SEGURIDAD EN BASE

DE DATOS
Fredy León Socha

EJE 4
Propongamos

Fuente: Shutterstock/597024146
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Práctica de seguridad en BD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Redacción de un artículo científico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

¿Cómo buscar artículos científicos? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

¿Dónde buscar información y artículos científicos? . . . . . . . . . . . . . . . . . . 13

¿Cómo es el proceso de publicación? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

¿En qué revistas se puede publicar? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
ÍNDICE
 Introducción

Las aplicaciones basadas en web cada vez son más llamativas para los ciberde-
lincuentes por las vulnerabilidades o defectos no identificados por los programa-
dores, en su mayoría por el desconocimiento adecuado en seguridad de datos y
por las malas prácticas de no hacer un uso continuo de las distintas herramientas
para testear aplicaciones e identificar posibles vulnerabilidades.

Las consecuencias que acarrea una deficiencia en seguridad son nefastas

para las organizaciones: se pierden recursos, credibilidad, clientes, información
valiosa; responsabilidades jurídicas y pérdida de clientes, entre otras. Esto per-
INTRODUCCIÓN

mite reflexionar en torno a la pregunta: ¿de qué manera se podría realizar un

análisis de vulnerabilidades en sistemas informáticos basados en web y posterior
divulgación de resultados?

Es necesario que las organizaciones o el personal encargado del área de segu-

ridad de datos planee e implemente planes de acción enfocados a fortalecer la
seguridad de las aplicaciones web, tomando como punto de partida un análisis
crítico de dichos sistemas para que posteriormente se documente el proceso rea-
lizado y se den a conocer los resultados obtenidos.
 Práctica de
seguridad en BD
 Instrucción

Como apertura de la temática se invita a revisar la

animación: Estadísticas de seguridad web.

Ahora bien, teniendo en cuenta el enfoque de esta unidad se plantea el uso de la meto-
dología OWASP, una herramienta disponible bajo licencia de software libre y de código
abierto que permite el mejoramiento de la seguridad del software de aplicación enfocado
en la web para tomar decisiones acerca de los riesgos de seguridad de la aplicación.

Lectura recomendada

Para desarrollar la metodología, OWASP ha creado el documento:

Testing Guide de OWASP

OWASP

Allí se muestra de forma organizada el procedimiento de ejecución de la meto-

dología para auditar eficazmente la seguridad de una aplicación web y sus
correspondientes motores de bases de datos.

También ha publicado una excelente guía llamada

OWASP Top 10 - 2017 Los diez riesgos más críticos en Aplicaciones Web
OWASP

Es de gran utilidad a la hora de implementar una auditoria con OWASP.

La metodología OWASP propone dos fases principales:

• La fase pasiva que busca comprender la lógica de funcionamiento del sistema e

identificar posibles túneles de ataques o vulnerabilidades a través del uso normal de
la aplicación o pruebas de funcionalidades, por mencionar algunas.

• La fase activa en la que se realiza un proceso minucioso de análisis teniendo en

cuenta las 10 subcategorías planteadas para esta fase y las actividades que se de-
ben desarrollar en cada una de ellas. La figura 1 relaciona las subcategorías de la
fase activa.

Seguridad en base de datos - eje 4 propongamos 5

 Recopilación de información

Pruebas de gestión de la
configuración

Pruebas de la lógica del negocio

Pruebas de autenticación

Pruebas OWASP
Pruebas de autorización

Pruebas de gestión de sesiones

Pruebas de validación de datos

Pruebas de denegación de servicio

Pruebas de servicios web

Pruebas AJAX

Figura 1. Subcategorías pruebas de vulnerabilidades según OWASP

Fuente: propia

A continuación, se explica cada una de sobre la cual se cimienta la aplicación, lo

