Академический Документы
Профессиональный Документы
Культура Документы
Resumen—Con el fin de estimar la seguridad de las En este trabajo se presenta el compendio de actividades
aplicaciones Web, se propuso diseñar y construir un modelo desarrolladas con base en unos objetivos planteados, en primer
para evaluar la seguridad en Ambientes Virtuales de lugar se hace un estudio de normas y estándares de seguridad,
Aprendizaje (AVA), a partir de la identificación de criterios de así como guías u organizaciones que tratan del tema de
seguridad propuestos en guías, normas y estándares, para lo seguridad, se hace énfasis en herramientas de seguridad y
cual se establecieron objetivos y actividades que dieron las análisis de vulnerabilidades enfocados a AVA, seguidamente
pautas para llevar a cabo dicho proceso, haciendo énfasis en se establecen los criterios de seguridad a evaluar en los AVA,
tres criterios: integridad, confidencialidad y disponibilidad de elaboración del modelo y realización de pruebas aplicando el
la información. Una vez establecidos los criterios, se modelo con el fin de comprobar el nivel de seguridad de los
analizaron métricas que permitieron cuantificar dicha relación, AVA.
facilitando la validación del modelo propuesto el cual fue
aplicado a los AVA Moodle y Dokeos, dos plataformas de II. FUNDAMENTO TEÓRICO
código abierto y de distribución libre, permitiendo llevar a La seguridad es un aspecto primordial que todo sistema
cabo un juicio de valor confiable a nivel cuantitativo y debe incorporar con el fin de proteger los activos de cualquier
cualitativo a cerca del estado de seguridad de los AVA. amenaza [1], para esto es necesario tener conocimientos de
seguridad de la información y mecanismos de protección para
Palabras claves— Seguridad de la información, seguridad salvaguardar los activos [2].
Web, análisis de vulnerabilidades, Ambientes Virtuales de
Aprendizaje.
A. Seguridad web
I. INTRODUCCIÓN Actualmente en Internet encontramos un sinnúmero de
servicios y aplicaciones funcionando en la red [3], desde
En la actualidad la información es el activo más valioso
comercio en línea, transacciones que mueven enormes
para el desarrollo de las actividades en las organizaciones, con
cantidades de dinero, búsquedas en la web, correo electrónico,
el auge de Internet la mayor parte de las empresas han optado
igualmente sitios de redes sociales que contienen información
por migrar sus datos y aplicaciones a la Web quedando
importante y confidencial de sus miembros [4].
expuestos a accesos no autorizados, alteración y revelación de
información, por parte de los hackers.
Mientras aumenta considerablemente el número de
conexiones a la red [5], así como la migración de aplicaciones
Debido a las necesidades en relación a la seguridad de la
y de usuarios a los servicios de Internet, la demanda de
información han surgido comunidades, grupos u
servicios seguros en la web crece, las amenazas y
organizaciones cuya finalidad es propender por la disminución
consecuencias frente a los ataques a los que están expuestos
de los riesgos en términos de seguridad; de esta manera, nace
los datos son incalculables, debido a las vulnerabilidades de
el proyecto OWASP (Acrónimo de Open Web Application
mayor impacto como[6] [7]: inyección SQL, pérdida de
Security Project: Proyecto abierto de seguridad de
autenticación y gestión de sesiones, secuencia de comandos en
aplicaciones web), proyecto de código abierto dedicado a
sitios cruzados (XSS), vulnerabilidades CSRF, configuración
determinar y combatir las causas que hacen que el software
de seguridad incorrecta, inclusión remota de archivos (Remote
sea inseguro; al igual se describen normas como ISO 9126 y
File Inclusion), entre otras, muestran las debilidades a que
afines con el fin de establecer los criterios de seguridad para el
están propicias las aplicaciones web.
diseño y elaboración del modelo de evaluación de seguridad
para los AVA.
B. Estado del Arte archivos estén debidamente protegidos, para lo cual describe
Para llevar a cabo esta investigación, se han referenciado las configuraciones básicas en los niveles más débiles:
una serie de trabajos y artículos relacionados con el tema, cada seguridad del servidor, seguridad en autenticación, seguridad
uno de los cuales da a conocer los estudios que se han con las contraseñas y roles [11].
adelantado entorno a la problemática y que permiten dar
soporte para el tema que se desarrollará en el proceso de - Sánchez, Ana et al. (2014), con el artículo “Guía de
investigación. buenas prácticas de seguridad informática en el tratamiento de
datos de salud para el personal sanitario en atención primaria”,
- Hernández Díaz et al., (2012), con su trabajo “Un modelo en este trabajo sugieren la necesidad de fortalecer la seguridad
para la implementación de la seguridad de una aplicación Web de los datos personales de salud para garantizar su privacidad,
con el uso de la programación orientada a aspectos”, analiza también se presenta una guía de buenas prácticas de seguridad
que una de las causas de que las aplicaciones Web son informática en la manipulación de los datos, muestran una
vulnerables a ataques es debido a que la aplicación cliente está clasificación de las amenazas a las que están expuesta la
fuera del control del servidor, considera que el tema de seguridad en la organización, así como la protección de la
seguridad en una aplicación debe abarcar de manera información de salud a partir de tres aspectos básicos:
transversal la totalidad del sistema, y esto es posible a través confidencialidad, integridad y disponibilidad de la misma [12].
