SlideShare a Scribd company logo

Top 10 riesgos de las aplicaciones móviles

Download as PPTX, PDF
Belatrix Software
Belatrix Software

Este documento presenta una introducción a OWASP y su Proyecto OWASP Top 10 Mobile Risk. Se revisan los 10 principales riesgos de seguridad en aplicaciones móviles, incluyendo plataformas mal utilizadas, almacenamiento inseguro de datos, comunicaciones inseguras, autenticación insegura, criptografía insuficiente, autorización insegura, código de baja calidad, modificación de código, ingeniería inversa y funcionalidades extrañas. Se mencionan ejemplos de casos reales y recomendaciones

Technology
1 of 54
Nuestras locaciones
Nuestros Panelistas Fernando Conislla Security Engineer Jans Álvarez Marketing Analyst
Agenda • ¿Qué es OWASP? • ¿Qué es el Proyecto OWASP Top 10 Mobile Risk? • Revisión de los 10 Riesgos de las aplicaciones móviles. • Referencias de casos reales. • Recomendaciones de solución. ¿QUESTIONS? #MobileBelatrix
M1: Plataforma Mal Utilizada M2: Almacenamiento Inseguro M3: Comunicación Insegura M4: Autenticación Insegura M5: Criptografía Insegura M6: Autorización Insegura M7: Código de Baja Calidad M8: Tampering de Código M9: Ingeniería Inversa M10: Funcionalidades Extrañas OWASP Mobile Top 10 Risk
M1. Plataforma Mal Utilizada Las plataformas móviles tienen múltiples características de seguridad. Sin embargo, suelen ser mal utilizadas u obviadas durante el proceso de desarrollo de aplicaciones de forma no intencionada o intencional. ¿QUESTIONS? #MobileBelatrix
M2. Almacenamiento Inseguro de Datos Las aplicaciones almacenan datos personales y sensibles de forma local y en texto plano o cifrados de forma débil. Las herramientas forenses o malware instalado pueden acceder a estos datos. ¿QUESTIONS? #MobileBelatrix
M3. Comunicación Insegura Las comunicaciones aplicación-servidor suelen ser poco protegidas mediante protocolos inseguros que exponen los datos sensibles a ser robados mientras son transmitidos. ¿QUESTIONS? #MobileBelatrix
M4. Autenticación Insegura Los controles asociados a la autenticación son especialmente deficientes en las aplicaciones móviles y suelen permitir acceso a funciones criticas de forma anónima sin dejar registros. ¿QUESTIONS? #MobileBelatrix
Video
M5. Criptografía Insuficiente Muchas aplicaciones utilizan algoritmos criptográficos con debilidades conocidas, desarrollan su propia criptografía o no protegen adecuadamente las llaves de cifrado. ¿QUESTIONS? #MobileBelatrix
M6. Autorización Insegura Muchas funcionalidades embebidas o en línea diseñadas para usuarios privilegiados permiten su uso por usuarios poco privilegiados debido a errores de autorización. ¿QUESTIONS? #MobileBelatrix
M7. Código de Baja Calidad Son muy comunes las aplicaciones que poseen malas prácticas de programación que provocan exposición de datos sensibles en memoria, buffer overflows, etc. ¿QUESTIONS? #MobileBelatrix
M8. Tampering de Código Casi la totalidad de las aplicaciones no implementan proteccion es ante modificaciones de binarios, recursos locales, valores en memoria, llamadas a sistema, etc. ¿QUESTIONS? #MobileBelatrix
¿QUESTIONS? #MobileBelatrix
¿QUESTIONS? #MobileBelatrix
M9. Ingeniería Inversa La ingeniería inversa permite conocer el funcionamiento interno de la aplicación, librerías, código fuente, algoritmos propietarios y llaves de cifrado embebidas. ¿QUESTIONS? #MobileBelatrix
Video
M10. Funcionalidades Extrañas Muchas veces los desarrollares dejan puertas traseras, funcionalidades incompletas, comentarios con credenciales o funcionalidades ocultas. ¿QUESTIONS? #MobileBelatrix
Referencias
Preguntas
¡Muchas Gracias! www.belatrixsf.com

