Ciencias Tcnicas y Aplicadas

Artculo de Investigacin

 

Seguridad informtica aplicando la Autentificacin por Doble factor para la plataforma HomeOfi

 

Computer security applying Double Factor Authentication for the HomeOfi platform

 

Computer security applying Double Factor Authentication for the HomeOfi platform

 

Byron Barriga Rivera II
byronbarriga96@gmail.com@espoch.edu.ec
https://orcid.org/0000-0003-2594-7164

Lady Espinoza Tinoco I
lespinoza@unach.edu.ec
 https://orcid.org/0000-0001-6569-3686
Josu Izurieta Navarrete III
josue.izurieta6@gmail.com
 https://orcid.org/0000-0003-4471-2766
,Cristian Hugo Morales Alarcn IV
cmorales@unach.edu.ec
https://orcid.org/0000-0002-0197-0581
 

 

 

 

 

 

 

 

 


Correspondencia: [email protected]

 

 

*Recibido: 29 de junio del 2022 *Aceptado: 12 de julio de 2022 * Publicado: 16 de agosto de 2022

 

       I.          Magster en Informtica Educativa, Ingeniera en Sistemas Informticos, Universidad Nacional de Chimborazo, Riobamba, Ecuador.

     II.          Ingeniero en Sistemas y Computacin, Plasticaucho Industrial S.A, Ambato, Ecuador

   III.          Ingeniero en Sistemas y Computacin. Universidad Nacional de Chimborazo, Riobamba, Ecuador.

   IV.          Magster en Gestin de Sistemas de Informacin e Inteligencia de Negocios, Ingeniero en Sistemas y Computacin. Universidad Nacional de Chimborazo, Riobamba, Ecuador.

 

 

Resumen

HomeOfi es una plataforma informtica que permite la interconexin entre profesionales que desean ofertar sus servicios por medio de tele consultas o venta de productos digitales, la misma posee informacin y datos de usuarios incluida su informacin bancaria, por lo que necesita considerar una estructura robusta de seguridad informtica. El objetivo de esta investigacin fue aplicar la Autentificacin por Doble Factor para la plataforma informtica HomeOfi, con el propsito de gestionar y validar la informacin de los usuarios, detectar y neutralizar ataques informticos y garantizar el acceso exclusivo de sus usuarios autorizados. Para la validacin de esta implementacin se utiliz el mtodo Delphi bajo las mtricas de seguridad de la norma ISO 25010, para realizar este procesos se utilizaron dos ciclos, el primero sin la implementacin de la Autentificacin por Doble factor y el segundo con la implementacin, dando como resultado en la primera interaccin un cumplimento del 83% en general y en la segunda cumpliendo con un 100% de todas las mtricas, mejorando as la seguridad informtica de la empresa HomeOffice S.A.S.

Palabras Claves: Ataques Informticos; Autentificacin por Doble factor; Norma ISO 25010; Seguridad Informtica.

 

Abstract

HomeOfi is a computer platform that allows interconnection between professionals who wish to offer their services through teleconsultations or the sale of digital products, it has user information and data, including their bank information, so it needs to consider a robust security structure. computing. The objective of this research was to apply Double Factor Authentication to the HomeOfi computing platform, with the purpose of managing and validating user information, detecting and neutralizing computer attacks and guaranteeing exclusive access to authorized users. For the validation of this implementation, the Delphi method was used under the security metrics of the ISO 25010 standard, to carry out this process two cycles were used, the first without the implementation of Double Factor Authentication and the second with the implementation, giving as a result, in the first interaction, a compliance of 83% in general and in the second, complying with 100% of all the metrics, thus improving the computer security of the company HomeOffice S.A.S.

Keywords: Computer Attacks; Double Factor Authentication; ISO 25010 standard; Informatic security.

 

Resumo

A HomeOfi uma plataforma informtica que permite a interligao entre profissionais que pretendem oferecer os seus servios atravs de teleconsultas ou venda de produtos digitais, possui informaes e dados dos utilizadores, incluindo os seus dados bancrios, pelo que necessita de considerar uma estrutura de segurana robusta. O objetivo desta pesquisa foi aplicar a Autenticao de Fator Duplo plataforma computacional HomeOfi, com a finalidade de gerenciar e validar as informaes dos usurios, detectar e neutralizar ataques informticos e garantir acesso exclusivo aos usurios autorizados. Para a validao desta implementao foi utilizado o mtodo Delphi sob as mtricas de segurana da ISO 25010, para realizar este processo foram utilizados dois ciclos, o primeiro sem a implementao da Autenticao de Fator Duplo e o segundo com a implementao, dando como resultado , na primeira interao, uma conformidade de 83% em geral e na segunda, cumprindo 100% de todas as mtricas, melhorando assim a segurana informtica da empresa HomeOffice S.A.S.

