Ciberseguridad en sitios web: auditoría de seguridad de una plataforma en línea

Autores/as

DOI:

https://doi.org/10.33936/isrtic.v9i1.7466

Palabras clave:

Ciberseguridad, OWASP, Auditoría de seguridad, Vulnerabilidades

Resumen

Vivimos en un mundo digital cada vez más dependiente de plataformas en línea donde garantizar la seguridad se ha convertido en una de las grandes dificultades del día a día. Este trabajo muestra los resultados obtenidos de una auditoría de ciberseguridad sobre una plataforma web bajo este marco OWASP como marco de referencia técnico. En el análisis realizado se ha hecho énfasis en dos clases distintas de problemas: la configuración incorrecta de seguridad y los errores cometidos en la autenticación e identificación de los usuarios. En el proceso de evaluación realizado se detectaron una serie de vulnerabilidades destacada como pueden ser las cookies inseguras, los puertos abiertos con servicios sensibles expuestos o, la ausencia de autenticación multi-factor (MFA), entre otras. Si bien no se logró llevar a cabo la explotación de todas las vulnerabilidades detectadas debido a la existencia de mecanismos defensivos activos los hallazgos realizados permitieron proponer medidas de mitigación prácticas y aplicables. El estudio es capaz de validar como el marco OWASP se muestra útil para auditorías en la práctica y hace hincapié en que, a pesar de que ciertas técnicas informáticas limitan la transferencia de una serie de ataques, éstas no son capaces de sustituir la corrección de las configuraciones inseguras. Destacando también que se debe entender la ciberseguridad como un proceso cíclico y adaptativo. Estos resultados son de especial valía para organizaciones con escasos recursos, ya que ofrecen vías de trabajo aplicables para mejorar su postura de ciberseguridad a través de auditorías estructuradas y defensa en profundidad.

Descargas

La descarga de datos todavía no está disponible.

Citas

Altamirano, C. W. F., Freire, M., Yamba Yugsi, M., & Ureta Arreaga, L. A. (2024). Prevención de ataques ransomware en entidades públicas y privadas en el Ecuador. Polo del Conocimiento, 9(8), 2710–2723. https://doi.org/10.23857/pc.v9i8.7850102

Ávila Niño, F. Y. (2023). Ransomware, una amenaza latente en Latinoamérica. InterSedes, 24. https://doi.org/10.15517/isucr.v24i49

Bermúdez-Bermúdez, Y. A. (2024). El principio de proporcionalidad como límite de los ciberataques en los conflictos armados internacionales. En Problemas abiertos en torno al principio de proporcionalidad: un análisis desde el DIDH y el DIH (pp. 141–160). Escuela Militar de Cadetes General Jose María Córdova.

Broncano, M. P. E., & Ávila Pesantez, D. F. (2021). Ciberseguridad en los sistemas de gestión de aprendizaje (LMS). Ecuadorian Science Journal, 5(1), 46–54. https://doi.org/10.46480/ESJ.5.1.98

Escobar Ávila, M. E., & Rojas Amado, J. C. (2021). Beneficios del uso de tecnologías digitales en la auditoría externa: una revisión de la literatura. Revista Facultad de Ciencias Económicas, 29(2), 45–65. https://doi.org/10.18359/rfce.5170

García-Rojas, J., Vargas-Vega, T. J., Rodríguez-Aguilar, R., & Landeros-Valenzuela, K. (2023). Tecnología educativa de blockchain para prevenir ciberataques en ITSOEH. 593 Digital Publisher CEIT, 8(2–1), 136–152. https://doi.org/10.33386/593dp.2023.2-1.1702

Guaña-Moya, J., Sánchez-Zumba, A., Chérrez-Vintimilla, P., Chulde-Obando, L., Jaramillo-Flores, P., & Pillajo-Rea, C. (2022). Ataques informáticos más comunes en el mundo digitalizado. Iberian Journal of Information Systems and Technologies, 87–100.

He, Y., Zamani, E., Yevseyeva, I., & Luo, C. (2023). Artificial intelligence–based ethical hacking for health information systems: Simulation study. Journal of Medical Internet Research, 25, e41748. https://doi.org/10.2196/41748

Muñoz, A. B. (2024). Educar y proteger: análisis de la educación en ciberseguridad para combatir la ciberdelincuencia. Education & Law Review / Revista de Educación y Derecho, (30), 1–22. https://doi.org/10.1344/REYD2024.30.44082

Nagata Bolivar, T., Alemán Delgado, M. S., Toro Flores, Y. A., & Rivas Almonte, F. U. (2021). Análisis y optimización del proceso de validación de ataques de secuencia de comandos en sitios cruzados (XSS) empleando Burp Suite para evadir medidas de seguridad. Iberian Journal of Information Systems and Technologies, 414–432.

