TEMA:

Propuesta para el diseño de una aplicación utilizando

metodologías de seguridad de aplicaciones y OWASP
(Etapa Final)

ALUMNA:
JESSICA ELIZABETH ALVARADO SÁNCHEZ

DOCENTE:
DIANA NATHALY LÓPEZ ALMENDÁRIZ

MÓDULO:
SEGURIDAD DE APLICACIONES

FECHA:
2 de Octubre de 2022
CONTENIDO

INTRODUCCIÓN .......................................................................................................................3
PRESENTACIÓN DE LA EMPRESA Y SUS PROCESOS ................................................4
PRESENTACIÓN DEL DISEÑO DE LA APLICACIÓN Y SUS MÓDULOS ....................5
SELECCIÓN DEL MÓDULO FORMA DE PAGO PARA ESTABLECER LOS
CONTROLES DE SEGURIDAD .............................................................................................6
CONTROLES DE SEGURIDAD EN EL DISEÑO DE LA APLICACIÓN WEB ................8
CONCLUSIONES......................................................................................................................9
MATRIZ DE RIESGO PARA EL RESTAURANTE “LA SAZÓN DE CASA ..................10
Bibliografía..............................................................................................................................11
INTRODUCCIÓN

La propuesta de diseño de una aplicación es para un emprendimiento de venta de

comidas saludables y nutricionales a domicilio, por lo que la principal vía de contactar
es por medio de una aplicación móvil y una aplicación web en la que el cliente hará su
pedido y forma de pago escogiendo su producto de un amplio menú del día. La
aplicación se llama “Mi menú favorito” y para el diseño de esta aplicación además de los
módulos que la componen es necesario tener en cuenta los controles y estándares de
seguridad que es la parte principal de lo que vamos a presentar en este documento.

Dentro de los conceptos de seguridad de las TI (tecnologías de la información)

encontramos el Triángulo CIA que representa los principios de la seguridad en lo
referente a la información en el internet y por ende en los sistemas de información. Estos
principios a los que nos referimos son: confidencialidad, integridad y disponibilidad
(confidentiality, integrity, availability en inglés). En otras palabras, para decir que una
información o un sistema de información estén seguro, los controles o medidas de
seguridad que se apliquen deben garantizar estos tres principios, si falla uno de ellos,
los datos o los sistemas de información son vulnerables de ser adulterados o destruidos.

Consideramos también implementar el estándar de seguridad de aplicaciones móviles

OWASP para tener mayor seguridad, entre las medidas a tomar tenemos las siguientes:
almacenamiento de datos y privacidad, uso de claves criptográficas, autenticación y
control de sesiones, comunicación con servicios, interacción con la plataforma móvil,
calidad del código, mecanismos contra la manipulación e ingeniería inversa, etc.

En forma general la propuesta de esta aplicación para la venta de comida consiste en

cinco módulos u objetos, estos son: el módulo CLIENTES, MENÚ, PEDIDOS, VENTAS,
FORMA DE PAGO. Cada módulo tiene sus opciones o datos a registrar.

El sistema de funcionamiento del negocio o emprendimiento es el siguiente: el cliente

que quiere pedir un menú lo puede hacer con mínimo 4 horas de anticipación de la hora
que quiera tener su pedido en su domicilio, por ejemplo, si desea su comida para
almorzar a las 13H00, tiene el tiempo máximo para hacerlo hasta las 09H00. Puede
solicitar su pedido por medio de la aplicación web, aplicación móvil o llamada telefónica.
Una vez tomado el pedido del cliente el departamento de ventas, el área de despacho
se encargará de surtirlo, siendo esta responsabilidad del departamento de operaciones
que también tiene a cargo la designación de un despachador motorizado para hacer la
entrega a domicilio. El área de producción se encargará de todo lo relacionado con
preparación de los alimentos. El área comercial además de tomar los pedidos se
encargará de realizar la publicidad y captación de la clientela. Otros departamentos que
también se hacen presentes en este negocio son: administración, financiera, recursos
humanos y no podía faltar las gestión de las tecnologías de la informática o internet que
es uno de los procesos que se va a analizar para detectar los posibles riesgos que se
pueden presentar en el negocio junto con el proceso de producción. Este análisis será
presentado en una matriz de riesgo.

