UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO
NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN
A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA
DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS
ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA
APLICACIÓN WEB Y ANÁLISIS
DE SEGURIDAD DE LAS
APLICACIONES DE LOS
DISPOSITIVOS MÓVILES
(IOS, ANDROID Y
WINDOWS PHONE)
PROYECTO DE TITULACIÓN
Previa a la obtención del Título de:
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
AUTOR: Jefferson Antonio Montes Briones
TUTOR: LSi. Oscar Apolinario Arzube, MSc.
GUAYAQUIL – ECUADOR
2016
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO “DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO NACIONAL
ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL ECUADOR
ACERCA DEL CÓDIGO DE LA DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES
APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL ANÁLISIS
DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS APLICACIONES DE
LOS DISPOSITIVOS MÓVILES (IOS, ANDROID Y WINDOWS PHONE).”
REVISORES: Lcda. Viviana Pinos Medrano, M.Sc. Ing. Jorge Chicala Arroyave, M.Sc.
INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas
CARRERA: Ingeniería en Networking y Telecomunicaciones
FECHA DE PUBLICACIÓN: N° DE PÁGS.: 54
ÁREA TEMÁTICA: SEGURIDAD INFORMÁTICA
PALABRAS CLAVES: Seguridad, Aplicaciones, Móviles, Sistema, Herramienta, Servicios.
RESUMEN: El presente Proyecto de titulación consiste en realizar un análisis de seguridad a la aplicación
web y las aplicaciones móviles (Android, IOS y Windows Phone).
N° DE REGISTRO (en base de datos): N° DE CLASIFICACIÓN: Nº
DIRECCIÓN URL (tesis en la web):
ADJUNTO PDF X SI NO
CONTACTO CON AUTOR:
Jefferson Antonio Montes Briones
Teléfono:
0995517677
E-mail: [email protected]
CONTACTO DE LA INSTITUCIÓN
Carrera de Ingeniería en Networking y
Telecomunicaciones
Nombre: Ab. Juan Chávez
Teléfono: 2307729
II
APROBACIÓN DEL TUTOR
En mi calidad de Tutor del trabajo de investigación, “DISEÑO E
IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO NACIONAL
ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS
CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA,
ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES APLICANDO
METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE
SEGURIDAD DE LAS APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS,
ANDROID Y WINDOWS PHONE).“ elaborado por el Sr. JEFFERSON ANTONIO
MONTES BRIONES, Alumno no titulado de la Carrera de Ingeniería en
Networking y Telecomunicaciones de la Facultad de Ciencias Matemáticas y
Físicas de la Universidad de Guayaquil, previo a la obtención del Título de
Ingeniero en Networking y Telecomunicaciones, me permito declarar que luego de
haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
ATENTAMENTE
____________________________________
LSi. OSCAR APOLINARIO ARZUBE, MSc.
TUTOR
III
DEDICATORIA
Dedico el presente trabajo de
Titulación a mi familia,
especialmente a mi mamá
Isabel Briones, que ha sido mi
motor principal para llevar a
cabo el mismo.
IV
AGRADECIMIENTO
Agradezco a todas las personas
que me brindaron esa confianza
para poder finalizar con éxito
éste proyecto de titulación, el
cual será el comienzo de mi
carrera como profesional.
V
TRIBUNAL PROYECTO DE TITULACIÓN
Ing. Eduardo Santos Baquerizo, M.Sc.
DECANO DE LA FACULTAD
CIENCIAS MATEMÁTICAS Y
FÍSICAS
Ing. Harry Luna Aveiga, M.Sc
DIRECTOR
CINT
Lcda. Viviana Pinos Medrano M.Sc.
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
Ing. Jorge Chicala Arroyave M.Sc.
PROFESOR REVISOR DEL ÁREA
TRIBUNAL
LSi. Oscar Apolinario Arzube, M.Sc.
PROFESOR DIRECTOR DEL PROYECTO
DE TITULACIÓN
Ab. Juan Chávez Atocha, Esp.
SECRETARIO
VI
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de este
Proyecto de Titulación, me corresponden
exclusivamente; y el patrimonio intelectual de
la misma a la UNIVERSIDAD DE
GUAYAQUIL”
Autor: Jefferson Antonio Montes Briones
VII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO
NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN
A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA
DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS
ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA
APLICACIÓN WEB Y ANÁLISIS
DE SEGURIDAD DE LAS
APLICACIONES DE LOS
DISPOSITIVOS MÓVILES
(IOS, ANDROID Y
WINDOWS PHONE)
Proyecto de Titulación que se presenta como requisito para optar por el título de
INGENIERO EN NETWORKING Y TELECOMUNICACIONES
Autor: Jefferson Antonio Montes Briones
C.I. 0930325451
Tutor: LSi. Oscar Apolinario Arzube MSc.
Guayaquil, 2016
VIII
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo
Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de
Guayaquil.
CERTIFICO:
Que he analizado el Proyecto de Titulación presentado por el
estudiante JEFFERSON ANTONIO MONTES BRIONES, como requisito previo
para optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo
tema es:
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO
NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN
A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA
DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS
ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA
APLICACIÓN WEB Y ANÁLISIS
DE SEGURIDAD DE LAS
APLICACIONES DE LOS
DISPOSITIVOS MÓVILES
(IOS, ANDROID Y
WINDOWS PHONE)
Considero aprobado el trabajo en su totalidad.
Presentado por:
Montes Briones Jefferson Antonio Cédula de ciudadanía N°
0930325451
Tutor: LSi. Oscar Apolinario Arzube MSc.
Guayaquil, 2016
IX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
Autorización para Publicación de Proyecto de Titulación
en Formato Digital
1. Identificación del Proyecto de Titulación
Nombre Alumno: Jefferson Antonio Montes Briones
Dirección: Cdla. Mucho Lote Etapa 7 Mz. 2317 V. 19
Teléfono: 042144032 E-mail: [email protected]
Facultad: Ciencias Matemáticas y Físicas
Carrera: Ingeniería en Networking y Telecomunicaciones
Título al que opta: Ingeniero en Networking y Telecomunicaciones
Profesor guía: LSi. Oscar Apolinario MSc.
Título del Proyecto de titulación: DISEÑO E IMPLEMENTACION DE UN PORTAL
WEB PARA EL CONSEJO NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA, ENFOCADO EN LA GESTION DE PROYECTOS AGILES APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS, ANDROID Y WINDOWS PHONE).
Tema del Proyecto de Titulación: Seguridad, Aplicaciones, Web, Móvil, IOS, Android, Windows Phone
2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación
A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:
Inmediata x Después de 1 año
Firma Alumno:
3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM x
X
ÍNDICE GENERAL
APROBACIÓN DEL TUTOR .................................................................................. II
DEDICATORIA ....................................................................................................... III
AGRADECIMIENTO .............................................................................................. IV
TRIBUNAL PROYECTO DE TITULACIÓN ............................................................ V
DECLARACIÓN EXPRESA ................................................................................... VI
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................................ VIII
Autorización para Publicación de Proyecto de Titulación ..................................... IX
ÍNDICE GENERAL .................................................................................................. X
ÍNDICE DE CUADROS ........................................................................................ XIII
ÍNDICE DE GRÁFICOS .......................................................................................XIV
ÍNDICE DE FIGURAS ........................................................................................... XV
ABREVIATURAS .................................................................................................XVI
SIMBOLOGÍA ......................................................................................................XVII
RESUMEN .........................................................................................................XVIII
ABSTRACT ..........................................................................................................XIX
INTRODUCCIÓN .................................................................................................... 1
CAPÍTULO I ............................................................................................................ 4
EL PROBLEMA ....................................................................................................... 4
PLANTEAMIENTO DEL PROBLEMA .................................................................... 4
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ......................................... 4
SITUACIÓN CONFLICTO NUDOS CRÍTICOS .................................................. 4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................ 5
DELIMITACIÓN DEL PROBLEMA ..................................................................... 6
FORMULACIÓN DEL PROBLEMA .................................................................... 7
EVALUACIÓN DEL PROBLEMA........................................................................ 7
XI
OBJETIVOS DE LA INVESTIGACIÓN ............................................................... 8
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN .......................... 9
CAPÍTULO II ......................................................................................................... 13
MARCO TEÓRICO ............................................................................................... 13
ANTECEDENTES DEL ESTUDIO........................................................................ 13
FUNDAMENTACIÓN TEÓRICA ....................................................................... 17
FUNDAMENTACIÓN LEGAL ........................................................................... 21
ACUERDO No. 166.......................................................................................... 21
CRISTIAN CASTILLO PEÑAHERRERA SECRETARIO NACIONAL ............. 21
DE LA ADMINISTRACIÓN PÚBLICA ............................................................... 21
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR 2008 ......................... 22
CAPÍTULO SEXTO ........................................................................................... 22
DERECHOS DE LIBERTAD ............................................................................. 22
SECCIÓN QUINTA ........................................................................................... 22
ACCIÓN DE HÁBEAS DATA ............................................................................ 22
LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y
MENSAJES DE DATOS (Ley No. 2002-67) ..................................................... 23
IDEA A DEFENDER.......................................................................................... 23
DEFINICIONES CONCEPTUALES .................................................................. 24
CAPÍTULO III ........................................................................................................ 25
METODOLOGÍA DE LA INVESTIGACIÓN .......................................................... 25
DISEÑO DE LA INVESTIGACIÓN ....................................................................... 25
POBLACIÓN Y MUESTRA ............................................................................... 25
INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................ 27
VALIDACIÓN DE LA IDEA A DEFENDER ....................................................... 39
CAPÍTULO IV ........................................................................................................ 40
PROPUESTA TECNOLÓGICA ............................................................................ 40
XII
ANÁLISIS DE FACTIBILIDAD .......................................................................... 43
FACTIBILIDAD OPERACIONAL ...................................................................... 45
FACTIBILIDAD TÉCNICA ................................................................................. 45
FACTIBILIDAD LEGAL ..................................................................................... 45
FACTIBILIDAD ECONÓMICA .......................................................................... 46
ETAPAS DE LA METODOLOGÍA DEL PROYECTO ....................................... 46
ENTREGABLES DEL PROYECTO .................................................................. 47
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ...................................... 47
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ................... 47
CONCLUSIONES Y RECOMENDACIONES ................................................... 49
BIBLIOGRAFÍA ..................................................................................................... 51
Trabajos citados .................................................................................................... 53
ANEXOS………………………………………………………………………………..53
XIII
ÍNDICE DE CUADROS
Cuadro Nº. 1: Causas y Consecuencias del Problema ......................................... 5
Cuadro Nº. 2: Delimitación del Problema .............................................................. 6
Cuadro Nº. 3: Cuadro Distributivo de la Población ............................................. 26
Cuadro Nº. 4: Distribución de resultados Pregunta 1 .......................................... 29
Cuadro Nº. 5: Distribución de Resultados Pregunta 2 ........................................ 30
Cuadro Nº. 6: Distribución de Resultados Pregunta 3 ........................................ 31
Cuadro Nº. 7: Distribución de Resultados Pregunta 4 ........................................ 32
Cuadro Nº. 8: Distribución de Resultados Pregunta 5 ........................................ 33
Cuadro Nº. 9: Distribución de Resultados Pregunta 6 ........................................ 34
Cuadro Nº. 10: Distribución de Resultados Pregunta 7 ...................................... 35
Cuadro Nº. 11: Distribución de Resultados Pregunta 8 ...................................... 36
Cuadro Nº. 12: Distribución de Resultados Pregunta 9 ...................................... 37
Cuadro Nº. 13: Distribución de Resultados Pregunta 10 .................................... 38
Cuadro Nº. 14: Criterios de Aceptación del Proyecto ………………………48
XIV
ÍNDICE DE GRÁFICOS
Gráfica No. 1: Pregunta 1 ................................................................................... 299
Gráfica No. 2: Pregunta 2 ..................................................................................... 30
Gráfica No. 3: Pregunta 3 ................................................................................... 311
Gráfica No. 4: Pregunta 4 ................................................................................... 322
Gráfica No. 5: Pregunta 5 ................................................................................... 333
Gráfica No. 6: Pregunta 6 ................................................................................... 344
Gráfica No. 7: Pregunta 7 ................................................................................... 355
Gráfica No. 8: Pregunta 8 ................................................................................... 366
Gráfica No. 9: Pregunta 9……………………………………………………………..377
Gráfica No. 10: Pregunta 10 ………………………………………………………… 388
Gráfica No. 11: Riesgos de seguridad en aplicaciones ……………………...……40
Gráfica No. 12: Página inicial del Proyecto OWASZAP ………………...………...41
Gráfica No. 13: Página de descargas del Proyecto OWASZAP…………………..41
Gráfica No. 14: Pasos para instalación del Proyecto OWASZAP…………………42
Gráfica No. 15: Interfaz de Windows del Proyecto OWASZAP……………………43
Gráfica No. 16: Página web de la Herramienta HPE AppPulse…………….……..44
XV
ÍNDICE DE FIGURAS
Figura No. 1: Interpretación de los Roles de los Usuarios .................................. 11
Figura No. 2: Sistema Informático ....................................................................... 13
Figura No. 3: Pilares Fundamentales de la Seguridad Informática .................... 15
Figura No. 4: Estadísticas de Uso de Servidores Web ....................................... 16
Figura No. 5: Clasificación de las Aplicaciones Móviles ..................................... 18
Figura No. 6: Arquitectura de IOS ………………………………………………… 19
XVI
ABREVIATURAS
CINT Carrera de Ingeniería en Networking y Telecomunicaciones
CISC Carrera de Ingeniería en Sistemas Computacionales
CNE Consejo Nacional Electoral
DDoS Denegación de Servicios
FCMF Facultad de Ciencias Matemáticas y Físicas
FTP Archivos de Transferencia
HTML Lenguaje de Marca de salida de Híper Texto
Http Protocolo de transferencia de Híper Texto
Ing. Ingeniero
IOS IPhone Operative System
ISP Proveedor de Servicio de Internet
MSc. Master
PHP Personal Home Page
UG Universidad de Guayaquil
URL Localizador de Fuente Uniforme
www World Wide Web (red de área mundial)
XVII
SIMBOLOGÍA
S Desviación estándar
m Tamaño de la muestra
e Error de estimación
E Espacio muestral
E(Y) Esperanza matemática de la v.a. y
s Estimador de la desviación estándar
XVIII
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO
NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN
A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA
DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS
ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA
APLICACIÓN WEB Y ANÁLISIS
DE SEGURIDAD DE LAS
APLICACIONES DE LOS
DISPOSITIVOS MÓVILES
(IOS, ANDROID Y
WINDOWS PHONE)
Autor: Jefferson Antonio Montes Briones Tutor: LSi. Oscar Apolinario Arzube, MSc.
