Articulos relacionado con aplicaciones y software a medida desarrollador por Q2BSTUDIO

UN TRAJE A MEDIDA

El software a medida es desarrollado mediante la utilización de la última tecnología actualizada. El sistema se desarrolla específicamente para satisfacer los requisitos de negocio del cliente. Cualquier descontento o dificultad del cliente que aparece durante el proceso de desarrollo se pueden mejorar. Todo se hace con permiso del cliente. Es seguramente el beneficio más importante del desarrollo de software a medida.

CON UN COSTE MÍNIMO

A veces los costes asociados con el desarrollo de aplicaciones de negocio personalizadas para tu empresa son más altos que la compra de un producto ya preparado, y a veces no lo son. Los beneficios a largo plazo de invertir en el desarrollo de software a medida son mucho más valiosos que los que se producen por la compra de un producto ya hecho. Además imagina el coste adicional en el que tienes que incurrir cuando pagas por licencias, ya sea a corto o largo plazo o lo que también pagas por la compra de productos que no están incluidos en el software comprado o en la plataforma y que también necesitas.

CON UN BUEN MANTENIMIENTO

Con el desarrollo de software a medida, el mantenimiento normalmente se incluye durante todo el tiempo que es necesario. Con el software estándar, tu negocio está a merced del desarrollador del software que has comprando y no podrás adaptarlo o ajustarlo a tus propias necesidades, un mantenimiento personalizado es la clave, en nuestro caso en Q2B incluimos un chat online en tu plataforma para facilitarte la vida.

CON UN BUEN PROCESO DE INTEGRACIÓN

El software a medida es una gran solución para la integración de programas. Las empresas que necesitan numerosos programas de software pueden disfrutar de los beneficios de trabajar con una aplicación de software diseñado a medida para integrar múltiples procesos. El software a medida en este sentido ayuda a lograr más de lo que necesitas.

CON UN BUEN SOPORTE

Un gran beneficio que se obtiene con las aplicaciones de negocio personalizadas es un plan de apoyo técnico eficiente y fiable. Tienes acceso completo al equipo de soporte técnico que participó en el proceso de desarrollo de tu aplicación, por lo que todos los problemas que puedas encontrar se resuelven de una manera eficiente.

LA CONCLUSIÓN

No debes tener miedo al desarrollo de software a medida. Si eliges al consultor adecuado te vas a encontrar con un camino sencillo de recorrer y lleno de satisfacciones. Suelen abarcar el proceso completo que va desde la consultoría inicial a  un mantenimiento evolutivo de las aplicaciones desarrolladas, además del diseño de la arquitectura, la programación, toda una fase de pruebas, control de calidad, instalación, formación a usuarios y soporte para resolución de dudas o problemas. Contemplan el ciclo completo de desarrollo de software.

La seguridad en los productos software constituye una propiedad emergente dictaminada por la cohesión de múltiples factores a lo largo del proceso de desarrollo, desde su misma concepción hasta la muerte del producto. Cuando hablamos de evaluar la seguridad de los programas informáticos, hacemos referencia a un conjunto de actividades a lo largo del ciclo de desarrollo que nace que con la idealización del sistema, y se extiende sobre el diseño, la codificación y el fortalecimiento del mismo.

No debemos caer en el error de confundir la seguridad del sistema con las características de éste, como ser la utilización de ciertos protocolos como SSL. Tampoco debemos confundirla con los componentes de seguridad que se ven inmersos en la arquitectura del sistema, como la presencia de firewalls, o limitarla al cumplimiento de una normativa o certificación en particular.

La seguridad del producto es una propiedad dinámica que varía en el tiempo, y que resulta crítica si consideramos el rol que cubren estas aplicaciones en la sociedad moderna. Surge tras reconocer que existen atacantes, y que estos se encuentran siempre dispuestos a probar cada potencial camino de entrada para lograr el control del sistema, y por tanto fuerzan a las empresas de desarrollo de software a pensar mecanismos de control para resistir estos ataques.

