You are on page 1of 72

GUA PARA VALIDAR EL NIVEL DE SEGURIDAD DE

LOS PERMISOS Y USO DE RECURSOS DE UNA APLICACIN


MVIL BAJO PLATAFORMAS ANDROID

CRISTIAN GIOVANNY TORO SNCHEZ


JESS ALFREDO VARGAS CARVAJAL
MARIEN HERNNDEZ VEGA

UNIVERSIDAD CATLICA DE COLOMBIA


FACULTAD DE INGENIERA
PROGRAMA DE ESPECIALIZACIN EN SEGURIDAD EN
REDES
BOGOT D.C.
2015

GUA PARA VALIDAR EL NIVEL DE SEGURIDAD DE LOS


PERMISOS Y USO DE RECURSOS DE UNA APLICACIN MVIL
BAJO PLATAFORMAS ANDROID

CRISTIAN GIOVANNY TORO SNCHEZ


JESS ALFREDO VARGAS CARVAJAL
MARIEN HERNNDEZ VEGA

Trabajo de grado para optar al ttulo de especialista en Seguridad en


Redes.

Director
JOHN VELANDIA
INGENIERO DE SISTEMAS, MSc.

UNIVERSIDAD CATLICA DE COLOMBIA


FACULTAD DE INGENIERA
PROGRAMA DE ESPECIALIZACIN EN SEGURIDAD EN
REDES
BOGOT D.C.
2015

TIPO DE LICENCIA

Nota de aceptacin

______________________________________
______________________________________
______________________________________

______________________________________
Presidente del Jurado

______________________________________
Jurado

______________________________________
Jurado

Bogot D.C., noviembre de 2015.

Dedicatoria
Este trabajo est dedicado a Dios, quien nos supo guiar por el buen camino, dndonos
fuerzas para seguir adelante, y a nuestras familias, por su apoyo permanente e incondicional
en las adversidades para que no desfalleciramos en el intento y culminramos
exitosamente esta etapa de nuestras vidas.

Agradecimientos
Agradecemos primeramente a Dios por las bendiciones recibidas y por permitirnos
compartir esta experiencia de vida; a nuestros padres quienes han sido nuestros precursores
y quienes nos encaminaron por el sendero del conocimiento; a nuestras esposas y esposos
por su amor, paciencia y apoyo incondicional; a nuestros hijos e hijas por ceder el tiempo
de juegos y apapachos.
Agradecemos a nuestros maestros porque nunca dijeron no, porque aclararon
cualquier duda o incertidumbre, porque con su paciencia y dedicacin lograron hacer de
nosotros grandes personas y excelentes profesionales; a la Universidad Catlica de
Colombia por su intensa formacin en valores y por acogernos como en casa.

Abstract

El uso de App mviles dentro de una organizacin, genera nuevos problemas de


seguridad, puesto que existen personas e incluso organizaciones inescrupulosas, que estn
aprovechando las necesidades actuales creadas por la tecnologa y tratan de incorporar
elementos maliciosos en busca de vulnerabilidades dentro de estas aplicaciones con el fin
de obtener, robar o manipular informacin que puede afectar el bienestar de los usuarios u
organizaciones.
Partiendo de lo anterior, el principal reto de este proyecto era generar una gua que
permitiera validar un App mvil determinando su nivel de seguridad, para ello se buscaron
y clasificaron las principales vulnerabilidades de las aplicaciones desarrolladas bajo la
plataforma Android tomando como referencia la norma NIST 800-163, y se enumerarn
algunos controles basados en la norma ISO 27001, con el fin de proveer al usuario una
herramienta que le permita bajo un estndar reconocido, establecer un nivel de seguridad
aceptable y mitigar el riesgo de que ests vulnerabilidades sean explotadas.
La gua tambin tiene como finalidad brindar a las organizaciones un apoyo en sus
procesos de desarrollo y adquisicin de tecnologa mvil, ya que parte desde el
reconocimiento de los requisitos de seguridad que tiene la compaa, apoyo logstico en sus
procesos de validacin y aprobacin/rechazo de una App.
El alcance del proyecto parti de la clasificacin de vulnerabilidades, escogiendo las
vulnerabilidades que se presentan en los permisos y el uso de los recursos de las App
mviles; y se justifica principalmente en la gran importancia que tiene la seguridad de la
informacin para las organizaciones, y como esa seguridad tambin debe ser evaluada en
las App mviles que se usan para apoyar los procesos del negocio, permitiendo que los
usuarios puedan trabajar de manera eficiente, rpida, pero con niveles ptimos de seguridad
para la organizacin y para ellos mismos.
La metodologa usada fue HPVA, ya que enmarca la generacin de proyectos y la
realizacin de la gua generada.
Dentro de los resultados obtenidos esta la caracterizacin de vulnerabilidades y su
clasificacin, que permiti limitar el alcance del proyecto, posteriormente se validaron los
dominios de la norma ISO 27001 para poder encontrar los controles que cubran esas
vulnerabilidades; de estos dos resultados se genera un anexo a la gua propuesta, en donde
hay un cuestionario detallado y graficado, y con recomendaciones para el usuario.
Finalmente se construy un documento gua para poder validar el nivel de seguridad de una
App mvil bajo plataforma Android y se valid en el Ministerio de Medio ambiente.

CONTENIDO

GENERALIDADES

ANTECEDENTES

PLANTEAMIENTO DEL PROBLEMA

1.2.1

Descripcin del Problema.

1.2.2

Formulacin del Problema.

Objetivos

1.3.1

Objetivo general.

1.3.2

Objetivos especficos.

JUSTIFICACIN

DELIMITACIN

MARCO TERICO

10

1.6.1

Norma NIST 800-163.

10

1.6.2

Estadsticas de Seguridad en Dispositivos Mviles. (INTECO, 2012)

10

1.6.3

Crecimiento de Dispositivos en el Mercado.

12

1.6.4

Vulnerabilidades en Aplicaciones Mviles Segn Mcafee.

14

1.6.5

Vulnerabilidad en App Bancarias Segn Karspesky.

16

1.6.6

Vulnerabilidades y Amenazas sobre Android Segn ESET.

20

1.6.7

Desarrollo de aplicaciones App en Android.

23

1.6.8

Vulnerabilidades expuestas en la norma NIST 800-163.

24

1.6.9

Vulnerabilidades expuestas en OWASP.

26

Marco Conceptual

28

Metodologa

33

1.8.1

Tipo de estudio.

33

1.8.2

Fuentes de Informacin.

33

Diseo metodolgico.

34

resultados obtenidos

35

1.10.1

Caracterizacin de Vulnerabilidades.

35

1.10.2

Controles Norma ISO 27001 de 2013.

40

1.10.3

Gua propuesta para validar el nivel de seguridad de una App.

44

Validacin de una App con la gua propuesta.


1.11.1

Informe de Ejecucin de la Gua por parte del Ministerio.

45
48

CONCLUSIONES

53

RECOMENDACIONES

55

BIBLIOGRAFA

56

LISTA DE FIGURAS
pg.

FIGURA 1: REQUERIMIENTOS DE SEGURIDAD NIST SP 800-163 2


FIGURA 2: GOOGLE PARA ANDROID 5
FIGURA 3: EQUIPAMIENTO TECNOLGICO 12
FIGURA 4. MARCAS DE MVILES

13

FIGURA 5. MODO DE ACCESO INTERNET EN EL MVIL. 13


FIGURA 6. USO DE MVIL EN DECISIN DE COMPRA

14

FIGURA 7: MEDIA DE APLICACIONES UTILIZADAS Y TIEMPO POR


PERSONA Y MES 15
FIGURA 8: METODOLOGA PHVA

34

FIGURA 9: CARACTERIZACIN DE VULNERABILIDADES

37

FIGURA 10: VULNERABILIDADES EN PERMISOS Y USO DE RECURSOS


38
FIGURA 11: VULNERABILIDADES DE INTEGRACIN

39

FIGURA 12: VULNERABILIDADES DE AUTENTICACIN 40


FIGURA 13: CARTA DE SOLICITUD PARA VALIDACIN DE GUA

46

FIGURA 14: CARTA DE APROBACIN PARA VALIDACIN DE GUA 47

LISTA DE TABLAS

pg.

TABLA 1: CRITERIOS DE EVALUACIN VULNERABILIDADES 35


TABLA 2: CRITERIOS DE EVALUACIN DE CONTROLES 41
TABLA 3: CONTROLES DE SEGURIDAD EN PERMISOS Y USO DE
RECURSOS 43

LISTA DE ANEXOS
pg.

ANEXO 1: Gua para validar el nivel de seguridad de los permisos y uso de recursos de
una aplicacin mvil bajo plataformas Android.
ANEXO 1.A - CUESTIONARIO ISO 27001.
ANEXO A - CARACTERIZACIN DE VULNERABILIDADES.
ANEXO B - CONTROLES DE SEGURIDAD APP.
ANEXO C - GUA DE SEGURIDAD PARA APP SOBRE ANDROID.
ANEXO D - CUESTIONARIO ISO 27001_APP_PQRSD.

