Identificación y mecanismos de mitigación de niveles de riesgo informático que presenta un ministerio del Estado de Chile

Abstract

El presente trabajo se centra en estudiar cuán vulnerable es un estamento gubernamental frente a las actuales amenazas cibernéticas que pueden afectar a la infraestructura informática y de servicios TI del Estado. Este estudio se debe a que en nuestro país, el concepto de ciberseguridad a nivel del Estado siempre ha tenido un sentido reactivo, donde se reacciona sólo cuando ocurre un evento que afecte el normal estado de los atributos de confidencialidad, integridad y disponibilidad de sus activos de información. En efecto, es casi nula la ejecución de actividades de prevención o la inversión en tecnologías que permitan resguardar la continuidad de las actividades y servicios que se realizan. El trabajo esta orientado en realizar una imagen del grado de vulnerabilidad que presenta un ministerio; analizar los riesgos presentes respecto a las amenazas y vulnerabilidades encontradas, documentar los hallazgos realizados y proponer mecanismos de mitigación de las mismas. Para materializar esto se siguió la metodología OSSTM (Open Source Security Test Methodology) la cual se materializó en un análisis de seguridad del tipo Penetration test que se dividió en seis etapas, a saber, reconocimiento pasivo, reconocimiento activo, análisis de vulnerabilidades, explotación o ataque puro, consolidación y, finalmente, reporte. Dicha metodología es la que se utiliza mundialmente para obtener la certificación internacional CEH Certified Ethical Hacker de EC-Council. Los resultados obtenidos se plasmaron en un documento, el Informe de Análisis de Vulnerabilidades, el cual lista las vulnerabilidades detectadas y las organiza seg´un criticidad y equipo donde fueron detectadas. Además se indica el riesgo que presentan según su criticidad y la forma de como mitigarlas, junto con referencias de autoridades del área sobre la mitigación. Dentro de las vulnerabilidades detectadas se encontraron una crítica, dos altas y once medias. Al momento de verificar la vulnerabilidad crítica se concreto un ataque de denegación, lo cual permitió establecer el estado de seguridad del ministerio. Finalmente, como conclusión se puede afirmar que el nivel de seguridad que presenta la entidad gubernamental es deficiente. Lo cual puede poner en riesgo su infraestructura de servicios frente a ataques de hacktivistas u otros grupos que representen una amenaza real al Estado./ABSTRACT: This work focuses on studying how vulnerable is a government establishment against the current cyber threats that may compromise the IT infrastructure and state services. This study is because in our country, the concept of cyber security at the state level has been always a reactive sense, where it reacts only when occurs an event a↵ecting the normal state of the attributes of confidentiality, integrity and availability of its assets of information. Indeed, it is almost nil execution of prevention activities or investing in technologies to safeguard the continuity of activities and services performed. The work is aimed at making an image of the degree of vulnerability that presents a ministry; analyze the risks present regarding the threats and vulnerabilities found, document the findings and propose mitigation mechanisms thereof. To realize this, was followed the OSSTM methodology (Open Source Security Test Methodology) which materialized in a security analysis, type Penetration test which was divided into six stages: passive recognition, active recognition, vulnerability analysis, exploitation or pure attack, consolidation and finally report. This methodology is the one that is used worldwide for international certification EC-Council’s CEH Certified Ethical Hacker. The results were set out in a document, the Vulnerabilities Assessment Report, which lists the vulnerabilities detected and organizes them according to criticality and the equipment where they were detected. Besides is indicated the risks according criticality and the way how to mitigate them, along with references to authorities on mitigation area. Among the vulnerabilities detected, was found one critical, two high and eleven medium. At the moment to verify the critical vulnerability, was concreted a denial of service attack, which allowed to establish the ministry’s security state. Finally, as conclusion I can say that the level of security that presents the government entity is poor. Which can jeopardize their service infrastructure regarding attacks from hacktivists or other groups that represent a real threat to the state.