ANLISIS, DESARROLLO E IMPLEMENTACIN DE MEDIDAS DE SEGURIDAD

EN EL ENTORNO WEB DE LA EMPRESA ASESORAS INFORMTICAS Y

JURDICAS JURINFO LTDA1
ANALYSIS, DEVELOPMENT AND DEPLOYMENT OF SECURITY MEASURES IN
THE WEB ENVIRONMENT OF THE ENTERPRISE AND LEGAL COMPUTER
CONSULTING JURINFO LTDA
Autores2
Alba Carolina Bernal Carreo
Juan Pablo Montaez
Luis Alberto Reyes
Wveimar Yesid Pineda vila
e-mail: yesid_pineda@ymail.com

RESUMEN
El Curso de Proyecto de Grado - Ingeniera de Sistema permite que el estudiante realice una
aplicacin terica prctica de los conocimientos adquiridos, tenga la posibilidad de construir
nuevo conocimiento, fortalecer las diferentes competencias y que a travs de una propuesta
identifique y analice una problemtica de su entorno regional para la cual se proponga una
solucin creativa.
Es as que la rpida evolucin de Internet y los sitios WEB, ha Creado en la comunidad a nivel
Mundial un Fenmeno Social a gran escala, las comunicaciones utilizan este este medio llegando
a todos los rincones del Mundo; es por esto que la Empresa JURINFO LTDA en su afn por
expandir sus servicios, ha tropezado con problemas en la WEB, y todo lo que entraa hacer
presencia en Internet: Hacker, vulneracin de seguridad y manejo de usuarios.
Por lo anterior esta ponencia tiene como fin de presentar una metodologa y una conjunto de
herramientas para implementar los mecanismos de seguridad de acceso al servidor, a fin de
garantizar la fiabilidad de la informacin, canalizando respuestas concretas y oportunas en la
planificacin, anlisis, diseo, programacin y pruebas en la empresa asesoras informticas y
jurdicas JURINFO LTDA.
1 Articulo con base al Proyecto de grado de Ingeniera de Sistemas referente a Seguridad en la Web y su
implementacin en la Empresa JURINFO LTDA.
2 Estudiantes de ltimo semestre de Ingeniera de Sistemas de la Universidad Nacional Abierta y a
distancia (UNAD) Zona Centro Boyac, CEAD Tunja, Noviembre de 2015.

Dentro de las metodologas, para el desarrollo del presente proyecto se propone el uso de la
Programacin Extrema, XP (debido a su nombre en ingls eXtreme Programing), esta
metodologa busca la satisfaccin del cliente ya que se centra en potenciar las relaciones
interpersonales como clave para el xito en desarrollo de software, promoviendo el trabajo en
equipo, preocupndose por el aprendizaje, y propiciando un buen clima de trabajo.
Palabras Claves: Seguridad, Web, Informacin, Diseo, Planificacin, Programacin, Software.
Servidor.
ABSTRACT
The course grade Project - System Engineering allows the student to accomplish a practical
application of the theoretical knowledge acquired, has the possibility to build new knowledge,
strengthen their various skills and that through a proposal identify and analyze a problem of its
regional environment for which it is proposed a creative solution.
It is so that the rapid evolution of the Internet and Web sites, has been created in the global
community a social phenomenon to large-scale, the communications used this this means
reaching all corners of the world; this is why the company JURINFO LTDA in its effort to
expand its services, problems have been encountered on the web, and everything that entails a
presence on the Internet: hacker, and the violation of safety and management of users.
Therefore this paper aims to present a methodology and a set of tools to implement the security
mechanisms for access to the server, in order to ensure the reliability of the information,
channeling specific answers and timely in the planning, analysis, design, programming and
testing company in the computer consulting and legal JURINFO LTDA.
Within the methodologies for the development of the present project proposes the use of Extreme
Programming, XP (due to its English name extreme Programing), this methodology is the
satisfaction of the customer already that focuses on strengthening interpersonal relationships as
the key to the success in software development, promoting teamwork, worrying about the
learning, and fostering a good working atmosphere.
Key words: Security, Web, Information, Design, Planning, Programming, Software, Server.
1. INTRODUCCIN
Dentro del plan de desarrollo Institucional, una de las metas que tiene la entidad, es, que adems
de contar con la implementacin de una pgina certificados de seguridad web, se adecue estos
hacia los clientes y dinamizar la interaccin con el cliente, a fin de proyectar los servicios en el
mundo digital, de tal manera que pueda brindar al cliente facilidades tanto en la informacin
como en la atencin.
Ajustndose a las bases legales que consideran que el servicio de informacin al cliente es
indispensable, se pretende adoptar y favorecer los procesos de toma de decisiones por parte de
los usuarios, con la construccin de los medios ms adecuados de proteccin y promocin de la
informacin y el plan de mejoramiento de la calidad en la prestacin de los servicios de
JURINFO LTDA no solo a nivel Boyac sino del pas con perspectiva internacional.
Por otra parte el aprovechamiento de las fuentes tecnolgicas que ofrece hoy el desarrollo
ingenieril hace que las empresas se fortalezcan y estn a la vanguardia frente a otras de su mismo

