LA SEGURIDAD EN APLICACIONES MOVILES: ESTRATEGIAS EN EL MUNDO

ACTUAL

Gabriel Mauricio Ramírez Villegas

Escuela de Ciencias Básicas Tecnología e Ingeniería, Universidad Nacional Abierta y a
Distancia, Cali, Colombia

Resumen

La seguridad de las aplicaciones móviles es la necesidad más importante del mercado mundial de las
aplicaciones móviles, ya que los ataques han aumentado de forma exponencial con el crecimiento de las
aplicaciones desarrolladas para este mercado, para identificar las oportunidades existentes en el
ecosistema móvil, es necesario entender los conceptos de computación móvil, aplicación móvil y seguridad
móvil, los cuales son la base fundamental para identificar la infinidad de estrategias técnicas y comerciales
que ofrece este nuevo campo de las ciencias de la computación enfocadas en el ecosistema móvil, de tal
manera que se pueden convertir en un eje tecnológico y propulsor de la económica local y global.

Palabras claves:
Seguridad, Aplicaciones Móviles, Pruebas.

1 Introducción dispositivos móviles, es la posibilidad de desplazarse sin

El auge de las tecnologías móviles y en especial el ninguna restricción. [3]
desarrollo de las aplicaciones móviles para diferentes El concepto de Computación Ubicua o Ubicomp se puede
sistemas operativos y plataformas móviles han generado la definir como la integración informática de todos los
necesidad de implementar procesos seguros de desarrollo objetos que se encuentran alrededor de una persona, es
de software móvil, la implementación de modelos, decir cada persona puede actuar con diferentes objetos que
metodologías y herramientas que permitan probar y son programables y que se encuentra comunicados, en
evaluar la seguridad en este tipo de aplicaciones a nivel cualquier momento y lugar. [3]
nacional y global. La ubicuidad en las Tecnologías de Información y
Comunicación TIC, fue introducido por Mark Weiser en
2 Computación Móvil 1988, reconocido como el padre de la computación ubicua
por su trabajo en 1991 “The computer for the Twenty-First
Century”.
La Computación es el resultado de la evolución de las
Sobre esta teoría Weiser escribió dos bases fundamentales:
distintas ciencias aplicadas al uso de los diferentes
el sistema distribuido y la computación móvil, ambos
componentes hardware y software, utilizados en el
sistemas funcionaban sobre cuatro cimientos: el uso
desarrollo actual de la vida cotidiana de las personas del
inteligente de espacios eficaces; invisibilidad; escala local
común: desde el uso del teléfono celular, pasando por los
y ocultación de los desniveles de acondicionamiento.
diferentes equipos de computación como equipos de
[2][3]
escritorio, portátiles, entre otros, hasta llegar al uso de
equipos de computación de última tecnología. [1]
Se puede definir la Computación Móvil como la 3 Aplicación Móvil
comunicación de diferentes equipos portátiles o móviles
de hardware y software, que hacen uso de la computación Una definición general de software es el conjunto de
para realizar diferentes tareas computacionales, entre los instrucciones lógicas que soportan el hardware o parte
dispositivos móviles que se pueden utilizar en la física de los equipos computacionales, sirve como interfaz
actualidad encontramos los computadores portátiles o entre los usuarios y las máquinas, también pueden servir
Laptop, los minicomputadores o NetBooks, los teléfonos como interfaz o intermediarios entre software diferentes;
celulares en especial los Teléfonos Inteligentes o el objetivo principal es realizar una tarea o varias tareas de
Smartphone, las Tablets, los Fablets, los Reloj forma única o múltiple, en palabras más sencillas, es el
Inteligentes, en general cualquier dispositivo que tenga y que le indica a los componentes de hardware la forma de
permita la conexión a otros dispositivos por medio de almacenar y procesar las tareas que se desean.
diferentes tecnologías de comunicación inalámbrica, se De acuerdo al estándar 729 de la IEEE el “Software es el
encuentran dentro de la computación móvil.[2] [3] [4] conjunto de los programas de cómputo, procedimientos,
Se entiende por computación móvil, la posibilidad de reglas, documentación y datos asociados, que forman
movilizarse de un espacio físico a otro sin necesidad de parte de las operaciones de un sistema de computación”
estar en un solo lugar, es por ésto que la principal [5]
característica de la computación móvil y de los
Teniendo en cuenta la definición anteriormente La segunda clasificación se refiere a los diferentes
mencionada por la IEEE y por otras organizaciones lenguajes de programación en las que ha sido
relacionadas con el software, se concluye que el software desarrollados, es decir, aplicaciones móviles que se han
tiene un propio ecosistema de análisis, diseño, desarrollado bajo los lenguajes de programación como
construcción, pruebas, implementación, documentación, Java, Objetive C, Bada, WebOS, C#, C++, HTML5,
entre muchos otros temas, los cuales están en HTML/CSS/JavaScript, entre muchos otros.
funcionamiento constante con los diferentes dispositivos La tercera clasificación se refiere al desarrollo de las
computacionales. aplicaciones según la plataforma, lo que se denomina
Teniendo en cuenta las definiciones anteriormente desarrollo nativo de aplicaciones, es decir el lenguaje de
presentadas, y enfocándolo en el área de la computación programación oficial definido por la empresa u
móvil, las aplicaciones móviles son los conjuntos de organización: Android-Java, iOS-Objetive C, BlackBerry
instrucciones lógicas, procedimientos, reglas, OS-Java, Bada-C++, Windows Phone-C#, Windows 8-C#-
documentación, datos e información asociada a estas que C++, WebOS-HTML5-C++, Mobile Web- HTML5-
funcionan específicamente en dispositivos móviles, como HTML/CSS/JavaScript, Ubuntu OS-HTML5, entre otros.
por ejemplo teléfonos inteligentes, televisores inteligentes, La cuarta se clasificación se refiere al desarrollo nativo, al
tabletas, reloj, entre otros.[7] desarrollo multiplataforma, es decir, el uso de
Las aplicaciones móviles se desarrollan bajo diferentes herramientas de construcción de software que se utilizan
lenguajes de programación y funcionan actualmente para crear aplicaciones para diferentes sistemas
específicamente en sistemas operativos móviles, en estos operativos, el desarrollo web enfocado en aplicaciones
momentos los lenguajes más usados para desarrollar móviles utilizando HTML5,CSS3 y el desarrollo de
aplicaciones móviles son: Java, Objetic C, Xcode C#, aplicaciones móviles hibridas utilizando lenguajes de
C++, WebOS, HTML5, Bad, XML, entre otros.[8] programación para aplicaciones nativas, otros lenguajes de
programación y el uso de desarrollo web, en general el uso
de las diferentes tecnologías para el desarrollo de estas
Lenguajes de Programación Aplicaciones Móviles
aplicaciones; por último, las aplicaciones que se pueden
construir con herramientas y sistemas de construcción de
aplicaciones como las fábricas de aplicaciones móviles
que actualmente se encuentra en la web, para el desarrollo
de aplicaciones con JavaScript, Traductores de código,
Web to native,, entre otros.

