Seguridad en la Web

La seguridad informtica o seguridad de tecnologas de la informacin, es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con sta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero la informacin puede encontrarse en diferentes medios o formas, y no solo en medios informticos. La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable.

Laseguridad,eninformticacomoenotrasreas,sebasa en la proteccin de activos. Estos activos pueden ser elementos tan tangibles como un servidor o una base de datos, o pueden ser la reputacin de una empresa. Generalmentepodemosevaluarlaseguridaddeunactivoen base a tres aspectos principales que no necesitan explicacin: integridad, disponibilidad, confidencialidad. Estos tres aspectos a su vez dependen de otros tres elementos principales que engloban prcticamente todos los distintos controles que se pueden establecer en un sistemainformtico: Autenticacin: los clientes de nuestras aplicaciones o servicios deben ser identificados de forma nica, sean usuarios finales, otros servicios o computadoras externas.

Autorizacin:nosoloesnecesariosaberquienesacceden anuestrosactivos,tambinesnecesarioestablecerque es lo que pueden hacer con ellos. Un nivel de autorizacin dado determina que tipo de operaciones o transacciones puede efectuar un cliente dado sobre un recursodado. RegistroyAuditoria:luegodeefectuadaunaoperacin, esimportantequeestasearegistradaadecuadamente,en particularesesencialsiqueremosevitarelrepudiode transaccionesefectuadaporuncliente. Todos estos conceptos son especialmente vlidos en el entorno de Internet, y particularmente importantes dado elcrecimientoexplosivodelosserviciosyaplicaciones accesiblesatravsdeInternet.Sibiencuandosehabla delaseguridaddeaplicaciones websedebenconsiderar noslolasamenazasexternasalacompaasinotambin lasinternas(administradoresmalintencionados,usuarios queprovocanaccidentes,etc),enelpresentetrabajonos enfocaremos principalmente en las externas, por ser (generalmente) las ms peligrosas e impredecibles. Es sabidoporotroladoquelasaplicacionesmsrobustasy resistentes a ataques son aquellas en las cuales las cuestiones de seguridad fueron consideradas desde las primerasetapasdeldesarrollo. En las prximas secciones exploraremos los problemas particularesdeseguridadquepresentanlasaplicaciones web, y enumeraremos los distintos tipos de ataques o amenazasexternasalasquesepuedeenfrentar. Desarrollaremos algunos de ellos, en particular concentrndonosenaquellosataquesqueburlanloquela aplicacin espera recibir por entrada del usuario; mostraremos cmo se los puede evitar o mitigar, especialmentedesdelaperspectivadeldesarrollo. Finalmente, a partir de los elementos vistos y otros adicionales elaboraremos una lista de elementos de seguridad que deben ser tenidos en cuenta tanto por desarrolladores, diseadores y administradores de la aplicacin,comoporunaeventualauditoradesistemas.