Se estima que en la actualidad, el 50% de las vulnerabilidades en los sistemas tienen su origen en fallas de diseño. Estas últimas se diferencian de las fallas de implementación –comúnmente conocidas como bugs, surgidas en la codificación o prueba- por nacer de manera temprana en el proceso de desarrollo y poseer un impacto tan profundo en el sistema que demanda la reingeniería del mismo. Es por esto mismo que resulta crucial desplegar los recursos necesarios para identificar y arreglar estas fallas de diseño de manera temprana, a fin de reducir el costo que éstas producen al arraigarse al producto que se está creando.

¿Cómo guiamos el desarrollo seguro?

Para ayudar a la evaluación de la madurez de la seguridad en el proceso de desarrollo de software, el expositor presenta una lista de problemáticas comunes al momento de diseñar aplicaciones, que pueden llegar a afectar la seguridad en el producto final. Veamos cuáles son estos consejos para el diseño seguro.

1. Ningún componente es confiable hasta demostrar lo contrario

Un error común en el desarrollo de software es englobar funcionalidad sensible en un ambiente de ejecución sobre el cual no tenemos ningún tipo de control. No es debido suponer que los componentes del sistema son confiables hasta que esto pueda ser demostrado.

Por ejemplo, si tenemos un entorno de cliente-servidor, se deben tomar las precauciones contra posibles clientes adulterados desplegando mecanismos de verificación. Debemos pensar que éste se encuentra en el dominio del usuario, quien no siempre tendrá las mejores intenciones.

2. Delinear mecanismos de autenticación difíciles de eludir

La autenticación es el proceso que nos permite acreditar la identidad del usuario y asignarle un identificador único. El desarrollo de métodos autenticación centralizados que cubran cada posible camino de ingreso es uno de los pilares en la construcción de aplicaciones seguras.

Si se trata de páginas web, debemos pensar qué sitios requerirán el manejo de usuarios autenticados, y cuidar que terceros indebidos no se entrometan en el sistema desde URLs no protegidas. La utilización de múltiples factores de autenticación nos permitirá reforzar el sistema comprobando no sólo lo que el usuario sabe sino, por ejemplo, también lo que éste posee.

3. Autorizar, además de autenticar

La autorización es el proceso que designa si un usuario autenticado puede o no realizar una acción que cambia el estado del sistema. Los procesos de autorización sobre usuarios autenticados deben ser pensados desde el diseño y previenen contra sesiones que han caído en las manos equívocas.

4. Separar datos de instrucciones de control

Este punto es clave cuando se trabaja con código capaz de modificarse a sí mismo, o lenguajes que compilan dicho código en tiempo de ejecución -tales como JavaScript-, donde las mismas instrucciones se reciben como datos. Entonces, se vuelve de suma importancia sanear las entradas que recibe el sistema para evitar que atacantes puedan manipular el flujo de ejecución ingresando datos maliciosos.

5. Validar todos los datos explícitamente

Las entradas al sistema deben evaluarse con una filosofía de lista blanca por sobre lista negra: determinar qué se permitirá, y denegar todo aquello que no se corresponda. Debemos pensar que un atacante interpreta los datos como posibles lenguajes de programación, con la intención de manipular el estado del sistema. Por esto, se torna necesario inspeccionar estos datos de entrada, generando los procedimientos automáticos para llevarlos a formas canónicas bien conocidas.

Además, esta validación de entradas debe darse cercana al momento en que los datos son en efecto utilizados, puesto que el desfasaje entre la validación y la utilización brinda una ventana de oportunidad para la generación de ataques.

Para implementar esto, pueden diseñarse componentes comunes que centralicen validaciones tanto sintácticas –estructurales– como semánticas –de significado–, y sacar provecho de los tipos de datos presentes en el lenguaje de programación sobre el cual se está trabajando.