Clasificación Aplicaciones Móviles

Una aplicación móvil se identifica en la actualidad porque

puede funcionar en dispositivos móviles como
característica principal, dentro de las aplicaciones móviles
existen diversos tipos y clasificaciones en los que se
pueden agrupar.
En este orden de ideas las aplicaciones se pueden
clasificar de acuerdo al mercado, al lenguaje de
programación, al tipo de desarrollado, de forma nativa,
4 Seguridad Móvil
multiplataforma o de forma hibrida, si son aplicaciones
empresariales o aplicaciones para el uso común de los
usuarios. De acuerdo con diferentes diccionarios la definición de
La primera clasificación de los tipos de aplicaciones se seguridad posee múltiples usos. A grandes rasgos, puede
refiere a las aplicaciones desarrolladas para dispositivos afirmarse que este concepto que proviene del latín
móviles específicos, como por ejemplo, aplicaciones securitas hace énfasis en la característica de seguro, es
móviles para teléfonos inteligentes, tabletas, televisores decir, realza la propiedad de algo donde no se registran
inteligentes, reloj, neveras, gafas entre muchos otros peligros, daños ni riesgos. Una cosa segura es algo firme,
dispositivos o para todos los dispositivos anteriormente cierto e indubitable. La seguridad, por lo tanto, puede
nombrados, es decir aplicaciones que pueden funcionar en considerarse como una certeza.
todos los dispositivos móviles. En el área de las tecnologías de la información y la
comunicación la seguridad se enfatiza en la seguridad de
la información y del hardware de los equipos que se
utilizan, existen diferentes definiciones para la seguridad información importante para la toma de decisiones,
informática; sin embargo, en este caso se nombrará una también.
definición clara y concisa: la seguridad informática es la Nivel de Almacenamiento: se debe tener en cuenta toda
encargada de minimizar los riesgos, las vulnerabilidades y la información que se almacena en el dispositivo móvil,
dar respuestas eficientes y efectivas para reponerse a los desde los archivos binarios de los sistemas operativos
ataques que se puedan realizar a los sistemas de almacenados en la memoria interna y externa del teléfono,
información, comunicación y almacenamiento de los archivos de bases de datos, los archivos del usuario,
información. definir procesos de validación, permisos, autenticación,
Según el libro Mobile Application Security de Himanshu encriptación de archivos, aumentar la complejidad de la
Dwivedi en el capítulo 2, los principales problemas de lectura de los archivos, cifrar los registros, cifrar los datos
seguridad que enfrentan los dispositivos móviles son:[6] almacenados en la memoria RAM del dispositivo y los
 La seguridad física de los dispositivos móviles debido archivos de internet manejarlos cuando son almacenados.
al continuo incremento de la pérdida y robos. Nivel de Comunicación: se debe tener en cuenta todos los
procesos de comunicación del dispositivo móvil, las
 La seguridad en el almacenamiento del dispositivo.
antenas de comunicación del celular para las llamadas, las
 Procesos de autenticación fuerte con contraseñas antenas WiFi, Bluetooth, NFC las cuales deben ser
pobres. utilizadas con estándares y protocolos de comunicación
 Soporte a múltiples usuarios con seguridad. seguros, además de implementar procesos de encriptación
 Entornos de navegación seguros. para él envió de datos.
 Seguridad en sistemas operativos móviles. Nivel de Aplicación: se debe realizar las mejores
 El aislamiento de las aplicaciones. prácticas de programación segura que entregan las
organizaciones de seguridad en computación, seguir las
 La divulgación de información. recomendaciones de las compañías de antivirus y las
 Los Virus, Gusanos, Troyanos, Spyware y Malware. compañías de análisis de seguridad, implementar el uso de
 Los procesos de actualización y parcheo de los protocolos y estándares de seguridad en la programación,
sistemas operativos. firmar las aplicaciones, realizar procesos de pruebas.
 El uso y cumplimiento estricto del protocolo SSL.
 Pishing A continuación se presenta el gráfico del modelo de
 Solicitud de falsificación de sitio cruzado. seguridad por niveles:
 La localización privacidad y seguridad. Modelo de Seguridad por Niveles
 Drivers de dispositivos inseguros.
 Múltiples factores de autenticación.

