1. COLEGIO DE ESTUDIOS CIENTÍFICOS Y
TECNOLÓGICOS DEL ESTADO
MÉXICO
Plantel Tecámac
PORTADA ACADÉMICA
Tecnología de la Información y las Ciencias
M.TIC RENE DOMINGUES ESCALONA
Elaborado por:
Moralez Vazquez Francisco Javier
Reyes Lerma Ernesto Ariel
Grupo 106 Maquinas-Herramientas
PRIMER SEMESTRE
Tecámac Estadode México a 4 de Octubre del 2017
2. Índice
Tabla de contenido
PORTADA ACADÉMICA........................................................................................................................ 1
Índice................................................................................................................................................. 2
LA IMPORTANCIA DE LA SEGURIDAD EN APLICACIONES WEB ................................................................ 3
Introducción.......................................................................................................................................4
Objetivos............................................................................................................................................ 5
Justificación........................................................................................................................................6
Planteamiento del problema............................................................................................................... 8
Desarrollo..........................................................................................................................................9
Espionaje industrial y político........................................................................................................... 9
Cómo convertirse en un blanco fácil.............................................................................................. 10
Ataques “springboard”.................................................................................................................... 11
Sin motivos económicos ................................................................................................................ 11
Tipos de seguridad informática.......................................................................................................... 12
Cronogramas.................................................................................................................................... 15
Conclusión........................................................................................................................................ 16
Bibliografía....................................................................................................................................... 17
3. LA IMPORTANCIADE LA SEGURIDADEN APLICACIONES WEB
Cada vez es más habitual el uso de aplicaciones y tecnologías web en empresas o
Gobiernos. Su fácil implementación y uso han hecho que sean prácticamente
omnipresentes y esenciales en el comercio electrónico y aplicaciones intranet o
extranet. Por lo tanto, información sensible y crítica es manejada a través de
aplicaciones web.
Según estudios, una gran cantidad de sitios web son vulnerables a ataques surgiendo
en los últimos años dos tendencias en el mercado de seguridad:
Los atacantes no actúan por razones de prestigio personal, sino por obtener
ingresos a través del fraude.
Las aplicaciones web se han convertido en el objetivo para las operaciones de
hackers. Según el grupo Gartner, se estima que el 75% de los ataques tienen
como objetivo este tipo de aplicaciones.
Actualmente, en gran medida la reputación de una empresa está en manos de la
aplicación web utilizada. Según una encuesta realizada en EE.UU., el 60% de los
Clientes cesarían su relación con una empresa si sus datos personales estuvieran en
riesgo de sufrir un ataque.
La seguridad de una aplicación web no puede ser ignorada. Las decisiones de
seguridad han de ser tomadas durante todo el ciclo de vida del proyecto: desde la fase
de diseño hasta la de puesta en producción. Aunque es necesario conocer aspectos
técnicos, herramientas y metodologías para asegura una aplicación web.
4. Introducción
La presente investigación habla sobre los problemas que hay actualmente en las
páginas web, ya que hay muchas empresas que utilizan la web para vender, hacer
publicidad a sus negocios o producto, etc.
Uno de los problemas más comunes que se enfrenta cada administrador de una página
web es que es vulnerable a los hackers y ellos pueden tener…………
Acceso a la base de datos y el robo de información personal o sensible
La alteración de código del sitio web con el fin de cambiar lo que ven los usuarios
Interceptar datos personales y sensibles
Un ataque de Denegación de Servicio (DoS).
La investigación se realizó con las entrevistas que se le realizo a gente de mi
comunidad que usan las páginas web para dar a conocer su negocio.
Uno de los problemas al hacer estas entrevistas fue que algunos vecinos no les
intereso y nos corrieran al escuchar que eran temas sobre el internet ya que esta gente
no le interesa el internet porque para ellos es malo y justamente tienen estos
pensamientos por no informarse sobre los pros y los contras de las páginas web.
La investigación se realizó principalmente para informar a la gente sobre los riesgos
que conlleva tener una página web, explicarle como asegurar su página para que allá
menos riesgos de ser hackeados y darnos cuenta nosotros sobre cuanta gente utiliza
5. las páginas web sin saber los riegos que pueden correr por no estar bien informados y
cuanta gente tenía más o menos un conocimiento sobre estos riegos.
