Sunteți pe pagina 1din 49

UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO

FACULTAD DE INGENIERÍA ESTADÍSTICA E INFORMÁTICA


ESCUELA PROFESIONAL DE ESTADÍSTICA E INFORMÁTICA

SEGURIDAD INFORMÁTICA EN DISPOSITIVOS MÓVILES CON SISTEMAS OPERATIVOS

ANDROID MEDIANTE ISO 27001.

BORRADOR DE TESIS

PRESENTADA POR:

Bach. EDSON DENIS ZANABRIA TICONA

Bach. EDWIN CAYO MAMANI

PARA OPTAR EL TÍTULO PROFESIONAL DE:

INGENIERO ESTADÍSTICO E INFORMÁTICO

PUNO – PERÚ

2017

1
UNIVERSIDAD NACIONAL DEL ALTIPLANO - PUNO
FACULTAD DE INGENIERÍA ESTADÍSTICA E INFORMÁTICA
ESCUELA PROFESIONAL DE INGENIERÍA ESTADÍSTICA E INFORMÁTICA
BORRADOR DE TESIS
SEGURIDAD INFORMÁTICA EN DISPOSITIVOS MÓVILES CON SISTEMAS OPERATIVOS
ANDROID MEDIANTE ISO 27001.
PRESENTADA POR:
Bach. EDSON DENIS ZANABRIA TICONA

Bach. EDWIN CAYO MAMANI

PARA OPTAR EL TITULO PROFESIONAL DE:

INGENIERO ESTADÍSTICO E INFORMÁTICO

APROBADA POR:

PRESIDENTE: ____________________________________
M.Sc. ERNESTO NAYER TUMI FIGUEROA

PRIMER MIEMBRO: ____________________________________


Dr. REYNALDO SUCARI LEON

SEGUNDO MIEMBRO: ____________________________________


M.Sc. ANGEL JAVIER QUISPE CARITA

DIRECTOR / ASESOR: ____________________________________


M.Sc. FREDY HERIC VILLASANTE SARAVIA

Área : INGENIERÍA DE SOFTWARE E INTELIGENCIA ARTIFICIAL


Tema : SEGURIDAD INFORMÁTICA EN DISPOSITIVOS MÓVILES CON SISTEMAS
OPERATIVOS ANDROID MEDIANTE ISO-27001.

2
ÍNDICE GENERAL

ÍNDICE DE FIGURAS....................................................................................................................... 4
ÍNDICE DE TABLAS......................................................................................................................... 5
ÍNDICE DE ACRÓNIMOS ................................................................................................................ 6
RESUMEN ...................................................................................................................................... 6
ABSTRACT ..................................................................................................................................... 7
I. INTRODUCCIÓN ......................................................................................................................... 9
II. REVISIÓN DE LITERATURA ...................................................................................................... 11
III. MATERIALES Y MÉTODOS ..................................................................................................... 12
IV. RESULTADOS Y DISCUSIÓN ................................................................................................... 33
V. CONCLUSIONES ...................................................................................................................... 46
VI. RECOMENDACIONES ............................................................................................................. 48
VII. REFERENCIAS ........................................................................................................................ 49
ANEXOS ....................................................................................................................................... 49

3
ÍNDICE DE FIGURAS

Figura N°1 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Figura N°2 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Figura N°3 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Observaciones: Cada Figura debe tener un título el cual debe describir la ilustración
presentada con la menor cantidad de palabras posible el cual debe estar ubicado en la
parte inferior de la misma. Se debe evitar la redundancia entre el contenido de la
Figura y su título. Si la Figura tiene símbolos o abreviaciones, éstas deben ser
explicadas en el respectivo título. Si existen símbolos estos deben anotarse en la parte
inferior (pie de página). Fotografías, esquemas, gráficos, micrografías, mapas, carta,
diagramas deben ser consideradas como Figuras y numeradas arábicamente y
consecutivamente conforme aparezcan en el texto que las cita y deben ubicarse lo más
próximo posible del mismo. Si las Figuras no son de propiedad del autor debe
considerarse la respectiva referencia.

Si las Figuras tienen derechos de autor es necesario el permiso del autor(es).

El formato de la Figura debe ser de acuerdo a la especialidad del trabajo de


investigación.

4
ÍNDICE DE TABLAS

Tabla N°1 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Tabla N°2 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Tabla N°3 : DESCRIPCIÓN …………………………………………………………………………Pag. N° #

Cada Tabla debe tener un título el cual debe describir la ilustración presentada con la
menor cantidad de palabras posible el cual debe estar ubicado en la parte superior de
la misma. Se debe evitar la redundancia entre el contenido de la Tabla y su título. Las
Tablas deben ser numeradas arábiga y consecutivamente de acuerdo al orden que
aparezcan en el texto que las cita y deben ubicarse lo más próximo posible del mismo.
Si existen símbolos estos deben anotarse en la parte inferior (pie de página). Si las
Tablas no son de propiedad del autor debe considerarse la respectiva referencia.

El formato de la Tabla debe ser de acuerdo a la especialidad del trabajo de


investigación.

Si las Tablas tienen derechos de autor es necesario el permiso del autor(es).

Verificar si Figuras y Tablas tienen derechos de autor.

5
ÍNDICE DE ACRÓNIMOS

Observación: Abreviaciones y acrónimos deben ser especificados únicamente la


primera vez que se use en el texto entre paréntesis y a continuación del texto que
describa su significado
ISO - International Organization for Standardization

6
1 RESUMEN

2 La tecnología ha aumentado de manera inimaginable, donde los dispositivos móviles


3 tales como los Smartphones, Tablets, computadores portátiles etc., y sobre todo
4 dispositivos móviles en su gran mayoría con el sistema operativo Android se han
5 convertido en una herramienta de uso necesario para las personas, ya que la gran
6 cantidad de información que se maneja hace obligatorio utilizar estos dispositivos que
7 agilizan muchas tareas como las compras por internet, los pagos bancarios y muchos
8 otros tipos de transacciones también acortan la barrera de la comunicación son
9 portables, permiten la navegación por internet, juegos, acceso a correo electrónico,
10 multimedia, creación de documentos, comunicaciones inalámbricas entre otras. El gran
11 uso que se emplea conlleva a que esta herramienta sea lo más segura posible a nivel
12 informático y reconocer las posibles vulnerabilidades que presenten para evitar el mal
13 uso y delitos informáticos que puedan realizarse mediante estos dispositivos, a la fecha
14 en Perú se ha percibido un gran crecimiento del uso de tecnologías móviles en gran
15 porcentaje de la población lo que hace necesario implementar políticas de seguridad
16 para dispositivos móviles con el sistema operativo Android en sus versiones más usadas
17 para alcanzar este objetivo principal se realizó un estado del arte de la evolución del
18 sistema operativo Android, se estudió el funcionamiento general del sistema operativo,
19 se investigó las vulnerabilidades, se simuló ataques al sistema operativo para lograr
20 plantear medidas de prevención contra futuros ataques, para realizar auditoria de
21 seguridad al Sistema a algunos de sus componentes en primer lugar, se describe los
22 elementos que hay que tener en cuenta en el análisis y las herramientas empleadas para
23 obtener resultados en las pruebas, en este caso se conoce el sistema, sus componentes
24 principales y acceso a bases de datos, luego se simula ataques a dispositivos móviles
25 mediante técnicas de pent-testing, Man in the Middle e ingeniería inversa. Como
26 resultados se obtiene una tabla de vulnerabilidades mediante el ISO 27001 y se
27 planteó políticas de seguridad para contrarrestarlas. Al analizar las versiones
28 Android se logró identificar que el sistema operativo tiene vulnerabilidades y estas
29 normalmente van siendo corregidas por el fabricante (Google) a través de sus
30 versiones, pero se debe tener precaución en el manejo de los datos y la información que
31 se almacena en los dispositivos para evitar posible daño y/o pérdida de la información,
32 las vulnerabilidades que se presentan en los dispositivos móviles con Android, son en
33 su mayoría por la falta de conocimiento de los usuarios y por la poca precaución que

7
34 tienen al instalar aplicaciones. Existen numerosas herramientas para el análisis del
35 sistema operativo Android, como las vistas en el presente documento, son herramientas
36 útiles tanto para técnicas de pent-testing como análisis forense que permiten analizar los
37 datos almacenados en el dispositivo, buscar vulnerabilidades, pero mal utilizadas
38 permiten igualmente modificar o dañar la información del dispositivo, se ha cumplido
39 con los objetivos planteados en el presente documento, encontrando los principales
40 componentes del sistema operativo Android y analizando vulnerabilidades en el mismo,
41 lo que ha permitido concluir que todo sistema por más avanzado que esté presenta
42 vulnerabilidades sean pocas o muchas y que como usuarios y especialistas en seguridad
43 informática se deben tomar medidas preventivas y sensibilizar a las personas en nuestro
44 entorno para ser consciente sobre el uso seguro para este tipo de dispositivos.

45 El trabajo de tesis debe tener una descripción del problema lugar y fecha concisa del
46 trabajo considerando la justificación, los objetivos, los principales métodos, los
47 resultados más relevantes y la conclusión del trabajo utilizando para ello 350 palabras
48 como máximo, incluyendo los conectores. En el resumen se debe evitar el uso de
49 acrónimos y abreviaciones que no sean de uso común en la especialidad, así como las
50 referencias bibliográficas. El resumen debe ser escrito en un solo párrafo continuado,
51 sin el uso de puntos aparte.