ellas:
Recopilación de información: reco-
lectar la mayor cantidad de información
posible acerca de la aplicación a analizar.
Para esto se puede hacer uso de buscado-
res, analizar códigos de errores, puntos de
entrada y salida, firmas digitales y hacer
uso de herramientas de software como
Robots, Spiders y Crawlers.
Pruebas de gestión de la configura-
ción: el análisis se enfoca en el diseño de
la arquitectura y la infraestructura lógica
que permite identificar fallos en códigos
fuente, la forma de autenticar a los usua-
rios, las configuraciones de software y las
funcionalidades del sistema, entre otros. La
figura 2 relaciona las diferentes pruebas a
realizar en esta categoría.
Spiders
Son robots automáticos que utilizan la mayoría de los grandes
buscadores internacionales y conocidos para indexar los sitios en
sus motores de búsqueda.
Crawlers
Conocido también como rastreador, es un programa que analiza
los documentos de los sitios web.

Seguridad en base de datos - eje 4 propongamos 6

 Métodos
HTTP y XST

Archivos
Gestión de antiguos, copias
extensiones de seguridad y
de archivo sin referencias

Interfaces de
Pruebas de gestión administración
de configuración (infraestructura y
aplicación)

Pruebas de
gestión de
Pruebas de
configuración de
SSL/TLS
la infraestructura
Pruebas del
receptor de
escucha de la BD

Figura 2. Pruebas para la gestión de la configuración según OWASP

Fuente: propia

Pruebas de lógica del negocio: se Comprobación del sistema de auten-

deben aplicar situaciones adversas o que
no sigan el procedimiento que previamente
es definido para realizar una acción den-
tro de la aplicación. Por ejemplo: si para
ingresar se plantea seguir los pasos A, B y C;
las pruebas se enfocan en comprobar qué
pasa con la aplicación si el usuario omite
alguno de los pasos (muestra un mensaje
de error de acceso, error 500, permite acce-
der o genera un fallo inesperado).
ticación: en este sentido se deben analizar
dos factores: confirmar la procedencia de
un objeto (dato) y verificar la identidad de
una persona. En seguridad informática, la
autenticación es el proceso de intentar veri-
ficar la identidad digital del remitente de
una comunicación. Dentro de este proceso
se encuentran una variedad de pruebas que
se deben efectuar, las cuales se relacionan
en la figura 3.

Seguridad en base de datos - eje 4 propongamos 7

 Transmisión de
credenciales a
través de un
canal cifrado

Pruebas Enumeración de
de Captcha usuarios

Pruebas de Pruebas de
gestión del diccionario sobre
caché de cuentas de usuario
navegación y de o cuentas
salida de sesión predeterminadas

Comprobar
sistemas de
recordatorio/ Pruebas de fuerza
restauración de bruta y
contraseñas situaciones
vulnerables adversas
Saltarse el
sistema de
autenticación

Figura 3. Pruebas comprobación del sistema de autenticación

Fuente: propia

Gestión de sesiones: centrada en las cómo se lleva a cabo el proceso de autori-

acciones que realiza el usuario, desde su
autenticación hasta cuando finaliza la
sesión, teniendo en cuenta el contexto de
los requisitos de software y lo que espera
el proveedor.
Pruebas de autorización: tiene que ver
con el control de acceso a cierta informa-
ción o recursos por parte de los usuarios
que tienen los permisos para esto. En este
apartado lo que se busca es comprender
zación de la aplicación, para que a partir de
esto se puedan generar mecanismos para
saltarse dicho proceso.
Pruebas de denegación de servicio: con
el DoS (denial of service) se busca enviar
un alto volumen de tráfico al servidor para
que este no tenga la capacidad suficiente
de responder a las peticiones y termine
por bloquear el sistema o generar malos
funcionamientos.