Así también en la presentación del diseño del software se analizará el módulo de formas
de pago para saber qué controles de seguridad se deben aplicar.
DESARROLLO

PRESENTACIÓN DE LA EMPRESA Y SUS PROCESOS

El diseño de la aplicación que se propone es para la empresa restaurante “La sazón de

casa” que elabora alimentos y comidas y las entrega a domicilio. Para realizar de una
manera más organizada sus actividades con proyección a seguir expandiéndose a otras
ciudades del país, la empresa desea sistematizar los procesos de pedido de sus
productos con una aplicación web y móvil que le permita llegar a más clientes y
aumentar sus ventas, que se vienen realizando sólo por vía telefónica o presencial en
el local.

Como se mencionaba en la introducción, la empresa tiene varios departamentos que

manejan cada una de las áreas de actividades que necesita realizar la empresa para su
buen funcionamiento. El departamento de administración realiza los planes generales
del negocio para cada departamento, supervisa que los demás departamentos tengan
todo lo necesario, hace las compras y se encarga de la seguridad física del
establecimiento. El departamento financiero está a cargo de la facturación, cobranzas,
hacer presupuesto, llevar la contabilidad y hacer los pagos. El departamento de recursos
humanos está encargado de la selección y contratación de personal, hacer la nómina
de pago, realizar capacitaciones y entrenamientos a los empleados que lo requieran. El
departamento comercial está a cargo de coger los pedidos de los clientes, captar nuevos
clientes y brindar una atención de calidad a los mismos. El departamento de operaciones
se encarga de coordinar entre el departamento comercial y el de producción que el
pedido sea entregado al cliente a su domicilio o donde haya solicitado que se lo lleven,
es decir el personal de operaciones es quien despacha el menú y lo moviliza a su
destino. El departamento de producción está encargado de realizar todos los menús que
se exhiben en las cartas y en la publicidad de las redes sociales y se expondrá en las
aplicaciones que se implementarán en esta propuesta.

Figura # 1: Departamentos que tiene la empresa restaurante “La sazón de casa”

 A raíz de esta modalidad de servicio que quiere implementar el negocio se crea el
departamento de las tecnologías de la información que tiene la responsabilidad de llevar
a buen término este proyecto, mantener la infraestructura de los equipos tecnológicos
en óptimas condiciones, controlar los procesos en el sistema para verificar que estén
funcionando correctamente, entre otras actividades más.

PRESENTACIÓN DEL DISEÑO DE LA APLICACIÓN Y SUS MÓDULOS

La siguiente aplicación a presentar se llama “Mi menú favorito” y es tanto usarla en la

web como para los teléfonos inteligentes (móvil). Consta de cinco módulos. El módulo
CLIENTES que tiene los siguientes campos: código de cliente, este es un número que
generará el propio sistema, nombre, dirección, preferencias de alimentos,
observaciones, estos últimos datos los llena el usuario o potencial cliente. En el campo
preferencias de alimentos se quiere conocer los gustos de los clientes para tenerlo en
cuenta en la elaboración del menú y en el campo de observaciones puede indicar si
desea una alimentación especial por motivos de salud o régimen de dieta preguntándole
a través de estas dos opciones y dejando un cajón de entrada de texto para que deje
un comentario.