Palavras-chave: Ataques de computador; Autenticao de Fator Duplo; norma ISO 25010; Segurana informtica.

 

Introduccin

La tecnologa ha cambiado y es parte fundamental de la vida cotidiana de las personas, esta es utilizada para actividades de comunicacin, entretenimiento, educativas, de comercio entre otras, las plataformas digitales guardan una gran cantidad de informacin personal de sus usuarios. Debido a esto las empresas e instituciones han optado por un enfoque prioritario de la seguridad de software.

En la ltima dcada el desarrollo de sistemas informticos y en especial los sistemas web se han convertido en una base del desarrollo tecnolgico, los usuarios confan sus datos, informacin personal e incluso bancaria a un gran nmero de plataformas digitales, por lo que la informacin que se encuentra en internet debe siempre contar con importantes estndares de seguridad (Lagreca, 2017).

Los ataques informticos aprovechan alguna debilidad o vulnerabilidad en el software, hardware e incluso en el personal involucrado en el ambiente informtico, con el fin de obtener un beneficio, en su mayora de ndole econmico (Mieres, 2009). Estos ataques causan dao directo a la seguridad de los sistemas informticos, que luego repercute directamente a la informacin de la organizacin, adems de producir dao monetario (Can, 2015).

La seguridad en sistemas informticos se presenta como un conjunto de reglas y procesos que ayudan a proteger la integridad, confidencialidad y disponibilidad de la informacin. Por otra parte, permite asegurar que los recursos de un sistema de informacin de una organizacin sean utilizados de manera correcta y por el personal autorizado (Tirado, Ramos, lvarez, & Carreo, 2017). Tambin trata de reducir los riesgos de acceso y utilizacin de ciertos sistemas de manera no autorizada y malintencionada. Su objetivo principal es precautelar por la integridad de los recursos informticos de gran valor para una organizacin. Con las buenas prcticas de seguridad informtica ayuda a la organizacin a proteger sus recursos tangibles e intangibles (Gil & Gil, 2017).

Uno de los objetivos de la seguridad informtica es optimizar los riesgos sobre los recursos informticos y con esto aportar con el funcionamiento normal de las operaciones de la empresa, dejando en segundo plano la administracin de riesgos informticos, otro objetivo de la seguridad informtica consiste en asegurar que los documentos cumplan con una alta confiabilidad, con caractersticas importantes las cuales son: permaneca, accesibilidad, disponibilidad, confidencialidad, autenticidad y aceptabilidad (Quiroz-Zambrano & Macas-Valencia, 2017). Se debe tener en cuenta que la seguridad informtica es un proceso en constante cambio, que necesita actualizar mtodos, herramientas, procedimientos y tcnicas que ayuden a contrarrestar los ataques informticos que van apareciendo da con da (Surez & vila, 2015). Se han creado varias tcnicas para mejorar los mtodos de autentificacin en sistemas informticos (Singh, 2017).

Las brechas de seguridad (el crimen digital y el fraude en internet), han dado origen a varios mtodos de seguridad en torno al ingreso a los sistemas informticos, siendo el ms utilizado la autenticacin por Doble factor (2FA) (Alzahrani, 2018). Este proceso de seguridad sirve para que el usuario confirme su identidad mediante dos factores de autenticacin diferentes (clave esttica y clave dinmica) (Waheed, Ali Shah, & Khan, 2016).

La autenticacin de dos factores es usada como un protocolo para prevenir muchos ataques. Esta autentificacin se basa en la suposicin de varios factores de identidad. Se puede dar una serie de contraseas temporales llamadas One Time Password (OTP) que solo se pueden utilizar una vez. Cuando se aplica ese cdigo o contrasea temporal, la plataforma inicia el proceso y verificacin del token. Para realizar el inicio de cualquier operacin el token debe estar registrado con anterioridad (Waheed, Ali Shah, & Khan, 2016). Segn Alzahrani, (2018) puede haber dos factores de autenticacin que son muy seguros. Un dispositivo mvil de verificacin se puede utilizar junto con la contrasea en lugar de usar tarjetas, fichas, etc.

