UNIVERSIDAD DE GUAYAQUIL DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES

DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO

NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN

A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA

DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS

ÁGILES APLICANDO METODOLOGÍA SCRUM EN LA

INGENIERÍA DE SOFTWARE. ENFOCADO AL

ANÁLISIS DE SEGURIDAD DE LA

APLICACIÓN WEB Y ANÁLISIS

DE SEGURIDAD DE LAS

APLICACIONES DE LOS

DISPOSITIVOS MÓVILES

(IOS, ANDROID Y

WINDOWS PHONE)

PROYECTO DE TITULACIÓN

Previa a la obtención del Título de:

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

AUTOR: Jefferson Antonio Montes Briones

TUTOR: LSi. Oscar Apolinario Arzube, MSc.

GUAYAQUIL – ECUADOR

2016

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TÍTULO “DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO NACIONAL

ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL ECUADOR

ACERCA DEL CÓDIGO DE LA DEMOCRACIA, ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES

APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL ANÁLISIS

DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS APLICACIONES DE

LOS DISPOSITIVOS MÓVILES (IOS, ANDROID Y WINDOWS PHONE).”

REVISORES: Lcda. Viviana Pinos Medrano, M.Sc. Ing. Jorge Chicala Arroyave, M.Sc.

INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas

CARRERA: Ingeniería en Networking y Telecomunicaciones

FECHA DE PUBLICACIÓN: N° DE PÁGS.: 54

ÁREA TEMÁTICA: SEGURIDAD INFORMÁTICA

PALABRAS CLAVES: Seguridad, Aplicaciones, Móviles, Sistema, Herramienta, Servicios.

RESUMEN: El presente Proyecto de titulación consiste en realizar un análisis de seguridad a la aplicación

web y las aplicaciones móviles (Android, IOS y Windows Phone).

N° DE REGISTRO (en base de datos): N° DE CLASIFICACIÓN: Nº

DIRECCIÓN URL (tesis en la web):

ADJUNTO PDF X SI NO

CONTACTO CON AUTOR:

Jefferson Antonio Montes Briones

Teléfono:

0995517677

E-mail: [email protected]

CONTACTO DE LA INSTITUCIÓN

Carrera de Ingeniería en Networking y

Telecomunicaciones

Nombre: Ab. Juan Chávez

Teléfono: 2307729

II

APROBACIÓN DEL TUTOR

En mi calidad de Tutor del trabajo de investigación, “DISEÑO E

IMPLEMENTACIÓN DE UN PORTAL WEB PARA EL CONSEJO NACIONAL

ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS

CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA,

ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES APLICANDO

METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL

ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE

SEGURIDAD DE LAS APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS,

ANDROID Y WINDOWS PHONE).“ elaborado por el Sr. JEFFERSON ANTONIO

MONTES BRIONES, Alumno no titulado de la Carrera de Ingeniería en

Networking y Telecomunicaciones de la Facultad de Ciencias Matemáticas y

Físicas de la Universidad de Guayaquil, previo a la obtención del Título de

Ingeniero en Networking y Telecomunicaciones, me permito declarar que luego de

haber orientado, estudiado y revisado, la Apruebo en todas sus partes.

ATENTAMENTE

____________________________________

LSi. OSCAR APOLINARIO ARZUBE, MSc.

TUTOR

III

DEDICATORIA

Dedico el presente trabajo de

Titulación a mi familia,

especialmente a mi mamá

Isabel Briones, que ha sido mi

motor principal para llevar a

cabo el mismo.

IV

AGRADECIMIENTO

Agradezco a todas las personas

que me brindaron esa confianza

para poder finalizar con éxito

éste proyecto de titulación, el

cual será el comienzo de mi

carrera como profesional.

V

TRIBUNAL PROYECTO DE TITULACIÓN

Ing. Eduardo Santos Baquerizo, M.Sc.

DECANO DE LA FACULTAD

CIENCIAS MATEMÁTICAS Y

FÍSICAS

Ing. Harry Luna Aveiga, M.Sc

DIRECTOR

CINT

Lcda. Viviana Pinos Medrano M.Sc.

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

Ing. Jorge Chicala Arroyave M.Sc.

PROFESOR REVISOR DEL ÁREA

TRIBUNAL

LSi. Oscar Apolinario Arzube, M.Sc.

PROFESOR DIRECTOR DEL PROYECTO

DE TITULACIÓN

Ab. Juan Chávez Atocha, Esp.

SECRETARIO

VI

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de este

Proyecto de Titulación, me corresponden

exclusivamente; y el patrimonio intelectual de

la misma a la UNIVERSIDAD DE

GUAYAQUIL”

Autor: Jefferson Antonio Montes Briones

VII



CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES









DE SEGURIDAD DE LAS

APLICACIONES DE LOS


(IOS, ANDROID Y

WINDOWS PHONE)

Proyecto de Titulación que se presenta como requisito para optar por el título de

INGENIERO EN NETWORKING Y TELECOMUNICACIONES

Autor: Jefferson Antonio Montes Briones

C.I. 0930325451

Tutor: LSi. Oscar Apolinario Arzube MSc.

Guayaquil, 2016

VIII

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor del proyecto de titulación, nombrado por el Consejo

Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de

Guayaquil.

CERTIFICO:

Que he analizado el Proyecto de Titulación presentado por el

estudiante JEFFERSON ANTONIO MONTES BRIONES, como requisito previo

para optar por el título de Ingeniero en Networking y Telecomunicaciones cuyo

tema es:









DE SEGURIDAD DE LAS

APLICACIONES DE LOS


(IOS, ANDROID Y

WINDOWS PHONE)

Considero aprobado el trabajo en su totalidad.

Presentado por:

Montes Briones Jefferson Antonio Cédula de ciudadanía N°

0930325451

Tutor: LSi. Oscar Apolinario Arzube MSc.

Guayaquil, 2016

IX



CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES

Autorización para Publicación de Proyecto de Titulación

en Formato Digital

1. Identificación del Proyecto de Titulación

Nombre Alumno: Jefferson Antonio Montes Briones

Dirección: Cdla. Mucho Lote Etapa 7 Mz. 2317 V. 19

Teléfono: 042144032 E-mail: [email protected]

Facultad: Ciencias Matemáticas y Físicas

Carrera: Ingeniería en Networking y Telecomunicaciones

Título al que opta: Ingeniero en Networking y Telecomunicaciones

Profesor guía: LSi. Oscar Apolinario MSc.

Título del Proyecto de titulación: DISEÑO E IMPLEMENTACION DE UN PORTAL

WEB PARA EL CONSEJO NACIONAL ELECTORAL (CNE) A FIN DE AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA, ENFOCADO EN LA GESTION DE PROYECTOS AGILES APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE SOFTWARE. ENFOCADO AL ANÁLISIS DE SEGURIDAD DE LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS, ANDROID Y WINDOWS PHONE).

Tema del Proyecto de Titulación: Seguridad, Aplicaciones, Web, Móvil, IOS, Android, Windows Phone

2. Autorización de Publicación de Versión Electrónica del Proyecto de Titulación

A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de este Proyecto de titulación. Publicación electrónica:

Inmediata x Después de 1 año

Firma Alumno:

3. Forma de envío: El texto del proyecto de titulación debe ser enviado en formato Word, como archivo .Doc. O .RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM x

X

ÍNDICE GENERAL

APROBACIÓN DEL TUTOR .................................................................................. II

DEDICATORIA ....................................................................................................... III

AGRADECIMIENTO .............................................................................................. IV

TRIBUNAL PROYECTO DE TITULACIÓN ............................................................ V

DECLARACIÓN EXPRESA ................................................................................... VI

CERTIFICADO DE ACEPTACIÓN DEL TUTOR ................................................ VIII

Autorización para Publicación de Proyecto de Titulación ..................................... IX

ÍNDICE GENERAL .................................................................................................. X

ÍNDICE DE CUADROS ........................................................................................ XIII

ÍNDICE DE GRÁFICOS .......................................................................................XIV

ÍNDICE DE FIGURAS ........................................................................................... XV

ABREVIATURAS .................................................................................................XVI

SIMBOLOGÍA ......................................................................................................XVII

RESUMEN .........................................................................................................XVIII

ABSTRACT ..........................................................................................................XIX

INTRODUCCIÓN .................................................................................................... 1

CAPÍTULO I ............................................................................................................ 4

EL PROBLEMA ....................................................................................................... 4

PLANTEAMIENTO DEL PROBLEMA .................................................................... 4

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ......................................... 4

SITUACIÓN CONFLICTO NUDOS CRÍTICOS .................................................. 4

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ............................................ 5

DELIMITACIÓN DEL PROBLEMA ..................................................................... 6

FORMULACIÓN DEL PROBLEMA .................................................................... 7

EVALUACIÓN DEL PROBLEMA........................................................................ 7

XI

OBJETIVOS DE LA INVESTIGACIÓN ............................................................... 8

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN .......................... 9

CAPÍTULO II ......................................................................................................... 13

MARCO TEÓRICO ............................................................................................... 13

ANTECEDENTES DEL ESTUDIO........................................................................ 13

FUNDAMENTACIÓN TEÓRICA ....................................................................... 17

FUNDAMENTACIÓN LEGAL ........................................................................... 21

ACUERDO No. 166.......................................................................................... 21

CRISTIAN CASTILLO PEÑAHERRERA SECRETARIO NACIONAL ............. 21

DE LA ADMINISTRACIÓN PÚBLICA ............................................................... 21

CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR 2008 ......................... 22

CAPÍTULO SEXTO ........................................................................................... 22

DERECHOS DE LIBERTAD ............................................................................. 22

SECCIÓN QUINTA ........................................................................................... 22

ACCIÓN DE HÁBEAS DATA ............................................................................ 22

LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y

MENSAJES DE DATOS (Ley No. 2002-67) ..................................................... 23

IDEA A DEFENDER.......................................................................................... 23

DEFINICIONES CONCEPTUALES .................................................................. 24

CAPÍTULO III ........................................................................................................ 25

METODOLOGÍA DE LA INVESTIGACIÓN .......................................................... 25

DISEÑO DE LA INVESTIGACIÓN ....................................................................... 25

POBLACIÓN Y MUESTRA ............................................................................... 25

INSTRUMENTOS DE RECOLECCIÓN DE DATOS ........................................ 27

VALIDACIÓN DE LA IDEA A DEFENDER ....................................................... 39

CAPÍTULO IV ........................................................................................................ 40

PROPUESTA TECNOLÓGICA ............................................................................ 40

XII

ANÁLISIS DE FACTIBILIDAD .......................................................................... 43

FACTIBILIDAD OPERACIONAL ...................................................................... 45

FACTIBILIDAD TÉCNICA ................................................................................. 45

FACTIBILIDAD LEGAL ..................................................................................... 45

FACTIBILIDAD ECONÓMICA .......................................................................... 46

ETAPAS DE LA METODOLOGÍA DEL PROYECTO ....................................... 46

ENTREGABLES DEL PROYECTO .................................................................. 47

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ...................................... 47

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO ................... 47

CONCLUSIONES Y RECOMENDACIONES ................................................... 49

BIBLIOGRAFÍA ..................................................................................................... 51

Trabajos citados .................................................................................................... 53

ANEXOS………………………………………………………………………………..53

XIII

ÍNDICE DE CUADROS

Cuadro Nº. 1: Causas y Consecuencias del Problema ......................................... 5