6. Utilizar criptografía correctamente

La comprensión de las nociones criptográficas que aplican al sistema en desarrollo es necesaria para poder entender qué elementos y qué característica de los mismos se busca proteger, contra qué formas de ataque, y consecuentemente, cuál es la mejor manera de lograr este objetivo.

La creación de propias soluciones criptográficas, como siempre, es una decisión riesgosa que puede derivar en un sistema defectuoso, y por tanto es rotundamente desaconsejada. En cambio, se debe acudir al correcto asesoramiento para encontrar las librerías y herramientas que nos permitan aumentar el costo de ataque para el cibercriminal.

7. Identificar datos sensibles y cómo se los debería gestionar

Resulta complicado proteger nuestra información si no tenemos en claro qué es lo que realmente buscamos cuidar. La definición de los datos cuya protección resulta fundamental para el funcionamiento del sistema es crítica, puesto que a partir de ella podremos comenzar a esbozar los procesos para el diseño de la seguridad desde el mismo comienzo del ciclo de desarrollo, y no como un añadido en las etapas de implementación o despliegue.

La definición de los requerimientos de anonimidad y los metadatos que se manejan dará pie a la toma de decisiones en cuanto a los caminos que hacen a su protección.

8. Considerar siempre a los usuarios del sistema

Un sistema técnicamente perfecto que no cubre las necesidades de los usuarios es un sistema inservible. La seguridad utilizable debe ser una de las metas a alcanzar cuando se plantean los objetivos de seguridad para el sistema. Por un lado, no es prudente transferir al usuario cuestiones de seguridad que pueden resolver los mismos desarrolladores, a fin de evitar la fatiga.

Por otro lado, es necesario mantener una comunicación con el usuario para otorgar cierto grado de transparencia sobre cómo opera el sistema. La configuración por defecto debe ser la configuración segura, siempre.

9. La integración de componentes cambia la superficie de ataque

Las aplicaciones actuales constituyen sistemas complejos con muchos componentes interactuando de manera simultánea. Cada vez que se realiza un cambio en el sistema, el panorama de seguridad cambia y debe ser reevaluado. Esta reexaminación es el resultado de la coordinación entre las áreas y proyectos.

Los componentes deben ser analizados de manera unitaria y en conjunto, teniendo en cuenta cómo se combinan, mantienen o reemplazan.

10. Considerar cambios futuros en objetos y actores

Desde el diseño, debemos considerar que las propiedades del sistema y sus usuarios cambian constantemente. Algunos factores a considerar son el crecimiento de la población de usuarios, cómo las migraciones afectan al sistema, o cómo afectarán vulnerabilidades futuras sobre componentes que se han desplegado a gran escala.

Los procedimientos de actualización de manera segura deben de diseñarse con un horizonte a futuro de meses, años o incluso décadas.

En un comunicado conjunto, se menciona que: “un tercero no autorizado obtuvo acceso a un número reducido de los sistemas en los tres sitios durante los últimos días de agosto de 2019. Como resultado, la información de estas cuentas podría haber sido comprometida”.  

Acorde a los expertos en seguridad en redes, los actores de amenazas obtuvieron múltiples detalles sobre los usuarios, incluyendo:

Nombres completos

Dirección de los sitios web alojados

Direcciones email

Números de teléfono

Servicios contratados en cada sitio de alojamiento

Como medida de protección, Web.com solicitará a todos sus usuarios realizar un restablecimiento de contraseñas, no obstante, un representante de la compañía mencionó que el cifrado de contraseñas es una práctica estándar en esta plataforma, por lo que las claves de acceso de los usuarios permanecieron protegidas durante el incidente: “No creemos que la información haya sido expuesta  como resultado específico de este incidente”, añadió el portavoz.

