LA SEGURIDAD EN APLICACIONES MOVILES: ESTRATEGIAS EN EL MUNDO

ACTUAL
Gabriel Mauricio Ramrez Villegas
Escuela de Ciencias Bsicas Tecnologa e Ingeniera, Universidad Nacional Abierta y a
Distancia, Cali, Colombia
Resumen
La seguridad de las aplicaciones mviles es la necesidad ms importante del mercado mundial de las
aplicaciones mviles, ya que los ataques han aumentado de forma exponencial con el crecimiento de las
aplicaciones desarrolladas para este mercado, para identificar las oportunidades existentes en el
ecosistema mvil, es necesario entender los conceptos de computacin mvil, aplicacin mvil y seguridad
mvil, los cuales son la base fundamental para identificar la infinidad de estrategias tcnicas y comerciales
que ofrece este nuevo campo de las ciencias de la computacin enfocadas en el ecosistema mvil, de tal
manera que se pueden convertir en un eje tecnolgico y propulsor de la econmica local y global.
Palabras claves:
Seguridad, Aplicaciones Mviles, Pruebas.

1 Introduccin
El auge de las tecnologas mviles y en especial el
desarrollo de las aplicaciones mviles para diferentes
sistemas operativos y plataformas mviles han generado la
necesidad de implementar procesos seguros de desarrollo
de software mvil, la implementacin de modelos,
metodologas y herramientas que permitan probar y
evaluar la seguridad en este tipo de aplicaciones a nivel
nacional y global.
2 Computacin Mvil
La Computacin es el resultado de la evolucin de las
distintas ciencias aplicadas al uso de los diferentes
componentes hardware y software, utilizados en el
desarrollo actual de la vida cotidiana de las personas del
comn: desde el uso del telfono celular, pasando por los
diferentes equipos de computacin como equipos de
escritorio, porttiles, entre otros, hasta llegar al uso de
equipos de computacin de ltima tecnologa. [1]
Se puede definir la Computacin Mvil como la
comunicacin de diferentes equipos porttiles o mviles
de hardware y software, que hacen uso de la computacin
para realizar diferentes tareas computacionales, entre los
dispositivos mviles que se pueden utilizar en la
actualidad encontramos los computadores porttiles o
Laptop, los minicomputadores o NetBooks, los telfonos
celulares en especial los Telfonos Inteligentes o
Smartphone, las Tablets, los Fablets, los Reloj
Inteligentes, en general cualquier dispositivo que tenga y
permita la conexin a otros dispositivos por medio de
diferentes tecnologas de comunicacin inalmbrica, se
encuentran dentro de la computacin mvil.[2] [3] [4]
Se entiende por computacin mvil, la posibilidad de
movilizarse de un espacio fsico a otro sin necesidad de
estar en un solo lugar, es por sto que la principal
caracterstica de la computacin mvil y de los

dispositivos mviles, es la posibilidad de desplazarse sin

ninguna restriccin. [3]
El concepto de Computacin Ubicua o Ubicomp se puede
definir como la integracin informtica de todos los
objetos que se encuentran alrededor de una persona, es
decir cada persona puede actuar con diferentes objetos que
son programables y que se encuentra comunicados, en
cualquier momento y lugar. [3]
La ubicuidad en las Tecnologas de Informacin y
Comunicacin TIC, fue introducido por Mark Weiser en
1988, reconocido como el padre de la computacin ubicua
por su trabajo en 1991 The computer for the Twenty-First
Century.
Sobre esta teora Weiser escribi dos bases fundamentales:
el sistema distribuido y la computacin mvil, ambos
sistemas funcionaban sobre cuatro cimientos: el uso
inteligente de espacios eficaces; invisibilidad; escala local
y ocultacin de los desniveles de acondicionamiento.
[2][3]
3 Aplicacin Mvil
Una definicin general de software es el conjunto de
instrucciones lgicas que soportan el hardware o parte
fsica de los equipos computacionales, sirve como interfaz
entre los usuarios y las mquinas, tambin pueden servir
como interfaz o intermediarios entre software diferentes;
el objetivo principal es realizar una tarea o varias tareas de
forma nica o mltiple, en palabras ms sencillas, es el
que le indica a los componentes de hardware la forma de
almacenar y procesar las tareas que se desean.
De acuerdo al estndar 729 de la IEEE el Software es el
conjunto de los programas de cmputo, procedimientos,
reglas, documentacin y datos asociados, que forman
parte de las operaciones de un sistema de computacin
[5]

Teniendo en cuenta la definicin anteriormente

mencionada por la IEEE y por otras organizaciones
relacionadas con el software, se concluye que el software
tiene un propio ecosistema de anlisis, diseo,
construccin, pruebas, implementacin, documentacin,
entre muchos otros temas, los cuales estn en
funcionamiento constante con los diferentes dispositivos
computacionales.
Teniendo en cuenta las definiciones anteriormente
presentadas, y enfocndolo en el rea de la computacin
mvil, las aplicaciones mviles son los conjuntos de
instrucciones
lgicas,
procedimientos,
reglas,
documentacin, datos e informacin asociada a estas que
funcionan especficamente en dispositivos mviles, como
por ejemplo telfonos inteligentes, televisores inteligentes,
tabletas, reloj, entre otros.[7]
Las aplicaciones mviles se desarrollan bajo diferentes
lenguajes de programacin y funcionan actualmente
especficamente en sistemas operativos mviles, en estos
momentos los lenguajes ms usados para desarrollar
aplicaciones mviles son: Java, Objetic C, Xcode C#,
C++, WebOS, HTML5, Bad, XML, entre otros.[8]
Lenguajes de Programacin Aplicaciones Mviles

