Los 5 pilares de seguridad en software

Clase 8 de 43 • Curso Profesional de Arquitectura de Software

Resumen

La seguridad del software protege a usuarios y datos con criterios claros: confidencialidad, integridad, autenticidad, comprobación de hechos y traza de responsabilidad. Aquí se explica cómo cada pilar se aplica en productos reales, qué decisiones técnicas implica y cómo validar que de verdad funciona.

¿Qué es la seguridad en el desarrollo de software y por qué importa?

La seguridad define cuánto un sistema protege la información, identifica a sus usuarios y controla a qué puede acceder cada uno. En la práctica, esto se traduce en autorizar correctamente, preservar datos sin alteraciones, poder probar lo que ocurrió y saber quién hizo cada acción.

Confidencialidad: asignar a cada usuario solo lo que puede ver o usar.
Integridad: impedir que atacantes o usuarios no autorizados modifiquen datos.
Comprobación de hechos: garantizar que los eventos sucedieron como el sistema declara.
Traza de responsabilidad: vincular cada acción con su responsable.
Autenticidad: verificar que quien usa el sistema es quien dice ser.

¿Cómo se aplican confidencialidad e integridad en sistemas reales?

La confidencialidad y la integridad son la base del control de acceso y la protección del dato sensible. Se aplican desde el diseño de permisos hasta el cuidado de la información en dominios críticos.

¿Cómo funciona la confidencialidad y autorización?

La confidencialidad conecta a cada usuario con lo que puede o no puede acceder. En redes sociales, se prioriza que puedas crear contenido y que solo lo vean quienes elijas.

Definir reglas de acceso por usuario, rol o grupo.
Limitar vistas y acciones según permisos.
Asegurar que el contenido privado no sea expuesto.

¿Por qué la integridad de datos es crítica?

La integridad protege datos contra cambios indebidos. En sistemas médicos y bancarios, cualquier acceso o modificación no autorizada es inaceptable y puede implicar problemas legales.

Restringir lectura y escritura de información sensible.
Prevenir alteraciones por atacantes o usuarios sin permiso.
Priorizar controles estrictos en dominios regulados.

¿Qué rol cumplen la comprobación de hechos, la traza de responsabilidad y la autenticidad?

Estas capacidades permiten probar lo que pasó, atribuir responsabilidades y verificar identidades de forma confiable, clave para entornos legales y de alto riesgo.

¿Qué es la comprobación de hechos en seguridad?

La comprobación de hechos conecta el estado actual del sistema con las acciones que lo produjeron. Se soporta con firmas digitales y con un log de auditoría que documenta eventos de manera verificable.

Registrar eventos con detalle suficiente.
Usar firmas digitales para garantizar no repudio.
Mantener evidencia de qué ocurrió y cuándo ocurrió.

¿Cómo se implementa la traza de responsabilidad?

La traza de responsabilidad vincula cada acción con su autor, ya sea un usuario o un proceso del sistema. Los logs de auditoría sirven para saber qué pasó y quién lo hizo.

Incluir identificadores de usuario o servicio en cada evento.
Conservar logs íntegros y accesibles para auditoría.
Asegurar correlación entre acciones y entidades responsables.

¿Cómo se asegura la autenticidad del usuario?

La autenticidad verifica la identidad del usuario con pasos crecientes de seguridad: desde email y contraseña hasta factores adicionales.

Credenciales básicas: correo y contraseña.
Segundo factor: two factor authentication [autenticación por dos factores].
Datos biométricos: huella, rostro u otros.
Integraciones con identidades nacionales o servicios oficiales: validar que la persona es quien declara ser.

¿Cómo se miden las métricas de seguridad y qué es el penetration testing?

Medir seguridad es difícil: las métricas deben ser consistentes, ejecutables y alineadas con lo que se promete proteger. Para comprobarlo, se utiliza la técnica clave: penetration testing.

Simular ataques de forma controlada y ética.
Validar que la autorización, integridad, autenticidad y auditoría funcionan.
Detectar brechas antes que atacantes reales.
Ajustar controles según resultados de pruebas.

Te leo en comentarios: ¿qué controles aplicarías primero en tu sistema y por qué?.

Carlos Eduardo Diaz Polanco

student•

Seguridad:
Es grado en que un producto o sistema protege la información y los datos para que las personas u otros productos o sistemas tengan el grado de acceso a los datos apropiado para sus tipos y niveles de autorización. Esta característica se compone de las siguientes subcaracterísticas:

• Confidencialidad, Grado en el cual un producto o sistema asegura que los datos solo sean accesibles para aquellos autorizados a tener acceso.
Ej: Redes sociales.

