Análisis de Vulnerabilidades en Sistemas Web Públicos de Ecuador bajo OWASP API Security Top 10:2023: Un Caso de Estudio

Autores/as

DOI:

https://doi.org/10.33936/isrtic.v10i1.8463

Palabras clave:

OWASP, seguridad web, portales públicos, análisis pasivo, vulnerabilidades web

Resumen

La creciente digitalización de los servicios del Estado ecuatoriano expone una superficie de ataque cuya postura de seguridad apenas ha sido evaluada empíricamente en la literatura académica. Este estudio analiza las vulnerabilidades identificables en nueve sitios web del sector público ecuatoriano, basándose en el marco de referencia OWASP API Security Top 10: 2023. En Python 3.12, se ha implementado una herramienta destinada a realizar análisis pasivos y no intrusivos de encabezados HTTP, cookies, configuraciones TLS, código fuente HTML accesible públicamente, así como archivos estándar como robots.txt y security.txt, y puntos finales de API de acceso público. Esta metodología no requiere pruebas de penetración activas, inyección de cargas ni acceso a recursos autenticados, por lo que se lleva a cabo dentro de los límites establecidos por el marco legal correspondiente, en particular el Artículo 232 del Código Orgánico Integral Penal (COIP) del Ecuador. Se identificaron 101 hallazgos, clasificados en cinco categorías según el marco OWASP. La categoría de configuraciones de seguridad incorrectas (API8:2023) constituye el 69,3 % de los resultados, mientras que los hallazgos de severidad alta representan el 20,8 % del total. Nueve portales carecían de los encabezados de seguridad necesarios, y ocho presentaron cookies con flags de seguridad incompletas. Los hallazgos ofrecen evidencia empírica replicable de deficiencias sistémicas en el fortalecimiento del sector público en Ecuador, indicando que intervenciones de bajo costo y alto impacto podrían formalizarse como requisitos mínimos en todos los portales gubernamentales.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Awoleye, O. M., Ojuloge, B., & Ilori, M. O. (2014). Web application vulnerability assessment and policy direction towards a secure smart government. Government Information Quarterly, 31(S1), S118-S125. https://doi.org/10.1016/j.giq.2014.01.012

Buchanan, W. J., Helme, S., & Woodward, A. (2018). Analysis of the adoption of security headers in HTTP. IET Information Security, 12(2), 118-126. https://doi.org/10.1049/iet-ifs.2016.0621

Calzavara, S., Focardi, R., Squarcina, M., & Tempesta, M. (2017). Surviving the web: A journey into web session security. ACM Computing Surveys, 50(1), 13:1-13:34. https://doi.org/10.1145/3038923

Catota, F. E., Morgan, M. G., & Sicker, D. C. (2019). Cybersecurity education in a developing nation: The Ecuadorian environment. Journal of Cybersecurity, 5(1), tyz001. https://doi.org/10.1093/cybsec/tyz001

Compagna, L., Jonker, H., Krochewski, J., Krumnow, B., & Sahin, M. (2021). A preliminary study on the adoption and effectiveness of SameSite cookies as a CSRF defence. En 2021 IEEE European Symposium on Security and Privacy Workshops (EuroS&PW) (pp. 49-59). IEEE. https://doi.org/10.1109/EuroSPW54576.2021.00012

Cuzme, M., Pinargote, R., & Sabando, E. (2018). Plan de gestión de incidentes de seguridad informática mediante ITIL y MAGERIT. Informática y Sistemas: Revista de Tecnologías de la Informática y las Comunicaciones, 2(1), 24-30. https://doi.org/10.33936/isrtic.v2i1.1129

De los Santos, S., & Torres, J. (2018). Analysing HSTS and HPKP implementation in both browsers and servers. IET Information Security, 12(4), 275-284. https://doi.org/10.1049/iet-ifs.2017.0030

Doupé, A., Cova, M., & Vigna, G. (2010). Why Johnny can’t pentest: An analysis of black-box web vulnerability scanners. En C. Kreibich & M. Jahnke (Eds.), Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA 2010) (LNCS, Vol. 6201, pp. 111-131). Springer. https://doi.org/10.1007/978-3-642-14215-4_7

Flor-Unda, O., Simbaña, F., Larriva-Novo, X., Acuña, Á., Tipán, R., & Acosta-Vargas, P. (2023). A comprehensive analysis of the worst cybersecurity vulnerabilities in Latin America. Informatics, 10(3), 71. https://doi.org/10.3390/informatics10030071

Foudil, E., & Shafranovich, Y. (2022). A file format to aid in security vulnerability disclosure (RFC 9116). Internet Engineering Task Force. https://doi.org/10.17487/RFC9116

Hodges, J., Jackson, C., & Barth, A. (2012). HTTP Strict Transport Security (HSTS) (RFC 6797). Internet Engineering Task Force. https://doi.org/10.17487/RFC6797

Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL). (2022). Estrategia Nacional de Ciberseguridad del Ecuador 2022-2025. Gobierno del Ecuador. https://www.gobiernoelectronico.gob.ec/wp-content/uploads/2022/08/ESTRATEGIA-NACIONAL-DE-CIBERSEGURIDAD-2022.pdf

Navia, M., & Zambrano-Romero, W. (2021). Instrumento para la auditoría técnica de seguridad informática en pequeños proveedores de Internet. Informática y Sistemas: Revista de Tecnologías de la Informática y las Comunicaciones, 5(2), 119-128. https://doi.org/10.33936/isrtic.v5i2.3952

Pellegrino, G., Tschürtz, C., Bodden, E., & Rossow, C. (2015). jÄk: Using dynamic analysis to crawl and test modern web applications. En H. Bos, F. Monrose, & G. Blanc (Eds.), Research in Attacks, Intrusions, and Defenses (RAID 2015) (LNCS, Vol. 9404, pp. 295-316). Springer. https://doi.org/10.1007/978-3-319-26362-5_14

Weichselbaum, L., Spagnuolo, M., Lekies, S., & Janc, A. (2016). CSP is dead, long live CSP! On the insecurity of whitelists and the future of Content Security Policy. En Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (pp. 1376-1387). Association for Computing Machinery. https://doi.org/10.1145/2976749.2978363

Weissbacher, M., Lauinger, T., & Robertson, W. (2014). Why is CSP failing? Trends and challenges in CSP adoption. En A. Stavrou, H. Bos, & G. Portokalidis (Eds.), Research in Attacks, Intrusions and Defenses (RAID 2014) (LNCS, Vol. 8688, pp. 212-233). Springer. https://doi.org/10.1007/978-3-319-11379-1_11

Publicado

2026-06-30

Número

Sección

Artículos regulares

Artículos similares

También puede Iniciar una búsqueda de similitud avanzada para este artículo.