La segunda clasificacin se refiere a los diferentes

lenguajes de programacin en las que ha sido
desarrollados, es decir, aplicaciones mviles que se han
desarrollado bajo los lenguajes de programacin como
Java, Objetive C, Bada, WebOS, C#, C++, HTML5,
HTML/CSS/JavaScript, entre muchos otros.
La tercera clasificacin se refiere al desarrollo de las
aplicaciones segn la plataforma, lo que se denomina
desarrollo nativo de aplicaciones, es decir el lenguaje de
programacin oficial definido por la empresa u
organizacin: Android-Java, iOS-Objetive C, BlackBerry
OS-Java, Bada-C++, Windows Phone-C#, Windows 8-C#C++, WebOS-HTML5-C++, Mobile Web- HTML5HTML/CSS/JavaScript, Ubuntu OS-HTML5, entre otros.
La cuarta se clasificacin se refiere al desarrollo nativo, al
desarrollo multiplataforma, es decir, el uso de
herramientas de construccin de software que se utilizan
para crear aplicaciones para diferentes sistemas
operativos, el desarrollo web enfocado en aplicaciones
mviles utilizando HTML5,CSS3 y el desarrollo de
aplicaciones mviles hibridas utilizando lenguajes de
programacin para aplicaciones nativas, otros lenguajes de
programacin y el uso de desarrollo web, en general el uso
de las diferentes tecnologas para el desarrollo de estas
aplicaciones; por ltimo, las aplicaciones que se pueden
construir con herramientas y sistemas de construccin de
aplicaciones como las fbricas de aplicaciones mviles
que actualmente se encuentra en la web, para el desarrollo
de aplicaciones con JavaScript, Traductores de cdigo,
Web to native,, entre otros.
Clasificacin Aplicaciones Mviles

Una aplicacin mvil se identifica en la actualidad porque

puede funcionar en dispositivos
mviles como
caracterstica principal, dentro de las aplicaciones mviles
existen diversos tipos y clasificaciones en los que se
pueden agrupar.
En este orden de ideas las aplicaciones se pueden
clasificar de acuerdo al mercado, al lenguaje de
programacin, al tipo de desarrollado, de forma nativa,
multiplataforma o de forma hibrida, si son aplicaciones
empresariales o aplicaciones para el uso comn de los
usuarios.
La primera clasificacin de los tipos de aplicaciones se
refiere a las aplicaciones desarrolladas para dispositivos
mviles especficos, como por ejemplo, aplicaciones
mviles para telfonos inteligentes, tabletas, televisores
inteligentes, reloj, neveras, gafas entre muchos otros
dispositivos o para todos los dispositivos anteriormente
nombrados, es decir aplicaciones que pueden funcionar en
todos los dispositivos mviles.

4 Seguridad Mvil
De acuerdo con diferentes diccionarios la definicin de
seguridad posee mltiples usos. A grandes rasgos, puede
afirmarse que este concepto que proviene del latn
securitas hace nfasis en la caracterstica de seguro, es
decir, realza la propiedad de algo donde no se registran
peligros, daos ni riesgos. Una cosa segura es algo firme,
cierto e indubitable. La seguridad, por lo tanto, puede
considerarse como una certeza.
En el rea de las tecnologas de la informacin y la
comunicacin la seguridad se enfatiza en la seguridad de
la informacin y del hardware de los equipos que se

utilizan, existen diferentes definiciones para la seguridad

informtica; sin embargo, en este caso se nombrar una
definicin clara y concisa: la seguridad informtica es la
encargada de minimizar los riesgos, las vulnerabilidades y
dar respuestas eficientes y efectivas para reponerse a los
ataques que se puedan realizar a los sistemas de
informacin, comunicacin y almacenamiento de
informacin.
Segn el libro Mobile Application Security de Himanshu
Dwivedi en el captulo 2, los principales problemas de
seguridad que enfrentan los dispositivos mviles son:[6]

La seguridad fsica de los dispositivos mviles debido

al continuo incremento de la prdida y robos.
La seguridad en el almacenamiento del dispositivo.
Procesos de autenticacin fuerte con contraseas
pobres.
Soporte a mltiples usuarios con seguridad.
Entornos de navegacin seguros.
Seguridad en sistemas operativos mviles.
El aislamiento de las aplicaciones.
La divulgacin de informacin.
Los Virus, Gusanos, Troyanos, Spyware y Malware.
Los procesos de actualizacin y parcheo de los
sistemas operativos.
El uso y cumplimiento estricto del protocolo SSL.
Pishing
Solicitud de falsificacin de sitio cruzado.
La localizacin privacidad y seguridad.
Drivers de dispositivos inseguros.
Mltiples factores de autenticacin.