• Integridad, Grado en el que un sistema, producto o componente impide el acceso no autorizado o la modificación de programas o datos de computadora.
Ej: Sistemas bancarios.

• Comprobación de hecho, Grado en que se puede demostrar que las acciones o eventos tuvieron lugar, para que los eventos o acciones no puedan ser repudiados más tarde.
Ej: Firmas digitales. Logs de auditoría.

• Traza de responsabilidad, Grado en el que las acciones de una entidad se pueden rastrear de manera única a la entidad.
Ej: Logs de auditoría.

• Autenticidad, Grado en el cual se puede probar que la identidad de un sujeto o recurso es la reclamada.
Ej: Autenticación de 2 factores. Correo electrónico, número de teléfono. Datos biométricos.

Andrés Madrigal

student•

Me gustaron tus resumenes, te hare dos observaciones con la gramatica pero en general, tus resumenes estan muy completos 😃

Creo que si hablas de producto nada mas se puede entender de forma implicita que se habla de sistemas, para evitar tanta redudancia y de fijo tambien se puede hacer algo con los “Grado”.

Valentina Orejuela

student•

Gracias, buen resumen! :)

Abril Darynka Tapia Sosa

student•

Seguridad. El sistema debe: Proteger la información del usuario, identificar a sus usuarios y permitirles el acceso solo a su información.

Confidencialidad -> Como el sistema autoriza a cada usuario a acceder a ciertas partes de información
Integridad -> Las acciones que toma el sistema para proteger la información de atacantes o de usuarios sin acceso a ella.
Comprobación de Hechos -> Territorio legal, se basa en como compruebas que un hecho/acción realmente paso.
Traza de responsabilidad -> Como se debe conectar cada acción que se dio en el sistema con el usuario.
Autenticidad -> Como el sistema logra identificar al usuario

Jazziel Horacio Puente Verdugo

student•

Muchas gracias por tu aport

Wilson Erik Ramírez Franco

student•

Gracias!!

Christian Gómez

student•

Atributo: Seguridad

Cuanto el sistema puede proteger, saber identificar y conectar a sus usuarios. y al conectar usuarios con información.

Confidencialidad: El sistema debe saber, quienes tienen permiso a que información.

Integridad: Cuanto el sistema toma recaudo para proteger esa información de ++atacantes++ o ++usuarios++ que no deberían tener acceso a ella.

Comprobación de Hechos: hablamos de territorio legal, de como hacer para que el sistema garantice de que algo paso.

Traza de Responsabilidad: Esta conectada a la comprobación de hechos, pero esta mas dada a como se conecta una acción del sistema con su responsable. Sea este el usuario o el sistema mismo.

Autenticidad: Verifica que el usuario que esta tratando de ingresar al sistema o realizar una acción, sea quien dice que ser.

Luis Fernando Méndez González

student•

Seguridad
Este atributo, tal como su nombre indica habla de la capacidad del sistema de proteger la información de los usuarios y los datos que contiene el mismo, es uno de los atributos más relevantes y de los que más se habla en la industria, del mismo modo, ha derivado en ramas completas de especialización profesional para asegurarlo de manera óptima, esta característica contempla en un sentido general lo siguiente:

Confidencialidad: Trata sencillamente de cómo se interconectan los usuarios y la información, logrando que solo se puedan acceder a datos específicos por las personas oportunas.
Integridad: La integridad habla de cuanto el sistema toma recaudos para proteger la información de atacantes
Comprobación de hechos: En este caso, estamos hablando de un sentido legal, para garantizar que algo específico realizado se pueda comprobar, y de este modo generar un registro de todo lo que llevo que un usuario llegara a una situación específica.
Traza de Responsabilidad: Está muy conectada a la comprobación de hechos, pero se refiere a ese vinculo entre responsables y acciones, mientras que con la comprobación de hechos tenemos un reporte que secuencia los eventos ocurridos, con la traza obtenemos la información de los autores de dichos hechos.
Autenticidad: Finalmente, la autenticidad se encarga de garantizar que el sistema reconoce que un usuario es quien realmente dice ser.

Cabe resaltar que la técnica más utilizada para evaluar la seguridad y garantizarla se llama Penetration testing (aka. Pentesting) esto se da debido a que las métricas convencionales son muy difíciles de llevar y consiste en ataques realizados de manera artificial y controlada, para garantizar la seguridad y apreciar las aberturas del mismo (Por cierto, en la carrera de seguridad informática hay todo un curso que hace referencia a esto)

Mauricio Costanzo

student•

Atributo de calidad seguridad ¿Cuánto el sistema protege al usuario? ¿Sabe identificar al usuario?; ¿Sabe conectar la información correcta que le debe mostrar?

