Seguridad del

Software y de
Sistemas de
información PATRICIO ALVIAL
Seguridad en
el ciclo de
desarrollo de
software.
Excusas para no
desarrollar con
Seguridad
La Complejidad lo hace seguro.
Nunca se encontraron vulnerabilidades.
“Nadie” se interesa por la aplicación.
La Organización tiene un Firewall.
Desarrollamos en “https”.
No requiere altos privilegios.
✔ Fase de requerimientos.
✔ Fase de diseño.
✔ Fase de Desarrollo.
✔ Fase de Pruebas.
✔ Fase de Despliegue.
✔ Fase de Operaciones.

SDLC; Software
Develop Life Cicle
 Guía para el desarrollo seguro

•Ningún componente es confiable hasta demostrar lo contrario.

•Delinear mecanismos de autenticación difíciles de eludir.
•Autorizar, además de autenticar.
•Separar datos de instrucciones de control.
•Validar todos los datos explícitamente.
•Utilizar criptografía correctamente.
•Identificar datos sensibles y cómo se los debería gestionar.
•Considerar siempre a los usuarios del sistema.
•La integración de componentes cambia la superficie de ataque.
•Considerar cambios futuros en objetos y actores.
Seguridad en
aplicaciones
web y
moviles
A1: Inyección.
A2: Pérdida de Autenticación.
A3: Exposición de datos sensible.
A4: Entidades Externas XML (XXE).
A5: Pérdida de Control de Acceso.
A6: Configuración de Seguridad
Incorrecta.
A7: Secuencia de Comandos en Sitios
Cruzados (XSS). Riesgos para los
A8: Deserialización Insegura.
A9: Componentes con vulnerabilidades
Aplicativos
conocidas. (Open Web
A10: Registro y Monitoreo Insuficientes.
Application Security
Project , OWASP)
• SQL Injection.
• XSS Cross Site Scripting.
• Session Hijacking.

• Cross Site Request Forgery (CSRF).

• Inyección de comandos.

PRUEBAS DE SEGURIDAD DE
APLICACIONES WEB
• Acunetix Web Vulnerability • Nikto
Scanner • Netkat
• Burp Suite (Para pruebas • Netkraft
autenticadas) • Metasploit
• Nessus o Qualys
• Kali (Linux)

PRUEBAS DE SEGURIDAD DE
APLICACIONES WEB
Defensas Perimetrales
e Internas de los
Aplicativos

• Defensa Perimetral de Apps.

• Defensa Interna.
Defensa
Perimetral
de Apps.

• Firewalls de Nueva Generación.

• Cortafuegos de aplicativos WEB
(WAF).
• Software de Seguridad.
• Construcción de los
Aplicativos.
• Defensa de la plataforma
Sistema Operativo.

Defensa
interna de
Aplicativos
• Datos en repositories.
• Datos en tránsito.

Protección
de los Datos
• Acceso controlado a los datos cifrados • Asistencia de Funciones
con doble factor de autenticación. unidireccionales para el control de
• Uso de algoritmos simétricos de Integridad de los datos.
encriptación.

DATOS EN REPOSITORIOS
✔ Secure Sockets Layer
(SSL)

✔ Transport Layer
Security (TSL)

Datos en
Tránsito