52 Palabras Clave: Seguridad, Sistemas Operativos, Android, ISO27001

8
53 ABSTRACT

54 Technology has increased in an unimaginable way, where mobile devices such as


55 Smartphones, Tablets, laptops, etc., and especially mobile devices, mostly with the
56 Android operating system, have become a necessary tool for people. , since the large
57 amount of information handled makes it mandatory to use these devices that streamline
58 many tasks such as online purchases, bank payments and many other types of
59 transactions also shorten the barrier of communication are portable, allow Internet
60 browsing , games, access to electronic mail, multimedia, creation of documents,
61 wireless communications among others. The great use that is used leads to this tool is as
62 safe as possible on a computer level and recognize the potential vulnerabilities that
63 present to prevent misuse and cybercrimes that can be done by these devices, to date in
64 Peru has been perceived a great growth of the use of mobile technologies in a large
65 percentage of the population which makes it necessary to implement security policies
66 for mobile devices with the Android operating system in its most used versions to
67 achieve this main objective, a state of the art of the evolution of the system was made
68 Android operating system, the general functioning of the operating system was studied,
69 vulnerabilities were investigated, operating system attacks were simulated in order to
70 propose preventive measures against future attacks, to perform security audits on the
71 System to some of its components in the first place. describes the elements that must be
72 taken into account ta in the analysis and the tools used to obtain results in the tests, in
73 this case the system is known, its main components and access to databases, then it
74 simulates attacks to mobile devices through pent-testing techniques, Man in the Middle
75 and reverse engineering. As a result, a vulnerability table is obtained through ISO 27001
76 and security policies were proposed to counteract them. When analyzing the Android
77 versions, it was possible to identify that the operating system has vulnerabilities and
78 these are usually corrected by the manufacturer (Google) through its versions, but
79 caution must be exercised in the handling of the data and information stored in it. the
80 devices to avoid possible damage and / or loss of information, the vulnerabilities that
81 occur in mobile devices with Android, are mostly due to the lack of knowledge of the
82 users and the little caution they have when installing applications. There are numerous
83 tools for the analysis of the Android operating system, such as the views in this
84 document, are useful tools for both pent-testing techniques and forensic analysis that
85 allow to analyze the data stored in the device, look for vulnerabilities, but misused they

9
86 also allow modifying or damaging the device information, the objectives set out in this
87 document have been met, finding the main components of the Android operating system
88 and analyzing vulnerabilities in it, which has allowed us to conclude that any system
89 that is more advanced has vulnerabilities be few or many and that as users and
90 specialists in computer security should take preventive measures and sensitize people in
91 our environment to be aware of the safe use for this type of devices.

92

93 Keywords: Security, Operating Systems, Android, 27001.


94

10
I. INTRODUCCIÓN

Justificación

Según el último informe de comScore Inc. e IMS Internet Media Services (IMS) 9 de cada 10
personas conectadas a internet en el Perú tienen un smartphone, pues el 93% de los peruanos
accede de sus dispositivos móviles. Las facilidades de adquisición y las utilidades que presentan
estos dispositivos han hecho que mucha población adquiera cada vez más este tipo elementos,
puesto que han revolucionado de manera representativa la manera de comunicarse, disminuyendo
así las fronteras de la comunicación y aprovechando dicha tecnología para compartir ideas,
mensajes, y todo tipo de información que se quiera intercambiar.

Se ha acrecentado los usuarios de telefonía móvil quienes aprovechan al máximo los servicios que
prestan, leyendo el correo electrónico, descargando aplicaciones o usando servicios de
geolocalización, entre otras. Pero a medida que avanza la tecnología igualmente surgen nuevos
ataques a este tipo de dispositivos. En la actualidad los dispositivos móviles son más
vulnerables en cuanto a la seguridad de información que ofrece siendo estos aprovechados por
creadores de malware, ya que son en sí pequeños computadores, pero aún la gente no tienen
conciencia de la capacidad de sus equipos y son muy pocos los fabricantes que han generado
software antivirus para móviles, además el número de plataformas existentes para móviles es
demasiado diverso (Android, Windows Mobile, Symbian , BlackBerry, iPhone IOS, etc.),
haciendo una gran variedad dispuesta para que cualquier atacante pueda alterar estos sistemas.
Las personas que utilizan este tipo de dispositivos no son conscientes de que si no se toman las
medidas necesarias para proteger su información tarde o temprano serán blanco de uno de los
tantos ataques que diariamente se producen con el objetivo de dañar, alterar o robar
información.

Objetivo general

Implementar políticas de seguridad para dispositivos móviles con el sistema operativo Android.

Objetivos específicos

11
a) Realizar un estado del arte de la evolución histórica del sistema operativo Android,
identificando las mejoras realizadas entre cada versión.

b) Comprender el funcionamiento general del sistema operativo Android y determinar factores de


riesgo existen en este sistema.

c) Investigar las vulnerabilidades y mejoras de seguridad en el Sistema Operativo Android.

d) Simular un ataque a un dispositivo con sistema operativo Android para obtener información de
cómo surgen estos tipos de ataques.

e) Aplicar medidas de prevención contra ataques para los usuarios de dispositivos móviles con
sistema operativo Android

Sección del trabajo de tesis donde en un máximo de dos páginas se justifica la realización de la
investigación. Se pueden Utilizar referencias y se debe considerar en los párrafos finales el
objetivo general y los objetivos específicos de la investigación.

II. REVISIÓN DE LITERATURA

Antecedentes que sustentan para cada uno de los objetivos

2.1. ANTECEDENTES DE ESTUDIO

Reyes (2016) concluye. La metodología propuesta cumple con los objetivos planteados,
con respecto a la seguridad del manejo de los dispositivos móviles; ayudado y apoyado por
las mejores prácticas (ISO 27001-2013 e ISO 31000), así como la información ilustrativa y
de apoyo en general (NIST 800-50 y NIST 800- 124). Con la investigación realizada dentro
de la empresa Estacionamientos Corsa, nos dimos cuenta que,aun teniendo muchas formas
de acceso a la información, la gente no se preocupa por las vulnerabilidades dnetro de sus

12
dispositivos o no saben el riesgo que pueden enfrentar al no tener las medidas necesarias
para salvaguardar información sensible ya sea de carácter personal o del lugar de trabajo.

Cadme (2012) concluye. En Italimentos se realizó una encuesta, de la que se tomo una
muestra de veinte empleados, logrando sacar conclusiones de que existe un 15% de
movimientos de recursos informáticos entre distintos empleados, los cambios o
movimientos realizados de los recursos informáticos se dan por nuevas características
tecnológica. En Italimentos el departamento de sistemas y desarrollo del nuevo sistema de
la empresa, conocen los significados de los activos informáticos, y el 40% de los
empleados de Italimentos desconoce de la dicha frase.

Zamboni (1995) concluye. Al respecto de la seguridad en Unix, es difícil hablar de “haber


terminado el trabajo”. La tecnología avanza consantemente, y prácticamente todos los días
aparecen nuevos sistemas, nuevos productos, nuevos protocolos, nuevos servicios de red. Y
acompañándolos, aparecen nuevos problemas de seguridad. Es por esto que el trabajo de un
equipo de seguridad no termina, simplemente evoluciona.

En cuanto a este proyecto, se ha logrado “arrancar el juego”: la seguridad, que antes era
tema complicado para muchos administradores y usuarios de sistemas Unix en la UNAM,
ahora tiene un lugar en los planes y acciones de muchos de ellos. En GASU se ha logrado
promover la cultura de la seguridad en muchos aspectos. La organización de seminarios y
actividades diversas ha despertado al menos la curiosidad de muchas personas que antes
utilizaban los sistemas de cómputo sin dedicarle el menor pensamiento a la seguridad.

García (2014) concluye. Se analizó el contexto actual para desarrollo de un sistema móvil
como apoyo a las comisarías y se pudo observar que no existe una solución que resuelva
completamente el problema planteado.

13
Se realizó el diseño para el sistema móvil de manera que gestione eficientemente las
actividades de los procesos que realizan las comisarias respecto al servicio que ofrecen a la
ciudadanía para cumplir con las funcionalidades requeridas.

Condori (2012) concluye. Se desarrolló el Modelo de Evaluación de Factores Críticos de


Éxito en la Implementación de Seguridad de Sistemas de Información para determinar su
influencia en la intención del usuario, con nueve factores y tres dimensiones,
adecuadamente sustentadas, tomando como base la teoría del comportamiento planificado
(TPB).

Terán (2012) concluye. Con el objetivo fundamental de desarrollar un Modelo de Sistema


de Gestión de Seguridad y Salud Ocupacional, se podrá conseguir una actuación más eficaz
en el campo de la prevención, a través de un proceso de mejora continua. De este modo las
empresas pueden valerse además, de una importante herramienta para cumplir los
requisitos establecidos por la legislación vigente.

Juarez (2004) concluye. Es notable la gran capacidad que tienen los Autómatas Celulares
para simular fenómenos naturales, ayudando a una interpretación mas completa de los
resultados de una investigación o incluso favoreciendo la prevención de situaciones no
deseadas. Es favorable observar la difusión que se le ha dado a los Autómatas Celulares en
varias disciplinas, haciendo de esta herramienta parte en sus metodologías y aplicaciones,
sobre todo en la seguridad de software También invita a reflexionar en lo que se puede
lograr profundizando en su entendimiento. Tal vez abra las puertas a nuevos paradigmas
científicos que permitan, como los propios autómatas, pequeños avances, pero a pasos de
gigante.

14
Humpiri (2015) concluye. Se debe concientizar a las organizaciones de las implicaciones y
de los alcances que tienen los ataques de inyección SQL. Cuando se conoce y se evalúan
los daños que pueden hacer, se decide actuar para combatir y protegerse ante este tipo de
intrusiones.

Las aplicaciones no se deben diseñar solo para cumplir un objetivo sino que a la vez se
deben diseñar de tal manera que no se comprometa la seguridad de la información en la
organización. Si una aplicación está en fase de ejecución no se debe dejar de lado las
medidas para evaluar y clasificar los riesgos presentes, para así protegerla de las
inyecciones SQL. Esta metodología es aplicable para diferentes lenguajes de programación
y sistemas gestores de bases de datos.

Huanca (2008) concluye. El Sistema de Seguridad es una aplicación indispensable para


proteger la integridad lógica de los datos almacenados en un Datawarehouse ó sistema de
base de datos cliente servidor común, el cual podría generalizarse a todas las entidades
públicas y privadas que hacen uso de los las base de datos en sus sistemas informáticos,
siendo hoy en día una preocupación de todos la seguridad e integridad de la información,
más aun a medida que las tecnologías de información avanzan el uso de aplicaciones de
seguridad es cada vez más requerido, debido a que con la globalización de la información
los temas de seguridad y su aplicación es indispensable.