informacin importante para la toma de decisiones,

tambin.
Nivel de Almacenamiento: se debe tener en cuenta toda
la informacin que se almacena en el dispositivo mvil,
desde los archivos binarios de los sistemas operativos
almacenados en la memoria interna y externa del telfono,
los archivos de bases de datos, los archivos del usuario,
definir procesos de validacin, permisos, autenticacin,
encriptacin de archivos, aumentar la complejidad de la
lectura de los archivos, cifrar los registros, cifrar los datos
almacenados en la memoria RAM del dispositivo y los
archivos de internet manejarlos cuando son almacenados.
Nivel de Comunicacin: se debe tener en cuenta todos los
procesos de comunicacin del dispositivo mvil, las
antenas de comunicacin del celular para las llamadas, las
antenas WiFi, Bluetooth, NFC las cuales deben ser
utilizadas con estndares y protocolos de comunicacin
seguros, adems de implementar procesos de encriptacin
para l envi de datos.
Nivel de Aplicacin: se debe realizar las mejores
prcticas de programacin segura que entregan las
organizaciones de seguridad en computacin, seguir las
recomendaciones de las compaas de antivirus y las
compaas de anlisis de seguridad, implementar el uso de
protocolos y estndares de seguridad en la programacin,
firmar las aplicaciones, realizar procesos de pruebas.
A continuacin se presenta el grfico del modelo de
seguridad por niveles:
Modelo de Seguridad por Niveles

4.1 Seguridad Segn las Capas

Una vez se ha realizado la revisin de la arquitectura de
cada uno de los sistemas operativos mviles ms
utilizados en la actualidad, los riesgos, las
vulnerabilidades, las fallas, los modelos, los estndares y
las recomendaciones para el desarrollo de aplicaciones
mviles, se presenta a continuacin una propuesta de una
arquitectura de seguridad por capas, teniendo como
referencia las arquitecturas de los sistemas operativos
mviles ms utilizados actualmente.
El modelo de seguridad por capas propone realizar
seguridad a diferentes niveles, los cuales se presentara a
continuacin y se observaran en el siguiente grfico.
Nivel de Hardware: es importante analizar y evaluar los
elementos que componen los dispositivos que se van a
utilizar, realizar un inventario detallado de las
caractersticas del procesador, la memoria, las antenas,
pantallas y dems elementos para definir los riesgos y
vulnerabilidades, para establecer posibles puntos de ataque
y poder dar solucin a estos minimizando las posibilidades
de penetraciones a los equipos a travs del hardware.
Nivel de Sistema Operativo: se debe realizar el anlisis
de riesgos, vulnerabilidades y ataques, tomando como
base los anlisis e informes realizados por organizaciones
y las compaas de antivirus, las cuales proveen

4.2 Tipos de Ataques

Los ataques a los dispositivos mviles estn asociados a
diferentes riesgos y vulnerabilidades que se pueden
presentar con el uso de los dispositivos, en este sentido los
tipos de ataques se pueden agrupar de diferentes formas y
dependiendo del enfoque que se le desee dar a los ataques
de los dispositivos mviles.
De acuerdo con lo anteriormente indicado el primer riesgo
y vulnerabilidad que puede existir se encuentra
relacionada con el propio usuario del dispositivo, es decir
si el usuario no cuenta con una seguridad apropiada con el
uso del dispositivo genera un riesgo y una vulnerabilidad
bastante grande, debido a que cualquiera puede acceder a
la informacin para revisarla, modificarla o copiarla,
tambin se encuentra asociado a los usuarios los robos de

los dispositivos y el uso de los dispositivos sin tener

precaucin para instalar aplicaciones y no contar con
sistemas de seguridad como.[9]
Existen diferentes compaas y organizaciones que
trabajan en el anlisis de la seguridad, buscando los
riesgos y vulnerabilidades que pueden encontrarse en los
sistemas operativos mviles, a continuacin se presentaran
un compilado de los puntos de riesgo y las
vulnerabilidades encontradas por algunas organizaciones a
nivel internacional:[10][11]
Los puntos de ataque para los dispositivos mviles son:

Las credenciales para tomar el control del dispositivo

y los servicios externos del dispositivo como el correo
electrnico, las cuentas de bancos, etc.
Los datos personales de los usuarios el nombre
completo, la identificacin, las claves, lo datos del
telfono como los contactos, la localizacin, las
preferencias de los usuarios.
Los datos de los dispositivos como los nmeros de
cuenta, nmeros de las tarjetas, las fechas de
expiracin.
Acceso al dispositivo para revisar la simcard del
dispositivo, revisin de las conexiones telefnicas y
de internet, uso del dispositivo para enviar virus,
malware y procesamiento de actividades, robo de
datos secretos y datos sensibles del dispositivo.
Almacenamiento de datos robo, revisin y
modificacin de claves, informacin de las bases de
datos, archivos de configuracin, archivos de las
aplicaciones, las caches de los sistemas.
Archivos binarios, realizacin de ingeniera inversa
para entender el binario, bsqueda de las
vulnerabilidades que pueden ser explotadas, incrustar
credenciales y generacin automtica de claves.
Plataformas mviles enganche de las plataformas,
instalacin de malware, aplicaciones mviles de
ejecuciones automticas no autorizadas, las decisiones
de la arquitectura de aplicaciones basadas en la
plataforma.
El almacenamiento de datos, los archivos binarios y la
plataforma no son independientes y se encuentran
relacionados entre s, esta es una debilidad en que
puede llevar a la explotacin de unos a otros, por que
se conoce que es lo que est en funcionamiento.
Modelo de amenaza si un atacante obtiene acceso
fsico a un dispositivo, aunque sea temporalmente,
puede realizar
un jailbreak o liberacin del
dispositivo mvil, instalacin aplicaciones, insercin
de cdigo malicioso, realizacin de copias de la
informacin, modificaciones del sistemas, entre otras.