4.1 Seguridad Según las Capas

Una vez se ha realizado la revisión de la arquitectura de

cada uno de los sistemas operativos móviles más
utilizados en la actualidad, los riesgos, las
vulnerabilidades, las fallas, los modelos, los estándares y
las recomendaciones para el desarrollo de aplicaciones
móviles, se presenta a continuación una propuesta de una
arquitectura de seguridad por capas, teniendo como
referencia las arquitecturas de los sistemas operativos 4.2 Tipos de Ataques
móviles más utilizados actualmente.
El modelo de seguridad por capas propone realizar
Los ataques a los dispositivos móviles están asociados a
seguridad a diferentes niveles, los cuales se presentara a
diferentes riesgos y vulnerabilidades que se pueden
continuación y se observaran en el siguiente gráfico.
presentar con el uso de los dispositivos, en este sentido los
Nivel de Hardware: es importante analizar y evaluar los tipos de ataques se pueden agrupar de diferentes formas y
elementos que componen los dispositivos que se van a dependiendo del enfoque que se le desee dar a los ataques
utilizar, realizar un inventario detallado de las de los dispositivos móviles.
características del procesador, la memoria, las antenas,
De acuerdo con lo anteriormente indicado el primer riesgo
pantallas y demás elementos para definir los riesgos y
y vulnerabilidad que puede existir se encuentra
vulnerabilidades, para establecer posibles puntos de ataque
relacionada con el propio usuario del dispositivo, es decir
y poder dar solución a estos minimizando las posibilidades
si el usuario no cuenta con una seguridad apropiada con el
de penetraciones a los equipos a través del hardware.
uso del dispositivo genera un riesgo y una vulnerabilidad
Nivel de Sistema Operativo: se debe realizar el análisis bastante grande, debido a que cualquiera puede acceder a
de riesgos, vulnerabilidades y ataques, tomando como la información para revisarla, modificarla o copiarla,
base los análisis e informes realizados por organizaciones también se encuentra asociado a los usuarios los robos de
y las compañías de antivirus, las cuales proveen
los dispositivos y el uso de los dispositivos sin tener  Gusanos
precaución para instalar aplicaciones y no contar con  Programas Espías.
sistemas de seguridad como.[9]
 Bombas de Tiempo.
Existen diferentes compañías y organizaciones que
 Inteligentes
trabajan en el análisis de la seguridad, buscando los
riesgos y vulnerabilidades que pueden encontrarse en los
sistemas operativos móviles, a continuación se presentaran Malware en los Dispositivos Móviles
un compilado de los puntos de riesgo y las
vulnerabilidades encontradas por algunas organizaciones a
nivel internacional:[10][11]
Los puntos de ataque para los dispositivos móviles son:
 Las credenciales para tomar el control del dispositivo
y los servicios externos del dispositivo como el correo
electrónico, las cuentas de bancos, etc.
 Los datos personales de los usuarios el nombre
completo, la identificación, las claves, lo datos del
teléfono como los contactos, la localización, las
preferencias de los usuarios.
 Los datos de los dispositivos como los números de Anatomía de un Ataque Móvil
cuenta, números de las tarjetas, las fechas de
expiración.
 Acceso al dispositivo para revisar la simcard del
dispositivo, revisión de las conexiones telefónicas y
de internet, uso del dispositivo para enviar virus,
malware y procesamiento de actividades, robo de
datos secretos y datos sensibles del dispositivo.
Almacenamiento de datos robo, revisión y
modificación de claves, información de las bases de
datos, archivos de configuración, archivos de las
aplicaciones, las caches de los sistemas.
 Archivos binarios, realización de ingeniería inversa
para entender el binario, búsqueda de las
vulnerabilidades que pueden ser explotadas, incrustar
credenciales y generación automática de claves.
 Plataformas móviles enganche de las plataformas, Existen áreas de seguridad que se deben tener en cuenta
instalación de malware, aplicaciones móviles de para aplicar los procesos de seguridad:
ejecuciones automáticas no autorizadas, las decisiones  La primera área está compuesta por cuatro áreas
de la arquitectura de aplicaciones basadas en la claves: La Aplicaciones, los sistemas operativos, las
plataforma. redes y las sandbox o espacio virtual de pruebas.
 El almacenamiento de datos, los archivos binarios y la  La segunda área está compuesta por los tres tipos de
plataforma no son independientes y se encuentran aplicaciones: Aplicaciones Nativas, Aplicaciones
relacionados entre sí, esta es una debilidad en que Web y la Aplicaciones Hibridas.
puede llevar a la explotación de unos a otros, por que  La tercera área es la administración de los datos: Los
se conoce que es lo que está en funcionamiento. datos almacenados, los datos en movimiento y los
 Modelo de amenaza si un atacante obtiene acceso puntos de integración de los datos.
físico a un dispositivo, aunque sea temporalmente,
puede realizar un jailbreak o liberación del
dispositivo móvil, instalación aplicaciones, inserción 4.3 Las Fallas de Seguridad
de código malicioso, realización de copias de la
información, modificaciones del sistemas, entre otras. Las fallas de seguridad de las aplicaciones móviles se
pueden encontrar en los diferentes niveles del
funcionamiento de las aplicaciones, en este caso las fallas
Los ataques que se pueden realizar a los dispositivos iniciales se encuentran en los sistemas operativos,
móviles y los sistemas operativos a través de programas específicamente en las funciones de administración del
dañinos o peligrosos son los siguientes: hardware de los dispositivos móviles, estas son explotadas
por diferentes aplicaciones móviles que encuentran las
 Troyanos: Aplicaciones y SMS