Referencias teóricas

2.2. REFERENCIAS TEÓRICAS.

2.2.1. Estado del arte del Sistema Operativo Android

2.2.1.1 Android

Android es un sistema operativo basado en el núcleo Linux. Fue diseñado principalmente


para dispositivos móviles con pantalla táctil, como teléfonos inteligentes, tabletas y
también para relojes inteligentes, televisores y automóviles. Inicialmente fue desarrollado
por Android Inc., empresa que Google respaldó económicamente y más tarde, en 2005, se
15
la compró. Android fue presentado en 2007 junto la fundación del Open Handset Alliance
(un consorcio de compañías de hardware, software y telecomunicaciones) para avanzar en
los estándares abiertos de los dispositivos móviles. El primer móvil con el sistema
operativo Android fue el HTC Dream y se vendió en octubre de 2008. Android es el
sistema operativo móvil más utilizado del mundo, con una cuota de mercado superior al
80% al año 2017, muy por encima de IOS.

La versión básica de Android es conocida como Android Open Source Project (AOSP). El
25 de junio de 2014 en la Conferencia de Desarrolladores Google I/O, Google mostró una
evolución de la marca Android, con el fin de unificar tanto el hardware como el software y
ampliar mercados.

El 17 de mayo de 2017, se presentó Android Go. Una versión más ligera del sistema
operativo para ayudar a que la mitad del mundo sin smartphone consiga uno en menos de
cinco años. Incluye versiones especiales de sus aplicaciones donde el consumo de datos se
reduce al máximo.

Reemplazo de Dalvik por ART

Hasta la versión 4.4.4 Android utiliza Dalvik como máquina virtual con la compilación
justo a tiempo (JIT) para ejecutar Dalvik dex-code (Dalvik ejecutable), que es una
traducción de Java bytecode. Siguiendo el principio JIT, además de la interpretación de la
mayoría del código de la aplicación, Dalvik realiza la compilación y ejecución nativa de
segmentos de código seleccionados que se ejecutan con frecuencia (huellas) cada vez que
se inicia una aplicación. Android 4.4 introdujo el ART (Android Runtime) como un nuevo
entorno de ejecución, que compila el Java bytecode durante la instalación de una
aplicación. Se convirtió en la única opción en tiempo de ejecución en la versión 5.0

Características y Especificaciones Actuales

Diseño de La plataforma es adaptable a pantallas de mayor resolución,

16
dispositivo VGA, biblioteca de gráficos 2D, biblioteca de gráficos 3D
basada en las especificaciones de la OpenGL ES 2.0 y
diseño de teléfonos tradicionales.

SQLite, una base de datos liviana, que es usada para


Almacenamiento
propósitos de almacenamiento de datos.

Android soporta las siguientes tecnologías de


conectividad: GSM/EDGE, IDEN, CDMA, EV-
Conectividad
DO, UMTS, Bluetooth, WiFi, LTE, HSDPA, HSPA+, NFC
y WiMAX, GPRS, UMTS y HSDPA+.

SMS y MMS son formas de mensajería, incluyendo


mensajería de texto, además del servicio de Firebase Cloud
Messaging (FCM) siendo la nueva versión de Google Cloud
Mensajería
Messaging (GCM) bajo la marca Firebase con los nuevos
SDK para realizar el desarrollo de mensajería en la nube
mucho más sencillo.

El navegador web incluido en Android está basado en el


motor de renderizado de código abierto WebKit,
Navegador web emparejado con el motor JavaScript V8 de Google Chrome.
El navegador por defecto de Ice Cream Sandwich obtiene
una puntuación de 100/100 en el test Acid3.

Aunque la mayoría de las aplicaciones están escritas en


Java, no hay una máquina virtual Java en la plataforma.
El bytecode Java no es ejecutado, sino que primero se
compila en un ejecutable Dalvik y se ejecuta en la Máquina
Virtual Dalvik, Dalvik es una máquina virtual especializada,
Soporte de Java diseñada específicamente para Android y optimizada para
dipositivos móviles que funcionan con batería y que tienen
memoria y procesador limitados. A partir de la versión 5.0,
se utiliza el Android Runtime (ART). El soporte para J2ME
puede ser agregado mediante aplicaciones de terceros como
el J2ME MIDP Runner.

17
Android soporta los siguientes formatos
multimedia: WebM, H.263, H.264 (en 3GP o MP4), MPEG-
Soporte
4 SP, AMR, AMR-WB (en un contenedor 3GP), AAC, HE-
multimedia
AAC (en contenedores MP4 o 3GP), MP3, MIDI, Ogg
Vorbis, WAV, JPEG, PNG, GIF y BMP.

Streaming RTP/RTSP (3GPP PSS, ISMA), descarga


progresiva de HTML (HTML5 <video> tag). Adobe Flash
Streaming (RTMP) es soportado mediante el Adobe Flash
Soporte para
Player. Se planea el soporte de Microsoft Smooth Streaming
streaming
con el port de Silverlight a Android. Adobe Flash HTTP
Dynamic Streaming estará disponible mediante una
actualización de Adobe Flash Player.

Android soporta cámaras de fotos, de vídeo, pantallas


Soporte para
táctiles, GPS, acelerómetros, giroscopios, magnetómetros,
hardware
sensores de proximidad y de presión, sensores de luz,
adicional
gamepad, termómetro, aceleración por GPU 2D y 3D.

Incluye un emulador de dispositivos, herramientas para


depuración de memoria y análisis del rendimiento del
software. Inicialmente el entorno de desarrollo integrado
Entorno de
(IDE) utilizado era Eclipse con el plugin de Herramientas de
desarrollo
Desarrollo de Android (ADT). Ahora se considera como
entorno oficial Android Studio, descargable desde la página
oficial de desarrolladores de Android.

Google Play es un catálogo de aplicaciones gratuitas o de


Google Play pago en el que pueden ser descargadas e instaladas en
dispositivos Android sin la necesidad de un PC.

Android tiene soporte nativo para pantallas capacitivas con


soporte multitáctil que inicialmente hicieron su aparición en
Multi-táctil dispositivos como el HTC Hero. La funcionalidad fue
originalmente desactivada a nivel de kernel (posiblemente
para evitar infringir patentes de otras compañías). Más
tarde, Google publicó una actualización para el Nexus

18
One y el Motorola Droid que activa el soporte multitáctil de
forma nativa.

El soporte para A2DF y AVRCP fue agregado en la versión


1.5; el envío de archivos (OPP) y la exploración del
directorio telefónico fueron agregados en la versión 2.0; y el
Bluetooth
marcado por voz junto con el envío de contactos entre
teléfonos lo fueron en la versión 2.2. Los cambios
incluyeron:

Android soporta videollamada a través


Videollamada de Hangouts (antiguo Google Talk) desde su versión
HoneyComb.

Multitarea real de aplicaciones está disponible, es decir, las


Multitarea aplicaciones que no estén ejecutándose en primer plano
reciben ciclos de reloj.

La búsqueda en Google a través de voz está disponible


Características
como "Entrada de Búsqueda" desde la versión inicial del
basadas en voz
sistema.

Android soporta tethering, que permite al teléfono ser usado


como un punto de acceso alámbrico o inalámbrico (todos
los teléfonos desde la versión 2.2, no oficial en teléfonos
con versión 1.6 o inferiores mediante aplicaciones
Tethering
disponibles en Google Play (por ejemplo PdaNet). Para
permitir a un PC usar la conexión de datos del móvil
Android se podría requerir la instalación de software
adicional.

Arquitectura del sistema Android

Los componentes principales del sistema operativo de Android son:

19
Aplicaciones: las aplicaciones base incluyen un cliente de correo electrónico, programa de
SMS, calendario, mapas, navegador, contactos y otros. Todas las aplicaciones están escritas
en lenguaje de programación Java.

Marco de trabajo de aplicaciones: los desarrolladores tienen acceso completo a los


mismas API del entorno de trabajo usados por las aplicaciones base. La arquitectura está
diseñada para simplificar la reutilización de componentes; cualquier aplicación puede
publicar sus capacidades y cualquier otra aplicación puede luego hacer uso de esas
capacidades (sujeto a reglas de seguridad del framework). Este mismo mecanismo permite
que los componentes sean reemplazados por el usuario.

Bibliotecas: Android incluye un conjunto de bibliotecas de C/C++ usadas por varios


componentes del sistema. Estas características se exponen a los desarrolladores a través del
marco de trabajo de aplicaciones de Android. Algunas son: System C library
(implementación biblioteca C estándar), bibliotecas de medios, bibliotecas de gráficos, 3D
y SQLite, entre otras.

Runtime de Android: Android incluye un set de bibliotecas base que proporcionan la


mayor parte de las funciones disponibles en las bibliotecas base del lenguaje Java. Cada
aplicación Android corre su propio proceso, con su propia instancia de la máquina virtual
Dalvik. Dalvik ha sido escrito de forma que un dispositivo puede correr múltiples máquinas
virtuales de forma eficiente. Dalvik ejecutaba hasta la versión 5.0 archivos en el formato de
ejecutable Dalvik (.dex), el cual está optimizado para memoria mínima. La Máquina
Virtual está basada en registros y corre clases compiladas por el compilador de Java que
han sido transformadas al formato.dex por la herramienta incluida dx. Desde la versión 5.0
utiliza el ART, que compila totalmente al momento de instalación de la aplicación.

Núcleo Linux: Android depende de Linux para los servicios base del sistema como
seguridad, gestión de memoria, gestión de procesos, pila de red y modelo de controladores.
El núcleo también actúa como una capa de abstracción entre el hardware y el resto de la
pila de software.

20
Fuente: https://es.wikipedia.org/wiki/Android Arquitectura Android

Seguridad, privacidad y vigilancia

Según un estudio de Symantec de 2013, demuestra que en comparación con iOS, Android
es un sistema explícitamente menos vulnerable. El estudio en cuestión habla de 13
vulnerabilidades graves para Android y 387 vulnerabilidades graves para iOS. El estudio
también habla de los ataques en ambas plataformas, en este caso Android se queda con 113
ataques nuevos en 2012 a diferencia de iOS que se queda en 1 solo ataque. Incluso así
Google y Apple se empeñan cada vez más en hacer sus sistemas operativos más seguros
incorporando más seguridad tanto en sus sistemas operativos como en sus mercados
oficiales.