Los ataques que se pueden realizar a los dispositivos

mviles y los sistemas operativos a travs de programas
dainos o peligrosos son los siguientes:

Troyanos: Aplicaciones y SMS

Gusanos
Programas Espas.
Bombas de Tiempo.
Inteligentes

Malware en los Dispositivos Mviles

Anatoma de un Ataque Mvil

Existen reas de seguridad que se deben tener en cuenta

para aplicar los procesos de seguridad:

La primera rea est compuesta por cuatro reas

claves: La Aplicaciones, los sistemas operativos, las
redes y las sandbox o espacio virtual de pruebas.
La segunda rea est compuesta por los tres tipos de
aplicaciones: Aplicaciones Nativas, Aplicaciones
Web y la Aplicaciones Hibridas.
La tercera rea es la administracin de los datos: Los
datos almacenados, los datos en movimiento y los
puntos de integracin de los datos.

4.3 Las Fallas de Seguridad

Las fallas de seguridad de las aplicaciones mviles se
pueden encontrar en los diferentes niveles del
funcionamiento de las aplicaciones, en este caso las fallas
iniciales se encuentran en los sistemas operativos,
especficamente en las funciones de administracin del
hardware de los dispositivos mviles, estas son explotadas
por diferentes aplicaciones mviles que encuentran las

vulnerabilidades para realizar tareas no consientes por el

usuario del dispositivo.
Para el desarrollo de aplicaciones mviles seguras es
importante tener el conocimiento del sistema operativo,
los conocimientos del lenguaje y los reportes de seguridad
y vulnerabilidades de diferentes organizaciones
encargadas de realizar estas tareas dems de tener en
cuenta las mejores prcticas de desarrollo de aplicaciones
mviles seguras.
La premisa ms importante que se debe tener en cuenta es
que el dispositivo mvil es personal y no es de un grupo
de personas, por lo tanto, la informacin y los datos
almacenados y manejados por el usuario son de su
propiedad y como tal deben ser valorados y manejados de
la mejor forma, es por esto que no es recomendable
almacenar informacin importante en el dispositivo
mvil.[12]
La primera falla detectada es el almacenamiento de
informacin sensible e importante por parte de los
usuarios, los datos de transacciones bancarias,
credenciales de acceso, cookies persistentes, archivos
temporales, etc. estos datos son robados y utilizados por
los hackers, dentro de las fallas para estos ataques se
encuentran el acceso al dispositivo por medio del Wi-Fi,
Bluetooth y NFC, ya que se puede acceder a los archivos
haciendo ataques a los protocolos y los servicios que estos
ofrecen. Una falla de los telfonos mviles es que al ser
robados o accedidos se puede visualizar la informacin
que estos contienen, tanto en la memoria interna como en
las memorias externas, debido a que tienen sistemas de
archivos como FAT que no tienen sistemas de cifrado por
defecto, o al acceder a la SIM del telfono se puede
acceder a la informacin del telfono.
Una caractersticas de los dispositivos mviles es la
instalacin de aplicaciones va OTA, es decir que se
pueden instalar aplicaciones remotamente como lo
realizan actualmente las compaas de telefona mvil
utilizando la banda ancha y los datos de las redes celulares
para realizar instalaciones, sto se realiza actualmente sin
el consentimiento de los usuarios, en estos casos se puede
implementar un Phantom Station que simula ser un equipo
de la red de telefona mvil e instalar cualquier aplicacin
mvil o robar informacin, en cuanto a las organizaciones
de los sistemas operativos tambin se pueden cargar
dentro de los market y simular se aplicaciones correctas y
en realidad lo que hacen es robar informacin con un
mecanismo de suplantacin, a esto se le conoce como
repackagin en donde se descarga una aplicacin oficial y
de buen funcionamiento se modifica la aplicacin y se
adjuntan con una versin de malware dentro de la
aplicacin o reemplazando la aplicacin para que los
market la distribuyan y los usuarios la descarguen de
forma confiada.
Otra falla para el robo de informacin son las aplicaciones
de escucha de datos y de voz, estas aplicaciones procesan
los datos entre importantes y concretos de acuerdo como
este desarrollada, los convierte en mensajes o datos y los
enva por un canal a un servidor remoto para que sea
utilizado por los delincuentes.
Una falla muy generalizada es la falta de verificaciones y
realizacin de chequeos en los protocolos y estndares
utilizados por los dispositivos mviles, es decir, en

algunos casos se pueden realizar copias de certificados de

seguridad a partir de certificados legtimos, en este caso se
debe implementar ms procesos de verificacin de los
protocolos seguros como el SSL.[10]
La denegacin de servicio es una de las fallas ms
antiguas desde la creacin de internet, en la computacin
mvil y en especial los dispositivos mviles acceden a
sitios maliciosos donde son cargados con peticiones y
cdigos maliciosos para generar altos consumos de
recursos de los dispositivos y luego bloquear el dispositivo
daando completamente el software y en algunos casos el
hardware.
Con respecto a los dispositivos mviles es posible realizar
la copia de la tarjeta SIM, donde se almacena el IMSI y la
Ki del cliente, es decir se puede copiar y clonar esta
informacin con diferentes tcnicas, aunque esto ha
mejorado con nuevas versiones, tambin se pueden hacer
envos sistemticos para modificar los dispositivos
mviles de forma remota en conclusin estas fallas de
seguridad indican que no se puede confiar en la
autenticacin de los usuarios de los dispositivos mviles
con las redes de telefona celular ni tampoco se puede
confiar en el transporte de informacin debido a que en
estas redes esto se realiza sin ningn cifrado con respecto
a las redes GSM, HSDP, 4G, etc.
Infografa Checkpoint