vulnerabilidades para realizar tareas no consientes por el algunos casos se pueden realizar copias de certificados de
usuario del dispositivo. seguridad a partir de certificados legítimos, en este caso se
Para el desarrollo de aplicaciones móviles seguras es debe implementar más procesos de verificación de los
importante tener el conocimiento del sistema operativo, protocolos seguros como el SSL.[10]
los conocimientos del lenguaje y los reportes de seguridad La denegación de servicio es una de las fallas más
y vulnerabilidades de diferentes organizaciones antiguas desde la creación de internet, en la computación
encargadas de realizar estas tareas demás de tener en móvil y en especial los dispositivos móviles acceden a
cuenta las mejores prácticas de desarrollo de aplicaciones sitios maliciosos donde son cargados con peticiones y
móviles seguras. códigos maliciosos para generar altos consumos de
La premisa más importante que se debe tener en cuenta es recursos de los dispositivos y luego bloquear el dispositivo
que el dispositivo móvil es personal y no es de un grupo dañando completamente el software y en algunos casos el
de personas, por lo tanto, la información y los datos hardware.
almacenados y manejados por el usuario son de su Con respecto a los dispositivos móviles es posible realizar
propiedad y como tal deben ser valorados y manejados de la copia de la tarjeta SIM, donde se almacena el IMSI y la
la mejor forma, es por esto que no es recomendable Ki del cliente, es decir se puede copiar y clonar esta
almacenar información importante en el dispositivo información con diferentes técnicas, aunque esto ha
móvil.[12] mejorado con nuevas versiones, también se pueden hacer
La primera falla detectada es el almacenamiento de envíos sistemáticos para modificar los dispositivos
información sensible e importante por parte de los móviles de forma remota en conclusión estas fallas de
usuarios, los datos de transacciones bancarias, seguridad indican que no se puede confiar en la
credenciales de acceso, cookies persistentes, archivos autenticación de los usuarios de los dispositivos móviles
temporales, etc. estos datos son robados y utilizados por con las redes de telefonía celular ni tampoco se puede
los hackers, dentro de las fallas para estos ataques se confiar en el transporte de información debido a que en
encuentran el acceso al dispositivo por medio del Wi-Fi, estas redes esto se realiza sin ningún cifrado con respecto
Bluetooth y NFC, ya que se puede acceder a los archivos a las redes GSM, HSDP, 4G, etc.
haciendo ataques a los protocolos y los servicios que estos
ofrecen. Una falla de los teléfonos móviles es que al ser Infografía Checkpoint
robados o accedidos se puede visualizar la información
que estos contienen, tanto en la memoria interna como en
las memorias externas, debido a que tienen sistemas de
archivos como FAT que no tienen sistemas de cifrado por
defecto, o al acceder a la SIM del teléfono se puede
acceder a la información del teléfono.
Una características de los dispositivos móviles es la
instalación de aplicaciones vía OTA, es decir que se
pueden instalar aplicaciones remotamente como lo
realizan actualmente las compañías de telefonía móvil
utilizando la banda ancha y los datos de las redes celulares
para realizar instalaciones, ésto se realiza actualmente sin
el consentimiento de los usuarios, en estos casos se puede
implementar un Phantom Station que simula ser un equipo
de la red de telefonía móvil e instalar cualquier aplicación
móvil o robar información, en cuanto a las organizaciones
de los sistemas operativos también se pueden cargar
dentro de los market y simular se aplicaciones correctas y
en realidad lo que hacen es robar información con un
mecanismo de suplantación, a esto se le conoce como
repackagin en donde se descarga una aplicación oficial y
de buen funcionamiento se modifica la aplicación y se
adjuntan con una versión de malware dentro de la
aplicación o reemplazando la aplicación para que los
market la distribuyan y los usuarios la descarguen de
forma confiada.
Otra falla para el robo de información son las aplicaciones
de escucha de datos y de voz, estas aplicaciones procesan
los datos entre importantes y concretos de acuerdo como
este desarrollada, los convierte en mensajes o datos y los
envía por un canal a un servidor remoto para que sea
utilizado por los delincuentes.
Una falla muy generalizada es la falta de verificaciones y
realización de chequeos en los protocolos y estándares
utilizados por los dispositivos móviles, es decir, en
Es importante revisar constantemente los logs o registros se deben realizar prueba funcionales y no funcionales,
de fallos de los sistemas y de las aplicaciones con el fin de pruebas de carga, verificación del consumo de recursos
encontrar accesos no permitidos a la información, estos batería, procesador, memoria, pruebas de comunicación
datos no deben ser visibles en ningún caso, es por esto que seguras, pruebas de almacenamiento, se deben realizar las
se debe cifrar para que sólo el usuario pueda conocer esta pruebas de caja negra y de caja blanca, se debe revisar la
información, actualmente ésta puede ser revisada optimización de los algoritmos y el código fuente, los
accediendo al sistema o utilizando sniffers de datos, otro protocolos de comunicación seguros, etc.
de los problemas de las aplicaciones móviles es la Las pruebas de penetración se complementan con procesos
inyección de código malicioso HTML, JavaScript, PHP, de ingeniería social, pruebas con usuarios en producción y
XML, entre otros que sirve para tomar datos e infectar el con los equipos de desarrollo y pruebas, ésto permite tener
propio navegador, esta es una de las fallas de seguridad diferentes visiones con respecto al uso y a la seguridad
más comunes en la actualidad, otro problemas es la que provee la aplicación y las comunicaciones que ésta