tipo, hecho que las hace ms productivas y competitivas. JURINFO LTDA, siendo una Empresa
boyacense dedicada al desarrollo de sistemas informticos, demuestra un atraso en este aspecto,
siendo el tema de estudio de este trabajo: que adems de servir como ampliacin social, busca el
fortalecer de esta organizacin, en su parte de gestin de clientes, ya que, este es uno de los
puntos neurlgicos de la empresa, pues es mediante este servicio que capta recursos para su
sostenimiento.
Lo que se persigue entonces es: facilitar el acceso a los clientes, brindando la seguridad
necesaria a los aplicativos alojados en el servidor, buscando con ello brindar confianza a los
clientes y dar un mayor cubrimiento tecnolgico e innovar en los servicios que ofrece a travs de
Internet, ampliando estos a los dispositivos mviles, ampliando de esta manera la interaccin,
evitando as el desplazamiento y gasto en transporte al que incurre actualmente un cliente
promedio.
Todo lo anterior lleva consigo un gasto en tecnologa, costos que JURINFO LTDA est dispuesto
a invertir; para ello y con el fin de ayudar en esta tarea se plantea: EL DESARROLLO
ANLISIS, DESARROLLO E IMPLEMENTACIN DE MEDIDAS DE SEGURIDAD EN EL
ENTORNO WEB DE LA EMPRESA ASESORAS INFORMTICAS Y JURDICAS
JURINFO LTDA; que busca la analizar e implementar herramientas y protocolos informticos de
seguridad a fin que sean utilizados en la infraestructura existente.

2. FUNDAMENTOS TEORICOS
La seguridad de la informacin en Internet se ha convertido en una cuestin primordial para la
prestacin segura de servicios online. En la actualidad a medida que aumentan la cantidad y el
tipo de servicio prestado, se hace necesario la transferencia de informacin, la cual debe ser
protegida para asegurar la confidencialidad y la seguridad de las transacciones, el cifrado y los
canales seguros colocan de manifiesto el uso de medidas de seguridad que Internet no considero
en sus inicios.
Como lo expone (RAMIREZ, 2014), la puesta en funcionamiento de Internet no consider la
necesidad de implantar medidas de seguridad en un primer momento, dado el entorno controlado
en el que sera desplegada:
Tal y como fue creada internet en los aos 70 y con la implantacin de la tecnologa
web como medio para la comparticin de la informacin en los aos 90, utilizando el
protocolo Hyper Text Transfer Protocol (HTTP), la informacin viaja a travs de las
lneas de comunicacin totalmente en claro, de forma que cualquier persona puede
acceder a esta informacin en su trnsito por la red. El problema no se limita a la
posibilidad de que un tercero pueda acceder a la informacin que circula por la red sino
que tambin puede modificarla en su trnsito e incluso puede suplantar el servidor al

que se est conectando el cliente y proporcionar informacin incorrecta o recopilar la