Se han descubierto ciertos comportamientos en algunos dispositivos que limitan la


privacidad de los usuarios, de modo similar a iPhone, pero ocurre al activar la opción Usar
redes inalámbricas en el menú Ubicación y seguridad, avisando que se guardarán estos
datos, y borrándose al desactivar esta opción, pues se usan como una caché y no como un
registro tal como hace iPhone.

21
Como parte de las amplias revelaciones sobre vigilancia masiva filtradas en 2013 y 2014,
se descubrió que las agencias de inteligencia estadounidenses y británicas, la Agencia de
Seguridad Nacional (NSA) y el Cuartel General de Comunicaciones del Gobierno (GCHQ),
respectivamente, tienen acceso a los datos de los usuarios de dispositivos Android. Estas
agencias son capaces de leer casi toda la información del teléfono como SMS,
geolocalización, correos, notas o mensajes. Documentos filtrados en enero de 2014,
revelaron que las agencias interceptan información personal a través de Internet, redes
sociales y aplicaciones populares, como Angry Birds, que recopilan información para temas
comerciales y de publicidad. Además, según The Guardian, el GCHQ tiene una wiki con
guías de las diferentes aplicaciones y redes de publicidad para saber los diferentes datos
que pueden ser interceptados. Una semana después de salir esta información a la luz, el
desarrollador finlandés Rovio, anunció que estaba reconsiderando sus relaciones con las
distintas plataformas publicitarias y exhortó a la industria en general a hacer lo mismo.

Las informaciones revelaron que las agencias realizan un esfuerzo adicional para
interceptar búsquedas en Google Maps desde Android y otros teléfonos inteligentes para
recopilar ubicaciones de forma masiva. La NSA y el GCHQ insistieron en que estas
actividades cumplen con las leyes nacionales e internacionales, aunque The Guardian
afirmó que «las últimas revelaciones podrían sumarse a la creciente preocupación pública
acerca de cómo se acumula y utiliza la información, especialmente para aquellos fuera de
los EE.UU. que gozan de menos protección en temas de privacidad que los
estadounidenses».

Evolución de las versiones del Sistema Operativo Android

Las versiones de Android reciben, en inglés, el nombre de diferentes postres o dulces. En


cada versión el postre o dulce elegido empieza por una letra distinta, conforme a un orden
alfabético:
NUMER AÑO DE
NOM O DE LANZA
DESCRIPCION LOGOTIPO CARACTERISTICAS
BRE VERSIO MIENT
N O

22
El estreno de Android,un sistema operativo
1.-Android Market
basado en Linux, este SO se desarrolló el
2.-Las aplicaciones más famosas de
5 de noviembre de 2007, sin embargo, estuvo 23 de
Apple Google:Gmail, Mapas, YouTube,
1.0 disponible para los usuarios hasta el 23 septiembr
Pie Calendario, Contactos, etc.
de Septiembre de 2008 en el primer e 2008
3.-Menú desplegable de notificaciones.
teléfono celular que lo equiparía: el HTC
4.-Patrón de desbloqueo
Dream

Si bien esta versión es un parche para corregir


errores
9 de 1.-Llamadas en espera
Banana y agregar funcionalidades, desde aquí se notaría la
1.1 febrero 2 2.-Guardar archivos adjuntos en correos
Bread preocupación de Google por su sistema operativo y
009 3.-Actualizaciones automáticas
la actualización y mejora del mismo. Se añadieron
funcionalidades como:

Esta actualización se lanza en Abril de 2009, para


1.-Inclusión de Widgets <<el más famoso, el
este momento las funciones añadidas son de las más
27 de de búsqueda de Google en el escritorio>>
Cupcak importantes y que siguen aún vigentes. A partir de
1.5 abril de 2 2.-Animaciones en el cambio de pantallas
e aquí Google se plantea el hecho de lanzar las
009 3.-Teclado táctil desplegable QWERTY
siguientes versiones de Android en orden alfabético
4.-Rotación automática de la pantalla
y con nombres de postres.

Apenas unos meses después <<Septiembre>> 1.-El diseño de la aplicación de Cámara


se vuelve a actualizar este SO. Ahora se tenía que cambió
15 de
adaptar dicho sistema a los nuevos equipos que 2.-Compatibilidad con diferentes
Donut 1.6 septiembr
comenzaban a comercializarse: celulares con resoluciones de pantalla
e de 2009
pantallas más grandes. Se podría decir que es el 3.-Nuevo diseño en Android Market
cambio más notable de esta versión. 4.-Motor multilenguaje de Síntesis de habla

Los cambios ahora eran rápidos, en Noviembre 1.-Nuevo navegador que soportaba HTML5
de 2009 se comienza a distribuir esta nueva 26 de 2.-Se introduce la función Text to Speech
Eclair 2.0–2.1 actualización. Para Enero de 2010 aparece el Nexus octubre d 3.-Brillo automático
One equipado con esta versión y el celular que e 2009 4.-Fondos de pantalla animados
quería destronar a Apple con su iPhone y iOS. 5.-Zoom digital en la cámara

Pasaron apenas cuatro meses para otra


1.-Pantalla de inicio completamente
actualización,
rediseñada
a mi parecer, una versión que marcó tendencia, y
2.-Mejoras importantes en cuanto a
con la cual muchos conocimos este nuevo sistema 20 de
rendimiento
Froyo 2.2–2.2.3 operativo: Android. Algo que se debe destacar de mayo 201
3.-Desbloqueo mediante código PIN
este SO es que fue el primero en dar soporte a Flash 0
Soporte para Flash 10.1
de Adobe. El Nexus One fue el primer celular en
4.-Nueva funcionalidad de tethering
recibir Froyo. Samsung estrena una de las primeras
<<compartir internet por USB o Wi-FI>>
tablets con Android: la Samsung Galaxy Tab.

La tecnología avanzaba rápidamente, era momento


de adaptar Android a las nuevas características que 1.-Soporte para conexión NFC
implementaban: barómetro, giroscopio, cámaras 6 de 2.-Modificación del panel de notificaciones
Ginger
2.3–2.3.7 delanteras, etc. Google de la mano de Samsung diciembre 3.-Soporte para pantallas mucho más grandes
bread
lanzó el nuevo Google Nexus S con Gingerbread. 2010 y con alta resolución
Hace algunos años aún se posicionaba como una de 4.-Nuevos efectos de audio
las más usadas en todo el mundo.

La comercialización de las tablets aumentó y


Android 3.0 fue lanzado de manera especial para
1.-Botón especial para abrir multitarea
adaptarlo a este nuevo mercado. Siguieron tres
2.-Aplicaciones en la pantalla de desbloqueo
nuevos parches para esta versión en la que se 22 de
Honey 3.-Soporte para accesorios USB <<USB On-
3.0–3.2.6 arreglaban problemas menores. Esta versión especial febrero d
comb The-Go>>
para las tablets marcó tendencia para las siguientes e 2011
4.-Soporte para joysticks y gamepads
versiones, ya que la parte del diseño <<de colores
5.-Interfaz de correo en dos paneles
obscuros en los menús>> perduró. La primer tablet
que equipó Honeycomb fue la Motorola Xoom.

23
Basado en Honeycomb, ICS marcó un antes y un
después en las mejoras de Android, es un parteaguas 1.-Diseño completamente nuevo
Ice para las siguientes actualizaciones. Samsung 2.-Desbloqueo por reconocimiento facial
18 de
Cream presentó el Galaxy Nexus el cual tenía un trabajo 3.-Cambio de Android Market a Google Play
4.0–4.0.5 octubre 2
Sandwi difícil para convencer a la audiencia de esta nueva 4.-Capturas de pantalla
011
ch cara de Android, una interfaz mucho más sencilla y 5.-Multitarea mejorada y con un botón
refinada pero que no le restaba funcionalidad, al dedicado
contrario.

1.-Se introduce el asistente de voz Google


Now
Ahora Google hace una pausa y decide esperar 2.-Restricciones para los distintos perfiles de
un poco más para estrenar Jelly Bean. Considerada 9 de usuarios en tablets
Jelly
4.1–4.3.1 actualmente la versión más usada. Google lanza su julio de 2 3.-Se sustituye al navegador por Google
Bean
primera tablet con este sistema operativo: la Asus 012 Chrome
Nexus 7. 4.-Project Butter <<para mejorar el
rendimiento del sistema>>
5.-Captura de fotografías en 360 grados

Con un nombre lleno de publicidad para Nestlé, esta


fue una de las versiones más esperadas por los 1.-Se añadió QuickOffice
usuarios. Con KitKat Google pretendía que para 2.-Nuevos servicios de almacenamiento en la
todos los smartphones se convirtiera en una base nube incluidos <<Google Drive y Box>>
4.4–4.4.4, 31 de
para su lanzamiento debido a lo estable que resultó 3.-Es compatible con dispositivos que
KitKat 4.4W– octubre d
ser y la madurez que se había alcanzado con esta cuentan con 512 MB de RAM
4.4W.2 e 2013
etapa. El celular más esperado por todos era desde 4.-El asistente de voz mejora y llega el
luego el renovado Nexus, ahora tenía por fabricante famoso comando Ok Google
a LG con el LG Google Nexus 5, uno de los más 5.-Multitareas mucho más rápido
baratos de la familia Nexus.

