Análisis de factores de seguridad informática mediante la metodología OWASP v4.2: Caso de estudio ISTJOL

Contenido principal del artículo

Carlos Vega-Oyola
Eduardo Tapia Noblecilla
Fabián Gallardo Gonzaga

Resumen

Ante la aparición del COVID-19 y la cuarenta a nivel mundial, se potenció el uso de herramientas de tecnología de información y comunicación en todo ámbito de la sociedad, sobre todo en la educación. El uso del Moodle ha sido evidenciado en ser uno de los entornos virtuales de aprendizaje más utilizados por la mayor parte de instituciones de educación superior a nivel mundial, dada las múltiples ventajas que ofrece en el proceso formativo de enseñanza-aprendizaje. Así pues, el Instituto Superior Tecnológico José Ochoa León mantiene sus clases, recursos didácticos y cursos de educación continua mediante el uso de esta herramienta. Al ser utilizada se fluctúan y se transfieren una gran cantidad de información relevante para los actores de la educación, por ello la importancia de mantener seguro y salvaguardar la información generada, compartida y almacenada. La seguridad web enfoca sus pilares fundamentales en mantener la integridad, confidencialidad y disponibilidad de la información, por lo cual se implementó una metodología basada en la guía de pruebas de seguridad web de OWASP, lo cual permitió identificar y corregir vulnerabilidades dentro de las configuraciones, tanto en la aplicación web Moodle como en el servidor web Apache, mediante el uso de herramientas automatizadas como OWASP ZAP, NESSUS, Wireshark y Nmap aplicando testeos, ataques simples, escaneos de puertos, servicios y flujo de datos tanto en la aplicación Moodle como al servidor web Apache.


Según los resultados de las mencionadas herramientas, se concluyó que las configuraciones por defecto en el Moodle y servidor web Apache poseen 7 vulnerabilidades identificadas en este caso de estudio, vinculándose a los riesgos de nivel moderado, dos altos y cuatro bajos, por lo que en la investigación se implementaron las alternativas de solución por cada vulnerabilidad encontrada y así se logró minimizar las amenazas y riesgos de explotación.

Descargas

La descarga de datos todavía no está disponible.

Detalles del artículo

Cómo citar
Vega-Oyola, C., Tapia Noblecilla, E., & Gallardo Gonzaga, F. (2022). Análisis de factores de seguridad informática mediante la metodología OWASP v4.2: Caso de estudio ISTJOL . Espí­ritu Emprendedor TES, 6(1), 70-88. https://doi.org/10.33970/eetes.v6.n1.2022.293
Sección
Artículos
Biografía del autor/a

Carlos Vega-Oyola , Instituto Superior Tecnológico José Ochoa León, Ecuador

Ingeniero de sistemas y Máster Universitario en Ingeniería del Software y Sistemas informáticos.

Docente-Investigador de las asignaturas Base de datos avanzada, Diseño multimedia, Análisis y diseño de sistemas en el Instituto Superior Tecnológico José Ochoa León, con publicaciones académicas, ponencias y publicación de capítulos de libros.

Eduardo Tapia Noblecilla, Instituto Superior Tecnológico José Ochoa León, Ecuador

Ingeniero en Sistemas, Docente del Instituto Superior Tecnológico José Ochoa León, Catedrático de los cursos de Programación de Aplicaciones web, Auditoria de sistemas, Fundamentos de Redes y Conectividad.

Fabián Gallardo Gonzaga, Instituto Superior Tecnológico José Ochoa León, Ecuador

Docente, Ingeniero en Sistemas, catedrático en bases de datos, fundamentos de programación mediante uso de lenguajes de programación orientado a objetos. Experiencia en desarrollo de software, sistemas de información y ERPs.

