuración de servicios
Puertos no configurados
Cliente-
R4 Débiles contraseñas de usuarios
CentOS
Servicios siempre abiertos
Contraseñas de usuarios débiles
Cliente-
R5 Mala configuración de protección
Windows
Problemas de conexión

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

8.1.3) Medir Riesgo

8.1.4) Priorizar Riesgo

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

8.1.5) Gestión de Riesgo

8.2) Auditoria de Seguridad Informática

8.2.1) Auditoria de páginas web

8.2.2) Auditoria de Servicios

8.2.3) Auditoria de redes Wifi

Como herramienta de desarrollo y prueba se usará aircrak-ng desplegado

en Kali-Linux

Aircrack-ng

Aircrack-ng es una suite de programas que nos permitirán realizar

auditorías inalámbricas WiFi a routers y puntos de acceso WiFi. Esta suite
es una de las más utilizadas para intentar hackear o crackear las redes
WiFi con cifrado WEP, WPA y también WPA2 en los diferentes equipos.
Este software es una completa suite de auditoría que está dividida en
diferentes programas específicamente diseñados para una tarea en
concreto, no tenemos un programa «grande» que en base a argumentos
realizan diferentes acciones. Con el fin de facilitar al usuario el uso de las
diferentes Herramientas, dependiendo de lo que nos interese hacer con la
red inalámbrica, tendremos que utilizar un programa u otro.

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

Para poder utilizar aircrack-ng tenemos que colocar nuestra tarjeta de red
en modo monitor utilizando los siguientes comandos:

Luego con el comando airodump-ng wlan0 se podrá ver las redes

inalámbricas cerca que podrán ser auditadas

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

También se puede utilizar la herramienta terminator ejecutando el

siguiente comando -sudo terminator

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

8.2.4) Auditoria de fortaleza de contraseñas

Como herramienta de desarrollo y prueba se usará aircrak-ng desplegado

en Parrot-Security

8.2.5) Auditoria relacionada con malware

ClamAV: Es una herramienta de antivirus de código abierto que puede

utilizarse para escanear y detectar malware en sistemas Linux y Windows.

https://www.clamav.net/

Snort es un IDS (Intrusion Detection System)

Con este IDS, podremos:

 Monitorizar el tráfico en tiempo real (sniffer)
 Mantener un registro de paquetes
 Analizar un protocolo

https://www.snort.org/

Netcat
Netcat es una herramienta que estudia y analiza las conexiones de red
usando TCP y UDP. Realiza un análisis dinámico de malware y se puede
usar tanto en conexiones entrantes como salientes.
https://nmap.org/ncat/

8.2.6) Auditoria de intrusión en SO

8.2.7) Recolección de información y vulnerabilidad

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

8.2.8) Análisis forense

8.2.9) auditoria de Base de Datos

SQLMAP es una herramienta de prueba de penetración que se utiliza para

detectar y explotar vulnerabilidades de inyección de SQL en aplicaciones
web

 Abre una terminal o consola de comandos.

 Accede al directorio donde tienes instalado SQLMAP o asegúrate
de que esté en tu PATH.
 Utiliza el siguiente comando para iniciar la exploración de
vulnerabilidades en un sitio web de WordPress:
sqlmap -u http://192.168.0.6/wordpress?id=101 –dbs
sqlmap -u https://www.ejemplo.com

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

 SQLMAP iniciará automáticamente el escaneo del sitio web en busca de

posibles vulnerabilidades de inyección de SQL. Realizará una serie de
pruebas para identificar si el sitio es susceptible a ataques de este tipo.
 SQLMAP mostrará los resultados del escaneo, indicando si se ha
encontrado alguna vulnerabilidad y ofrecerá detalles sobre las posibles
inyecciones de SQL que se han detectado.
 Dependiendo de la configuración del sitio web y de la detección de
vulnerabilidades, SQLMAP puede ofrecer opciones para realizar pruebas
de inyección de SQL de forma más específica, como la obtención de datos
o el acceso a la base de datos.

kali@root:/var/www/html/wordpress$ mysql -h localhost -u root -p

mysql> show databases;

mysql> use wordpress

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

mysql> show tables;

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

mysql> describe wp_users;

mysql> select user_login, user_pass from wp_users;

+---------------+------------------------------------+
| user_login | user_pass |
+---------------+------------------------------------+
| seduca | $P$BwoVAUhMBpeZdn/HVP/ZwIrvYSrm/t. |
| admin | $P$BHXGCuDYw.O7hFQ39X.UxlQK09Z1Od1 |
| lector_seduca | $P$B538dhe3VqRIFCdX2.GlcJJwqe89CK/ |

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

9) CONCLUSIONES

Las auditorías informáticas son un proceso esencial para obtener

información y documentación de diversos aspectos en una organización.
Los informes finales de los auditores dependen de su habilidad para
analizar las fortalezas y debilidades de los diferentes medios evaluados.
El trabajo del auditor se centra en obtener toda la información necesaria
para emitir un juicio global objetivo, respaldado por evidencias sólidas y
comprobables.

El auditor debe estar debidamente capacitado para comprender los

complejos mecanismos presentes en el procesamiento electrónico y estar
preparado para enfrentar sistemas computarizados donde se encuentra la
información relevante para la auditoría.

Es fundamental que todas las empresas, tanto públicas como privadas,

que utilicen Sistemas de Información de cierta complejidad, se sometan a
un estricto control de evaluación de eficacia y eficiencia. En la actualidad,
la mayoría de las empresas gestionan su información mediante Sistemas
Informáticos, lo que subraya la importancia crítica de que estos sistemas
funcionen de manera óptima. De hecho, el éxito de una empresa está
estrechamente vinculado a la eficiencia de sus sistemas de información.
Aun si una empresa cuenta con personal altamente capacitado, si su
sistema informático es propenso a errores, lento, frágil o inestable, será
difícil para la empresa avanzar y prosperar.

Es imprescindible que la auditoría de Sistemas sea llevada a cabo por

profesionales expertos en la materia. Una auditoría mal ejecutada podría
desencadenar consecuencias drásticas para la empresa auditada,
especialmente de índole económica. Por ello, contar con auditores
calificados y experimentados es vital para garantizar que la empresa se
beneficie de una evaluación rigurosa y confiable que permita identificar
oportunidades de mejora y mitigar riesgos en el ámbito de los sistemas
informáticos.

10) BIBLIOGRAFÍA

 https://tools.kali.org/web-applications/whatweb
 https://tools.kali.org/information-gathering/nmap

25-07-2023
Facultad Ingeniería de Ciencia de la Computación y Telecomunicación

 https://www.welivesecurity.com/la-es/2014/02/19/maltego-herramienta-
muestra-tan-expuesto-estas-internet/
 https://tools.kali.org/information-gathering/maltego-teeth
 http://www.reydes.com/d/?q=Consultas_Whois
 http://en.wikipedia.org/wiki/Whois
 http://www.iana.org/domains/root/db
 http://www.internic.net/whois.html
 http://tools.ietf.org/html/rfc3912

11) ANEXOS

25-07-2023