GENERALIDADES

ANTECEDENTES
Los avances tecnolgicos de la nueva era, estn encaminados a disminuir las
distancias, reducir el tiempo y agilizar los procesos; estas tecnologas han tenido una
evolucin bastante rpida en las ltimas dcadas, donde los seres humanos pasaron de
pensar en la automatizacin de los procesos para disminuir la carga laboral a contar con
sistemas para supervisar y controlar las actividades diarias de la labor, entrando en el
mundo de los datos y encontrando en la informacin un activo muy valioso que puede
hacer la diferencia ante la competencia.

Otra parte importante de los avances tecnolgicos, es la seguridad con la que cuentan
los mismos, en primera medida la seguridad fsica para los seres humanos y posteriormente
la seguridad informtica de los sistemas.

Dado a que la seguridad es un punto clave para el aseguramiento de la informacin,


existen normas internacionales que han venido siendo actualizadas y documentadas cada
da con mayor fuerza, para brindar opciones, estudios, mejores prcticas que ayuden a
minimizar o a optimizar el manejo de la seguridad en las App mviles y este ser el motivo
para generar una gua que oriente a un sector especfico, pero que pueda servir de base para
cualquier tipo de aplicacin de este tipo.

La norma NIST 800-163 refiere que mientras las nuevas tecnologas pueden ofrecer
ganancias en productividad y nuevas capacidades, tambin puede presentar nuevos riesgos,
y que por ende los profesionales y usuarios de estas tecnologas deben concientizarse de
estos riesgos y desarrollar planes para mitigarlos o aceptar sus consecuencias (NIST,
2015). La norma tambin brinda informacin que orienta a las organizaciones a tener de
manera clara cmo manejar los procesos de validacin de la seguridad en las aplicaciones
mviles, tambin indica requisitos para el desarrollo de la seguridad en dichas aplicaciones
y finalmente ayuda a que se defina si la aplicacin es realmente confiable y segura para
poder desplegarse en dispositivos mviles.

Figura 1: Requerimientos de seguridad NIST SP 800-163

Fuente: (NIST, 2015)


2

La Figura 1, muestra el contexto de seguridad para una aplicacin mvil y que son
lineamientos a tener en cuenta a la hora de implementar o adquirir dichas aplicaciones. El
crecimiento reciente en el despliegue de aplicaciones mviles en las organizaciones con el
fin brindar mejor acceso y eficacia en sus procesos y en sus negocios, han permitido que la
productividad crezca constantemente; mantener conectados a los empleados de las
organizaciones en todo momento, permitindoles herramientas que en cualquier instante de
tiempo, desde cualquier lugar geogrfico y sin lmite de cobertura, puedan utilizar desde su
dispositivo Celular Android ofrece altos niveles de rendimiento.

Pero estos beneficios mencionados traen consigo limitantes y graves problemas de


seguridad que pueden causar grandes prdidas de informacin en las organizaciones, esto
debido a que las vulnerabilidades siempre estn presentes en cualquier medio tecnolgico,
lo que permite que estas aplicaciones mviles puedan ser susceptibles a ataques perpetrados
por personas sin escrpulos que buscan beneficiarse con estos o simplemente causar daos.

(NIST, 2015) establece que para ayudar a mitigar los riesgos asociados a las
vulnerabilidades de las aplicaciones, las organizaciones deben desarrollar niveles
adecuados de seguridad, por ejemplo, como se deben asegurar los datos utilizados por una
aplicacin, el entorno en que se implementara esta, y el nivel de riesgo aceptable para una
aplicacin (NIST, 2015). Para ayudar a asegurar que una aplicacin se ajusta a dichos
requisitos, se debe realizar un proceso de seleccin de aplicaciones; precisamente por este
3

motivo el presente proyecto tiene como base de trabajo esta norma, pues brinda
informacin necesaria para poder llegar a generar un documento que sirva de gua a las
organizaciones que manejen aplicaciones mviles. Un proceso de seleccin de aplicaciones
comprende dos actividades principales: la prueba de aplicaciones y aplicaciones de
aprobacin/rechazo.

La prueba de aplicaciones tiene que ver con la verificacin que se ejecute sobre estas
para determinar si existen vulnerabilidades que comprometan la seguridad de la
informacin y as generar informes que permitan comenzar a validar los mtodos de gestin
del riesgo y la aprobacin/rechazo de las aplicaciones (NIST, 2015). Lo cual implica hacer
una revisin de estos informes generados en el paso anterior para determinar si la App
cumple los requisitos de seguridad necesarios.

La tecnologa Android indica que para Para poder comprender qu nivel de


seguridad puede alcanzar en una aplicacin Android, por un lado, hay que conocer la
potencia de las herramientas de anlisis y, por otro, lado hay que saber cmo quiere Google
que se desarrollen las aplicaciones sobre su plataforma para que sea suficientemente segura
para el usuario (Rubio, 2012). Google ofrece en Android developers, su web de referencia
para desarrolladores, manuales de diseo, implementacin y pruebas. Tambin, propone
una serie de indicaciones que consideran buenas prcticas de desarrollo de productos
Android.

Las ms grandes organizaciones de tecnologa cuentan con aplicaciones mviles


permitiendo movilidad y fcil acceso, es as como Google tambin brinda informacin
sobre diseo, implementacin y pruebas para verificar que las aplicaciones tienen un
ptimo nivel de funcionalidad y de esta forma realizar una mitigacin del riesgo para evitar
la prdida de informacin que las vulnerabilidades permiten, logrando detectar si se han
llevado a cabo las mejores prcticas de diseo.

Figura 2: Google para Android


GOOGLE FOR WORK ANDROID
Garantizar la Compatibilidad
con Perfiles Gestionados
Aprendan como hacer que sus
aplicaciones funcionen
correctamente en un entorno
corporativo, siguiendo algunas
de las mejores practicas

La implementacin de
Restricciones App
Aprenda como implementar
restricciones de aplicaciones y
opciones de configuracin que se
puede cambiar por otras
aplicaciones en el mismo
dispositivo
App RestrictionSchema
App Restriccin Enforcer
Este ejemplo muestra como
Este ejemplo muestra como
utilizar las restricciones de
establecer restricciones a otras
aplicaciones.
aplicaciones como propietario de
Esta aplicacin cuenta con una un perfil. Use muestra
restriccin booleano con una
AppRestrictionEnforcer como una
can_Say_Hello clave que
aplicacin con restricciones
define si la nica caracterstica disponibles
de esta aplicacin (pulse el
mensaje para mostrar el
mensaje Hola) esta activado
o desactivado.
La Construccin de una Policy
Controller Trabajo
Aprenda como desarrollar un
controlador de las actividades
de poltica para crear y
administrar un perfil
gestionado en el dispositivo
de un empleado

Basic Managed Profile


Este ejemplo muestra como crear
un perfil gestionado. Tambin
puede aprender, activar o
desactivar otras aplicaciones y
como establecer restricciones a
los mismos. Intenciones se
pueden configurar para ser
remitido entre la cuenta principal
y el perfil gestionado.

Fuente: (Rubio, 2012)

La
Figura 2, muestra como Android tambin ofrece unos lineamientos mnimos de
seguridad a tener en cuenta, este repertorio de recomendaciones es ofrecido para que sean
los desarrolladores los que decidan las medidas ms convenientes para su aplicacin; Por
supuesto, Android cuenta con una serie de medidas a nivel de sistema operativo: Sandbox,
Marco de aplicacin de Android, Sistema de cifrado del sistema de ficheros entre otros.
(Rubio, 2012). Estas son apenas unas de las pocas medidas que se deben implementar para
probar las aplicaciones y asegurarse de que se ha minimizado el riesgo de que estas sean
vulneradas.

PLANTEAMIENTO DEL PROBLEMA


1.2.1

Descripcin del Problema.


Los antecedentes de seguridad mencionados conllevan a pensar en la necesidad de

revisar el nivel de seguridad que ofrecen las App, an ms si se usan a nivel corporativo, ya
que estas tienen conexin directa con otras aplicaciones y redes internas de la organizacin.

As mismo los usuarios que acceden a estas aplicaciones, al ser corporativos,


normalmente ingresan con su usuario y contrasea de red, ya que esta sesin les permite
tener acceso segn su perfil dentro de la organizacin, pero si la seguridad en los permisos
de estas App es amplio ser blanco fcil de posibles ataques en busca de vulnerabilidades
que puedan ser explotadas.

1.2.2

Formulacin del Problema.


En la actualidad las aplicaciones mviles a nivel corporativo son un apoyo importante

a las actividades diarias del negocio y una exigencia del mercado, la necesidad de procesos
que permitan transaccionalidad, consulta y registro desde un dispositivo mvil se hace una
necesidad vital, obligando a las organizaciones a desarrollar o adquirir aplicaciones mviles
que les permitan dar solucin a las necesidades de sus usuarios y a la vez generar diferencia
competitiva.

Teniendo este precedente optamos por la siguiente pregunta de investigacin: Cmo


validar el nivel de seguridad en los permisos, de una aplicacin mvil usada sobre
plataforma Android en las empresas?

OBJETIVOS
1.3.1

Objetivo general.
Elaborar una gua para validar el nivel de seguridad de una aplicacin mvil para

plataformas Android.

1.3.2

Objetivos especficos.

Caracterizar las vulnerabilidades que tienen las aplicaciones mviles para


plataforma Android, tomando como base la norma NIST 800-163.

