1

Actividad evaluativa Eje 4

Definir políticas de seguridad

Presentado Por:

Carlos Sebastian Castillo Silva

Luisa Fernanda Mendivelso Solarte

Presentado al Tutor:

Deivys Morales

Fundación Universitaria Del Área Andina.

Facultad de Ingeniería y ciencias básicas

Modelos de Programación II
Mayo 2023.
 2

Tabla de contenido

Introducción ……………………………………………………………………………….3

Objetivo general y específicos ……………………………………..………………….. 3

Desarrollo ……....………....……………………………………………………………...4

Conclusiones..……………………………………………………………..……………..12

Referencias bibliográficas ……………………………………………………………...13

 3

Introducción
En este eje evaluativo podemos ver todo el trabajo realizado en los anteriores ejes
lo cual es un sistema bancario, sin embargo, estos parámetros de seguridad
funcionan en el desarrollo de cualquier aplicación y así minimizar el riesgo de
infiltraciones externas.
En la actualidad el crecimiento de internet y el uso de él, hace que comercios
electrónicos, páginas de ocio, contienen nuestra información, la cual se podría
catalogar como información sensible ya que contiene nuestra información de nivel
personal, por lo cual como usuarios de estos sitios web esperamos que tengan
una buena seguridad para así mismo entregar nuestra información.
Sin embargo, para los programadores hacer sitios web seguros no es fácil, ya que
primeramente debemos asegurar el objetivo principal de la aplicación, y además
asegurar el correcto almacenamiento y protección de la información entregada por
los usuarios

Objetivo General

1. Conocer los sistemas de seguridad para sistemas ya sean web o apps.

Objetivos Específicos

1. Identificar los riesgos existentes en el desarrollo de una aplicación web.

2. Crear y establecer políticas de seguridad para minimizar cualquier riesgo
informático.
 4

Desarrollo conceptual

Una cooperativa desea crear una aplicación web para que sus usuarios puedan
realizar sus transacciones online (consultas, aportes, retiros, actualizaciones,
descarga de certificados, extractos, etc.). Usted ha sido la persona seleccionada
para crear una estrategia que pueda brindar las técnicas, herramientas, políticas y
protocolos que le garanticen la seguridad necesaria para su buen funcionamiento.
Por lo tanto, debe enviar un documento en el que explique qué acciones aplicaría
con el fin de obtener este nivel de seguridad.
● La finalidad de este trabajo es definir una política de seguridad, que
garantice lo necesario para un buen funcionamiento de cualquier aplicativo,
los entornos de desarrollo que realizan las transacciones y usuarios de la
base de datos.
● La norma ISO 27001 describe cómo gestionar la seguridad de la
información de una empresa, el objetivo principal de esta norma es proteger
la confidencialidad, integridad, y la disponibilidad de la información de la
empresa.
● Tenemos el concepto de arquitectura de software, que es la que nos
define la utilización para dar soporte, nos pueden ayudar a impulsar el
rendimiento y al mismo tiempo mejorar la tolerancia en el negocio.

El delito cibernético, se presenta en muchas formas y se están haciendo avances

todo el tiempo, los delincuentes buscan causar interrupciones a las organizaciones
al derribar los sistemas de TI para tener ganancias financieras.
La importancia de la seguridad en una aplicación web es necesaria si se quiere
proteger a los clientes sobre posibles robos de datos o ataques informáticos,
además del buen funcionamiento de la aplicación ya que así se trata de garantizar
la integridad de la información.

La función de la seguridad en aplicaciones:

● La empresa bancaria debe conocer la seguridad y ser consciente de los

importantes riesgos para los ingresos que implica el aumento de ciber
amenazas y debe disponer recursos para una iniciativa de seguridad de
aplicaciones, donde se debe incluir capacitaciones y herramientas.
● Se deben tener unos protocolos de seguridad para hacer confiable el
ingreso a la aplicación como: privacidad de la información y su protección
frente accesos por parte de personas no autorizadas como hackers,
integridad de los datos y su protección frente a corrupción por fallos de
soportes o borrado, disponibilidad de los servicios, frente a fallos técnicos
 5

internos o externos se deben identificar riesgos o errores en la aplicación,

además de evidencias posibles aplicaciones que puedan vulnerar las
políticas de seguridad.
Arquitectura de una aplicación Web.
● Lo primero a tener en cuenta es el navegador o front ya que es lo que el
usuario final va a interactuar constantemente, es nuestra presentación.
● La siente gráfica se muestra los lenguajes de programación más usados
para programar aplicaciones web