inyección de código SQL en las aplicaciones para pueda tener con otros sistemas y con el propio sistema
eliminar, copiar, borrar o alterar bases de datos, esto operativo móvil, la realización de análisis estático y
sucede cuando se introduce código SQL intruso en el dinámico, acceso y comprobación de la base de datos,
código SQL de la Aplicación o en otros lenguajes de compilación de los archivos de log, utilización de un
programación, modificando los datos y la información proxy para analizar las comunicaciones, análisis del
almacenada. manejo de archivos, memoria, y red, estudio de la
estructura de protección del almacenamiento de datos,
Top de Seguridad Móvil control de los snapshots y keyloggers y decompilación de
la aplicación para la realización de ingeniería inversa.
Es importante tener en cuenta que durante el desarrollo de
la aplicación se deben realizar un gran número de pruebas
como lo son: [14]
Las pruebas de unidad: valida el código, las funciones, las
clases, los algoritmos, etc.
Las pruebas de integración: valida el funcionamiento
correcto de los conectores de la aplicación, los
componentes, los servicios, etc.
Prueba del Sistema: verifica y valida todo en conjunto el
código, las clases, los algoritmos y el funcionamiento de
los conectores, los servicios, etc.
Pruebas de Integración: verifica y valida la integración de
la aplicación con otras aplicaciones u otros sistemas de
terceros., como por ejemplo el sistema operativo móvil,
los navegadores, etc.
5 Test de Penetración En las pruebas de las aplicaciones móviles se debe tener
en cuenta las limitaciones de los dispositivos móviles, se
debe verificar el funcionamiento de la aplicación con los
El Test de Penetración está dirigido a la búsqueda de diferentes sensores del dispositivo, el funcionamiento del
agujeros de seguridad de forma focalizada en uno o varios dispositivo normalmente como las llamadas, el uso de la
recursos críticos, como puede ser el firewall o el servidor batería, la conexión a otros dispositivos en general se
Web, en este caso se enfocara en la evaluación de las vuelve complejo el proceso de las pruebas.
aplicaciones móviles para uno o varios sistemas operativos
Además se debe validar la interfaz cuando la aplicación se
móviles.
instala en múltiples dispositivos de diferentes
Los servicios de Test de Penetración permiten: características se debe tener en cuenta la diversidad de
 Evaluar vulnerabilidades por medio de la hardware en el que puede ser utilizado, con respecto a los
identificación de debilidades de configuración que botones, los cuadros de texto, la presentación en la
pantalla, la navegación de la aplicación, el cambio de
puedan ser explotadas.
orientación del dispositivo, la organización y la eficiencia
 Analizar y categorizar las debilidades explotables de la información presentada en la interfaz, los cambios de
basadas en el impacto potencial y posibilidad de idiomas, la verificación del funcionamiento de la
ocurrencia. aplicación cuando se puede conectar a internet y cuando
 Proveer recomendaciones priorizadas para mitigar y no se conecta a internet, la alimentación de los usuarios a
eliminar las debilidades. la aplicación, el rendimiento de la aplicación y el uso de
recursos, la seguridad en él envió de información y la
Las pruebas deben verificar la calidad de los productos, si recepción, el gasto de energía que esta realiza con las
las aplicaciones funcionan correctamente y de forma diferentes acciones, los tiempos de respuesta, el uso
eficiente y efectiva, se debe probar la estabilidad de la exagerado de la memoria, la liberación de los elementos
aplicación, las modificaciones que pueden surgir, los del dispositivo cuando no se utilizan, el uso de
fallos, las interrupciones de la aplicación y los servicios,
codificación y autenticidad, el cifrado de la información,
el uso de protocolos seguros. [15]
En las pruebas se debe evaluar cuáles son los planes de
contingencia cuando un servicio solicitado por la
aplicación móvil tarda en responder y definir cuál es la
respuesta que se le dará al usuario, además cuales son los
planes de restauración si un servicio es intermitente, o si
se corta la conexión cuando se está realizando un proceso,
es aquí donde las pruebas ayudan a mejorar la seguridad
de las aplicaciones, ya que la respuesta puede aumentar
los riesgos o disminuirlos.
La aplicación también se debe hacer responsable de los
archivos temporales que genere, es importante que los
elimine para no limitar el almacenamiento local del Aplicaciones Móviles para Hacer Penetración
dispositivo y también se debe validar que no esté
Herramienta Dirección Web
aumentando el tamaño de las bases de datos locales, es Android como herramienta para http://www.dragonjar.org/dispositivos-android-
decir, la prueba debe verificar si elimina los archivos penetración como-herramientas-para-test-de-
correctamente y si no está sobrecargando la memoria penetracion.xhtml
temporal y si la libera correctamente.
Con respecto al funcionamiento del dispositivo se debe
evaluar si la aplicación tiene procesos de copia de respaldo
Test en Desarrollo de Aplicaciones Móviles
y restauración, ya que el equipo se puede apagar en
cualquier momento por parte del usuario o por falta de Herramienta Dirección Web
Android http://developer.android.com/reference/junit/framework/Test.html
energía, si se actualiza a una nueva versión de la
aplicación si los datos se pierden o se migran a la nueva http://developer.android.com/tools/testing/what_to_test.html
iOS http://www.telerik.com/automated-testing-tools/ios-testing.aspx
versión, si se activa otra función como un mensaje, una MobinCube http://www.mobincube.com/es/info-creador-apps-smarthphone.html
llama o la apertura de otra aplicación, cual es la acción AppMkr http://www.appmakr.com/