Cuadro Nº. 2: Delimitación del Problema .............................................................. 6

Cuadro Nº. 3: Cuadro Distributivo de la Población ............................................. 26

Cuadro Nº. 4: Distribución de resultados Pregunta 1 .......................................... 29

Cuadro Nº. 5: Distribución de Resultados Pregunta 2 ........................................ 30





Cuadro Nº. 10: Distribución de Resultados Pregunta 7 ...................................... 35



Cuadro Nº. 13: Distribución de Resultados Pregunta 10 .................................... 38

Cuadro Nº. 14: Criterios de Aceptación del Proyecto ………………………48

XIV

ÍNDICE DE GRÁFICOS

Gráfica No. 1: Pregunta 1 ................................................................................... 299

Gráfica No. 2: Pregunta 2 ..................................................................................... 30







Gráfica No. 9: Pregunta 9……………………………………………………………..377

Gráfica No. 10: Pregunta 10 ………………………………………………………… 388

Gráfica No. 11: Riesgos de seguridad en aplicaciones ……………………...……40

Gráfica No. 12: Página inicial del Proyecto OWASZAP ………………...………...41

Gráfica No. 13: Página de descargas del Proyecto OWASZAP…………………..41

Gráfica No. 14: Pasos para instalación del Proyecto OWASZAP…………………42

Gráfica No. 15: Interfaz de Windows del Proyecto OWASZAP……………………43

Gráfica No. 16: Página web de la Herramienta HPE AppPulse…………….……..44

XV

ÍNDICE DE FIGURAS

Figura No. 1: Interpretación de los Roles de los Usuarios .................................. 11

Figura No. 2: Sistema Informático ....................................................................... 13

Figura No. 3: Pilares Fundamentales de la Seguridad Informática .................... 15

Figura No. 4: Estadísticas de Uso de Servidores Web ....................................... 16

Figura No. 5: Clasificación de las Aplicaciones Móviles ..................................... 18

Figura No. 6: Arquitectura de IOS ………………………………………………… 19

XVI

ABREVIATURAS

CINT Carrera de Ingeniería en Networking y Telecomunicaciones

CISC Carrera de Ingeniería en Sistemas Computacionales

CNE Consejo Nacional Electoral

DDoS Denegación de Servicios

FCMF Facultad de Ciencias Matemáticas y Físicas

FTP Archivos de Transferencia

HTML Lenguaje de Marca de salida de Híper Texto

Http Protocolo de transferencia de Híper Texto

Ing. Ingeniero

IOS IPhone Operative System

ISP Proveedor de Servicio de Internet

MSc. Master

PHP Personal Home Page

UG Universidad de Guayaquil

URL Localizador de Fuente Uniforme

www World Wide Web (red de área mundial)

XVII

SIMBOLOGÍA

S Desviación estándar

m Tamaño de la muestra

e Error de estimación

E Espacio muestral

E(Y) Esperanza matemática de la v.a. y

s Estimador de la desviación estándar

XVIII


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y TELECOMUNICACIONES









DE SEGURIDAD DE LAS

APLICACIONES DE LOS


(IOS, ANDROID Y

WINDOWS PHONE)

Autor: Jefferson Antonio Montes Briones Tutor: LSi. Oscar Apolinario Arzube, MSc.

RESUMEN

El presente proyecto de titulación tiene como finalidad ofrecer seguridad a los aplicativos que utilizarían los usuarios finales a través de la plataforma web y por medio de las aplicaciones móviles que han sido desarrolladas en Android, IOS y Windows Phone. Son los sistemas más utilizados aquellos cuentan con normas de seguridad nacionales e internacionales que permiten entregar un producto de alta calidad al Consejo Nacional Electoral (C.N.E), el cual a su vez promoverá su uso a todos los ciudadanos ecuatorianos para que puedan capacitarse sobre el código de la democracia, mediante el proyecto "ABC de la democracia". En las instituciones gubernamentales la seguridad informática es un requerimiento importante ya que poseen datos considerados privados de los ciudadanos y en varias ocasiones no se toman medidas de seguridad o el análisis de los aplicativos en los posibles puntos débiles. Con la implementación de las políticas de seguridad que se van a realizar, aumentará el nivel de seguridad de los aplicativos utilizados. Para ello se empleó la metodología SCRUM, como herramienta principal para la elaboración del proyecto. El objetivo es robustecer el sistema para así evitar ataques y que existan vulnerabilidades como falla en los servidores, pérdida o alteración información como datos personales de quienes usen el sistema. Palabras claves: Seguridad, Aplicaciones, Móviles, Sistema, Herramienta, Servicios.

XIX


FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN NETWORKING Y

TELECOMUNICACIONES









DE SEGURIDAD DE LAS

APLICACIONES DE LOS


(IOS, ANDROID Y

WINDOWS PHONE)

Author: Jefferson Antonio Montes Briones Tutor: LSi. Oscar Apolinario Arzube, MSc.

ABSTRACT

The present thesis project aims to offer security to the applications that would use the find users through the platform web and through the mobile applications that have been developed in Android, IOS and Windows Phone. The most widely used systems have national and international security standards that allow the delivery of a high-quality product to the National Electoral Council (CNE), which in turn will promote its use to all Ecuadorian citizens so that they could be trained on the code of democracy, through the project "ABC of democracy". In government institutions, computer security is an important requirement because they have data that are considered to be deprived of citizens and security measures are often not taken or the analysis of applications in possible weaknesses. With the implementation of the security policies to be carried out, it will increase the security level of the applications used. For this purpose, the SCRUM methodology was used as the main tool for the elaboration of the project. The goal is to strengthen the system to avoid attacks and vulnerabilities such as failure in servers, loss or alteration information as personal data of those who use the system. Keywords: Security, Applications, Mobile, System, Tool, Services.

1

INTRODUCCIÓN

Los progresos tecnológicos que se originan constantemente en las redes

informáticas, ya sea en dispositivos móviles o fijos ocasionan que los desarrollos

de software y levantamiento de servidores sean cada vez más constantes y

cotidianos, lo cual resigna al sistema a futuras debilidades de seguridad las cuales

pueden ser utilizadas en ataques informáticos. Por lo tanto, efectuar la seguridad,

tanto en un aplicativo web como también de las diferentes aplicaciones móviles y

plataformas utilizadas como lo son IOS, Android y Windows Phone, requieren de

mayor seguridad para garantizar los principios básicos de la infalibilidad

informática que permita garantizar que el producto final sea el más apropiado.

Asimismo, la seguridad puede sustentarse en normas, técnicas y/o actividades

determinadas a prevenir, proteger y resguardar lo que se maneje como dispuesto

al robo, pérdida o daño, ya sea de forma personal, grupal o empresarial, la

información es el elemento principal a proteger, resguardar y recuperar dentro de

las redes empresariales. El Consejo Nacional Electoral (CNE), organismo

gubernamental necesita capacitar a los ciudadanos del Ecuador acerca del código

de la democracia ecuatoriana, por lo cual necesita implementar un mecanismo

para realizarlo de manera masiva, para ello debe tener un sistema automatizado

y a la vez debe brindar las correspondientes seguridades que permitan el correcto

funcionamiento del mismo.

A su vez el presente proyecto está enfocado a brindarle precisamente la mayor

seguridad habitualmente a las aplicaciones informáticas que van progresando,

existe variedad de tipologías, diversidades, importancias, trascendencias y

prestaciones que pueden bridar, pero dentro de todas ellas existen un grupo que

ha venido creciendo de forma drástica y destacándose de manera que están

aislando a las demás, las aplicaciones móviles, y dentro de sus sistemas

operativos más populares están: Android, iOS y Windows Phone.

El insuperable método convincente es el que consta como extinto en el limitado

cuarto de privado en una residencia secreta envuelta por resguardo blindado. Por

ello, es necesario tener buenas prácticas de seguridad, ya que de éste manera se

2

puede aminorar los ataques internos y externos que ponen en peligro la seguridad

de la información y funcionamiento normal del aplicativo web y los aplicativos

móviles. El proyecto general se basa en la creación de un portal web para el

Consejo Nacional Electoral (CNE), el cual tiene como finalidad brindar

capacitación en línea acerca del código de la democracia, el proyecto se basa en

el análisis de seguridad del aplicativo web y las aplicaciones móviles que han sido

desarrolladas.

El presente proyecto de titulación consta de los siguientes capítulos:

CAPÍTULO I - EL PROBLEMA: En éste capítulo se detallan los diferentes

escenarios presentados y para los cuales se van a implementar herramientas para

poder impedir ataques informáticos que impidan el correcto funcionamiento de los

aplicativos a analizar, el planteamiento del problema, la ubicación, situación

conflicto nodos críticos, causas, consecuencias, delimitación, formulación, y

evaluación del problema, objetivos de la investigación y la correspondiente

justificación e importancia de la investigación.

CAPÍTULO II - MARCO TEÓRICO: Presenta toda la información previa para el

desarrollo de trabajo de titulación, legislaciones que permiten el desarrollo del

estudio planteado, comprende la fundamentación teórica, legal, acuerdo #166,

extracto de la constitución de la república del Ecuador 2008, acción de habeas

data, ley de comercio electrónico, firmas electrónicas y mensajes de datos, idea a

defender y definiciones conceptuales.

CAPÍTULO III - METODOLOGÍA DE LA INVESTIGACIÓN: En éste capítulo se

encontrará el tipo de investigación manejada en el presente proyecto, población y

muestra de estudiantes encuestados para mostrar los resultados para el análisis

correspondiente de la importancia de la seguridad en las aplicaciones web y

aplicaciones móviles, detalle de encuestas realizadas, la cual maneja como

técnica la recopilación de datos, instrumentos de recolección de datos y la

validación de la idea a defender.

3

CAPÍTULO IV – PROPUESTA TECNOLÓGICA: Se detalla la implementación de

la seguridad correspondiente al aplicativo web y a los aplicativos móviles que han

sido desarrollados. Al finalizar éste proyecto de titulación, se podrá tener de forma

estructurada la seguridad y prácticas que se deben seguir para poder tener un

producto con los estándares de calidad ineludibles en todo sistema informático. El

capítulo comprende la propuesta tecnológica, el análisis de factibilidad, factibilidad

operacional, factibilidad técnica, factibilidad legal, factibilidad económica, etapas

de la metodología del proyecto, entregable del proyecto, criterios de validación de

la propuesta, criterios de aceptación del producto o servicio. Finalmente, se a

conocer las conclusiones y recomendaciones a las que se ha llegado una vez

analizada e implementada la seguridad correspondiente en los diferentes

aplicativos.

4

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

El Consejo Nacional Electoral, organismo estatal asume la necesidad de

implementar un sistema informático que facilite sociabilizar a la ciudadanía en

general sobre el código de la democracia, razón por la cual requiere que el mismo

cumpla con las exigencias de seguridad apropiadas, tanto a nivel del aplicativo

web (Página en PHP), como en los aplicativos móviles. Se conoce que el CNE es

una entidad que provee la participación de los ciudadanos a las diversas

capacitaciones o campañas de promoción que realizan con el fin de custodiar los

derechos de participación política.

Al no contar con la seguridad adecuada los sistemas informáticos implementados

pueden ser vulnerables a los siguientes ataques: ataques a la base de datos (SQL

Inyection), ataques de denegación de servicios (DDoS), ataques de suplantación

de identidad (Phishing), ataques de fuerza bruta (Criptografía). Para evitar éstos

ataques, se debe toma en cuenta las diferentes formas que permiten poner a

prueba las aplicaciones y con ello poder contrarrestar los mismos. Es por ello que

se realizan diversas pruebas para la entrega de un producto efectivo y viable.