Gráfica 1: Lenguajes de programación más utilizados en 2022, tomada de:

https://adictec.com/top-lenguajes-programacion/

EVALUEMOS LOS RIESGOS Y AMENAZAS PARA BANCOS

Es necesario mencionar los riesgos y amenazas que enfrenta una empresa

bancaria con los sitios web.
● Las aplicaciones Web están disponibles en todo momento y lugar, por lo
que hay una infinidad de servicios e información sensible que están
expuestos en internet, por lo tanto, suponen un blanco potencial para los
delincuentes.
● Una vez comprometido un servidor web, se facilita el acceso a otros
sistemas de la empresa mediante técnicas de pivoting. Esto se une al
 6

hecho de que en ocasiones los servidores almacenan información sensible

que puede llegar a ser robada.
● Ataque de inyección SQL : es una técnica que emplea la inserción de
códigos para explotar la vulnerabilidad de un determinado sitio web. Se
utiliza comúnmente para atacar aplicaciones 9 que son controladas
únicamente por datos, donde se colocan sentencias de SQL en un campo
de entrada para su ejecución.
● Este tipo de ataque cibernético lo que busca es manipular datos existentes,
como cambiar saldos, eliminar datos, ser los administradores de base de
datos e incluso exponer públicamente información privada almacenada en
el sistema.
● CSRF / Falsificación de solicitudes: lo que se busca con este tipo de
ataques es engañar al usuario para que envíe solicitudes maliciosas de
esta forma el delincuente informático pueda tomar la identidad e
información de la víctima para realizar acciones que comúnmente no
realizaría un usuario.
● El delincuente informático puede obtener la cookie de sesión del usuario, la
dirección IP, las credenciales del dominio de Windows, Ios, etc. De esta
forma la persona podrá autenticar el sitio como lo hace frecuentemente y el
Site no tendrá la manera de diferenciar entre la solicitud falsa y la que es
legal.

Gráfica 2: Ataques ciberneticos en 2022, tomada de:

https://www.asuntoslegales.com.co/actualidad/los-ataques-ciberneticos-aumentaron-30-
durante-el-primer-semestre-de-este-ano-3198212
 7

Técnicas de Software

La empresa bancaria debe tener muy claro que la seguridad de la web es de vital
importancia ya que con eso se fortalece las vulnerabilidades y podemos proteger
la integridad de la información de los usuarios. Realizando de manera adecuada y
eficiente los procesos de protección de información, garantizamos la confianza de
los usuarios al navegar por el sitio web ya que cuenta con la tranquilidad de que
sus datos están protegidos.
En los negocios de varios sectores, como la energía, el transporte, el comercio al
detalle y la fabricación, el uso de sistemas digitales y conectividad de alta
velocidad para proporcionar un servicio eficiente al cliente y ejecutar operaciones
empresariales rentables. Igual que protegen los recursos físicos, deben proteger
también los recursos digitales y los sistemas frente al acceso no intencionado. El
evento no intencionado de incumplimiento y acceso no autorizado a un sistema
informático, una red o recursos conectados se denomina ciberataque. El éxito de
un ciberataque produce la exposición, sustracción, eliminación o alteración de
datos confidenciales. Las medidas de ciberseguridad defienden frente a
ciberataques y proporcionan los siguientes beneficios.

Prácticas para garantizar la seguridad de aplicaciones:

● La creación de un programa de amenazas internas es esencial para las

empresas que trabajan con datos confidenciales. Con él se protege esa
información junto con la reputación de la marca. Esta incluye desarrollar
políticas para cada área y obtener el compromiso de los directores de cada
una de ellas.
● La primera línea de defensa en un ciberataque es el firewall. Es una barrera
poderosa entre la información y los ciberdelincuentes. Además del firewall
externo, las empresas hoy también instalan firewalls internos para contar
con protección adicional. Sin embargo, el teletrabajo también ha generado
la necesidad de instalar firewall en la red doméstica de cada uno de los
empleados que trabajan desde casa.
● Llevar a cabo una evaluación de riesgos, así se puede definir si la
aplicación es segura y que implicaciones puede tener para el proyecto.

Controles de seguridad

Garantizar la seguridad de la aplicación y de los datos que ésta almacena,

definiendo e implementando controles de seguridad robustos. También se debe
hacer un seguimiento de las personas que hacen uso de sus privilegios para
acceder a los datos.
 8

● Elaborar un plan de contingencia sobre un posible ataque informático.