Extraer los controles del estndar ISO 27001-2013, que apliquen a las
vulnerabilidades de las aplicaciones mviles para plataforma Android
caracterizadas.

Generar documento gua para validar el nivel de seguridad de una aplicacin


mvil para plataformas Android.

Validar la gua desarrollada, para determinar el nivel de seguridad de la App


PQRSD (Quejas, Reclamos, Sugerencias y Denuncias) en el Ministerio de
Ambiente y Desarrollo Sostenible.

JUSTIFICACIN
La justificacin de este proyecto de grado, se sustenta principalmente en la gran
importancia que tiene la seguridad de la informacin para las organizaciones y como esa
seguridad tambin debe ser evaluada en las App mviles que se usan para apoyar los
procesos del negocio, permitiendo que los usuarios puedan trabajar de manera eficiente,
rpida, pero con niveles ptimos de seguridad para la organizacin y para ellos mismos.

Partiendo de lo anterior, es que este proyecto de grado busca dar solucin a esta
necesidad, proponiendo una gua que permita validar la seguridad de una App en una
organizacin.

El resultado de esta investigacin ser de gran utilidad para los especialistas en


seguridad en redes de informacin, y las empresas interesadas en verificar y validar los
niveles de seguridad de las App en sus organizaciones, ya que los proveer de
8

conocimientos y mecanismos que les permitan garantizar unos niveles confiables de


seguridad, y para los usuarios finales que son los directamente involucrados, les proveer
una perspectiva ms clara de los niveles de seguridad que tiene la aplicacin que tienen
instalada en sus dispositivos mviles.

DELIMITACIN
El propsito de esta investigacin es generar un mecanismo gua que permita a una
organizacin, validar en cualquier instante la seguridad de una aplicacin mvil usada bajo
dispositivos Android, aplicando la norma ISO 27001; a las vulnerabilidades que apliquen a
los permisos y al uso de recursos.

La investigacin utilizar como apoyo las normas ISO 27001 y NIST 800-163, se
ejecuta con el propsito principal de generar una gua, para validar el nivel de seguridad de
una aplicacin mvil bajo plataformas Android, contemplada para entornos
organizacionales, donde sea posible establecer el nivel de seguridad de las aplicaciones,
mediante la validacin de vulnerabilidades posibles encontradas en las App que quieran ser
lanzadas a produccin y de esta manera poder realizar una gestin adecuada sobre estas,
para llegar a obtener un cumplimiento de los objetivos de manera eficaz y eficiente en las
organizaciones hacia las cuales est orientada la gua propuesta.

MARCO TERICO
1.6.1

Norma NIST 800-163.


Esta norma permite ayudar a las organizaciones a entender el proceso de verificacin

de la seguridad de las aplicaciones mviles, ejecutar un plan para la implementacin de un


proceso de aplicacin de investigacin de antecedentes, tener en cuenta los requisitos para
el desarrollo de la seguridad de aplicaciones, entender los tipos de vulnerabilidades a las
que se enfrentan las App y los mtodos de prueba utilizados para detectar dichas
vulnerabilidades, as como determinar si una aplicacin es aceptable o no para desplegarla
en los mviles de la organizacin.

1.6.2

Estadsticas de Seguridad en Dispositivos Mviles. (INTECO, 2012)


En un estudio realizado en el 2011, en donde se realizaron 2.405 entrevistas online (en

PC), muestra que casi la totalidad de los usuarios dispone de telfono mvil convencional,
y en el caso del Smartphone el porcentaje de encuestados que posee este tipo de terminal
inteligente se sita en un 50,3%.

Por otro lado el porcentaje de usuarios que utiliza su Smartphone para acceder al
correo electrnico, se sita en el 2 cuatrimestre de 2011 en un 64,9%, este porcentaje es
similar al de aquellos que lo utilizan para realizar descargas de programas o aplicaciones
(que llega hasta el 64,5%).

10

Adems, una amplia mayora (91,2%) lleva a cabo el buen hbito de seguridad de
realizar las descargas de programas o aplicaciones desde sitios oficiales (como por ejemplo
AppStore de Apple o Android Market de Google).

Segn esta informacin estadstica, se puede observar que el creciente nmero de


personas que usan dispositivos mviles y que utilizan aplicaciones mviles tratan de
realizar dichas descargas de sitios confiables, lo que permite que los niveles de seguridad
estn siendo atractivos para las personas en general y que la conciencia en los individuos
est siendo bien orientada.

As mismo en este estudio, declaran en cuanto a incidentes de seguridad, que en el 2


cuatrimestre de 2011, un 67,4% no ha sufrido ninguna incidencia de seguridad (y en
aumento con respecto a los datos de la media mvil del ltimo ao). En segundo lugar se
sita la sustraccin del telfono, con un 14,8%. Con porcentajes inferiores se encuentran
incidencias como haber sufrido fraude (6,6%) o haber sido infectado por cdigo malicioso
(2,9%). (INTECO, 2012)

Aplicaciones mviles existen muchas y para todos los entornos que se deseen, las
cuales pueden ser de entretenimiento, productividad, transferencia de informacin y en fin
de cualquier tipo; y teniendo en cuenta las estadsticas mencionadas es preciso cumplir con
una serie de pruebas, validaciones y mejores prcticas, para garantizar que al utilizar las
App, realmente va a ser beneficioso y no se van a generar ms riesgos para el usuario.
11

1.6.3

Crecimiento de Dispositivos en el Mercado.


La Figura 3, muestra cual es la tendencia al uso de dispositivos, crecen Tablet y TVi,

Tablet vuelve a ser protagonista con un crecimiento de 14 puntos porcentuales, al igual que
los TVs con internet integrado, ambos dispositivos muestran crecimientos significativos en
comparacin al 2013. (Interactive Advertising Bureau - IAB, 2014)
Figura 3: Equipamiento Tecnolgico

Fuente: (Interactive Advertising Bureau - IAB, 2014)

Tambin se puede observar en Figura 4, como el dominio de Samsung y Android


prevalece, Apple recupera la segunda posicin en el rnking en detrimento de Sony, HTC
pierde el 50% de su cuota; Windows supera a Blackberry. (Interactive Advertising Bureau IAB, 2014)

12

Figura 4. Marcas de Mviles

Fuente: (Interactive Advertising Bureau - IAB, 2014)

En el estudio que realiz la empresa IAB, tambin muestra cmo se consolida el


acceso va App tras 2 aos de rpido crecimiento tanto en Tablet Como Mvil. La Figura 5
permite observar que la tendencia de los usuarios es a usar App desde sus dispositivos y no
el navegador.

Figura 5. Modo de acceso Internet en el mvil.

Fuente: (Interactive Advertising Bureau - IAB, 2014)


13

Al incrementar el uso de dispositivos mviles y con ellos el uso de Apps, tambin una
tendencia creciente son las comprar online, como lo ilustra la Figura 6, de cada 10
internautas mviles, 9 han usado en alguna ocasin el Smartphone en el momento de
decidir una compra. Hoy en da el e-commerce se considera algo habitual, en donde se
pueden adquirir toda clase de productos, an ms ya existen varios almacenes que han
creado sus propias App para brindar al usuario nuevas opciones para comprar. (Interactive
Advertising Bureau - IAB, 2014)

Figura 6. Uso de mvil en decisin de compra

Fuente: (Interactive Advertising Bureau - IAB, 2014)

1.6.4

Vulnerabilidades en Aplicaciones Mviles Segn Mcafee.


Millones de usuarios de aplicaciones para mviles siguen expuestos a

vulnerabilidades relacionadas con SSL/TSL (Mcafee, 2015)

14

Segn un estudio de McAfee de 2.015 como se ilustra en la Figura 7, en el que


participaron cerca de 5.000 usuarios de Smartphone, el nmero de apps que utiliza el
usuario tpico en el transcurso de un mes pas de 23 en 2011 a 27 en 2013. Y lo que es ms
importante, el tiempo empleado utilizando esas aplicaciones aument en un porcentaje an
mayor. Durante el mismo perodo de dos aos, el tiempo que dedican los usuarios de
Smartphone a las aplicaciones mviles aument un 65 %, pasando de 18 horas al mes en
2011 a ms de 30 en 2013. La gente es ahora ms dependiente de las aplicaciones mviles y
estas aplicaciones son cada vez ms atractivas.

Figura 7: Media de aplicaciones utilizadas y tiempo por persona y mes

Fuente: (Mcafee, 2015)

Los consumidores (as como para los desarrolladores de apps comerciales y sus
clientes), plantean problemas de seguridad y privacidad difciles de solucionar. Algunos de
15

ellos son el resultado de la accin de desarrolladores de aplicaciones demasiado agresivos o


de las redes de publicidad que incorporan en sus aplicaciones. Por ejemplo, los juegos
pertenecen a la categora ms popular de la tienda de aplicaciones de Apple, pero al mismo
tiempo es tambin la ms utilizada para actividades maliciosas, segn el McAfee Mobile
Security Report (Informe de McAfee sobre seguridad para dispositivos mviles) de febrero
de 2014. Aunque parezca increble, hasta el 82 % de las aplicaciones para mviles registran
cundo se utilizan redes de datos y Wi-Fi, cundo est encendido el dispositivo, cul es su
ubicacin actual y anterior, y en la mayora de los casos, al instalar las aplicaciones los
usuarios aceptan compartir esa informacin. (Mcafee, 2015)

1.6.5

Vulnerabilidad en App Bancarias Segn Karspesky.


