Fundación Universitaria del Área Andina

Ingeniería de sistemas

Definir las políticas de seguridad.

Autores
Kamilo Andrés Pinedo Sánchez
Hugo Rafael Villero González
Jorge Leonardo González

septiembre 2019
Modelos de programación 2
 1

Introducción
Con la llegada del internet la forma de transmitir la información ha ayudado grandemente a toda
la humanidad, ya que con solo un clic se puede acceder a toda esa información ya almacena en
distintos servidores en el planeta, por otro lado, también se ha venido beneficiado en el ámbito
económico y en este caso muchas empresas se han unido a estas plataformas virtuales para
hacer transacciones y manejo de dinero de manera virtual, para ello se han implementado
muchos métodos de seguridad, debido a que al ser de forma virtual pueden ser atacados de
distintas maneras y alcanzar lograr el objetivo de acceder a los datos de los usuarios y en casos
más extremos de acceder a los datos de estas empresas perdiendo información útil que pueden
acarrear en robos informáticos, para ello es indispensable tener una buena seguridad en todo
sentido, tanto como en el software utilizado que cumpla con unos lineamientos al igual que el
hardware sea lo más actualizado posible y así minimizar a los riesgos.
 2

Objetivos
1. El objetivo de este documento es dar solución a un problema de seguridad brindando
estrategias para la protección de los datos de una aplicación web que requiere de políticas
apropiadas de seguridad de la información.
2. Proponer los protocolos a utilizar en dicha programación que permita que los usuarios tengan
plena confianza en la seguridad de sus datos ante ataques cibernéticos.
 3

Problema
Se desea crear una aplicación web para realizar transacciones online sobre consultas, retiros,
aportes, entre otros, para ello se necesitan adoptar unos estándares de seguridad altos ya que
habrá manejo monetario dentro dicha aplicación. se tendrán en cuenta como referencia los
métodos más utilizados para vulnerar los aplicativos webs y así obtener la protección adecuada
frente a ellos, aunque hay muchísimos más y siempre habrá la posibilidad o riesgo de aparecer
nuevas alternativas de vulnerabilidad siendo así una prioridad estar constantemente
actualizando dicho aplicativo para así minimizar los riegos.
Entre estos están:
Inyección
Este método es utilizado en forma de consulta SQL, NoSQL, OS o LDAP los archivos dañinos
del agresor hacen que se ejecuten comandos sin permisos, o otorga permisos de manera
inconsciente, este puede llegar a causar perdida de la información. Para prevenir inyecciones se
requiere separar los datos de los comandos y las consultas usando una API segura
Perdida de autenticación
Las formas de gestión de inicio de sesión mal desarrolladas pueden permitir que un posible
atacante logre obtener datos de usuario y contraseñas y así poder hacer suplantaciones, para
prevenir estos ataques se tiene que hacer implementación de autenticación multi-factor y
controles de contraseñas débiles que obliguen a escribir a los usuarios contraseñas con más
combinaciones.
Exposición de datos sensibles
Como se quiere desarrollar un aplicativo web sobre transacciones bancarias se debe tener
mucha más protección a los datos bancarios ya que son susceptibles a robo de esta información
y posteriormente en tales casos hacer fraudes con tarjetas de crédito, como recomendación para
proteger estos datos seria no almacenar datos sensibles y si los almacena colocar algún tipo de
cifrado.
Entidades Externas XML (XXE)
Muchos procesadores XML antiguos o mal configurados evalúan referencias a entidades
externas en documentos XML. Las entidades externas pueden utilizarse para revelar archivos
internos mediante la URI como también escanear puertos de la LAN, ejecutar código de forma
remota, para prevenir ataques por esta forma es necesario tener actualizada las bibliotecas XML
que este utilizando la aplicación y si es posible usar formatos de datos menos complejos como
JSON.
Pérdida de Control de Acceso
Las restricciones sobre lo que los usuarios autenticados pueden hacer no se aplican
correctamente, debido a estos fallos pueden obtener acceso de forma no autorizada de manera
 4