Asimismo, se especificó que los datos de las tarjetas de pago de los usuarios no fueron expuestos durante este incidente, pues esta información es operada por un tercero certificado. La compañía afirma que la brecha de datos ya fue notificada a las autoridades competentes. Sin embargo, la compañía menciona que los usuarios no deben bajar la guardia y permanecer alertas ante cualquier actividad sospechosa en sus cuentas bancarias, especialmente en línea.

Finalmente, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que el peligro sigue latente, pues los actores de amenazas encargados de este ataque podrían usar la información comprometida para desplegar campañas de spear phishing.

Además, recomiendan a los usuarios de cualquiera de estos servicios de alojamiento web no esperar a recibir instrucciones de las compañías y restablecer sus credenciales de acceso lo antes posible. Ante el posible inicio de una sofisticada campaña de phishing, también se recomienda a los usuarios ignorar los correos electrónicos de apariencia sospechosa, así como los archivos adjuntos o enlaces a sitios externos que pudieran recibir.

Las fallas en los sistemas de TI de la radiodifusora incluso fueron reportados por los oyentes, que comenzaron a reportar el problema vía Twitter. Posteriormente, la compañía publicó un comunicado en su sitio web oficial, mencionando: “hemos tomado la decisión de desconectar todos nuestros sistemas informáticos operativos. La emisión seguirá de forma ininterrumpida a través de la sede central en Madrid; nuestro equipo de TI ya se encuentra trabajando en el restablecimiento de actividades y recuperación de información”.

Según reportan expertos en forense digital, al igual que algunos medios locales, la compañía ya ha comenzado con un plan de recuperación de incidentes; parte de este plan consiste en la implementación de algunas medidas que todos los empleados de la compañía deberán cumplir, como:

No usar los equipos de cómputo de PRISA (incluyendo laptops y equipos de escritorio)

Por ningún motivo los empleados deberán acceder a ninguna red WiFi interna

En caso de que un empleado tenga que acceder a su cuenta de correo de Outlook 365, deberá hacerlo desde una computadora o dispositivo móvil que no esté conectado a las redes de la compañía

Por su parte, los empleados de Everis han recibido la instrucción de no conectarse a las redes internas de la compañía, además deberán mantener sus dispositivos apagados, al menos por ahora. Incluso en algunas áreas de la compañía las actividades fueron interrumpidas por completo, por lo que los empleados fueron enviados de regreso a casa.

Otra demostración mas de que es muy importante mantener actualizados los sistemas informáticos, las ultimas actualizaciones y unas medidas de seguridad exhaustivas en las compañías privadas.

¿ Eres Hackeable ? 

Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

El principal objetivo de las pruebas de penetración consiste en determinar las debilidades de seguridad. Una prueba de penetración también puede ser utilizado para probar el cumplimiento de la política de seguridad de una organización, la conciencia de seguridad de sus empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los tipos buenos están tratando de entrar a la fuerza.

Las estrategias de prueba de penetración son:

Pruebas orientadas a un objetivo

Estas pruebas selectivas se llevan a cabo en conjunto por el equipo de TI de la organización y el equipo de pruebas de penetración. A veces se le llama un enfoque de “luces encendidas” porque cualquiera puede ver el examen que se lleva a cabo.

Comprobación externa

Este tipo de prueba de penetración se dirige a los servidores o dispositivos de la compañía que son visibles externamente, incluyendo servidores de nombres de dominio (DNS), servidores de correo electrónico, servidores web o firewalls. El objetivo es averiguar si un atacante externo puede entrar y hasta dónde puede llegar una vez que ha obtenido acceso.

Pruebas internas

Esta prueba simula un ataque interno detrás del firewall por un usuario autorizado, con privilegios de acceso estándar. Este tipo de prueba es útil para estimar la cantidad de daño que un empleado descontento podría causar.

Pruebas a ciegas

Una estrategia de prueba a ciegas simula las acciones y procedimientos de un atacante real, limitando severamente la información dada de antemano a la persona o equipo que está realizando la prueba. Por lo general, solo se les puede dar el nombre de la empresa. Debido a que este tipo de prueba puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser costosa.