La empresa karspersky, tambin alerta sobre Vulnerabilidades en las apps bancarias

de iOS.

Un gran nmero de aplicaciones bancarias para iOS, muy utilizadas por los clientes de
las entidades financieras ms conocidas de todo el mundo, contienen vulnerabilidades que
exponen a los usuarios al robo de datos y a la violacin de sus cuentas (IOACTIVE LABS,
2014). De hecho, si los cibercriminales supieran de estas vulnerabilidades, podran
monitorizar el comportamiento de los usuarios a travs de ataques Man-in-the-Middle,
entrar en sus cuentas mediante hacking y provocar problemas en la memoria que
acarrearan el colapso del sistema y el robo de datos.

16

La empresa karspersky, examin 40 aplicaciones mviles pertenecientes a los sesenta


bancos ms importantes del mundo. Entre otros aspectos, Sanchez analiz la seguridad de
los mecanismos de transferencia datos, la interfaz de usuario, los procesos de
almacenamiento datos y otras cuestiones ms tcnicas como compiladores y cdigos
binarios.

Alguien con la habilidad adecuada podra utilizar esta informacin para encontrar
otras vulnerabilidades y luego podra desarrollar un exploit o un malware que
comprometiese los datos del usuario de las aplicaciones bancarias afectadas, ha afirmado
Snchez. Se trata del primer paso hacia una potencial amenaza de seguridad.

Lo ms preocupante, (IOACTIVE LABS, 2014) es que durante el anlisis esttico de


cada aplicacin, se encontraron muchas credenciales incrustadas en los cdigos binarios. Es
decir, muchas aplicaciones bancarias contenan claves maestras fcilmente visibles, que
permitiran el acceso a las infraestructuras de las aplicaciones. Desafortunadamente, los
cibercriminales tambin podran acceder a dicha informacin.

Se podra explotar este tipo de vulnerabilidad para acceder a la infraestructura de las


aplicaciones bancarias e infectarlas con malware, consiguiendo atacar a los clientes que las
utilizan, ha afirmado Snchez. (Karpesky Lab Zao, 2014)

17

La meta, era realizar una caja negra y un anlisis esttico de los apps mviles
mundiales de las actividades bancarias caseras. La investigacin utiliz los dispositivos de
iPhone/iPad para probar un total de 40 apps de las actividades bancarias caseras de los 60
bancos ms influyentes superiores del mundo.

Una vez realizadas dichas pruebas se obtuvo que el 40% de los apps revisados no
validaron la autenticidad de los certificados del SSL presentados, y tambin Algunos apps
(menos el de 20%) no tenan ejecutable independiente de la posicin (PIE) y no compilaron
para separar las cookies y las sesiones. Esto poda ayudar a atenuar el riesgo de los ataques
de la corrupcin de la memoria. (IOACTIVE LABS, 2014)

Con el fin de minimizar el impacto de lo que implica instalar una aplicacin mvil
dentro de las organizaciones; ste trabajo de investigacin busca analizar estndares de
seguridad orientados a verificar y validar los niveles de seguridad con los que cuenta una
aplicacin mvil.

Complementando lo anterior, uno de los principales procesos vulnerados en las


aplicaciones mviles son Los procesos de autenticacin de usuarios y que son
definitivamente el rea ms atacada y problemtica de una aplicacin web cuando se trata
de seguridad. De estos procesos y sus relacionados depende en gran parte la seguridad de
los usuarios y de la aplicacin bajo cualquier punto de vista, por lo que nunca sobra

18

cualquier medida de seguridad, que podamos tomar para proteger este rea de cuya
vulnerabilidad, o fuerza depende en gran medida el xito del sistema (Maulini R., 2013).

Debe haber un proceso que normalmente indique los pasos a seguir para tener claro
que una aplicacin es segura y que cualquier organizacin podra disponer de ella para
mejorar su productividad; en este mismo artculo se mencionan algunos pasos para cubrir la
necesidad de seguridad en las aplicaciones mviles, y dada su importancia se mencionaran
a continuacin:

Maulini tambin afirma que hay que asegrese de que todas las secciones de la
aplicacin que requieran autenticacin estn realmente cubiertas por el componente de
autenticacin y que la autenticacin no pueda ser dejada de lado por ataques de fuerza bruta
al recurso y da una serie de recomendaciones, que se mencionaran ya que hacen parte la
mitigacin a los riesgos funcionales que se pueden presentar en una aplicacin mvil.

No utilice identificacin personal o informacin de credenciales, En realidad no


son secretas, y exponer su negocio a la responsabilidad de almacenarlas no es buena
poltica.

Se debe utilizar HTTPS para proteger las transacciones de autenticacin contra el


riesgo de ataques de escucha, MIM y repeticin.

De la incorrecta verificacin y validacin de las entradas de datos depende un gran


abanico de tipos de ataque a su aplicacin web. La inyeccin SQL, inyeccin de
19

scripts, y la ejecucin de comandos se pueden prevenir si la validacin de entradas


de datos se realiza correctamente.

Asegrese de que los "token" de autenticacin de seguridad como el de


identificacin de sesin no sean fcilmente predecibles y que se generan mediante
nmeros pseudo aleatorios fuertes que no sean sencillos de adivinar mediante
procesos estadsticos.

No genere identificadores de sesin antes de completar el proceso de la


autenticacin (el servidor siempre debe generar estos valores), y siempre un genere
un nuevo identificador de sesin aleatorio por cada autenticacin exitosa.

No se olvide fortalecer los sistemas de gestin de identidad como por ejemplo el de


registro de cuenta y los procedimientos de actualizacin de datos y credenciales, los
fallos en estos sistemas permiten pasar por alto los controles de autenticacin por
complejos y eficientes que estos sean (Maulini R., 2013).

Hay que tener en cuenta que los pasos anteriores son apenas algunos de los mltiples
que se pueden aplicar dependiendo del tipo de aplicacin y de muchos factores que hacen
que las aplicaciones sean diferentes; se debe conocer que para lograr mitigar el riesgo de
vulneracin de las aplicaciones, es necesario siempre ejercer controles permanentes.

1.6.6

Vulnerabilidades y Amenazas sobre Android Segn ESET.


Informacin validada en un estudio desarrollado por ESET indica que Android es un:

Sistema operativo mvil desarrollado por Google lanzado en 2007. Su capacidad de


20

funcionar en distintos dispositivos y la gran cantidad de aplicaciones que estn disponibles


para ste lo hace una de las opciones ms utilizadas y a la vez ms atacada por los ciberdelincuentes., es por esta razn que se decide hacer validacin sobre este tipo de sistema
operativo, a sabiendas de que es el que los delincuentes ciber espaciales desean atacar de
manera constante, dado a sus caractersticas.

En este mismo informe ESET expone que el xito en la propagacin de cualquier tipo
de amenaza informtica (exceptuando la prdida del telfono) radica principalmente en las
estrategias de Ingeniera Social que el cibercriminal utilice.

Para este tipo de dispositivos es comn que se usen temticas especficas para este
segmento como troyanos que se expanden con la excusa de ser algn determinado juego
mvil, o incluso se han llegado a reemplazar cdigos QR legtimos por otros que no lo son,
para dirigir al usuario a un sitio que descarga alguna clase de cdigo malicioso. (ESET,
2014),

De esta manera y teniendo en cuenta la informacin suministrada por ESET, es


necesario brindar una concienciacin muy fuerte a los usuarios de la organizacin, que
permita ver en el presente, los alcances futuros que pueden acarrear el no hacer el uso
adecuado de las App mviles, y as los riesgos se puedan minimizar.

21

Informacin adicional en el informe ESET muestra que una de las funciones ms


atractivas y utilizadas por los usuarios de estos dispositivos es la capacidad de comprar
productos, contratar servicios y realizar transacciones bancarias en lnea. Aunque esta
caracterstica indudablemente facilita la vida cotidiana de las personas, tambin puede
transformarse en un problema grave si no se adoptan las medidas de seguridad necesarias.

Ya se han reportado varios casos de cdigos maliciosos mviles que roban


informacin sensible de este tipo. (ESET, 2014), esta es una de las App crticas que
pueden afectar los intereses de los usuarios finales y con las cuales se debe tener definido
una correcta utilizacin y validacin de las vulnerabilidades y posibles ataques que esta
reciba, pues de no hacerlo se incurre en prdidas fuertes para los usuarios finales y
dependiendo del tipo de aplicacin, para la organizacin.

El trabajo desarrollado pretende darle los pasos necesarios a la organizacin y a los


usuarios para que definan el nivel de seguridad que la App desarrollada para esta, y de esta
manera tener claro si el riesgo es alto o aceptable, y si es posible ponerla en produccin sin
ningn problema que afecte la productividad de la empresa.

22

1.6.7

Desarrollo de aplicaciones App en Android.