Es importante revisar constantemente los logs o registros

de fallos de los sistemas y de las aplicaciones con el fin de
encontrar accesos no permitidos a la informacin, estos
datos no deben ser visibles en ningn caso, es por esto que
se debe cifrar para que slo el usuario pueda conocer esta
informacin, actualmente sta puede ser revisada
accediendo al sistema o utilizando sniffers de datos, otro
de los problemas de las aplicaciones mviles es la
inyeccin de cdigo malicioso HTML, JavaScript, PHP,
XML, entre otros que sirve para tomar datos e infectar el
propio navegador, esta es una de las fallas de seguridad
ms comunes en la actualidad, otro problemas es la
inyeccin de cdigo SQL en las aplicaciones para
eliminar, copiar, borrar o alterar bases de datos, esto
sucede cuando se introduce cdigo SQL intruso en el
cdigo SQL de la Aplicacin o en otros lenguajes de
programacin, modificando los datos y la informacin
almacenada.
Top de Seguridad Mvil

5 Test de Penetracin
El Test de Penetracin est dirigido a la bsqueda de
agujeros de seguridad de forma focalizada en uno o varios
recursos crticos, como puede ser el firewall o el servidor
Web, en este caso se enfocara en la evaluacin de las
aplicaciones mviles para uno o varios sistemas operativos
mviles.
Los servicios de Test de Penetracin permiten:

Evaluar vulnerabilidades por medio de la

identificacin de debilidades de configuracin que
puedan ser explotadas.
Analizar y categorizar las debilidades explotables
basadas en el impacto potencial y posibilidad de
ocurrencia.
Proveer recomendaciones priorizadas para mitigar y
eliminar las debilidades.

Las pruebas deben verificar la calidad de los productos, si

las aplicaciones funcionan correctamente y de forma
eficiente y efectiva, se debe probar la estabilidad de la
aplicacin, las modificaciones que pueden surgir, los
fallos, las interrupciones de la aplicacin y los servicios,

se deben realizar prueba funcionales y no funcionales,

pruebas de carga, verificacin del consumo de recursos
batera, procesador, memoria, pruebas de comunicacin
seguras, pruebas de almacenamiento, se deben realizar las
pruebas de caja negra y de caja blanca, se debe revisar la
optimizacin de los algoritmos y el cdigo fuente, los
protocolos de comunicacin seguros, etc.
Las pruebas de penetracin se complementan con procesos
de ingeniera social, pruebas con usuarios en produccin y
con los equipos de desarrollo y pruebas, sto permite tener
diferentes visiones con respecto al uso y a la seguridad
que provee la aplicacin y las comunicaciones que sta
pueda tener con otros sistemas y con el propio sistema
operativo mvil, la realizacin de anlisis esttico y
dinmico, acceso y comprobacin de la base de datos,
compilacin de los archivos de log, utilizacin de un
proxy para analizar las comunicaciones, anlisis del
manejo de archivos, memoria, y red, estudio de la
estructura de proteccin del almacenamiento de datos,
control de los snapshots y keyloggers y decompilacin de
la aplicacin para la realizacin de ingeniera inversa.
Es importante tener en cuenta que durante el desarrollo de
la aplicacin se deben realizar un gran nmero de pruebas
como lo son: [14]
Las pruebas de unidad: valida el cdigo, las funciones, las
clases, los algoritmos, etc.
Las pruebas de integracin: valida el funcionamiento
correcto de los conectores de la aplicacin, los
componentes, los servicios, etc.
Prueba del Sistema: verifica y valida todo en conjunto el
cdigo, las clases, los algoritmos y el funcionamiento de
los conectores, los servicios, etc.
Pruebas de Integracin: verifica y valida la integracin de
la aplicacin con otras aplicaciones u otros sistemas de
terceros., como por ejemplo el sistema operativo mvil,
los navegadores, etc.
En las pruebas de las aplicaciones mviles se debe tener
en cuenta las limitaciones de los dispositivos mviles, se
debe verificar el funcionamiento de la aplicacin con los
diferentes sensores del dispositivo, el funcionamiento del
dispositivo normalmente como las llamadas, el uso de la
batera, la conexin a otros dispositivos en general se
vuelve complejo el proceso de las pruebas.
Adems se debe validar la interfaz cuando la aplicacin se
instala en mltiples dispositivos de diferentes
caractersticas se debe tener en cuenta la diversidad de
hardware en el que puede ser utilizado, con respecto a los
botones, los cuadros de texto, la presentacin en la
pantalla, la navegacin de la aplicacin, el cambio de
orientacin del dispositivo, la organizacin y la eficiencia
de la informacin presentada en la interfaz, los cambios de
idiomas, la verificacin del funcionamiento de la
aplicacin cuando se puede conectar a internet y cuando
no se conecta a internet, la alimentacin de los usuarios a
la aplicacin, el rendimiento de la aplicacin y el uso de
recursos, la seguridad en l envi de informacin y la
recepcin, el gasto de energa que esta realiza con las
diferentes acciones, los tiempos de respuesta, el uso
exagerado de la memoria, la liberacin de los elementos
del dispositivo cuando no se utilizan, el uso de