informacin que proporcione el usuario, como nombres de usuario o contraseas.
Atendiendo a lo planteado, los estndares y polticas de seguridad informtica tiene como
principal objetivo el establecimiento de medidas y pautas tcnicas en cuanto administracin y
organizacin de las TICs del personal relacionado en la gestin de los servicios tecnolgicos
web proporcionados por la empresa JURINFO LTDA de acuerdo a sus objetivos
organizacionales.
Dichos estndares se convierten en una herramienta de gran importancia a la hora de transmitir
informacin acerca de las polticas de seguridad al personal que funge en JURINFO, generando
as una mayor integridad, confidencialidad y confiabilidad de los datos procesados en dicha
organizacin. Cabe sealar que las polticas deben tener una revisin peridica que permita
realizar las modificaciones pertinentes segn las recomendaciones y sugerencias. Es
recomendable que dicha revisin sea mensual.
Para ello es necesario adecuar e implementar protocolos de seguridad bajo los modelos de
calidad y rendimiento que brinden solucin a dicha situacin, para ello, el presente escrito
presenta una metodologa y una conjunto de herramientas para implementar los protocolos de
seguridad de acceso al servidor, a fin de garantizar la fiabilidad de la informacin, canalizando
respuestas concretas y oportunas en la planificacin, anlisis, diseo, programacin y pruebas en
la empresa asesoras informticas y jurdicas JURINFO LTDA.
2.1. SERVICIO WEB (en ingls, Web Service o Web services). Es una tecnologa que utiliza
un conjunto de protocolos y estndares que sirven para intercambiar datos entre aplicaciones.
Distintas aplicaciones de software desarrolladas en lenguajes de programacin diferentes, y
ejecutadas sobre cualquier plataforma, pueden utilizar los servicios web para intercambiar datos
en redes de ordenadores como Internet (SEGURIDAD INFORMATICA, 2015).
La interoperabilidad se consigue mediante la adopcin de estndares abiertos. Las
organizaciones OASISy W3C son los comits responsables de la arquitectura y reglamentacin
de los servicios Web. Para mejorar la interoperabilidad entre distintas implementaciones de
servicios Web se ha creado el organismo WS-I, encargado de desarrollar diversos perfiles para
definir de manera ms exhaustiva estos estndares. Es una mquina que atiende las peticiones de
los clientes web y les enva los recursos solicitados.
2.2. WEB SERVICES PROTOCOL STACK. As se le denomina al conjunto de servicios y
protocolos de los servicios Web.XML (Extensible Markup Language): Es el formato estndar
para los datos que se vayan a intercambiar (MIFSUF, 2012).
2.3. SOAP (Simple Object Access Protocol) o XML-RPC (XML Remote Procedure Call).
Protocolos sobre los que se establece el intercambio. Los datos en XML tambin pueden
enviarse de una aplicacin a otra mediante protocolos normales como HTTP (Hypertext Transfer
Protocol), FTP (File Transfer Protocol), o SMTP (Simple Mail Transfer Protocol).

2.4. WSDL (Web Cervices Description Language). Es el lenguaje de la interfaz pblica para
los servicios Web. Es una descripcin basada en XML de los requisitos funcionales necesarios
para establecer una comunicacin con los servicios Web (GOMEZ, 2014).
2.5. UDDI (Universal Description, Discovery and Integration). Protocolo para publicar la
informacin de los servicios Web. Permite comprobar qu servicios web estn disponibles.
2.6. WS-Security (Web Service Security). Protocolo de seguridad aceptado como estndar por
OASIS (Organization for the Advancement of Structured Information Standards). Garantiza la
autenticacin de los actores y la confidencialidad de los mensajes enviados (CANO, 2013).
2.7. REST (Representational State Transfer). Arquitectura que, haciendo uso del protocolo
HTTP, proporciona una API que utiliza cada uno de sus mtodos (GET, POST, PUT, DELETE,
otros) para poder realizar diferentes operaciones entre la aplicacin que ofrece el servicio web y
el cliente (DIAZ, 2014).
3. DESARROLLO DEL TRABO
3.1. Navegacin en Internet
Para evitar los peligros que conllevan la navegacin por internet, la compaa defini los
siguientes parmetros para su uso dentro de las instalaciones de JURINFO:
1. El uso de internet debe estar destinado exclusivamente a la ejecucin de tareas y
actividades propias de la organizacin.
2. Los funcionarios de la organizacin deben abstenerse de realizar descargas de programas
que realicen conexiones automticas.
3. Evitar la descarga de msica o videos que consuman recursos web y por ende afecten el
desempeo de los servicios web.
4. Evitar el acceso a sitios web que salten la seguridad del servidor de acceso a internet
(proxy).
5. Realizar cualquier proceso que afecte desfavorablemente la habilidad de utilizar el
servicio de internet por otros funcionarios dentro de la organizacin.
3.2. Uso de Herramientas que Vulneren la Seguridad Web
Para evitar que funcionarios dentro de la organizacin vulneren la seguridad implementada se
prohibi el uso de herramientas informticas que tengan como fin:
1. Monitorear datos o trfico trasmitido por la red.
2. Sondear o probar los firewalls o usar programas de hackeo.
3. Atentar contra las vulnerabilidades del sistema o de las redes.
4. Violar las medidas de seguridad implementadas o las rutinas para la autenticacin ya sea
en el sistema o en la red.
3.3. Recursos compartidos en la red basados en la arquitectura cliente servidor.
Existen riesgos implcitos al compartir recursos en la red que pueden afectar los principios de
confidencialidad, integridad y disponibilidad de la informacin. Actualmente JURINFO hace uso
del protocolo de red para la trasferencia de archivos FTP, sin embargo, dicho protocolo es blanco
por parte de keylogers, troyanos, usuarios maliciosos, etc., es por esto que se implementaron los
siguientes estndares de seguridad en cuanto a la seguridad de los recursos acezados va web:

1. Implementacin de un servidor VPN (red privada virtual), en un equipo con sistema

operativo Linux, que permita la autenticacin de usuarios autorizados mediante el
respectivo certificado de cliente, por medio del protocolo de autenticacin MS-CHAP v2
o EAP-TLS.
Para la transferencia de archivos cuando no se cuente con una VPN, se optara por realizar
conexiones seguras mediante tneles SSH (Secure Shell).
4. RESULTADOS
Para realizar el anlisis de las vulnerabilidades se procedi a realizar un test al servidor de
aplicaciones donde se alojan los servicios web ofrecidos por JURINFO LTDA mediante la
herramienta de cdigo abierto SUBGRAPH VEGA.

Figura 1. Ejecucin SUBGRAPH VEGA

4.1. Vulnerabilidades halladas por la aplicacin

4.1.1 Client Ciphersuite Preference. Esta fallo de seguridad indica que el servidor no tiene
configurada la priorizacin de cifrado del cliente durante el TLS handshake, lo cual deja
vulnerable la seguridad de los clientes que visitan el sitio, como consecuencia, los navegadores
usados por los usuarios pueden seleccionar protocolos de cifrado menos seguros creando
oportunidades para un ataque.
Figura 2. Fallo Client Ciphersuite Preference

Solucin. Para mitigar los riesgos de usar conjuntos de cifrado dbiles, el servidor se configur
para seleccionar conjuntos de cifrado basado en su propia preferencia en lugar de la preferencia
del cliente, invocando el mtodo SSLParameters.setUseCipherSuitesOrder (true).
4.1.2 Character Set Not Specified. La herramienta detecta como potencial fallo de seguridad
que el recurso no tiene especificado un conjunto de caracteres de respuesta, lo cual implica que
el navegador puede hacer supuestos sobre el conjunto de caracteres basado en el contenido del
recurso. Esto puede presentar un problema de seguridad si el recurso afectado contiene contenido
generado dinmicamente que se origina en los usuarios.
En tal caso, usuarios podran tomar ventaja de como los navegadores interpretan los caracteres
para causar contenido malicioso, como consecuencia un atacante puede ser capaz de pasar por
alto un filtro de cross-site mediante la codificacin de su carga maliciosa en un conjunto de
caracteres alternativo.
Figura 3. Resultados Character Set Not Specified

Solucin. Se especific un conjunto de caracteres bien definidos (como UTF-8) en la cabecera

de la respuesta de tipo de contenido o en el cuerpo de la respuesta.
4.1.3 Self-signed Certificate. As mismo, la herramienta de anlisis detecta que el servidor
tiene instalado un certificado de seguridad auto firmado con las posibles consecuencias que esto
conlleva.

Figura 4. Ejeucin herramienta Self-signed Certificate

Solucin. Para brindar seguridad a los clientes que visitan el servicio web y para indicarles que
el sitio es autntico, real y confiable, JURINFO procedi a instalar un certificado emitido por la
entidad certificadora RapidSSL SHA256 CA G4 permitiendo que las conexiones se realicen
mediante el protocolo criptogrfico TLS 1.2 como se evidencia a continuacin:
Figura 5. Instalacin, configuracin certificados

4.1.4 X-Frame-Options Header Not Set. Otra vulnerabilidad detectada indica que el recurso
no tiene el encabezado X-Frame-Options HTTP el cual sirve para prevenir que el servicio web
pueda ser abierto en un frame, o iframe previniendo as ataques de clickjaking.