que toma la aplicación y como se recupera luego de estas

actividades.

Las Funciones Críticas de Seguridad en Dispositivos

6 OWASP
Móviles

El proyecto OWASP Mobile Security es un recurso

centralizado destinado a dar a los desarrolladores y
equipos de seguridad de los recursos que necesitan para
construir y mantener seguras las aplicaciones móviles. A
través del proyecto, el objetivo es clasificar los riesgos de
seguridad móvil y proporcionar controles de desarrollo y
reducir el impacto o la probabilidad de explotación de las
aplicaciones por parte de terceros. [16]
El enfoque principal está en la capa de aplicación. Si bien
se tiene en cuenta la plataforma móvil y los riesgos
inherentes al modelado con respecto a los controles y las
amenazas, el objetivo se encuentra en las áreas que el
desarrollador promedio puede trabajar y hacer la
Cuadro Herramientas de Test de Penetración diferencia. Además, no sólo se centra en las aplicaciones
móviles desarrolladas para el usuario final, sino también
Herramienta Dirección Web
SecTrack http://www.sec-track.com/tag/test-de-penetracion
en el más lado del servidor y la infraestructura de
Nettresec http://www.netresec.com/?page=Products comunicación de las aplicaciones móviles. La idea es
Net Tools http://users.telenet.be/ahmadi/nettools.htm enfocarse en la integración entre las aplicaciones móviles,
NMap http://nmap.org/ los servicios de autenticación remota, y las características
Wreshark http://www.wireshark.org/ específicas de la plataforma de la nube.
BackTrack http://www.backtrack-linux.org/backtrack/backtrack-5-r3-released/
iOS Analyzer http://www.ipbackupanalyzer.com/
OWASP Top 10 Riesgo Móvil CREST (Consejo de Auditores de Seguridad Registrados
Éticos) existe para servir a las necesidades de un mercado
de la información de seguridad global que cada vez más
requiere los servicios de una capacidad de pruebas de
seguridad regulada y profesional. Proporciona
certificaciones reconocidas a nivel mundial, para personas
que prestan servicios de pruebas de penetración.