● Utilizar los controles del framework para la administración de sesiones
● Los controles de administración de sesiones deben utilizar algoritmos que
generen identificadores suficientemente aleatorios
● Antes de mostrar información poco fiable, codifica HTML para convertir el
script potencialmente dañino en cadenas de visualización.
● Ciclo de vida del desarrollo seguro: como todo desarrollo software, la
creación de una aplicación web implica la existencia de un ciclo de vida
debe estar presente en todos sus estudios.
● Establecer estrategias contra entradas dañinas de usuarios.
● Existen diversas metodologías que se pueden usar tales como: Utilizar
consultas parametrizadas con tipos de datos fuertemente tipados
● No es un secreto que se pueden eliminar las vulnerabilidades de forma
implacable y endurecer meticulosamente todas sus tecnologías de
seguridad, pero no puede construir un campo de fuerza impenetrable
alrededor de su aplicación.
● Educación y formación en la seguridad de aplicaciones web, son
desarrolladas por personas, por lo cual se deberá tener una información
acorde que les permita conocer las principales amenazas así mismo tener
ayudas sobre cómo contrarrestarlas por ejemplo: Una herramienta de
seguridad te ayudará a proteger tu aplicación web, tal como un hosting de
calidad.
● Realizar una continua formación sobre virus y posibles ataques
informáticos.
● Conservar y salvaguardar la información mediante una correcta ejecución
de backups.

Técnicas de Hardware

Es frecuentemente el elemento más caro de todo sistema informático y por tanto

las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad física de cualquier empresa.

Problemas a los que nos enfrentamos:

● Acceso físico.
● Desastres naturales.
● Alteraciones del entorno.

Si alguien que desea atacar un sistema tiene acceso físico, todo el resto de
medidas de seguridad implantadas se convierten en inútiles.
 9

De hecho, muchos ataques, como por ejemplo los de denegación de servicio; si

apagamos una máquina que proporciona un servicio es evidente que nadie podrá
utilizarlo.

Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos

podemos copiar los ficheros o robar directamente los discos que los contienen.

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el

control total del mismo, por ejemplo iniciando con un disco de recuperación que
nos permita cambiar las claves de los usuarios, a continuación haremos un check
list para entender un poco de los parámetros que debemos tener en cuenta.

● Verificar que el servidor esté conectado correctamente.

● Realizar una lista de chequeo donde se encuentre todos los implementos
que se necesite trabajar y cuáles no.
● No se debe pedir ayuda a terceros si no directamente a un ingeniero o un
técnico en caso de dudas o fallas en sistemas
● Asegurar sus equipos de acceso, mediante contraseñas de sesión en el
Windows, procurar no dejar las sesiones abiertas en dispositivos mientras
se realizan otras labores ejemplo, impresión.
● Evitar el uso de USB o medios de extracción de información que sean
usados por los funcionarios.
● Controlar el acceso desde los equipos de la empresa a sitios personales de
los funcionarios
● Implementar seguridad a nivel de redes con dispositivos y servicios de
ciberseguridad, como firewalls, antivirus, prevención de intrusiones y
seguridad en dispositivos de usuario como lo es Fortinet.

Gráfica 3: Ciberseguridad en empresas, tomada de: https://www.antiun.com/que-es-la-

ciberseguridad/
 10

Prevención de la pérdida de datos.

Sirve para garantizar que los usuarios no envíen información delicada o crítica
fuera de la red corporativa. El término describe productos de software que ayudan
a un administrador de redes a controlar los datos que los usuarios pueden
transferir.

● Al momento de finalizar sesión en un computador o dispositivo que maneje

información, procurar que se tengan estándares de destrucción como por
ejemplo para los discos duros.
● Desde el equipo podemos configurar redes exclusivas para las vistas que
pueden evitar acceso a los servidores de la empresa solo con entrar a las
instalaciones de la misma.

Una buena educación frente a la seguridad informática es fundamental para que

tanto los usuarios como las empresas sean conscientes de los peligros a los que
están expuestos en la navegación web y así mismo tomar las precauciones al
respecto, esto para minimizar los ataques cibernéticos.

● Desconfianza frente a personas ajenas a la empresa: Como usuario lo

conveniente es optar por el papel protector que generalmente plantea tener
una desconfianza saludable frente a personas ajenas.
● Los ciberdelincuentes utilizan técnicas que les permiten que los archivos
adjuntos, puedan contener malware que se instale en un segundo plano y
que permita acceder al sistema.
● Lo recomendable en este caso es minimizar el riesgo de que se incite a los
trabajadores a abrir los archivos adjuntos de correos electrónicos
procedentes de remitentes desconocidos.
● Correo electrónico: de no ser posible identificar al remitente de un correo
electrónico con total seguridad, debe ser sumamente cuidadoso. Los
usuarios o trabajadores deberán consultar en todo caso a una persona del
departamento de tecnología antes de responder a ese tipo de mensajes.

