Tecnología Móvil: La tecnología móvil básicamente en su concepto es la conexión que pueden tener dispositivos y a su vez las personas sin utilizar medios alámbricos de conexión donde el medio es el aire y este transmite la información mediante ondas electromagnéticas; tiene mucho tiempo de estar en funcionamiento, dado a que se buscan simplificar las actividades diarias para agilizar los procedimientos que diariamente queremos o necesitamos desarrollar.
Android: más que un sistema operativo, representa toda una pila de software para dispositivos móviles que incluye gran cantidad de drivers, gestor de bases de datos, una completa framework de aplicaciones, y numerosas aplicaciones de usuario. Android está basado en el núcleo de Linux y todas sus aplicaciones se escriben en lenguaje Java, disponiendo además de una máquina virtual específica llamada Dalvik.
Seguridad de la Información: La Seguridad de la Información tiene como objetivo proteger la información de los datos y trata de mitigar la pedida y modificación de los mismos; son medidas técnicas, organizativas y legales que permiten a cualquier organización asegurar los pilares fundamentales de este concepto como son,
confidencialidad, integridad y disponibilidad de cualquier sistema de información. (calidad, 2015)
29
Seguridad en Android: En Android cada aplicación se ejecuta en su propio proceso. La mayoría de las medidas de seguridad entre el sistema y las aplicaciones deriva de los estándares de Linux 2.6, cuyo kernel, recuérdese, constituye el núcleo principal de Android; Cada proceso en Android constituye lo que se llama un cajón de arena o sandbox, que proporciona un entorno seguro de ejecución.
Aplicación Móvil: Es un programa diseñado y desarrollado según las necesidades requeridas para el usuarios, el cual se puede descargar e instalar y al que puede acceder directamente desde su dispositivo móvil que soporte estas. (ITU, 2009)
NIST 800-163: Es una norma responsable del desarrollo de las normas y directrices de seguridad de la información, incluyendo requisitos mínimos para los sistemas de
información federales de los EE UU; este documento permite a las organizaciones entender los procesos de verificación de la seguridad de las aplicaciones móviles, el plan para la implementación de un proceso de aplicación de investigación de antecedentes, los requisitos para el desarrollo de las aplicaciones de manera segura, entender los tipos de vulnerabilidades que pueden afectas estas aplicaciones y determinar finalmente si una aplicación es aceptable o no para entrar en producción en una organización. (NIST, 2015)
ISO 27001: Es una norma internacional presentada por la Organización Internacional de Normalización (ISO) y la cual describe la manera de gestionar la seguridad de la
30
información en cualquier tipo de organización con o sin fines de lucro, privada o pública, pequeña o grande. (Agustín López Neira, s.f.)
Sandbox: Un Sandbox es entorno de pruebas donde se puede trabajar una aplicación móvil App, de tal manera que se puedan detectar las vulnerabilidades que esta presenta con el fin de evitar cambios en el equipo que podrían llegar a ser perjudiciales o simplemente de difícil reversión. El concepto de Sandbox es muy amplio ya que abarca muchos ámbitos, como por ejemplo desarrollo web, wikis o servicios web. (Salesforce , 2015)
Cifrado: La práctica de la codificación y decodificación de datos se conoce como "cifrado". Cuando los datos se cifran, significa que se aplicó un algoritmo para codificarlos, de modo que ya no están en su formato original y, por lo tanto, no se pueden leer. Los datos solo se pueden decodificar a su forma original aplicando una determinada clave de
descifrado. (Kaspersky, 2015)
Vulnerabilidades: Punto o aspecto del sistema o sus aplicaciones que es susceptible de ser atacado o de dañar la seguridad del mismo. Representan las debilidades o aspectos falibles o atacables en un sistema informático. (Wordpress, 2013)
Amenazas: Posible peligro para el sistema. Puede ser una persona (hacker), un
31
etc.). Representan los posibles atacantes o factores que aprovechan las debilidades del sistema. (Wordpress, 2013)
