Gabriel Rene Moreno” Unidad De Postgrado De La Facultad De Ingeniería En Ciencias De Las Computación Y Telecomunicaciones “Uagrm School of Engineering”
Total Page:16
File Type:pdf, Size:1020Kb
UNIVERSIDAD AUTÓNOMA “GABRIEL RENE MORENO” UNIDAD DE POSTGRADO DE LA FACULTAD DE INGENIERÍA EN CIENCIAS DE LAS COMPUTACIÓN Y TELECOMUNICACIONES “UAGRM SCHOOL OF ENGINEERING” “METODOLOGÍA DE TRABAJO PARA EVALUACIÓN DE SEGURIDAD INFORMÁTICA EN APLICACIONES MÓVILES ANDROID PARA LA EMPRESA YANAPTI S.R.L.” TRABAJO EN OPCIÓN AL GRADO DE MÁSTER EN AUDITORÍA Y SEGURIDAD INFORMÁTICA AUTORA: Ing. Linette Evelyn Zema Cadima DIRECTOR DE TRABAJO FINAL DE GRADO: M.Sc. Ing. Guido Rosales Uriona SANTA CRUZ - BOLIVIA OCTUBRE – 2019 I Cesión de derechos Declaro bajo juramento que el trabajo aquí descrito, titulado “Metodología de Trabajo para Evaluación de Seguridad Informática en Aplicaciones Móviles Android para la Empresa Yanapti S.R.L.” es de propia autoría; que no ha sido previamente presentada para ningún grado de calificación profesional; y, que se ha consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaro que cedo mi derecho de propiedad Intelectual correspondiente a este trabajo, a la UAGRM Facultad de Ingeniería en Ciencias de la Computación y Telecomunicaciones, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. ________________________________ Ing. Linette Evelyn Zema Cadima II AGRADECIMIENTO A Dios, por brindarme sus bendiciones, por darme fuerzas para alcanzar mis metas, y por estar siempre conmigo. A mi familia, por apoyarme en todo momento, y motivarme para conseguir mis metas. A mi tutor, el Ing. Guido Rosales, por compartir su experiencia y conocimiento en el desarrollo de este trabajo. A la UAGRM y a la Unidad de Postgrado de la FICCT, por contribuir con mi formación profesional a través de esta Maestría. A todas las personas que en algún momento me brindaron su apoyo. III DEDICATORIA A Dios, por abrir las puertas para mi formación profesional y para realizar este trabajo de manera exitosa. A mi familia, por su apoyo incondicional durante mis estudios y durante la realización de este trabajo. A mis maestros, por dedicar su tiempo a la labor de enseñar al mismo tiempo que comparten sus experiencias. A mis compañeros, por el tiempo que compartimos en el aula aprendiendo. IV RESUMEN El presente trabajo propone una Metodología de Trabajo para Evaluación de Seguridad Informática en Aplicaciones Móviles Android para su utilización por parte de la empresa Yanapti S.R.L. La propuesta tiene como objetivo que los resultados de aplicar esta Metodología correspondan con los riesgos de cada una de las aplicaciones móviles de los clientes de Yanapti S.R.L. y sus recomendaciones contribuyan en la mitigación de dichos riesgos. Durante el desarrollo del trabajo se analizaron diferentes metodologías de análisis de riesgos, se consultó documentación oficial de OWASP y se aplicaron técnicas ya incluidas en la Metodología de Trabajo De Yanapti S.R.L. En el primer capítulo se elaboró la fundamentación teórica a ser utilizada para la elaboración de la Metodología. Esto incluye un entendimiento del sistema operativo Android y las aplicaciones móviles, metodologías de análisis y evaluación de riesgos, documentación oficial de OWASP con relación a la Seguridad de Aplicaciones Móviles y conceptos sobre los tipos de evaluaciones de seguridad. En el segundo capítulo se realizó el diagnóstico de la situación actual de Yanapti S.R.L. con relación a su metodología de trabajo para evaluación de aplicaciones móviles. Se identifican los aspectos positivos que contiene y se seleccionaron aquellos que podrían mejorarse. En el tercer capítulo se presentó la propuesta de solución con sus respectivas fases y procedimientos a ejecutar. Se describieron también los resultados que se generarán y cómo serán presentados al cliente. Se utilizaron los conceptos V estudiados en el primer capítulo y se consideró la situación actual identificada en el segundo capítulo. En el cuarto capítulo se aplicaron tanto la Metodología de Trabajo Propuesta como la Metodología de Trabajo de Yanapti S.R.L. sobre un caso de una Aplicación Móvil Android. Se compararon los resultados generados por ambas y se validaron los cambios esperados. Finalmente, se presentaron las conclusiones del trabajo y las recomendaciones a ser consideradas por futuros investigadores interesados en la temática. VI ABSTRACT The present research paper proposes a Work Methodology for Evaluating Informatics Security on Android Mobile Applications to be used by the company Yanapti S.R.L. The proposal aims that the results of applying this Methodology correspond with the risks of each mobile application of Yanapti S.R.L.’s clients, and that its recommendations contribute with the mitigation of such risks. Throughout the development of this research paper, different risk analysis