Figura 6. Detecci+on X-Frame-Options Header Not Set

Teniendo en cuenta que los valores configurables para X-Frame-Options son: DENY, para que el
navegador evite que la pgina sea renderizada si est contenida dentro de un iframe,
SAMEORIGIN, para que la pgina solo pueda ser mostrara en un frame que provenga del mismo
origen que la propia pgina y ALLOW-FROM uri, para que el navegador bloquee la
renderizacin slo si el origen de nivel superior est en un contexto de navegacin que es
diferente al valor uri proporcionado en la directiva, se procedi a incluir el siguiente filtro en el
archivo web.xml de los servicios web ofrecidos por la organizacin:
Figura 7. Configuracin filtros web.xml
<display-name>OWASP ClickjackFilter</display-name>
<filter>
<filter-name>ClickjackFilterDeny</filter-name>
<filter-class>org.owasp.filters.ClickjackFilter</filter-class>
<init-param>
<param-name>mode</param-name>
<param-value>DENY</param-value>
</init-param>
</filter>
<filter>
<filter-name>ClickjackFilterSameOrigin</filter-name>
<filter-class>org.owasp.filters.ClickjackFilter</filter-class>
<init-param>

<param-name>mode</param-name>
<param-value>SAMEORIGIN</param-value>
</init-param>
</filter>

3. CONCLUSIONES
Este trabajo constituye una exploracin significativa de los factores y situaciones que determinan
el riesgo de aplicaciones WEB, aunque cada da las organizaciones estn aprovechando las
oportunidades ofrecidas por Internet, los protocolos de seguridad no son suficientes, ms an
cuando la mixtura de usuarios no son conscientes de utilizar estos beneficios seguros, por ello
JURINFO busca a travs de herramientas y recursos de red mantener la seguridad de la
informacin de clientes y la suya propia.
Est claro que el avance en temas se seguridad como lo son los protocolos SSL/TLS, han sido
significativos, pero no suficientes, como lo demuestra lo vivido por JURINFO, por ello es
necesario seguir ahondando en la investigacin en otras reas relacionadas, como, el uso de
tarjetas inteligentes, que sern el soporte bsico en la utilizacin de la mayora de las
aplicaciones. Asimismo, ser de vital importancia el desarrollo de nuevas tcnicas de anlisis de
protocolos de seguridad, debido a que los actuales protocolos se basan en el intercambio de
claves o autenticacin de usuarios.

Referencias
LVAREZ MARAN, Gonzalo, PREZ GARCA, Pedro Pablo. (2004). Seguridad
informtica para empresas y particulares. Espaa: McGraw-Hill Espaa.
CARNERO SILVO, Carmen. (2004). Internet: Un reto para los medios de pago tradicionales.
Espaa: Ediciones Deusto - Planeta de Agostini Profesional y Formacin S.L.
CANO MARTNEZ, Jeimy Jos. (2013). Inseguridad de la informacin: una visin estratgica.
Bogot: Alfaomega Grupo Editor.
COSTAS SANTOS, Jess. (2014). Seguridad informtica. Bogot: RA-MA Editorial
DAZ ORUETA, Gabriel, ALZRRIZ ARMENDRIZ, Ignacio, SANCRISTBAL RUIZ, Elio.
(2014). Procesos y herramientas para la seguridad de redes. UNED - Universidad Nacional de
Educacin a Distancia
FERNNDEZ GMEZ, Eva Isabel. (2004). Las medidas de seguridad del comercio electrnico
en las pymes. Espaa: Ediciones Deusto - Planeta de Agostini Profesional y Formacin S.L.
GMEZ VIEITES, lvaro. (2014). Gestin de incidentes de seguridad informtica. Bogot:
RAMA Editorial
HAMPARZOMIAN, M. Luz, GIACCO, Jessica L.. (2009). Ensayos sobre comercio electrnico.
Argentina: El Cid Editor.
IBRAHIM, Kaba. (2008). Elementos bsicos de comercio electrnico. Espaa: Editorial
Universitaria
MCCLURE, Stuart, SCAMBRAY, Joel, Kurtz, George. (2010). Hackers 6: secretos y soluciones
de seguridad en redes. Mxico: McGraw-Hill Interamericana
MIFSUF TALN, Elvira. (2012). Apache. Espaa: Ministerio de Educacin de Espaa
NEILSON, Jaime. (2009). Comercio electrnico. Argentina: El Cid Editor.
SEGURIDAD
INFORMATICA.
(2015,
13
de
octubre).
Recuperado
de:
http://cxocommunity.com/articulos/blogs/blogs-seguridad-informatica/2701-delitos-en-las-redessociales.
VELTE, Toby J.. (2011). Fundamentos de comercio electrnico. Mxico: McGraw-Hill
Interamericana.