Seguridad en base de datos - eje 4 propongamos 8

 Pruebas AJAX: una de las desventajas
de esta técnica de desarrollo web es que
es mucho más propensa a ataques que las
técnicas convencionales como php o html,
e implican mayor tiempo de procesamiento
por parte del servidor. Teniendo en cuenta
esto, se deben realizar las pruebas de fun-
cionamiento y rendimiento de los módulos
AJAX que hayan sido implementados en la
aplicación web.
Pruebas de validación de datos: veri-
ficar qué pasa cuando se ingresan datos
no convencionales o que no se encuentren
dentro de los formatos definidos o común-
mente utilizados como entradas de la apli-
cación. Esto permite detectar si el sistema
es propenso a vulnerabilidades de tipo
inyección SQL; ataques de tipo unicode,
alteración de archivos o desbordamiento
de buffer, entre otros.
Video
Para aprender su uso, se recomienda
ver el video:
Introducción y ejemplos de OWASP Zap
https://youtu.be/I951MaqAkB4
Instrucción
Para comprobar el nivel de aprendizaje de este
tema, realice la actividad: emparejamiento,
sobre la metodología OWASP.
Pruebas de servicios web: comprobar
si a través de los servicios web se puede
acceder a información relevante, se pue-
den generar vulnerabilidades de tipo XML,
si funcionan adecuadamente, etcétera, ya
que estos están expuestos a cualquier otro
cliente en la red o fuera de ella. Entre las
pruebas específicas están: pruebas estructu-
rales de XML, comprobación de XML a nivel
de contenido, comprobación de parámetros
HTTP GET/REST, adjuntos SOAP maliciosos,
pruebas de repetición, etc.
Ahora bien, ya que se tiene clara la meto-
dología a seguir, es necesario conocer qué
herramienta facilita este proceso. Para este
fin se plantea el uso de OWASP ZAP una
herramienta de código abierto que permite
realizar ataques pentesting o ataques de
penetración al sistema, con el fin de generar
una auditoría de las posibles vulnerabilidades.
Visitar página
Esta herramienta se puede descar-
gar gratuitamente desde la página
oficial de OWASP:
OWASP Zed Attack Proxy Project
https://goo.gl/b5h4gm
Seguridad en base de datos - eje 4 propongamos 9
Redacción de
un artículo
científico
 Los artículos científicos son documentos escritos en un lenguaje formal y especializado
con el objetivo de divulgar en forma clara los resultados obtenidos de un trabajo de
investigación, siguiendo la estructura que se relaciona en la figura 4.

Figura 4. Estructura del artículo científico

Fuente: Unitrópico

Seguridad en base de datos - eje 4 propongamos 11

 A continuación, se describen cada uno de sus componentes:

Titulo Refleja el contenido del documento. Debe ser llamativo para capturar el interés del lector.

Resumen
Describe en forma clara y precisa, pero no detalladamente la temática de la investigación, los objetivos y los resultados.
(Abstract)
Es una lista de términos que describen el contenido del artículo. Esto sirve también para facilitar las búsquedas digitales.
Palabras clave
Dependiendo de la revista donde se quiera publicar, pueden oscilar entre 3 a 10 palabras.

Introducción: su objetivo es generar interés sobre el tema de investigación, estado del arte, objetivos y avances. Se
deja claro el problema sobre el cual se realiza la investigación, su importancia, preguntas de investigación e hipótesis
propuesta.
Metodología: procedimiento utilizado para llevar a cabo la investigación, análisis de las diferentes alternativas metodo-
lógicas y justificación de las mismas.
Contenido
Resultados: se hace uso de tablas, gráficos, figuras e imágenes para mostrar claramente la información o datos gene-
rados a fin de que el lector pueda tener la fundamentación a partir de la cual se puede generar nuevo conocimiento.
Deben estar acordes a las hipótesis propuestas y la metodología utilizada, así como la relación de los resultados con la
solución del problema.
Discusión: se hace un análisis de los resultados de acuerdo al contexto donde se desarrolló la investigación, dejando clara
la forma en que los resultados generan nuevo conocimiento, se cumplen los objetivos y se generan nuevas propuestas.

Conclusiones Se detallan claramente los resultados concretos y de mayor importancia a raíz de los resultados obtenidos. El lector
debe identificar el cumplimiento de los objetivos; además, se debe indicar que a raíz de estos resultados se pueden
continuar nuevas investigaciones o aplicar en la solución de problemas en otros campos de investigación.