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

Por lo antes expuesto, se debe entregar un producto que brinde los mecanismos

necesarios para resguardar la seguridad de la información y funcionalidad del

mismo, por consiguiente, es importante para el presente proyecto tomar en cuenta

los 3 principios fundamentales de la seguridad informática, enfocados de la

siguiente manera:

Confidencialidad: Certificar que la información que se ingresa por parte de los

usuarios del sistema web y aplicativos móviles implementados sólo sean

accedidos por el personal autorizado por el Consejo Nacional Electoral (CNE).

5

Integridad: Aseverar que dicha información no sea alterada o modificada por

ninguna persona o entidad externa, que no correspondan únicamente al usuario

final que la ingresó o por el personal que haya designado el organismo de control

respectivo.

Disponibilidad: Avalar que la información se encuentre disponible cuándo y cómo

lo solicite el usuario que está haciendo uso del sistema web o aplicativos móviles

implementados o por el personal autorizado para el efecto.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Causas y Consecuencias del Problema

Cuadro Nº. 1:

CAUSAS CONSECUENCIAS

No tener un plan de

contingencia al presentar

ataques informáticos.

Indisponibilidad del sistema.

Pérdida de información importante.

Carece de buenas prácticas de

seguridad en el aplicativo web y

aplicaciones móviles.

Vulnerabilidad en las

aplicaciones tanto web como

móvil frente a ataques

informáticos, pueden estar en

riesgo, por lo que se puede

comprometer la información.

No se han aplicado estándares

de seguridad para brindar un

producto confiable.

Un sistema expuesto a recibir

ataques de seguridad, de los

cuales puede representar un

riesgo muy alto.

Ausencia de documentación

referente a normas de

seguridad que se deben llevar a

cabo por los operadores del

sistema

Puede provocar que los

operadores del sistema lo

utilicen de forma incorrecta, lo

cual puede provocar que el

mismo se encuentre indispuesto

para el uso correspondiente

para el que fue concebido.

Fuente: Datos de la investigación realizada

Elaborado por: Jefferson Montes Briones

6

En el Cuadro N° 1 se observan las causas y consecuencias de no tener una

adecuada aplicación de seguridad en los aplicativos web y móviles.

DELIMITACIÓN DEL PROBLEMA

El presente trabajo de titulación de demarca a la seguridad del aplicativo web y

aplicativos móviles que se van a manejar por parte de los usuarios finales, que

serán los ciudadanos ecuatorianos, para que su funcionamiento sea el apropiado

y admita la utilización adecuada que se ha realizado para el portal web

desarrollado que se denomina “ABC de la Democracia”

Delimitación del Problema

Cuadro Nº. 2:

CAMPO: SEGURIDAD DE LA INFORMACIÓN Y APLICACIONES

ÁREA: Seguridad, Aplicaciones, Redes

ASPECTO: Análisis de Seguridad en Aplicaciones

TEMA:

DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB PARA

EL CONSEJO NACIONAL ELECTORAL (CNE) A FIN DE

AYUDAR EN LA CAPACITACIÓN A LOS CIUDADANOS DEL

ECUADOR ACERCA DEL CÓDIGO DE LA DEMOCRACIA,

ENFOCADO EN LA GESTIÓN DE PROYECTOS ÁGILES

APLICANDO METODOLOGÍA SCRUM EN LA INGENIERÍA DE

SOFTWARE. ENFOCADO AL ANÁLISIS DE SEGURIDAD DE

LA APLICACIÓN WEB Y ANÁLISIS DE SEGURIDAD DE LAS

APLICACIONES DE LOS DISPOSITIVOS MÓVILES (IOS,

ANDROID Y WINDOWS PHONE).

Fuente: Jefferson Montes Briones


7

FORMULACIÓN DEL PROBLEMA

¿Cómo afecta el análisis de seguridad de la aplicación web y análisis de seguridad

de las aplicaciones de los dispositivos móviles (IOS, Android y Windows Phone)

en el diseño de un portal web para el CNE a fin de ayudar en la capacitación a los

ciudadanos del Ecuador promoviendo la seguridad informática en la data?

EVALUACIÓN DEL PROBLEMA

Se presentan los principales aspectos que se han tomado en cuenta para la

presente evaluación del problema:

DELIMITADO: En éste aspecto se enfoca directamente en la aplicación de

seguridad a la aplicación web y aplicaciones móviles desarrolladas para el CNE.

CLARO: Se especifican los mecanismos que se llevarán a cabo para poder aplicar

correctamente estas normas y procedimientos para que los aplicativos

implementados tengan un imponderable funcionamiento.

EVIDENTE: Sin la aplicación de seguridad informática, el sistema en cuestión está

expuesto a ataques que pueden provocar daños irreversibles, lo cual puede

provocar indisponibilidad total o parcial del sistema que se ha sido desarrollado.

CONCRETO: Se detalla exactamente lo que se va a efectuar para que nuestro

sistema funcione de manera correcta y sea confiable.

RELEVANTE: El proyecto como tal tiene relevancia nacional, por lo cual es muy

importante que tenga altos estándares de calidad.

CONTEXTUAL: Se va a dar a conocer a la ciudadanía un tema muy importante,

el cual debe brindar las seguridades oportunas.

FACTIBLE: Es realizable en el marco de la legislación vigente en nuestro país, ya

que se basa en ellas.

8

ALCANCE DEL PROBLEMA

El alcance del presente proyecto se enmarca en el análisis de la seguridad

brindada a la aplicación web y aplicativos móviles (Android, IOS y Windows

Phone) que han sido desarrollados para poder realizar mejoras y a la vez que

brinden la seguridad respectiva, tanto a la disponibilidad, como también a la

información que se va a almacenar, obteniendo así buenas prácticas de seguridad

que brinden Confidencialidad, Integridad y Disponibilidad del producto final que se

está entregando. Evitar las amenazas y vulnerabilidades que puedan existir, ya

sea de tipo material o inmaterial, tanto de hardware como software, con el fin de

detectar y contrarrestar cualquier posible ataque informático. Por lo cual se deben

tomar las medidas adecuadas que impidan la ejecución de amenazas (factor

externo) como de vulnerabilidades (factor interno).

OBJETIVOS DE LA INVESTIGACIÓN

OBJETIVO GENERAL

Realizar un análisis de seguridad de la Aplicación Web desarrollada en PHP como

también de los Aplicativos móviles en IOS, Android y Windows Phone que se han

creado en función del sistema para contrarrestar las vulnerabilidades y brindar un

producto final confiable y seguro.

OBJETIVOS ESPECÍFICOS

Analizar la aplicación web y determinar las vulnerabilidades para que éstas

puedan ser corregidas.

Detallar cada una de las Aplicaciones creadas para dispositivos móviles en

IOS, Android y Windows Phone para detectar vulnerabilidades para que

éstas puedan ser corregidas.

9

Mitigar las amenazas y el impacto que tendrán los posibles ataques por

vulnerabilidades de la aplicación web y aplicaciones móviles.

JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN

El presente proyecto se justifica en el hecho de que toda aplicación web y

aplicaciones móviles deben brindar la suficiente seguridad para poder impedir que

los ataques informáticos que se den, ya sea de manera interna o externa puedan

perpetrarse y comprometer algún componente o información del mismo. Es vital

para sociedad que los aplicativos sean estos web o móviles, brinde seguridad al

momento de ingresar datos al sistema. En la actualidad a nivel de los aplicativos

son necesarios para realizar consultas, transacciones y demás procesos,

considerando que en la actualidad la tecnología es esencial en las actividades de

los ciudadanos, cuyo propósito es brindar la seguridad de poder acceder a ésta

información de forma segura cuando ellos lo consideren necesario.

Es de conocimiento general de que todo sistema es vulnerable a diversos tipos

de ataques que pueden darse y por lo cual es necesario estar prevenidos para de

ésta forma poder contrarrestar los mismos. Esto nos va a permitir solventar los

inconvenientes de la seguridad que puedan presentarse al momento de que algún

usuario no autorizado quiera realizar una manipulación de los datos e información

que se almacena en el Servidor de Base de datos del portal web del Consejo

Nacional Electoral (CNE) para que solo el personal autorizado tenga el acceso

correspondiente a los mismos, y de ésta manera evitar que personas ajenas a la

institución tenga acceso a éstos datos y también causen que los diferentes

aplicativos queden indisponibles para su utilización.

En la actualidad la seguridad informática es fundamental para el buen

funcionamiento de un software, por el motivo de que la información alojada en un

servidor web es confidencial, reservada y solo puede ser consultada por el usuario

que tiene acceso mediante credenciales. Para el presente proyecto se va a utilizar

la investigación aplicada, que se enfocará en resolver los problemas prácticos que

se han planteado en el objetivo general y varios objetivos específicos que se

buscara cumplir a lo largo de la investigación que se está efectuando.

10

Analizar la aplicación web y determinar las vulnerabilidades para que éstas

puedan ser corregidas. El motivo principal por el cual se ha llevado a cabo a la

realización de este proyecto fue que las personas que realicen la capacitación on-

line y que al final proporcionan sus datos personales se sientan seguras de que

sus datos no serán expuestos de ninguna manera ni que se usaran

maliciosamente y la información de las cartillas que se expone es veraz y no está

sujeta a ninguna modificación que altere el conocimiento que deberían tener del

código de la democracia. El beneficio que representa el presente proyecto se

centra directamente a brindar seguridad para el Consejo Nacional Electoral (CNE),

a nivel de los aplicativos finales que van a utilizar los ciudadanos, brindándoles la

seguridad de poder acceder a ésta información de forma segura cuando ellos los

consideren necesario, la disponibilidad de la aplicación es algo muy importante a

tomar en cuenta tanto a nivel de la aplicación móvil que fue desarrollada en PHP

como en los diferentes aplicativos móviles en las plataformas de Android, IOS y

Windows Phone.

La seguridad consiste en que solo el personal autorizado tenga el acceso

correspondiente a los mismos, y de ésta manera evitar que personas ajenas a la

institución tenga acceso a estos datos y también causen que los diferentes

aplicativos queden indisponibles para su utilización. El siguiente trabajo es factible

porque realizando una investigación en la biblioteca de la Carrera de Ingeniería

en Networking se verifico que no existe el tema propuesto, por esta razón se

considera que el tema de tesis es original y único.

Por medio del análisis en el contexto, la metodología que se implementa se

denomina SCRUM, la cual conlleva la organización de las personas en equipos

pequeños de trabajo, de diferentes áreas, lo cual permite fraccionar el trabajo

principal en secciones sintetizadas, distinguidas como SPRINT, estableciendo

cada acción mediante un jerarquía de precedencia, la cual se ejecuta con la

colaboración del interesado, en fondo a la exploración verificada de un entregable

luego de cada iteración que a más de ello aprecia el esfuerzo respectivo que

representa cada una de las actividades que se realizan mediante ésta

metodología.

11

CARACTERÍSTICAS DE LA METODOLOGÍA SCRUM:

Facilita comprender el proceso real de desarrollo del proyecto.

Agrega procedimientos pertinentes ante conflictos que se puedan

presentar.

Admiten un mayor estudio de labores efectuadas.

