Ciberseguridad aplicada: estudio de un ataque típico contra un sitio web y recomendaciones para su mitigación y prevención

Autores/as

Palabras clave:

Ciberataque, Ciberseguridad, Mitigación del riesgo, Sitio web

Resumen

Este artículo aborda la seguridad en aplicaciones web mediante el análisis forense de un ataque típico. Utilizando la plataforma TryHackMe y el desafío "Overpass 2 - Hacked", se emuló un ataque a un servidor web, examinando cada paso del proceso desde la identificación y explotación de vulnerabilidades hasta la obtención de acceso no autorizado. Wireshark fue la herramienta seleccionada para capturar y analizar el tráfico de red, permitiendo reconstruir la secuencia de eventos y comprender las técnicas empleadas por el atacante. El estudio se enmarca en el ámbito de Digital Forensics and Incident Response (DFIR), profundizando en conceptos críticos de la seguridad informática, y haciendo uso del modelo PURI, que estructura las fases de recuperación de información de manera metódica y reproducible, para mantener la integridad de la evidencia digital. Este artículo proporciona recomendaciones prácticas para mitigar y prevenir este tipo de ataques, destacando la importancia de implementar medidas de seguridad desde el diseño de las aplicaciones y la necesidad de monitoreo constante de la actividad de red para la detección temprana de amenazas. La investigación subraya la relevancia de la ciberseguridad y la respuesta forense en la protección de los derechos de los ciudadanos en el ciberespacio.

Biografía del autor/a

Emanuel Lazzari, Fil: Lazzari, Emanuel. Universidad Nacional del Noroeste de la Provincia de Buenos Aires (UNNOBA); Argentina. Universidad Nacional de San Antonio de Areco (UNSAdA); Argentina

Especialista en Informática Forense (UFASTA) y tesista de la Maestría en Educación en Escenarios Digitales (UNSL). Docente en la Universidad Nacional del Noroeste de la Provincia de Buenos Aires (UNNOBA) y en la Universidad Nacional de San Antonio de Areco (UNSAdA) en las áreas de Investigación de Operaciones, Matemática y Teoría de la Computación.

Hugo Javier Curti, fil: Curti, Hugo. Universidad FASTA; Argentina

Magister en Ingeniería de Sistemas (UNICEN). Docente en la Universidad Nacional del Centro de la
Provincia de Buenos Aires (UNICEN), en el departamento de Computación y Sistemas, y en la Universidad FASTA (UFASTA) en la carrera de Ingeniería de Informática y en la Especialización en Informática Forense. Investigador en el InFo-Lab (UFASTA). Docente en la Escuela de Postgrado de la Universidad Nacional de Chilecito (UNdeC) en el área de Criptografía y Seguridad Informática.

Citas

OWASP Top 10 Team, “OWASP Top 10,” OWASP, 2021. [En línea]. Disponible en: https://owasp.org/Top10/es/. [Accedido: 25-ago-2024].

OWASP, “OWASP Top 10 – 2017: Los diez riesgos de seguridad más críticos en aplicaciones web,” OWASP, 2017. [En línea]. Disponible en: https://owasp.org/www-project-top-ten/2017/. [Accedido: 27-ago-2024].

OWASP, “OWASP Top 10 – 2013: Los diez riesgos de seguridad más críticos en aplicaciones web,” OWASP, 2013. [En

línea]. Disponible en: https://css.csail.mit.edu/6.858/2014/readings/owasp-top-10.pdf. [Accedido: 27-ago-2024].

Código Penal de la Nación Argentina, Art. 183, Cap. VII, modificado por la Ley 26.388, 2008. [En línea]. Disponible en: https://servicios.infoleg.gob.ar/infolegInternet/anexos/15000-19999/16546/texact.htm. [Accedido: 25-ago-2024].