methodologies were analyzed, official OWASP documentation was consulted and techniques already included in the Work Methodology of Yanapti S.R.L. were applied. In the first chapter, a theoretical foundation was elaborated in order to be used for the Methodology elaboration. This included an understanding of Android operating system and mobile applications, methodologies for risk analysis and evaluation, OWASP official documentation related to Mobile Applications Security, and concepts about types of security evaluations. In the second chapter, the research paper carried out a diagnosis on the current situation of Yanapti S.R.L.’s work methodology for evaluating mobile applications. The paper identified the positive aspects of it, and selected those that could be improved. In the third chapter, the proposed solution was presented with its respective phases and procedures to execute. The paper described the results that will be generated, as well as how they will be presented to clients. Concepts studied in the VII first chapter were used, and the current situation identified in the second chapter was considered. In the fourth chapter, the Proposed Work Methodology as well as the Work Methodology of Yanapti S.R.L. were applied on an Android Mobile Application case. The results generated by both methodologies were compared and the expected changes were validated. Finally, the research paper presented its conclusions and recommendations to be considered by future researchers interested in this topic. VIII ÍNDICE GENERAL INTRODUCCIÓN ....................................................................................................................... 14 1. Antecedentes del problema............................................................................................ 15 2. Planteamiento del problema........................................................................................... 18 2.1. Objeto de estudio .................................................................................................... 18 2.2. Campo de acción .................................................................................................... 18 3. Objetivos ......................................................................................................................... 19 3.1. Objetivo General ..................................................................................................... 19 3.2. Objetivos Específicos .............................................................................................. 19 4. Justificación de la Investigación ..................................................................................... 20 5. Delimitación o alcance.................................................................................................... 22 6. Diseño metodológico ...................................................................................................... 22 6.1. Tipo de investigación .............................................................................................. 22 6.2. Formulación de la construcción teórica .................................................................. 22 6.3. Identificación de las variables ................................................................................. 23 6.4. Conceptualización de las variables ........................................................................ 23 6.5. Operacionalización de las variables ....................................................................... 24 6.6. Matriz de consistencia ............................................................................................. 25 6.7. Métodos de investigación ....................................................................................... 26 6.8. Técnicas e instrumentos de investigación .............................................................. 27 6.9. Población y muestra ................................................................................................ 27 CAPÍTULO I: FUNDAMENTACIÓN TEÓRICA ......................................................................... 29 1.1. Sistema Operativo Android ......................................................................................... 29 1.2. Aplicaciones Móviles................................................................................................... 35 1.3. Seguridad Informática ................................................................................................. 39 1.3. Análisis de Riesgos..................................................................................................... 42 1.3.1. Establecimiento del contexto:.............................................................................. 47 1.3.2. Evaluación de riesgos ........................................................................................