codificacin y autenticidad, el cifrado de la informacin,

el uso de protocolos seguros. [15]
En las pruebas se debe evaluar cules son los planes de
contingencia cuando un servicio solicitado por la
aplicacin mvil tarda en responder y definir cul es la
respuesta que se le dar al usuario, adems cuales son los
planes de restauracin si un servicio es intermitente, o si
se corta la conexin cuando se est realizando un proceso,
es aqu donde las pruebas ayudan a mejorar la seguridad
de las aplicaciones, ya que la respuesta puede aumentar
los riesgos o disminuirlos.
La aplicacin tambin se debe hacer responsable de los
archivos temporales que genere, es importante que los
elimine para no limitar el almacenamiento local del
dispositivo y tambin se debe validar que no est
aumentando el tamao de las bases de datos locales, es
decir, la prueba debe verificar si elimina los archivos
correctamente y si no est sobrecargando la memoria
temporal y si la libera correctamente.
Con respecto al funcionamiento del dispositivo se debe
evaluar si la aplicacin tiene procesos de copia de respaldo
y restauracin, ya que el equipo se puede apagar en
cualquier momento por parte del usuario o por falta de
energa, si se actualiza a una nueva versin de la
aplicacin si los datos se pierden o se migran a la nueva
versin, si se activa otra funcin como un mensaje, una
llama o la apertura de otra aplicacin, cual es la accin
que toma la aplicacin y como se recupera luego de estas
actividades.
Las Funciones Crticas de Seguridad en Dispositivos
Mviles

Cuadro Herramientas de Test de Penetracin

Herramienta
SecTrack
Nettresec
Net Tools
NMap
Wreshark
BackTrack
iOS Analyzer

Direccin Web
http://www.sec-track.com/tag/test-de-penetracion
http://www.netresec.com/?page=Products
http://users.telenet.be/ahmadi/nettools.htm
http://nmap.org/
http://www.wireshark.org/
http://www.backtrack-linux.org/backtrack/backtrack-5-r3-released/
http://www.ipbackupanalyzer.com/

Aplicaciones Mviles para Hacer Penetracin

Herramienta
Android como
penetracin

herramienta

Direccin Web
para http://www.dragonjar.org/dispositivos-androidcomo-herramientas-para-test-depenetracion.xhtml

Test en Desarrollo de Aplicaciones Mviles

Herramienta
Android

Direccin Web
http://developer.android.com/reference/junit/framework/Test.html

iOS
MobinCube
AppMkr

http://developer.android.com/tools/testing/what_to_test.html
http://www.telerik.com/automated-testing-tools/ios-testing.aspx
http://www.mobincube.com/es/info-creador-apps-smarthphone.html
http://www.appmakr.com/

6 OWASP
El proyecto OWASP Mobile Security es un recurso
centralizado destinado a dar a los desarrolladores y
equipos de seguridad de los recursos que necesitan para
construir y mantener seguras las aplicaciones mviles. A
travs del proyecto, el objetivo es clasificar los riesgos de
seguridad mvil y proporcionar controles de desarrollo y
reducir el impacto o la probabilidad de explotacin de las
aplicaciones por parte de terceros. [16]
El enfoque principal est en la capa de aplicacin. Si bien
se tiene en cuenta la plataforma mvil y los riesgos
inherentes al modelado con respecto a los controles y las
amenazas, el objetivo se encuentra en las reas que el
desarrollador promedio puede trabajar y hacer la
diferencia. Adems, no slo se centra en las aplicaciones
mviles desarrolladas para el usuario final, sino tambin
en el ms lado del servidor y la infraestructura de
comunicacin de las aplicaciones mviles. La idea es
enfocarse en la integracin entre las aplicaciones mviles,
los servicios de autenticacin remota, y las caractersticas
especficas de la plataforma de la nube.

OWASP Top 10 Riesgo Mvil

Fuente:
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Pr
oject_-_Top_Ten_Mobile_Risks

7 Otros Modelos de Penetracin

En la actualidad existen varios modelos y metodologas
que apoyan los procesos de seguridad informtica, sin
embargo en el tema de seguridad informtica en
dispositivos mviles existen pocos de modelos y
metodologas que apoyen la seguridad mvil.
Existen organizaciones y compaas que han enfocado sus
esfuerzos para crear y disear estrategias, modelos,
metodologas y estndares que sirven de apoyo a los
diferentes estamentos que conforman el ecosistema de la
computacin mvil, desde los usuarios, pasando por los
desarrolladores, fabricantes, operadores mviles, etc.
A continuacin revisaremos algunos de los modelos,
metodologas, estndares y certificaciones que se enfocan
o se pueden utilizar para desarrollar aplicaciones mviles
de forma segura:
OSSTMM (Open Source Security Testing Methology
Manual) es una metodologa de pruebas de seguridad
gratuita y abierta del instituto ISECOM. La premisa
principal del manual de esta metodologa es que Los
hechos no provienen de grandes saltos de descubrimiento,
sino ms bien de los pequeos pasos y cuidadosos de
verificacin. El manual de esta metodologa se encuentra
en constante y continua revisin y mejoramiento, es
revisado por pares de pruebas de seguridad. En general la
OSSTMM trata la seguridad operacional para conocer y
medir cual es el nivel del funcionamiento de la seguridad.
ISSAF (Information System Security Assessment
Framework) El Marco de Evaluacin de Seguridad de
Sistemas de Informacin es una metodologa estructurada
de anlisis de seguridad en varios dominios y detalles
especficos de test o pruebas para cada uno de estos. Su
objetivo es proporcionar procedimientos muy detallados
para el testing de sistemas de informacin que reflejan
situaciones reales. ISSAF proponen cinco fases: I
Planeacin, II Evaluacin, III Tratamiento, IV
Acreditacin y VI Mantenimiento.