Ministerio de Capital Humano, “¿Qué es la ciudadanía digital?,” Argentina.gob.ar. [En línea]. Disponible en: https://www.argentina.gob.ar/que-es-la-ciudadania-digital. [Accedido: 25-ago-2024].

Ley 25.326 de Protección de los Datos Personales, Argentina, 2000. [En línea]. Disponible en: https://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/texact.htm. [Accedido: 25-ago-2024].

TryHackMe, “TryHackMe Cyber Security training,” TryHackMe. [En línea]. Disponible en: https://tryhackme.com/. [Accedido: 25-ago-2024].

TryHackMe, “Overpass 2 - Hacked,” TryHackMe. [En línea]. Disponible en: https://tryhackme.com/r/room/overpass2hacked. [Accedido: 25-ago-2024].

Wireshark Foundation, “Wireshark: Go Deep,” Wireshark. [En línea]. Disponible en: https://www.wireshark.org/. [Accedido: 25-ago-2024].

Real Academia Española, “Seguro,” en Diccionario de la lengua española, 22ª ed., 2001. [En línea]. Disponible en:

https://www.rae.es/drae2001/seguro. [Accedido: 27-ago-2024].

M. I. Romero Castro et al., Introducción a la seguridad informática y el análisis de vulnerabilidades. 3Ciencias, 2018.

Dirección Nacional de Ciberseguridad, “Ciberseguridad,” Argentina.gob.ar. [En línea]. Disponible en:

https://www.argentina.gob.ar/jefatura/innovacionpublica/ssetic/direccion-nacional-ciberseguridad. [Accedido: 27-ago2024].

Dirección Nacional de Ciberseguridad, “Guía introductoria a la seguridad para el desarrollo de aplicaciones web,” República Argentina, 2021. [En línea]. Disponible en: https://servicios.infoleg.gob.ar/infolegInternet/anexos/355000-359999/356582/disp8.pdf. [Accedido: 27-ago-2024].

Jefatura de Gabinete de Ministros, “Decisión Administrativa 641/2021: Requisitos mínimos de Seguridad de la Información para Organismos,” Boletín Oficial de la República Argentina, 2021. [En línea]. Disponible en:

https://www.boletinoficial.gob.ar/detalleAviso/primera/246104/20210628. [Accedido: 27-ago-2024].

Instituto Nacional de Ciberseguridad (INCIBE), “Guía de ciberataques,” España, 2020. [En línea]. Disponible en:

https://www.incibe.es/ciudadania/formacion/guias/guia-deciberataques. [Accedido: 27-ago-2024].

Dirección Nacional de Ciberseguridad, “Derechos de la ciudadanía en ciberseguridad,” Argentina.gob.ar. [En línea]. Disponible en: https://www.argentina.gob.ar/jefatura/innovacionpublica/ssetic/direccion-nacional-ciberseguridad/derechos-de-laciudadania. [Accedido: 27-ago-2024].

A. H. Di Iorio et al., El rastro digital del delito: aspectos técnicos, legales y estratégicos de la informática forense. Mar del Plata: Universidad FASTA, 2017.

Dirección Nacional de Ciberseguridad, “CERT.ar,” Argentina.gob.ar. [En línea]. Disponible en:

https://www.argentina.gob.ar/jefatura/innovacionpublica/ssetic/direccion-nacional-ciberseguridad/cert-ar. [Accedido: 27-ago-2024].

GitHub, “Github: Let’s build from here,” GitHub. [En línea]. Disponible en: https://github.com/. [Accedido: 27-ago-2024].

Hashcat, “Hashcat: advanced password recovery,” Hashcat. [En línea]. Disponible en: https://hashcat.net/hashcat/. [Accedido: 27-ago-2024].

Kali Linux, “Wordlists,” Kali Linux Tools. [En línea]. Disponible en: https://www.kali.org/tools/wordlists/. [Accedido: 27-ago-2024].

