La seguridad de la aplicación no es una característica o un beneficio, es una necesidad y más si requerimos aplicaciones móviles para desarrolladores. Una violación podría costar a su compañía no solo millones de dólares, sino una vida de confianza. Es por eso que la seguridad debe ser una prioridad desde el momento en que comienza a escribir la primera línea de código.
Mientras estaba ocupado desarrollando las aplicaciones más intuitivas, innovadoras y emocionantes, las brechas de seguridad sacudieron el mundo cibernético y ganaron millones de dólares. Si comienzas a tener en perspectiva el tipo de relación que tenemos con nuestros teléfonos inteligentes y aplicaciones móviles de hoy, verás que una gran parte de nuestra información vital está flotando en el éter, accesible para un cúmulo de ciberdelincuentes.
Contenidos de esta página
Debemos estar alerta con las aplicaciones móviles para desarrolladores
Con un asalto, los delincuentes podrían saber nuestro nombre, edad, domicilio, números de cuenta e incluso nuestra ubicación actual con precisión de unos pocos metros. Las aplicaciones empresariales intercambian información extremadamente sensible de la que los atacantes están constantemente al acecho.
Con ese tipo de información en juego, los desarrolladores de aplicaciones móviles deben hacer todo lo posible para proteger a sus usuarios y clientes. Aquí hay 10 maneras en que los desarrolladores pueden crear seguridad en sus aplicaciones:
1. Escribe un código de seguridad
Los errores y vulnerabilidades en un código son el punto de partida que la mayoría de los atacantes usan para entrar en una aplicación. Tratarán de realizar una ingeniería inversa de su código y manipularlo, y lo único que necesitan es una copia pública de su aplicación. La investigación muestra que el código malicioso está afectando a más de 11,6 millones de dispositivos móviles en un momento dado.
Mantenga la seguridad de su código en mente desde el primer día y endurezca su código, haciéndolo difícil de superar. Ofuscar y minificar su código para que no pueda ser modificado por ingeniería inversa. Pruebe repetidamente y corrija errores a medida que se exponen.
Diseña tu código para que sea fácil de actualizar y parchear. Asegúrese de mantener su código ágil para que se pueda actualizar en el extremo del usuario después de una violación. Use el endurecimiento de código y la firma de código.
2. Cifrar todos los datos
Cada unidad de datos que se intercambia en su aplicación debe estar encriptada. El cifrado es la manera de codificar texto sin formato hasta que se trata simplemente de una vaga sopa de letras sin significado para nadie, excepto para aquellos que tienen la clave. Esto significa que incluso si se roban datos, no hay nada que los delincuentes puedan leer y usar de forma incorrecta.
Puede comprender el poder del cifrado cuando se encuentran organizaciones como FBI y NSA solicitando permiso para acceder a iPhones y decodificar mensajes de WhatsApp. Si no pueden romper a propósito, los piratas informáticos no pueden fastidiar con las aplicaciones móviles para desarrolladores.
3. Sea extremadamente cauteloso con las bibliotecas
Cuando utilice bibliotecas de terceros, tenga el doble de cuidado y pruebe el código a fondo antes de usarlo en su aplicación. Tan útiles como son, algunas bibliotecas pueden ser extremadamente inseguras para su aplicación.
La Biblioteca GNU C, por ejemplo, tenía una falla de seguridad que podría permitir a los atacantes ejecutar código malicioso de forma remota y bloquear un sistema. Y esta vulnerabilidad no se descubrió durante más de siete años. Los desarrolladores deben usar repositorios internos controlados y ejercer controles de políticas durante la adquisición para proteger sus aplicaciones de las vulnerabilidades en las bibliotecas.
4. Utilice solo las API autorizadas
Las API que no están autorizadas y están codificadas libremente pueden otorgar involuntariamente privilegios de hackers que pueden utilizarse de forma incorrecta. Por ejemplo, la información de autorización de caché localmente ayuda a los programadores a reutilizar fácilmente esa información cuando realizan llamadas a la API. Además, facilita la vida de los codificadores al facilitar el uso de las API.