RESUMEN
El presente proyecto de titulación tiene como finalidad ofrecer seguridad a los aplicativos que utilizarían los usuarios finales a través de la plataforma web y por medio de las aplicaciones móviles que han sido desarrolladas en Android, IOS y Windows Phone. Son los sistemas más utilizados aquellos cuentan con normas de seguridad nacionales e internacionales que permiten entregar un producto de alta calidad al Consejo Nacional Electoral (C.N.E), el cual a su vez promoverá su uso a todos los ciudadanos ecuatorianos para que puedan capacitarse sobre el código de la democracia, mediante el proyecto "ABC de la democracia". En las instituciones gubernamentales la seguridad informática es un requerimiento importante ya que poseen datos considerados privados de los ciudadanos y en varias ocasiones no se toman medidas de seguridad o el análisis de los aplicativos en los posibles puntos débiles. Con la implementación de las políticas de seguridad que se van a realizar, aumentará el nivel de seguridad de los aplicativos utilizados. Para ello se empleó la metodología SCRUM, como herramienta principal para la elaboración del proyecto. El objetivo es robustecer el sistema para así evitar ataques y que existan vulnerabilidades como falla en los servidores, pérdida o alteración información como datos personales de quienes usen el sistema. Palabras claves: Seguridad, Aplicaciones, Móviles, Sistema, Herramienta, Servicios.
XIX
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y
TELECOMUNICACIONES
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO
NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN
A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA
DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS
ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA
INGENIERÍA DE SOFTWARE. ENFOCADO AL
ANÁLISIS DE SEGURIDAD DE LA
APLICACIÓN WEB Y ANÁLISIS
DE SEGURIDAD DE LAS
APLICACIONES DE LOS
DISPOSITIVOS MÓVILES
(IOS, ANDROID Y
WINDOWS PHONE)
Author: Jefferson Antonio Montes Briones Tutor: LSi. Oscar Apolinario Arzube, MSc.
ABSTRACT
The present thesis project aims to offer security to the applications that would use the find users through the platform web and through the mobile applications that have been developed in Android, IOS and Windows Phone. The most widely used systems have national and international security standards that allow the delivery of a high-quality product to the National Electoral Council (CNE), which in turn will promote its use to all Ecuadorian citizens so that they could be trained on the code of democracy, through the project "ABC of democracy". In government institutions, computer security is an important requirement because they have data that are considered to be deprived of citizens and security measures are often not taken or the analysis of applications in possible weaknesses. With the implementation of the security policies to be carried out, it will increase the security level of the applications used. For this purpose, the SCRUM methodology was used as the main tool for the elaboration of the project. The goal is to strengthen the system to avoid attacks and vulnerabilities such as failure in servers, loss or alteration information as personal data of those who use the system. Keywords: Security, Applications, Mobile, System, Tool, Services.
1
INTRODUCCIÓN
Los progresos tecnológicos que se originan constantemente en las redes
informáticas, ya sea en dispositivos móviles o fijos ocasionan que los desarrollos
de software y levantamiento de servidores sean cada vez más constantes y
cotidianos, lo cual resigna al sistema a futuras debilidades de seguridad las cuales
pueden ser utilizadas en ataques informáticos. Por lo tanto, efectuar la seguridad,
tanto en un aplicativo web como también de las diferentes aplicaciones móviles y
plataformas utilizadas como lo son IOS, Android y Windows Phone, requieren de
mayor seguridad para garantizar los principios básicos de la infalibilidad
informática que permita garantizar que el producto final sea el más apropiado.
Asimismo, la seguridad puede sustentarse en normas, técnicas y/o actividades
determinadas a prevenir, proteger y resguardar lo que se maneje como dispuesto
al robo, pérdida o daño, ya sea de forma personal, grupal o empresarial, la
información es el elemento principal a proteger, resguardar y recuperar dentro de
las redes empresariales. El Consejo Nacional Electoral (CNE), organismo
gubernamental necesita capacitar a los ciudadanos del Ecuador acerca del código
de la democracia ecuatoriana, por lo cual necesita implementar un mecanismo
para realizarlo de manera masiva, para ello debe tener un sistema automatizado
y a la vez debe brindar las correspondientes seguridades que permitan el correcto
funcionamiento del mismo.
A su vez el presente proyecto está enfocado a brindarle precisamente la mayor
seguridad habitualmente a las aplicaciones informáticas que van progresando,
existe variedad de tipologías, diversidades, importancias, trascendencias y
prestaciones que pueden bridar, pero dentro de todas ellas existen un grupo que
ha venido creciendo de forma drástica y destacándose de manera que están
aislando a las demás, las aplicaciones móviles, y dentro de sus sistemas
operativos más populares están: Android, iOS y Windows Phone.
El insuperable método convincente es el que consta como extinto en el limitado
cuarto de privado en una residencia secreta envuelta por resguardo blindado. Por
ello, es necesario tener buenas prácticas de seguridad, ya que de éste manera se
2
puede aminorar los ataques internos y externos que ponen en peligro la seguridad
de la información y funcionamiento normal del aplicativo web y los aplicativos
móviles. El proyecto general se basa en la creación de un portal web para el
Consejo Nacional Electoral (CNE), el cual tiene como finalidad brindar
capacitación en línea acerca del código de la democracia, el proyecto se basa en
el análisis de seguridad del aplicativo web y las aplicaciones móviles que han sido
desarrolladas.
El presente proyecto de titulación consta de los siguientes capítulos:
CAPÍTULO I - EL PROBLEMA: En éste capítulo se detallan los diferentes
escenarios presentados y para los cuales se van a implementar herramientas para
poder impedir ataques informáticos que impidan el correcto funcionamiento de los
aplicativos a analizar, el planteamiento del problema, la ubicación, situación
conflicto nodos críticos, causas, consecuencias, delimitación, formulación, y
evaluación del problema, objetivos de la investigación y la correspondiente
justificación e importancia de la investigación.
CAPÍTULO II - MARCO TEÓRICO: Presenta toda la información previa para el
desarrollo de trabajo de titulación, legislaciones que permiten el desarrollo del
estudio planteado, comprende la fundamentación teórica, legal, acuerdo #166,
extracto de la constitución de la república del Ecuador 2008, acción de habeas
data, ley de comercio electrónico, firmas electrónicas y mensajes de datos, idea a
defender y definiciones conceptuales.
CAPÍTULO III - METODOLOGÍA DE LA INVESTIGACIÓN: En éste capítulo se
encontrará el tipo de investigación manejada en el presente proyecto, población y
muestra de estudiantes encuestados para mostrar los resultados para el análisis
correspondiente de la importancia de la seguridad en las aplicaciones web y
aplicaciones móviles, detalle de encuestas realizadas, la cual maneja como
técnica la recopilación de datos, instrumentos de recolección de datos y la
validación de la idea a defender.
3
CAPÍTULO IV – PROPUESTA TECNOLÓGICA: Se detalla la implementación de
la seguridad correspondiente al aplicativo web y a los aplicativos móviles que han
sido desarrollados. Al finalizar éste proyecto de titulación, se podrá tener de forma
estructurada la seguridad y prácticas que se deben seguir para poder tener un
producto con los estándares de calidad ineludibles en todo sistema informático. El
capítulo comprende la propuesta tecnológica, el análisis de factibilidad, factibilidad
operacional, factibilidad técnica, factibilidad legal, factibilidad económica, etapas
de la metodología del proyecto, entregable del proyecto, criterios de validación de
la propuesta, criterios de aceptación del producto o servicio. Finalmente, se a
conocer las conclusiones y recomendaciones a las que se ha llegado una vez
analizada e implementada la seguridad correspondiente en los diferentes
aplicativos.
4
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
El Consejo Nacional Electoral, organismo estatal asume la necesidad de
implementar un sistema informático que facilite sociabilizar a la ciudadanía en
general sobre el código de la democracia, razón por la cual requiere que el mismo
cumpla con las exigencias de seguridad apropiadas, tanto a nivel del aplicativo
web (Página en PHP), como en los aplicativos móviles. Se conoce que el CNE es
una entidad que provee la participación de los ciudadanos a las diversas
capacitaciones o campañas de promoción que realizan con el fin de custodiar los
derechos de participación política.
