Es esencial que los desarrolladores incluyan la seguridad de las aplicaciones en sus planes de desarrollo. Aquí hay varias maneras diferentes de hacerlo.
Los consejos para desarrollar una seguridad segura para aplicaciones móviles son esenciales. Aquí hay algunos consejos para asegurarse de que su nueva tarea de aplicación es una en la que los usuarios pueden confiar.
Primero viene el concepto de la aplicación, esa es la parte fácil. Después del golpe de inspiración viene una gran cantidad de planificación, esbozo y estrategia para hacer que ese sueño de aplicación se convierta en realidad.
Más información sobre Movilidad
Hay muchos factores que intervienen en el desarrollo de aplicaciones, y en un mundo en el que la piratería informática, la fuga de datos y la ciberdelincuencia son más prolíficos que nunca, la seguridad debe estar en lo más alto de la lista a la hora de iniciar un nuevo proyecto.
La última cosa que cualquier desarrollador de aplicaciones quiere es su idea de ir a la quiebra debido a un fallo de seguridad importante. Sin embargo, con una planificación y una estrategia de seguridad adecuadas, no es necesario hacerlo. Aquí tienes 10 consejos para asegurarte de que tu aplicación móvil toque el suelo de forma segura.
1. Incorpore el equipo de seguridad desde el primer día
La seguridad debe ser parte del proceso de desarrollo móvil desde la primera vez que el equipo de desarrollo se reúne. Ya sea que estés haciendo FODA, Scrumming, usando DevOps, Rapid o Agile, no hay ninguna diferencia: Incluya seguridad para que cada cambio lo incorpore.
Cuando se haga un cambio o se planee una revisión importante, siempre consulte al equipo de seguridad para que sepa cómo dar cuenta de cualquier problema que pueda surgir.
2. Pruebe, pruebe y vuelva a probar
Como se informó en ConsejoTecnologico.com el año pasado, el 60% de los desarrolladores no confían en la seguridad de su código, pero no toman medidas para solucionarlo. El problema, como NodeSource y Sqreen mencionaron en su informe, se debe en parte a que muchos desarrolladores no lo están haciendo.
La garantía de calidad es una parte importante de la creación de código seguro, y al igual que la seguridad como concepto general, no debería simplemente añadirse al final del proceso. Revise el código constantemente e identifique cada agujero de seguridad potencial que pueda encontrar, luego arréglelo antes de que termine en vivo.
VER: Política de control de calidad de software (Tech Pro Research)
La mayor preocupación de los desarrolladores, según el informe mencionado anteriormente, no se debe en realidad a la falta de pruebas: Se debe a algo totalmente distinto, en particular a los problemas inherentes a las dependencias de terceros.
3. No asumir la seguridad de dependencias de terceros.
Es común que los desarrolladores incorporen porciones de código disponibles gratuitamente o para la venta desde otras fuentes: ¿Por qué reinventar la rueda cuando ya funciona bien tal como está?
El código de terceros no siempre es seguro, y según la encuesta de NodeSource/Sqreen citada anteriormente, sólo el 16% de los desarrolladores confían en las dependencias de terceros que utilizan. Sin embargo, el 40% omite la revisión de esos componentes de terceros.
No seas uno de esos programadores. Seleccione cuidadosamente los módulos de terceros para asegurarse de que sean seguros.
4. Cuidado con esa API
Las APIs son una parte esencial de la programación de backend, pero también son un dolor de cabeza para la seguridad, ya que a menudo tienen que enfrentarse al mundo exterior. Asegúrese de que las API que utiliza estén verificadas para la plataforma en la que está desarrollando.
Asegúrese de incorporar también una puerta de enlace API, tal como se explica en este artículo de ConsejoTecnologico.com.
5. Piensa como un atacante
Cuando estés escribiendo código, piénsalo como un atacante: ¿Podrías explotar esto? Lo que puede parecer un problema menor que no vale la pena abordar podría ser una vulnerabilidad que un hacker podría utilizar para atacar su aplicación.
Las revisiones de código siempre deben incluir algún tiempo dedicado a buscar formas de romper la aplicación. No se detenga en defectos obvios tampoco, algunos ataques son tan inconcebibles que debería estar probando, y contabilizando, todo. Esto se duplica en el caso de los dispositivos móviles, que están sujetos a una gran variedad de variables ambientales.
6. Eliminar los vectores de ataque minimizando los permisos
La seguridad de confianza cero es uno de los métodos de seguridad de más rápido crecimiento, y con razón: asume que nadie, y nada, en una red es seguro. Como tal, sólo se conceden los permisos más básicos a un usuario o a una máquina, y sólo cuando es necesario.
Tu aplicación móvil debe estar diseñada de la misma manera. Si no necesita acceso a la cámara, a los contactos o al marcador, no lo pida. Si no necesita una conexión constante, no la programe con una.
Cada permiso que necesita una aplicación es otra conexión que tiene. Los mejores castillos fortificados sólo tienen una única entrada: piensa en tu aplicación como un castillo y elimina todas esas salidas secretas y pasadizos ocultos.
7. Tenga en cuenta lo que está almacenado en un dispositivo
Los datos personales almacenados por una aplicación están maduros para el desplume: deshazte de ellos o muévelos a un lugar seguro en el dispositivo. Si tiene que almacenar información confidencial o personalmente identificable en el dispositivo de un usuario, encríptela.
Si tu aplicación utiliza datos confidenciales, tendrá que haber un compromiso en alguna parte: O va a estar en el dispositivo o en sus servidores, y ambos son un riesgo. Como parte del desarrollo de su aplicación, dedique tiempo a determinar el mejor lugar para los datos del usuario, tanto por el bien del usuario como desde el punto de vista de la seguridad.
8. Transmisión de datos segura
Las VPN, SSL y TLS pueden ayudar a proteger los datos en tránsito, al igual que el cifrado entre el remitente y el destinatario. Encuentra una forma de asegurarte de que tu aplicación está transmitiendo y recibiendo datos de forma segura para que no pueda ser interceptada o falsificada.
9. Usar tokens para manejar las sesiones
Los tokens son la forma de facto de manejar los inicios de sesión de los usuarios en el mundo moderno de las aplicaciones, y debería utilizarlos para gestionar mejor las sesiones de los usuarios. No sólo se pueden revocar fácilmente para garantizar la seguridad del usuario, sino que también son más fáciles de usar, lo que siempre es una ventaja para una aplicación.
OAuth2, JSON Web Tokens y OpenID Connect son métodos excelentes para asegurar y simplificar los inicios de sesión de los usuarios.
10. Implementar la protección contra la manipulación
Más que un problema para las aplicaciones Android, que son fácilmente descompilables, la protección contra manipulaciones es un elemento imprescindible para la seguridad. Las aplicaciones copiadas han aparecido en Google Play y han engañado a millones de usuarios, y no quieres que tu aplicación sea una de ellas.
Hay varias maneras de proteger una aplicación Android, así que implementa una de ellas, o preferiblemente más, para proteger a tus usuarios y tu reputación como una opción confiable de aplicación.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Véase también