Son los documentos que respaldan cada una de las secciones del artículo o sobre las
cuales se cimentó la investigación, de tal forma que si el lector quiere ampliar la infor- Las normas APA (American Psycolgical As-
sociation) nacen en 1929, cuando un grupo
mación puede acudir a ellos e inferir qué tan robusto es el documento. Los artículos de psicólogos, antropólogos y administra-
científicos manejan entre 30 y 50 referencias, verificadas y actualizadas. dores de negocios definieron un conjunto de
estándares o reglas para implementar en la
Bibliografía A continuación, se muestra un ejemplo de bibliografía de un artículo referenciado con escritura científica, como:
normas APA: • Márgenes y formato del documento
• Puntuación y abreviaciones
• Tamaños de letra
León, F. A., Barrera, N., & Chaparro, J. E. (2016). Módulo de agrometría basado en • Construcción de tablas y figuras
plataforma Android y Bluetooth RN45, “AGROAPP”. Gerencia Tecnológica Informática, • Citación de referencias
15(41), 17-31.
Tabla 1. Componentes de un artículo científico
Fuente: propia

Seguridad en base de datos - eje 4 propongamos 12

 Los artículos científicos son una herra-
mienta fundamental para generar bases
sólidas en el desarrollo de una investiga-
ción, ya sea durante la fundamentación
científica y teórico-conceptual, la elabora-
ción del estado del arte o la redacción del
informe final de la investigación (artículo).
Lectura recomendada
Se recomiendan las lecturas:
Lectura de artículos científicos
Unitrópico
Comunicación científica (VI). conoci-
mientos básicos para elaborar un artí-
culo científico (1): diez pasos a seguir
J. González de Dios, M. Gonzá-
lez-Muñoz, A. Alonso-Arroyo y R.
Aleixandre-Benavent
Instrucción
Después de leer los textos pro-
puestos, realice la actividad: con-
trol de lectura.
¿Cómo buscar artículos
científicos?
Todos los artículos científicos deben con-
tar con información propia del documento
como el título, el nombre de la revista donde
fue publicado, el número de páginas, el año
en que fue publicado y las palabras clave,
entre otros. El siguiente ejemplo muestra
los datos necesarios o básicos para realizar
la búsqueda de un artículo por referencia:
Nombre de la revista, volumen (número),
páginas y (año).
Ejemplo: Gerencia Tecnológica Informá-
tica, 15(41), 17-31 (2016).
Nombre de la Gerencia Tecnológica
revista Informática
Volumen
15(41)
(número)
Páginas 17-31
Año 2016
Tabla 2.
Fuente: propia
Conociendo esta identificación se podrá
ubicar el artículo haciendo uso de buscado-
res especializados o gratuitos.
¿Dónde buscar información y
artículos científicos?
Gracias a internet se han generado una
gran cantidad de repositorios y plataformas
de consulta con altos niveles de calidad,
los cuales están disponibles para consul-
tas en tiempo real y en el momento que
se necesiten. Estos son la principal fuente
de información para los investigadores,
quienes deben adquirir la habilidad de lec-
tura crítica y conocimiento teórico sobre el
tema, que permita una mejor comprensión
y análisis de los resultados, experiencias
y conocimientos relacionados en dichas
publicaciones.
A continuación, se relacionan algunas
plataformas que ayudarán a encontrar
información científica con el fin que la
pueda utilizar en la creación de su artículo
científicos.
Seguridad en base de datos - eje 4 propongamos 13
1. Google Académico: para búsque-
das de tesis, artículos, documentos,
libros y resúmenes. Los resultados
encontrados se muestran ordenados
de acuerdo a la relevancia de las pa-
labras de búsqueda ingresadas.
http://scholar.google.es
2. Scielo: biblioteca digital de carácter
científico, desarrollada en Chile por
la Comisión Nacional de Investiga-
ción Científica y Tecnológica – SciELO
Chile.
http://www.scielo.cl/
3. Doaj - Directory of Open Access
Journals: es un directorio abierto
de revistas académicas y científicas,
con múltiples idiomas y áreas de in-