Sin embargo, también les da a los atacantes una escapatoria a través de la cual pueden secuestrar privilegios. Los expertos recomiendan que las API se autoricen centralmente para la máxima seguridad.
5. Utilice la autenticación de alto nivel
A raíz del hecho de que algunas de las mayores violaciones de seguridad ocurren debido a una autenticación débil, cada vez es más importante usar una autenticación más sólida. Simplemente, la autenticación se refiere a las contraseñas y otros identificadores personales que actúan como barreras de entrada. De hecho, una gran parte de esto depende de los usuarios finales de su aplicación, pero como desarrollador, puede alentar a sus usuarios a ser más sensibles a la autenticación.
Puede diseñar sus aplicaciones para que solo acepten contraseñas alfanuméricas fuertes que deben renovarse cada tres o seis meses. Aumento de la autenticación de factores múltiples, que implica una combinación de contraseña estática y OTP dinámico. En el caso de aplicaciones móviles para desarrolladores demasiado sensibles, la autenticación biométrica como el escáner de retina y las huellas dactilares se pueden utilizar también.
6. Implementar tecnologías de detección de sabotaje
Existen técnicas para activar alertas cuando alguien intenta manipular su código o inyectar código malicioso. La detección activa de sabotaje se puede implementar para garantizar que el código no funcione en absoluto si se modifica.
7. Utilice el principio de privilegio mínimo
El principio de privilegio mínimo dicta que un código debe ejecutarse solo con los permisos que necesita absolutamente y no más. Su aplicación no debe solicitar más privilegios que el mínimo requerido para que funcione. Si no necesita acceder a los contactos del usuario, no los solicite.
No haga conexiones de red innecesarias. La lista continúa y depende en gran medida de los detalles de su aplicación, por lo que realice un modelado de amenazas continuo a medida que actualiza su código.
8. Implementar el manejo adecuado de la sesión
Las «sesiones» en dispositivos móviles duran mucho más que en equipos de escritorio. Esto hace que la sesión sea más difícil para el servidor. Use tokens en lugar de identificadores de dispositivo para identificar una sesión.
Los tokens pueden revocarse en cualquier momento, lo que los hace más seguros en caso de pérdida o robo de dispositivos. Permita el borrado remoto de datos de un dispositivo perdido / robado y también habilite el cierre de sesión remoto.
9. Utiliza las mejores herramientas y técnicas de criptografía
La gestión de claves es crucial si sus esfuerzos de cifrado tienen que pagar. Nunca codifique sus claves con dificultad, ya que eso facilita que los atacantes las roben. Almacene las llaves en contenedores seguros y nunca las almacene localmente en el dispositivo.
Algunos protocolos criptográficos ampliamente aceptados como MD5 y SHA1 han demostrado ser insuficientes según los estándares de seguridad modernos. Siga las últimas y más confiables API, como el cifrado AES de 256 bits con SHA-256 para hash.
10. Prueba repetidamente
Asegurar su aplicación es un proceso que nunca termina. Surgen nuevas amenazas y se necesitan nuevas soluciones. Invierte en pruebas de penetración, modelado de amenazas y emuladores para probar continuamente tus aplicaciones en busca de vulnerabilidades. Solucione los problemas con cada actualización y emita parches cuando sea necesario.
Las brechas de datos icónicas de 2017 como WannaCry y NotPetya definitivamente han hecho que todos se levanten y se den cuenta de la importancia de la ciberseguridad, y los próximos años verán a todos, desde organizaciones hasta consumidores, tomando la seguridad más en serio que nunca. La seguridad se convertirá en un mayor diferenciador en el éxito de las aplicaciones que la usabilidad y el atractivo estético.
Fuente: tripwire.com
¿Buscando un UX Design? y dale un vistazo profesional a tu sitio web, haz clic aquí
Recomendaciones de interés:
Los navegadores web están empezando a matar contraseñas
Una mirada al futuro de las criptomonedas: predicciones del mercado de criptomonedas