Cada proceso en Android constituye lo que se llama un cajn de arena o sandbox1,

que proporciona un entorno seguro de ejecucin. Por defecto, ninguna aplicacin tiene
permiso para realizar ninguna operacin o comportamiento que pueda impactar
negativamente en la ejecucin de otras aplicaciones o del sistema mismo. Por ejemplo,
acciones como leer o escribir ficheros privados del usuario (contactos, telfonos, etc.), leer
o escribir ficheros de otras aplicaciones, acceso de red, habilitacin de algn recurso
hardware del dispositivo, etc., no estn permitidas. (ESET, 2014).

Lo anterior, deja claro que los procesos de desarrollo en Android, para la


implementacin de App cuentan con un buen nivel de seguridad, pero ha de tenerse en
cuenta que los desarrolladores tienen autonoma al momento de aplicar las directrices de
seguridad y hacer que estos procesos seguros no se cumplan.

Este punto es de resaltar en el proyecto, ya que la autorizacin de permisos es una de


las vulnerabilidades ms crticas.

Sandbox es una especie de aislamiento de procesos para poder ejecutar varios programas con

seguridad ya que controla los recursos proporcionados a cada programa

23

1.6.8

Vulnerabilidades expuestas en la norma NIST 800-163.


La norma NIST 800-163, junto con otros informes que estudian la seguridad de las

aplicaciones mviles como el realizado por Hewlett-Packard (2013) la OWASP, encuentran


una serie de vulnerabilidades en las aplicaciones mviles como son:

Vulnerabilidades en Pruebas de software


-

Problemas de privacidad

Falta de proteccin binaria

Almacenamiento inseguro de datos

Falencias de seguridad en el trasporte de los datos

Pobres controles del lado del servidor

Vulnerabilidades en Requisitos de seguridad de la organizacin


-

No tener requisitos de seguridad en la organizacin

No contar con un anlisis de riesgos /aplicaciones mviles

No contar con clasificacin de activos

No contar con clasificacin de informacin

Vulnerabilidades en Pruebas de Correccin


-

Ejecucin de un programa con la intencin de encontrar errores en la


App y detectar las vulnerabilidades

Falla en la funcionalidad para la cual la App ha sido diseada

App muestra un comportamiento variable e inesperado

Vulnerabilidades en Cdigo Fuente Versus Cdigo Binario


24

Acceso al cdigo fuente

Involucrar personal con poca capacidad tcnica y experiencia para


realizar revisiones de cdigo fuente en busca de vulnerabilidades

Vulnerabilidades en Anlisis Esttico Vs Anlisis Dinmico


-

Implementacin de anlisis dinmicos o estticos mal dirigidos

No utilizar los tiempos adecuados y suficientes para realizar el anlisis


de la conducta de las App, por ejemplo para identificar como esta
interacta con los recursos externos y las peticiones de informacin que
pueda requerir

Vulnerabilidades en Resultados Compartidos


-

No hacer uso de los repositorios de informacin donde se encuentra


informacin clara de vulnerabilidades comunes como son: NVD (The
National Vulnerability Database), SCAP (Security Content Automation
Protocol), CAPEC (Common Attack Pattern Enumeration and
Classification).

Vulnerabilidades en Rechazo o Aprobacin de la App


-

Realizar la auditoria del informe arrojado por los analizadores, con


personal que no tenga la experiencia y el conocimiento necesario

Utilizar solo un auditor para validar la informacin del analizador

Los auditores no tienen la capacidad de interpretar diferentes informes


generados por los analizadores o interpretan mal la informacin obtenida
por estos.
25

Apndice A - Vulnerabilidades (NIST, 2015)


-

Respecto al anlisis de riesgos, es posible que no se haga adecuadamente

Incurrir en no hacer documentacin de los controles de seguridad de


hardware del dispositivo

Niveles de seguridad errados o con falencias de seguridad en la


infraestructura de la organizacin

No Identificar posibles riesgos de seguridad y privacidad en la


infraestructura de la organizacin.

Falta de capacitacin al personal de la organizacin o en su defecto las


personas que vayan a utilizar las aplicaciones.

Falencias en los tneles VPN por donde las aplicaciones deben


transportar la informacin

Actualizaciones de las aplicaciones sin controles de confidencialidad,


integridad y disponibilidad.

1.6.9

Vulnerabilidades expuestas en OWASP.


As mismo OWASP2 (Open Web Application Security Project) estableci un ranking

de 10 principales vulnerabilidades para el ao 2013, las cuales son:

OWASP (Proyecto abierto de seguridad de aplicaciones web)


26

Debilidad de los controles del lado del servidor: corresponde a las inyecciones
de cdigo.

Almacenamiento inseguro de datos: se trata mayormente de dispositivos


mviles perdidos y/o robados.

Proteccin insuficiente en la capa de transporte: Si la codificacin de dicha


aplicacin es dbil, existen diversas tcnicas para visualizar datos sensibles
mientras viajan entre el cliente y el servidor.

Fuga de datos no intencionada: No se pueden controlar cambios y/o fallas que


estn por fuera de sus aplicaciones.

Pobre autorizacin y autenticacin: autoguardado de contraseas

Criptografa rota: mtodos de encriptacin de datos se vuelve una prctica casi


obsoleta. Crear y utilizar su propio algoritmo de encriptacin y utilizar
algoritmos.

Inyeccin del lado del cliente: atacante que inyectan exploits sencillos a las
aplicaciones mviles.

Decisiones de seguridad a travs de entradas no confiables: la aplicacin mvil


debera permitir solamente comunicacin con otras aplicaciones confiables.

Manejo de sesin incorrecto: validar la sesin a nivel servidor y no solamente a


nivel cliente, establecer un tiempo de expiracin de sesin o la creacin de
tokens seguros.

Falta de proteccin a nivel binario: programa a nivel binario y no est protegido


puede ser atacado
27

MARCO CONCEPTUAL
Tecnologa Mvil: La tecnologa mvil bsicamente en su concepto es la conexin
que pueden tener dispositivos y a su vez las personas sin utilizar medios almbricos de
conexin donde el medio es el aire y este transmite la informacin mediante ondas
electromagnticas; tiene mucho tiempo de estar en funcionamiento, dado a que se buscan
simplificar las actividades diarias para agilizar los procedimientos que diariamente
queremos o necesitamos desarrollar.

Android: ms que un sistema operativo, representa toda una pila de software para
dispositivos mviles que incluye gran cantidad de drivers, gestor de bases de datos, una
completa framework de aplicaciones, y numerosas aplicaciones de usuario. Android est
basado en el ncleo de Linux y todas sus aplicaciones se escriben en lenguaje Java,
disponiendo adems de una mquina virtual especfica llamada Dalvik.

Seguridad de la Informacin: La Seguridad de la Informacin tiene como objetivo


proteger la informacin de los datos y trata de mitigar la pedida y modificacin de los
mismos; son medidas tcnicas, organizativas y legales que permiten a cualquier
organizacin asegurar los pilares fundamentales de este concepto como son,
confidencialidad, integridad y disponibilidad de cualquier sistema de informacin. (calidad,
2015)

28

Seguridad en Android: En Android cada aplicacin se ejecuta en su propio proceso.


La mayora de las medidas de seguridad entre el sistema y las aplicaciones deriva de los
estndares de Linux 2.6, cuyo kernel, recurdese, constituye el ncleo principal de Android;
Cada proceso en Android constituye lo que se llama un cajn de arena o sandbox, que
proporciona un entorno seguro de ejecucin.

Aplicacin Mvil: Es un programa diseado y desarrollado segn las necesidades


requeridas para el usuarios, el cual se puede descargar e instalar y al que puede acceder
directamente desde su dispositivo mvil que soporte estas. (ITU, 2009)

NIST 800-163: Es una norma responsable del desarrollo de las normas y directrices de
seguridad de la informacin, incluyendo requisitos mnimos para los sistemas de
informacin federales de los EE UU; este documento permite a las organizaciones entender
los procesos de verificacin de la seguridad de las aplicaciones mviles, el plan para la
implementacin de un proceso de aplicacin de investigacin de antecedentes, los
requisitos para el desarrollo de las aplicaciones de manera segura, entender los tipos de
vulnerabilidades que pueden afectas estas aplicaciones y determinar finalmente si una
aplicacin es aceptable o no para entrar en produccin en una organizacin. (NIST, 2015)

ISO 27001: Es una norma internacional presentada por la Organizacin Internacional


de Normalizacin (ISO) y la cual describe la manera de gestionar la seguridad de la

29

informacin en cualquier tipo de organizacin con o sin fines de lucro, privada o pblica,
pequea o grande. (Agustn Lpez Neira, s.f.)