Perfecciona la intercomunicación efectuada entre los miembros de un

mismo grupo de trabajo (SCRUM) en las reuniones habituales.

Permite aumentar la eficiencia de proyectos extensos.

Beneficia una mayor adaptación de las herramientas a los requerimientos

del proyecto.

ROLES DE CADA USUARIO:

Los roles más transcendentales dentro de ésta metodología en un proyecto de

desarrollo, se los que se muestran en la figura siguiente:

Interpretación de los Roles de los Usuarios

Figura No. 1:

Elaborado por: David Ibarra, Ulises Castañeda

Fuente: http://www.rcs.cic.ipn.mx/

http://www.rcs.cic.ipn.mx/

12

Los roles de cada usuario se pueden resumir de la siguiente manera:

a) Cliente (Product Owner): Adquiriente del producto que se está

desarrollando, es decir el individuo comisionado del backlog (enumeración

de requisitos que necesita tener el proyecto), es el comprador o delegado

de la empresa para adquirir el producto.

b) Facilitador (Scrum Master): Es la persona que se encuentra delegada a

hacer respetar las normas adecuadas para poder llevar a cabo un

proyecto, no es el dirigente del equipo, sino un comunicador entre el cliente

y el equipo de trabajo.

c) Equipo (Team): Es el equipo de desarrollo del proyecto, el cual realizará

lo que le corresponda para poder entregar el producto que el cliente haya

solicitado.

d) Usuario Final (Customer): Corresponde a los usuarios que van a utilizar

el producto que se ha desarrollado.

13

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

Antes de empezar con el presente estudio y análisis correspondiente es necesario

conocer conceptos que van a ser utilizados. Definición de lo que corresponde a

un sistema informático:

Según (Aguilera Lopez, 2010), indica que: “Un sistema informático está

constituido por un conjunto de elementos físicos (hardware, dispositivos,

periféricos y conexiones), lógicos (sistemas operativos, aplicaciones,

protocolos, etc.) y con frecuencia se incluyen también los elementos

humanos (personal experto que maneja el software y el hardware).”

Sistema Informático

Figura No. 2

Fuente: Libro de Seguridad Informática, Aguilera López Editorial Editex (2010).

Elaborado por: Jefferson Montes Briones.

Basado en la información precedente, se puede concluir que:

Hardware: Constituye todos los elementos tangibles que interfieren en un

sistema informático, corresponde a la parte física.

Software: Corresponde a los elementos intangibles, aplicaciones en

general que se utilizan en un sistema informático.

Elemento Humano: Son las personas que interactúan con el sistema

informático, los cuales pueden manipular el hardware y software.

14

La seguridad informática constituye un punto crítico al momento de poner en

marcha un proyecto de gran alcance como el que se ésta desarrollando, por lo

cual se debe conocer a detalle cada uno de los componentes que interfieren en la

realización del mismo.

Actualmente, la seguridad informática se ha perfeccionado ha ido

adquiriendo un amplio crecimiento, debido a las cambiantes circunstancias y las

nuevas plataformas de sistematización utilizables, lo cual posibilita interactuar a

través de redes informáticas, esto ha permitido que se desarrollen nuevos

espacios que admiten examinar más a fondo éste precepto.

Pero también, éste ambiente ha permitido la aparición de nuevos e

inminentes ataques y vulnerabilidades que se han detectado en los sistemas

informáticos, dado al que los datos almacenados en ellos pueden comprometer

desde una persona a millones de ellas.

La seguridad informática como tal tiene 3 pilares fundamentales, los cuales son:

Confidencialidad: Que los datos puedan ser visualizados y manipulados

únicamente por el personal autorizado según corresponda.

Integridad: Significa que los datos deberán mantener la información tal cual ha

sido ingresada y al momento de tener modificaciones correspondería a una acción

no autorizada.

Disponibilidad: Se enfoca directamente a que el sistema informático como tal

debe encontrarse disponible según el tiempo en el cual haya sido asignado, para

ello hay mecanismos como los de alta disponibilidad que permitirán brindar un

mayor grado de confiabilidad al momento de presentarse alguna vulnerabilidad.

15

Pilares Fundamentales de la Seguridad Informática

Figura No. 3:

Fuente: Norma ISO/IEC 27001:2013


(With Build, 2016), “Es común escuchar sobre fallas en los sistemas de

protección de los servidores más frecuentemente utilizados, por

ejemplo, Apache, NGINX, IIS, etc.”

La seguridad está finamente ligada a la certeza, por lo que hay que aclarar

que no existe la seguridad absoluta, más bien, lo que se intenta minimizar es el

impacto y/o el riesgo. Por tal motivo, cuando se habla de inseguridad, se lo debe

hacer en carácter de niveles, lo que se intenta y se debe hacer es llevar a cabo

una ordenación efectiva a fin de lograr llegar a los niveles más altos posibles,

cumpliendo con la reglamentación vigente.

Confidencialidad

Seguridad Informática

Integridad Disponibilidad

16

Estadísticas de Uso de Servidores Web

Figura No. 4:

Fuente: http://trends.builtwith.com/Web-Server

Elaborado por: Editores de la página buitwith.com

Se ha podido visualizar que el mayor número de servidores web se localiza en

Apache, por lo cual, al ser más popular, se vuelve así mismo en más vulnerable a

ataques informáticos y que éstos sean realizados con mayor frecuencia.

La norma (ISO 27000.ES, 2012), indica que:

“Las organizaciones y sus sistemas de información están expuestos a

un número cada vez más elevado de amenazas que, aprovechando

cualquiera de las vulnerabilidades existentes, pueden someter a

activos críticos de información a diversas formas de fraude, espionaje,

sabotaje o vandalismo.”

Por lo cual es necesario e indispensable contar con buenas prácticas de

seguridad basados en normas y reglamentaciones que permitan contar con la

mayor seguridad posible y con ello evitar que la información que se está

17

recabando y utilizando se vea afectada de alguna manera, para poder analizar

correctamente la seguridad de una aplicación, es muy importante conocer qué es

una amenaza y qué es una vulnerabilidad.

FUNDAMENTACIÓN TEÓRICA

Según el libro (Dwivedi, 2010) en el capítulo 2, “Los principales problemas de

seguridad que enfrentan los dispositivos móviles son:

La seguridad física de los dispositivos móviles debido al continuo

incremento de la pérdida y robos.

La seguridad en el almacenamiento del dispositivo.

Procesos de autenticación fuerte con contraseñas pobres.

Soporte a múltiples usuarios con seguridad.

Entornos de navegación seguros.

Seguridad en sistemas operativos móviles.

El aislamiento de las aplicaciones.

La divulgación de información.

Los Virus, Gusanos, Troyanos, Spyware y Malware.

Los procesos de actualización y parcheo de los sistemas operativos.

El uso y cumplimiento estricto del protocolo SSL.

Phishing.

Solicitud de falsificación de sitio cruzado.

La localización privacidad y seguridad.

Drivers de dispositivos inseguros.

Múltiples factores de autenticación.”

Conociendo las principales problemáticas en materia de seguridad que

presentan los dispositivos móviles, se puede tener un panorama concreto sobre

los puntos que se deben reguardar para evitar dichos ataques en los aplicativos

implementados.

18

De acuerdo al estándar 729 de la IEEE el “Software es el conjunto de los

programas de cómputo, procedimientos, reglas, documentación y datos

asociados, que forman parte de las operaciones de un sistema de

computación”

Clasificación de las Aplicaciones Móviles

Figura No. 5:

Fuente: http://visionmobile.com

Elaborado por: Editores de la página visionmobile.com

Es de conocimiento que en la actualidad es una revolución la telefonía móvil. Se

han considerado para esta investigación 3 aplicativos, los cuales han sido

realizados en las plataformas más utilizadas hoy en día y son: Android, IOS,

Windows Phone.

ANDROID

Según la publicación de (Alejandro Nieto González, 2011), indica que:

“Android es un sistema operativo inicialmente pensado para

teléfonos móviles, al igual que iOS, Symbian y BlackBerry OS. Lo que lo hace

diferente es que está basado en Linux, un núcleo de sistema operativo libre,

gratuito y multiplataforma.”

19

El autor manifiesta que el sistema operativo android fue creado para teléfonos

táctil, por lo que resalta que es diferente a los demás sistemas operativos porque

está basado en Linux y es Open Source, además son considerados en la

actualidad uno de los mejores dispositivos móviles y son los más accesibles por

los usuarios, por tener buenas características en el mercado.

IOS

Arquitectura de IOS

Figura No. 6:

Fuente: http://pacmac.es/que-es-y-para-que-sirve-ios/

Elaborado por: Víctor Varillas

Según (Víctor Varillas, 2011) indica que:

“Todo usuario de iPhone, iPad o iPod Touch debería saber que su

dispositivo está gestionado por un software, un sistema operativo que se

encarga de proveer una serie de servicios al sistema y sobre el que se

ejecutan las aplicaciones que todos conocen y además controla el uso que

estas aplicaciones hacen sobre el hardware. Hardware que poco a poco va

mejorando de forma incremental cada vez que Apple anuncia un nuevo

producto, 3D Touch, Touch ID, cámara, flash, etc. Todo esto además de la

20

gestión de la batería, energía, comunicación inalámbrica (Wi-Fi, Bluetooth,

etc.) está gobernado y controlado por iOS.”

El autor menciona que todo dispositivo de IPhone funciona por medio de un

software y hardware, y lo más importante que está conformado por un sistema

operativo en donde se ejecutan aplicaciones. En la actualidad existen versiones

por cada dispositivo y sus características son una más mejorada que la otra.

WINDOWS PHONE

Según la publicación de (Javier Barroso, 2012) sobre Windows Phone

menciona que: “Es notorio que se está acostumbrado a tener el sistema operativo

Windows, y es poco frecuente haber visto Windows Phone. Este sistema operativo

es conocido por su interfaz de ventanas, en la versión diseñada para móviles. Es

fabricado por Microsoft y se llama Windows permite que funcionen algunos

aparatos, tanto como teléfonos móviles o tabletas, pero no es parecido al que se

encuentra en un ordenador.” (Pág. 34)

El autor Barroso indica que Windows Phone se caracteriza por tener una interfaz

gráfica más elegante y amigable, en la actualidad está fabricado y diseñado para

móviles y tablets.

FUNDAMENTACIÓN SOCIAL

La ejecución de este proyecto de titulación brindara en primera instancia seguridad

a los estudiantes de la Facultad de Ciencias Matemáticas y Físicas de la Carreras

de Ingeniería en Sistemas Computacionales e Ingeniería en Networking y

Telecomunicaciones de la Universidad Guayaquil, ya que el presente análisis de

seguridad que se va a realizar permitirá realizar las mejores estrategias posibles

para evitar la pérdida de información confidencial que ellos han ingresado en el

portal web, ya sea éste mediante la aplicación web o mediante las diferentes

aplicaciones móviles que han sido desarrolladas.

21

Al evaluar las vulnerabilidades que puedan presentarse, se crearán mecanismos

para evitarlos y que de ésta manera el sistema brinde la confiabilidad requerida

para éste proceso.

FUNDAMENTACIÓN LEGAL

ACUERDO No. 166

CRISTIAN CASTILLO PEÑAHERRERA SECRETARIO NACIONAL

DE LA ADMINISTRACIÓN PÚBLICA

ACUERDA:

Artículo 1.- Disponer a las entidades de la Administración Pública Central,

Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las

Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de

Seguridad de la Información.