Al no contar con la seguridad adecuada los sistemas informáticos implementados
pueden ser vulnerables a los siguientes ataques: ataques a la base de datos (SQL
Inyection), ataques de denegación de servicios (DDoS), ataques de suplantación
de identidad (Phishing), ataques de fuerza bruta (Criptografía). Para evitar éstos
ataques, se debe toma en cuenta las diferentes formas que permiten poner a
prueba las aplicaciones y con ello poder contrarrestar los mismos. Es por ello que
se realizan diversas pruebas para la entrega de un producto efectivo y viable.
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
Por lo antes expuesto, se debe entregar un producto que brinde los mecanismos
necesarios para resguardar la seguridad de la información y funcionalidad del
mismo, por consiguiente, es importante para el presente proyecto tomar en cuenta
los 3 principios fundamentales de la seguridad informática, enfocados de la
siguiente manera:
Confidencialidad: Certificar que la información que se ingresa por parte de los
usuarios del sistema web y aplicativos móviles implementados sólo sean
accedidos por el personal autorizado por el Consejo Nacional Electoral (CNE).
5
Integridad: Aseverar que dicha información no sea alterada o modificada por
ninguna persona o entidad externa, que no correspondan únicamente al usuario
final que la ingresó o por el personal que haya designado el organismo de control
respectivo.
Disponibilidad: Avalar que la información se encuentre disponible cuándo y cómo
lo solicite el usuario que está haciendo uso del sistema web o aplicativos móviles
implementados o por el personal autorizado para el efecto.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Causas y Consecuencias del Problema
Cuadro Nº. 1:
CAUSAS CONSECUENCIAS
No tener un plan de
contingencia al presentar
ataques informáticos.
Indisponibilidad del sistema.
Pérdida de información importante.
Carece de buenas prácticas de
seguridad en el aplicativo web y
aplicaciones móviles.
Vulnerabilidad en las
aplicaciones tanto web como
móvil frente a ataques
informáticos, pueden estar en
riesgo, por lo que se puede
comprometer la información.
No se han aplicado estándares
de seguridad para brindar un
producto confiable.
Un sistema expuesto a recibir
ataques de seguridad, de los
cuales puede representar un
riesgo muy alto.
Ausencia de documentación
referente a normas de
seguridad que se deben llevar a
cabo por los operadores del
sistema
Puede provocar que los
operadores del sistema lo
utilicen de forma incorrecta, lo
cual puede provocar que el
mismo se encuentre indispuesto
para el uso correspondiente
para el que fue concebido.
Fuente: Datos de la investigación realizada
Elaborado por: Jefferson Montes Briones
6
En el Cuadro N° 1 se observan las causas y consecuencias de no tener una
adecuada aplicación de seguridad en los aplicativos web y móviles.
DELIMITACIÓN DEL PROBLEMA
El presente trabajo de titulación de demarca a la seguridad del aplicativo web y
aplicativos móviles que se van a manejar por parte de los usuarios finales, que
serán los ciudadanos ecuatorianos, para que su funcionamiento sea el apropiado
y admita la utilización adecuada que se ha realizado para el portal web
desarrollado que se denomina “ABC de la Democracia”
Delimitación del Problema
Cuadro Nº. 2:
CAMPO: SEGURIDAD DE LA INFORMACIÓN Y APLICACIONES
ÁREA: Seguridad, Aplicaciones, Redes
ASPECTO: Análisis de Seguridad en Aplicaciones
TEMA:
DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA
EL CONSEJO NACIONAL ELECTORAL (CNE) A FIN DE
AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL
ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA,
ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES
APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE
SOFTWARE. ENFOCADO AL ANÁLISIS DE SEGURIDAD DE
LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS
APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS,
ANDROID Y WINDOWS PHONE).
Fuente: Jefferson Montes Briones
Elaborado por: Jefferson Montes Briones
7
FORMULACIÓN DEL PROBLEMA
¿Cómo afecta el análisis de seguridad de la aplicación web y análisis de seguridad
de las aplicaciones de los dispositivos móviles (IOS, Android y Windows Phone)
en el diseño de un portal web para el CNE a fin de ayudar en la capacitación a los
ciudadanos del Ecuador promoviendo la seguridad informática en la data?
EVALUACIÓN DEL PROBLEMA
Se presentan los principales aspectos que se han tomado en cuenta para la
presente evaluación del problema:
DELIMITADO: En éste aspecto se enfoca directamente en la aplicación de
seguridad a la aplicación web y aplicaciones móviles desarrolladas para el CNE.
CLARO: Se especifican los mecanismos que se llevarán a cabo para poder aplicar
correctamente estas normas y procedimientos para que los aplicativos
implementados tengan un imponderable funcionamiento.
EVIDENTE: Sin la aplicación de seguridad informática, el sistema en cuestión está
expuesto a ataques que pueden provocar daños irreversibles, lo cual puede
provocar indisponibilidad total o parcial del sistema que se ha sido desarrollado.
CONCRETO: Se detalla exactamente lo que se va a efectuar para que nuestro
sistema funcione de manera correcta y sea confiable.
RELEVANTE: El proyecto como tal tiene relevancia nacional, por lo cual es muy
importante que tenga altos estándares de calidad.
CONTEXTUAL: Se va a dar a conocer a la ciudadanía un tema muy importante,
el cual debe brindar las seguridades oportunas.
FACTIBLE: Es realizable en el marco de la legislación vigente en nuestro país, ya
que se basa en ellas.
8
ALCANCE DEL PROBLEMA
El alcance del presente proyecto se enmarca en el análisis de la seguridad
brindada a la aplicación web y aplicativos móviles (Android, IOS y Windows
Phone) que han sido desarrollados para poder realizar mejoras y a la vez que
brinden la seguridad respectiva, tanto a la disponibilidad, como también a la
información que se va a almacenar, obteniendo así buenas prácticas de seguridad
que brinden Confidencialidad, Integridad y Disponibilidad del producto final que se
está entregando. Evitar las amenazas y vulnerabilidades que puedan existir, ya
sea de tipo material o inmaterial, tanto de hardware como software, con el fin de
detectar y contrarrestar cualquier posible ataque informático. Por lo cual se deben
tomar las medidas adecuadas que impidan la ejecución de amenazas (factor
externo) como de vulnerabilidades (factor interno).
OBJETIVOS DE LA INVESTIGACIÓN
OBJETIVO GENERAL
Realizar un análisis de seguridad de la Aplicación Web desarrollada en PHP como
también de los Aplicativos móviles en IOS, Android y Windows Phone que se han
creado en función del sistema para contrarrestar las vulnerabilidades y brindar un
producto final confiable y seguro.
OBJETIVOS ESPECÍFICOS
Analizar la aplicación web y determinar las vulnerabilidades para que éstas
puedan ser corregidas.
Detallar cada una de las Aplicaciones creadas para dispositivos móviles en
IOS, Android y Windows Phone para detectar vulnerabilidades para que
éstas puedan ser corregidas.
9
Mitigar las amenazas y el impacto que tendrán los posibles ataques por
vulnerabilidades de la aplicación web y aplicaciones móviles.
JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
El presente proyecto se justifica en el hecho de que toda aplicación web y
aplicaciones móviles deben brindar la suficiente seguridad para poder impedir que
los ataques informáticos que se den, ya sea de manera interna o externa puedan
perpetrarse y comprometer algún componente o información del mismo. Es vital
para sociedad que los aplicativos sean estos web o móviles, brinde seguridad al
momento de ingresar datos al sistema. En la actualidad a nivel de los aplicativos
son necesarios para realizar consultas, transacciones y demás procesos,
considerando que en la actualidad la tecnología es esencial en las actividades de
los ciudadanos, cuyo propósito es brindar la seguridad de poder acceder a ésta
información de forma segura cuando ellos lo consideren necesario.
Es de conocimiento general de que todo sistema es vulnerable a diversos tipos
de ataques que pueden darse y por lo cual es necesario estar prevenidos para de
ésta forma poder contrarrestar los mismos. Esto nos va a permitir solventar los
inconvenientes de la seguridad que puedan presentarse al momento de que algún
usuario no autorizado quiera realizar una manipulación de los datos e información
que se almacena en el Servidor de Base de datos del portal web del Consejo
Nacional Electoral (CNE) para que solo el personal autorizado tenga el acceso
correspondiente a los mismos, y de ésta manera evitar que personas ajenas a la
institución tenga acceso a éstos datos y también causen que los diferentes
aplicativos queden indisponibles para su utilización.
En la actualidad la seguridad informática es fundamental para el buen
funcionamiento de un software, por el motivo de que la información alojada en un
servidor web es confidencial, reservada y solo puede ser consultada por el usuario
que tiene acceso mediante credenciales. Para el presente proyecto se va a utilizar
la investigación aplicada, que se enfocará en resolver los problemas prácticos que
se han planteado en el objetivo general y varios objetivos específicos que se
buscara cumplir a lo largo de la investigación que se está efectuando.
10
Analizar la aplicación web y determinar las vulnerabilidades para que éstas
puedan ser corregidas. El motivo principal por el cual se ha llevado a cabo a la
realización de este proyecto fue que las personas que realicen la capacitación on-
line y que al final proporcionan sus datos personales se sientan seguras de que
sus datos no serán expuestos de ninguna manera ni que se usaran
maliciosamente y la información de las cartillas que se expone es veraz y no está
sujeta a ninguna modificación que altere el conocimiento que deberían tener del
código de la democracia. El beneficio que representa el presente proyecto se
centra directamente a brindar seguridad para el Consejo Nacional Electoral (CNE),
a nivel de los aplicativos finales que van a utilizar los ciudadanos, brindándoles la
seguridad de poder acceder a ésta información de forma segura cuando ellos los
consideren necesario, la disponibilidad de la aplicación es algo muy importante a
tomar en cuenta tanto a nivel de la aplicación móvil que fue desarrollada en PHP
como en los diferentes aplicativos móviles en las plataformas de Android, IOS y
Windows Phone.
La seguridad consiste en que solo el personal autorizado tenga el acceso
correspondiente a los mismos, y de ésta manera evitar que personas ajenas a la
institución tenga acceso a estos datos y también causen que los diferentes
aplicativos queden indisponibles para su utilización. El siguiente trabajo es factible
porque realizando una investigación en la biblioteca de la Carrera de Ingeniería
en Networking se verifico que no existe el tema propuesto, por esta razón se
considera que el tema de tesis es original y único.
Por medio del análisis en el contexto, la metodología que se implementa se
denomina SCRUM, la cual conlleva la organización de las personas en equipos
pequeños de trabajo, de diferentes áreas, lo cual permite fraccionar el trabajo
principal en secciones sintetizadas, distinguidas como SPRINT, estableciendo
cada acción mediante un jerarquía de precedencia, la cual se ejecuta con la
colaboración del interesado, en fondo a la exploración verificada de un entregable
luego de cada iteración que a más de ello aprecia el esfuerzo respectivo que
representa cada una de las actividades que se realizan mediante ésta
metodología.
11
CARACTERÍSTICAS DE LA METODOLOGÍA SCRUM:
Facilita comprender el proceso real de desarrollo del proyecto.
Agrega procedimientos pertinentes ante conflictos que se puedan
presentar.
Admiten un mayor estudio de labores efectuadas.
Perfecciona la intercomunicación efectuada entre los miembros de un
mismo grupo de trabajo (SCRUM) en las reuniones habituales.