vestigación.
https://doaj.org/
4. Latindex: surge en 1995 en la Univer-
sidad Nacional Autónoma de México
(UNAM), como un sistema de infor-
mación para América Latina, el Ca-
ribe, España y Portugal. Se pueden
encontrar revistas de investigación
científica, culturales y técnico-profe-
sionales.
http://www.latindex.org/
5. Dialnet: para búsqueda de revistas,
tesis y ponencias de congresos.
http://dialnet.unirioja.es
6. Highwire: liderada por la Univer-
sidad de Stanford, se orienta a las
ciencias de la experimentación, tec-
nología, medicina y ciencias sociales,
entre otras.
http://highwire.stanford.edu/lists /
freeart.dtl
7. BioMed Central: líder en el modelo
open access, lo que permite que se
pueda acceder libre y permanente-
mente a las publicaciones, las cuales
están protegidas por licencia Creati-
ve Commons.
https:// www.biomedcentral.com/
journals
8. HighBeam Research: estudiantes y
profesionales pueden consultar artí-
culos, citas de libros, investigaciones
publicadas, revistas especializadas y
académicas, textos y demás.
https://www.highbeam.com/
9. Science Research: su base de datos
se especializa en artículos científi-
cos y realiza búsquedas también en
otros buscadores.
http://www.scienceresearch.com/
10. Intelligo-Repositorios: puede gene-
rar mapas interactivos de acuerdo a
los términos que se hayan encontra-
do en las bases de datos Scielo, Lare-
ferencia, Redalyc, Csic y Openair.
http://repos.explora-intelligo.info
11. Library Genesis: de acceso libre a
artículos científicos y libros general-
mente de carácter académico en
formatos PDF, EPUB, MOBI, DJVU,
entre otros.
http://gen.lib.rus.ec/scimag/
12. Redalyc: es la Red de Revistas Cien-
tíficas de América Latina y el Caribe.
Es de libre acceso e incorpora herra-
mientas para las etapas de análisis
de la producción, la difusión y el con-
sumo de literatura científica.
http://www.redalyc.org
Seguridad en base de datos - eje 4 propongamos 14
13. Microsoft Academic Search: desarro-
llado por Microsoft Research, permi-
te indexar investigaciones científicas,
mostrando las relaciones existentes
entre diferentes autores y contenidos.
https://academic.microsoft.com/
14. Eric: desarrollado en 1964 por ERIC
(Education Resources Information
Center) del Instituto de Ciencias de
la Educación de Estados Unidos para
almacenar documentos, revistas, artí-
culos y bibliografía especializada.
http://eric.ed.gov/
15. World Wide Science: se compone de
bases de datos y portales web de ca-
rácter científico, cuyo objetivo es mejo-
rar el progreso en investigación cientí-
fica, tomando como base la búsqueda
de información alrededor del mundo.
Multilenguaje en tiempo real.
http://worldwidescience.org/
16. RefSeek: de uso sencillo y eficaz para
buscar direcciones de páginas web con
contenido científico, enciclopedias, re-
vistas especializadas y documentos.
https://www.refseek.com/
17. LRC Virtual: el Centro de Recursos
para el Aprendizaje Virtual permite
encontrar información de sitios web
con información académica. Com-
puesto por una comunidad de do-
centes y profesionales en diferentes
partes del mundo que supervisan los
procesos de consulta, indexación de
libros y verificación de documentos.
http://www.virtuallrc.com/
18. Base: operado por la Biblioteca de
la Universidad de Bielefeld en Ale-
mania, tiene a disposición más de
60 millones de documentos, más de
3000 fuentes y se puede acceder a
textos completos e indexados.
https://www.base-search.net/
19. Springer: compuesto por una co-
munidad de editores que constan-
temente identifica y publica los con-
tenidos de los mejores autores de
investigaciones, revistas, libros y pro-
tocolos, por nombrar algunos.
https://link.springer.com/

Ahora ya tiene a su disposición una buena cantidad de buscadores, en los que puede
encontrar información para su próxima investigación. Se recomienda visitarlos, conocer
su funcionamiento y hacer uso de ellos.