Artículo 2.- Las entidades de la Administración Pública implementarán en un

plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la

Información (EGSI), que se adjunta a este acuerdo como Anexo 1, a excepción de

las disposiciones o normas marcadas como prioritarias en dicho esquema, las

cuales se implementarán en (6) meses desde la emisión del presente Acuerdo.

La implementación del EGSI se realizará en cada institución de acuerdo al ámbito

de acción, estructura orgánica, recursos y nivel de madurez en gestión de

Seguridad de la Información.

Artículo 6.- Es responsabilidad de la máxima autoridad de cada entidad mantener

la documentación de la implementación del EGSI debidamente organizada y

registrada de acuerdo al procedimiento específico que para estos efectos

establezca la Secretaría Nacional de la Administración Pública.

22

Artículo 7.- Las entidades realizarán una evaluación de riesgos y diseñarán e

implementarán el plan de manejo de riesgos de su institución, en base a la norma

INEN ISO/IEC 27005 "Gestión del Riesgo en la Seguridad de la Información".

CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR 2008

CAPÍTULO SEXTO

DERECHOS DE LIBERTAD

Art. 66.- Se reconoce y garantizará a las personas:

19. El derecho a la protección de datos de carácter personal, que incluye el acceso

y la decisión sobre información y datos de este carácter, así como su

correspondiente protección. La recolección, archivo, procesamiento, distribución

o difusión de estos datos o información requerirán la autorización del titular o el

mandato de la ley.

SECCIÓN QUINTA

ACCIÓN DE HÁBEAS DATA

Art. 92.- Toda persona, por sus propios derechos o como representante legitimado

para el efecto, tendrá derecho a conocer de la existencia y a acceder a los

documentos, datos genéticos, bancos o archivos de datos personales e informes

que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas,

en soporte material o electrónico. Asimismo, tendrá derecho a conocer el uso que

se haga de ellos, su finalidad, el origen y destino de información personal y el

tiempo de vigencia del archivo o banco de datos. Las personas responsables de

los bancos o archivos de datos personales podrán difundir la información

archivada con autorización de su titular o de la ley. La persona titular de los datos

podrá solicitar al responsable el acceso sin costo al archivo, así como la

23

actualización de los datos, su rectificación, eliminación o anulación. En el caso de

datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona

titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se

atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada

podrá demandar por los perjuicios ocasionados.

LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y

MENSAJES DE DATOS (Ley No. 2002-67)

Art. 9.- Protección de datos. - Para la elaboración, transferencia o utilización de

bases de datos, obtenidas directa o indirectamente del uso o transmisión de

mensajes de datos, se requerirá el consentimiento expreso del titular de éstos,

quien podrá seleccionar la información a compartirse con terceros. La recopilación

y uso de datos personales responderá a los derechos de privacidad, intimidad y

confidencialidad garantizados por la Constitución Política de la República y esta

ley, los cuales podrán ser utilizados o transferidos únicamente con autorización

del titular u orden de autoridad competente.

No será preciso el consentimiento para recopilar datos personales de fuentes

accesibles al público, cuando se recojan para el ejercicio de las funciones propias

de la administración pública, en el ámbito de su competencia, y cuando se refieran

a personas vinculadas por una relación de negocios, laboral, administrativa o

contractual y sean necesarios para el mantenimiento de las relaciones o para el

cumplimiento del contrato. El consentimiento a que se refiere este artículo podrá

ser revocado a criterio del titular de los datos; la revocatoria no tendrá en ningún

caso efecto retroactivo.

IDEA A DEFENDER

El análisis y desarrollo de seguridad planteado creará las pautas necesarias para

que el aplicativo que use el usuario final, cumpla con los principios básicos de

seguridad informática que son confidencialidad, integridad y disponibilidad, que a

24

su vez le permitirá minimizar las vulnerabilidades del aplicativo que pueden

presentarse, brindando una mejor experiencia al usuario.

DEFINICIONES CONCEPTUALES

Amenaza: Representa una acción de índole exterior que no depende del sistema

implementado, sino del entorno en el cual se encuentre el correspondiente

aplicativo.

Vulnerabilidad: Una vulnerabilidad es una debilidad que puede presentar nuestro

sistema al ser atacado de diversas maneras.

Información: Datos personales y significativos de los usuarios u organización.

Ataque: Son todos los intentos de consumar una acción maliciosa que pretende

indisponer al sistema o conseguir información del mismo.

Sistema Operativo: Es la interfaz gráfica o software base con el cual interactúan

los usuarios, ya sea por medio de un ordenador o por medio de equipos móviles.

Seguridad: Incorpora todas las labores realizadas para evadir los ataques

informáticos que se lleven a cabo por los cibercriminales.

25

CAPÍTULO III

METODOLOGÍA DE LA INVESTIGACIÓN

DISEÑO DE LA INVESTIGACIÓN

La modalidad de investigación que se está utilizando es la aplicada, debido a que

se va a utilizar conocimientos prácticos para brindar una mayor seguridad a las

aplicaciones.

Según la publicación de (José Lozada, 2014) manifiesta que:

“La investigación aplicada busca la generación de conocimiento con

aplicación directa a los problemas de la sociedad o el sector productivo. Esta

se basa fundamentalmente en los hallazgos tecnológicos de la investigación

básica, ocupándose del proceso de enlace entre la teoría y el producto.”

(Pág. 1)

Tipo de investigación. - El tipo de investigación a aplicar es el de investigación

explicativa, ya que va a detallar los pasos correspondientes efectuados para poder

aplicar la seguridad correspondiente a las diferentes aplicaciones.

(Sabino, 1992), “Investigación explicativa es aquella que tiene relación

causal; no sólo persigue describir acercarse a un problema, sino que intenta

encontrar las causas del mismo. Existen diseños experimentales y no

experimentales.” (P. 5)

POBLACIÓN Y MUESTRA

POBLACIÓN

Previamente considerado la problemática a solucionar, y las necesidades

inmersas, es importante saber los objetos, personas, eventos, situaciones y

demás, para llevar a cabo la investigación.

26

La población considerada para el análisis del tema propuesto, constituye al

personal administrativo de la Universidad de Guayaquil ya que es necesario

automatizar los procesos operativos que realizan, por lo cual los usuarios

necesitan tener un sistema que ofrezca un buen servicio de seguridad de sus

portales web y móviles, por este motivo se ha tomado como población al personal

de trabajo que manejan sistemas similares y usuarios que realizan continuamente

el Consejo Nacional Electoral, porque es una necesidad amplia; dentro de esta

población se consideró:

Cuadro Distributivo de la Población

Cuadro Nº. 3:

POBLACIÓN

CANTIDAD

Estudiantes de la Carrera de Ingeniería en Sistemas

Computacionales CISC

356

Estudiantes de la Carrera de Ingeniería en Networking y

Telecomunicaciones CINT

356

TOTAL

712

Fuente: Datos de la Investigación realizada.


MUESTRA

La población que se ha tomado en cuenta para el proyecto es de 712 estudiantes

356 de la Carrera de Ingeniería en Sistemas Computacionales y 356 de la Carrera

de Ingeniería en Networking y Telecomunicaciones, debido a que sobrepasa las

100 personas, y se va a utilizar el segundo método para calcular la muestra a

utilizar para nuestra investigación:

𝒏 = 𝒎

𝒆𝟐 (𝒎 − 𝟏) + 𝟏

27

Cuadro Distributivo de la Muestra

Cuadro N° 4:

POBLACIÓN

CANTIDAD

Estudiantes de Ingeniería en Sistemas

Computacionales

100

Estudiantes de Ingeniería en Networking y

Telecomunicaciones

100

TOTAL 200

Fuente: Datos de la Investigación realizada


INSTRUMENTOS DE RECOLECCIÓN DE DATOS

TÉCNICA:

La técnica utilizada para la recolección de datos fue la de campo a través de una

encuesta que consta de 10 preguntas efectuadas a los 200 estudiantes de las

m= Tamaño de la población (712)

E= error de estimación (6%)

n= Tamaño de la muestra (200)

𝑛 =712

(0.06)2(712 − 1) + 1

𝑛 =712

(0.0036)(711) + 1

𝑛 =712

2.5596 + 1

𝑛 =712

3.5596

𝑛 = 200

28

Carreras de Ingeniería en Sistemas Computacionales (CISC) y la Carrera de

Ingeniería en Networking y Telecomunicaciones (CINT) de la Facultad de Ciencias

Matemáticas y Físicas (FCMF) de la Universidad de Guayaquil (UG).

INSTRUMENTOS DE INVESTIGACIÓN:

El instrumento a utilizar para la recolección de datos en la investigación realizada

es el cuestionario, el cual consta de 10 preguntas elaboradas de manera clara y

precisa para de ésta manera poder efectuar el análisis correspondiente.

El cuestionario es el documento en el cual se recopila la información por medio de

preguntas concretas (abiertas o cerradas) aplicadas a un universo o muestra

establecidos, con el propósito de conocer una opinión. Tiene la gran ventaja que

de poder recopilar información en gran escala debido a que se aplica por medio

de preguntas sencillas que no deben implicar dificultad para emitir la respuesta;

además su aplicación es impersonal y está libre de influencias como en otros

métodos. (Técnicas de investigación).

RECOLECCIÓN DE LA INFORMACIÓN:

Las encuestas se realizaron en el laboratorio # 5 de las Instalaciones de la

Facultad de Ciencias Matemáticas y Físicas, el sábado 4 de junio de 2016, en

horario de 09:00 a 14:00 a un grupo de 200 estudiantes de las Carreras de

Ingeniería en Sistemas Computacionales e Ingeniería en Networking y

Telecomunicaciones de la Universidad de Guayaquil.

PROCESAMIENTO Y ANÁLISIS:

A continuación, se procede a detallar las preguntas realizadas a los estudiantes

con su respectivo análisis correspondiente.

29

Pregunta N° 1

¿Considera usted necesario que una aplicación cuente con mecanismos de

seguridad?

Distribución de resultados Pregunta 1

Cuadro Nº. 4:

OPCIÓN CANTIDAD PORCENTAJE

SI 180 90%

NO 20 10%

TOTAL 200 100%

Fuente: Datos de la Investigación Realizada


Pregunta 1

Gráfica No. 1:



Análisis: El 90% de los estudiantes considera que es necesario que una

aplicación cuente con mecanismos de seguridad, ya que éstos ayudan a que la

información que se está manipulando se mantenga protegida.

90%

10%

¿Considera usted necesario que una aplicación cuente con

mecanismos de seguridad?

SI

NO

30

Pregunta N° 2

¿Qué ataque considera usted que una aplicación web está más expuesta?

Distribución de Resultados Pregunta 2

Cuadro Nº. 5:


Fuerza Bruta 40 20%

Inyección SQL 100 50%

Denegación

de servicio

60 30%

TOTAL 200 100%



Pregunta 2

Gráfica No. 2:



Análisis: El 80% de estudiantes encuestados consideran que los ataques por

inyección SQL (50%) y denegación de servicio (30%) por código son los ataques

más propensos en una aplicación web.

20%

50%

30%

¿Qué ataque considera usted que una aplicación web está más

expuesta?

Fuerza Bruta

Inyección SQL

Denegación de servicio

31

Pregunta N° 3

¿Cuáles son las vulnerabilidades más comunes que considera usted en un

sistema informático?