Permite aumentar la eficiencia de proyectos extensos.
Beneficia una mayor adaptación de las herramientas a los requerimientos
del proyecto.
ROLES DE CADA USUARIO:
Los roles más transcendentales dentro de ésta metodología en un proyecto de
desarrollo, se los que se muestran en la figura siguiente:
Interpretación de los Roles de los Usuarios
Figura No. 1:
Elaborado por: David Ibarra, Ulises Castañeda
Fuente: http://www.rcs.cic.ipn.mx/
12
Los roles de cada usuario se pueden resumir de la siguiente manera:
a) Cliente (Product Owner): Adquiriente del producto que se está
desarrollando, es decir el individuo comisionado del backlog (enumeración
de requisitos que necesita tener el proyecto), es el comprador o delegado
de la empresa para adquirir el producto.
b) Facilitador (Scrum Master): Es la persona que se encuentra delegada a
hacer respetar las normas adecuadas para poder llevar a cabo un
proyecto, no es el dirigente del equipo, sino un comunicador entre el cliente
y el equipo de trabajo.
c) Equipo (Team): Es el equipo de desarrollo del proyecto, el cual realizará
lo que le corresponda para poder entregar el producto que el cliente haya
solicitado.
d) Usuario Final (Customer): Corresponde a los usuarios que van a utilizar
el producto que se ha desarrollado.
13
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
Antes de empezar con el presente estudio y análisis correspondiente es necesario
conocer conceptos que van a ser utilizados. Definición de lo que corresponde a
un sistema informático:
Según (Aguilera Lopez, 2010), indica que: “Un sistema informático está
constituido por un conjunto de elementos físicos (hardware, dispositivos,
periféricos y conexiones), lógicos (sistemas operativos, aplicaciones,
protocolos, etc.) y con frecuencia se incluyen también los elementos
humanos (personal experto que maneja el software y el hardware).”
Sistema Informático
Figura No. 2
Fuente: Libro de Seguridad Informática, Aguilera López Editorial Editex (2010).
Elaborado por: Jefferson Montes Briones.
Basado en la información precedente, se puede concluir que:
Hardware: Constituye todos los elementos tangibles que interfieren en un
sistema informático, corresponde a la parte física.
Software: Corresponde a los elementos intangibles, aplicaciones en
general que se utilizan en un sistema informático.
Elemento Humano: Son las personas que interactúan con el sistema
informático, los cuales pueden manipular el hardware y software.
14
La seguridad informática constituye un punto crítico al momento de poner en
marcha un proyecto de gran alcance como el que se ésta desarrollando, por lo
cual se debe conocer a detalle cada uno de los componentes que interfieren en la
realización del mismo.
Actualmente, la seguridad informática se ha perfeccionado ha ido
adquiriendo un amplio crecimiento, debido a las cambiantes circunstancias y las
nuevas plataformas de sistematización utilizables, lo cual posibilita interactuar a
través de redes informáticas, esto ha permitido que se desarrollen nuevos
espacios que admiten examinar más a fondo éste precepto.
Pero también, éste ambiente ha permitido la aparición de nuevos e
inminentes ataques y vulnerabilidades que se han detectado en los sistemas
informáticos, dado al que los datos almacenados en ellos pueden comprometer
desde una persona a millones de ellas.
La seguridad informática como tal tiene 3 pilares fundamentales, los cuales son:
Confidencialidad: Que los datos puedan ser visualizados y manipulados
únicamente por el personal autorizado según corresponda.
Integridad: Significa que los datos deberán mantener la información tal cual ha
sido ingresada y al momento de tener modificaciones correspondería a una acción
no autorizada.
Disponibilidad: Se enfoca directamente a que el sistema informático como tal
debe encontrarse disponible según el tiempo en el cual haya sido asignado, para
ello hay mecanismos como los de alta disponibilidad que permitirán brindar un
mayor grado de confiabilidad al momento de presentarse alguna vulnerabilidad.
15
Pilares Fundamentales de la Seguridad Informática
Figura No. 3:
Fuente: Norma ISO/IEC 27001:2013
Elaborado por: Jefferson Montes Briones
(With Build, 2016), “Es común escuchar sobre fallas en los sistemas de
protección de los servidores más frecuentemente utilizados, por
ejemplo, Apache, NGINX, IIS, etc.”
La seguridad está finamente ligada a la certeza, por lo que hay que aclarar
que no existe la seguridad absoluta, más bien, lo que se intenta minimizar es el
impacto y/o el riesgo. Por tal motivo, cuando se habla de inseguridad, se lo debe
hacer en carácter de niveles, lo que se intenta y se debe hacer es llevar a cabo
una ordenación efectiva a fin de lograr llegar a los niveles más altos posibles,
cumpliendo con la reglamentación vigente.
Confidencialidad
Seguridad Informática
Integridad Disponibilidad
16
Estadísticas de Uso de Servidores Web
Figura No. 4:
Fuente: http://trends.builtwith.com/Web-Server
Elaborado por: Editores de la página buitwith.com
Se ha podido visualizar que el mayor número de servidores web se localiza en
Apache, por lo cual, al ser más popular, se vuelve así mismo en más vulnerable a
ataques informáticos y que éstos sean realizados con mayor frecuencia.
La norma (ISO 27000.ES, 2012), indica que:
“Las organizaciones y sus sistemas de información están expuestos a
un número cada vez más elevado de amenazas que, aprovechando
cualquiera de las vulnerabilidades existentes, pueden someter a
activos críticos de información a diversas formas de fraude, espionaje,
sabotaje o vandalismo.”
Por lo cual es necesario e indispensable contar con buenas prácticas de
seguridad basados en normas y reglamentaciones que permitan contar con la
mayor seguridad posible y con ello evitar que la información que se está
17
recabando y utilizando se vea afectada de alguna manera, para poder analizar
correctamente la seguridad de una aplicación, es muy importante conocer qué es
una amenaza y qué es una vulnerabilidad.
FUNDAMENTACIÓN TEÓRICA
Según el libro (Dwivedi, 2010) en el capítulo 2, “Los principales problemas de
seguridad que enfrentan los dispositivos móviles son:
La seguridad física de los dispositivos móviles debido al continuo
incremento de la pérdida y robos.
La seguridad en el almacenamiento del dispositivo.
Procesos de autenticación fuerte con contraseñas pobres.
Soporte a múltiples usuarios con seguridad.
Entornos de navegación seguros.
Seguridad en sistemas operativos móviles.
El aislamiento de las aplicaciones.
La divulgación de información.
Los Virus, Gusanos, Troyanos, Spyware y Malware.
Los procesos de actualización y parcheo de los sistemas operativos.
El uso y cumplimiento estricto del protocolo SSL.
Phishing.
Solicitud de falsificación de sitio cruzado.
La localización privacidad y seguridad.
Drivers de dispositivos inseguros.
Múltiples factores de autenticación.”
Conociendo las principales problemáticas en materia de seguridad que
presentan los dispositivos móviles, se puede tener un panorama concreto sobre
los puntos que se deben reguardar para evitar dichos ataques en los aplicativos
implementados.
18
De acuerdo al estándar 729 de la IEEE el “Software es el conjunto de los
programas de cómputo, procedimientos, reglas, documentación y datos
asociados, que forman parte de las operaciones de un sistema de
computación”
Clasificación de las Aplicaciones Móviles
Figura No. 5:
Fuente: http://visionmobile.com
Elaborado por: Editores de la página visionmobile.com
Es de conocimiento que en la actualidad es una revolución la telefonía móvil. Se
han considerado para esta investigación 3 aplicativos, los cuales han sido
realizados en las plataformas más utilizadas hoy en día y son: Android, IOS,
Windows Phone.
ANDROID
Según la publicación de (Alejandro Nieto González, 2011), indica que:
“Android es un sistema operativo inicialmente pensado para
teléfonos móviles, al igual que iOS, Symbian y BlackBerry OS. Lo que lo hace
diferente es que está basado en Linux, un núcleo de sistema operativo libre,
gratuito y multiplataforma.”
19
El autor manifiesta que el sistema operativo android fue creado para teléfonos
táctil, por lo que resalta que es diferente a los demás sistemas operativos porque
está basado en Linux y es Open Source, además son considerados en la
actualidad uno de los mejores dispositivos móviles y son los más accesibles por
los usuarios, por tener buenas características en el mercado.
IOS
Arquitectura de IOS
Figura No. 6:
Fuente: http://pacmac.es/que-es-y-para-que-sirve-ios/
Elaborado por: Víctor Varillas
Según (Víctor Varillas, 2011) indica que:
“Todo usuario de iPhone, iPad o iPod Touch debería saber que su
dispositivo está gestionado por un software, un sistema operativo que se
encarga de proveer una serie de servicios al sistema y sobre el que se
ejecutan las aplicaciones que todos conocen y además controla el uso que
estas aplicaciones hacen sobre el hardware. Hardware que poco a poco va
mejorando de forma incremental cada vez que Apple anuncia un nuevo
producto, 3D Touch, Touch ID, cámara, flash, etc. Todo esto además de la
20
gestión de la batería, energía, comunicación inalámbrica (Wi-Fi, Bluetooth,
etc.) está gobernado y controlado por iOS.”
El autor menciona que todo dispositivo de IPhone funciona por medio de un
software y hardware, y lo más importante que está conformado por un sistema
operativo en donde se ejecutan aplicaciones. En la actualidad existen versiones
por cada dispositivo y sus características son una más mejorada que la otra.
WINDOWS PHONE
Según la publicación de (Javier Barroso, 2012) sobre Windows Phone
menciona que: “Es notorio que se está acostumbrado a tener el sistema operativo
Windows, y es poco frecuente haber visto Windows Phone. Este sistema operativo
es conocido por su interfaz de ventanas, en la versión diseñada para móviles. Es
fabricado por Microsoft y se llama Windows permite que funcionen algunos
aparatos, tanto como teléfonos móviles o tabletas, pero no es parecido al que se
encuentra en un ordenador.” (Pág. 34)
El autor Barroso indica que Windows Phone se caracteriza por tener una interfaz
gráfica más elegante y amigable, en la actualidad está fabricado y diseñado para
móviles y tablets.
FUNDAMENTACIÓN SOCIAL
La ejecución de este proyecto de titulación brindara en primera instancia seguridad
a los estudiantes de la Facultad de Ciencias Matemáticas y Físicas de la Carreras
de Ingeniería en Sistemas Computacionales e Ingeniería en Networking y
Telecomunicaciones de la Universidad Guayaquil, ya que el presente análisis de
seguridad que se va a realizar permitirá realizar las mejores estrategias posibles
para evitar la pérdida de información confidencial que ellos han ingresado en el
portal web, ya sea éste mediante la aplicación web o mediante las diferentes
aplicaciones móviles que han sido desarrolladas.
21
Al evaluar las vulnerabilidades que puedan presentarse, se crearán mecanismos
para evitarlos y que de ésta manera el sistema brinde la confiabilidad requerida
para éste proceso.
FUNDAMENTACIÓN LEGAL
ACUERDO No. 166
CRISTIAN CASTILLO PEÑAHERRERA SECRETARIO NACIONAL
DE LA ADMINISTRACIÓN PÚBLICA
ACUERDA:
Artículo 1.- Disponer a las entidades de la Administración Pública Central,
Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las
Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de
Seguridad de la Información.