En el módulo de MENÚ están los siguientes campos: SOPAS con múltiples opciones de
sopas de acuerdo al programa establecido por el departamento de producción, lo mismo
pasa con los siguientes campos: SEGUNDO, JUGOS Y POSTRES que se desplegará
un submenú de múltiples opciones para que el cliente pueda escoger. Cabe indicar que
cada producto disponible tendrá a la vista su respectivo precio, el mismo que se irá
sumando en el campo CUENTA A PAGAR que reflejará el total a pagar de la orden. En
el campo DETALLE DEL PEDIDO se generará un comprobante digital para que el
usuario verifique que su pedido aparece como lo pidió y pueda ser despachado.

El módulo PEDIDO tiene campos que los llena tanto el sistema como el usuario. Los
campos que llenará el usuario son LUGAR DE ENTREGA, FECHA DE ENTREGA Y
HORA DE ENTREGA. EL campo NÚMERO DE ORDEN será llenado por el sistema, el
campo CODIGO DE REPARTIDOR será llenado internamente por el departamento de
operaciones y el campo DETALLE DEL PEDIDO también se llena automática por el
sistema una vez el cliente haya realizado su pago. En el caso de pago en efectivo el
cliente tiene hecho un depósito de dinero en el restaurante a manera de prepago, y el
sistema le resta de su saldo.

En el módulo VENTAS los campos son llenados por el sistema y verificados por el
departamento de finanzas para emitir el documento como lo pide la ley. Estos campos
son NÚMERO DE FACTURA, FECHA DE PAGO, CÓDIGO DE CLIENTE, DETALLE
DEL PEDIDO, VALOR DEL PEDIDO, RECARGOS, TOTAL DE VENTA.

Y en el módulo FORMA DE PAGO que está conectado a una base de datos

interbancaria se presentan las siguientes opciones: TARJETA DE DÉBITO, TARJETA
DE CRÉDITO, TRANSFERENCIA BANCARIA, EFECTIVO. Cada una de estas
opciones tiene otra interfaz que los conecta con las diferentes opciones de tarjetas o
bancos a excepción de EFECTIVO que le presenta una interfaz donde le pide que
ingrese una clave y responda una pregunta de seguridad para confirmar su identidad y
pueda realizar el pago con el dinero depositado previamente en el restaurante. Cuando
se haya efectuado la operación aparecerá una ventana con su saldo actualizado.

PROYECTO MI MENÚ SALUDABLE

DESCRIPCIÓN: Esta aplicación es para vender almuerzos saludables a la carta a domicilio
TIPO: MOBIL Y WEB
MÓDULOS: CLIENTES MENÚ PEDIDOS VENTAS FORMA DE PAGO

NUMERO DE NUMERO DE
OPCIONES NOMBRE SOPAS TARJETA DE DEBITO
ORDEN FACTURA

LUGAR DE TARJETA DE
DIRECCIÓN SEGUNDOS FECHA DE PAGO
ENTREGA CREDITO
PREFERENCIA
FECHA DE CODIGO DE
S DE JUGOS EFECTIVO
ENTREGA CLIENTE
ALIMENTOS
CODIGO DE HORA DE DETALLE DEL
TRANSFERENCIA
CLIENTE POSTRES ENTREGA PEDIDO
OBSERVACIO CUENTA A CODIGO DE
VALOR DEL
NES PAGAR REPARTIDOR
PEDIDO

TABLA # 1: ESQUEMA DEL DISEÑO DE LA APLICACIÓN REALIZADO EN EXCEL

SELECCIÓN DEL MÓDULO FORMA DE PAGO PARA ESTABLECER LOS

CONTROLES DE SEGURIDAD
A continuación explicaremos algunas medidas de seguridad a seguir basados en el
estándar de seguridad de aplicaciones móviles OWASP. Esta guía define 2 niveles de
seguridad, tanto como un grupo de requisitos de resistencia a la ingeniería inversa.

Estos son los requisitos o medidas a tomar en el área de almacenamiento de datos y

privacidad:

 No guardar información sensible en el almacenamiento local del dispositivo, y

en caso de ser necesario, esta debe ser cifrada usando una clave derivada del
hardware de almacenamiento seguro, el cual requiere autenticación previa.
 No escribir información sensible en los logs del sistema ni en copias de
seguridad.
 No exponer información sensible como contraseñas o números de tarjetas a
través de IU (interaz de usuario) o capturas de pantalla, y desactivar la caché
del teclado en los campos de texto que contienen dicha información.

