Conocer la ingeniería de seguridad de aplicaciones móviles
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Describir las diferencias entre el desarrollo y la seguridad de aplicaciones.
- Identificar los desafíos de seguridad a los que se enfrentan los desarrolladores de aplicaciones.
- Enumerar las habilidades clave para los ingenieros de seguridad de aplicaciones móviles.
El desarrollo de aplicaciones frente a la seguridad de aplicaciones
No todos los desarrolladores de aplicaciones móviles son ingenieros de seguridad de aplicaciones móviles, y viceversa. Si bien cada uno de ellos puede tener experiencia en la otra función, lo que se espera de cada uno difiere. Las responsabilidades típicas de un desarrollador de aplicaciones incluyen la codificación, el diseño, la gestión, la resolución de problemas, el monitoreo de las actualizaciones y las posibles amenazas de seguridad, y la asistencia al usuario final de las aplicaciones.
Por otro lado, los ingenieros de seguridad de aplicaciones móviles establecen los controles de seguridad y los requisitos de diseño durante la etapa de creación y desarrollo del ciclo de vida de desarrollo de software (SDLC). También ayudan a realizar el modelado de amenazas y a evaluar los riesgos de las aplicaciones. Analizan las aplicaciones móviles mediante una variedad de herramientas para garantizar que los problemas de seguridad se resuelvan antes de que las aplicaciones se hagan públicas. También monitorean las aplicaciones móviles después de su lanzamiento para identificar y resolver cualquier vulnerabilidad de seguridad nueva o no detectada previamente.
El dilema de la seguridad de las aplicaciones
El proceso de desarrollo suele centrarse en la rápida comercialización de una aplicación y en la creación de nuevas funciones, y no necesariamente en la seguridad. Además, es posible que las organizaciones tengan un presupuesto limitado para proteger sus aplicaciones móviles. Muchas organizaciones no analizan ni prueban el código de sus aplicaciones móviles para detectar vulnerabilidades de seguridad, usos no intencionados o funcionalidades ocultas.
Otro desafío para los desarrolladores es que pueden desconocer la plataforma de base con la que trabajan. Para proteger de manera adecuada una aplicación móvil, los desarrolladores de aplicaciones móviles deben conocer todos los mecanismos básicos que proporcionan recursos a las aplicaciones móviles. Y también sus limitaciones.
Otro obstáculo para la seguridad es que las aplicaciones móviles pueden solicitar permisos demasiado amplios, y es posible que los usuarios no cuestionen esto. Por ejemplo, ¿es realmente necesario que una aplicación de meteorología en su teléfono acceda a su cámara o micrófono? ¿Con qué finalidad? El exceso de permisos en una aplicación amplía la superficie de ataque. Cuanta más información recopile una aplicación que no sea relevante para su propósito, más probable será que el usuario comparta datos potencialmente confidenciales de forma innecesaria.
Además, que una aplicación móvil pase al entorno de producción no significa que la tarea haya finalizado. Cada día surgen nuevas vulnerabilidades, e incluso las bibliotecas de software más serias requieren actualizaciones de seguridad. Debe estar atento y comunicarse con los usuarios para identificar y resolver de manera rápida los nuevos problemas de seguridad. La buena noticia es que, en la actualidad, los conocimientos en materia de seguridad de aplicaciones son una habilidad que puede distinguir a los desarrolladores en el mercado laboral.
Habilidades clave para la seguridad de aplicaciones móviles
El sector del desarrollo y de la seguridad de aplicaciones móviles sigue creciendo a medida que los dispositivos móviles se convierten en el centro de la comunicación y el trabajo. La creciente importancia de la ciberresiliencia de los dispositivos y las aplicaciones móviles aumentó la demanda de ingenieros de seguridad de aplicaciones móviles con experiencia.
El desarrollo de aplicaciones móviles seguras implica llevar a cabo un conjunto de actividades a lo largo de todo el SDLC. Requiere la colaboración en la conceptualización del diseño de seguridad integral de la aplicación, el pensamiento innovador para anticiparse a las amenazas y mucho más. Si se considera una persona con conocimientos técnicos que aspira a disfrutar de un futuro próspero en la industria de la tecnología, lo mejor que puede hacer es perfeccionar sus habilidades en el campo de la seguridad de aplicaciones móviles.
Si le gusta automatizar tareas mediante el software, disfruta al identificar errores y fallos de seguridad, y le interesa realizar revisiones de códigos, es probable que se destaque en esta función. Los ingenieros de seguridad de aplicaciones móviles ayudan a los desarrolladores a diseñar aplicaciones móviles seguras desde cero, a la vez que son expertos en evaluaciones de seguridad y revisiones de códigos. También usan herramientas y técnicas de seguridad para proteger las aplicaciones móviles implementadas. Si bien no hay cualificaciones mínimas específicas que sean necesarias para empezar una trayectoria profesional en el sector de las aplicaciones móviles, tener una formación técnica es una ventaja.