Objetivos
1. Informar: Informar a la gente sobre la importancia de la seguridad de las páginas
web
2. Orientar: orientar en qué hacer si se llega a presentar una situación de robo de
identificación, etc.
3. Crear conciencia: crear conciencia en la gente con ejemplos para que la próxima
vez que hagan algo se informen y vean los pros y contras de las cosas
4. Pros y contras: informarle a la gente sobre los pros y las contras de tener una
página web
6. Justificación
La motivación de un hacker para atacar un sitio varía desde la obtención de información
específica hasta facilitar el ataque a un objetivo mayor. Si perteneces a una PYME y
piensas que esto sólo se aplica a las grandes corporaciones, estás equivocado.
Datos e información valiosa
Lo más probable es que el objetivo sea una o más bases de datos, pues son lo que
contiene información valiosa. Como una forma de proteger a los consumidores contra
este tipo de riesgo, el comercio electrónico y otros sitios web que recopilan información
de tarjetas de crédito de sus clientes deben contar con altos estándares de seguridad.
Espionaje político y empresarial
La información contenida en las bases de datos o en los servidores de las empresas
puede no ser de utilidad para los defraudadores, pero puede ser muy útil para la
competencia. Alguien con acceso a tus datos y cuentas de clientes podría llegar a
obtener nombres de usuario y contraseñas archivos confidenciales o correos
electrónicos.
Cuando decidas tener un sitio web, contrata un servicio de diseño y desarrollo serio,
que garantice el uso de plantillas y plugins originales, además de un hosting que te
brinde la seguridad que tú y tu información necesitan.
7. Pero esta información no lo sabe la mayoría de la gente que es administradora de una
página web y son más vulnerables al robo de identidad sin que ellos lo sepan y
queremos que la gente esté enterada sobre esto.
8. Planteamiento del problema
¿Cuáles son los diferentes tipos de problemas,peligros y amenazas a la
seguridad de un sitio web y qué puede hacer que su empresay sitio web
sean un blanco atractivo y vulnerable?
Muchas pequeñas empresas piensan que no representan un objetivo importante para
los atacantes. Sin embargo, aquí le demostraremos que esta hipótesis es totalmente
incorrecta. Todos los emprendimientos en línea se enfrentan a una variedad de peligros
y amenazas que deben comprenderse y evaluarse.
Cuanto más valiosa sea la información en su base de datos, mayores serán las
probabilidades de que la información sea blanco de ataques. Si sus registros consisten
en información confidencial o financiera que podría facilitar el fraude, su base de datos
será más atractiva para hackers que puedan utilizar o vender esta información para
obtener beneficios económicos. Con el objetivo de proteger a los consumidores contra
este tipo de amenaza, los comercios electrónicos y otros sitios web que cobran créditos
y pagos por clientes, deben ser compatibles con PCI (Industria de Tarjetas de Pago).
Recuerde que hasta sus datos personales básicos también pueden ser de valor. Sus
datos pueden usarse para usurpar la personalidad de alguien, difundir malware o
simplemente como un medio de alterar sus servicios por motivos personales.
9. Desarrollo
Datos e información valiosa
Cuanto más valiosa sea la información en su base de datos, mayores serán las
probabilidades de que la información sea blanco de ataques. Si sus registros consisten
en información confidencial o financiera que podría facilitar el fraude, su base de datos
será más atractiva para hackers que puedan utilizar o vender esta información para
obtener beneficios económicos. Con el objetivo de proteger a los consumidores contra
este tipo de amenaza, los comercios electrónicos y otros sitios web que cobran créditos
y pagos por clientes, deben ser compatibles con PCI (Industria de Tarjetas de Pago).
Recuerde que hasta sus datos personales básicos también pueden ser de valor. Sus
datos pueden usarse para usurpar la personalidad de alguien, difundir malware o
simplemente como un medio de alterar sus servicios por motivos personales.
