PROYECTO FINAL

DARWIN ESTEBAN CENDALES NIETO

COMUNICACIÓN ORAL Y ESCRITA

INSTITUTO IACC

06 ENERO 2020
 Desarrollo

1. El tema de interés que escogí fue:

SEGURIDAD EN PÁGINAS WEB

Con frecuencia se oye hablar de ataques a sitios web, incluso de entidades de renombre o

gobiernos, de captura de datos bancarios, direcciones de email u otros tipos de información,

infecciones del sistema por virus descargados en la navegación, sistemas bloqueados, páginas de

inicio alteradas, etc. La seguridad de un sitio web es un aspecto fundamental del desarrollo tanto del

lado del cliente como del lado del servidor. En definitiva, la seguridad web es la protección del

sistema de cualquier acceso, mal uso, modificación, destrucción o interrupción del servicio de forma

no autorizada. Aunque la seguridad puede ser dañada por fallas de hardware o de software, la

mayor parte de las veces es puesta en cuestión por ataques de hackers o intrusos. La seguridad

forma pues parte del diseño, del análisis y de la programación del sitio. Se puede afirmar que la

mayoría de los accesos no permitidos o las violaciones de sitios web proviene de un exceso de

confianza del programador frente a lo que permite hacer el navegador a los usuarios maliciosos. Casi

siempre la vulneración de la seguridad es causada por el descuido de algún aspecto que es

aprovechado por el atacante: tal el caso de permitir texto no modificado en lugares de grupos de

mensajes, mensajería o foros donde cualquier atacante pude depositar código que se ejecute cada

vez que se visualice el mensaje.

Para que la información de un sitio sea operativa, íntegra y privada es necesario poner en juego una

serie de medidas básicas de protección:

1. Encriptar los datos. Es conveniente usar un servidor seguro que encripte, es decir enmascare

mediante una clave, los datos entre el servidor y el navegador. No obstante, siempre existe un

riesgo de ataque en el momento necesario de desencriptación de la información o al transmitir la

clave, que debe ser conocida tanto por el servidor como por el cliente. Es imprescindible configurar

el servidor para usar HTTPS y HSTS.

2. Uso de la firma digital que usa la técnica de encriptación de clave pública: se encriptan los datos

mediante una clave privada que sólo puede ser desencriptada por la clave pública.

3. Uso de firewals, wrappers y proxies que servirían para canalizar o filtrar el acceso a los

contenidos. Con los firewals se protegen los puertos y permiten el acceso sólo a nombres de

dominio confiables. Los wrappers son un software que se ejecuta previamente para habilitar o no el

acceso a la petición realizada por el cliente. El proxy oculta los datos mediante reenrutamiento: el

navegador proporciona una dirección que puede ser filtrada por el software, restringiendo o

modificando el contenido, a la que el servidor dirige la respuesta. Los servidores proxy también

puedes ser redirigidos a otros servidores proxies permitiendo un ocultamiento más efectivo de la

información.

4. Diseño preventivo de la seguridad del sitio de forma que se garantice el acceso correcto a los

datos, especialmente a las contraseñas, direcciones de mail, tarjetas de crédito, o facturación, pero

también a los archivos del sistema, a las herramientas administrativas, etc. Para ello resultan

eficaces algunas medidas concretas como:

a. Políticas de login efectivas: contraseñas fuertes de una determinada longitud y composición

(mayúsculas, minúsculas, números), doble autenticación (contraseña y clave enviada a otro

dispositivo), etc.

b. Políticas de protección de datos: almacenar y mostrar lo imprescindible (cuatro últimos dígitos

solamente en las tarjetas de crédito, por ejemplo).

c. Usar herramientas DAST (Dynamic Application Security Testing) que sirven para escanear las

aplicaciones web, como la comercializada por IBM AppScan o la libre Arachnid.

d. Usar frameworks (Symfony, CakePHP) para desarrollo web. Los frameworks llevan ya

generalmente herramientas comunes a propósito para incrementar la seguridad del sitio:

autenticación de usuarios, niveles de control de acceso, sesiones, cookies…

Se puede afirmar que los problemas de seguridad suelen provenir de un exceso de confianza

respecto al navegador, o mejor dicho, de lo que su usuario haga con él. Es el caso de las

vulnerabilidades XSS en las que el atacante puede introducir scripts maliciosos como parte de la

interacción con el servidor (colocados como respuesta a un campo o entre el texto de un mensaje).

La mejor defensa es entonces un análisis pormenorizado de lo que se puede o no admitir en una

interacción con el usuario: eliminar o deshabilitar de la entrada el texto que pueda ser sospechoso,

por ejemplo, etiquetas HTML como <script>, <object>, <embed>, y <link>… Se trata de desinfectar

las entradas del usuario de forma que se eliminen los contenidos peligrosos. La mayoría de los

frameworks web lo realizan automáticamente. De la misma manera se pueden filtrar los datos que

puede introducir maliciosamente un usuario añadiendo por código, es decir transformando el texto

introducido por el usuario evitando los caracteres peligrosos mediante un carácter de escape (\, por

ejemplo). Es el caso de las cláusulas SQL para las que el uso de la comilla forma parte del lenguaje y

que puede ser utilizada por un conocedor para alterar la cadena que se pase al servidor añadiendo

código malicioso. Otro tipo de ataque son las CSRF. El desarrollador web no imagina que un usuario

malicioso pueda camuflar su página dentro de otra y enviarla a miles de usuarios por mail, por

ejemplo, de forma que cuando alguien interactúa con ella el servidor realiza las acciones previstas,

pero son redirigidas hacia otro destino: es el caso de innumerables correos falsos de bancos

pidiendo alguna acción al destinatario, generalmente iniciar sesión o transferir dinero. Para ello el

desarrollador web debe prever la mala fe por ejemplo requiriendo una palabra clave, sea enviada a

través del formulario o sea a través de otro dispositivo (teléfono móvil, por ejemplo). Igual ocurre

con otro tipo de ataques: los conocidos como “secuestro de clic” donde el usuario cree pinchar
sobre algo pero realmente es direccionado a otro proceso o botón, las acciones sobre archivos

(incluir la barra de archivo o direccionar a un archivo malicioso, por ejemplo) o la inclusión de

comandos del sistema camuflados entre el texto de una entrada.

En todos estos casos el problema real es un abuso de confianza del navegador. La solución es un

análisis pormenorizado de cualquier entrada del usuario y su tratamiento desinfectante.

2. adjunto video oratoria Proyecto final

https://youtu.be/f0W2QoKZlnk
 Bibliografía

IACC. (2019). Unidad 8: HABILIDADES COMUNICATIVAS ORALES.