que podrán ver, modificar y cambiar permisos de otros usuarios, se deben implementar
mecanismos de control de acceso una vez y reutilizarlo en todo el aplicativo web
Configuración de Seguridad Incorrecta
Como su nombre lo indica tener ámbitos de seguridad malos y sin falta de actualizaciones,
como también paginas no utilizadas y sin protección son un atractivo para el atacante, se debe
crear el aplicativo web de forma sencilla solo componentes que se van a utilizar nada de
funcionalidades sin uso que provocaría una entrada factible para el agresor.
Secuencia de Comandos en Sitios Cruzados (XSS)
Los XSS ocurren cuando una aplicación toma datos no confiables y los envía al navegador web
sin una validación y codificación apropiada, estos ataques roban sesión, apropiación de las
cuentas y descarga de software malicioso al cliente, para prevenir lo recomendable es usar
frameworks seguros como Ruby 3.0
Deserialización Insegura
Los agresores crean objetos serializados que son usados para realizar ataque de repetición o
inyecciones y en el peor de los casos poder tener una conexión remota con el servidor, para
prevenir estos objetos se realiza la verificación de firmas digitales como también aislar el
código que realiza la deserialización.
Componentes con vulnerabilidades conocidas
Las bibliotecas o frameworks y otros tienen los privilegios que toda la aplicación, por lo cual
estos tienen la necesidad de mantenerse actualizados, para protegerse de estas vulnerabilidades
es necesario no tener componentes sin utilizar y obtenerlos desde orígenes oficiales.
Registro y Monitoreo Insuficientes
El no monitoreo del aplicativo web hace que frente a una amenaza e incidente no sea detectado
o detectado de manera tardía para esto es necesario que las transacciones importantes que se
realicen tengan una auditoria con controles de integridad para prevenir alteraciones o
eliminaciones.
 5

ACCIONES PARA OBTENER UN ALTO NIVEL DE SEGURIDAD EN MI

APLICACIÓN WEB.

https://sites.google.com/site/605bredesdecomputadoras/_/rsrc/1412949952391/home/11-politicas-de-seguridad-y-firewall/Firewall.jpg

1. Proteger la integridad del código de tu Sitio

Proteger la integridad del código es lo mismo que tomar las medidas necesarias para que hackers no
modifiquen el código de los archivos que conforman tu página web o la base de datos con el fin de
utilizar tu sitio web para extraer información sensible de los usuarios que la visitan, propagar
malwares o simplemente «tumbar un servidor».

Aunque la protección de la integridad del código de un sitio web abarca muchos puntos los servicios
de seguridad de páginas web abarcan 3 problemas muy comunes los cuales son:

Inclusión Remota de Archivos (Remote File Inclusion/RFI)

Secuencia de Comandos en Sitios Cruzados (Cross-site scripting/XSS)

Falsificación de Petición en Sitios Cruzados

2. Ejecutar monitoreos de seguridad

Monitorear tu página web con frecuencia es un arma muy efectiva para detectar ataques, intentos de
intrusiones, intentos de inyección de código, archivos corruptos o infectados, etc…

Existen múltiples soluciones automatizadas que permiten ahorrarnos tiempo, pero sobre todo que
hacen las veces de la primera trinchera defensiva en la batalla contra ataques digitales.

 ¿Qué incluye un servicio de monitoreo de seguridad?

Los servicios más básicos de monitoreo de seguridad por lo general abarcan:

Escán automatizado de las páginas en un sitio web con el fin de encontrar archivos infectados.
 6

Escán de vulnerabilidad, el cual consiste en la detección e identificación de partes de un sitio web

propensas a ser atacadas por hackers.

Almacenaje de reportes para analizar patrones en caso de futuras infecciones.

 Verificación contra listas negras. Esto consiste en comprobar que un sitio web no esté listado
en las principales bases de datos de listas negras alrededor del mundo.