Recommended

INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Ley 1273 de 2009
Ley 1273 de 2009Ley 1273 de 2009
Ley 1273 de 2009
STEVENSON MALDONADO MEDINA
 
Tabla de malware
Tabla de malwareTabla de malware
Tabla de malware
Fernando Cir
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
Jaime Abraham Rivera
 
Clase de conversacion - Hackers
Clase de conversacion - HackersClase de conversacion - Hackers
Clase de conversacion - Hackers
Gustavo Balcazar
 
Exposicion big data
Exposicion big dataExposicion big data
Exposicion big data
mateo luquez
 
Presentación hackers
Presentación hackersPresentación hackers
Presentación hackers
Pachi Martínez
 
Metodologías ágiles
Metodologías ágilesMetodologías ágiles
Metodologías ágiles
Oliver Centeno
 

Recommended

INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
Ley 1273 de 2009
Ley 1273 de 2009Ley 1273 de 2009
Ley 1273 de 2009
STEVENSON MALDONADO MEDINA
 
Tabla de malware
Tabla de malwareTabla de malware
Tabla de malware
Fernando Cir
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
Jaime Abraham Rivera
 
Clase de conversacion - Hackers
Clase de conversacion - HackersClase de conversacion - Hackers
Clase de conversacion - Hackers
Gustavo Balcazar
 
Exposicion big data
Exposicion big dataExposicion big data
Exposicion big data
mateo luquez
 
Presentación hackers
Presentación hackersPresentación hackers
Presentación hackers
Pachi Martínez
 
Metodologías ágiles
Metodologías ágilesMetodologías ágiles
Metodologías ágiles
Oliver Centeno
 
Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
Jhonatan Arias
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005
Jhon Fredy Salazar
 
5.2 sistemas de soporte a la decision
5.2 sistemas de soporte a la decision5.2 sistemas de soporte a la decision
5.2 sistemas de soporte a la decision
instituto tecnologico superior de alamo temapache
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
alexaloaiza
 
Capítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de InformacionCapítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de Informacion
isabeldsam
 
Servis desk ejemplo con ITIL
Servis desk ejemplo con ITILServis desk ejemplo con ITIL
Servis desk ejemplo con ITIL
César Ocampo
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
Daniela Florez
 
COBIT 5 (1).pdf
COBIT 5 (1).pdfCOBIT 5 (1).pdf
COBIT 5 (1).pdf
OscarMauricioParraCo
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de servicios
Jorge Ventura
 
OWASP Top 10 Mobile Risk
OWASP Top 10 Mobile RiskOWASP Top 10 Mobile Risk
OWASP Top 10 Mobile Risk
Fernando Conislla Murguia
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
Eventos Creativos
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
Cristian Borghello
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
GeneXus
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
Secpro - Security Professionals
 
Android Security
Android SecurityAndroid Security
Android Security
Marco Avendaño
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks
GeneXus
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
amaulini
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
mauromaulinir
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
Enrique Gustavo Dutra
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
Argentesting
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
Marcos Harasimowicz
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
Jaime Andrés Bello Vieda
 

More Related Content

What's hot

Capítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de InformacionCapítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de Informacion
isabeldsam
 

What's hot (9)

Criptografía y esteganografía
Criptografía y esteganografíaCriptografía y esteganografía
Criptografía y esteganografía
 
Controles iso27002 2005
Controles iso27002 2005Controles iso27002 2005
Controles iso27002 2005
 
5.2 sistemas de soporte a la decision
5.2 sistemas de soporte a la decision5.2 sistemas de soporte a la decision
5.2 sistemas de soporte a la decision
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Capítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de InformacionCapítulo 1 El reto de los Sistemas de Informacion
Capítulo 1 El reto de los Sistemas de Informacion
 
Servis desk ejemplo con ITIL
Servis desk ejemplo con ITILServis desk ejemplo con ITIL
Servis desk ejemplo con ITIL
 