P. Cichonski, T. Millar, T. Grance, y K. Scarfone, “Computer security incident handling guide,” National Institute of

Standards and Technology, Gaithersburg, MD, NIST SP 800-61 Rev. 2, 2012. [En línea]. Disponible en: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf. [Accedido: 27-ago-2024].

K. Kent, S. Chevalier, T. Grance, y H. Dang, “Guide to integrating forensic techniques into incident response,” National Institute of Standards and Technology, Gaithersburg, MD, NIST SP 800-86, 2006. [En línea]. Disponible en:

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf. [Accedido: 27-ago-2024].

Exterro, “FTK Imager,” 2024. [En línea]. Disponible en: https://www.exterro.com/digital-forensics-software/ftk-imager. [Accedido: 27-ago-2024].

Open Text Corporation, “OpenText EnCase Forense,” 2024. [En línea]. Disponible en: https://www.opentext.com/eses/productos/encase-forense. [Accedido: 27-ago-2024].

Darik’s Boot and Nuke, “DBAN,” 2024. [En línea]. Disponible en: https://dban.org/. [Accedido: 27-ago-2024].

OWASP Cheat Sheet Series Team, “OWASP Cheat Sheet Series,” OWASP, 2024. [En línea]. Disponible en: https://cheatsheetseries.owasp.org/index.html. [Accedido: 27-ago2024].

M. McDonald, Web Security for Developers, 1ª ed. San Francisco, CA: No Starch Press, 2020.

P. A. Grassi et al., “Digital identity guidelines: Authentication and lifecycle management,” National Institute of Standards and Technology, Gaithersburg, MD, NIST SP 800-63B, 2017. [En línea]. Disponible en:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf. [Accedido: 27-ago-2024].

Instituto Nacional de Ciberseguridad (INCIBE), “Gestión de contraseñas seguras,” España. [En línea]. Disponible en: https://www.incibe.es/ciudadania/tematicas/contrasenas-seguras. [Accedido: 27-ago-2024].

L. Spitzner, “Strong, secure passwords are key to helping reduce risk to your organization,” SANS Cyber Security Blog, 2021. [En línea]. Disponible en: https://www.sans.org/blog/strong-securepasswords-are-key-to-helping-reduce-risk-to-your-organization/. [Accedido: 27-ago-2024].

Instituto Nacional de Ciberseguridad (INCIBE), “Ingeniería social: técnicas utilizadas por los ciberdelincuentes y cómo protegerse,” España, 2019. [En línea]. Disponible en: https://www.incibe.es/empresas/blog/ingenieria-social-tecnicasutilizadas-los-ciberdelincuentes-y-protegerse. [Accedido: 27-ago-2024].

M. Powell, “Detecting abnormal cyber behavior before a cyberattack,” Manufacturing Innovation Blog (NIST), 2021. [En línea]. Disponible en: https://www.nist.gov/blogs/manufacturinginnovation-blog/detecting-abnormal-cyber-behavior-cyberattack. [Accedido: 27-ago-2024].

Darktrace Holdings Limited, “Darktrace,” 2024. [En línea]. Disponible en: https://darktrace.com/. [Accedido: 27-ago-2024].

Cisco, “Snort,” 2024. [En línea]. Disponible en: https://www.snort.org/. [Accedido: 27-ago-2024].

Portada de la revista con logos institucionales y fecha de publicación

Descargas

Publicado

2026-03-12

Cómo citar

Lazzari, E., & Curti, H. J. (2026). Ciberseguridad aplicada: estudio de un ataque típico contra un sitio web y recomendaciones para su mitigación y prevención . InFo-Cyber. Journal of Cybersecurity and Digital Forensics, 1(1), 26–42. Recuperado a partir de https://revistas.ufasta.edu.ar/index.php/InFoCyber/article/view/288

Número

Vol. 1 Núm. 1 (2026): InFo-Cyber

Sección

Notas técnicas y análisis de casos

Licencia

Derechos de autor 2026 InFo-Cyber. Journal of Cybersecurity and Digital Forensics

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.