de la programación orientada a aspectos (POA), un paradigma
que permite la implementación modularizada de asuntos - Anonymous (2013), en el artículo “La seguridad total en
transversales, definiendo para esto un modelo para Internet es imposible de lograr”, afirma que el camino hacia la
implementación de la seguridad de una aplicación Web con el seguridad en Internet “es la pelea del gato y el ratón, una
uso de POA [8]. carrera sin fin… nunca vamos a poder decir que un sistema es
totalmente seguro”, advierte que la inseguridad en la nube va
- Gómez, Luis et al., (2012), en la investigación “Guía de en aumento porque todo se está moviendo al mundo virtual.
aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad Muestra cómo en los últimos tiempos los gigantes de Internet:
en sistemas de información para pymes”, presenta el proceso Apple, Facebook, Microsoft y otras tecnologías centran sus
de adopción de la norma ISO/IEC 27001 en la pequeña y esfuerzos en vencer a hackers y piratas informáticos que
mediana empresa, con el fin de mejorar el Sistema de Gestión buscan vulnerar los sistemas de seguridad [13].
de la Seguridad de la Información (SGSI), diseñando un
modelo, ponerlo en marcha, comprobar que se obtienen los - Hernando (2011), en el artículo “La importancia de la
resultados esperados y respecto a esa evaluación tomar seguridad en Internet”, manifiesta que desde el origen de esta
decisiones para corregir las fallas presentadas y de esta manera red siempre ha habido preocupación por parte de las empresas
tratar de mejorar la seguridad de la información. En el capítulo y personas que usan este servicio, ya que así como puede ser
4 presenta la forma de evaluar el inventario de activos usado para aumentar la productividad de una empresa, captar
mediante los aspectos de confidencialidad, integridad y clientes y encontrar nuevas oportunidades, también es
disponibilidad de la información, estableciendo valores a cada utilizado para cometer delitos informáticos, suplantaciones,
activo de acuerdo a su importancia [9]. actos delictivos, manipular información, obtener datos
sensibles y confidenciales que pueden acabar con el prestigio
- Chamorro¸ José (2011), a través de su investigación de una empresa o con la dignidad de las personas [14].
“Modelo para la evaluación en seguridad informática a
productos software, basado en el estándar ISO/IEC 15408 - Roscar (2015), en su artículo “La seguridad en Internet”,
Common Criteria”, propone diseñar e implementar un modelo describe la importancia de la seguridad en línea por la
para la evaluación en seguridad informática con este estándar, información que allí se maneja de forma digital, teniendo en
a un conjunto de productos software a los cuales la ley en cuenta que desde allí se puede combatir temas complejos
Colombia les exige seguridad informática, en la cual concluye, como los delitos informáticos, suplantación de identidad,
que el estándar en Colombia no es muy común y a nivel de modificación de datos o robo de información por parte de los
Latinoamérica no existen laboratorios o centros de hackers [15].
investigación que certifiquen este estándar, pero se hace
necesario adoptarlo debido al enfoque de desarrollo y De acuerdo a los artículos y trabajos presentados, algunos
producción de tecnología en el país [10]. se enfocan en modelos de software para la obtención de
requerimientos de seguridad, en otros se hace referencia a las
- Romero, Luisa (2010), en su artículo “La seguridad tendencias de aprovechar las debilidades de seguridad en la
informática en el trabajo con la plataforma Moodle”, describe web para cometer cualquier acto que atente contra la
los aspectos de seguridad de esta plataforma, teniendo en confidencialidad, integridad y disponibilidad de la
cuenta que los profesores y tutores necesitan trabajar con información, también se presenta un sistema de evaluación de
seguridad y tener confianza de que sus herramientas están inventario de activos, por otro lado se muestran metodologías
protegidas de ataques informáticos no deseados y que sus para la medición de vulnerabilidades en redes de datos
organizacionales y análisis de vulnerabilidades en sistemas
reales. penetración en aplicaciones web
2.3.1
III. METODOLOGÍA SQLMap Herramienta de pruebas de penetración
de código abierto, que automatiza el
La metodología utilizada para el desarrollo de esta GNU Ver.
proceso de detectar y explotar
0.9-3758
investigación, sigue el proceso mostrado en la figura 1, la cual vulnerabilidades de inyección SQL
W3AF Proyecto cuyo objetivo es desarrollar un
se basa en los objetivos planteados y siguiendo una serie de Framework para ayudar a proteger las
fases las cuales incluyen investigación previa de guías, normas GPL 2.0
aplicaciones web mediante la búsqueda
Ver. 1.6
y estándares, que permitieron identificar los criterios de y explotación de vulnerabilidades
seguridad en las aplicaciones Web, luego se seleccionaron
herramientas de seguridad que posteriormente se usaron para Las plataformas virtuales que se eligieron para el presente
analizar las vulnerabilidades de los AVA especificadas en la trabajo fueron Moodle y Dokeos, dos plataformas de código
tabla 1, se establecieron métricas para la evaluación de los abierto que se pueden obtener libremente con la facilidad de
criterios asignándoles valores de acuerdo al grado de descargarlas e instalarlas con el fin de realizar las respectivas
importancia, se determinó los pasos para la evaluación de los pruebas de seguridad, siendo Moodle una de las herramientas
criterios y los métodos para la evaluación de los AVA, más conocidas y utilizada a nivel mundial, de igual manera
finalmente se realizó la evaluación de seguridad a los AVA Dokeos es una plataforma aunque menos conocida que
Moodle y Dokeos (tabla 2) de acuerdo al modelo y se verificó Moodle, también es acogida por muchas organizaciones como
el nivel de seguridad, de igual forma se validó la funcionalidad herramienta de gestión de contenidos, a diferencia de las
del modelo. plataformas propietarias ya que es imposible adquirirlas por lo
que implicaría un costo obtener una licencia.