Medidas o requerimientos en el uso de claves criptográficas.

 No depender únicamente de criptografía simétrica cuyas claves se encuentran

directamente en el código fuente de la app.
 No reutilizar una misma clave criptográfica para varios propósitos.
 Los valores aleatorios son generados utilizando un generador de números
aleatorios suficientemente seguro.
Medidas a considerar para la autenticación y control de sesiones.

 Para aplicaciones que gestionan información muy sensible aplicar mecanismos

de doble factor de autenticación.
 Las sesiones y los tokens deben expirar pasado un tiempo predefinido de
inactividad por parte del usuario.

En el área de compartir datos con un servidor, las medidas a considerar son

estas:

 La información es enviada cifrada utilizando el protocolo TLS.

 La aplicación verifica el certificado X.509 del sistema remoto al establecer
el canal seguro y sólo se aceptan certificados firmados por una CA de
confianza.
 La aplicación utiliza su propio almacén de certificados o realiza pinning del
certificado o la clave pública del servidor.

En lo referente a la interacción con la plataforma móvil se tiene en cuenta los

siguientes aspectos:

 La app requiere la cantidad de permisos mínimamente necesaria.

 La aplicación no expone ninguna funcionalidad sensible a través de

mecanismos IPC salvo que dichos mecanismos estén debidamente protegidos

 Deshabilitar JavaScript de los Webviews salvo que sea necesario.

 Las WebViews se configuran para permitir el mínimo de los

esquemas (idealmente, sólo https). Esquemas peligrosos como file, tel y app-id
están deshabilitados.

Medidas de buenas prácticas para que el código sea seguro:

 La aplicación debe ser firmada y provista con un certificado válido, así como
ser publicada en modo reléase.
 La aplicación captura y gestiona debidamente las posibles excepciones.
 Las funcionalidades de seguridad gratuitas de las herramientas tales como
minificación del byte – code, protección de la pila, soporte PIE y conteo
automático de referencias, se encuentran activadas.
 Hacer uso de herramientas que permitan analizar el código fuente para
detectar posibles vulnerabilidades como por ejemplo SonarQube.

Mecanismo contra la manipulación e ingeniería inversa.

 Firmado de la aplicación, en el sistema Android se utilizan claves públicas y

privadas. En el momento de compilar una aplicación con todos los elementos
que la componen (textos, gráficos, códigos, etc) cada desarrollador debe
asegurarla con su certificado para que la firma identifique la aplicación y resulte
posible saber si fue modificada o se mantiene intacta. Esta es la única manera
 de saber si una app es falsa o es auténtica; en el caso de que se haya
modificado la firma, de tenerla, no se corresponderá con el desarrollador
original.
 Anti – Tamper: Las técnicas anti-tamper dificultan que un atacante pueda
modificar un software, realizando ingeniería inversa y validando su integridad
para su posterior uso modificado. Para ello se verifica que la firma de la
aplicación sea la original y se aplican mecanismos de comprobación del
checksum.
 Ofuscación del código: La ofuscación del código permite compactar, optimizar y
hacer ilegible el código renombrando semánticamente clases, campos,
métodos y nombres. El resultado es un aplicativo más pequeño y complejo de
realizar inversa sobre él, dificultando la comprensión de los mismos ante los
ojos maliciosos.
 Verificación del origen del instalador: Con esta técnica se comprueba que la
aplicación ha sido distribuida desde el origen confiable, evitando que tengamos
en nuestra terminal una copia del apk que haya podido ser infectada con
malware.
 Anti-Debug: Las técnicas anti-debug dificultan o detectan la depuración de una
aplicación, con el objeto de poder aplicar determinadas acciones que eviten
que un atacante continúe con el proceso. El mecanismo más sencillo es a
través de una propiedad en el propio manifiesto de la app, si bien se
recomienda comprobar dinámicamente y en varios puntos si la depuración está
teniendo lugar o no.
 Anti-emulador: Si nuestra aplicación se está ejecutando en un emulador fuera
del proceso de desarrollo, indica que alguien más que nosotros está tratando
de analizar la aplicación. Por ello, una buena práctica es comprobar que en una
versión release, no se está accediendo a la aplicación mediante un emulador
que facilite atacar la seguridad de la misma.
 Anti-Clone: mecanismo para evitar que la aplicación pueda ser clonada, a este
respecto se definirán las propiedades adecuadas para evitar hacer una copia
de la aplicación instalada y obtener el binario que un posible atacante podría
utilizar para aplicar técnicas de ingeniería inversa.
 Dispositivo confiable: Google dispone de una API anti-abuso (SafetyNet Attestation
API), permite evaluar si el dispositivo Android en el que se ejecuta una aplicación
es confiable. (S.L., 2021)

