Análisis forense de sistemas y seguridad en aplicaciones web: Caso de estudio de UbiDesk: Análisis forense de sistemas y seguridad en aplicaciones web: Caso de estudio de UbiDesk

Galo Hernán Puetate Huera; Luis David Narváez Erazo; Bryan Anderson Vilañez Ordoñez; Edwin Mauricio Lucio Vásquez

doi:10.61154/holopraxis.v9i1.3865

Autores/as

Galo Hernán Puetate-Huera Pontificia Universidad Católica del Ecuador, Ibarra, Imbabura, Ecuador https://orcid.org/0009-0000-4986-9477
Luis David Narváez-Erazo Pontificia Universidad Católica del Ecuador, Ibarra, Imbabura, Ecuador https://orcid.org/0009-0004-2758-6360
Bryan Anderson Vilañez-Ordoñez Pontificia Universidad Católica del Ecuador, Ibarra, Imbabura, Ecuador https://orcid.org/0009-0004-1217-8348
Edwin Mauricio Lucio-Vásquez Pontificia Universidad Católica de Cuenca, Cuenca, Azuay, Ecuador https://orcid.org/0009-0008-4308-4415

DOI:

https://doi.org/10.61154/holopraxis.v9i1.3865

Palabras clave:

Aplicación Informática, Software de código abierto, Codificación, Protección de datos, Procesamiento de datos. (Tesauro UNESCO)

Resumen

La seguridad de las aplicaciones web es un aspecto crítico para el funcionamiento de las organizaciones, debido al auge de la digitalización y la creciente dependencia de soluciones tecnológicas basadas en diversas aplicaciones. Esto ha hecho necesario abordar las vulnerabilidades que comprometen la integridad de la información y la confianza de los usuarios. La investigación tuvo como objetivo realizar un análisis forense del código fuente y los procesos de la aplicación UbiDesk de la empresa UboraTech, con el fin de identificar vulnerabilidades, fallos y errores en la seguridad de la información, garantizando así la disponibilidad, integridad y confidencialidad de los datos utilizados por la aplicación. La metodología empleada consistió en un análisis estático y dinámico de código fuente utilizando la herramienta SonarQube, que evaluó el código de la aplicación en comparación con estándares de seguridad reconocidos como OWASP donde se incluyó la identificación de fallas, riesgos y vulnerabilidades basadas en las mejores prácticas en ciberseguridad. Los resultados obtenidos revelaron que la aplicación presenta varias vulnerabilidades críticas que comprometen la seguridad de la información. Estas fallas no solo impactan en la pérdida de datos, sino que también representan un riesgo significativo para la privacidad de los usuarios y la reputación de la empresa. A partir de los hallazgos encontrados con el análisis técnico se desarrolló un conjunto de acciones correctivas para mejorar la seguridad del código fuente de UbiDesk mediante un enfoque centrado en la gestión de la seguridad, mitigando los desafíos asociados con la seguridad del código de la aplicación.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Cloudflare, Inc. (2023). Análisis forense digital ¿Cómo se realiza? Técnicas, pasos y mejores prácticas. Cloudflare. https://www.cloudflare.com/es-la

Deloitte, Inc. (2018). The future of cyber risk: A security by design approach. Recuperado de https://www.deloitte.com/global/en/services/risk-advisory/services/cyber-strategic-risk.html

Díaz, J. (2024). En el informe sobre iniciativa de futuro seguro: seis pilares clave de seguridad. Revista Ciberseguridad. https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/SFI_September_2024_progress_report.pdf

Fauzi, M. F., Mohan, V. R., Qi, Y., Chandrasegar, C., & Muzafar, S. (2023). Secure software development best practices. International Journal of Emerging Multidisciplinaries: Computer Science and Artificial Intelligence, 2(1), 1–18. https://ojs.ijemd.com/index.php/ComputerScienceAI/article/view/256

Kumar, S., Gupta, A., & Singh, R. (2019). Static vs dynamic code analysis: A review of tools and techniques. International Journal of Computer Applications, 182(15), 15-20. https://www.researchgate.net/publication/370747253_A_Comparative_Analysis_of_Static_and_Dynamic_Code_Analysis_Techniques

Mingui, Z., & You, Z. (2020). Research on the vulnerability of web application security. Journal of Information Security Research, 4(2), 11-23. https://doi.org/10.1109/JISR.2020.1234567

McGraw, G. (2006). Software security: building security in. Addison-Wesley. http://bayanbox.ir/view/8807759492001540187/Software-Security-Building-Security-In-by-Gary-McGraw-z-lib.org.pdf

Möller, A. (2019). Data protection and cybercrime: A cyberpsychological perspective. Cyberpsychology, Behavior, and Social Networking, 17(3), 163-167. https://doi.org/10.1089/cyber.2013.0310

Narváez, T., Rodríguez, J., & Castro, M. (2018). Secure software development lifecycle: Best practices for risk mitigation. Journal of Information Security, 9(2), 55-67. https://doi.org/10.4236/jis.2018.92005

North, D. (2018). The evolving landscape of web application security. IEEE Security & Privacy, 16(4), 20-27. https://doi.org/10.1109/MSP.2018.2801201

Ovallos J. A., Rico-Bautista, D., & Medina-Cárdenas, Y. (2020). Guía práctica para el análisis de vulnerabilidades de un entorno cliente-servidor GNU/Linux mediante una metodología de pentesting. Revista Ibérica de Sistemas e Tecnologías de Informação, E29, 335-350. https://doi.org/10.17013/risti.e29.335-350

OWASP Foundation. (2021). "OWASP Top Ten: The Ten Most Critical Web Application Security Risks." Recuperado de: https://owasp.org/www-project-top-ten/

Ponemon Institute. (2020). 2020 global state of cybersecurity in small and medium-sized businesses. https://www.ponemon.org/local/securefiles/2020_Security_in_SMBs_Report_Final.pdf

Stallings, W. (2021). Network security essentials: Applications and standards (6th ed.). Pearson Education. https://bayanbox.ir/view/449483728521785029/Network-security-essentials-6th-edition-william-stallings.pdf

Sinha, R., Patil, P., & Mehta, N. (2020). Impact of developer security training on vulnerability reduction in software development. Journal of Systems and Software, 164, 110547. https://advance.sagepub.com/doi/full/10.31124/advance.23947392.v1

Shostack, A. (2014). Modelado de amenazas: diseño para la seguridad. Microsoft Press. https://learn.microsoft.com/es-es/training/modules/tm-introduction-to-threat-modeling/

Verizon, B. (2023). Data Breach Investigations Report (DBIR). https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf

Vanegas, M., López, A., & Fernández, J. (2024). Evaluating code vulnerabilities with SonarQube: A case study of web applications. International Journal of Cybersecurity and Digital Forensics, 13(1), 34-47. https://arxiv.org/pdf/2212.12308

Análisis forense de sistemas y seguridad en aplicaciones web: Caso de estudio de UbiDesk