Artículo 2.- Las entidades de la Administración Pública implementarán en un
plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la
Información (EGSI), que se adjunta a este acuerdo como Anexo 1, a excepción de
las disposiciones o normas marcadas como prioritarias en dicho esquema, las
cuales se implementarán en (6) meses desde la emisión del presente Acuerdo.
La implementación del EGSI se realizará en cada institución de acuerdo al ámbito
de acción, estructura orgánica, recursos y nivel de madurez en gestión de
Seguridad de la Información.
Artículo 6.- Es responsabilidad de la máxima autoridad de cada entidad mantener
la documentación de la implementación del EGSI debidamente organizada y
registrada de acuerdo al procedimiento específico que para estos efectos
establezca la Secretaría Nacional de la Administración Pública.
22
Artículo 7.- Las entidades realizarán una evaluación de riesgos y diseñarán e
implementarán el plan de manejo de riesgos de su institución, en base a la norma
INEN ISO/IEC 27005 "Gestión del Riesgo en la Seguridad de la Información".
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR 2008
CAPÍTULO SEXTO
DERECHOS DE LIBERTAD
Art. 66.- Se reconoce y garantizará a las personas:
19. El derecho a la protección de datos de carácter personal, que incluye el acceso
y la decisión sobre información y datos de este carácter, así como su
correspondiente protección. La recolección, archivo, procesamiento, distribución
o difusión de estos datos o información requerirán la autorización del titular o el
mandato de la ley.
SECCIÓN QUINTA
ACCIÓN DE HÁBEAS DATA
Art. 92.- Toda persona, por sus propios derechos o como representante legitimado
para el efecto, tendrá derecho a conocer de la existencia y a acceder a los
documentos, datos genéticos, bancos o archivos de datos personales e informes
que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas,
en soporte material o electrónico. Asimismo, tendrá derecho a conocer el uso que
se haga de ellos, su finalidad, el origen y destino de información personal y el
tiempo de vigencia del archivo o banco de datos. Las personas responsables de
los bancos o archivos de datos personales podrán difundir la información
archivada con autorización de su titular o de la ley. La persona titular de los datos
podrá solicitar al responsable el acceso sin costo al archivo, así como la
23
actualización de los datos, su rectificación, eliminación o anulación. En el caso de
datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona
titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se
atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada
podrá demandar por los perjuicios ocasionados.
LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y
MENSAJES DE DATOS (Ley No. 2002-67)
Art. 9.- Protección de datos. - Para la elaboración, transferencia o utilización de
bases de datos, obtenidas directa o indirectamente del uso o transmisión de
mensajes de datos, se requerirá el consentimiento expreso del titular de éstos,
quien podrá seleccionar la información a compartirse con terceros. La recopilación
y uso de datos personales responderá a los derechos de privacidad, intimidad y
confidencialidad garantizados por la Constitución Política de la República y esta
ley, los cuales podrán ser utilizados o transferidos únicamente con autorización
del titular u orden de autoridad competente.
No será preciso el consentimiento para recopilar datos personales de fuentes
accesibles al público, cuando se recojan para el ejercicio de las funciones propias
de la administración pública, en el ámbito de su competencia, y cuando se refieran
a personas vinculadas por una relación de negocios, laboral, administrativa o
contractual y sean necesarios para el mantenimiento de las relaciones o para el
cumplimiento del contrato. El consentimiento a que se refiere este artículo podrá
ser revocado a criterio del titular de los datos; la revocatoria no tendrá en ningún
caso efecto retroactivo.
IDEA A DEFENDER
El análisis y desarrollo de seguridad planteado creará las pautas necesarias para
que el aplicativo que use el usuario final, cumpla con los principios básicos de
seguridad informática que son confidencialidad, integridad y disponibilidad, que a
24
su vez le permitirá minimizar las vulnerabilidades del aplicativo que pueden
presentarse, brindando una mejor experiencia al usuario.
DEFINICIONES CONCEPTUALES
Amenaza: Representa una acción de índole exterior que no depende del sistema
implementado, sino del entorno en el cual se encuentre el correspondiente
aplicativo.
Vulnerabilidad: Una vulnerabilidad es una debilidad que puede presentar nuestro
sistema al ser atacado de diversas maneras.
Información: Datos personales y significativos de los usuarios u organización.
Ataque: Son todos los intentos de consumar una acción maliciosa que pretende
indisponer al sistema o conseguir información del mismo.
Sistema Operativo: Es la interfaz gráfica o software base con el cual interactúan
los usuarios, ya sea por medio de un ordenador o por medio de equipos móviles.
Seguridad: Incorpora todas las labores realizadas para evadir los ataques
informáticos que se lleven a cabo por los cibercriminales.
25
CAPÍTULO III
METODOLOGÍA DE LA INVESTIGACIÓN
DISEÑO DE LA INVESTIGACIÓN
La modalidad de investigación que se está utilizando es la aplicada, debido a que
se va a utilizar conocimientos prácticos para brindar una mayor seguridad a las
aplicaciones.
Según la publicación de (José Lozada, 2014) manifiesta que:
“La investigación aplicada busca la generación de conocimiento con
aplicación directa a los problemas de la sociedad o el sector productivo. Esta
se basa fundamentalmente en los hallazgos tecnológicos de la investigación
básica, ocupándose del proceso de enlace entre la teoría y el producto.”
(Pág. 1)
Tipo de investigación. - El tipo de investigación a aplicar es el de investigación
explicativa, ya que va a detallar los pasos correspondientes efectuados para poder
aplicar la seguridad correspondiente a las diferentes aplicaciones.
(Sabino, 1992), “Investigación explicativa es aquella que tiene relación
causal; no sólo persigue describir acercarse a un problema, sino que intenta
encontrar las causas del mismo. Existen diseños experimentales y no
experimentales.” (P. 5)
POBLACIÓN Y MUESTRA
POBLACIÓN
Previamente considerado la problemática a solucionar, y las necesidades
inmersas, es importante saber los objetos, personas, eventos, situaciones y
demás, para llevar a cabo la investigación.
26
La población considerada para el análisis del tema propuesto, constituye al
personal administrativo de la Universidad de Guayaquil ya que es necesario
automatizar los procesos operativos que realizan, por lo cual los usuarios
necesitan tener un sistema que ofrezca un buen servicio de seguridad de sus
portales web y móviles, por este motivo se ha tomado como población al personal
de trabajo que manejan sistemas similares y usuarios que realizan continuamente
el Consejo Nacional Electoral, porque es una necesidad amplia; dentro de esta
población se consideró:
Cuadro Distributivo de la Población
Cuadro Nº. 3:
POBLACIÓN
CANTIDAD
Estudiantes de la Carrera de Ingeniería en Sistemas
Computacionales CISC
356
Estudiantes de la Carrera de Ingeniería en Networking y
Telecomunicaciones CINT
356
TOTAL
712
Fuente: Datos de la Investigación realizada.
Elaborado por: Jefferson Montes Briones
MUESTRA
La población que se ha tomado en cuenta para el proyecto es de 712 estudiantes
356 de la Carrera de Ingeniería en Sistemas Computacionales y 356 de la Carrera
de Ingeniería en Networking y Telecomunicaciones, debido a que sobrepasa las
100 personas, y se va a utilizar el segundo método para calcular la muestra a
utilizar para nuestra investigación:
𝒏 = 𝒎
𝒆𝟐 (𝒎 − 𝟏) + 𝟏
27
Cuadro Distributivo de la Muestra
Cuadro N° 4:
POBLACIÓN
CANTIDAD
Estudiantes de Ingeniería en Sistemas
Computacionales
100
Estudiantes de Ingeniería en Networking y
Telecomunicaciones
100
TOTAL 200
Fuente: Datos de la Investigación realizada
Elaborado por: Jefferson Montes Briones
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
TÉCNICA:
La técnica utilizada para la recolección de datos fue la de campo a través de una
encuesta que consta de 10 preguntas efectuadas a los 200 estudiantes de las
m= Tamaño de la población (712)
E= error de estimación (6%)
n= Tamaño de la muestra (200)
𝑛 =712
(0.06)2(712 − 1) + 1
𝑛 =712
(0.0036)(711) + 1
𝑛 =712
2.5596 + 1
𝑛 =712
3.5596
𝑛 = 200
28
Carreras de Ingeniería en Sistemas Computacionales (CISC) y la Carrera de
Ingeniería en Networking y Telecomunicaciones (CINT) de la Facultad de Ciencias
Matemáticas y Físicas (FCMF) de la Universidad de Guayaquil (UG).
INSTRUMENTOS DE INVESTIGACIÓN:
El instrumento a utilizar para la recolección de datos en la investigación realizada
es el cuestionario, el cual consta de 10 preguntas elaboradas de manera clara y
precisa para de ésta manera poder efectuar el análisis correspondiente.
El cuestionario es el documento en el cual se recopila la información por medio de
preguntas concretas (abiertas o cerradas) aplicadas a un universo o muestra
establecidos, con el propósito de conocer una opinión. Tiene la gran ventaja que
de poder recopilar información en gran escala debido a que se aplica por medio
de preguntas sencillas que no deben implicar dificultad para emitir la respuesta;
además su aplicación es impersonal y está libre de influencias como en otros
métodos. (Técnicas de investigación).
RECOLECCIÓN DE LA INFORMACIÓN:
Las encuestas se realizaron en el laboratorio # 5 de las Instalaciones de la
Facultad de Ciencias Matemáticas y Físicas, el sábado 4 de junio de 2016, en
horario de 09:00 a 14:00 a un grupo de 200 estudiantes de las Carreras de
Ingeniería en Sistemas Computacionales e Ingeniería en Networking y
Telecomunicaciones de la Universidad de Guayaquil.
PROCESAMIENTO Y ANÁLISIS:
A continuación, se procede a detallar las preguntas realizadas a los estudiantes
con su respectivo análisis correspondiente.
29
Pregunta N° 1
¿Considera usted necesario que una aplicación cuente con mecanismos de
seguridad?
Distribución de resultados Pregunta 1
Cuadro Nº. 4:
OPCIÓN CANTIDAD PORCENTAJE
SI 180 90%
NO 20 10%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 1
Gráfica No. 1:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El 90% de los estudiantes considera que es necesario que una
aplicación cuente con mecanismos de seguridad, ya que éstos ayudan a que la
información que se está manipulando se mantenga protegida.
90%
10%
¿Considera usted necesario que una aplicación cuente con
mecanismos de seguridad?
SI
NO
30
Pregunta N° 2
¿Qué ataque considera usted que una aplicación web está más expuesta?
Distribución de Resultados Pregunta 2
Cuadro Nº. 5:
OPCIÓN CANTIDAD PORCENTAJE
Fuerza Bruta 40 20%
Inyección SQL 100 50%
Denegación
de servicio
60 30%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 2
Gráfica No. 2:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El 80% de estudiantes encuestados consideran que los ataques por
inyección SQL (50%) y denegación de servicio (30%) por código son los ataques
más propensos en una aplicación web.
20%
50%
30%
¿Qué ataque considera usted que una aplicación web está más
expuesta?
Fuerza Bruta
Inyección SQL
Denegación de servicio
31
Pregunta N° 3
¿Cuáles son las vulnerabilidades más comunes que considera usted en un
sistema informático?