Sandbox: Un Sandbox es entorno de pruebas donde se puede trabajar una aplicacin


mvil App, de tal manera que se puedan detectar las vulnerabilidades que esta presenta con
el fin de evitar cambios en el equipo que podran llegar a ser perjudiciales o simplemente de
difcil reversin. El concepto de Sandbox es muy amplio ya que abarca muchos mbitos,
como por ejemplo desarrollo web, wikis o servicios web. (Salesforce , 2015)

Cifrado: La prctica de la codificacin y decodificacin de datos se conoce como


"cifrado". Cuando los datos se cifran, significa que se aplic un algoritmo para codificarlos,
de modo que ya no estn en su formato original y, por lo tanto, no se pueden leer. Los datos
solo se pueden decodificar a su forma original aplicando una determinada clave de
descifrado. (Kaspersky, 2015)

Vulnerabilidades: Punto o aspecto del sistema o sus aplicaciones que es susceptible de


ser atacado o de daar la seguridad del mismo. Representan las debilidades o aspectos
falibles o atacables en un sistema informtico. (Wordpress, 2013)

Amenazas: Posible peligro para el sistema. Puede ser una persona (hacker), un
programa (virus, caballo de Troya), o un suceso natural o de otra ndole (fuego, inundacin,

30

etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del
sistema. (Wordpress, 2013)

Man in the middle: El ataque Man in the middle, traducido al espaol como El
hombre en el medio, es un ataque PASIVO, que se lleva a cabo tanto en redes LAN como
WLAN. Es un ataque en el que en la transmisin de informacin por una red, se intenta
modificar esta para alterarla, sin que ninguna de las dos partes, emisora y receptora conozca
que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e
interceptar mensajes entre las dos vctimas. (Galisteo Cantero & Moya Reyes, 2009)

Integridad: la integridad de los datos puede definirse como la imposibilidad de que


alguien modifique datos sin ser descubierto. Desde la perspectiva de la seguridad de datos y
redes, la integridad de los datos es la garanta de que nadie pueda acceder a la informacin
ni modificarla sin contar con la autorizacin necesaria. Si examinamos el concepto de
integridad, podramos concluir que no solo alude a la integridad de los sistemas
(proteccin mediante antivirus, ciclos de vida del desarrollo de sistemas estructurados
[SDLC], revisin de cdigos fuente por expertos, pruebas exhaustivas, etc.), sino tambin a
la integridad personal (responsabilidad, confianza, fiabilidad, etc.) (Gelbstein D. , 2011)

Autenticacin: Llamamos autentificacin a la comprobacin de la identidad de una


persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para
la autentificacin de servidores, de mensajes y de remitentes y destinatarios de mensajes.
31

Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en
mquinas clientes y cualquiera que tenga acceso a estas mquinas puede utilizar las claves
que tenga instaladas y suplantar la identidad de su legtimo usuario. (EUMED, 2015)

NVD (The National Vulnerability Database): NVD es el repositorio gobierno de


Estados Unidos de las normas de datos de gestin de vulnerabilidades representados
mediante el protocolo de contenido de Automatizacin de Seguridad (SCAP). Estos datos
permiten la automatizacin de la gestin de la vulnerabilidad, medida de seguridad, y el
cumplimiento. NVD incluye bases de datos de listas de control de seguridad, fallas de
software relacionados con la seguridad, errores de configuracin, nombres de productos y
mtricas de impacto. (National Vulnerability Database, 2014)

SCAP (Security Content Automation Protocol): El Protocolo de contenido


Automatizacin de Seguridad (SCAP) es una sntesis de las especificaciones interoperables
derivados de las ideas de la comunidad. La participacin comunitaria es una gran fortaleza
para SCAP, porque la comunidad de automatizacin de seguridad garantiza la ms amplia
gama posible de casos de uso se refleja en la funcionalidad SCAP. (SCAP, 2015)

CAPEC3 (Common Attack Pattern Enumeration and Classification): CAPEC es un


catlogo a disposicin del pblico de patrones de ataque, junto con una amplia esquema y

(CVE - Common Vulnerabilities and Exposures, 2011)


32

clasificacin taxonoma creada para ayudar en la construccin de software seguro.


(MITRE)

METODOLOGA
1.8.1

Tipo de estudio.
El resultado de este trabajo de grado es de carcter cualitativo, porque parte de un

reconocimiento de informacin relacionado con las buenas prcticas que en el mercado


cubren las necesidades de la seguridad de la informacin, y que actualmente aplican a nivel
mundial en el desarrollo y funcionamiento de las aplicaciones mviles.

La investigacin que se propone tambin es de carcter exploratoria dado a que la


informacin que se suministrara proviene de estndares actuales que brindan buenas
prcticas y las cuales fueron desarrolladas mediante el descubrimiento de las diferentes
revisiones en proyectos internacionales; y es proyectiva tambin pues plantea una gua base
que ayudar a mitigar riesgos de informacin.

1.8.2

Fuentes de Informacin.
El referente de este trabajo fue el estndar NIST 800-163, algunos estudios de

seguridad por empresas reconocidas y la norma ISO 27001-2013, esta ltima alineada con
los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), en donde se tomar la
norma NIST para identificar las vulnerabilidades en el funcionamiento de un App
desarrollada sobre Android y posteriormente se analizarn los componentes o dominios que
contiene la norma ISO 27001-2013 y se tomarn las pautas ms relevantes de estas normas
33

para cubrir y garantizar la seguridad sobre los datos y sobre las transacciones que se pueden
ejercer sobre dicha informacin.

DISEO METODOLGICO.
El diseo metodolgico de este trabajo se basa en la metodologa PHVA de la norma
ISO 27001 para los SGSI, en la Figura 8, se pone en contexto la metodologa propuesta en
este documento dentro de cada etapa del ciclo.

Figura 8: Metodologa PHVA

Fuente (Autores)

34

RESULTADOS OBTENIDOS
1.10.1 Caracterizacin de Vulnerabilidades.
Para el desarrollo de este objetivo, se extrajeron de la norma NIST 800-163 las
principales vulnerabilidades y sus caractersticas, para las aplicaciones que corren sobre
plataformas Android ver (CARACTERIZACIN DE VULNERABILIDADES.xlsx); este
Anexo cuenta con las siguientes hojas:

En la hoja CRITERIOS DE EVALUACIN se especifican los criterios que se


definieron para clasificar las vulnerabilidades caracterizadas, estos criterios se tomaron
como referente ya que son criterios de validacin en la seguridad de la informacin.

Tabla 1: Criterios de evaluacin Vulnerabilidades

Fuente: Autores

Permisos y uso de recursos: Vulnerabilidades que afectan la funcionalidad de la App


y hace uso del software y hardware del dispositivo

35

Integridad: Vulnerabilidades que afectan la funcionalidad de la App ya que altera la


informacin, cambindola o eliminndola

Autenticacin: Vulnerabilidades que afectan la funcionalidad de la App y brindan


accesos no autorizados a otras aplicaciones o a funcionalidades de la App

En la hoja VULNERABILIDAD NIST se caracterizan las vulnerabilidades


extradas de la norma NIST 800-163, haciendo una breve descripcin, exponiendo su
consecuencia negativa a la hora de presentarse, y finalmente hay una casilla que indica en
que parte de la norma se habla de dicha vulnerabilidad.

Vulnerabilidad: Tipo de vulnerabilidad encontrada, segn la norma NIST 800-163

Descripcin: Especificacin general de la vulnerabilidad en pro de la afectacin que


genera.

Consecuencia Negativa: Impacto negativo que se genera una vez la vulnerabilidad se


ve atacada generando riesgo de seguridad

Norma NIST: Indica el tem de la norma NIST 800-163 en donde hacen referencia
de la vulnerabilidad.

36

Una vez obtenido el listado de vulnerabilidades, se clasificaron de la siguiente


manera:

En la hoja EVALUACIN, se realiza una clasificacin de las vulnerabilidades,


validando en cada una de ellas los criterios de evaluacin establecidos en la hoja
CRITERIOS DE EVALUACIN, obteniendo como resultado la siguiente clasificacin:

Una vez efectuado los criterios de evaluacin sobre las vulnerabilidades extradas de
la norma NIST se obtuvieron los siguientes resultados.

Figura 9: Caracterizacin de vulnerabilidades

CRITERIOS PARA LAS VULNERABILIDADES


SI

NO

Permisos y uso de
recursos
11
7

Autenticacin
13

Integridad
15

Fuente: Autores

37

El grafico muestra que de un total de 18 vulnerabilidades halladas, 11 se relacionan a


los permisos y uso de recursos del sistema, 15 a la integracin y 5 con la autenticacin. As
se puede establecer que el mayor porcentaje de vulnerabilidades en las App mviles son las
relacionadas con permisos e integridad.

Figura 10: Vulnerabilidades en Permisos y Uso de recursos

Permisos y uso de recursos

12
10
8
11

4
2
0
SI

NO

Fuente: Autores

La grfica muestra que del total de las vulnerabilidades, 11 de ellas tienen


caractersticas relacionadas a los permisos y uso de recursos de las aplicaciones mviles, ya
que afectan la funcionalidad del sistema haciendo uso de hardware o software del
dispositivo.

38

Figura 11: Vulnerabilidades de Integracin

Integridad

16
14
12
10
8
6
4
2
0

15

3
SI

NO

Fuente: Autores

La grfica muestra que del total de las vulnerabilidades, 15 de ellas tienen


caractersticas relacionadas a la integracin, ya que afectan el funcionamiento de la App y
la informacin a la que tiene acceso la App mvil.

39

Figura 12: Vulnerabilidades de Autenticacin

Autenticacin

14
12
10
8

13

6
4

2
0
SI

NO

Fuente: Autores

La grfica muestra que del total de las vulnerabilidades, 5 de ellas tienen


caractersticas relacionadas con la autenticacin, ya que afectan el funcionamiento de la
App y brinda accesos no autorizados con otras aplicaciones o funcionalidades del sistema.