1.-Integración con smartwatches


Lollipop es hasta el momento, siendo Abril del
2.-La seguridad pasa a ser un tema vertebral.
2017, la versión de Android más extendida a nivel
Multiusuario en un dispositivo y
mundial y hoy en día, la gran mayoría de
restricciones
dispositivos Android cuentan con esta versión de 12 de
Lollipo 4.-Mejoras considerables en el rendimiento y
5.0–5.1.1 sistema operativo. El mercado de los smartwatches noviembr
p en desempeño
está cobrando fuerza y Google no perdió de vista el e de 2014
5.-Soporte para procesadores de 64 bits
nuevo mercado con este SO. El tema de mantener
6.-Cambio visual en el multitareas acoplando
nuestra información sincronizada en diversos
las ventanas en tarjetas
dispositivos es uno de los fines que cumple Lollipop.
7.-Desbloqueo por ubicación

1.-Sistema de Permisos rediseñado. Ahora


sólo hay 8 categorías de permisos.
Durante la conferencia de Google I/O 2015 se 2.-Los usuarios pueden conceder o denegar
vieron las primeras imágenes de la nueva permisos individuales a las aplicaciones
actualización que tendría Android,y fué anunciada cuando lo requieran
por Google el 29 de Septiembre, del respectivo año, 3.-Soporte nativo para reconocimiento de
5 de
Marsh durante un evento en el cual también fue develado huellas dactilares.
6.0–6.0.1 octubre d
mallow una nueva generación de dispositivos Nexus, el cual, 4.-Impulso a Android Pay
e 2015
junto con sus generaciones anteriores, fueron los 5.-Nuevo Sistema de administración de
primeros en recibir Android Marshmallow. Entre los energía llamado “Doze”
cambios a destacar en la versión Marshmallow de 6.-Compatibilidad con USB Tipo-C
Android encontramos: 7.-Capacidad de Carga hasta 5 veces más
rapida
8.-Introducción de enlaces verificados
1.-Multiventana permite a los usuarios usar
dos aplicaciones a la vez con pantalla
Presentado durante el evento Google I/O en Mayo dividida
del 2016, Nougat se resume como una actualización 2.-Android Nougat soporta de forma nativa
15 de
7.0 - de las novedades antes mencionadas en la realidad virtual.
Nougat junio de 2
7.1.2 Marshmallow, la anterior versión de Android, siendo 3.-Lanzamiento e introducción de una tienda
016
que sus principales características podemos de aplicaciones tipo Google Play pero
resumirlas en los puntos siguientes: dedicada a la realidad virutal: DayDream
4.-Doze, el sistema de administración de
energía que fue presentado en Marshmallow.
1.-Optimización de procesos en segundo
plano para optimizar aún más el consumo de
batería.
2.-Ahora las notificaciones se podrán
El nombre en código de la siguiente versión de
organizar dependiendo de su categoría.
Android es Android “O” (O de Octavio, no Cero
3.-Se han realizado cambios en el diseño del
“0”) y fue anunciado por Google el pasado 21 de 21 de
apartado de ajustes, logrando un aspecto más
Oreo 8.0 Marzo del 2017 siendo que su primera versión agosto de
claro y menos pesado
“Alfa” fué publicada para dispositivos Google Pixel 2017
4.-Google ha actualizado la guía para diseñar
y Nexus el 22 de Marzo del 2017. Esta versión de
iconos, de modo que se puedan unificiar los
Google presenta las siguientes novedades:
diseños.
5.-Como ya esta funcionando en algunas
Apps como Snapchat o Facebook, aparecerán
números al lado de los íconos de algunas
24
aplicaciones

Distribución Actual de Las Versiones.

llama la atención que ahora Nougat sea la versión más distribuida, la cosa no pintaba mejor
hasta hace poco tiempo. meses pasados veíamos como Android Marshmallow seguía
siendo la versión de Android dominante en el mercado, un sistema operativo que fue
lanzado para dispositivos compatibles hace algo más de dos años. Ahora que Android Oreo
lleva entre nosotros varios meses, es la anterior versión quien comienza a asentarse en el
mercado. Pues aún hay millones de usuarios que tienen en su móvil instaladas versiones de
Android con más de dos años de antigüedad, como muestra el siguiente gráfico de
distribución Android.

Plataforma Android.

25
Android es una plataforma de código abierto, con gran ventaja sobre los demás sistemas operativos
para móviles como Nokia (Symbian), Apple (iOS) o RIM (Blackberry), ya que fabricantes,
operadores y desarrolladores pueden dar mayor utilidad al Smartphone o tableta. Además de ser un
sistema gratuito y multiplataforma, ha permitido instalarse de manera prácticamente fácil en
dispositivos móviles aun con gamas bajas.

El lanzamiento de Android como plataforma para el desarrollo de aplicaciones móviles ha tenido


gran aceptación entre sus usuarios, de igual forma las industrias que lo distribuyen, convirtiéndose
en una plataforma estándar frente a otras como iPhone, Windows Phone, Symbian, Blackberry, etc.

“Android es un software pensado para dispositivos móviles que incluye el sistema operativo como
middleware y diversas aplicaciones de usuario. Todas las aplicaciones para Android se programan
en lenguaje java y son ejecutables en una máquina virtual diseñada para esta plataforma,
llamada Dalvik y ART”.

Las versiones anteriores de Android se basan en Linux Kernel. La siguiente figura se relaciona las
versiones de Android con el kernel de Linux:

Linux Kernel en versiones de Android

Android Version |API Level |Linux Kernel in AOSP


----------------------------------------------------
1.5 Cupcake |3 |2.6.27
1.6 Donut |4 |2.6.29
2.0/1 Eclair |5-7 |2.6.29
2.2.x Froyo |8 |2.6.32
2.3.x Gingerbread |9, 10 |2.6.35
3.x.x Honeycomb |11-13 |2.6.36
4.0.x Ice Cream San|14, 15 |3.0.1
4.1.x Jelly Bean |16 |3.0.31
4.2.x Jelly Bean |17 |3.4.0
4.3 Jelly Bean |18 |3.4.39
4.4 Kit Kat |19, 20 |3.10
5.x Lollipop |21, 22 |3.16.1

26
6.0 Marshmallow |23 |3.18.10
7.0 Nougat |24 |4.4.1
7.1 Nougat |25 |4.4.1
8.0 Oreo |26 |4.10

https://android.stackexchange.com/questions/51651/which-android-runs-which-linux-
kernel

La licencia de distribución lo convierte en un software libre, se trabaja sobre una plataforma


gratuita un SDK y la opción de plu-gin para el entorno de desarrollo llamado Eclipse, así como un
emulador para su ejecución.
El proyecto de Android está dirigido por Google y otras empresas tecnológicas agrupadas bajo el
nombre de Open Hanset Alliance (OHA) dentro de las cuales se encuentran Samsung, LG,
Telefónica, Intel, Texas Instruments, etc., cuyo objetivo es desarrollar estándares abiertos para
telefonía móvil para incentivar su desarrollo y para mejorar la experiencia del usuario.
Android cuenta con su propia máquina virtual DALVIK VIRTUAL MACHINE (DVM) que ejecuta
código escrito en java, permite representación de gráficos 2D y 3D, soporta diferentes formatos
multimedia, posibilita el uso de bases de datos, servicio de geolocalización, controla diferentes
elementos de hardware como bluetooth, cámara, wifi, GPS, etc. Un aspecto básico de anotar es que
a partir de la versión 4.4 existe otro entorno de ejecución llamado ART (Tiempo de Ejecución de
Android) y el usuario es libre de cambiar entre DVM y ART.

LEY DE DELITOS INFORMATICOS

Artículo 1. Modificación de los artículos 2,3,4,5,7, 8 y 10 de la Ley 30096, Ley de


delitos informáticos

Modificase los artículos 2, 3,4, 5, 7, 8 y 10 de la Ley 30096, Ley de Delitos Informáticos,


en los siguientes términos:

10 de marzo del 2014.

“Artículo 2. Acceso Ilícito

El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático,


siempre que se realice con vulneración de medidas de seguridad establecidas para

27
impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de
cuatro años y con treinta a noventa días-multa.

Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo
autorizado.”

“Artículo 3. Atentado a la integridad de datos informáticos

El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime o hace
inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de
tres ni mayor de seis años y con ochenta a ciento veinte días-multa.”

“Artículo 4. Atentado a la integridad de sistemas informáticos

El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático,


impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus
servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis
años y con ochenta a ciento veinte días-multa.”

“Artículo 7. Interceptación de datos informáticos

El que deliberada e ilegítimamente intercepta datos informáticos en transmisiones no


públicas, dirigidos a un sistema informático, originados en un sistema informático o
efectuado dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un
sistema informático que transporte dichos datos informáticos, será reprimido con una pena
privativa de libertad no menor de tres ni mayor de seis años.

La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el
delito recaiga sobre información clasificada como secreta, reservada o confidencial de
conformidad con la Ley 27806, Ley de Transparencia y Acceso a la Información Pública.

La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito
comprometa la defensa, seguridad o soberanía nacionales.

28
Si el agente comete el delito como integrante de una organización criminal, la pena se
incrementa hasta en un tercio por encima del máximo legal previsto en los supuestos
anteriores.”

“Artículo 8. Fraude informático

El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en


perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión,
clonación de datos informáticos o cualquier interferencia o manipulación en el
funcionamiento de un sistema informático, será reprimido con una pena privativa de
libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a
ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado afines
asistenciales o a programas de apoyo social.”

“Artículo 10. Abuso de mecanismos y dispositivos informáticos

El que deliberada e ilegítimamente fabrica, diseña, desarrolla, vende, facilita, distribuye,


importa u obtiene para su utilización, uno o más mecanismos, programas informáticos,
dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático,
específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el
que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena
privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-
multa.”

Sección del trabajo de tesis donde se citan las referencias teóricas y antecedentes que sustentan el
trabajo de investigación para cada uno de los objetivos propuestos de una forma crítica, explicando
su importancia y relevancia con el trabajo realizado. Evitar la información irrelevante que no
contribuya al logro de los objetivos planteados.

III. MATERIALES Y MÉTODOS

Materiales herramientas
29
ADB: es una herramienta que se sitúa entre el dispositivo y el sistema de
desarrollo. Provee al desarrollador de funcionalidades de gestión como sincronización de
archivos, consola UNIX y comunicación entre dispositivos conectados y emuladores.

DbBrowser SQLite: Es una herramienta de código abierto para crear, diseñar y editar
archivos de bases de datos compatibles con SQLite. Sirve además para crear bases de
datos, importar y exportar registros, emite consultas SQL, exportar tablas a archivos CSV
y otras funciones que la hacen una herramienta potente para bases de datos.

Kali Linux: Kali Linux es una distribución de Linux avanzada para pruebas de
penetración y auditorías de seguridad. Kali es una completa re-construcción de
BackTrack Linux desde la base hacia arriba, y se adhiere completamente a los estándares
de desarrollo de Debian.