Espionaje industrial y político
La información en sus bases de datos o servidores de su empresa puede no resultar útil
para defraudadores, pero puede ser muy útil para empresas, industrias o hasta
gobiernos relacionados con su compañía o que compiten con usted. Los datos o
nombres de usuario y contraseñas robadas pueden darle acceso a alguien a las
cuentas y los datos de sus clientes, o a la inteligencia, archivos o correos electrónicos
confidenciales de su organización.
Según lo informado por Bloomberg:
“China ha hecho del espionaje industrial una parte integral de su política económica al
robar secretos industriales para tratar de pasar por encima los EE.UU. y otros
10. competidores extranjeros, todo para seguir su objetivo de convertirse en la mayor
economía mundial. Esto han concluido los funcionarios de inteligencia estadounidense
en un informe publicado el mes pasado”.
Usted podría ser víctima del espionaje o robo si su elemento diferenciador o ventaja
competitiva, o incluso su ventaja de llevar la iniciativa o una campaña que quiere
mantener en secreto están ligados a su inteligencia propietaria o código.
Cómo convertirse en un blanco fácil
El escaneo automático de vulnerabilidades, junto con las interacciones sociales cada
vez más fragmentadas entre las empresas y sus clientes, significa que las pequeñas y
medianas empresas que dedican menos recursos en la lucha contra los ataques,
representan un volumen cada vez más alto de blancos cada vez más fáciles. De
acuerdo con el sitio Symantec.com, los ataques dirigidos a pequeñas empresas
constituyeron el 31% de todos los ataques a la seguridad en el 2012, en lugar del 18%
del año anterior.
Los Escáneres de Vulnerabilidades en Aplicaciones Web escanean sitios web para
encontrar configuraciones inseguras de servidores y otras vulnerabilidades de
seguridad conocidas que facilitan ataques como XSS (ataques de secuencia de
comandos en sitios web), inyecciones de SQL, ejecuciones de comandos, accesos a
directorios y configuraciones inseguras del servidor. Si su sitio web tiene
vulnerabilidades, es cada vez más probable que los hackers las identificarán y
aprovecharán.
11. A medida que la comunicación aumenta a través de los medios sociales, los
consumidores se han venido acostumbrando a recibir mensajes de remarketing y CRM
de empresas a través de una gama de medios sociales, que a menudo ofrecen
cupones, descuentos y otros incentivos. Esto hace que las estafas de phishing (la
suplantación de identidad de una organización para obtener información personal y
financiera, o para difundir malware) sean más populares que nunca para presuntos
atacantes.
Ataques “springboard”
Las pequeñas empresas tampoco son inmunes al espionaje. Las empresas con poca
protección son cada vez más a menudo el trampolín (springboard) a ataques más
importantes contra organizaciones más grandes de las cuales son proveedores.
Por ejemplo, un intruso podría robar información y archivos personales relacionados
con uno de sus grandes clientes para crear un correo electrónico perfectamente
diseñado y dirigido a un miembro de esta organización (esto se conoce como
“ingeniería social”). Su sitio web o aplicación podría también usarse para facilitar la
instalación de malware en las computadoras de una organización específica que se
sabe utiliza el sitio o la aplicación. Esto se consigue al inyectar códigos en su sitio web
para redirigir al usuario a un sitio diferente, que luego infecta la computadora de destino
(lo que se conoce como un ataque watering hole).
Sin motivos económicos
No todos los hackers tienen motivos económicos. Un objetivo muy ambicioso para los
hackers que atacan sitios web como deporte son los sitios con la mejor seguridad
12. (como aquellos propios de expertos en seguridad de Internet). Del mismo modo, los
sitios web de enemigos políticos o sociales pueden ser blancos populares.
Tipos de seguridad informática
Estos son entonces los Tipos de Seguridad Informática que existen en el mercado, las
cuáles serán sus herramientas vitales para nuestra estadía segura en Internet, logrando
con ello una fuerte defensa contra los cibercriminales.