En Arabia Saudita se realizaron investigaciones acerca de los mejores mtodos de autentificacin para acceso de sistemas informticos demostrando que la Autentificacin por Doble factor es uno de los mtodos ms usados en sistemas bancarios junto a la autentificacin biomtrica, la seguridad en la banca digital es considerada la ms importante entre sistemas que requieren la autentificacin de sus usuarios, siendo la base para cualquier sistema que requiera mejorar su seguridad (Alzahrani, 2018). Adems, China y Estados Unidos son pases que ms utilizan la autentificacin de usuarios, a tal punto en que todos sus sistemas cuentan con diferentes formas de Autentificacin por Doble factor, siendo los biomtricos los ms usados en China y los basados en OTP por Arabia (Kuang & Xu, 2020). Segn estudios realizados en Per se analizaron las polticas de seguridad que deben ser cumplidas tomando en cuenta los sistemas informticos, el comportamiento humano, conociendo que la informacin es el mayor bien a proteger (Altamirano & Bayona, 2017).

En el Ecuador existen estudios referentes a la problemtica de ciberdefensa y ciberseguridad segn los estudios de (Vargas, Reyes, & Recalde, 2007) argumentan que unos de los motivos que causa el problema en ciberseguridad es el aumento de servicios y productos por internet (transacciones, banca online, pago del agua, luz etc.).

La empresa HomeOffice S.A.S, ha creado HomeOfi que es una plataforma informtica que permite la interconexin entre profesionales que desean ofertar sus servicios por medio de tele consultas o venta de productos digitales (Homeofi, 2020). En sus mtodos de pago permite las opciones de pagos o transferencias bancarias, por lo que al trabajar con entidades bancarias requiere una mayor seguridad en todos sus procesos informticos incluyendo un mtodo de seguridad al ingreso del sistema, con el fin de validar el acceso exclusivo a los usuarios y personal autorizado dentro del sistema.

Es as que, para la proteccin de la plataforma digital, la cual usa constantemente la autenticacin de usuarios para mltiples procesos, como el ingreso de informacin o la compra de productos, la gestin de sus administradores, validacin de datos y pagos, es fundamental la implementacin de estrategias de seguridad que permitan la proteccin de datos. Es por esto que la presente investigacin busca aplicar la Autentificacin por Doble factor para la plataforma informtica HomeOfi de la empresa HomeOffice S.A.S, adems del diseo de un mdulo de seguridad contra ataques Informticos validando estas implementaciones mediante el estndar de calidad ISO 25010.

 

 

Metodologa

El desarrollo de la investigacin presenta un enfoque mixto. Cualitativa debido que se proporcion una descripcin correspondiente al cumplimiento de las mtricas de seguridad de la norma ISO 25010 y cuantitativa porque se aplica la tabulacin de datos para la evaluacin de las mtricas de seguridad y se realiza un anlisis basado en nmeros. Tambin se realiz una recopilacin bibliogrfica de informacin y datos relacionados en artculos cientficos, tesis, pginas web y guas oficiales, conceptos referentes al tema de investigacin.

La implementacin de Autentificacin por Doble factor y el mdulo de seguridad se desarroll bajo los lenguajes de programacin PHP y JavaScript, bajo el patrn de diseo Modelo Vista Controlador (MVC), la Autentificacin por Doble factor se realiz en el ingreso del sistema mediante el uso del algoritmo Time-based One-time Password (TOTP) implementado en la aplicacin Google Authenticator. Se utiliz la arquitectura Cliente Servidor, para desarrollar la aplicacin web permitiendo realizar validaciones por lado del cliente y del servidor, para el desarrollo de software se utiliz el Modelo Cascada que consiste en 5 fases las cuales son: Anlisis, Diseo, Desarrollo, Evaluacin y Mantenimiento en este caso se desarroll hasta la fase de Evaluacin.

Para la evaluacin de resultados se aplic el mtodo Delphi, se realiz un proceso de seleccin de 5 evaluadores, tambin conocidos como expertos, quienes fueron los encargados de medir la calidad de la seguridad del software, mediante las mtricas establecidas en el estndar de calidad ISO 25010. Para garantizar la seleccin de los expertos se consider criterios de formacin acadmica tanto internos de la empresa HomeOffice S.A.S., como externos a la empresa. Los 3 expertos de la empresa HomeOffice S.A.S., del departamento de desarrollo y 2 expertos de distintos establecimientos educativos de educacin superior en el rea de informtica, dando un total de 5 expertos. Los mismos que mediante un cuestionario evaluaron la calidad de la seguridad.

 

Resultados y discusin

Proceso de Autentificacin por Doble factor

Mediante el anlisis terico se determin que existen varios mtodos y factores para la implementacin en el proceso de Autentificacin por Doble factor (2FA), los cuales pueden variar segn las necesidades de cada sistema de seguridad. En la tabla 1 se muestra cada uno de los mtodos de autentificacin y en qu accin especfica fue implementada, adems del recurso necesario para la implementacin en cada accin.