Diapositivas la ciberseguridad
Diapositivas la ciberseguridadDiapositivas la ciberseguridad
Diapositivas la ciberseguridad
 
COBIT 5 (1).pdf
COBIT 5 (1).pdfCOBIT 5 (1).pdf
COBIT 5 (1).pdf
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de servicios
 

Similar to Top 10 riesgos de las aplicaciones móviles

Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
Cristian Borghello
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks
GeneXus
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
amaulini
 

Similar to Top 10 riesgos de las aplicaciones móviles (20)

OWASP Top 10 Mobile Risk
OWASP Top 10 Mobile RiskOWASP Top 10 Mobile Risk
OWASP Top 10 Mobile Risk
 
Lo que las apps esconden
Lo que las apps escondenLo que las apps esconden
Lo que las apps esconden
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
 
54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten54. OWASP Mobile Top Ten
54. OWASP Mobile Top Ten
 
Se siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móvilesSe siente usted seguro con sus dispositivos móviles
Se siente usted seguro con sus dispositivos móviles
 
Android Security
Android SecurityAndroid Security
Android Security
 
116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks116 owasp mobile-top_10_security_risks
116 owasp mobile-top_10_security_risks
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
Resumen curso de seguridad para desarrolladores de aplicaciones web y móviles...
 
2020 enero Argentesting
2020 enero Argentesting2020 enero Argentesting
2020 enero Argentesting
 
Análisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridadAnálisis de Aplicaciones móviles - aspectos de seguridad
Análisis de Aplicaciones móviles - aspectos de seguridad
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Seguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móvilesSeguridad y auditoría de Apps o aplicaciones móviles
Seguridad y auditoría de Apps o aplicaciones móviles
 
Ciberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación DigitalCiberseguridad, Fundamental para la Transformación Digital
Ciberseguridad, Fundamental para la Transformación Digital
 
Secure Development, Seguridad al Codificar
Secure Development, Seguridad al CodificarSecure Development, Seguridad al Codificar
Secure Development, Seguridad al Codificar
 
U2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_movilesU2 p5 seguridad_dispositivos_moviles
U2 p5 seguridad_dispositivos_moviles
 
Seguridad en Dispositivos Móviles
Seguridad en Dispositivos MóvilesSeguridad en Dispositivos Móviles
Seguridad en Dispositivos Móviles
 
Tu móvil más seguro
Tu móvil más seguro Tu móvil más seguro
Tu móvil más seguro
 
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
Aplicaciones Difusas UNIDAD 5: ÉTICA Y PRIVACIDAD: Parte 1
 
Hackeando plataformas móviles
Hackeando plataformas móvilesHackeando plataformas móviles
Hackeando plataformas móviles
 

More from Belatrix Software

Desarrollando AWS Alexa Skills con Java
Desarrollando AWS Alexa Skills con JavaDesarrollando AWS Alexa Skills con Java
Desarrollando AWS Alexa Skills con Java
Belatrix Software
 
Testing de Aplicaciones Móviles, Públicas, Masivas y Críticas
Testing de Aplicaciones Móviles, Públicas, Masivas y CríticasTesting de Aplicaciones Móviles, Públicas, Masivas y Críticas
Testing de Aplicaciones Móviles, Públicas, Masivas y Críticas
Belatrix Software
 
Machine Learning vs. Deep Learning
Machine Learning vs. Deep LearningMachine Learning vs. Deep Learning
Machine Learning vs. Deep Learning
Belatrix Software
 
IoT + voice assistants = posibilidades infinitas
IoT + voice assistants = posibilidades infinitasIoT + voice assistants = posibilidades infinitas
IoT + voice assistants = posibilidades infinitas
Belatrix Software
 

More from Belatrix Software (20)

Pruebas continuas con cypress en la era DevOps
Pruebas continuas con cypress en la era DevOpsPruebas continuas con cypress en la era DevOps
Pruebas continuas con cypress en la era DevOps
 
Navigating the new world ushered in overnight by COVID-19
Navigating the new world ushered in overnight by COVID-19Navigating the new world ushered in overnight by COVID-19
Navigating the new world ushered in overnight by COVID-19
 