Cuadro Nº. 6:


Políticas de seguridad deficientes e

inexistentes

60 30%

Errores de programación 24 12%

Mala configuración del sistema 66 33%

Uso de cifrados débiles en los servicios 50 25%

TOTAL 200 100%



Pregunta 3

Gráfica No. 3:



Análisis: Las vulnerabilidades que consideran más comunes los estudiantes

encuestados, se centran en la falta de políticas de seguridad, mala configuración

del sistema y el uso de cifrados débiles en los servicios del sistema, lo que

constituye que los sistemas tienen muchas debilidades y vulnerabilidades que

pueden ser aprovechadas para un ataque, por la falta de un proceso que fortalezca

la seguridad de los sistemas informáticos.

30%

12%33%

25%

¿Cuáles son las vulnerabilidades más comunes que considera usted en un

sistema informático? Políticas de seguridaddeficientes e inexistentes

Errores de programación

Mala configuración del sistema

Uso de cifrados débiles en losservicios

32

Pregunta 4

¿Usted cree necesario implementar un proceso que permita fortalecer la

seguridad del aplicativo web del Portal ABC de la Democracia?


Cuadro Nº. 7:


SI 200 100%

NO 0 0

TOTAL 200 100%



Pregunta 4

Gráfica No. 4:



Análisis: Todos los estudiantes encuestados coinciden que es necesario

implementar un proceso que fortalezca la seguridad en el aplicativo web del Portal

ABC de la Democracia para de ésta manera mantener los principios de la

seguridad informática.

100%

0%

¿Usted cree necesario implementar un proceso que permita fortalecer la seguridad del aplicativo web del

Portal ABC de la Democracia?

SI NO

33

Pregunta N° 5

¿Conoce usted los principios básicos de la Seguridad Informática?


Cuadro Nº. 8:


SI 150 75%

NO 50 25%

TOTAL 200 100%



Pregunta 5

Gráfica No. 5:



Análisis: La mayoría de los alumnos conocen los principios básicos de la

Seguridad Informática, lo cual es muy importante para llevar a cabo el análisis que

se desarrolló.

75%

25%

¿Conoce usted los principios básicos de la Seguridad Informática?

SI

NO

34

Pregunta N° 6

¿Tiene un Smartphone con Sistema Operativo Android, IOS o Windows

Phone?


Cuadro Nº. 9:


SI 190 95%

NO 10 5%

TOTAL 200 100%



Pregunta 6

Gráfica No. 6:



Análisis: El noventa y cinto por ciento de los estudiantes encuestados confirman

que tienen un Smartphone con uno de los Sistemas Operativos Móviles más

utilizados como son Android, IOS y Windows Phone, lo cual garantiza que los

aplicativos que han sido desarrollados para éstas diferentes plataformas serán

mayormente utilizados por los usuarios.

95%

5%

¿Tiene un Smartphone con Sistema Operativo Android, IOS o Windows

Phone?

SI

NO

35

Pegunta N° 7

¿Qué Sistema Operativo usa tu teléfono celular?


Cuadro Nº. 10:


Android 140 70%

IOS 30 15%

Windows Phone 20 10%

Otro 10 5%

TOTAL 200 100%



Pregunta 7

Gráfica No. 7:



Análisis: Se puede concluir que el Sistema Operativo Móvil predominante entre

los estudiantes de la CISC – CINT es Android, ya que el 70% de los encuestados

indica que usa un dispositivo con éste sistema operativo en su smartphone o

tableta.

70%

15%

10%5%

¿Qué Sistema Operativo usa tu teléfono celular?

Android

IOS

Windows Phone

Otro

36

Pregunta N° 8

¿Considera usted que los dispositivos móviles son vulnerables a ataques

informáticos?


Cuadro Nº. 11:


SI 190 95%

NO 10 5%

TOTAL 200 100%



Pregunta 8

Gráfica No. 8:



Análisis: El noventa y cinco por ciento de los estudiantes encuestados afirman

que los dispositivos móviles son vulnerables a ataques informáticos, motivo por el

cual se determinó que es muy importante estar protegido frente a ataques que se

puedan presentar.

95%

5%

¿Considera usted que los dispositivos móviles son vulnerables a ataques

informáticos?

SI

NO

37

Pregunta N° 9

¿Con la implementación de mayor seguridad en las aplicaciones considera

usted que las mismas son más robustas y resistentes frente a ataques

maliciosos?


Cuadro Nº. 12:

ALTERNATIVA CANTIDAD PORCENTAJE

SI 150 75%

NO 50 25%

TOTAL 200 100%



Pregunta 9

Gráfica No. 9:



Análisis: El setenta y cinco por ciento de los estudiantes que han sido

encuestados afirman que, con la aplicación de técnicas y metodologías de

seguridad, y brindar mayor confiabilidad hacia la aplicación que ha sido

desarrollada.

75%

25%

¿Con la implementación de mayor seguridad en las aplicaciones considera usted que las mismas son más robustas

y resistentes frente a ataques …

SI

NO

38

Pregunta N° 10

¿Considera usted necesario que un aplicativo brinde las mejores medidas

de seguridad posible?


Cuadro Nº. 13:

ALTERNATIVA CANTIDAD PORCENTAJE

SI 180 90%

NO 20 10%

TOTAL 200 100%



Pregunta 10

Gráfica No. 10:



Análisis: El noventa por ciento de los estudiantes encuestados consideran que

es necesario que un aplicativo brinde las mejores medidas de seguridad posible,

ya que permite garantizar los principios de la seguridad informática.

90%

10%

¿Considera usted necesario que un aplicativo brinde las mejores medidas

de seguridad posible?

SI

NO

39

VALIDACIÓN DE LA IDEA A DEFENDER

Mediante los datos recopilados en la encuesta se puede determinar que la

seguridad en aplicaciones web y aplicaciones móviles es muy importante, ya que

constituye un punto crítico al momento de poner en funcionamiento el mismo,

debido a la gran demanda y utilización que tienen actualmente.

Con el análisis correspondiente, permite obtener una perspectiva del uso que va

a tener y garantiza la aplicación de los principios básicos de la informática.

Finalmente, los resultados de la encuesta realizada a los 200 estudiantes de las

Carreras de Ingeniería en Sistemas Computacionales e Ingeniería en Networking

y Telecomunicaciones de la Facultad de Ciencias Matemáticas y Físicas de la

Universidad de Guayaquil, validan el proceso de análisis de seguridad que se está

verificando a la aplicación web y aplicaciones móviles que han efectuado al portal

web “ABC de la Democracia” al estar de acuerdo que dicho proceso admitirá tener

mayor seguridad en cada una de las aplicaciones desarrolladas y minimizar las

vulnerabilidades existentes y que puedan descubrirse en los mismos.

40

CAPÍTULO IV

PROPUESTA TECNOLÓGICA

El análisis de seguridad de la aplicación web y aplicaciones móviles permitirá que

las aplicaciones desarrolladas para las diferentes plataformas tengan la suficiente

confiabilidad, disponibilidad e integridad, debido a que se proporcionará un alto

nivel de seguridad que se va obtener mediante las técnicas aplicadas en el mismo.

Riesgos de seguridad en aplicaciones

Gráfica N° 11

Fuente: Top 10 OWASP-2013


Todo esto se fundamenta en las investigaciones que se han realizado y asimismo

aplicado en los diferentes campos de acción del funcionamiento de las

aplicaciones, con lo que al momento de utilizar los recursos se va a poder verificar

la jerarquía que tendrán a nivel de seguridad informática como tal, con lo cual se

obtendrán los resultados deseados y a la vez podrán ser demostrados.

En el presente análisis se utilizó una herramienta Open Source denominado el

proyecto OWASPZAP, el cual se accede mediante la URL:

41

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project, la cual

mostrará la siguiente gráfica:

Página inicial del Proyecto OWASZAP

Gráfica N° 12

Fuente: https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project


Este proyecto puede ser descargado para las diferentes plataformas de Windows,

Linux y MacOs, en el caso actual se utilizó en Sistema Operativo Windows:

Página de descargas del Proyecto OWASZAP

Gráfica N° 13

Fuente: https://github.com/zaproxy/zaproxy/wiki/Downloads


42

El instalador para Windows fue descargado de la URL:

https://github.com/zaproxy/zaproxy/releases/download/2.5.0/ZAP_2.5.0_Window

s.exe, una vez descargado se procede con la instalación del mismo, mediante los

siguientes pasos:

Pasos para instalación del Proyecto OWASZAP

Gráfica N° 14



43

Luego de haber realizado la instalación de la herramienta, se procede a ejecutarla,

para dar inicio al análisis correspondiente:

Interfaz de Windows del Proyecto OWASZAP

Gráfica N° 15



Se procede a analizar la ip de la página en producción, la cual al momento se

encuentra configurada con la IP Pública: http://181.39.32.107/

Una vez terminado el análisis correspondiente del aplicativo web, se procede con

la revisión del mismo, para poder determinar las vulnerabilidades presentadas,

para ello se ha tomado en cuenta el TOP 10 de OWASP-2013, en cual indica:

A1 - Inyección SQL

A2 - Pérdida de Autenticación y Gestión de Sesiones

A3 - Secuencia de Comandos en Sitios Cruzados (XSS)

A4 - Referencia Directa Insegura a Objetos

A5 - Configuración de Seguridad Incorrecta

A6 - Ausencia de Control de Acceso a Funciones

A7 - Ausencia de Control de Acceso a Funciones

A8 - Falsificación de Peticiones en Sitios Cruzados (CSRF)

A9 - Utilización de Componentes con Vulnerabilidades conocidas

A10 - Redirecciones y reenvíos no validados

44

El TOP 10 OWASP-2013 muestra los ataques más comunes realizados en lo que

corresponde a aplicativo web, en los cuales se basa en estudio y análisis que se

está realizando en al aplicativo web implementado.

El estudio del análisis de las Aplicaciones Móviles desarrolladas en Android, IOS

y Windows Phone está basado en el Proyecto OWASP Mobile Security, el cual

puede ser verificado mediante la siguiente dirección web (URL):

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project, además se

utilizó una versión demo de la Aplicación HPE AppPulse, la cual se encuentra

disponible desde la página de Hewlett-Packard para analizar las aplicaciones

desarrolladas en Android y Windows Phone:

Página web de la Herramienta HPE AppPulse

Gráfica N° 16

Fuente: http://www8.hp.com/ec/es/software-solutions/apppulse-mobile-app-apm-

monitoring/


45

ANÁLISIS DE FACTIBILIDAD

La implementación del presente proyecto de titulación se considera altamente

factible, ya que constituye una acción muy importante, que corresponde a la

seguridad que deben brindar las aplicaciones a los usuarios que la utilizan y a los

propietarios de la misma, en éste caso en Consejo Nacional Electoral (CNE),

mediante su programa el ABC de la Democracia que tiene un alcance a nivel

nacional para todos los ciudadanos del país.

FACTIBILIDAD OPERACIONAL

La puesta en marcha del presente proyecto de titulación permitirá al Consejo

Nacional Electoral (CNE) manipular el aplicativo en Back-End de manera segura,

ofreciendo a la vez características de manipulación de datos, configuración de

funcionalidades que serán muy importantes al momento de manipular y clasificar

la información que necesiten obtener del Sistema en funcionamiento, ya sea de

Base de Datos, Aplicación Web y demás características que intervienen en el

funcionamiento del sistema en general.