APKtool: Las aplicaciones Android se empaquetan en archivos "APK", que al igual


que los archivos "jar" no son más que archivos "zip" sin encriptación, por lo que
simplemente usando herramientas como APKtool se los puede descomprimir y extraer
todos sus recursos. APKtool Compila y decompila aplicaciones de android .APK,

Dex2jar: Toma un archivo APK o el classes.dex y devuelve un archivo .jar, que se


puede abrir con decompiladores de Java como JD-GUI y acceder al código de la
aplicación en Java. El principal objetivo de realizar este tipo de operaciones para
acelerar el análisis de la amenaza, o evitar pasar grandes cantidades de tiempo
comprendiendo la estructura de la aplicación. Las aplicaciones de Android, se desarrollan
principalmente en Java, y como se trabaja sobre una máquina virtual es posible obtener
una salida con un alto nivel de similitud al código original.

Wireshark: Está basado en la API pcap diseñada para la captura de paquetes de red y
añade interfaz de usuario. La aplicación es capaz de filtrar más de 1100 protocolos y
mostrar la información de manera estructurada, con todos los campos de las cabeceras y
capas de los paquetes capturados.

30
Descripción de dispositivos smartphones

Métodos y técnicas

Metodología experimental

METODOLOGÍA

Tipo y nivel de investigación.


Para esta investigación se usa el método explicativo porque a través de pruebas
experimentales por medio de técnicas invasivas pent-testing en dispositivos móviles con
distintas versiones del sistema operativo Android más usados a nivel de la población peruana
se identifica el nivel de seguridad que cada versión posee y las vulnerabilidades que se
encuentran para auditar y garantizar la prueba se utilizó la herramienta del estándar de
calidad ISO 27001.

Población y muestra.
Para esta investigación se tomó como población todos los dispositivos móviles con un
sistema operativo Android y como muestra se tomó a los dispositivos móviles con sistema
operativo Android con las versiones más usadas de acuerdo a las estadísticas de uso del
siguiente cuadro realizado por la empresa Google Inc.

31
Fuente:

Análisis estadístico

Técnicas e instrumentos para la recolección de datos.


La técnica para la recolección de datos se utilizó fue una auditoria pent-testing. El
instrumento para recopilar los datos fue el Cuestionario del ISO 27001 el cual consta de
105 ítems.

Valides y confiabilidad del instrumento.


El instrumento es un estándar de calidad lo cual certifica su valides.

Plan de recolección y procesamiento de datos.


Los datos recolectados en el cuestionario fueron procesados y analizados.

32
Sección de la tesis donde se describe con detalle el material experimental utilizado en la
investigación. Así mismo, los métodos materiales y técnicas empleados para cada uno de los
objetivos propuestos (evitando repeticiones). En el caso de material de laboratorio y equipos se
debe indicar entre paréntesis las especificaciones técnicas (modelo, marca, número de serie y
procedencia de los mismos). En el caso de reactivos la marca, lote y fecha de vencimiento de los
mismos. De igual manera, se debe señalar la metodología experimental empleada y el análisis
estadístico utilizado en la interpretación de los datos de la investigación.

IV. RESULTADOS Y DISCUSIÓN

Resultados

RESULTADOS BASADOS EN ISO 27001

FORMULARIO PARA KitK Lolli Marsh Nou Ore


DIAGNÓSTICO at pop mallow gat o
4.4. 5.1. 7.1.
(ISO 27001) 4 1 6.0.1 2 8.0
Ni Ni Ni Ni
POLÍTICAS DE SEGURIDAD Cum vel Cum vel vel Cum vel Cum
ple % ple % Cumple % ple % ple
•Existen documento(s) de políticas de 10 10 10 10 10
seguridad de SI SI 0% SI 0% SI 0% SI 0% SI 0%
•Existe normativa relativa a la seguridad de los 10 10 10 10 10
SI SI 0% SI 0% SI 0% SI 0% SI 0%
•Existen procedimientos relativos a la
seguridad de SI NO 0% NO 0% NO 0% NO 0% NO 0%
•Existe un responsable de las políticas, 10 10 10 10 10
normas y procedimientos SI 0% SI 0% SI 0% SI 0% SI 0%
•Existen mecanismos para la comunicación a 10 10 10 10 10
los usuarios de las normas SI 0% SI 0% SI 0% SI 0% SI 0%
•Existen controles regulares para verificar la
efectividad de las políticas NO 0% NO 0% NO 0% NO 0% NO 0%
ORGANIZACIÓN DE LA 67 67 67 67 67
SEGURIDAD % % % % %
•Existen roles y responsabilidades definidos 10 10 10 10 10
para las personas implicadas en la seguridad SI 0% SI 0% SI 0% SI 0% SI 0%
•Existe un responsable encargado de evaluar
la adquisición y cambios de SI NO 0% NO 0% NO 0% NO 0% NO 0%
La Dirección y las áreas de la Organización 10 10 10 10 10
participa en temas de seguridad SI 0% SI 0% SI 0% SI 0% SI 0%
•Existen condiciones contractuales de
seguridad con terceros y outsourcing NO 0% NO 0% NO 0% NO 0% NO 0%
33
•Existen programas de formación en seguridad 10 10 10 10 10
para los empleados, clientes y terceros SI 0% SI 0% SI 0% SI 0% SI 0%
•Existe un acuerdo de confidencialidad de la 10 10 10 10 10
información que se accesa. SI 0% SI 0% SI 0% SI 0% SI 0%
•Se revisa la organización de la seguridad
periódicamente por una empresa externa NO 0% NO 0% NO 0% NO 0% NO 0%
57 57 57 57 57
ADMINISTRACIÓN DE ACTIVOS
% % % % %
•El Inventario contiene activos de datos,
software, equipos y servicios NO 0% NO 0% NO 0% NO 0% NO 0%
•Se dispone de una clasificación de la 10 10 10 10 10
información según la criticidad de la misma SI 0% SI 0% SI 0% SI 0% SI 0%
•Existen procedimientos para clasificar la 10 10 10 10 10
información SI 0% SI 0% SI 0% SI 0% SI 0%
67 67 67 67 67
SEGURIDAD DE LOS RRHH
% % % % %
•Se tienen definidas responsabilidades y roles
de seguridad NO 0% NO 0% NO 0% NO 0% NO 0%
•Se plasman las condiciones de
confidencialidad y responsabilidades en los 10 10 10 10 10
contratos SI 0% SI 0% SI 0% SI 0% SI 0%
•Se imparte la formación adecuada de
seguridad y tratamiento de activos NO 0% NO 0% NO 0% NO 0% NO 0%
•Existe un canal y procedimientos claros a 10 10 10 10 10
seguir en caso de incidente de seguridad SI 0% SI 0% SI 0% SI 0% SI 0%
•Se recogen los datos de los incidentes de 10 10 10 10 10
forma detallada SI 0% SI 0% SI 0% SI 0% SI 0%
•Informan los usuarios de las vulnerabilidades 10 10 10 10 10
observadas o sospechadas SI 0% SI 0% SI 0% SI 0% SI 0%
•Se informa a los usuarios de que no deben,
bajo ninguna circunstancia, probar las
vulnerabilidades NO 0% NO 0% NO 0% NO 0% NO 0%
• Existe un proceso disciplinario de la
seguridad de la información NO 0% NO 0% NO 0% NO 0% NO 0%
SEGURIDAD FÍSICA Y DEL 50 50 50 50 50
AMBIENTE % % % % %
Existen controles de entrada para protegerse 10 10 10 10 10
frente al acceso de personal no autorizado SI 0% SI 0% SI 0% SI 0% SI 0%
En las áreas seguras existen controles 10 10 10 10 10
adicionales al personal propio y ajeno SI 0% SI 0% SI 0% SI 0% SI 0%
La ubicación de los equipos está de tal 10 10 10 10 10
manera para minimizar accesos innecesarios. SI 0% SI 0% SI 0% SI 0% SI 0%
Existe seguridad en el conexion frente a daños 10 10 10 10 10
e intercepciones SI 0% SI 0% SI 0% SI 0% SI 0%
Se asegura la disponibilidad e integridad de
todos los equipos NO 0% NO 0% NO 0% NO 0% NO 0%
Se incluye la seguridad en equipos moviles NO 0% NO 0% NO 0% NO 0% NO 0%
GESTIÓN DE COMUNICACIONES Y 67 67 67 67 67
34
OPERACIONES % % % % %
Todos los procedimientos operativos
identificados en la política de seguridad han de 10 10 10 10 10
estar documentados SI 0% SI 0% SI 0% SI 0% SI 0%
Estan establecidas responsabilidades para
controlar los cambios en equipos NO 0% NO 0% NO 0% NO 0% NO 0%
Estan establecidas responsabilidades para
asegurar una respuesta rápida, ordenada y 10 10 10 10 10
efectiva frente a incidentes de seguridad NO 0% NO 0% NO 0% NO 0% NO 0%
Existe algún método para reducir el mal uso 10 10 10 10 10
accidental o deliberado de los Sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
Existen contratistas externos para la gestión
de los Sistemas de Información NO 0% NO 0% NO 0% NO 0% NO 0%
Existe un Plan de Capacidad para asegurar la
adecuada capacidad de proceso y de
almacenamiento NO 0% NO 0% NO 0% NO 0% NO 0%
Existen criterios de aceptación de nuevos SI, 10 10 10 10 10
incluyendo actualizaciones y nuevas versiones SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Controles contra software maligno
SI 0% SI 0% SI 0% SI 0% SI 0%
Realizar copias de backup de la información 10 10 10 10 10
esencial para el negocio SI 0% SI 0% SI 0% SI 0% SI 0%
Existen logs para las actividades realizadas 10 10 10 10 10
por los operadores y administradores SI 0% SI 0% SI 0% SI 0% SI 0%
Existen logs de los fallos detectados NO 0% NO 0% NO 0% NO 0% NO 0%
Existen rastro de auditoría NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe algún control en las redes
SI 0% SI 0% SI 0% SI 0% SI 0%
Hay establecidos controles para realizar la
gestión de los medios informáticos.(cintas,
discos, removibles, informes impresos) NO 0% NO 0% NO 0% NO 0% NO 0%
Eliminación de los medios informáticos.
Pueden disponer de información sensible NO 0% NO 0% NO 0% NO 0% NO 0%
Existe seguridad de la documentación de los 10 10 10 10 10
Sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
Existen acuerdos para intercambio de
información y software NO 0% NO 0% NO 0% NO 0% NO 0%
Existen medidas de seguridad de los medios
en el tránsito NO 0% NO 0% NO 0% NO 0% NO 0%
Existen medidas de seguridad en el comercio 10 10 10 10 10
electrónico. SI 0% SI 0% SI 0% SI 0% SI 0%
Se han establecido e implantado medidas para
proteger la confidencialidad e integridad de
información publicada NO 0% NO 0% NO 0% NO 0% NO 0%
Existen medidas de seguridad en las
transacciones en linea NO 0% NO 0% NO 0% NO 0% NO 0%
Se monitorean las actividades relacionadas a
la seguridad NO 0% NO 0% NO 0% NO 0% NO 0%