Multitenancy con múltiples Bases de Datos
Multitenancy con múltiples Bases de DatosMultitenancy con múltiples Bases de Datos
Multitenancy con múltiples Bases de Datos
 
Desarrollando AWS Alexa Skills con Java
Desarrollando AWS Alexa Skills con JavaDesarrollando AWS Alexa Skills con Java
Desarrollando AWS Alexa Skills con Java
 
Creando Animaciones en React Native
Creando Animaciones en React NativeCreando Animaciones en React Native
Creando Animaciones en React Native
 
Microservicios con spring
Microservicios con springMicroservicios con spring
Microservicios con spring
 
RPA: Sistemas de información para optimizar procesos de negocios
RPA: Sistemas de información para optimizar procesos de negociosRPA: Sistemas de información para optimizar procesos de negocios
RPA: Sistemas de información para optimizar procesos de negocios
 
Estrategias para alcanzar la Transformación Digital
Estrategias para alcanzar la Transformación DigitalEstrategias para alcanzar la Transformación Digital
Estrategias para alcanzar la Transformación Digital
 
Testing de Aplicaciones Móviles, Públicas, Masivas y Críticas
Testing de Aplicaciones Móviles, Públicas, Masivas y CríticasTesting de Aplicaciones Móviles, Públicas, Masivas y Críticas
Testing de Aplicaciones Móviles, Públicas, Masivas y Críticas
 
Api NodeJS con PureScript
Api NodeJS con PureScriptApi NodeJS con PureScript
Api NodeJS con PureScript
 
Machine Learning vs. Deep Learning
Machine Learning vs. Deep LearningMachine Learning vs. Deep Learning
Machine Learning vs. Deep Learning
 
Metodologías de CSS
Metodologías de CSSMetodologías de CSS
Metodologías de CSS
 
Los retos de un tester ágil
Los retos de un tester ágilLos retos de un tester ágil
Los retos de un tester ágil
 
IoT + voice assistants = posibilidades infinitas
IoT + voice assistants = posibilidades infinitasIoT + voice assistants = posibilidades infinitas
IoT + voice assistants = posibilidades infinitas
 
Lleva tus aplicaciones móviles a otro nivel con Flutter
Lleva tus aplicaciones móviles a otro nivel con FlutterLleva tus aplicaciones móviles a otro nivel con Flutter
Lleva tus aplicaciones móviles a otro nivel con Flutter
 
Microservicios con Net Core y Azure Service Fabric
Microservicios con Net Core y Azure Service FabricMicroservicios con Net Core y Azure Service Fabric
Microservicios con Net Core y Azure Service Fabric
 
Micro Frontends: Rompiendo el monolito en las aplicaciones Web
Micro Frontends: Rompiendo el monolito en las aplicaciones WebMicro Frontends: Rompiendo el monolito en las aplicaciones Web
Micro Frontends: Rompiendo el monolito en las aplicaciones Web
 
Predictions 2019: Digital journeys are well on their way
Predictions 2019: Digital journeys are well on their way Predictions 2019: Digital journeys are well on their way
Predictions 2019: Digital journeys are well on their way
 
Integrando Test Driven Development en aplicaciones React
Integrando Test Driven Development en aplicaciones ReactIntegrando Test Driven Development en aplicaciones React
Integrando Test Driven Development en aplicaciones React
 
Drive business outcomes using Azure Devops
Drive business outcomes using Azure DevopsDrive business outcomes using Azure Devops
Drive business outcomes using Azure Devops
 

Recently uploaded

QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
Marc Liust
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
Yanitza28
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
2024020140
 

Recently uploaded (16)

AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptxTarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
Tarea_sesion_15_Reportes Maestro - Detalle con el uso de AJAX.pptx
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
herramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el temaherramientas web para estudiantes interesados en el tema
herramientas web para estudiantes interesados en el tema
 
