Figura 1

Conceptos generales de Seguridad Informática y Ciberseguridad:

Vulnerabilidad: Debilidad o fallo en un sistema que puede ser explotado por un atacante.
Amenaza: Cualquier acción, evento o condición que pueda causar daño a un sistema de información.
 Riesgo: Probabilidad de que una amenaza explote una vulnerabilidad y cause un impacto negativo.
Ataque: Acción intencional para explotar una vulnerabilidad y causar daño.
 Malware: Software malicioso diseñado para dañar o tomar el control de un sistema.
Phishing: Engaño para obtener información confidencial a través de correos electrónicos o sitios web falsos.
Ingeniería social: Manipulación psicológica para obtener información confidencial.
Firewall: Sistema de seguridad que controla el tráfico de red entrante y saliente.
Cifrado: Proceso de codificación de información para protegerla de accesos no autorizados.
Autenticación: Proceso de verificación de la identidad de un usuario.

Bases teóricas de desarrollo de Software Seguro:

 
    Ciclo de vida de desarrollo seguro (SDLC): Integración de la seguridad en todas las fases del desarrollo.
    Análisis de riesgos: Identificación y evaluación de las amenazas y vulnerabilidades potenciales
    Diseño seguro: Aplicación de principios de seguridad en la arquitectura y diseño del software

    Codificación segura: Seguimiento de buenas prácticas de codificación para evitar vulnerabilidades comunes
     Pruebas de seguridad: Identificación de vulnerabilidades en el software antes de su despliegue.

Figura 2. Edgar. (2022, 4 agosto). ¿Qué es el ciclo de vida de desarrollo de sistemas/software? SERGESTEC. https://www.sergestec.com/que-es-el-ciclo-de-vida-de-desarrollo-de-sistemas-software/

Amenazas, riesgos y vulnerabilidades comunes

Inyección SQL: Consiste en insertar código SQL malicioso a través de las entradas de una aplicación web, lo que permite al atacante manipular la base de datos subyacente.

Cross-Site Scripting (XSS): Permite a un atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios, pudiendo robar datos o modificar el contenido.

 Desbordamiento de búfer: Ocurre cuando un programa escribe más datos en un bloque de memoria de lo que este puede manejar, lo que puede ser explotado para ejecutar código malicioso.

 Robo de credenciales: Uso de técnicas como phishing, keylogging o malware para obtener nombres de usuario y contraseñas de usuarios legítimos.

Denegación de servicio (DoS/DDoS): Ataques que saturan un sistema con tráfico malicioso, causando su colapso y dejándolo inaccesible para usuarios legítimos.

 Backlogs: Funciones ocultas o códigos maliciosos insertados deliberadamente en el software, que permiten el acceso no autorizado al sistema.

Inseguridad en el manejo de sesiones: Sesiones mal gestionadas pueden permitir a los atacantes secuestrar sesiones activas de usuarios, logrando acceso no autorizado.

Ingeniería Social: Táctica que aprovecha la manipulación psicológica para que las personas revelen información confidencial o realicen acciones que comprometen la seguridad.

Figura 3. Marker, G. (2021, 1 junio). Vulnerabilidades informáticas. Tecnología + Informática. https://tecnologia-informatica.com/vulnerabilidades-informaticas/

Ejemplos reales:

 Equifax (2017): Uno de los casos de violaciones de datos más grandes. Los atacantes explotaron una vulnerabilidad en una aplicación web para obtener acceso a los datos personales de 147 millones de personas, incluidos números de seguridad social, nombres y direcciones. Las consecuencias incluyeron pérdidas financieras, demandas y un daño severo a la reputación de la empresa.

Yahoo (2013-2014): En 2016 se reveló que todos los 3,000 millones de cuentas de Yahoo fueron comprometidas entre 2013 y 2014 debido a una falla en su infraestructura de seguridad, lo que permitió que atacantes accedieran a datos personales. Esto afectó significativamente el valor de la empresa en su posterior adquisición por Verizon.

SolarWinds (2020): Un ataque altamente sofisticado en el que un grupo de hackers introdujo un malware en el software de administración de redes Orion de SolarWinds, comprometiendo a agencias gubernamentales y grandes empresas tecnológicas como Microsoft. Esto permitió a los atacantes espiar durante meses sin ser detectados.

Figura 4. Lo Giudice, F., & Lo Giudice, F. (2016, 22 septiembre). Yahoo hackeado: hay 500 millones de usuarios comprometidos. Cultura Geek. https://culturageek.com.ar/yahoo-hackeado-500-millones-cuentas/

Reflexión Final

Centrarse en la seguridad durante el desarrollo de software es importante no solo para proteger la integridad del sistema, sino también para garantizar la privacidad de los usuarios. El robo de información confidencial puede tener graves consecuencias, incluyendo pérdida de confianza de los usuarios, daños a la reputación de la empresa y responsabilidad legal. Ejemplos como los de Yahoo y Equifax muestran cómo las fallas de seguridad pueden llevar a graves consecuencias  tanto para la empresa como para los afectados. Por ello, asegurar el software desde el diseño y aplicar mejores prácticas es vital para mitigar riesgos, proteger datos y cumplir con normativas de privacidad.