Por ejemplo, podríamos hablar de dos escalones que irán de lo básico a lo
especializado en materia de seguridad para alcanzar una segura navegación o defensa:
Primer escalón: Tipos de Seguridad Informática Básica:
Uso de Antivirus
Uso de Antimalware
Uso de Antispyware
Uso de Firewall
Copias de Seguridad
Actualizaciones de sistema
Lo que se conseguirá con estos elementos, será el obstaculizar la entrada de archivos
maliciosos a nuestro sistema. De igual manera, dentro de sus ventajas está el análisis
diario, semanal o mensual de nuestro sistema para localizar vulnerabilidades y
remediarlas. Hay muchas versiones gratuitas y de igual forma dependerá de los
beneficios que queramos obtener para adquirirlos a través de pagos.
13. Segundo escalón: Tipos de Seguridad Informática Elemental:
Uso de Seguridad SSL
Al utilizar los protocolos de seguridad SSL, nuestro sistema se coordinará con los
elementos anteriores para garantizar una navegación segura con respaldo tanto para el
usuario como para el servidor. El método de protección que maneja este elemento es el
de encriptación de datos y capa segura de comunicación.
Al encriptar los datos, los entes ajenos a la transacción no podrán interceptar los datos
y de hacerlo, les será imposible el traducir su contenido. Gracias a la capa que el
sistema de HTTPS instala en la comunicación, se crea un canal seguro a través del
cual viaja la información y solo las partes en cuestión pueden tener acceso a ella.
Se utiliza comúnmente en sitios donde se realizará comercio electrónico o sitios
relacionados a bancas en línea. Los tipos y precios variarán según la necesidad que el
servidor busca cubrir en su plataforma, sin embargo, de no utilizarlo se recomienda que
no realice transacciones, ya que se pondrá en riesgo su identidad y su dinero.
La forma de identificarlo será: Barra de navegación de color verde; Inicio de URL con
HTTPS y un ícono de candado en el sitio.
Lo anterior, para evitar los daños provocados por la Ingeniería Social. ¿No sabes a lo
que nos referimos? No te preocupes, aquí te lo explicamos.
Ingeniería Social se refieren a aquellos métodos que los ciber delincuentes ponen en
práctica para hacernos caer y ser víctimas de sus artimañas. Ejemplos de ello son:
14. Mensajes en nuestro equipo que nos dicen que está infectado.
Ofertas falsas con promociones llamativas que al ingresar nos remiten a otro
sitio.
Mensajes de intimidación a manera de extorsión, pero que resultan fraudes.
Solicitud de información a través de falsas plataformas o de gente que viola
nuestra confianza haciéndose pasar por agentes oficiales.
Parece extraordinario el caer en estos ataques pero las estadísticas marcan que es
cosa de todos los días. Por ello se invita a aplicar las medidas señaladas y sobre todo
evitar caer en las artimañas de la Ingeniería Social, dando clics en los vínculos
sospechosos y navegando precavidamente.
15. Cronogramas
Actividades Lunes Martes Miércoles Jueves Viernes
Portada
resumen
introducción
Objetivos
Justificación
Planteamiento
del problema
Marco teórico
y contextual
cronograma
conclusiones
Bibliografía
16. Conclusión
Hoy en día Internet es de vital importancia para todos ya que muchos servicios residen
y/o se ofrecen vía online. Por lo tanto la gestión de los riesgos que pueden afectar a
estos sistemas es un aspecto muy importante a tomarse en consideración. Sin entrar en
detalles técnicos, podemos resumir que el riesgo se calcula mediante una fórmula
aritmética en base a la probabilidad, al impacto de una vulnerabilidad y al valor del
activo afectado. Una vulnerabilidad podemos considerarla como una debilidad presente
en nuestro sistema la cual podría ser explotada por un atacante para comprometerlo.
En las páginas Web podemos encontrar diferentes vulnerabilidades como por
ejemplo: inyecciones SQL, Cross Site Scripting (XSS), inclusiones de ficheros
locales (LFI) y remotos (RFI), Server Side Includes (SSI), etc… En Internet es
posible encontrar diferentes estadísticas de distribuciones de vulnerabilidades de las
páginas Web. En ellas es posibles apreciar que las inyecciones SQL y XSS siguen
siendo las vulnerabilidades más frecuentes. Existen diferentes metodologías de gestión
de riesgos como MAGERIT, CRAMM, y OCTAVE.