35
45 45 45 45 45
CONTROL DE ACCESOS
% % % % %
10 10 10 10 10
Existe una política de control de accesos
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe un procedimiento formal de registro y
baja de accesos NO 0% NO 0% NO 0% NO 0% NO 0%
Se controla y restringe la asignación y uso de
privilegios en entornos multi-usuario NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una gestión de los password de 10 10 10 10 10
usuarios SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una revisión de los derechos de acceso
de los usuarios NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe el uso del password
SI 0% SI 0% SI 0% SI 0% SI 0%
Se protege el acceso de los equipos
desatendidos NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una política de uso de los servicios de 10 10 10 10 10
red SI 0% SI 0% SI 0% SI 0% SI 0%
Se asegura la ruta (path) desde el terminal al
servicio NO 0% NO 0% NO 0% NO 0% NO 0%
Existe una autenticación de usuarios en 10 10 10 10 10
conexiones externas SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una autenticación de los nodos NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe un control de la conexión de redes
SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Existe un control del routing de las redes
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una identificación única de usuario y
una automática de terminales NO 0% NO 0% NO 0% NO 0% NO 0%
Existen procedimientos de log-on al terminal NO 0% NO 0% NO 0% NO 0% NO 0%
Se ha incorporado medidas de seguridad a la 10 10 10 10 10
computación móvil SI 0% SI 0% SI 0% SI 0% SI 0%
DESARROLLO Y MANTENIMIENTO 50 50 50 50 50
DE LOS SISTEMAS % % % % %
Se asegura que la seguridad está implantada 10 10 10 10 10
en los Sistemas de Información SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Existe seguridad en las aplicaciones
SI 0% SI 0% SI 0% SI 0% SI 0%
Existen controles criptográficos. NO 0% NO 0% NO 0% NO 0% NO 0%
Existe seguridad en los ficheros de los
sistemas NO 0% NO 0% NO 0% NO 0% NO 0%
Existe seguridad en los procesos de 10 10 10 10 10
desarrollo, testing y soporte SI 0% SI 0% SI 0% SI 0% SI 0%
Existen controles de seguridad para los 10 10 10 10 10
resultados de los sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
Existe la gestión de los cambios en los SO. NO 0% NO 0% NO 0% NO 0% NO 0%
Se controlan las vulnerabilidades de los SI 10 SI 10 SI 10 SI 10 SI 10
36
equipos 0% 0% 0% 0% 0%
63 63 63 63 63
ADMINISTRACIÓN DE INCIDENTES
% % % % %
10 10 10 10 10
Se comunican los eventos de seguridad
SI 0% SI 0% SI 0% SI 0% SI 0%
10 10 10 10 10
Se comunican los debilidadesde seguridad
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe definidas las responsabilidades antes
un incidente. NO 0% NO 0% NO 0% NO 0% NO 0%
Existe un procedimiento formal de respuesta NO 0% NO 0% NO 0% NO 0% NO 0%
Existe la gestión de incidentes NO 0% NO 0% NO 0% NO 0% NO 0%
40 40 40 40 40
CUMPLIMIENTO
% % % % %
Se tiene en cuenta el cumplimiento con la
legislación por parte de los sistemas NO 0% NO 0% NO 0% NO 0% NO 0%
10 10 10 10 10
Existe el resguardo de la propiedad intelectual
SI 0% SI 0% SI 0% SI 0% SI 0%
Existe el resguardo de los registros de la 10 10 10 10 10
organización SI 0% SI 0% SI 0% SI 0% SI 0%
Existe una revisión de la política de seguridad 10 10 10 10 10
y de la conformidad técnica SI 0% SI 0% SI 0% SI 0% SI 0%
Existen consideraciones sobre las auditorías 10 10 10 10 10
de los sistemas SI 0% SI 0% SI 0% SI 0% SI 0%
80 80 80 80 80
% % % % %

Presentamos los resultados y las vulnerabilidades encontradas en las pruebas ejecutadas,


para establecer que tan seguros son los elementos que maneja el sistema.

Luego de ejecutar las diferentes pruebas para los dispositivos Android se llegó a los
siguientes resultados:

RESULTADOS PENT-TEST

Extracción de archivos por medio del sdcard

PRUEBA EJECUTADA ANÁLISIS DEL SISTEMA OPERATIVO


TIPO DE PRUEBA Extracción de datos, almacenamiento interno y/o
externo
VULNERABILIDAD Todos los archivos del sdcard pueden ser leídos por
cualquier aplicación
37
ATAQUE Robo y alteración de información
Dentro del directorio /sdcard se encuentran todos los
archivos de documentos, videos, música, etc., que pueden
ser extraídos, ya que son públicos
TECNICA PREVENTIVA El almacenamiento interno es mejor cuando se
quiere estar seguro de que ni el usuario ni otras
aplicaciones pueden tener acceso a sus archivos, utilizar
programas para cifrar archivos

Fuente: Esta investigación

Extracción de archivos de paquetes

PRUEBA EJECUTADA ANÁLISIS DEL SISTEMA OPERATIVO


TIPO DE PRUEBA Localización de archivos, almacenamiento inseguro
VULNERABILIDAD Todos los paquetes de aplicaciones se encuentran
en la ruta /data/data/nombre.del.paquete/ donde se
encuentran los siguientes directorios
Cache
Database
Libs
Shareprefs
ATAQUES Dentro del directorio /data/data/nombre_del
paquete se encuentran todos los datos del paquete

38
PRUEBA EJECUTADA ANÁLISIS DEL SISTEMA OPERATIVO
como bases de datos, preferencias y archivos que
mediante código pueden ser alterados como
shareprefs (preferencias de la aplicación)

Otra de las cosas que se pueden realizar es desbloquear el


patrón de bloqueo, conectando el teléfono ya que la
contraseña se almacena en
/data/system con el nombre de pasword.key o
gesture.key.

TECNICA PREVENTIVA Comprobar que las aplicaciones están firmadas


digitalmente, autenticación de credenciales
Fuente: Esta investigación

Extracción de archivos de bases de datos

PRUEBA EJECUTADA ANALISIS DEL SISTEMA OPERATIVO


TIPO DE PRUEBA Localización de archivos, almacenamiento inseguro
VULNERABILIDAD Todos los paquetes de aplicaciones se encuentran
en la ruta /data/data/nombre.del.paquete/ donde se
encuentran los siguientes directorios
Cache
Database
Libs
Shareprefs

En el directorio Database se pueden extraer datos de las


bases de datos de cada aplicación y hacer un sql
injection

ATAQUES Dentro del directorio /data/data/nombre_del


paquete se encuentran todos los datos del paquete como
bases de datos, archivos con extensión db, que pueden
ser alterados mediante técnicas de sql injection, robo y/o
alteración de información
TECNICA PREVENTIVA Comprobar que las aplicaciones están firmadas
digitalmente y no guardar datos sensibles como
direcciones , teléfonos, números de cuenta dentro de
una base de datos
Fuente: Esta investigación

39
Análisis de Trafico

PRUEBA EJECUTADA ANÁLISIS DEL SISTEMA OPERATIVO


TIPO DE PRUEBA Intento de acceso al celular para capturar paquetes de
datos
VULNERABILIDAD Aunque se comprobó que todos los puertos estaban cerrados,
se intentó una segunda opción basada en el ataque ARP-
Spoofing que detectó el dispositivo móvil y realizó el
ataque redirigiendo los paquetes hacia el
equipo atacante, e inclusive denegando el servicio de
acceso a internet.

ATAQUES ARP-Spoofing, DNS Spoofing, Web Spoofing


TÉCNICA PREVENTIVA Conectarse redes seguras, tener ips dinámicas, evitar
utilizar protocolos de transmisión insegura como http (texto
en claro), Para estar seguros de realizar transmisiones
seguras con información sensible se debe emplear HTTPS,
que es HTTP más SSL/TLS para añadir cifrado al canal. El
protocolo HTTPS se dirige siempre al puerto 443.
El autenticado y cifrado se realiza a nivel de socket con
la clase SSLSocket. Es muy recomendado
emplear SSLSocket para mitigar riegos al emplear redes
públicas (muy común en los usuarios).