CREST (Consejo de Auditores de Seguridad Registrados

ticos) existe para servir a las necesidades de un mercado
de la informacin de seguridad global que cada vez ms
requiere los servicios de una capacidad de pruebas de
seguridad
regulada
y
profesional.
Proporciona
certificaciones reconocidas a nivel mundial, para personas
que prestan servicios de pruebas de penetracin.
CHECK IT Health Check es un esquema creado para
garantizar que las redes sensibles de los gobiernos y la
infraestructura crtica nacional fueran probadas y
garantizadas para un alto nivel de seguridad alto y
constante. La metodologa tiene como objetivo identificar
las vulnerabilidades de las tecnologas de la informacin y
las redes que puedan comprometer la seguridad,
confidencialidad, disponibilidad de la informacin
contenida en los sistemas informticos.
ISACA se fund en 1967 y se ha convertido en una
organizacin global para el gobierno de la informacin,
control, seguridad y auditoria de los profesionales de la
auditora de sistemas. Sus normas de auditora y de control
de los sistemas de informacin son seguidas por los
profesionales de todo el mundo y sus temas de
investigacin en el rea. CISA Certified Information
Systems Auditor es la certificacin principal de ISACA.
Desde 1978, el examen CISA ha medido la excelencia en
el rea de auditora, control y seguridad, y se ha
convertido en una certificacin mundialmente reconocida
y adoptada en todo el mundo como smbolo de logro.
Actualmente han desarrollado estrategias y actividades en
el rea de la seguridad mvil para que sean implementados
en el gobierno de tecnologa de las organizaciones y
algunos principios de seguridad que deben ser
implementados.
8 Conclusiones
Las fallas de las aplicaciones mviles se deben la
administracin de los dispositivos mviles, se depende de
muchos factores que intervienen en el funcionamiento,
como las organizaciones propietarias de los sistemas
operativos, los ecosistemas mviles, los market, las
compaas de telefona mvil, los fabricantes de los
dispositivos mviles; en general la dependencia de las
tecnologas es total en referencia a los propietarios de las
mismas.
Nada es perfecto y todo puede fallar o tener un mal
funcionamiento en cualquier momento, no todos estn en
la posicin de ayuda, proteccin o defensa, la mayora se
encuentran en posicin de ataque y de hacer dao.
Al desarrollar aplicaciones mviles seguras se debe tener
claro el sistema operativo, las tecnologas y las redes de
comunicacin, adems de implementar procesos de
desarrollo de aplicaciones seguras, las buenas prcticas de
desarrollo y los estndares que ayudarn a minimizar
errores, fallas y vulnerabilidades, el objetivo principal es
minimizar la inseguridad porque no existen aplicaciones o
sistemas de computacin cien por ciento seguros.
En el desarrollo de aplicaciones mviles seguras es
necesario tener presente el modelo de seguridad por capas,
las metodologas de desarrollos mviles seguros como

OWASP Mobile, la realizacin de los diferentes tipos de

pruebas de penetracin y para finalizar la evaluacin final
del usuario para validar el correcto funcionamiento de la
aplicacin.
Los procesos de seguridad de las aplicaciones mviles son
una oportunidad de desarrollo en el rea de las tecnologas
de la informacin y la comunicacin, debido a que el
crecimiento exponencial de aplicaciones mviles ha
generado bastantes vulnerabilidades y riesgos que deben
ser minimizados de tal forma que las aplicaciones que se
van a desarrollar o que ya estn construidas y en
funcionamiento se evalen y mejoren para las prximas
versiones, debido a esto el campo de la seguridad de las
aplicaciones mviles es la tendencia en el desarrollo de
negocios y mercados tanto a nivel nacional como
internacional.
9 Proyecciones
El mercado de las aplicaciones mviles es un mercado en
continuo crecimiento, tanto a nivel nacional como
internacional, se ha convertido en polticas de los
gobiernos a nivel global, realizando inversiones en
procesos educativos para capacitar a las personas
interesadas en el desarrollo de las tecnologas de la
informacin y la comunicacin especficamente en el
desarrollo de aplicaciones mviles para las distintas
plataformas mviles existentes., adems del inters de las
compaas dueas de las tecnologas mviles que tambin
utilizan diversas estrategias para aumentar el nmero de
desarrolladores y usuarios de las plataformas, los sistemas
operativos y en especial las aplicaciones mviles.
Teniendo en cuenta que el ecosistema de las plataformas
mviles seguir creciendo mientras existan ms usuarios y
aplicaciones mviles disponibles en los mercados de cada
una de las plataformas, convirtindose en un sistema de
alimentacin y mejora, adems de la implementacin de
nuevas tecnologas hardware y software que mejoren la
experiencia de los usuarios, los desarrolladores tendrn
cada vez mayor campo de accin para afrontar los nuevos
retos tecnolgicos y mejorar las aplicaciones para los
usuarios.
En este ciclo de produccin de nuevas tecnologas y
nuevas aplicaciones, se encuentran las oportunidades y
posibilidades de mejorar la seguridad de las aplicaciones
mviles, el ecosistema mvil se encuentra en continuo
cambio y cada mejora o implementacin de nuevas
tecnologas es un nuevo reto para probar la seguridad de
las aplicaciones mviles en los sistemas operativos, en el
funcionamiento en general, la necesidad de realizar
pruebas de penetracin, pruebas en el desarrollo de las
aplicaciones y la implementacin de los modelos y
estndares de seguridad en aplicaciones mvil se
convierten en un paso fundamental para la aprobacin de
las aplicaciones mviles.
En el anlisis de la implementacin de nuevas estrategias
para implementar la seguridad de las aplicaciones mviles,
se pueden nombrar los siguientes: Mejoramiento de los
modelos de desarrollo, Mejoramiento de los estndares de
seguridad, Mejoramiento de los protocolos de seguridad,
Mejoramiento de los procesos de cifrado de la