CONTROLES DE SEGURIDAD EN EL DISEÑO DE LA APLICACIÓN WEB

La seguridad en las aplicaciones web es muy importante para proteger los datos, los
clientes y las organizaciones del robo de datos, las interrupciones en la continuidad de
los negocios u otras consecuencias perjudiciales del delito cibernético. Para evitar
tales delitos es necesario implementar procesos, tecnologías y métodos para proteger
los servidores web, las aplicaciones, los servicios como las API.
Los diferentes enfoques de la seguridad de las aplicaciones web abordan diferentes
vulnerabilidades. Los cortafuegos de aplicaciones web (WAF), entre los más
completos, se defienden contra muchos tipos de ataques mediante la vigilancia y el
filtrado del tráfico entre la aplicación web y cualquier usuario. Configurados con
políticas que ayudan a determinar qué tráfico es seguro y cuál no, un WAF puede
bloquear el tráfico malicioso, evitando que llegue a la aplicación web e impidiendo que
la aplicación divulgue cualquier dato no autorizado.
Otro método de seguridad de las aplicaciones web se centra en la autenticación de los
usuarios y la gestión del acceso, los escáneres de vulnerabilidad de las aplicaciones,
la gestión de las cookies, la visibilidad del tráfico y las listas de denegación de IP, por
ejemplo.
Una solución para proteger la aplicación y los datos sensibles de la empresa, en este
caso, es la contratación de un servicio de un software de seguridad desde la nube, o
internet, que proteja la información, mitigando las vulnerabilidades contra la actividad
fraudulenta. (f5, 2022)

CONCLUSIONES

Con el objetivo de expandir el negocio de la alimentación hacia un determinado sector

y clientela que quiere comer calidad, sabiendo que la alimentación no es un gasto sino
una inversión para tener mejor salud, la implementación de la tecnología en este caso
es primordial para alcanzar dicho objetivo, por lo que la implementación del sistema
diseñado para este fin es una adquisición y activo principal para la empresa, por lo
tanto así mismo es incuestionable que se tiene que aplicar los controles de seguridad
tanto en la parte física tangible, como en los activos intangibles o datos.

La información es uno de los recursos más relevantes de una empresa, ya que

depende de esta para conectar cada una de las áreas del negocio, de unificar los
procesos y de guiar la productividad hacia la dirección correcta, por lo tanto la
información es muy valiosa y debe ser protegida de forma adecuada. Es por esto que
las herramientas de seguridad informática a implementar deben estar dirigidas al
análisis constante y a la ejecución proactiva para detectar vulnerabilidades en los
ambientes de la empresa, realizándose mediciones desde una plataforma digital en la
que se puedan visualizar los distintos procesos de la organización. A sí mismo,
implementar estas herramientas constituyen una inversión a corto, mediano y largo
plazo, para garantizar la seguridad y evitar posibles ataques que pueden ocasionar
graves pérdidas o la quiebra de la empresa