Pruebas de doble ciego

Las pruebas de doble ciego toman la prueba a ciegas y la llevan un paso más allá. En este tipo de prueba de penetración, solo una o dos personas de la organización pueden ser conscientes de que se está realizando una prueba. Las pruebas de doble ciego pueden ser útiles para probar el monitoreo de seguridad y la identificación de incidentes de la organización, así como sus procedimientos de respuesta.

Una de las primeras decisiones que debes tomar cuando estás planteando el desarrollo de un proyecto web es si realizarlo a medida o mediante un CMS (Content Management System, es decir, un Gestor de Contenidos).
Ojo, porque un proyecto a medida también es un gestor de contenidos, pero desarrollado únicamente para tu modelo, con una estructura definida y basada en sus necesidades.

Pros de utilizar software libre CMS (Tipo Wordpress o similar)

Menos tiempo de desarrollo
Tiene ya implementadas muchas funcionalidades
Tiene estructuras preestablecidas pero modulables
Plugins, módulos y extensiones ya desarrollado
Desarrollos realizados en diferentes lenguajes de programación muy utilizados a nivel mundial:
Se le puede integrar muchos complementos de desarrollo de terceros: Widget, plugins, interacciones con API, etc.
Autogestión de la página web  sin tener la necesidad de "meterse a tocar código" para cambiar algún elemento.
Comunidades de usuarios vinculados a cada CMS, los cuales aportan soluciones, resuelven dudas, aportan información, etc
Más económica. Temas (gratuitos y de pago) establecidos con variedad de demos, que hacen que ahorren tiempo en el desarrollo técnico y a nivel de planteamiento de diseño.

Con el nuevo reglamento UE 2016/679 , el pentesting o Hacking ético vienen implícitos en la obligatoriedad de la seguridad de los datos.

Es en esta adecuación al riesgo dónde existe una conexión del Hacking Ético con el nuevo Reglamento Europeo de Protección de Datos al establecer el apartado 2 del artículo 32 lo siguiente:

“Al evaluar la adecuación del nivel de seguridad SE TENDRÁN PARTICULARMENTE EN CUENTA LOS RIESGOS que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

¿Y qué es el Hacking Ético sino las medidas de seguridad ofensiva que analizan los riesgos para evitar el acceso ilícito a los datos o la comunicación o acceso no autorizados a los mismos?

Así pues, y por imperativo legal es imprescindible antes de realizar una consultoría y/o adaptación de una actividad a la normativa de protección de datos personales, una auditoria de seguridad informática previa que pueden, y a mi juicio deben incluir sesiones de Pentesting y Hacking Ético para conocer los riesgos en concreto que afectan a cada tratamiento de datos por una posible alteración o acceso ilícito o no autorizado a los mismos.

Tras lo que hemos visto es lógico que el asesor o consultor ha de pedir consejo al auditor informático sobre cuáles son las mejores y más adecuadas medidas de seguridad personalizadas y adaptadas para ese sistema informático en concreto.

El repetido artículo 32 solamente propone como medidas de seguridad la seudonimización y el cifrado de datos personales y cita la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento, y la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico, así como un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al ser ahora la política de seguridad de cada entidad la que se diseñe al efecto para cada responsable de tratamiento conforme a los riesgos reales que entrañen dicho tratamiento, el ámbito legal habrá de apoyarse en el ámbito técnico, siendo necesario que los informáticos se compenetren y se entiendan con los juristas que diseñen la consultoría o adaptación a la normativa de protección de datos.

El estudio, en el que han participado empresas pertenecientes a sectores como energía, agua, transporte, industria pesada, etc. pone de manifiesto que el 75% de las empresas encuestadas asegura que el nivel de vulnerabilidad de sus infraestructuras OT sigue siendo alto.