Ontiveros, J. M. B., Bailón Estrada, M., Flores Regalado, A., Benítez Guadarrama, J. P., & Cervantes Cardenas, S. A. (2024). Detecciones de vulnerabilidades web a través de la evaluación de pruebas de penetración. Revista NeyArt, 2(2), 46–63. https://doi.org/10.61273/NEYART.V2I2.49

Ospina Díaz, M. R., & Sanabria Rangel, P. E. (2024). Desafíos nacionales frente a la ciberseguridad en el escenario global: un análisis para Colombia. Revista Criminalidad, 62, 199–217.

Pérez, S. B. (2022). Moral hazard situations and misaligned incentives in cybersecurity. Revista Chilena de Derecho y Tecnología, 11(2), 103–120. https://doi.org/10.5354/0719-2584.2022.60821

Reyes, D. G., González Brito, H. R., Zulueta Veliz, Y., & Fernández Pérez, Y. (2023). Técnicas de aprendizaje automático para la detección y prevención de amenazas de ciberseguridad. Proyecciones futuras. Revista Cubana de Ciencias Informáticas, 17, 15–27.

Rivera, Y., Pinto Mangone, A. D., Castaño, S., Torres Tovio, J. M., Ibarra Hernández, F., & Guevara, P. (2022). Análisis bibliométrico sobre ciberseguridad: técnica de ataque de suplantación de identidad y evolución. Iberian Journal of Information Systems and Technologies, 21–35.

Supriadi, D., Suryadi, E., Muslim, R., Samsumar, L. D., & Universitas Teknologi Mataram. (2024). Implementasi vulnerability assessment OWASP (Open Web Application Security Project) pada website Universitas Teknologi Mataram. Journal of Data Analytics, Information, and Computer Science, 1(4), 232–240. https://doi.org/10.70248/JDAICS.V1I4.1368

Uceda, M. A. S., Varas Zurita, P. L., & Mendoza De Los Santos, A. C. (2024). Análisis de seguridad de bases de datos: Estrategias para la protección de datos. Ingeniería: Ciencia, Tecnología e Innovación, 11(1), 90–103. https://doi.org/10.26495/KZ3KYZ70

Vanegas Pineda, M., & Ávila Quiceno, A. M. (2023). Análisis de herramientas de ciberseguridad de código abierto para la prevención de ciberataques a pequeñas y medianas empresas en Colombia. Revista CIES, 14, 221–241.

Zambrano Rendón, A. D. (2024). Impacto de la inteligencia artificial en los ciberataques. Revista Científica Sinapsis, 24(1), 2024–2030. https://doi.org/10.37117/S.V24I1.895

Descargas

Publicado

2025-06-09

Cómo citar

[1]
Jaramillo Barreiro, J.A., Reyes Sacaquirin, .J.C. y Loja Mora, .N.M. 2025. Ciberseguridad en sitios web: auditoría de seguridad de una plataforma en línea. Informática y Sistemas. 9, 1 (jun. 2025), 93–103. DOI:https://doi.org/10.33936/isrtic.v9i1.7466.

Número

Vol. 9 Núm. 1: Enero- Junio (2025)

Sección

Artículos regulares

Licencia

Derechos de autor 2025 Juan Andres Jaramillo Barreiro, Joseph Camilo Reyes Sacaquirin, Nancy Magaly Loja Mora

Creative Commons License

Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-SinDerivadas 4.0.

Los artículos enviados a esta revista para su publicación serán liberados para su acceso abierto bajo una licencia Creative Commons con Reconocimiento No Comercial Sin Obra Derivada (http://creativecommons.org/licenses/by-nc-nd/4.0)

Los autores mantienen los derechos de autor, y, por lo tanto, son libres de compartir, copiar, distribuir, ejecutar y comunicar públicamente la obra bajo las condiciones siguientes: Reconocer los créditos de la obra especificada por el autor e indicar si se realizaron cambios (puede hacerlo de cualquier forma razonable, pero no de una manera que sugiera que el autor respalda el uso que hace de su obra. No utilizar la obra para fines comerciales. En caso de remezcla, transformación o desarrollo, no puede distribuirse el material modificado.