Video

Se recomienda ver el video de la Universidad de Ciencias Apli-

cadas y Ambientales (UDCA) para ampliar la información:

Búsqueda de artículos científicos

https://youtu.be/3x9p3gSWVuo

Seguridad en base de datos - eje 4 propongamos 15

 ¿Cómo es el proceso de publicación?

El poder publicar un artículo en una revista científica es un proceso largo que implica
entre 6 y 12 meses de acuerdo al nivel del articulo y a los lineamientos de la revista a la
que se pretenda someter. La figura 5 muestra el proceso que normalmente debe seguir
el artículo para que pueda ser publicado por una revista.

Elegir revista adecuada Primer filtro

El documento se El artículo se somete a la El editor decide si el
estructura de acuerdo a revista, enviándolo en trabajo cumple los
los lineamientos de la forma digital. criterios mínimos.
revista.

El editor emite una respuesta

El editor remite el
documento a los pares
evaluadores
(mínimo dos).
Segundo filtro
a. Publicar con correcciones
Los pares evaluadores,
menores
según su criterio técnico y
b. Publicar con correcciones
científico, revisan en
mayores
detalle el trabajo.
c. Rechazar la publicación

Tercer filtro
Autores presentan
correcciones al editor
Aval de pares evaluadores
Discusión académica
entre autores y pares
evaluadores.
Aceptado: se publica el
trabajo. Después de 6 a 12
meses de sometido (aprox.).
Rechazado: se revisa el
trabajo y se envía a otra
revista.

Figura 5. Proceso de publicación de un artículo científico

Fuente: propia

¿En qué revistas se puede publicar?

Antes de conocer el listado de revistas, es importante saber que

Colciencias (Departamento Administrativo de Ciencia, Tecnología Revista científica
e Innovación) es el encargado de medir y categorizar cada año las Es una publicación periódica
(semanal, quincenal, mensual,
revistas científicas en todo el territorio nacional mediante el IBN trimestral o anual) en la que se
(Índice Bibliográfico Nacional) y Publindex (Sistema Nacional de compilan documentos resulta-
dos o avances de procesos de
Indexación y Homologación de Publicaciones Especializadas de investigación, los cuales son
Ciencia, Tecnología e Innovación). Actualmente están definidas 4 seleccionados a través de un
riguroso estudio académico
categorías de revistas científicas nacionales, las cuales se relacio- (pares evaluadores).
nan en la tabla 3.

Seguridad en base de datos - eje 4 propongamos 16

 Tabla 3. Categorización de revistas nacionales
Fuente: Colciencias

Instrucción

Puede ampliar la información respecto a

la categorización de revistas, analizando
el recurso: organizador gráfico.

Lectura recomendada

Documento Guía Servicio Permanente de Indexación de Revistas

de Ciencia, Tecnología e Innovación Colombianas de

Colciencias

En esta publicación puede encontrar una descripción detallada

de las características que debe tener una revista para que sea
indexada en alguna de las 4 categorías relacionadas en la tabla 3.

Seguridad en base de datos - eje 4 propongamos 17

 Visitar página

Las revistas indexadas y categorizadas pueden ser encontra-

das en el buscador que ha dispuesto Colciencias.

Publindex Colciencias

https://goo.gl/1g7WeW

En este sitio puede encontrar la lista de revistas científicas

nacionales categorizadas, así como las revistas extranjeras. Revista indexada
Es una revista que ha sido
En Latindex se reúnen, publican y se da acceso a los conte- listada en alguna base de
nidos y textos completos de revistas académicas disponi- datos científica de consulta
internacional: ISI (Institute
bles en hemerotecas digitales de América Latina, el Caribe, for Scientific Information)
España y Portugal. - Web of Science (WoS) de
Thomson Reuters, Science
Latindex Citation Index (SCI), So-
cial Sciences Citation Index
(SSCI), Arts & Humanities
https://goo.gl/Bq4Prg Citation Index (A&HCI) o
Scopus de Elsevier.