En parte esto se debe según los responsables de esta investigación, a que en muchos casos este tipo de infraestructuras y empresas del sector industrial priorizan el mantener sus dispositivos y máquinas en funcionamiento, sobre tener que llevar a cabo una tarea de «securizar» que casi nunca es sencilla y en la que cualquier «parón» puede implicar importantes pérdidas económicas y de producción .

En este sentido, como ha explicado Mario García, director de Check Point para España y Portugal, muchas de estas empresas suelen trabajar con sistemas propietarios que son tremendamente cerrados, tienen una gran dependencia de un proveedor exterior y aplican el clásico «si funciona no lo toques» ante una posible interrupción de servicio que podría resultar fatal.

Esto por supuesto no quiere decir que estas infraestructuras no estén expuestas. Más bien todo lo contrario. Como han explicado desde el CCI, la implementación de sistemas IoT, el no separar adecuadamente los sistemas de producción de los sistemas IT o seguir confiando en una infraestructura informática obsoleta (Windows XP e incluso Windows NT) expone a estas industrias a todo tipo de vulnerabilidades. No es de extrañar en este sentido, que ataques relativamente fáciles de prevenir y evitar como ransomware o el spear phishing encuentren estas industrias sistemas fáciles de explotar.

La noticia positiva sin embargo es que en los últimos años ha aumentado el grado de concienciación sobre la importancia que tiene invertir en seguridad en este tipo de empresas. Así el informe señala que la mayoría de as empresas que han participado en esta encuesta empiezan a contemplar, al menos en sus nuevos proyectos, requisitos básicos de Ciberseguridad Industrial, haciendo un especial hincapié en compartimentar redes y un trabajo «en capas» que implica que incluso si una parte de la operativa se ve comprometida, el resto de la compañía puede seguir funcionando con relativa normalidad.

Además también muestran una mayor predisposición a la hora de identificar posible futuras amenazas y coinciden en señalar (en un 41%) que la principal ciberamenaza a la que se pueden enfrentar en un futuro vendrá de la que comprometa la seguridad de sus dispositivos IoT, situándose en segundo término los ataques multivector (21%) y el ransomware (20%) en tercer lugar.

Un especialista en análisis de vulnerabilidades acaba de revelar una vulnerabilidad día cero en las versiones de Joomla!, el popular sistema de gestión de contenido (CMS) lanzadas entre septiembre de 2012 y diciembre de 2015. Según los reportes, la vulnerabilidad podría representar un severo riesgo para miles de sitios web en todo el mundo.

Puede que esta falla parezca demasiado antigua, pero en el caso de Joomla! esto podría ser irrelevante, pues la mayoría de los administradores de sitios web que usan este CMS no acostumbran actualizar el software por diversas razones, principalmente debido a los problemas de compatibilidad que muchos plugins presentan al actualizar este sistema.

Acorde a los especialistas en análisis de vulnerabilidades, explotar esta vulnerabilidad es realmente sencillo para un hacker promedio, pues sólo basta con una inyección de código PHP en la página de inicio del CMS para que el actor de amenazas sea capaz de ejecutar código remoto en el servidor.   

Un informe más amplio, publicado en la plataforma especializada ZDNet, menciona que esta vulnerabilidad es muy parecida a la falla identificada como CVE-2015-8562, descubierta en 2015. En aquel entonces la vulnerabilidad causó serios problemas en miles de sitios web de todo el mundo.

No obstante, existe una diferencia determinante entre ambas fallas. La vulnerabilidad día cero recientemente descubierta sólo afecta a las versiones de la rama 3.x, mientras que CVE-2015-8562 afectaba a todas las versiones de Joomla! a partir de 1.5x, por lo que el alcance de la nueva falla es mucho menor.   

Joomla! ya ha sido notificada y al parecer ya está disponible el parche de seguridad para esta falla. No obstante, como ya se ha mencionado, podría ser complicado que todos los administradores de sitios web en Joomla! decidan actualizar sus implementaciones a la brevedad.