Tabla 1. Factores y mtodos de autenticidad implementados

Factor

Mtodo de autentificacin

Accin

Recurso

Captcha

Click Pattern

Registro de un nuevo cliente

Google Captcha

Mail

Doble factor

Activacin de cuenta de cliente

Gmail

Captcha

Click Pattern /

Doble factor

Inicio de sesin

Google Captcha

QR

Doble factor

Inicio de sesin

Autenticador de Google (App Mvil)

Contrasea

Convencional

Inicio de sesin

Base de datos

Elaborado por: los autores

 

Desarrollo del mdulo de seguridad contra ataques informticos

Para el desarrollo del mdulo de seguridad se implement el Modelo Cascada que consiste en 5 fases las cuales son: anlisis, diseo, desarrollo, evaluacin y mantenimiento en este caso se desarroll hasta la fase de evaluacin.

Fase de anlisis

Para este ciclo de la Ingeniera de Software se implementaron las siguientes etapas correspondientes a la fase de anlisis, los cuales se mencionan a continuacin:

Roles de usuarios. Se definieron un total de 3 roles para el sistema en general y el mdulo de seguridad, los cuales son: cliente, administrador y superadministrador.

Requerimientos funcionales. Los requerimientos de funcionalidad fueron detallados en base a las necesidades de cada uno de los roles de los usuarios, se establece en general que el cliente tiene acceso solamente a su informacin personal, mientras que el administrador tiene acceso al historial e informacin del cliente y el superadministrador tiene el acceso al historial tanto de administradores y clientes, adems acceso a los ataques detectados y neutralizados del sistema.

Requerimientos no Funcionales. se tomaron en cuenta las siguientes mtricas: eficiencia, usabilidad, funcionalidad, compatibilidad, fiabilidad y seguridad, este ltimo siendo de vital importancia para el desarrollo de la presente investigacin.

Fase de diseo

Para este ciclo de la Ingeniera de Software se implementaron las siguientes etapas correspondientes a la fase de diseo, los cuales son necesarias para la construccin del mdulo de seguridad:

Arquitectura de software. Se ocupo el patrn MVC para el desarrollo arquitectnico del mdulo de seguridad, debido a la facilidad de implementacin en el sistema general.

Modelo entidad relacin. Se utiliz el modelo entidad relacin para evidenciar las atributos y relaciones de cada una de las entidades del mdulo de seguridad, adems sirvi como base para la construccin de los siguientes modelos y la base de datos final.

Modelo relacional. Se utiliz el modelo relacional para la definicin de datos y estructura normalizada del modelo entidad relacin.

Diagrama de casos de uso. El modelo de caso de uso se ocup para indicar las acciones de cada uno de los usuarios en base a sus roles y requisitos funcionales ya definidos, el cual sirvi para el modelado de la base de datos.

Modelo de base de datos. Se realiz un modelo final de base de datos tomando en cuenta todos los modelos y diagramas antes mencionados para el desarrollo del mdulo de seguridad.

Diccionario de datos. En esta etapa se detall cada uno de los datos utilizados para la creacin de tablas, los mismos que sirvieron para la correcta construccin de la base de datos.

Actividades para el desarrollo del mdulo de seguridad

  • Elaboracin de la estructura de las carpetas del mdulo de seguridad.
  • Elaboracin del archivo Index.php.
  • Creacin del archivo de conexin.
  • Creacin de las clases modelos del mdulo de seguridad.
  • Creacin de las vistas de las vistas principales del mdulo de seguridad.
  • Creacin de las vistas de usuarios annimos.
  • Creacin del controlador de usuario annimo.
  • Creacin de las vistas del usuario cliente.
  • Creacin del controlador del cliente.
  • Creacin de las vistas del usuario administrador.
  • Creacin del controlador del administrador.
  • Creacin de las vistas del usuario superadministrador.
  • Creacin del controlador del administrador.
  • Creacin del archivo HTTACCESS.

Fase de Evaluacin

Para la evaluacin del mdulo de seguridad se realizaron encuestas y entrevistas acerca de la funcionalidad con las que cuenta el mdulo de seguridad hacia el personal de desarrollo de la empresa HomeOffice S.A.S, adems de la evaluacin de los requerimientos no funcionales sin tomar en cuenta la seguridad.