FACTIBILIDAD TÉCNICA

Analizando la factibilidad técnica, se determinó que es viable poder realizar el

análisis e implementación de la seguridad que se efectuando, ya que se cuenta

con las herramientas y técnicas necesarias, además de estándares como

OWASP, tanto para la aplicación Web, desarrollada en PHP como en las

Aplicaciones Móviles desarrolladas en Android, IOS y Windows Phone.

FACTIBILIDAD LEGAL

La implementación del presente proyecto de titulación en el Consejo Nacional

electoral no altera ni viola ningún reglamento de la institución, leyes del país ni

leyes internacionales, además de alinearse estrictamente con los pilares

fundamentales de la informática para poder brindar la mayor seguridad posible.

La documentación correspondiente de la investigación se encuentra citada de

manera adecuada, indicando las fuentes sin afectar los derechos de autor.

46

FACTIBILIDAD ECONÓMICA

El presente proyecto de titulación no incurre en gastos económicos, debido a que

se realiza con los mismos equipos y software con el que ha sido concebido en

primera instancia el mismo, con lo cual a nivel monetario la institución no va a

incurrir directamente. Por ende, se puede concluir que a nivel económico el

proyecto es totalmente factible, ya que no incurre en ningún gasto económico para

el Consejo Nacional Electoral (CNE).

ETAPAS DE LA METODOLOGÍA DEL PROYECTO

Para desarrollar el presente proyecto de titulación se ha utilizado la metodología

de Proyecto AGILE y se describe en las siguientes etapas:

ANÁLISIS Y DIAGNÓSTICO: Se efectúa el análisis y diagnóstico de la aplicación

web y las aplicaciones móviles desarrolladas para los Sistemas de Android, IOS y

Windows Phone en primera instancia para verificar si éstos son vulnerables a

ataques que pongan en riesgo la aplicación y fortalecimiento de la Confiabilidad,

Integridad y Disponibilidad, los cuales son pilares fundamentales de la Seguridad

informática, aspectos principales de la investigación que se está llevando a cabo.

DISEÑO: Luego del análisis y diagnóstico realizado se procede a efectuar lo que

corresponde al diseño de lo que se va a efectuar, respetando el orden cronológico

de cómo se va a ir analizando e implementando la seguridad correspondiente en

las diferentes aplicaciones.

IMPLEMENTACIÓN: Respetando el diseño elaborado, y según el orden

cronológico correspondiente, va a estar implementado los correspondientes y

verificando el impacto causado por cada uno de los mismos.

REALIZACIÓN DE PRUEBAS: Se efectuaron las pruebas correspondientes en

un ambiente de prueba, para luego de confirmar de que en efecto a subsanado la

vulnerabilidad implementada en éste ambiente puede pasar directamente a la

implementación final en el área de producción como tal.

47

ENTREGABLES DEL PROYECTO

Los entregables finales del proyecto del proyecto de titulación en éste caso

corresponden a los diferentes manuales de las seguridades que se van a ir

implementado a nivel de los diferentes aplicativos.

CRITERIOS DE VALIDACIÓN DE LA PROPUESTA

Para poder validar la propuesta presentada en el presente proyecto de titulación,

se ha recurrido al uso de una encuesta de satisfacción, la cual fue realizada a los

200 Estudiantes de las Carreras de Ingeniería en Sistemas Computacionales e

Ingeniería en Networking y Telecomunicaciones de la Facultad de Ciencias

Matemáticas y Físicas de la Universidad de Guayaquil, los cuales representan la

muestra del mismo.

CRITERIOS DE ACEPTACIÓN DEL PRODUCTO O SERVICIO

Para la aceptación de la propuesta del presente proyecto de titulación, se ha

cumplido con los indicadores o criterios que corresponde a los alcances que

habían sido establecidos para el proyecto de titulación.

48

Criterios de Aceptación del Proyecto

Cuadro Nº. 14:

INDICADORES ESTRATEGIAS NIVEL DE

CUMPLIMIENTO

Evaluación de la

aplicación web

Minimizar las vulnerabilidades de

aplicación web

100%

Checklist de

aplicaciones

móviles

Detectar vulnerabilidades para

posteriormente trabajar en ellas

100%

Simulación de

ataques externos

Efectuar ataques inducidos para ver la

resistencia de la aplicación

100%

Resultados

obtenidos de los

ataques

Con los resultados se procede a

aplicar las acciones correspondientes

100%



49

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

Se analizó la aplicación web y se determinó las vulnerabilidades que

existían y se procedió a corregirlas, esto permite tener un producto final

robusto y eficaz que a la vez permite brindar mayor seguridad a la

aplicación web que se encuentra implementada.

Se analizó cada una de las Aplicaciones creadas para dispositivos móviles

en IOS, Android y Windows Phone y se detectó vulnerabilidades y

posteriormente se procedió a mejorar la seguridad de la información, y

funcionamiento de los mismos a nivel general.

Se disminuyó las amenazas sobre los posibles ataques por

vulnerabilidades de los sistemas tanto de la aplicación web y aplicaciones

móviles, con lo cual se obtuvo un producto sólido y confiable tanto para el

propietario del producto como también para los usuarios que lo van a

utilizar.

50

RECOMENDACIONES

Realizar de manera periódica un análisis de seguridad al aplicativo web,

ya que constantemente se descubren nuevas vulnerabilidades que son

halladas por los cibercriminales y pueden ocasionar que exista perdida de

información o indisponibilidad del sistema web.

Ejecutar de manera corriente un estudio de seguridad a los aplicativos

móviles desarrollados en las diferentes plataformas (Android, IOS y

Windows Phone), ya que constantemente se descubren nuevas

debilidades, las cuales son aprovechadas por los cibercriminales y

consiguen producir que concurra la pérdida de información o

indisponibilidad de los aplicativos móviles.

Implementar procesos automáticos que permitan tener un control del uso

de las diferentes aplicaciones, web y móviles, para de ésta manera

conocer al instante el tipo de ataque que se quiera llevar a cabo, y de ésta

forma impedirlo, es decir, siempre es recomendable estar un paso adelante

del ciberatacante.

51

BIBLIOGRAFÍA

1. CNE. (2015). CONSEJO NACIONAL ELECTORAL. Obtenido de

http://cne.gob.ec/es/institucion/sala-de-prensa/noticias/3618-instituto-de-la-

democracia-continua-con-la-implementacion-del-programa-abc-de-la-

democracia

2. Azzam Mourada, Marc-André Laverdièrea, Mourad Debbabia. 2008. Taylor &

Francis Online. [En línea] 19 de 05 de 2008. [Citado el: 25 de 04 de 2016.]

http://www.tandfonline.com/doi/full/10.1080/19393550801911230.

3. Foundation, The OWASP. 2013. OWASP. [En línea] 2013. [Citado el: 25 de

Abril de 2016.] https://www.owasp.org/images/5/5f/OWASP_Top_10_-

_2013_Final_-_Espa%C3%B1ol.pdf.

4. ISO 27000.ES. (2012). Obtenido de http://www.iso27000.es/sgsi.html#home

5. OWASP. 2016. OWASP. [En línea] 04 de 04 de 2016. [Citado el: 25 de 04 de

2016.] https://www.owasp.org/index.php/SCG_WS_Apache.

6. —. 2016. OWASP. [En línea] 06 de 04 de 2016. [Citado el: 25 de 04 de 2016.]

https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet.

7. CGI (Interfaz de Entrada Común):

https://es.wikipedia.org/wiki/Interfaz_de_entrada_com%C3%BAn

8. DESARROLLO DE APLICACIONES WEB BASADAS EN PHP:

http://www.eresseasolutions.com/tutoriales/desarrollo-de-aplicaciones-web-

basadas-en-php/introduccion/


basadas-en-php/el-browser/


basadas-en-php/las-herramientas/

9. SEGURIDAD PHP - VALIDACIÓN Y FILTRADO:

http://programandolo.blogspot.com/2013/07/seguridad-php-validacion-y-

filtrado-1.html

10. VALIDAR Y SANEAR DATOS EN PHP:

http://web.ontuts.com/tutoriales/validar-y-sanear-datos-en-php/

52

11. SEGURIDAD EN PHP:

http://php.net/manual/es/security.php

12. CWE 2011:

http://cwe.mitre.org/top25/

13. TOP 10 OWASP 2003 - 2013:

https://es.wikipedia.org/wiki/OWASP_Top_10

14. TOP 10 2016 OWASP:

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

15. OWASP PHP:

https://www.owasp.org/images/6/6b/OWASP_Blue_Book-

Educational_Institutions.pdf

https://www.owasp.org/index.php/OWASP_PHP_Security_Project

https://www.owasp.org/images/d/de/OWASP_Green_Book-

Governmental_Bodies.pdf

https://www.owasp.org/index.php/Main_Page

16. OWASP MOBILE:

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project

http://www.guadalajaracon.org/talleres/busqueda-de-vulnerabilidades-en-

aplicaciones-moviles-android/

17. OWASP MOBILE CHECKLIST:

https://drive.google.com/file/d/0BxOPagp1jPHWYmg3Y3BfLVhMcmc/view

18. SQL INYECTION:

http://php.net/manual/es/security.database.sql-injection.php

https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL

53

Trabajos citados

Aguilera Lopez. (2010). Seguridad Informática. En A. López, Seguridad

Informática (pág. 240). Barcelona: Editex.

Alejandro Nieto González. (2011). Android SO. Madrid: El Blog Salmón.

CNE. (19 de 08 de 2016). Consejo Nacional Electoral. Obtenido de Instituto de la

Democracia continúa con la implementación del programa “ABC de la

Democracia”: http://cne.gob.ec/es/institucion/sala-de-

prensa/noticias/3618-instituto-de-la-democracia-continua-con-la-

implementacion-del-programa-abc-de-la-democracia

Dwivedi, H. (2010). Mobile Application Security. En H. Dwivedi, Mobile Application

Security (pág. Cap. 2). McGraw-Hill Education.

ISO 27000.ES. (2012). Obtenido de http://www.iso27000.es/sgsi.html#home

Javier Barroso. (2012). Windows Phone. Obtenido de

http://www.tuexperto.com/2012/05/09/windows-phone-que-es-y-para-que-

sirve/

José Lozada. (2014). Metodologia de la Investigacion. En J. Lozada. Revista de

Divulgación Científica de la Universidad Tecnológica Indoamérica.

Sabino. (1992). Investigacion Explicativa. Obtenido de

http://metodologia02.blogspot.com/p/operacionalizacion-de-variables.html

Víctor Varillas. (2011). Que es y para que sirve IOS. Obtenido de

http://pacmac.es/que-es-y-para-que-sirve-ios/

With Build. (2016). Aspectos Básicos de la Seguridad en Aplicaciones Web.

Obtenido de Unam: http://www.seguridad.unam.mx/documento/?id=17

54

ANEXOS

ANEXO 1

Políticas de Seguridad

Políticas de Seguridad

En la definición de las políticas de seguridad se busca constituir dentro del Consejo

Nacional Electoral un correcto manejo y cultura para así trabajar de una manera

confiable.

Las políticas son para todos los empleados, personal externo, contratistas, entre

otros. Estas políticas son aplicables para los equipos que se instalaron para el

funcionamiento del Portal Web (ABC de la Democracia) y los servicios que se

instalaron en estos ya sea que se utilicen localmente o de forma remota para hacer

uso de los recursos como los servicios, archivos o programas; o dar soporte dentro

de la institución.