Conclusiones

Partiendo de un análisis detallado de los sistemas de información de las organizaciones

se deben plantear e implementar estrategias y actividades que permitan fortalecer la
seguridad de las aplicaciones web, generando la respectiva documentación del proceso
y los resultados obtenidos.

La metodología OSWASP plantea dos fases principales: la fase pasiva en la que se

busca comprender la lógica de funcionamiento del sistema e identificar posibles túneles
de ataques o vulnerabilidades, y la fase activa en la que se realiza un análisis minucioso
e implementación de diferentes pruebas de autorización, sesiones, configuración, lógica
del negocio, denegación del servicio, AJAX, validación y servicios web.

La herramienta OWASP ZAP permite realizar ataques pentesting o ataques de pene-

tración al sistema, con el fin de generar una auditoría de las posibles vulnerabilidades
encontradas en la aplicación web o sistema de información que se esté analizando.

Los artículos científicos son documentos escritos en un lenguaje formal y especializado

con el objetivo de divulgar en forma clara los resultados obtenidos de un trabajo de inves-
tigación y se componen de un título, resumen, palabras clave, metodología, resultados,
discusión, conclusiones y referencias.

Seguridad en base de datos - eje 4 propongamos 18

 Los resultados de una investigación son una de las partes más importantes de un
artículo, ya que en esta sección se muestran claramente al lector los datos o informa-
ción generada a partir de las hipótesis propuestas y metodología utilizada, de tal forma
que se puedan generar nuevos conocimientos o servir como base para solucionar otros
problemas de investigación.

Aunque los buscadores son la principal fuente de información para los investigadores,
es necesario adquirir la habilidad de lectura crítica y conocimiento teórico sobre el tema,
que permita una mejor comprensión y análisis de los resultados, experiencias y conoci-
mientos relacionados en las publicaciones encontradas.

Colciencias es el encargado de medir y categorizar cada año las revistas científicas en

todo el territorio nacional mediante el IBN y Publindex.

Instrucción

Como complemento a la temática abordada en el pre-

sente referente, se recomienda revisar el videorresumen,
que condensa los aspectos principales y reforzará los
conocimientos adquiridos.

También debe realizar la actividad evaluativa: Auditoría

de seguridad.

Seguridad en base de datos - eje 4 propongamos 19

 Bibliografía

OWASP. (2013). Testing Guide de OWASP 4.0. (Documento Guía). Recuperado de

https://www.owasp.org/images/1/19/OTGv4.pdf

OWASP. (2017). OWASP Top 10 - 2017 Los diez riesgos más críticos en Aplicaciones
Web. Recuperado de https://www.owasp.org/images/5/5e/OWASP-Top-10-
2017-es.pdf

Díaz, D. [DiazSecurity]. (2017,04,05). Introducción y ejemplos de OWASP Zap.

[Archivo de video]. Recuperado de https://youtu.be/I951MaqAkB4

León, F.A., Barrera, N., y Chaparro, J. E. (2016). Módulo de Agrometría basado

BIBLIOGRAFÍA

en plataforma Android y Bluetooth RN45,”AGROAPP”. Gerencia Tecnológica

Informática, 15(41), 17-31.

Unitropico. (2016). Lectura de Artículos Científicos. Recuperado de http://

investigacion.unitropico.edu.co / wp-content /uploads /2016/09/Charla-
Art%C3%ADculosN3.pdf

de Dios, J. G., González-Muñoz, M., Alonso-Arroyo, A., y Aleixandre-Benavent, R.

(2013). Comunicación científica (VI). conocimientos básicos para elaborar un
artículo científico. Acta Pediátrica Española, 71(10), 229-235.

Leal, M. [ Biblioteca UDCA]. (2012,08,14). Búsqueda de Artículos Científicos.

[Archivo de video]. Recuperado de https://youtu.be/3x9p3gSWVuo