Integracin del proceso de Autentificacin por Doble factor al mdulo de seguridad

Para el proceso de integracin de la autentificacin al mdulo de seguridad se utiliz el cdigo QR y la aplicacin Google Authenticator, generando un cdigo de 6 dgitos con una duracin de 30 segundos y un mximo de disponibilidad de 60 segundos, integrado entre el proceso de autentificacin de usuario y el ingreso a su respectivo panel, generando por cada usuario un cdigo y mostrando su nombre en la aplicacin.

Evaluacin de la seguridad del mdulo informtico

Finalmente, mediante el mtodo Delphi se procedi a la evaluacin del mdulo de seguridad para la cual se realizaron dos encuestas para la toma de informacin. Las cuales mediante tcnicas de anlisis e interpretacin de datos permiti evaluar la calidad de la seguridad del mdulo de informtico bajo las mtricas recomendadas por el estndar de calidad ISO/IEC 25010 (ISO25000, 2015), el cual tiene el objetivo de evaluar y determinar la excelencia del software, este modelo de evaluacin posee 8 caractersticas principales, cada una con sus respectivas mtricas. En la tabla 2 se resume cada una de las caractersticas y subcaractersticas de la norma ISO 25010.

Descripcin de los Criterios de Evaluacin

Para el anlisis de los resultados se establecieron una serie de criterios de evaluacin basados en las subcategoras de la mtrica de seguridad correspondiente a la norma ISO 25010 y el trabajo elaborado por (Calabrese & Pesado, 2017). En la tabla 2, se establece cada criterio en base a las preguntas establecidas en el cuestionario de evaluacin, obteniendo la frmula y la equivalencia de cada uno de los valores representados.

 

Tabla 2. Descripcin de criterios de evaluacin

ID

Nombre

Descripcin

C-1

Conexiones seguras

Se considera una conexin segura si cuenta con certificado HTTPS y si no redirige hacia sitios inseguros

C-2

Control de acceso

El sistema debe ser capaz de contralar el acceso a funcionalidades, base de datos, cdigo de la aplicados, servidores solo a personal autorizado

C-3

Encriptacin de datos

Por lo menos debe existir algn dato importe encriptado dentro de la base de datos

C-4

Contrasea de bajo nivel

La contrasea se considera de bajo nivel si posee menos de 7 caracteres, no posee letras maysculas y minsculas, no posee letras y nmeros

Contrasea de nivel medio

La contrasea se considera de nivel medio si posee al menos 7 caracteres o letras y maysculas y minsculas o letras y nmeros

Contrasea de alto nivel

La contrasea se considera de alto nivel si posee al menos 7 y menos de 15 caracteres, con letras minsculas y maysculas y nmeros

I-5

Prevencin de Accesos

El sistema debe ser capaz de prevenir el acceso a base de datos, acceso de cdigo, funcionalidades especificas a personal no autorizado, adems que no se permitan inyecciones de Javascript y/o de SQL

I-6

Prevencin de modificaciones

Se debe establecer que no se altere el cdigo del sistema sin una autorizacin establecida

I-7

Confirmacin de datos

Se debe efectuar una revalidacin de los datos del registro por medio de un mail

NR-8

Operaciones realizadas

Se debe contar con un historial de antecedentes de acciones realizadas e informar del inicio de sesin por mail, adems de poseer un cierre forzado en el caso de un determinado tiempo de no uso del sistema o luego de finalizar la sesin

NR-9

Mecanismo de Cifrado

Se debe implementar mtodos de encriptacin sea por algoritmos o mecanismos criptogrficos

NR-10

Verificacin de acciones

Se debe requerir una validacin de los datos antes de realizar una determinada accin

R-11

Registro de acciones y datos

Se debe tener un expediente de las acciones realizadas, un registro por hora y fecha o capturar el direccionamiento IP desde que se ingresa al sistema

R-12

Deteccin de posibles ataques

Se debe llevar un registro de los posibles ataques realizados, detectndolos y neutralizndolos y guardando los datos causantes de los mismos

A-13

Comprobacin de identidad

El sistema debe ejecutar una verificacin de identidad mediante cualquiera de los siguientes mtodos: datos biomtricos, Captchas, QR.

A- 14

Comprobaciones adicionales

Se debe contar con un sistema de autentificacin en dos pasos, aplicaciones externas de autentificacin o se debe recurrir a una clave de segundo nivel para el ingreso al sistema o confirmacin del registro mediante un mail

Elaborado por: los autores

 

 

Resultados

Primer ciclo de evaluacin

En este primer ciclo de evaluacin se tom el mdulo de seguridad sin la implementacin de la Autentificacin por Doble factor, en el cual no se implement ningn factor de autentificacin externa al propio mdulo desarrollado. En la tabla 3 se describen los resultados de la evaluacin del primer ciclo.