Distribución de Resultados Pregunta 3
Cuadro Nº. 6:
OPCIÓN CANTIDAD PORCENTAJE
Políticas de seguridad deficientes e
inexistentes
60 30%
Errores de programación 24 12%
Mala configuración del sistema 66 33%
Uso de cifrados débiles en los servicios 50 25%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 3
Gráfica No. 3:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: Las vulnerabilidades que consideran más comunes los estudiantes
encuestados, se centran en la falta de políticas de seguridad, mala configuración
del sistema y el uso de cifrados débiles en los servicios del sistema, lo que
constituye que los sistemas tienen muchas debilidades y vulnerabilidades que
pueden ser aprovechadas para un ataque, por la falta de un proceso que fortalezca
la seguridad de los sistemas informáticos.
30%
12%33%
25%
¿Cuáles son las vulnerabilidades más comunes que considera usted en un
sistema informático? Políticas de seguridaddeficientes e inexistentes
Errores de programación
Mala configuración del sistema
Uso de cifrados débiles en losservicios
32
Pregunta 4
¿Usted cree necesario implementar un proceso que permita fortalecer la
seguridad del aplicativo web del Portal ABC de la Democracia?
Distribución de Resultados Pregunta 4
Cuadro Nº. 7:
OPCIÓN CANTIDAD PORCENTAJE
SI 200 100%
NO 0 0
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 4
Gráfica No. 4:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: Todos los estudiantes encuestados coinciden que es necesario
implementar un proceso que fortalezca la seguridad en el aplicativo web del Portal
ABC de la Democracia para de ésta manera mantener los principios de la
seguridad informática.
100%
0%
¿Usted cree necesario implementar un proceso que permita fortalecer la seguridad del aplicativo web del
Portal ABC de la Democracia?
SI NO
33
Pregunta N° 5
¿Conoce usted los principios básicos de la Seguridad Informática?
Distribución de Resultados Pregunta 5
Cuadro Nº. 8:
OPCIÓN CANTIDAD PORCENTAJE
SI 150 75%
NO 50 25%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 5
Gráfica No. 5:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: La mayoría de los alumnos conocen los principios básicos de la
Seguridad Informática, lo cual es muy importante para llevar a cabo el análisis que
se desarrolló.
75%
25%
¿Conoce usted los principios básicos de la Seguridad Informática?
SI
NO
34
Pregunta N° 6
¿Tiene un Smartphone con Sistema Operativo Android, IOS o Windows
Phone?
Distribución de Resultados Pregunta 6
Cuadro Nº. 9:
OPCIÓN CANTIDAD PORCENTAJE
SI 190 95%
NO 10 5%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 6
Gráfica No. 6:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El noventa y cinto por ciento de los estudiantes encuestados confirman
que tienen un Smartphone con uno de los Sistemas Operativos Móviles más
utilizados como son Android, IOS y Windows Phone, lo cual garantiza que los
aplicativos que han sido desarrollados para éstas diferentes plataformas serán
mayormente utilizados por los usuarios.
95%
5%
¿Tiene un Smartphone con Sistema Operativo Android, IOS o Windows
Phone?
SI
NO
35
Pegunta N° 7
¿Qué Sistema Operativo usa tu teléfono celular?
Distribución de Resultados Pregunta 7
Cuadro Nº. 10:
OPCIÓN CANTIDAD PORCENTAJE
Android 140 70%
IOS 30 15%
Windows Phone 20 10%
Otro 10 5%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 7
Gráfica No. 7:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: Se puede concluir que el Sistema Operativo Móvil predominante entre
los estudiantes de la CISC – CINT es Android, ya que el 70% de los encuestados
indica que usa un dispositivo con éste sistema operativo en su smartphone o
tableta.
70%
15%
10%5%
¿Qué Sistema Operativo usa tu teléfono celular?
Android
IOS
Windows Phone
Otro
36
Pregunta N° 8
¿Considera usted que los dispositivos móviles son vulnerables a ataques
informáticos?
Distribución de Resultados Pregunta 8
Cuadro Nº. 11:
OPCIÓN CANTIDAD PORCENTAJE
SI 190 95%
NO 10 5%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 8
Gráfica No. 8:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El noventa y cinco por ciento de los estudiantes encuestados afirman
que los dispositivos móviles son vulnerables a ataques informáticos, motivo por el
cual se determinó que es muy importante estar protegido frente a ataques que se
puedan presentar.
95%
5%
¿Considera usted que los dispositivos móviles son vulnerables a ataques
informáticos?
SI
NO
37
Pregunta N° 9
¿Con la implementación de mayor seguridad en las aplicaciones considera
usted que las mismas son más robustas y resistentes frente a ataques
maliciosos?
Distribución de Resultados Pregunta 9
Cuadro Nº. 12:
ALTERNATIVA CANTIDAD PORCENTAJE
SI 150 75%
NO 50 25%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 9
Gráfica No. 9:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El setenta y cinco por ciento de los estudiantes que han sido
encuestados afirman que, con la aplicación de técnicas y metodologías de
seguridad, y brindar mayor confiabilidad hacia la aplicación que ha sido
desarrollada.
75%
25%
¿Con la implementación de mayor seguridad en las aplicaciones considera usted que las mismas son más robustas
y resistentes frente a ataques …
SI
NO
38
Pregunta N° 10
¿Considera usted necesario que un aplicativo brinde las mejores medidas
de seguridad posible?
Distribución de Resultados Pregunta 10
Cuadro Nº. 13:
ALTERNATIVA CANTIDAD PORCENTAJE
SI 180 90%
NO 20 10%
TOTAL 200 100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Pregunta 10
Gráfica No. 10:
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
Análisis: El noventa por ciento de los estudiantes encuestados consideran que
es necesario que un aplicativo brinde las mejores medidas de seguridad posible,
ya que permite garantizar los principios de la seguridad informática.
90%
10%
¿Considera usted necesario que un aplicativo brinde las mejores medidas
de seguridad posible?
SI
NO
39
VALIDACIÓN DE LA IDEA A DEFENDER
Mediante los datos recopilados en la encuesta se puede determinar que la
seguridad en aplicaciones web y aplicaciones móviles es muy importante, ya que
constituye un punto crítico al momento de poner en funcionamiento el mismo,
debido a la gran demanda y utilización que tienen actualmente.
Con el análisis correspondiente, permite obtener una perspectiva del uso que va
a tener y garantiza la aplicación de los principios básicos de la informática.
Finalmente, los resultados de la encuesta realizada a los 200 estudiantes de las
Carreras de Ingeniería en Sistemas Computacionales e Ingeniería en Networking
y Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de la
Universidad de Guayaquil, validan el proceso de análisis de seguridad que se está
verificando a la aplicación web y aplicaciones móviles que han efectuado al portal
web “ABC de la Democracia” al estar de acuerdo que dicho proceso admitirá tener
mayor seguridad en cada una de las aplicaciones desarrolladas y minimizar las
vulnerabilidades existentes y que puedan descubrirse en los mismos.
40
CAPÍTULO IV
PROPUESTA TECNOLÓGICA
El análisis de seguridad de la aplicación web y aplicaciones móviles permitirá que
las aplicaciones desarrolladas para las diferentes plataformas tengan la suficiente
confiabilidad, disponibilidad e integridad, debido a que se proporcionará un alto
nivel de seguridad que se va obtener mediante las técnicas aplicadas en el mismo.
Riesgos de seguridad en aplicaciones
Gráfica N° 11
Fuente: Top 10 OWASP-2013
Elaborado por: Jefferson Montes Briones
Todo esto se fundamenta en las investigaciones que se han realizado y asimismo
aplicado en los diferentes campos de acción del funcionamiento de las
aplicaciones, con lo que al momento de utilizar los recursos se va a poder verificar
la jerarquía que tendrán a nivel de seguridad informática como tal, con lo cual se
obtendrán los resultados deseados y a la vez podrán ser demostrados.
En el presente análisis se utilizó una herramienta Open Source denominado el
proyecto OWASPZAP, el cual se accede mediante la URL:
41
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project, la cual
mostrará la siguiente gráfica:
Página inicial del Proyecto OWASZAP
Gráfica N° 12
Fuente: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Elaborado por: Jefferson Montes Briones
Este proyecto puede ser descargado para las diferentes plataformas de Windows,
Linux y MacOs, en el caso actual se utilizó en Sistema Operativo Windows:
Página de descargas del Proyecto OWASZAP
Gráfica N° 13
Fuente: https://github.com/zaproxy/zaproxy/wiki/Downloads
Elaborado por: Jefferson Montes Briones
42
El instalador para Windows fue descargado de la URL:
https://github.com/zaproxy/zaproxy/releases/download/2.5.0/ZAP_2.5.0_Window
s.exe, una vez descargado se procede con la instalación del mismo, mediante los
siguientes pasos:
Pasos para instalación del Proyecto OWASZAP
Gráfica N° 14
Fuente: Jefferson Montes Briones
Elaborado por: Jefferson Montes Briones
43
Luego de haber realizado la instalación de la herramienta, se procede a ejecutarla,
para dar inicio al análisis correspondiente:
Interfaz de Windows del Proyecto OWASZAP
Gráfica N° 15
Fuente: Jefferson Montes Briones
Elaborado por: Jefferson Montes Briones
Se procede a analizar la ip de la página en producción, la cual al momento se
encuentra configurada con la IP Pública: http://181.39.32.107/
Una vez terminado el análisis correspondiente del aplicativo web, se procede con
la revisión del mismo, para poder determinar las vulnerabilidades presentadas,
para ello se ha tomado en cuenta el TOP 10 de OWASP-2013, en cual indica:
A1 - Inyección SQL
A2 - Pérdida de Autenticación y Gestión de Sesiones
A3 - Secuencia de Comandos en Sitios Cruzados (XSS)
A4 - Referencia Directa Insegura a Objetos
A5 - Configuración de Seguridad Incorrecta
A6 - Ausencia de Control de Acceso a Funciones
A7 - Ausencia de Control de Acceso a Funciones
A8 - Falsificación de Peticiones en Sitios Cruzados (CSRF)
A9 - Utilización de Componentes con Vulnerabilidades conocidas
A10 - Redirecciones y reenvíos no validados
44
El TOP 10 OWASP-2013 muestra los ataques más comunes realizados en lo que
corresponde a aplicativo web, en los cuales se basa en estudio y análisis que se
está realizando en al aplicativo web implementado.
El estudio del análisis de las Aplicaciones Móviles desarrolladas en Android, IOS
y Windows Phone está basado en el Proyecto OWASP Mobile Security, el cual
puede ser verificado mediante la siguiente dirección web (URL):
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project, además se
utilizó una versión demo de la Aplicación HPE AppPulse, la cual se encuentra
disponible desde la página de Hewlett-Packard para analizar las aplicaciones
desarrolladas en Android y Windows Phone:
Página web de la Herramienta HPE AppPulse
Gráfica N° 16
Fuente: http://www8.hp.com/ec/es/software-solutions/apppulse-mobile-app-apm-
monitoring/
Elaborado por: Jefferson Montes Briones
45
ANÁLISIS DE FACTIBILIDAD
La implementación del presente proyecto de titulación se considera altamente
factible, ya que constituye una acción muy importante, que corresponde a la
seguridad que deben brindar las aplicaciones a los usuarios que la utilizan y a los
propietarios de la misma, en éste caso en Consejo Nacional Electoral (CNE),
mediante su programa el ABC de la Democracia que tiene un alcance a nivel
nacional para todos los ciudadanos del país.