Para el desarrollo de las políticas se estructuro de acuerdo al criterio de Seguridad

Lógica.

Red

Ninguna persona puede copiar, alterar, ver o deshacerse de la información

que se aloje en los equipos sin el debido consentimiento de la persona o

personas responsables de los equipos.

Nadie puede hacer uso de los servicios de red en el momento que no

cumplan con las labores propias de la Institución.

Las diferentes cuentas para poder ingresar a los sistemas es propiedad de

la Institución y solo podrá ser utilizada para tareas relacionadas con alguna

labor asignada.

Las cuentas de acceso a los sistemas son totalmente personales y no

pueden ser transferidas. Solo es permitido el uso único y exclusivo durante

la validez de los derechos de un usuario.

La utilización de herramientas de análisis de la red solamente es permitida

por el personal de Sistemas o el Administrador, ayudando así al

fortalecimiento de la seguridad del sistema a través de las Políticas de

Seguridad.

No se admitirá la utilización de herramientas de análisis de

vulnerabilidades para escanear otras redes que sean externas a la

Institución y tampoco se deberá ejecutar análisis de la red desde otros

equipos que se encuentren fuera de la Institución.

En el momento que se llegue a detectar un mal uso de cuentas usuario se

procederá a cancelar la cuenta o desconectar temporalmente o

permanente al usuario; y solo se hará la reactivación cuando se considere

que este mal uso se ha suspendido.

Servidores

El Personal de Soporte Técnico tiene la obligación de comprobar las

configuraciones, implementaciones de seguridad de los servidores.

Toda instalación y configuración de los servidores es responsabilidad del

personal de Soporte Técnico.

Mientras se realice la configuración de los servidores se tiene la obligación

de generar normas para el empleo de recursos del sistema y de la red,

como permisos, restricción de directorios o programas que debe ejecutar

algún usuario.

Si los servidores proveen servicios mediante la red o Internet deberán:

o Funcionar 24 horas del día los 365 días del año.

o Recibir mantenimiento preventivo como mínimo dos veces al año.

o Recibir mantenimiento semestral que incluya depuración de logs.

Toda información debe ser respaldada según los siguientes criterios, como

mínimo:

o Diariamente respaldar información crítica.

o Mensualmente respaldar la configuración del servidor y logs.

El mínimo número de caracteres que puede tener la contraseña es de 8

caracteres o superior, una letra mayúscula como mínimo, dos letras

minúsculas mínimo, mínimo un número y mínimo un carácter especial.

La contraseña no debe incluir como fechas de cumpleaños o nacimiento,

nombres de familiares, teléfonos, palabras fáciles que se encuentran en un

diccionario.

Si el sistema no solicita el cambio de contraseña de forma automática, el

usuario lo debe hacer cada 90 días y no utilizar contraseñas antiguas.

Seguridad de cómputo

El Administrador de Sistema es el único que podrá agregar más medidas de

seguridad que se presenten como daños o robo de la información, entre otros,

además de la instalación de herramientas adicionales para reforzar la

seguridad.

El Administrador de Sistema tiene la responsabilidad de monitorear

continuamente el tráfico de paquetes en la red, de registrar cualquier uso

indebido o de alguna falla que induce problemas en los servicios de la red.

Soporte Técnico

Las siguientes responsabilidades son para el personal de soporte:

Solo se podrá ingresar remotamente a los servidores para dar solución a

los diferentes problemas que se presenten y se deberá hacerlo dando

aviso a la institución.

Dar aviso si se requiere utilizar herramientas de análisis y siempre bajo

supervisión dando aviso de los propósitos y cuáles fueron los resultados

que se obtuvieron.

Realizar respaldos periódicamente de la información de los servidores que

se tenga a cargo ya sea en la nube, servidor remoto o en algún dispositivo.

Actualizar la información, recursos, software y entre otros, de los

servidores siempre y cuando se requiera.

Realizar auditorías de manera periódica y sin previo aviso del sistema,

para constatar si existe archivos que no fueron autorizados,

configuraciones no validas o permisos que no fueron otorgados a los

usuarios.

Procurar siempre dar aviso a superiores acerca de incidentes de seguridad

o cualquier información que se de ayuda para robustecer la seguridad del

sistema.

ANEXO 2

Checklist de

Aplicaciones Móviles

CHECKLIST PARA APLICACIONES MÓVILES

N° ITEM A VERIFICAR PLATAFORMA FUNCIONAMIENTO SI/NO/NA

OBSERVACIÓN

1 Bloqueo de cuentas no se han aplicado todas las comprobaciones dinámicas

2 Aplicación es vulnerable a XSS estático y dinámico

3 Autenticación por alto todas las comprobaciones dinámicas

4 El código es sensible a modificaciones

5 Incluye archivo malicioso en todos los checks dinámicos

6 Controles Fijación de Sesión siempre dinámicos

7 Altos privilegios si todas las comprobaciones dinámicas

8 Se verifican los ataques de SQL Inyection dinámicos

9 El atacante puede pasar por alto la segunda autenticación a nivel de todas las comprobaciones dinámicas

10 La aplicación es vulnerable a la inyección de comandos del sistema operativo si todas las comprobaciones dinámicas

11 Vulnerabilidad del Sistema Operativo a Utilizar

12 Verificar depuraciones realizadas por el sistema móvil

13 Nivel de criptografía a nivel estático

14 Omisión de validación por el lado del cliente de las comprobaciones dinámicas

15 Certificado SSL no válido a nivel de las comprobaciones estáticas

16 Información Sensible se envía como texto sin cifrar a través de red

17 Inadecuado o falta de aplicación de la página Cambiar contraseña si todas las comprobaciones dinámicas

18 Información sensible en archivos de registro de aplicación si todas las comprobaciones dinámicas

19 La información confidencial es enviada como parámetro de cadena de consulta dinámica

20 Modificación de la UR a nivel de las comprobaciones dinámicas

21 Información sensible de volcado de memoria a nivel dinámico

22 Directiva de contraseñas débiles si todas las comprobaciones dinámicas

23 La aplicación es accesible en dispositivo dañado con raíces o cárcel si todas las comprobaciones dinámicas

24 Hacia un Font-Refresh ataque comprueba todos los dinámicos

25 Uso de los Cookies persistentes todas las comprobaciones dinámicas

26 Abrir URL redirecciones son posibles todas las comprobaciones dinámicas

27 Incorrecto manejo de excepciones: en el código de todas las comprobaciones estáticas

28 Aplicación de compilación contiene archivos obsoletos todas las comprobaciones estáticas

29 Certificado no se valida a nivel estático y dinámico

30 Divulgación IP privada a nivel estático

ANEXO 3

OWASP

TOP 10 – 2013

ANEXO 4

CIBERRIESGO

Informe de 2016

ANEXO 6

OWASP MOBILE

CHECKLIST FINAL

2016

ANEXO 7

FOTOS DE DESARROLLO

DEL PROYECTO

ANEXO 8

CRONOGRAMA GENERAL

DE TRABAJO DEL

PROYECTO CNE

CRONOGRAMA GENERAL DE TRABAJO ACTIVIDADES Responsable Marzo Abril Mayo Junio %

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

FASE DE INICIACIÓN 1. Estudio Inicial o Preliminar del Proyecto, Reuniones y

convocatorias para selección del personal

Product Owner X 100

2. Diseño del proyecto, Formación de Grupos de trabajo y

Definición de Roles del Proyecto

Product Owner, PMP X 100

FASE DE PLANIFICACIÓN

3. Revisión y corrección del tutor, Capacitación sobre

proyecto y metodología de desarrollo

Product Owner, PMP,

Scrum Team

X 100

4. Preparación de Ambientes de Desarrollo local

Scrum Team X 100

FASE DE EJECUCIÓN

5. Desarrollo - Login y Registro del Sistema Scrum Team X 100

6. Desarrollo - Menú principal y cartillas Scrum Team X X 100

7. Desarrollo - Test y Recuperación de contraseña Scrum Team X 100

8. Desarrollo - generación de certificado y validaciones Scrum Team X 100

9. Fase de Implementación del ambiente en producción -

Instalación

Scrum Team X 100

10. Fase de Implementación del ambiente en producción Scrum Team X 100

11. Desarrollo - Integración de cambios Scrum Team X 100

12. Fase de Integración y pruebas internas Scrum Team X 100

FASE DE REVISIÓN

13. Fase de Pruebas piloto y en producción Scrum Team X 100

14. Fase de Cambios y mejoras del sistema Scrum Team X 100

15. Fase de capacitación Scrum Team X 100

16. Fase de documentación Scrum Team X 100

FASE DE CIERRE

17. Fase de Entrega del primera versión Scrum Team X 100

18. Elaboración de informe final Product Owner, PMP X 100

ANEXO 9

PLAN DE MITIGACION DE

RIESGOS

PLAN DE MITIGACION DE RIESGOS

ACTIVOS AMENAZAS MEDIDAS VULNERABILIDAD MEDIDAS

Manual Técnico

-Perdida de

documentos

-Mala interpretación

-Control de

documentación

-Datos incompletos

-Mal detallado

-Control de

documentación

Manual de

usuario

-Perdida de

documentos

-Mala interpretación

-Control de

documentación

-Datos incompletos

-Mal detallado

-Control de

documentación

Personal

interno

-Mala administración de

equipos

-Acceso a personal no

autorizado

-Rotación de personal

-Creación de políticas de

seguridad

-Control acceso

biométrico

-Divulgación

de

información

-Falta de

capacitaci

ón

-Mal

ambiente

laboral

-Sanciones

-Capacitaciones

continuas

-Procesos disciplinarios

Página web

-Fuerza Bruta

-Denegación de

servicio

-SQL Injection

-Autenticación fuerte

-Implementación de

IDS

-Buena programación

-

Contraseña

s débiles

-Inestabilidad

-Puertos abiertos

-Políticas de

contraseñas

-Implementación de

firewall

Base de Datos

-SQL Injection

-Denegación de

servicio

-Buena programación

-Implementación de

IDS

-Puertos abiertos

-Inestabilidad

-Mala

administraci

ón

-Implementación de

firewall

-Abuso de permisos

excesivos

Creación de políticas y

verificación periódica

-Definición de

procedimientos e

instructivos

Información de

usuarios

-Alteración

-Fuga de información

-Robo se sesiones

-Cifrado de mensajes

-Restricción de

acceso a la

información

-Acceso no

autorizado

-Malas

configuraciones

del servidor

-Mal desarrollo de

aplicaciones

-Revisión de logs

-Pruebas de la

aplicación

-Pruebas y verificación

del administrador

Servidores

-Capacidad de

almacenamiento

insuficiente

-Servidor mal

configurado

-Planificación de

almacenamiento

-Verificación por el

administrador

-Mal

administración de

File System

-Personal no

capacitado

-Capacitación de personal

periódicamente

Balanceador de

Carga

-Falla de

sincronización

-Mal Monitoreo

-Limitantes de

Hardware

-Apoyo con

herramientas de

monitoreo

-Planificación previa

-Poco control del

sistema

-Personal no

capacitado

-Lentitud en

aplicaciones

-Capacitación de personal

periódicamente

UNIVERSIDAD DE GUAYAQUIL DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB...

Documents

Transcript of UNIVERSIDAD DE GUAYAQUIL DISEÑO E IMPLEMENTACIÓN DE UN PORTAL WEB...