 

Tabla 3. Resultados de la evaluacin del primer ciclo

ID

Nombre

Primer evaluador

Segundo evaluador

Tercer evaluador

Cuarto evaluador

Quinto evaluador

C-1

Conexiones seguras

0

0

1

0

0

C-2

Control de acceso

1

1

1

1

1

C-3

Encriptacin de datos

1

1

1

1

1

C-4

Contrasea de alto nivel

1

1

1

1

1

I-5

Prevencin de Accesos

1

1

1

1

1

I-6

Prevencin de modificaciones

1

1

1

1

1

I-7

confirmacin de datos

1

1

1

1

1

NR-8

Operaciones realizadas

1

1

1

1

1

NR-9

Mecanismo de Cifrado

1

1

1

1

1

NR-10

Verificacin de acciones

1

0

1

1

0

R-11

Registro de acciones y datos

1

1

1

1

1

R-12

Deteccin de posibles ataques

1

1

1

1

1

A-13

Comprobacin de identidad

0

0

0

0

0

A- 14

Comprobaciones adicionales

1

1

1

1

1

Elaborado por: los autores

 

En la tabla 4 se evidencia el cumplimento de cada una de las mtricas de seguridad en el primer ciclo de evaluacin, en el que se muestra que apenas dos mtricas son cumplidas a cabalidad. En la mtrica de confidencialidad existe un cumplimento del 75%, siendo el 25% de no cumplimiento debido a la falta de seguridad en el redireccionamiento de sitos seguros, en la mtrica de no repudio existe una discrepancia entre los evaluadores, siendo el 33% de cumplimento en esta mtrica, dado a la falta de verificacin de los datos al realizar una accin. Finalmente, en la mtrica de autenticidad existe apenas un 50% de cumplimento de la mtrica debido a que no existe ningn tipo de autentificacin externa por parte del mdulo informtico.

 

 

 

 

 

Tabla 4. Cumplimiento de las mtricas de seguridad primera evaluacin

Mtrica

Porcentaje de cumplimiento de cada mtrica

Primer

evaluador

Segundo

evaluador

Tercer

evaluador

Cuarto

evaluador

Quinto

evaluador

Confidencialidad

75%

75%

100%

75%

75%

Integridad

100%

100%

100%

100%

100%

No Repudio

100%

67%

100%

100%

67%

Responsabilidad

100%

100%

100%

100%

100%

Autenticidad

50%

50%

50%

50%

50%

Elaborado por: los autores

 

Segundo ciclo de evaluacin

En este segundo ciclo de evaluacin se tom el mdulo de seguridad con la implementacin de la Autentificacin por Doble factor, adems de mejorar el cumplimiento de varias mtricas vistas en el anterior ciclo de evaluacin.

 

Tabla 5. Criterios de evaluacin del segundo ciclo de evaluacin

ID

Nombre

Primer evaluador

Segundo evaluador

Tercer evaluador

Cuarto evaluador

Quinto evaluador

C-1

Conexiones seguras

1

1

1

1

1

C-2

Control de acceso

1

1

1

1

1

C-3

Encriptacin de datos

1

1

1

1

1

C-4

Contrasea de alto nivel

 

1

1

1

1

1

I-5

Prevencin de Accesos

1

1

1

1

1

I-6

Prevencin de modificaciones

1

1

1

1

1

I-7

Confirmacin de datos

 

1

1

1

1

1

NR-8

Operaciones realizadas

1

1

1

1

1

NR-9

Mecanismo de Cifrado

1

1

1

1

1

NR-10

Verificacin de acciones

 

1

1

1

1

1

R-11

Registro de acciones y datos

1

1

1

1

1

R-12

Deteccin de posibles ataques

 

1

1

1

1

1

A-13

Comprobacin de identidad

1

1

1

1

1

A- 14

Comprobaciones adicionales

 

1

1

1

1

1

Elaborado por: los autores

 

En la tabla 6 se evidencia el cumplimento total de cada una de las mtricas recomendadas por la norma ISO 25010, segn los resultados obtenidos, la implementacin de factores de autentificacin externas mejora en el cumplimento de todas las mtricas, la mtrica de autenticidad es la ms afectada pasando de un 50% a 100%, esto debido a la implementacin de la Autentificacin por Doble Factor.