CHECK IT Health Check es un esquema creado para

garantizar que las redes sensibles de los gobiernos y la
infraestructura crítica nacional fueran probadas y
garantizadas para un alto nivel de seguridad alto y
constante. La metodología tiene como objetivo identificar
las vulnerabilidades de las tecnologías de la información y
las redes que puedan comprometer la seguridad,
Fuente: confidencialidad, disponibilidad de la información
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Pr contenida en los sistemas informáticos.
oject_-_Top_Ten_Mobile_Risks
ISACA se fundó en 1967 y se ha convertido en una
organización global para el gobierno de la información,
7 Otros Modelos de Penetración control, seguridad y auditoria de los profesionales de la
auditoría de sistemas. Sus normas de auditoría y de control
de los sistemas de información son seguidas por los
En la actualidad existen varios modelos y metodologías profesionales de todo el mundo y sus temas de
que apoyan los procesos de seguridad informática, sin investigación en el área. CISA Certified Information
embargo en el tema de seguridad informática en Systems Auditor es la certificación principal de ISACA.
dispositivos móviles existen pocos de modelos y Desde 1978, el examen CISA ha medido la excelencia en
metodologías que apoyen la seguridad móvil. el área de auditoría, control y seguridad, y se ha
Existen organizaciones y compañías que han enfocado sus convertido en una certificación mundialmente reconocida
esfuerzos para crear y diseñar estrategias, modelos, y adoptada en todo el mundo como símbolo de logro.
metodologías y estándares que sirven de apoyo a los Actualmente han desarrollado estrategias y actividades en
diferentes estamentos que conforman el ecosistema de la el área de la seguridad móvil para que sean implementados
computación móvil, desde los usuarios, pasando por los en el gobierno de tecnología de las organizaciones y
desarrolladores, fabricantes, operadores móviles, etc. algunos principios de seguridad que deben ser
A continuación revisaremos algunos de los modelos, implementados.
metodologías, estándares y certificaciones que se enfocan
o se pueden utilizar para desarrollar aplicaciones móviles 8 Conclusiones
de forma segura:

Las fallas de las aplicaciones móviles se deben la

OSSTMM (Open Source Security Testing Methology administración de los dispositivos móviles, se depende de
Manual) es una metodología de pruebas de seguridad muchos factores que intervienen en el funcionamiento,
gratuita y abierta del instituto ISECOM. La premisa como las organizaciones propietarias de los sistemas
principal del manual de esta metodología es que “Los operativos, los ecosistemas móviles, los market, las
hechos no provienen de grandes saltos de descubrimiento, compañías de telefonía móvil, los fabricantes de los
sino más bien de los pequeños pasos y cuidadosos de dispositivos móviles; en general la dependencia de las
verificación”. El manual de esta metodología se encuentra tecnologías es total en referencia a los propietarios de las
en constante y continua revisión y mejoramiento, es mismas.
revisado por pares de pruebas de seguridad. En general la
OSSTMM trata la seguridad operacional para conocer y Nada es perfecto y todo puede fallar o tener un mal
medir cual es el nivel del funcionamiento de la seguridad. funcionamiento en cualquier momento, no todos están en
la posición de ayuda, protección o defensa, la mayoría se
encuentran en posición de ataque y de hacer daño.
ISSAF (Information System Security Assessment Al desarrollar aplicaciones móviles seguras se debe tener
Framework) El Marco de Evaluación de Seguridad de claro el sistema operativo, las tecnologías y las redes de
Sistemas de Información es una metodología estructurada comunicación, además de implementar procesos de
de análisis de seguridad en varios dominios y detalles desarrollo de aplicaciones seguras, las buenas prácticas de
específicos de test o pruebas para cada uno de estos. Su desarrollo y los estándares que ayudarán a minimizar
objetivo es proporcionar procedimientos muy detallados errores, fallas y vulnerabilidades, el objetivo principal es
para el testing de sistemas de información que reflejan minimizar la inseguridad porque no existen aplicaciones o
situaciones reales. ISSAF proponen cinco fases: I sistemas de computación cien por ciento seguros.
Planeación, II Evaluación, III Tratamiento, IV
Acreditación y VI Mantenimiento. En el desarrollo de aplicaciones móviles seguras es
necesario tener presente el modelo de seguridad por capas,
las metodologías de desarrollos móviles seguros como
OWASP Mobile, la realización de los diferentes tipos de información en los dispositivos móviles, Implementación
pruebas de penetración y para finalizar la evaluación final segura de nuevas tecnologías, Desarrollo de nuevas
del usuario para validar el correcto funcionamiento de la técnicas para el desarrollo de test de penetración móvil,
aplicación. Aplicación de nuevos conceptos en el área de seguridad
Los procesos de seguridad de las aplicaciones móviles son móvil, definición de los marcos legales y jurídicos de la
una oportunidad de desarrollo en el área de las tecnologías seguridad móvil, Adaptación a los cambios del mercado,
de la información y la comunicación, debido a que el Aprender y Desaprender las tecnologías y las nuevas
crecimiento exponencial de aplicaciones móviles ha tecnologías, implementación de pruebas en aplicaciones
generado bastantes vulnerabilidades y riesgos que deben móviles para nuevos sistemas operativos y para nuevos
ser minimizados de tal forma que las aplicaciones que se dispositivos móviles.
van a desarrollar o que ya están construidas y en Las tecnologías móviles se encuentran en constante
funcionamiento se evalúen y mejoren para las próximas cambio y evolución, por lo tanto es necesario aplicar y
versiones, debido a esto el campo de la seguridad de las desarrollar nuevos procesos que permitan minimizar las
aplicaciones móviles es la tendencia en el desarrollo de vulnerabilidades y los riesgos.
negocios y mercados tanto a nivel nacional como
internacional.
10 Referencias