1.10.2 Controles Norma ISO 27001 de 2013.


Para el desarrollo de este objetivo se tom la norma ISO 27001 de 2013, se tradujo al
espaol y se catalogaron los controles que aplican a las vulnerabilidades identificadas (ver
ANEXO B-CONTROLES DE SEGURIDAD APP.xlsx); este anexo, cuenta con las
siguientes hojas:
40

En la hoja CRITERIOS DE EVALUACIN se especifican los criterios que se


definieron para clasificar los controles de la norma ISO 27001, estos criterios se tomaron
como referente ya que son criterios de validacin en la seguridad de la informacin.

Tabla 2: criterios de evaluacin de controles

Fuente: Autores

Permisos y uso de recursos: Controles preventivos o correctivos orientados a mejorar


la funcionalidad de la App y que estn enfocados al manejo de los recursos del sistema.

Integridad: Controles preventivos o correctivos orientados a mejorar la funcionalidad


de la App y que estn enfocados al manejo de la informacin y los datos.

41

Autenticacin: Controles preventivos o correctivos orientados a mejorar la


funcionalidad de la App y que estn enfocados al de accesos a la aplicacin y de la
aplicacin a otras aplicaciones.

En la hoja CONTROLES ISO 27001 se extrajeron los dominios de la norma


especificando su numeral, sus objetivos de control y se clasificaron segn los criterios de
evaluacin antes mencionados; finalmente en la ltima casilla se hacen una serie de
preguntas con el fin de determinar si el objetivo de control se est cumpliendo.

Dominio: Dominio de la norma ISO 27001, que aplica a las aplicaciones mviles.

Objetivo de control: Objetivos de control que expone la norma para cumplir con el
dominio.

Cuestionario de seguridad: Cuestionario a realizar para verificar si el objetivo de


control se est cumpliendo.

Finalmente se obtuvo la informacin de los dominios tambin clasificados y


evaluados para determinan los controles que le aplican a las vulnerabilidades encontradas, y
filtrando los controles que afectan las vulnerabilidades que estn dentro del alcance de este
proyecto (permisos y uso de recursos) como se muestra en la
Tabla 3. Controles de seguridad en permisos y uso de recursos.
42

Tabla 3: Controles de seguridad en permisos y uso de recursos

Fuente: Autores

La

43

Tabla 3, muestra resultado final de los controles de la norma ISO 27001, evaluados
bajo los criterios establecidos, y de los cuales son alcance de este proyecto los controles que
impactan los permisos y el uso de recursos de una App mvil.

1.10.3 Gua propuesta para validar el nivel de seguridad de una App.


La gua fue estructurada bajo la metodologa PHVA, la cual enmarca el procedimiento
a seguir y a tener en cuenta para poder aplicar la gua.

La estructura de la gua est compuesta por:

Presentacin: Breve descripcin del propsito de la gua

Generalidades: Descripcin de la normatividad bajo la cual fue desarrollada la gua

Alcance: cubrimiento que tiene la gua

Objetivo: objetivo general que tiene la gua

Definiciones: algunas definiciones bsicas que el usuario posiblemente requiera a la


hora de aplicar la gua

Competencias del responsable de seguridad: perfil del personal de seguridad que se


requiere para aplicar la qua

Aplicacin de la gua: descripcin del paso a paso de aplicacin de la gua

La gua contiene un anexo (ver ANEXO C - CUESTIONARIO ISO 27001.xlsx), el


cual es el resultado prctico de este proyecto, en donde por medio de un cuestionario se
busca validar el cumplimiento a los controles que exige la norma ISO 27.001.
44

45

VALIDACIN DE UNA APP CON LA GUA PROPUESTA.


Para poder validar la gua, se realiz una solicitud formal (ver Figura 13), ante la
entidad Ministerio de Ambiente y Desarrollo sostenible, con el fin de aplicar la gua
validando la App mvil PQRSD.

Una vez se obtuvo respuesta del Ministerio para poder validar la gua (ver Figura 14),
se procedi al envi de la gua junto con sus anexos al responsable en el Ministerio. El
resultado fue entregado das ms tarde en donde se obtuvo que la aplicacin tiene un nivel
de seguridad bajo la norma ISO 27.001 del 80,75% en el cumplimiento de los controles que
la norma exige, sin embargo se dieron algunas recomendaciones para cumplir a cabalidad
con los dominios de la norma que se relacionan con las App mviles.

La respuesta a la validacin se evidencia en el (ANEXO D - CUESTIONARIO ISO


27001_APP_PQRS.xlsx)

46

Figura 13: Carta de solicitud para validacin de gua

47

Figura 14: Carta de Aprobacin para validacin de gua

48

1.11.1 Informe de Ejecucin de la Gua por parte del Ministerio.


Introduccin: El siguiente informe tiene como finalidad realizar la descripcin del
proceso y los resultados obtenidos al realizar la evaluacin del aplicativo APP PQRSD para
el Ministerio de Ambiente y Desarrollo Sostenible ( Desde ahora MADS).

Antecedentes: Teniendo en cuenta que el desarrollo del aplicativo App de PQRSD


del MADS se encuentra conformado por una integracin al sistema WEB existente para la
gestin de las solicitudes (PQRSD) de los ciudadanos, es importante realizar una
evaluacin previa de las oportunidades y aspectos de mejora , como tambin de los riesgos
que se pueden identificar con la ayuda del cuestionario entregado por los estudiantes de la
especializacin, con el fin de evitar posibles daos o afectaciones a la informacin existente
en el sistema PQRSD WEB del MADS.

Proceso: El proceso que se realiz para evaluar cada una de las preguntas del
cuestionario entregado por los estudiantes de la especializacin fue el siguiente:

En primera instancia se desplego un ambiente de pruebas del web services que se


desarroll para integrar la informacin existente del sistema WEB de PQRSD del MADS
con el aplicativo APP. Posteriormente se realiz el despliegue del aplicativo App en un

49

Smartphone Android con el fin de evaluar las preguntas del cuestionario contras las
funcionalidades que se implementaron dentro del aplicativo en su primera versin:

Las funcionalidades que actualmente se contemplan dentro de la primera versin del


aplicativo App PQRSD del MADS son:

Login de usuarios al sistema PQRSD.

Logout de usuarios al sistema PQRSD.

Ver solicitudes.

Crear solicitud.

Ver detalle de solicitud.

Luego de esto se empez a evaluar cada una de las preguntas que se contemplan
dentro del cuestionario de la gua; verificando tanto la aplicacin App PQRSD del MADS
como tambin el funcionamiento interno de gestin por parte del grupo tcnico de
desarrollo.

Esta evaluacin fue efectuada de forma conjunta entre los Ingenieros Camilo Pulido y
Freddy Gmez contratistas de la oficina TICS quienes al responder cada una de las
preguntas de dicho cuestionario identifican los siguientes aspectos de mejora que se podran

50

tener en cuenta dentro del cuestionario para hacerlo ms dinmico y parametrizable frente a
las necesidades de las empresas o personas naturales que quieran hacer uso de este:

Hallazgos de mejora del cuestionario:

1. Dentro de las preguntas, existen del cuestionario algunas de estas hacen referencia a
temas que no tienen que ver con la evaluacin directa del aplicativo mvil, como
por ejemplo: Se tienen definidas responsabilidades y roles de seguridad?
2. Existen preguntas que deben orientarme ms a los procesos y metodologas de las
pruebas de software ms que al personal desarrollador ya que esto se enfoca ms a
las empresas y no permite que el cuestionario sea aplicado totalmente por una
persona natural que quiera validar la seguridad a travs de la gua, como tal en un
aplicativo mvil.
3. Se debe contemplar que si el cuestionario es para uso y evaluacin en aplicativos
mviles este debe permitir evaluar el aseguramiento y cumplimiento de las buenas
practicas que la gua para plataformas WEB Services, servicios en la nuble de
Google y Apple ya que muchos aplicativos de vanguardia requieren de estas
herramientas de terceros para su correcto funcionamiento.

Resultados del proceso:

51

Gracias a la evaluacin con el cuestionario se identific que dentro del grupo de


desarrollo de la oficina TIC, encargada de desarrollar este aplicativo es fundamental
el uso de una metodologa de desarrollo de software como por ejemplo SCRUM, ya
que esta permite controlar la interaccin entre los requerimientos del cliente,
documentacin del proceso de desarrollo y garantizar que el software cumpla con
los requerimientos del cliente.

Se identific que como tal no existen establecidos procesos y documentos de


pruebas de software funcionales y no funcionales, lo que permite identificar
BUGS del software de forma puntual y no definir el funcionamiento a travs de
pruebas que no se encuentren programadas a evaluar un requerimiento y el
funcionamiento de un proceso interno del software.

Tambin se logr identificar que no existe un procedimiento establecido para la


puesta en pre produccin (Pruebas piloto del aplicativo) lo cual es fundamental para
poder verificar toda la seguridad del software y cumplimiento de la gua antes de
sacarlo a produccin.

Aunque existen controles de cambios en la infraestructura a travs de reuniones de


cambios, no se identifica un procedimiento establecido para lograr controlar los
cambios de versiones del software, documentos que soporten dichos cambios con el
fin de llevar la trazabilidad de la evolucin del software.