Citas

Agnelli, A. (2020). El progreso de las tecnología de información y comunicación en el ámbito educativo. Espí¬ritu Emprendedor TES, 4(2), 13–20. https://doi.org/10.33970/eetes.v4.n2.2020.196
Evgenievich, E., Petrovna, M., Evgenievna, T., Aleksandrovna, O., & Yevgenyevna, S. (2021). Moodle LMS: Positive and Negative Aspects of Using Distance Education in Higher Education Institutions. Propósitos y Representaciones, 9(SPE2). https://doi.org/10.20511/pyr2021.v9nspe2.1104
Flores Urgilés, C., Zhinin Aguayza, B., Segovia Cantos, A., Mayancela Zhinin, M., & Marlene García, J. (2018). Evaluación de seguridad de la información en las páginas web pertenecientes a los municipios de la provincia del Cañar. Killkana Técnica, 2(1), 13–18. https://doi.org/10.26871/killkana_tecnica.v2i1.286
González Brito, H. R., & Montesino Perurena, R. (2021). Riesgos de seguridad en las pruebas de penetración de aplicaciones web. REVISTA CUBANA DE TRANSFORMACIÓN DIGITAL, 2(2), 98–117. https://rctd.uic.cu/rctd/article/view/114
Guamán, D., Guamán, F., Jaramillo, D., & Sucunuta, M. (2017). Implementación de técnicas y recomendaciones de seguridad OWASP para evitar ataques de tipo inyección SQL, XSS utilizando J2EE y WS-Security. 2017 12th Iberian Conference on Information Systems and Technologies (CISTI). https://doi.org/10.23919/CISTI.2017.7975981
Jácome Segovia, D., Castillo Fiallos, J., Mantilla Cabrera, C., & Vaca Barahona, B. E. (2021). Aplicación de MAGERIT para reducir riesgos en servicios Web en un contexto académico en Ecuador. AlfaPublicaciones, 3(2.2), 66–82. https://doi.org/10.33262/ap.v3i2.2.60
Kumar Lala, S., Kumar, A., & Subbulakshmi, T. (2021). Secure web development using OWASP guidelines. Proceedings - 5th International Conference on Intelligent Computing and Control Systems, ICICCS 2021, 323–332. https://doi.org/10.1109/ICICCS51141.2021.9432179
Maldonado-Mangui, S. P., Peñaherrera-Acurio, W. P., & Espinoza-Beltrán, P. S. (2020). Los Entornos Virtuales de Aprendizaje (EVA ́s), como recurso de aprendizaje en las clases asíncronas de las IES. Dominio de Las Ciencias, 6(4), 1279–1291. https://doi.org/10.23857/dc.v6i4.1536
Moodle. (2021a, October 20). Statistics. https://stats.moodle.org/
Moodle. (2021b, October 21). Instalación de Moodle. https://docs.moodle.org/all/es/35/Instalaci%C3%B3n_de_Moodle
Nanisura Damanik, V. N., & Sunaringtyas, S. U. (2020). Secure code recommendation based on code review result using owasp code review guide. 2020 International Workshop on Big Data and Information Security, IWBIS 2020, 153–157. https://doi.org/10.1109/IWBIS50925.2020.9255559
NESSUS. (2021, October 22). NESSUS. https://www.tenable.com/products/nessus
Netcraft. (2021, October 15). October 2021 Web Server Survey. https://news.netcraft.com/archives/category/web-server-survey/
Niño Benitez, Y., & Silega Martínez, N. (2018). Requisitos de Seguridad para aplicaciones web. Revista Cubana de Ciencias Informáticas, 12(Especial UCIENCIA), 205–221. http://scielo.sld.cu/scielo.php?pid=S2227-18992018000500015&script=sci_arttext&tlng=pt
NMAP. (2021, October 22). NMAP.ORG. https://nmap.org/
OWASP. (2021, October 22). OWASP ZAP. https://owasp.org/www-project-zap/
Quiroz-Zambrano, S., & Macías-Valencia, D. (2017). Seguridad en informática: consideraciones. Dominio de Las Ciencias, 3(5), 676–688. https://doi.org/10.23857/dom.cien.pocaip.2017.3.5.agos.676-688
Rian, A., & Ahmad, F. (2019). Security Scanner for Web Applications Case Study: Learning Management System. Jurnal Online Informatika, 4(2), 63–68. https://doi.org/10.15575/join.v4i2.39
Salazar Veloz, T. M. (2017). Preparación del Docente en la era digital. Espí¬ritu Emprendedor TES, 1(2), 9–18. https://doi.org/10.33970/eetes.v1.n2.2017.24
Vega Villacís, G., & Ramos Morocho, R. A. (2017). VULNERABILIDADES Y AMENAZAS A LOS SERVICIOS WEB DELA INTRANET DE LA UNIVERSIDAD TÉCNICA DE BABAHOYO. 3C Tecnología, 6(1), 53–66. https://doi.org/http://dx.doi.org/10.17993/3ctecno.2017.v6n1e21.53-66/
Whireshark. (2021, October 22). Whireshark. https://www.wireshark.org/