Enfoque de seguridad a sistemas bancarios

• Autenticación de dos factores (2FA): La autenticación de dos factores es un
método que requiere que los usuarios proporcionen dos formas de
identificación para acceder a sus cuentas, generalmente una combinación de
algo que saben (contraseña) y algo que poseen (como un código generado por
una aplicación móvil).
• Certificados SSL/TLS: Los certificados SSL/TLS (Secure Sockets
Layer/Transport Layer Security) se utilizan para establecer conexiones seguras
entre el navegador del usuario y el servidor bancario. Esto ayuda a cifrar los
 11

datos transmitidos, evitando que terceros puedan interceptar y leer la

información confidencial.
• Encriptación de datos: Las aplicaciones y webs bancarias utilizan técnicas de
encriptación para proteger los datos sensibles almacenados en sus servidores.
La encriptación convierte la información en un formato ilegible para cualquier
persona que no tenga la clave de descifrado correspondiente, lo que ayuda a
proteger la información en caso de un acceso no autorizado.
• Firewall y sistemas de detección de intrusiones (IDS/IPS): Los firewalls y
sistemas de detección de intrusiones son herramientas de seguridad que
monitorean y controlan el tráfico de red hacia y desde los servidores bancarios.
Ayudan a prevenir y detectar intentos de acceso no autorizado o actividades
sospechosas, como ataques de hackers.
• Protección contra ataques de fuerza bruta: Las aplicaciones y webs bancarias
implementan medidas para protegerse contra ataques de fuerza bruta, donde
los atacantes intentan adivinar las contraseñas probando diferentes
combinaciones. Esto puede incluir bloquear temporalmente las cuentas
después de varios intentos fallidos de inicio de sesión o requerir que los
usuarios completen verificaciones adicionales para confirmar su identidad.
Estos últimos se hablaron a lo largo del trabajo aunque no de una forma tan
puntual si no algo mas general en pro de tener una investigación mucho más
enriquecedora para nosotros como estudiantes y poder abarcar muchos mas
temas y así poder nutrirnos mucho mas con la investigación.
 12

CONCLUSIÓN
• La seguridad informática es crucial en el sistema bancario: El texto destaca la
importancia de proteger los activos informáticos del usuario, lo cual es
especialmente relevante en el contexto bancario. Los bancos manejan grandes
cantidades de datos financieros y personales, por lo que deben implementar
medidas de seguridad sólidas para proteger la información de sus clientes y
evitar posibles ataques cibernéticos.
• La protección de archivos y datos confidenciales es fundamental: El texto
menciona la importancia de proteger los archivos, ya sean importantes o no,
debido a su exclusividad para el usuario. En el sistema bancario, la seguridad
de los datos es esencial para garantizar la confidencialidad de la información
financiera y personal de los clientes. Los bancos deben implementar medidas
de seguridad adecuadas para proteger los datos almacenados y transmitidos
en sus sistemas.
• La capacitación en buenas prácticas de seguridad es esencial: El texto resalta
la importancia de capacitar a los colaboradores en buenas prácticas de manejo
de la información. En el sistema bancario, esto se vuelve aún más crucial, ya
que los empleados tienen acceso a datos sensibles. Es fundamental que los
empleados de los bancos estén debidamente capacitados en temas de
seguridad informática, como el manejo adecuado de contraseñas, la detección
de phishing y la protección de la información confidencial de los clientes. Esto
contribuirá a fortalecer el sistema bancario en su conjunto.
 13

Referencias bibliográficas

Loaiza, A., & Castro, J. (2020) La seguridad de las aplicaciones bancarias y dispositivos

sin contacto que permitenefectuar pagos en Colombia, recuperado de :

https://repository.unimilitar.edu.co/bitstream/handle/10654/36702/ZambranoLoaizaAngieC

arolina-SuarezCastroJohanCamilo2020.pdf?sequence=1&isAllowed=y

Organización de los estados americanos. (2015). Ciberseguridad, recuperado de:

https://www.oas.org/es/sms/cicte/ciberseguridad/publicaciones/2015%20OEA%20-

%20Ciberseguridad%20Kit%20de%20Herramientas%20para%20la%20Campaña%20de

%20Concientización%20(Español).pdf

Hayat. U. (2023) Como proteger sus aplicaciones bancarias de las brechas de seguridad,

recuperado de: https://www.globalsign.com/es/blog/como-proteger-sus-aplicaciones-

bancarias-de-las-brechas-de-seguridad