9 Proyecciones
[1] M. Weiser. (2010, Septiembre 30). [En línea].
Disponible en: http://www.ubiq.com/hypertext/
El mercado de las aplicaciones móviles es un mercado en weiser/SciAmDraft3.html.
continuo crecimiento, tanto a nivel nacional como
[2] Asociación Colombiana de Ingenieros de Sistemas y
internacional, se ha convertido en políticas de los
Museo Colombiano de Informática, e IBM. Historia de la
gobiernos a nivel global, realizando inversiones en
Computación Historia de la Computación.
procesos educativos para capacitar a las personas
http://www.acis.org.co/archivosAcis/HistoriadelaComputa
interesadas en el desarrollo de las tecnologías de la
cion.pdf
información y la comunicación específicamente en el
desarrollo de aplicaciones móviles para las distintas [3] M. Weiser. (2010, Septiembre 30). [En línea].
plataformas móviles existentes., además del interés de las Disponible en: http://www. http://www-sul.
compañías dueñas de las tecnologías móviles que también stanford.edu/weiser/.
utilizan diversas estrategias para aumentar el número de [4] G. M. Ramírez Villegas. (2010). “Computación
desarrolladores y usuarios de las plataformas, los sistemas Móvil”, Universidad Nacional Abierta y a Distancia
operativos y en especial las aplicaciones móviles.
UNAD. pp 16-30. Septiembre.
Teniendo en cuenta que el ecosistema de las plataformas
[5] IEEE Standard Glossary of Software Engineering
móviles seguirá creciendo mientras existan más usuarios y
Terminology 2012 Disponible en:
aplicaciones móviles disponibles en los mercados de cada
una de las plataformas, convirtiéndose en un sistema de https://standards.ieee.org/findstds/standard/729-1983.html
alimentación y mejora, además de la implementación de [6]Dwivedi, H., Clark, C. y Thiel, D. (2010) Mobile
nuevas tecnologías hardware y software que mejoren la application security. McGraw Hill.
experiencia de los usuarios, los desarrolladores tendrán [7] Stanley Morgan (2009) The mobile Internet Report
cada vez mayor campo de acción para afrontar los nuevos .Disponible en:
retos tecnológicos y mejorar las aplicaciones para los http://www.morganstanley.com/institutional/techresearch/
usuarios. pdfs/2SETUP_12142009_RI.pdf
En este ciclo de producción de nuevas tecnologías y [8] Mobile Megatrends 2012. Disponible en:
nuevas aplicaciones, se encuentran las oportunidades y http://www.visionmobile.com/blog/category/mobile-
posibilidades de mejorar la seguridad de las aplicaciones megatrends/
móviles, el ecosistema móvil se encuentra en continuo [9]Ariza, A. y Ruiz, J. (2009) iPhorensics: un protocolo de
cambio y cada mejora o implementación de nuevas análisis forense para dispositivos móviles inteligentes.
tecnologías es un nuevo reto para probar la seguridad de Tesis de Grado.
las aplicaciones móviles en los sistemas operativos, en el
funcionamiento en general, la necesidad de realizar Ingeniero de sistemas.PontificiaUniversidade
pruebas de penetración, pruebas en el desarrollo de las Javeriana.Disponible en:
aplicaciones y la implementación de los modelos y http://www.criptored.upm.es/guiateoria/gt_m142l1.htm
estándares de seguridad en aplicaciones móvil se [10]Cano, Jeimy. (2012) Plataformas móviles de alcance
convierten en un paso fundamental para la aprobación de global. Disponible en:
las aplicaciones móviles. http://www.acis.org.co/fileadmin/Base_de_Conocimiento/
En el análisis de la implementación de nuevas estrategias XXXII_Salon_de_Informatica/FolletoSalon.pdf
para implementar la seguridad de las aplicaciones móviles, [11] Secure mobile development best practices.
se pueden nombrar los siguientes: Mejoramiento de los Disponible en: https://viaforensics.com/resources/reports/
modelos de desarrollo, Mejoramiento de los estándares de [12]KASPERSKY, K. (2005) Shellcoder’s programming
seguridad, Mejoramiento de los protocolos de seguridad, unconvered. A‐LIST, LLC.
Mejoramiento de los procesos de cifrado de la
[13]Ashford, W. (2010) Global survey demonstrates
importance of mobile security. Computer Weekly
Magazine. Disponible en:
http://www.computerweekly.com/Articles/2010/10/27/243
570/Global‐survey‐demonstrates‐importance‐of‐mobile‐
security‐says‐Juniper.htm
[14]JACKSON, K. (2010) Accepting the inevitability of
Attack. DarkReading. September. Disponible en:
http://www.darkreading.com/insiderthreat/security/vulnera
bilities/showArticle.jhtml?articleID=227400257&queryTe
xt=mobile+vulnerabilities
[15]European Network and Information Security Agency
(ENISA) (2008) Security Issues in the Context of
Authentication Using
Mobile Devices (Mobile eID) November Disponible en:
http://www enisa europa eu/act/it/eid/mobile‐eideID).
November.http://www.enisa.europa.eu/act/it/eid/mobile
eid
[16] OWASP Mobile. Disponible en:
https://www.owasp.org/index.php/OWASP_Mobile_Secur
ity_Project