No se identific un manual o procedimiento sobre cmo gestionar las contraseas y


administracin de los aplicativos, en este caso la administracin de las tiendas que
alojarn el aplicativo PQRSD APP del MADS.
52

No se identific un procedimiento o manual para la gestin de Logs dentro del


aplicativo App PQRSD, como tambin el personal encargado de realizar la revisin
de dichos archivos de logs.

No se identific un procedimiento sobre la gestin de errores en ejecucin que


puedan encontrarse dentro del funcionamiento del aplicativo APP PQRSD, personal
encargado de revisar estos archivos de LOGS y procedimiento o acciones a tomar
para dar solucin a estos errores.

No se detect un documento o especificacin para establecer el cifrado dentro del


aplicativo APP y el web services PQRSD.

No se detect de forma adecuada el manual correspondiente para realizar la


instalacin en caso de emergencias del aplicativo APP PQRSD.

No se detect comunicacin cifrada entre el aplicativo APP PQRSD y el web


services que realiza la comunicacin entre el aplicativo WEB PQRSD.

No existe una base de conocimientos o blog que garantice la informacin y


resolucin de errores previamente conocidos con el fin de manejar estndares de
codificacin frente a dichos errores que se puedan manejar de forma frecuente.

53

CONCLUSIONES

Al analizar la norma NIST 800-163 y caracterizar las vulnerabilidades que se pueden


presentar en una aplicacin mvil, las relacionadas con la integridad de la informacin son
las ms latentes a presentarse.

El desarrollo de App para organizaciones, debe ser validado de manera adecuada y


cumpliendo cada uno de los procesos indicados por la Norma NIST 800-163 y por la gua
indicada en este proyecto; pero una vez la App sea liberada y puesta en produccin, se debe
adicionalmente capacitar a los usuarios para que no incurran en cometer errores que puedan
ocasionar fugas de informacin y las vulnerabilidades se puedan materializar.

La norma ISO 27001:2013, es un estndar a seguir en la implementacin de la


seguridad de la informacin, sin embargo a la hora de validar los controles relacionados a
las aplicaciones mviles, no es tan especfica y deja a interpretacin del usuario final en
buen proceder en este tipo de tecnologas.

Sin importar la cantidad de controles que la norma seale que deben existir, la
actividad humana sobre los controles tiene gran influencia, ya que es una de las
vulnerabilidades ms atacadas.

54

Debe existir una relacin costo beneficio al momento de implementar los controles
que se crean necesarios para minimizar el riesgo de que las vulnerabilidades se
materialicen, pues no es ptimo establecer controles que afecten de manera significativa la
inversin de las organizaciones.

Se desarrolla una gua bajo el apoyo de la norma NIST 800-163, donde se encuentran
vulnerabilidades orientadas a las App, pero se deben tener presentes los repositorios donde
se encuentran otra serie de vulnerabilidades, para poder tener un proceso de validacin de
las App slido.

La gua propuesta, fue de buena aceptacin en la entidad aplicada, no solo porque es


un procedimiento ms organizado y metdico, sino porque crea conciencia en la
administracin de la seguridad de la informacin y a la misma entidad en procedimientos
de calidad y validacin peridicos sobre las tecnologas de informacin usadas en la
organizacin.

Aplicar la gua desarrollada a una App permiti establecer la cantidad posible de


vulnerabilidades en donde puede existir fuga de informacin o perdida de la misma, con el
fin de identificar las recomendaciones sugeridas bajo la norma ISO 27001:2013.

55

RECOMENDACIONES

Es necesario realizar seguimiento por medio de Auditoras al proceso de validacin de


seguridad de la informacin en las aplicaciones mviles, ya que no basta solo con la
aplicacin de la gua y determinar un nivel de seguridad aceptable, sino que con cada
cambio, modificacin de norma o simplemente por supervisin se debe mantener este
seguimiento dentro del plan de auditora.

La gua permite hacer una revisin inicial de las App, para determinar sus
vulnerabilidades y los posibles controles a implementar, pero se debe tener en cuenta
informacin adicional de repositorios donde existen otra serie de vulnerabilidades y
recomendaciones ya definidas, con el fin de hacer una adecuada validacin de la App y
definir su viabilidad para que sea enviada a produccin.

Tener presenta la norma NIST 800-163 donde se indica todo el proceso de validacin
de las App es fundamental para mejorar los procesos de envi a produccin en las
organizaciones de dichas App.

Una vez se aplic la gua para validarla, se encontr que el lenguaje utilizado en el
cuestionario era muy amplio y confunda al usuario; se hicieron ajustes en las preguntas que
presentaron dicha inconsistencia, y se recomienda para futuras adecuaciones tener presente
el lxico hacia el usuario.
56

BIBLIOGRAFA
Agustn Lpez Neira, J. R. (s.f.). ISO27000.ES. Obtenido de ISO27000.ES:
http://www.iso27000.es
calidad, A. e. (2015). Seguridad de la informacin. Obtenido de QAEC:
http://www.aec.es/web/guest/centro-conocimiento/seguridad-de-la-informacion
CVE - Common Vulnerabilities and Exposures. (2011). Common Vulnerabilities and
Exposures. Obtenido de Common Vulnerabilities and Exposures:
https://cve.mitre.org/
David Galisteo Cantero, R. M. (s.f.). Man in the middle. Obtenido de Seguridad en TIC:
http://ns2.elhacker.net/MITM.pdf
Deficicin.MX. (12 de 10 de 2015). Deficicin.MX. Obtenido de Deficicin.MX:
http://definicion.mx/proceso/
ESET. (2014). Gua de seguridad para usuarios de Smartphones.
EUMED. (2015). Autenticacin. Obtenido de EUMED:
http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm
Eumed.net. (01 de 10 de 2015). Eumed.net. Obtenido de Eumed.net:
http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm
Galisteo Cantero, D., & Moya Reyes, R. (2009). Man in the Middle - Ataque y Deteccin.
Gelbstein, D. (2011). Integridad de datos. Obtenido de ISACA:
http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-IntegrityInformation-Securitys-Poor-Relation-spanish.aspx

57

Gelbstein, D. E. (2011). La integridad de los datos: el aspecto ms relegado de la seguridad


de la informacin. Isaca Journal, 6, 6. Obtenido de ISACA:
http://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-IntegrityInformation-Securitys-Poor-Relation-spanish.aspx
INTECO. (20 de Marzo de 2012). Estudio sobre seguridad en dispositivos mviles y
Smartphones. Obtenido de www.incibe.es:
https://www.incibe.es/CERT/guias_estudios/Estudios//estudio_moviles_2C2011
Interactive Advertising Bureau - IAB. (30 de Septiembre de 2014). IV Estudio Anual
Mobile Marketing 2014. Obtenido de http://www.iabspain.net/wpcontent/uploads/downloads/2014/09/VI_Estudio_Anual_Mobile_Marketing_versio
n_abierta1.pdf
IOACTIVE LABS. (8 de Enero de 2014). Servicios de Seguridad IOACTIVE. Obtenido de
http://blog.ioactive.com/2014/01/personal-banking-apps-leak-info-through.html
ITU. (agosto de 2009). Aplicaciones mviles. Obtenido de Unin Internacional de
Telecomunicaciones: https://www.itu.int/net/itunews/issues/2009/06/04-es.aspx
Jaime, A. T. (2009). Desarrollo de Aplicaciones para dispositivos mviles bajo la
pplataforma Android de Google. tesis, Universidad Carlos III de Madrird, Madrid.
Karpesky Lab Zao. (17 de Enero de 2014). Karpesky Lab. Obtenido de
https://blog.kaspersky.es/vulnerabilidades-en-las-apps-bancarias-de-ios/2148/
Kaspersky. (2015). Cifrado. Obtenido de Kaspersky:
http://latam.kaspersky.com/mx/internet-security-center/definitions/encryption

58

Maulini R., M. (Marzo de 2013). Checklist de los procesos de autenticacin e ingreso.


Obtenido de www.e-securing.com: http://www.e-securing.com/novedad.aspx?id=89
Mcafee. (Febrero de 2015). http://www.mcafee.com. Obtenido de
http://www.mcafee.com/es/resources/reports/rp-quarterly-threat-q4-2014.pdf
MITRE. (s.f.). Common Vulnerabilities and Exposures. Obtenido de MITRE:
http://makingsecuritymeasurable.mitre.org/docs/capec-intro-handout.pdf
National Vulnerability Database. (2014). National Vulnerability Database. Obtenido de
National Vulnerability Database - NIST: https://nvd.nist.gov/
NIST. (01 de 10 de 2015). National Institute of Standar and Tecnology. Obtenido de
http://scap.nist.gov/
NIST. (Febrero de 2015). Vetting the Security of Mobile Applications (SP 800-163).
Obtenido de http://dx.doi.org/10.6028/nist.sp.800-163
Rben, C. M. (s.f.). Tecnologas Moviles.
Rubio, D. (2012). Anlisis De Seguridad De Aplicaciones Para Android. Espaa.
Salesforce . (2015). Entornos Sandbox. Obtenido de Salesforce :
https://help.salesforce.com/apex/HTViewHelpDoc?id=data_sandbox_environments.
htm&language=es
SCAP. (2015). Security Content Automation Protocol . Obtenido de SCAP:
http://scap.nist.gov/
Wordpress. (2013). https://protejete.wordpress.com. Obtenido de Gstin de riesgos en la
seguridad informtca:
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/
59

60