FACTIBILIDAD OPERACIONAL
La puesta en marcha del presente proyecto de titulación permitirá al Consejo
Nacional Electoral (CNE) manipular el aplicativo en Back-End de manera segura,
ofreciendo a la vez características de manipulación de datos, configuración de
funcionalidades que serán muy importantes al momento de manipular y clasificar
la información que necesiten obtener del Sistema en funcionamiento, ya sea de
Base de Datos, Aplicación Web y demás características que intervienen en el
funcionamiento del sistema en general.
FACTIBILIDAD TÉCNICA
Analizando la factibilidad técnica, se determinó que es viable poder realizar el
análisis e implementación de la seguridad que se efectuando, ya que se cuenta
con las herramientas y técnicas necesarias, además de estándares como
OWASP, tanto para la aplicación Web, desarrollada en PHP como en las
Aplicaciones Móviles desarrolladas en Android, IOS y Windows Phone.
FACTIBILIDAD LEGAL
La implementación del presente proyecto de titulación en el Consejo Nacional
electoral no altera ni viola ningún reglamento de la institución, leyes del país ni
leyes internacionales, además de alinearse estrictamente con los pilares
fundamentales de la informática para poder brindar la mayor seguridad posible.
La documentación correspondiente de la investigación se encuentra citada de
manera adecuada, indicando las fuentes sin afectar los derechos de autor.
46
FACTIBILIDAD ECONÓMICA
El presente proyecto de titulación no incurre en gastos económicos, debido a que
se realiza con los mismos equipos y software con el que ha sido concebido en
primera instancia el mismo, con lo cual a nivel monetario la institución no va a
incurrir directamente. Por ende, se puede concluir que a nivel económico el
proyecto es totalmente factible, ya que no incurre en ningún gasto económico para
el Consejo Nacional Electoral (CNE).
ETAPAS DE LA METODOLOGÍA DEL PROYECTO
Para desarrollar el presente proyecto de titulación se ha utilizado la metodología
de Proyecto AGILE y se describe en las siguientes etapas:
ANÁLISIS Y DIAGNÓSTICO: Se efectúa el análisis y diagnóstico de la aplicación
web y las aplicaciones móviles desarrolladas para los Sistemas de Android, IOS y
Windows Phone en primera instancia para verificar si éstos son vulnerables a
ataques que pongan en riesgo la aplicación y fortalecimiento de la Confiabilidad,
Integridad y Disponibilidad, los cuales son pilares fundamentales de la Seguridad
informática, aspectos principales de la investigación que se está llevando a cabo.
DISEÑO: Luego del análisis y diagnóstico realizado se procede a efectuar lo que
corresponde al diseño de lo que se va a efectuar, respetando el orden cronológico
de cómo se va a ir analizando e implementando la seguridad correspondiente en
las diferentes aplicaciones.
IMPLEMENTACIÓN: Respetando el diseño elaborado, y según el orden
cronológico correspondiente, va a estar implementado los correspondientes y
verificando el impacto causado por cada uno de los mismos.
REALIZACIÓN DE PRUEBAS: Se efectuaron las pruebas correspondientes en
un ambiente de prueba, para luego de confirmar de que en efecto a subsanado la
vulnerabilidad implementada en éste ambiente puede pasar directamente a la
implementación final en el área de producción como tal.
47
ENTREGABLES DEL PROYECTO
Los entregables finales del proyecto del proyecto de titulación en éste caso
corresponden a los diferentes manuales de las seguridades que se van a ir
implementado a nivel de los diferentes aplicativos.
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
Para poder validar la propuesta presentada en el presente proyecto de titulación,
se ha recurrido al uso de una encuesta de satisfacción, la cual fue realizada a los
200 Estudiantes de las Carreras de Ingeniería en Sistemas Computacionales e
Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias
Matemáticas y Físicas de la Universidad de Guayaquil, los cuales representan la
muestra del mismo.
CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO
Para la aceptación de la propuesta del presente proyecto de titulación, se ha
cumplido con los indicadores o criterios que corresponde a los alcances que
habían sido establecidos para el proyecto de titulación.
48
Criterios de Aceptación del Proyecto
Cuadro Nº. 14:
INDICADORES ESTRATEGIAS NIVEL DE
CUMPLIMIENTO
Evaluación de la
aplicación web
Minimizar las vulnerabilidades de
aplicación web
100%
Checklist de
aplicaciones
móviles
Detectar vulnerabilidades para
posteriormente trabajar en ellas
100%
Simulación de
ataques externos
Efectuar ataques inducidos para ver la
resistencia de la aplicación
100%
Resultados
obtenidos de los
ataques
Con los resultados se procede a
aplicar las acciones correspondientes
100%
Fuente: Datos de la Investigación Realizada
Elaborado por: Jefferson Montes Briones
49
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
Se analizó la aplicación web y se determinó las vulnerabilidades que
existían y se procedió a corregirlas, esto permite tener un producto final
robusto y eficaz que a la vez permite brindar mayor seguridad a la
aplicación web que se encuentra implementada.
Se analizó cada una de las Aplicaciones creadas para dispositivos móviles
en IOS, Android y Windows Phone y se detectó vulnerabilidades y
posteriormente se procedió a mejorar la seguridad de la información, y
funcionamiento de los mismos a nivel general.
Se disminuyó las amenazas sobre los posibles ataques por
vulnerabilidades de los sistemas tanto de la aplicación web y aplicaciones
móviles, con lo cual se obtuvo un producto sólido y confiable tanto para el
propietario del producto como también para los usuarios que lo van a
utilizar.
50
RECOMENDACIONES
Realizar de manera periódica un análisis de seguridad al aplicativo web,
ya que constantemente se descubren nuevas vulnerabilidades que son
halladas por los cibercriminales y pueden ocasionar que exista perdida de
información o indisponibilidad del sistema web.
Ejecutar de manera corriente un estudio de seguridad a los aplicativos
móviles desarrollados en las diferentes plataformas (Android, IOS y
Windows Phone), ya que constantemente se descubren nuevas
debilidades, las cuales son aprovechadas por los cibercriminales y
consiguen producir que concurra la pérdida de información o
indisponibilidad de los aplicativos móviles.
Implementar procesos automáticos que permitan tener un control del uso
de las diferentes aplicaciones, web y móviles, para de ésta manera
conocer al instante el tipo de ataque que se quiera llevar a cabo, y de ésta
forma impedirlo, es decir, siempre es recomendable estar un paso adelante
del ciberatacante.
51
BIBLIOGRAFÍA
1. CNE. (2015). CONSEJO NACIONAL ELECTORAL. Obtenido de
http://cne.gob.ec/es/institucion/sala-de-prensa/noticias/3618-instituto-de-la-
democracia-continua-con-la-implementacion-del-programa-abc-de-la-
democracia
2. Azzam Mourada, Marc-André Laverdièrea, Mourad Debbabia. 2008. Taylor &
Francis Online. [En línea] 19 de 05 de 2008. [Citado el: 25 de 04 de 2016.]
http://www.tandfonline.com/doi/full/10.1080/19393550801911230.
3. Foundation, The OWASP. 2013. OWASP. [En línea] 2013. [Citado el: 25 de
Abril de 2016.] https://www.owasp.org/images/5/5f/OWASP_Top_10_-
_2013_Final_-_Espa%C3%B1ol.pdf.
4. ISO 27000.ES. (2012). Obtenido de http://www.iso27000.es/sgsi.html#home
5. OWASP. 2016. OWASP. [En línea] 04 de 04 de 2016. [Citado el: 25 de 04 de
2016.] https://www.owasp.org/index.php/SCG_WS_Apache.
6. —. 2016. OWASP. [En línea] 06 de 04 de 2016. [Citado el: 25 de 04 de 2016.]
https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet.
7. CGI (Interfaz de Entrada Común):
https://es.wikipedia.org/wiki/Interfaz_de_entrada_com%C3%BAn
8. DESARROLLO DE APLICACIONES WEB BASADAS EN PHP:
http://www.eresseasolutions.com/tutoriales/desarrollo-de-aplicaciones-web-
basadas-en-php/introduccion/
http://www.eresseasolutions.com/tutoriales/desarrollo-de-aplicaciones-web-
basadas-en-php/el-browser/
http://www.eresseasolutions.com/tutoriales/desarrollo-de-aplicaciones-web-
basadas-en-php/las-herramientas/
9. SEGURIDAD PHP - VALIDACIÓN Y FILTRADO:
http://programandolo.blogspot.com/2013/07/seguridad-php-validacion-y-
filtrado-1.html
10. VALIDAR Y SANEAR DATOS EN PHP:
http://web.ontuts.com/tutoriales/validar-y-sanear-datos-en-php/
52
11. SEGURIDAD EN PHP:
http://php.net/manual/es/security.php
12. CWE 2011:
http://cwe.mitre.org/top25/
13. TOP 10 OWASP 2003 - 2013:
https://es.wikipedia.org/wiki/OWASP_Top_10
14. TOP 10 2016 OWASP:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
15. OWASP PHP:
https://www.owasp.org/images/6/6b/OWASP_Blue_Book-
Educational_Institutions.pdf
https://www.owasp.org/index.php/OWASP_PHP_Security_Project
https://www.owasp.org/images/d/de/OWASP_Green_Book-
Governmental_Bodies.pdf
https://www.owasp.org/index.php/Main_Page
16. OWASP MOBILE:
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project
http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-
aplicaciones-moviles-android/
17. OWASP MOBILE CHECKLIST:
https://drive.google.com/file/d/0BxOPagp1jPHWYmg3Y3BfLVhMcmc/view
18. SQL INYECTION:
http://php.net/manual/es/security.database.sql-injection.php
https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL
53
Trabajos citados
Aguilera Lopez. (2010). Seguridad Informática. En A. López, Seguridad
Informática (pág. 240). Barcelona: Editex.
Alejandro Nieto González. (2011). Android SO. Madrid: El Blog Salmón.
CNE. (19 de 08 de 2016). Consejo Nacional Electoral. Obtenido de Instituto de la
Democracia continúa con la implementación del programa “ABC de la
Democracia”: http://cne.gob.ec/es/institucion/sala-de-
prensa/noticias/3618-instituto-de-la-democracia-continua-con-la-
implementacion-del-programa-abc-de-la-democracia
Dwivedi, H. (2010). Mobile Application Security. En H. Dwivedi, Mobile Application
Security (pág. Cap. 2). McGraw-Hill Education.
ISO 27000.ES. (2012). Obtenido de http://www.iso27000.es/sgsi.html#home
Javier Barroso. (2012). Windows Phone. Obtenido de
http://www.tuexperto.com/2012/05/09/windows-phone-que-es-y-para-que-
sirve/
José Lozada. (2014). Metodologia de la Investigacion. En J. Lozada. Revista de
Divulgación Científica de la Universidad Tecnológica Indoamérica.
Sabino. (1992). Investigacion Explicativa. Obtenido de
http://metodologia02.blogspot.com/p/operacionalizacion-de-variables.html
Víctor Varillas. (2011). Que es y para que sirve IOS. Obtenido de
http://pacmac.es/que-es-y-para-que-sirve-ios/
With Build. (2016). Aspectos Básicos de la Seguridad en Aplicaciones Web.
Obtenido de Unam: http://www.seguridad.unam.mx/documento/?id=17
54
ANEXOS
ANEXO 1
Políticas de Seguridad
Políticas de Seguridad
En la definición de las políticas de seguridad se busca constituir dentro del Consejo
Nacional Electoral un correcto manejo y cultura para así trabajar de una manera
confiable.