informacin en los dispositivos mviles, Implementacin

segura de nuevas tecnologas, Desarrollo de nuevas
tcnicas para el desarrollo de test de penetracin mvil,
Aplicacin de nuevos conceptos en el rea de seguridad
mvil, definicin de los marcos legales y jurdicos de la
seguridad mvil, Adaptacin a los cambios del mercado,
Aprender y Desaprender las tecnologas y las nuevas
tecnologas, implementacin de pruebas en aplicaciones
mviles para nuevos sistemas operativos y para nuevos
dispositivos mviles.
Las tecnologas mviles se encuentran en constante
cambio y evolucin, por lo tanto es necesario aplicar y
desarrollar nuevos procesos que permitan minimizar las
vulnerabilidades y los riesgos.
10 Referencias
[1] M. Weiser. (2010, Septiembre 30). [En lnea].
Disponible en: http://www.ubiq.com/hypertext/
weiser/SciAmDraft3.html.
[2] Asociacin Colombiana de Ingenieros de Sistemas y
Museo Colombiano de Informtica, e IBM. Historia de la
Computacin
Historia
de
la
Computacin.
http://www.acis.org.co/archivosAcis/HistoriadelaComputa
cion.pdf
[3] M. Weiser. (2010, Septiembre 30). [En lnea].
Disponible en: http://www. http://www-sul.
stanford.edu/weiser/.
[4] G. M. Ramrez Villegas. (2010). Computacin
Mvil, Universidad Nacional Abierta y a Distancia
UNAD. pp 16-30. Septiembre.
[5] IEEE Standard Glossary of Software Engineering
Terminology
2012
Disponible
en:
https://standards.ieee.org/findstds/standard/729-1983.html
[6]Dwivedi, H., Clark, C. y Thiel, D. (2010) Mobile
application security. McGraw Hill.
[7] Stanley Morgan (2009) The mobile Internet Report
.Disponible
en:
http://www.morganstanley.com/institutional/techresearch/
pdfs/2SETUP_12142009_RI.pdf
[8] Mobile Megatrends 2012. Disponible en:
http://www.visionmobile.com/blog/category/mobilemegatrends/
[9]Ariza, A. y Ruiz, J. (2009) iPhorensics: un protocolo de
anlisis forense para dispositivos mviles inteligentes.
Tesis de Grado.
Ingeniero
de
sistemas.PontificiaUniversidade
Javeriana.Disponible en:
http://www.criptored.upm.es/guiateoria/gt_m142l1.htm
[10]Cano, Jeimy. (2012) Plataformas mviles de alcance
global.
Disponible
en:
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/
XXXII_Salon_de_Informatica/FolletoSalon.pdf
[11] Secure mobile development best practices.
Disponible en: https://viaforensics.com/resources/reports/
[12]KASPERSKY, K. (2005) Shellcoders programming
unconvered. ALIST, LLC.

[13]Ashford, W. (2010) Global survey demonstrates

importance of mobile security. Computer Weekly
Magazine. Disponible en:
http://www.computerweekly.com/Articles/2010/10/27/243
570/Globalsurveydemonstratesimportanceofmobile
securitysaysJuniper.htm
[14]JACKSON, K. (2010) Accepting the inevitability of
Attack. DarkReading. September. Disponible en:
http://www.darkreading.com/insiderthreat/security/vulnera
bilities/showArticle.jhtml?articleID=227400257&queryTe
xt=mobile+vulnerabilities
[15]European Network and Information Security Agency
(ENISA) (2008) Security Issues in the Context of
Authentication Using
Mobile Devices (Mobile eID) November Disponible en:
http://www enisa europa eu/act/it/eid/mobileeideID).
November.http://www.enisa.europa.eu/act/it/eid/mobile
eid
[16]
OWASP
Mobile.
Disponible
en:
https://www.owasp.org/index.php/OWASP_Mobile_Secur
ity_Project