 

Tabla 6. Cumplimiento de las mtricas de seguridad segunda evaluacin

Mtrica

Porcentaje de cumplimiento de cada mtrica

Primer

evaluador

Segundo

evaluador

Tercer

evaluador

Cuarto

evaluador

Quinto

evaluador

Confidencialidad

100%

100%

100%

100%

100%

Integridad

100%

100%

100%

100%

100%

No Repudio

100%

100%

100%

100%

100%

Responsabilidad

100%

100%

100%

100%

100%

Autenticidad

100%

100%

100%

100%

100%

Elaborado por: los autores

 

Resultado final del mdulo de seguridad

En el grfico 1, se muestra la diferencia que existe entre los dos ciclos de evaluacin, demostrando que en la primera evaluacin existe un cumplimento del 83% y luego de la implementacin del doble factor, un cumplimiento del 100%. Entre estos dos ciclos existe una diferencia del 17%, dicha diferencia en trminos generales no es muy notoria, pero al revisar cada una de las mtricas, se muestra que la implementacin de mtodos de autentificacin externas mejora la seguridad de todas las mtricas y en especial la mtrica de Autenticidad.

En la figura 1 y 2 se puede observar las vistas de la Autentificacin por Doble factor, la primera en la cual se encuentra el cdigo QR y en la segunda la confirmacin de la autentificacin del cliente a travs de Google Authenticator.

 


 

Grfico 1. Anlisis general del mdulo de seguridad informtica

Elaborado por: los autores

 

Figura 1. Vista Autentificacin por Doble Factor para el cliente

Elaborado por: los autores

 


 

Figura 2. Cdigo de la App Google Authenticator del cliente

Elaborado por: los autores

 

Conclusiones

Los sistemas informticos, se encuentran en constante vulnerabilidad debido al incremento de ciberdelincuentes, mtodos de robo de contraseas y de suplantacin de identidad, adems de las mltiples formas de realizar un ataque informtico directo al sistema. Todo sistema informtico debe ser capaz de neutralizar y detectar ataques, implementando en sus sistemas varios mtodos de autentificacin, tanto externos como internos, adems de un historial de cada accin realizadas por sus mltiples usuarios y finalmente debe tener algoritmos de encriptacin y cifrado de datos. Para la Autentificacin por Doble factor existen varios mtodos para implementarlos en mdulos de seguridad, entre ellos est la implementacin de captchas, contrasea convencional, y cdigo QR, los cuales son los ms utilizados, debido a su facilidad de implementacin, costo muy bajo y facilidad de uso tanto para el usuario como para el sistema. Para mejorar la seguridad Informtica de la plataforma informtica HomeOfi se implement un mdulo de seguridad el cual permite llevar un registro de usuarios con sus respectivos datos y roles, permitiendo acceder a las distintas funcionalidades del mismo, adems, cada usuario posee un historial de las acciones realizadas junto con un bloqueo en el caso de no cumplir las condiciones correctas al momento de ingresar y actualizar su informacin. El ingreso del sistema cuenta con una Autentificacin por Doble factor, la primera cuenta con una contrasea y un captcha, mientras que el segundo cuenta con un cdigo QR y la aplicacin Google Authenticator. Finalmente se da una comprobacin de inicio de sesin por medio de un mensaje de correo electrnico al usuario. El mdulo de seguridad posee un historial con los datos ms relevantes de los ataques informticos que detect y neutraliz.

Para la evaluacin del mdulo de seguridad informtica se utiliz las mtricas de la categora de seguridad recomendada por la Norma ISO 25010, de acuerdo al criterio para el anlisis de la seguridad se establece que solamente cuando este cumplidas todas las mtricas al 100 % se definir al mdulo de seguridad como seguro. A travs del anlisis de seguridad por medio del mtodo Delphi permiti evaluar el mdulo de seguridad en dos ciclos, el primero sin contar con la Autentificacin por Doble factor obteniendo un porcentaje de aceptacin del 83% en general, mientras que en el segundo ciclo se implement la Autentificacin por Doble factor dando como resultado un porcentaje de aceptacin del 100%, evidenciado que la misma mejora la seguridad informtica del sistema HomeOfi.

Estas implementaciones tcnicas permiten mantener a los sistemas informticos ms seguros, sin embargo, las plataformas siguen siendo vulnerables a ataques, tanto internos como externos, por esta razn es necesario un adecuado monitoreo evaluacin constante y actualizacin tecnolgica, adems, de educacin a los usuarios con la finalidad que los mismos puedan proteger sus datos confidenciales.