Man in the middle: El ataque ‘Man in the middle’, traducido al español como ‘El hombre en el medio’, es un ataque PASIVO, que se lleva a cabo tanto en redes LAN como WLAN. Es un ataque en el que en la transmisión de información por una red, se intenta modificar esta para alterarla, sin que ninguna de las dos partes, emisora y receptora conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e
interceptar mensajes entre las dos víctimas. (Galisteo Cantero & Moya Reyes, 2009)
Integridad: la “integridad de los datos” puede definirse como la imposibilidad de que alguien modifique datos sin ser descubierto. Desde la perspectiva de la seguridad de datos y redes, la integridad de los datos es la garantía de que nadie pueda acceder a la información ni modificarla sin contar con la autorización necesaria. Si examinamos el concepto de “integridad”, podríamos concluir que no solo alude a la integridad de los sistemas (protección mediante antivirus, ciclos de vida del desarrollo de sistemas estructurados [SDLC], revisión de códigos fuente por expertos, pruebas exhaustivas, etc.), sino también a la integridad personal (responsabilidad, confianza, fiabilidad, etc.) (Gelbstein D. , 2011)
Autenticación: Llamamos autentificación a la comprobación de la identidad de una persona o de un objeto. Hemos visto hasta ahora diversos sistemas que pueden servir para la autentificación de servidores, de mensajes y de remitentes y destinatarios de mensajes.
32
Pero hemos dejado pendiente un problema: las claves privadas suelen estar alojadas en máquinas clientes y cualquiera que tenga acceso a estas máquinas puede utilizar las claves que tenga instaladas y suplantar la identidad de su legítimo usuario. (EUMED, 2015)
NVD (The National Vulnerability Database): NVD es el repositorio gobierno de Estados Unidos de las normas de datos de gestión de vulnerabilidades representados mediante el protocolo de contenido de Automatización de Seguridad (SCAP). Estos datos permiten la automatización de la gestión de la vulnerabilidad, medida de seguridad, y el cumplimiento. NVD incluye bases de datos de listas de control de seguridad, fallas de software relacionados con la seguridad, errores de configuración, nombres de productos y métricas de impacto. (National Vulnerability Database, 2014)
SCAP (Security Content Automation Protocol): El Protocolo de contenido
Automatización de Seguridad (SCAP) es una síntesis de las especificaciones interoperables derivados de las ideas de la comunidad. La participación comunitaria es una gran fortaleza para SCAP, porque la comunidad de automatización de seguridad garantiza la más amplia gama posible de casos de uso se refleja en la funcionalidad SCAP. (SCAP, 2015)
CAPEC3 (Common Attack Pattern Enumeration and Classification): CAPEC es un catálogo a disposición del público de patrones de ataque, junto con una amplia esquema y
33
clasificación taxonomía creada para ayudar en la construcción de software seguro. (MITRE)
METODOLOGÍA
1.8.1 Tipo de estudio.
El resultado de este trabajo de grado es de carácter cualitativo, porque parte de un reconocimiento de información relacionado con las buenas prácticas que en el mercado cubren las necesidades de la seguridad de la información, y que actualmente aplican a nivel mundial en el desarrollo y funcionamiento de las aplicaciones móviles.
La investigación que se propone también es de carácter exploratoria dado a que la información que se suministrara proviene de estándares actuales que brindan buenas prácticas y las cuales fueron desarrolladas mediante el descubrimiento de las diferentes revisiones en proyectos internacionales; y es proyectiva también pues plantea una guía base que ayudará a mitigar riesgos de información.
1.8.2 Fuentes de Información.
El referente de este trabajo fue el estándar NIST 800-163, algunos estudios de seguridad por empresas reconocidas y la norma ISO 27001-2013, esta última alineada con los Sistemas de Gestión de la Seguridad de la Información (SGSI), en donde se tomará la norma NIST para identificar las vulnerabilidades en el funcionamiento de un App
desarrollada sobre Android y posteriormente se analizarán los componentes o dominios que contiene la norma ISO 27001-2013 y se tomarán las pautas más relevantes de estas normas
34
para cubrir y garantizar la seguridad sobre los datos y sobre las transacciones que se pueden ejercer sobre dicha información.