Fuente: Esta investigación

5.2 RESULTADOS ATAQUE A UN DISPOSITIVO ANDROID CON


METASPLOIT FRAMEWORK

Prueba de penetración a dispositivo móvil

PRUEBA EJECUTADA PRUEBA DE PENETRACIÓN


TIPO DE PRUEBA Creación e instalación de una APK maliciosa en el
móvil para acceder remotamente a él y alterar el
comportamiento de la cámara
VULNERABILIDAD Es una prueba peligrosa, ya que al acceder al
dispositivo de la víctima se puede robar y alterar la
información, el comportamiento de los
dispositivos e ingresar al Shell Linux para extraer
ficheros, vulnerabilidad en cuanto a puertos
abiertos,
ATAQUES Metasploit Framework

40
PRUEBA EJECUTADA PRUEBA DE PENETRACIÓN
TÉCNICA PREVENTIVA Emplear un programa de cifrado de archivos, guardar
información sensible en sitio seguro, realizar copia de
seguridad de los datos, no abrir correos electrónicos de
los cuales se desconozca el remitente, verificar bien
antes de instalar cualquier aplicación

Fuente: Esta investigación

ANÁLISIS DE CÓDIGO

Análisis del archivo Android.manifest.xml

PRUEBA ANÁLISIS DEL ARCHIVO ANDROID MANIFEST


EJECUTADA
TIPO DE PRUEBA Se analizaron los permisos existentes en el archivo Android
manifest, encontrando los siguientes permisos más
relevantes en la aplicación:
VULNERABILIDAD Permisos de la aplicación que si llegaren a ejecutarse
podrían alterar el comportamiento del móvil, estos
permisos son:

- android.permission.INTERNET: Permite a las


aplicaciones abrir sockets de red.
- android.permission.ACCESS_WIFI_STATE: Permite
que las aplicaciones accedan a información sobre redes
inalámbricas.
- android.permission.ACCESS_COURSE_LOCATION:
Permite que una aplicación acceda a la ubicación
aproximada derivado de las fuentes de ubicación de red,
tales como torres de telefonía móvil y Wi-Fi.
- android.permission.ACCESS_FINE_LOCATION: Permite
que una aplicación acceda a la ubicación precisa de
fuentes de localización como GPS, antenas de telefonía
móvil y Wi-Fi.
- android.permission.READ_PHONE_STATE: Permite
acceso al estado del teléfono
- android.permission.ACCESS_NETWORK_STATE:
Permite que las aplicaciones accedan a información sobre
redes.

La seguridad de la intercomunicación entre componentes puede


verse afectada debido a la falta de permisos y

41
PRUEBA ANÁLISIS DEL ARCHIVO ANDROID MANIFEST
EJECUTADA
declaraciones públicas de los componentes. Si el valor
"exported" es verdadero esto permite a cualquier
componente comunicarse. (Anexo B)

<receiver
android:name="com.inmobi.commons.analytics.andr
oidsdk.IMAdTrackerReceiver" android:enabled="true"
android:exported="true">

Los proveedores de contenido son vulnerables a sql injection


y revelan información sensible. (Ver anexo B)

<provider
android:name="com.appeggs.downloads.DownloadPr ovider"
android:authorities="com.appeggs.downloads" />

ATAQUES Si se analiza detenidamente todos los procesos, se


puede hacer casi cualquier cosa con estos permisos, y sobre todo
de manera remota, ya que se tiene permiso para abrir socket y
cambiar configuración de sistema. Se puede hacer llamadas a
números de tarificación especial, obtención de fotografías en
vivo, venta de contactos a terceros, grabar las
conversaciones, localizar a la
persona por su posición GPS y permitir el acceso al
estado del teléfono.

TECNICA Emplear un programa de cifrado de archivos, guardar


PREVENTIVA información sensible en sitio seguro, realizar copia de
seguridad de los archivos, utilizar conexiones seguras,
verificar los permisos que pide una aplicación antes de
instalarse.
Fuente: Esta investigación

42
Análisis de código de la aplicación snapdeal.com

PRUEBA EJECUTADA ANALISIS DEL CODIGO Y LAS CLASES


TIPO DE PRUEBA Análisis de código fuente de la aplicación
VULNERABILIDADES ENCONTRADAS

VULNERABILIDAD CLASE EJEMPLO DE CODIGO

openFileInput: Paquete:cn.jpush private static JSONArray d(Context


método que permite leer (android c.class paramContext)
ficheros de la
memoria interna. pushservice.class {
j.class if (!new
File(paramContext.getFilesDir(),
z[7]).exists())
return null;
JSONArray localJSONArray;
try
{
FileInputStream
localFileInputStream =
paramContext.openFileInput(z[7]);
byte[] arrayOfByte = new
byte[1024];
StringBuffer localStringBuffer =
new StringBuffer();

Webview: clase que AddtrackerWebView public void


permite visualizar Loader.class onReceivedError(WebView
una Web dentro de una paramWebView, int paramInt, String
aplicación paramString1, String paramString2)
Android y por tanto la
ejecución de código {
javascript, posible try
ejecución de sql
injection {
if
(AdTrackerWebViewLoader.b().com

43
VULNERABILIDAD CLASE EJEMPLO DE CODIGO

pareAndSet(true, false))

AdTrackerNetworkInterface.setWeb
viewUploadStatus(false);
synchronized
(AdTrackerNetworkInterface.getNet
workThread())
{
AdTrackerNetworkInterface.getNetw
orkThread().notify();

AdTrackerUtils.reportMetric(AdTrack
erEventType.GOAL_FAILURE,
AdTrackerWebViewLoader.b(AdTra
ckerWebViewLoader.this), 0, 0L,
paramInt, null);
Log.internal("[InMobi]-
[AdTracker]-4.4.3", "Webview
Received Error");
super.onReceivedError(paramWebV
iew, paramInt, paramString1,
paramString2);
return;

}
catch (Exception localException)
{
while (true)
Log.internal("[InMobi]-
[AdTracker]-4.4.3", "Exception
onReceived Error", localException);
}
}

44
VULNERABILIDAD CLASE EJEMPLO DE CODIGO

Función que pueden m.class public final void a(boolean


ser usada paramBoolean, String paramString)
inseguramente:
putString ya que:La {
informaciónprivada del
Message localMessage =
usuario entra en el
this.a.obtainMessage(this.b);
programa.
Bundle localBundle = new
2. Los datos se Bundle();
escriben en una
ubicación externa, localBundle.putBoolean(z[1],
como la consola, el paramBoolean);
sistema de archivos o
la red. localBundle.putString(z[2],
paramString);
localBundle.putString(z[0],
this.c.c);

localMessage.setData(localBundle);
localMessage.sendToTarget();
}

TECNICA Aunque pueden ser falsos positivos, los códigos deben ser
PREVENTIVA revisados de tal manera que no se afecte el uso de la aplicación y
que no sean peligros potenciales para el usuario que instalen
la aplicación, ya que al acceder al código se pueden manipular
varios elementos que pueden acceder a la información del
dispositivo donde se instala.

45
Los resultados pueden ser presentados en forma de Tablas o Figuras según corresponda,
(cuidando de no presentar los mismos resultados en ambas modalidades) de la forma más clara y
concisa posible. Se deben comparar o contrastar los resultados obtenidos con aquellos
previamente señalados en la sección de Revisión de Literatura, destacando la nueva información
lograda a partir del trabajo de investigación desarrollado.

V. CONCLUSIONES

Conclusiones para cada objetivo específico

Al analizar Android se logró identificar que el sistema operativo tiene


vulnerabilidades y estas normalmente van siendo corregidas por el fabricante
(Google), pero se debe tener precaución en el manejo de los datos y la información que
se almacena en los dispositivos para evitar posible daño y/o pérdida de la información.

- Las vulnerabilidades que se presentan en los dispositivos móviles con Android, son en
su mayoría por la falta de conocimiento de los usuarios y por la poca precaución que
tienen al instalar aplicaciones.

- Existen numerosas herramientas para el análisis del sistema operativo Android, como las
vistas en el presente documento, son herramientas útiles tanto para técnicas de pent-
testing como análisis forense que permiten analizar los datos almacenados en el
dispositivo, buscar vulnerabilidades, pero mal utilizadas permiten igualmente modificar
o dañar la información del dispositivo.

- Se ha cumplido con los objetivos planteados en el presente documento,


encontrando los principales componentes del sistema operativo Android y analizando
vulnerabilidades en el mismo, lo que ha permitido concluir que todo sistema por más
avanzado que esté presenta vulnerabilidades sean pocas o muchas y que como
usuarios y especialistas en seguridad informática se deben tomar medidas
preventivas y sensibilizar a las personas en nuestro entorno para ser consciente sobre el

46
uso seguro para este tipo de dispositivos.

47
1

2 Se deben presentar tantas conclusiones como objetivos específicos tenga el trabajo de


3 investigación, evitando colocar resultados en forma numérica o indicando que las
4 diferencias fueron significativas. De preferencia, las conclusiones deben expresarse en
5 forma cualitativa. Las conclusiones no deben citar ninguna referencia.

6 VI. RECOMENDACIONES

7 Señalar el futuro de la investigación

8 - Los desarrolladores de aplicaciones móviles deben de ser conscientes de


9 la creación de código seguro, basarse en proyectos como Open Web
10 Application Security Project (OWASP), Open Source Security Testing
11 Methodology Manual (OSSTM), pretenden a determinar y combatir las
12 causas de software inseguro y crear aplicaciones cada vez más confiables.
13
14
15 - Es importante seguir unas políticas de seguridad referentes al manejo
16 del sistema operativo Android, que sean accesibles y aplicables por parte del
17 usuario, sensibilizando acerca de las medidas preventivas que se necesita
18 para tener una información que aplique los principios de disponibilidad,
19 confiabilidad e integridad.
20
21 - Como recomendación final es importante para los especialistas en
22 seguridad informática indagar cada vez más sobre las vulnerabilidades no
23 solo en este tipo de sistemas operativos sino en todos aquellos que están en
24 nuestro entorno, cada día hay aplicaciones muy llamativas usadas por miles
25 de usuarios, pero así mismo aparecen malware, ataques y todo tipo de acción
26 que intenta alterar la información que se maneja.

27

28

48
29
30 VII. REFERENCIAS

31 Las referencias deben estar en el formato de la especialidad del trabajo de


32 investigación y se debe tener cuidado que absolutamente todas las referencias citadas
33 en el texto aparezcan en esta sección. No se recomienda el uso de comunicaciones
34 personales ni la cita de trabajos no publicados en ninguna sección de la tesis. Se acepta
35 la cita de trabajos que se encuentren en proceso de impresión aceptados para
36 publicación.

37 Recomendación: Citar tesis de su escuela profesional y/o del repositorio institucional.


38 (www.repositorio.unap.pe)

39 ANEXOS

40 Los Anexos serán identificados mediante letras mayúsculas A, B, C y lo demás que


41 corresponda. Si hay ecuaciones en los Anexos serán enumeradas como Ec. A.1 ; Ec. B.2
42 o lo que corresponda, igual para Tablas y Figuras (Tabla A.1, Fig. A.1 y los demás.)
43 correlativamente.

44

49