3. Crear contraseñas fuertes y solicitar renovaciones periódicas

Sea que utilicemos un sistema de administración de contenido, un framework o que el desarrollo

esté enteramente a nuestro cargo, crear y solicitar contraseñas fuertes representa una gran
mecanismo de protección.
Una cifra considerable de intrusiones no autorizadas se debe a contraseñas de baja complejidad.
Por otro lado, la solicitud de renovación periódica de contraseñas es otro mecanismo para añadir una
capa de seguridad adicional a cualquier desarrollo.
 Aplicar una utenticación HTTP que se basa en formularios:
La información que viaja entre el servidor y el cliente va encriptada, haciendo uso del método
de criptografía de llave pública. Este lo soportan gran variedad de los navegadores y es el más
seguro frente a otros métodos. Como desventaja puede mencionarse el hecho de que requiere un
aval por parte de una entidad certificadora y, además, el costo de implementación y soporte es
elevado.

4. Actualización de softwares, frameworks y plugins de tu página web

Una gran parte de la web está desarrollada sobre plataformas de administración de contenido
como WordPress, Joomla, Magento, etc., los equipos de desarrollo de estos «frameworks»
liberan versiones actualizadas cada cierto tiempo donde se corrigen errores de seguridad, por
consecuencia mantenerlos actualizados minimiza las probabilidades de ser vulnerados.
En el caso de WordPress.
En lo que respecta a la seguridad de una página web bajo WordPress aparte de la
actualización de la versión, están las instalaciones y actualizaciones de plugins.
XML Encryption

En este hay un framework que se utiliza para el cifrado de documentos XML. En el ejemplo
siguiente se muestra cómo debe usarse este estándar asociado a llaves simétricas.
 7

5. Restricción de logins contra ataques de fuerza bruta

La restricción de intentos de logins por los llamados «Ataques de Fuerza Bruta» a una sección
de tu página web es una medida extraordinaria que te evitará un gran dolor de cabeza, porque
previene que un atacante intente ingresar a ella mediante la generación automática de
contraseñas.
Los «Ataques de Fuerza Bruta» suelen prevenirse bloqueando los intentos de acceso desde 1
o más orígenes; es decir, un atacante puede vulnerar la seguridad de una página web atacando
al formulario de Login desde 1, 25, 50 o miles de IPs diferentes.
Para prevenir estos ataques se hace lo siguiente:

 Se limita la tasa de intentos de login por cada origen

 Se limita la tasa de intentos de login por cada cuenta
 Se limita la tasa global de intentos

6. Restricción de permisos de escritura

Restringir la escritura de archivos desde la web a través de la asignación de permisos de «Sólo

Lectura» es otra capa adicional de seguridad que puedes utilizar para proteger los archivos de tu
sitio.
Al restringir la escritura de archivos desde la web imposibilitas a un usuario con fines dudosos a
modificar el código contenido dentro de un archivo de tu página web.

7. Utilizar certificados SSL (HTTPS para la confianza de tus usuarios)

HTTP (http://) es un protocolo de transmisión de información entre un punto A en internet a un

punto B y HTTPS (https://) representa un protocolo de transmisión pero cifrado; es decir,
encriptado para hacer mucho más difícil descifrar un mensaje interceptado por un Hacker.
Para efectuar el protocolo HTTPS se debe generan certificados de seguridad SSL (Secure Sockets
Layer) que se encargan de autenticar la información del punto A al B asimismo como garantizar
la privacidad de la información.
Instalar un certificado de seguridad SSL en tu servidor es una capa adicional de protección que
no solo te protegerá la data sensible de tus usuarios, también representa un símbolo de confianza
en internet.
 8

Conclusiones

Teniendo en cuenta que la seguridad en la información de los usuarios es lo más importante y

que los ataques cibernéticos que vulnean la seguridad en la información en gran proporción van
dirigido a páginas que contienen información económica y financiera de empresas y personas,
nos permitimos proponer unas herramientas, políticas y protocolos que garanticen la seguridad
de la información de los usuarios queriendo con esto minimizar la probabilidad de un
ciberataque.
 9

Bibliografía
Martínez, F. (2013). Seguridad en aplicaciones web (I). Recuperado de
https://www.portantier.com/seguridad-en-aplicaciones-web-i.html
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
http://timoh6.github.io/2015/05/07/Rate-limiting-web-application-login-attempts.html