 

Referencias

1.     Altamirano, J., & Bayona, S. (2017). Polticas de Seguridad de la Informacin: Revisin Sistemtica de las Teoras que Explican su Cumplimiento. Revista lbrica de Sistemas y Tecnologas de Informacin, 25, 134. https://doi.org/10.17013/risti.25.112-134

2.     Alzahrani, A. (2018). Useable Authentication Mechanisms for Secure Online Banking. International Journal of Scientific Research in Computer Science, Engineering and Information Technology.

3.     Can, Lady. (2015). Ataques informticos, Ethical Hacking y conciencia de seguridad informtica en nios. Universidad Piloto de Colombia. Recuperado de https://core.ac.uk/download/pdf/226151976.pdf

4.     Gil, V., & Gil, J. (2017). Seguridad informtica organizacional: un modelo de simulacin basado en dinmica de sistemas. Scientia et Technica, 22(2), 193197. https://doi.org/10.22517/23447214.11371

5.     Homeofi. (2020). Quienes Somos. Recuperado de https://homeofi.com/acerca-de

6.     ISO25000. (2015). Norma ISO/IEC 25010. Recuperado de https://iso25000.com/index.php/normas-iso-25000/iso-25010?limit=3&limitstart=0

7.     Kuang, G., & Xu, H. (2020). Realization of Identity Card and Face Recognition Two-Factor Authentication System Based on Wechat. Advances in Intelligent Systems and Computing, 1017, 929936. Springer Verlag. https://doi.org/10.1007/978-3-030-25128-4_114/COVER

8.     Lagreca, N. (2017). Modelo de auditoria para servicios telemticos de la universidad Simn Bolvar. Tlmatique, 16(2), 7995. Recuperado de https://www.redalyc.org/pdf/784/78457361005.pdf

9.     Mieres, J. (2009). Ataques informticos Debilidades de seguridad comnmente explotadas | Mario Mamani - Academia.edu. Recuperado el 25 de julio de 2022, de https://www.academia.edu/8522766/Ataques_informticos_Debilidades_de_seguridad_comnmente_explotadas

10.  Quiroz-Zambrano, S., & Macas-Valencia, D. (2017). Seguridad en informtica: consideraciones . Dominio de las Ciencias, 3(5), 676688. Recuperado de https://dominiodelasciencias.com/ojs/index.php/es/article/view/663/pdf

11.  Singh, S. (2017). Multi-factor Authentication and their Approaches. International Research Journal of Management, 4(3), 6881. Recuperado de https://sloap.org/journals/index.php/irjmis/article/view/468

12.  Surez, D., & vila, A. (2015). Una forma de interpretar la seguridad informtica . Journal of Engineering and Technology, 4(2). Recuperado de http://179.1.108.245/index.php/jet/article/view/1015

13.  Tirado, N., Ramos, D., lvarez, E., & Carreo, S. (2017). Seguridad Informtica, un mecanismo para salvaguardar la Informacin de las empresas. Revista, 4(10), 462473. Recuperado de https://core.ac.uk/download/pdf/236644851.pdf

14.  Vargas, R., Reyes, R., & Recalde, L. (2007). Ciberdefensa y ciberseguridad, ms all del mundo virtual: modelo ecuatoriano de gobernanza en ciberdefensa. URVIO. Revista Latinoamericana de Estudios de Seguridad, (20), 3145. https://doi.org/10.17141/URVIO.20.2017.2571

15.  Waheed, A., Ali Shah, M., & Khan, A. (2016). Secure login protocols: An analysis on modern attacks and solutions. 22nd International Conference on Automation and Computing, ICAC 2016: Tackling the New Challenges in Automation and Computing, 535541. https://doi.org/10.1109/ICONAC.2016.7604975

 

 

 

 

 

2022 por los autores. Este artculo es de acceso abierto y distribuido segn los trminos y condiciones de la licencia Creative Commons Atribucin-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0)

(https://creativecommons.org/licenses/by-nc-sa/4.0/).|

 

Métricas del Artículos

Cargando Métricas.....

Metrics powered by MI WEB PRO

Enlaces de Referencia

  • Por el momento, no existen enlaces de referencia


Copyright (c) 2022 Lady Espinoza Tinoco, Byron Barriga Rivera, Josué Izurieta Navarrete, Cristian Hugo Morales Alarcón

URL de la Licencia: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.es

Polo de Capacitación, Investigación y Publicación (POCAIP)

Dirección: Ciudadela El Palmar, II Etapa,  Manta - Manabí - Ecuador.

Código Postal: 130801

Teléfonos: 056051775/0991871420

Email: [email protected]

URL: https://www.dominiodelasciencias.com/

DOI: https://doi.org/10.23857/pocaip