Las políticas son para todos los empleados, personal externo, contratistas, entre
otros. Estas políticas son aplicables para los equipos que se instalaron para el
funcionamiento del Portal Web (ABC de la Democracia) y los servicios que se
instalaron en estos ya sea que se utilicen localmente o de forma remota para hacer
uso de los recursos como los servicios, archivos o programas; o dar soporte dentro
de la institución.
Para el desarrollo de las políticas se estructuro de acuerdo al criterio de Seguridad
Lógica.
Red
Ninguna persona puede copiar, alterar, ver o deshacerse de la información
que se aloje en los equipos sin el debido consentimiento de la persona o
personas responsables de los equipos.
Nadie puede hacer uso de los servicios de red en el momento que no
cumplan con las labores propias de la Institución.
Las diferentes cuentas para poder ingresar a los sistemas es propiedad de
la Institución y solo podrá ser utilizada para tareas relacionadas con alguna
labor asignada.
Las cuentas de acceso a los sistemas son totalmente personales y no
pueden ser transferidas. Solo es permitido el uso único y exclusivo durante
la validez de los derechos de un usuario.
La utilización de herramientas de análisis de la red solamente es permitida
por el personal de Sistemas o el Administrador, ayudando así al
fortalecimiento de la seguridad del sistema a través de las Políticas de
Seguridad.
No se admitirá la utilización de herramientas de análisis de
vulnerabilidades para escanear otras redes que sean externas a la
Institución y tampoco se deberá ejecutar análisis de la red desde otros
equipos que se encuentren fuera de la Institución.
En el momento que se llegue a detectar un mal uso de cuentas usuario se
procederá a cancelar la cuenta o desconectar temporalmente o
permanente al usuario; y solo se hará la reactivación cuando se considere
que este mal uso se ha suspendido.
Servidores
El Personal de Soporte Técnico tiene la obligación de comprobar las
configuraciones, implementaciones de seguridad de los servidores.
Toda instalación y configuración de los servidores es responsabilidad del
personal de Soporte Técnico.
Mientras se realice la configuración de los servidores se tiene la obligación
de generar normas para el empleo de recursos del sistema y de la red,
como permisos, restricción de directorios o programas que debe ejecutar
algún usuario.
Si los servidores proveen servicios mediante la red o Internet deberán:
o Funcionar 24 horas del día los 365 días del año.
o Recibir mantenimiento preventivo como mínimo dos veces al año.
o Recibir mantenimiento semestral que incluya depuración de logs.
Toda información debe ser respaldada según los siguientes criterios, como
mínimo:
o Diariamente respaldar información crítica.
o Mensualmente respaldar la configuración del servidor y logs.
El mínimo número de caracteres que puede tener la contraseña es de 8
caracteres o superior, una letra mayúscula como mínimo, dos letras
minúsculas mínimo, mínimo un número y mínimo un carácter especial.
La contraseña no debe incluir como fechas de cumpleaños o nacimiento,
nombres de familiares, teléfonos, palabras fáciles que se encuentran en un
diccionario.
Si el sistema no solicita el cambio de contraseña de forma automática, el
usuario lo debe hacer cada 90 días y no utilizar contraseñas antiguas.
Seguridad de cómputo
El Administrador de Sistema es el único que podrá agregar más medidas de
seguridad que se presenten como daños o robo de la información, entre otros,
además de la instalación de herramientas adicionales para reforzar la
seguridad.
El Administrador de Sistema tiene la responsabilidad de monitorear
continuamente el tráfico de paquetes en la red, de registrar cualquier uso
indebido o de alguna falla que induce problemas en los servicios de la red.
Soporte Técnico
Las siguientes responsabilidades son para el personal de soporte:
Solo se podrá ingresar remotamente a los servidores para dar solución a
los diferentes problemas que se presenten y se deberá hacerlo dando
aviso a la institución.
Dar aviso si se requiere utilizar herramientas de análisis y siempre bajo
supervisión dando aviso de los propósitos y cuáles fueron los resultados
que se obtuvieron.
Realizar respaldos periódicamente de la información de los servidores que
se tenga a cargo ya sea en la nube, servidor remoto o en algún dispositivo.
Actualizar la información, recursos, software y entre otros, de los
servidores siempre y cuando se requiera.
Realizar auditorías de manera periódica y sin previo aviso del sistema,
para constatar si existe archivos que no fueron autorizados,
configuraciones no validas o permisos que no fueron otorgados a los
usuarios.
Procurar siempre dar aviso a superiores acerca de incidentes de seguridad
o cualquier información que se de ayuda para robustecer la seguridad del
sistema.
ANEXO 2
Checklist de
Aplicaciones Móviles
CHECKLIST PARA APLICACIONES MÓVILES
N° ITEM A VERIFICAR PLATAFORMA FUNCIONAMIENTO SI/NO/NA
OBSERVACIÓN
1 Bloqueo de cuentas no se han aplicado todas las comprobaciones dinámicas
2 Aplicación es vulnerable a XSS estático y dinámico
3 Autenticación por alto todas las comprobaciones dinámicas
4 El código es sensible a modificaciones
5 Incluye archivo malicioso en todos los checks dinámicos
6 Controles Fijación de Sesión siempre dinámicos
7 Altos privilegios si todas las comprobaciones dinámicas
8 Se verifican los ataques de SQL Inyection dinámicos
9 El atacante puede pasar por alto la segunda autenticación a nivel de todas las comprobaciones dinámicas
10 La aplicación es vulnerable a la inyección de comandos del sistema operativo si todas las comprobaciones dinámicas
11 Vulnerabilidad del Sistema Operativo a Utilizar
12 Verificar depuraciones realizadas por el sistema móvil
13 Nivel de criptografía a nivel estático
14 Omisión de validación por el lado del cliente de las comprobaciones dinámicas
15 Certificado SSL no válido a nivel de las comprobaciones estáticas
16 Información Sensible se envía como texto sin cifrar a través de red
17 Inadecuado o falta de aplicación de la página Cambiar contraseña si todas las comprobaciones dinámicas
18 Información sensible en archivos de registro de aplicación si todas las comprobaciones dinámicas
19 La información confidencial es enviada como parámetro de cadena de consulta dinámica
20 Modificación de la UR a nivel de las comprobaciones dinámicas
21 Información sensible de volcado de memoria a nivel dinámico
22 Directiva de contraseñas débiles si todas las comprobaciones dinámicas
23 La aplicación es accesible en dispositivo dañado con raíces o cárcel si todas las comprobaciones dinámicas
24 Hacia un Font-Refresh ataque comprueba todos los dinámicos
25 Uso de los Cookies persistentes todas las comprobaciones dinámicas
26 Abrir URL redirecciones son posibles todas las comprobaciones dinámicas
27 Incorrecto manejo de excepciones: en el código de todas las comprobaciones estáticas
28 Aplicación de compilación contiene archivos obsoletos todas las comprobaciones estáticas
29 Certificado no se valida a nivel estático y dinámico
30 Divulgación IP privada a nivel estático
ANEXO 3
OWASP
TOP 10 – 2013
ANEXO 4
CIBERRIESGO
Informe de 2016
ANEXO 6
OWASP MOBILE
CHECKLIST FINAL
2016
ANEXO 7
FOTOS DE DESARROLLO
DEL PROYECTO
ANEXO 8
CRONOGRAMA GENERAL
DE TRABAJO DEL
PROYECTO CNE
CRONOGRAMA GENERAL DE TRABAJO ACTIVIDADES Responsable Marzo Abril Mayo Junio %
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
FASE DE INICIACIÓN 1. Estudio Inicial o Preliminar del Proyecto, Reuniones y
convocatorias para selección del personal
Product Owner X 100
2. Diseño del proyecto, Formación de Grupos de trabajo y
Definición de Roles del Proyecto
Product Owner, PMP X 100
FASE DE PLANIFICACIÓN
3. Revisión y corrección del tutor, Capacitación sobre
proyecto y metodología de desarrollo
Product Owner, PMP,
Scrum Team
X 100
4. Preparación de Ambientes de Desarrollo local
Scrum Team X 100
FASE DE EJECUCIÓN
5. Desarrollo - Login y Registro del Sistema Scrum Team X 100
6. Desarrollo - Menú principal y cartillas Scrum Team X X 100
7. Desarrollo - Test y Recuperación de contraseña Scrum Team X 100
8. Desarrollo - generación de certificado y validaciones Scrum Team X 100
9. Fase de Implementación del ambiente en producción -
Instalación
Scrum Team X 100
10. Fase de Implementación del ambiente en producción Scrum Team X 100
11. Desarrollo - Integración de cambios Scrum Team X 100
12. Fase de Integración y pruebas internas Scrum Team X 100
FASE DE REVISIÓN
13. Fase de Pruebas piloto y en producción Scrum Team X 100
14. Fase de Cambios y mejoras del sistema Scrum Team X 100
15. Fase de capacitación Scrum Team X 100
16. Fase de documentación Scrum Team X 100
FASE DE CIERRE
17. Fase de Entrega del primera versión Scrum Team X 100
18. Elaboración de informe final Product Owner, PMP X 100
ANEXO 9
PLAN DE MITIGACION DE
RIESGOS
PLAN DE MITIGACION DE RIESGOS
ACTIVOS AMENAZAS MEDIDAS VULNERABILIDAD MEDIDAS
Manual Técnico
-Perdida de
documentos
-Mala interpretación
-Control de
documentación
-Datos incompletos
-Mal detallado
-Control de
documentación
Manual de
usuario
-Perdida de
documentos
-Mala interpretación
-Control de
documentación
-Datos incompletos
-Mal detallado
-Control de
documentación
Personal
interno
-Mala administración de
equipos
-Acceso a personal no
autorizado
-Rotación de personal
-Creación de políticas de
seguridad
-Control acceso
biométrico
-Divulgación
de
información
-Falta de
capacitaci
ón
-Mal
ambiente
laboral
-Sanciones
-Capacitaciones
continuas
-Procesos disciplinarios
Página web
-Fuerza Bruta
-Denegación de
servicio
-SQL Injection
-Autenticación fuerte
-Implementación de
IDS
-Buena programación
-
Contraseña
s débiles
-Inestabilidad
-Puertos abiertos
-Políticas de
contraseñas
-Implementación de
firewall
Base de Datos
-SQL Injection
-Denegación de
servicio
-Buena programación
-Implementación de
IDS
-Puertos abiertos
-Inestabilidad
-Mala
administraci
ón
-Implementación de
firewall
-Abuso de permisos
excesivos
Creación de políticas y
verificación periódica
-Definición de
procedimientos e
instructivos
Información de
usuarios
-Alteración
-Fuga de información
-Robo se sesiones
-Cifrado de mensajes
-Restricción de
acceso a la
información
-Acceso no
autorizado
-Malas
configuraciones
del servidor
-Mal desarrollo de
aplicaciones
-Revisión de logs
-Pruebas de la
aplicación
-Pruebas y verificación
del administrador
Servidores
-Capacidad de
almacenamiento
insuficiente
-Servidor mal
configurado
-Planificación de
almacenamiento
-Verificación por el
administrador
-Mal
administración de
File System
-Personal no
capacitado
-Capacitación de personal
periódicamente
Balanceador de
Carga
-Falla de
sincronización
-Mal Monitoreo
-Limitantes de
Hardware
-Apoyo con
herramientas de
monitoreo
-Planificación previa
-Poco control del
sistema
-Personal no
capacitado
-Lentitud en
aplicaciones
-Capacitación de personal
periódicamente