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdfRedes Neuronales profundas convolucionales CNN ́s-1.pdf
Redes Neuronales profundas convolucionales CNN ́s-1.pdf
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
microsoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamtemicrosoft word manuales para todos tipos de estudiamte
microsoft word manuales para todos tipos de estudiamte
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 

Top 10 riesgos de las aplicaciones móviles

  • 1.
  • 4. Agenda • ¿Qué es OWASP? • ¿Qué es el Proyecto OWASP Top 10 Mobile Risk? • Revisión de los 10 Riesgos de las aplicaciones móviles. • Referencias de casos reales. • Recomendaciones de solución. ¿QUESTIONS? #MobileBelatrix
  • 5.
  • 6.
  • 7.
  • 8.
  • 9. M1: Plataforma Mal Utilizada M2: Almacenamiento Inseguro M3: Comunicación Insegura M4: Autenticación Insegura M5: Criptografía Insegura M6: Autorización Insegura M7: Código de Baja Calidad M8: Tampering de Código M9: Ingeniería Inversa M10: Funcionalidades Extrañas OWASP Mobile Top 10 Risk
  • 10. M1. Plataforma Mal Utilizada Las plataformas móviles tienen múltiples características de seguridad. Sin embargo, suelen ser mal utilizadas u obviadas durante el proceso de desarrollo de aplicaciones de forma no intencionada o intencional. ¿QUESTIONS? #MobileBelatrix
  • 11.
  • 12.
  • 13. M2. Almacenamiento Inseguro de Datos Las aplicaciones almacenan datos personales y sensibles de forma local y en texto plano o cifrados de forma débil. Las herramientas forenses o malware instalado pueden acceder a estos datos. ¿QUESTIONS? #MobileBelatrix
  • 14.
  • 15.
  • 16.
  • 17. M3. Comunicación Insegura Las comunicaciones aplicación-servidor suelen ser poco protegidas mediante protocolos inseguros que exponen los datos sensibles a ser robados mientras son transmitidos. ¿QUESTIONS? #MobileBelatrix
  • 18.
  • 19.
  • 20.
  • 21. M4. Autenticación Insegura Los controles asociados a la autenticación son especialmente deficientes en las aplicaciones móviles y suelen permitir acceso a funciones criticas de forma anónima sin dejar registros. ¿QUESTIONS? #MobileBelatrix
  • 22.
  • 23. Video
  • 24. M5. Criptografía Insuficiente Muchas aplicaciones utilizan algoritmos criptográficos con debilidades conocidas, desarrollan su propia criptografía o no protegen adecuadamente las llaves de cifrado. ¿QUESTIONS? #MobileBelatrix
  • 25.
  • 26.
  • 27. M6. Autorización Insegura Muchas funcionalidades embebidas o en línea diseñadas para usuarios privilegiados permiten su uso por usuarios poco privilegiados debido a errores de autorización. ¿QUESTIONS? #MobileBelatrix
  • 28.
  • 29.
  • 30.
  • 31. M7. Código de Baja Calidad Son muy comunes las aplicaciones que poseen malas prácticas de programación que provocan exposición de datos sensibles en memoria, buffer overflows, etc. ¿QUESTIONS? #MobileBelatrix
  • 32.
  • 33.
  • 34.
  • 35.
  • 36. M8. Tampering de Código Casi la totalidad de las aplicaciones no implementan proteccion es ante modificaciones de binarios, recursos locales, valores en memoria, llamadas a sistema, etc. ¿QUESTIONS? #MobileBelatrix
  • 37.
  • 38.
  • 41.
  • 42. M9. Ingeniería Inversa La ingeniería inversa permite conocer el funcionamiento interno de la aplicación, librerías, código fuente, algoritmos propietarios y llaves de cifrado embebidas. ¿QUESTIONS? #MobileBelatrix
  • 43.
  • 44. Video
  • 45. M10. Funcionalidades Extrañas Muchas veces los desarrollares dejan puertas traseras, funcionalidades incompletas, comentarios con credenciales o funcionalidades ocultas. ¿QUESTIONS? #MobileBelatrix
  • 46.
  • 47.
  • 48.
  • 50.
  • 51.
  • 52.