Educación
Una licenciatura, un diploma en informática o algún tipo de capacitación técnica son importantes para esta profesión.
Experiencia
Es útil tener experiencia en programación general y en desarrollo web o de software. Debe ser experto en la ingeniería de aplicaciones a medida para iOS y Android que incorporen requisitos de negocio esenciales y personalizados. Debe conocer las normas y directrices reglamentarias para que las aplicaciones personalizadas puedan publicarse y distribuirse en las tiendas de aplicaciones de las compañías de tecnología.
Certificaciones
Obtener una certificación es una gran idea para este campo. Las certificaciones que abordan el ciclo de vida de software seguro, la programación de software seguro, la defensa de las aplicaciones web, entre otros temas, le permiten capacitarse y dar el primer paso. Estas son algunas de las certificaciones más comunes para los ingenieros de seguridad de aplicaciones móviles.
Certificación |
Descripción |
|---|---|
|
Profesional de ciclo de vida de software seguro certificado (CSSLP)
|
Valida la experiencia de los profesionales del software para incorporar las prácticas de seguridad en cada fase del SDLC. |
|
Programador de software seguro de GIAC (GSSP-.NET)
|
Valida los conocimientos, las habilidades y las aptitudes de un profesional para escribir códigos seguros y reconocer las deficiencias de seguridad en el código existente. |
|
Defensor de aplicaciones web de GIAC (GWEB)
|
Demuestra el dominio de los conocimientos en materia de seguridad necesarios para corregir los errores comunes de las aplicaciones web que dan lugar a la mayoría de los problemas de seguridad. |
|
Analista de seguridad de dispositivos móviles de GIAC (GMOB)
|
Lo capacita para evaluar de manera eficaz la seguridad de dispositivos móviles, determinar e identificar las fallas en las aplicaciones móviles y realizar una prueba de penetración en dispositivos móviles. |
|
Profesional de software seguro (SSP)
|
Proporciona los conocimientos necesarios para escribir un código de software más seguro, reducir las vulnerabilidades y mejorar la postura general de seguridad correspondiente a los productos de software de una organización. |
Conocimientos
Trabajar como ingeniero de seguridad de aplicaciones móviles implica varios conjuntos de habilidades. Debe tener habilidades de desarrollo en las plataformas Android o iOS, y conocer los conceptos de análisis de la seguridad de aplicaciones móviles estáticas y dinámicas. También recomendamos saber sobre el análisis de protocolos y redes.
Además, debe tener experiencia en métodos de autenticación y cifrado, incluidos OAuth y la infraestructura de clave pública (PKI). También debe tener conocimientos sobre la lista The Open Web Application Security Project (OWASP) Mobile Top 10 y el modelado de amenazas. También es importante conocer los lenguajes de programación, la informática general, la informática de backend, el diseño de la interfaz de usuario, el desarrollo móvil multiplataforma y la gestión de productos. Además, debe disfrutar de la búsqueda activa de nuevos conocimientos de programación, tener experiencia con metodologías ágiles y poseer aptitudes analíticas.
El backend se refiere a las partes de una aplicación informática necesarias para su funcionamiento y a las que los usuarios no pueden acceder. Algunos ejemplos de procesos de backend: el procesamiento de una solicitud entrante, la ejecución de un código para generar el lenguaje de marcado de hipertexto (HTML) en el servidor y el acceso a los datos de una base de datos mediante un lenguaje de consulta.
Habilidades de negocio
Una gran parte del éxito como ingeniero de seguridad de aplicaciones móviles implica el uso de habilidades de negocio que lo ayudarán a entender la visión del cliente y la mejor manera de ofrecerle la funcionalidad que busca de una manera segura. Además de dominar la gestión de productos, el diseño, la escritura y las habilidades de comunicación, prestar atención a los detalles es fundamental para esta función.
Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la descripción en la columna izquierda al término correspondiente a la derecha. Cuando finalice la comparación de todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.
¡Bien hecho!
Resumen
En este módulo, presentamos el panorama de la seguridad de aplicaciones móviles. Aprendió más acerca del predominio de la seguridad de aplicaciones móviles. También descubrió las responsabilidades, habilidades y cualificaciones de un ingeniero de seguridad de aplicaciones móviles. En el siguiente módulo, Implementación de la seguridad de aplicaciones móviles, aprenderá a implementar la seguridad de aplicaciones móviles y a probarlas. ¿Desea obtener más información sobre las funciones de ciberseguridad y conocer a los profesionales de la seguridad? Consulte el Centro de aprendizaje sobre ciberseguridad en Trailhead.
Recursos
-
Trailhead: Desarrollo del programa de ciberresiliencia
-
Sitio externo: OAuth: OAuth 2.0
-
Sitio externo: Comisión Federal de Comercio: Desarrolladores de aplicaciones: Primeros pasos con la seguridad
-
Sitio externo: Indeed: Habilidades de los desarrolladores de aplicaciones móviles
-
Sitio externo: LinkedIn: Las 5 principales habilidades que debe tener un desarrollador de aplicaciones móviles