(HACKNOID, 2019)

Para finalizar con las recomendaciones generales para establecer los controles
adecuados para la seguridad de la información es preciso establecer mediante la
implantación de un sistema de gestión (SGSI) que evalúe mediante un análisis
científico las necesidades de una empresa, las amenazas y los riesgos de seguridad
en la información. Cada actividad y entorno en el que se desarrolla así como el tamaño
y dimensión de cada organización determinará los controles adecuados para cada
organización. (Normaiso27001, 2021)
MATRIZ DE RIESGO PARA EL RESTAURANTE “LA SAZÓN DE CASA

POTENCIAL PROBABILIDAD NIVEL DE

FACTORES DE ORIGEN DEL
PROCESOS CONSECUENCI IMPACTO DE RIESGO
RIESGO RIESGO
A OCURRENCIA INHERENTE
Falta Pérdida o
actualizació destrucción
Intrusos en
n de firware de los A B 4
la red
equipo sistemas de
antiguo información
Disminución Incompatibili
en las dad del Demora en
nuevas software implementar
Gestión funcionalidad base con los nuevos B A 4
es para el plataforma softwares en
Tecnología
proyecto en de desarrollo desarrollo
de la desarrollo actual.
Información
Acceso de
Falta de
Cámaras de personas
mantenimien
seguridad indebidas A A 5
to y/ o
dañadas y/o pérdidas
reposición
de activos
Disminución Hardware
de la gestión Que
con los
recursos
sistemas de información colapsen
B B 1
del proceso limitados

Daño en
alguna parte
Utensillos de
del cuerpo
Cortes y cocina sin
pinchazos filo y en mal
de cualquier B B 1
empleado
estado
impidiendo ir
a trabajar
Golpe o
fractura de
Suelo en la
Caídas y alguna parte
Resbalones
cocina en
del cuerpo
B B 1
Gestión de mal estado
de cualquier
producción empleado
(área de Contacto Cocina,
Quemaduras
cocina) en la piel de
térmico y hornos y
algún
B A 4
quemaduras freidoras
empleado
Funcionamie
nto de
aparatos
eléctricos, Afectación
Contaminaci
ón acústica
manipulació en el sentido B A 4
n de la loza del oído
y voces de
los
empleados

(MARCAPL, 2017) (información, 2020)

Bibliografía
f5. (2022). F5 GLOSSARY. Obtenido de ¿Qué es la seguridad de las aplicaciones web?:
https://www.f5.com/es_es/services/resources/glossary

HACKNOID. (2 de Julio de 2019). BLOG HACKNOID. Obtenido de Importancia de la seguridad

informática de las empresas: https://www.hacknoid.com/hacknoid/importancia-de-la-
seguridad-informatica-de-las-empresas/

información, M. d. (abril de 2020). Guía para la gestión de riesgos de seguridad de la

información. Obtenido de www.gobiernoelectronico.gob.ec:
https://www.gobiernoelectronico.gob.ec

MARCAPL. (17 de SEPTIEMBRE de 2017). MARCA THE SAFETY COMPANY. Obtenido de

TRABAJOS EN COCINAS - FACTORES DE RIESGO Y MEDIDAS PREVENTIVAS:
https://marcapl.com/blog/2017/09/trabajos-en-cocinas-factores-de-riesgo/

Normaiso27001. (2021). ISO 27001. Obtenido de ESTABLECER CONTROLES ADECUADOS PARA

LA SEGURIDAD DE LA INFORMACIÓN: https://normaiso27001.es/

S.L., N. T. (13 de Septiembre de 2021). SEIDOR nts. Obtenido de Seguridad de las aplicaciones
móviles: ¿Cómo garantizarla?: https://www.nts-solutions.com/blog/seguridad-
aplicaciones-moviles.html#-atacantes-