Hay 5 sub categorías:

Confidencialidad: cómo conecta al usuario con lo que puedo o no puede acceder.
Integridad: los recaudos que el sistema toma para evitar filtros de información por usuarios mal intencionados.
Comprobación de hechos: ¿Cómo hacer para garantizar qué algo realmente pasó?
Traza de responsabilidad: Muy conecatada con la comprobación de hechos pero hace más referencia a las acciones puntuales del usuario.Tracker cada acción y asociarla a un responsable (usuario) .
Autenticidad: ¿Cómo el sistema logra identificar al usuario?

Fernando Torres

student•

Hola. La definición de integridad en tu resumen es incorrecta. Creo que el profe se confundio.

David Peñafiel Zeballos

student•

Personalmente pienso que el orden debe ser como sigue:
Autenticidad - Traza de Responsabilidad - Comprobación de hechos - Integridad - La Confidencialidad
Porque 1 el usuario se identifica 2 accede a cierto módulo del sistema registrando la hora del acceso 3 se registra la relación entre los movimientos y el objetivo de las transacciones 4 los datos pasan un proceso de encriptación o restricción de acceso de usuarios 5 se asegura que el usuario esté operando en secciones de datos que cumplen con reglas de restricción de acceso.

Martin Paez

student•

Me agrada mucho tu priopirdad de seguridad. Es como un orden mas natural del proceso

David Valecillo

student•

**Atributo Seguridad: ** Cuanto el sistema protege la información de sus usuarios, cuanto el sistema sabe identificar a los usuarios y cuanto el sistema puede conectar a cada usuario con la información a la que puede o no puede acceder.

Confidencialidad: trata de como el sistema conecta al usuario con lo que puede o no puede acceder, como autoriza a acceder a ciertas partes de información. ejm: redes sociales.
Integridad: Cuanto el sistema toma recaudos para proteger esa información de usuario o atacantes que no deberían tener acceso a esa información. Ejm sistemas médicos y bancarios.
Comprobación de hechos: es territorio legal y se basa en como hace el sistema para garantizar que algo realmente paso. Ejm firmas digitales o logs de auditorias.
Traza de responsabilidad: como podemos conectar una acción con la entidad del usuario o el sistema que lo realizo. Es decir conectar cada acción con su responsable. Ejmp. logs de auditoria con visibilidad de responsables.
Autenticidad: Como el sistema logra identificar al usuario. Ejm aplicaciones web con autenticacion, autenticacion en dos factores etc.

La técnica mas importante para medir la seguridad y para garantizarla es la de Penetration Testing.

Viberth Gonzalez

student•

muy buen post

Antonio Rafael González Ferrer

student•

Apuntes:

Seguridad

Cuánto el sistema protege la información de sus usuarios, sabe identificar a sus usuarios y cuánto el sistema puede conectar a cada usuario con qué información puede o no puede acceder.

Confidencialidad. Trata de cómo el sistema conecta a un usuario con lo que puede o no puede acceder, es decir, cómo el sistema autoriza a cada usuario acceder a cierta parte de la información.

Integridad. Cuánto el sistema toma recaudos para proteger la información de atacantes o de usuarios que no deberían de acceder a ella.

Comprobación de hechos. Cómo hacer para garantizar que algo realmente pasó. Cómo hacer para conectar el estado actual del sistema con el hecho de que cada una de las cosas que pasaron, cada acción que un usuario tomó llegó a ese estado.

Traza de responsabilidades. Habla de cómo podemos conectar cada acción que sucedió en el sistema con la entidad, el usuario o el sistema mismo que lo hizo. Cómo podemos conectar la acción con el responsable.

Autenticidad. Habla de cómo el sistema logra identificar al usuario, qué pasos toma para saber que la persona que está intentando usar el sistema es quién dice que es.

Matias Acosta

student•

Isaac Alejandro Requena Alamo

student•

Sin comentar esto... las clases son muy teoricas jajajaja pero se entiende. Aqui el utimo comentario fue hace tres meses. Eso indica que no todo el mundo lo termina.

Simón Holmquist

student•

A mi me gusta que sea teórico este tema, es muy importante y creo que es mejor tener clara la parte abstracta para poder llevar a cabo buenas practicas en distintos contextos. Es cierto que se hace un poco pesado pero sigue siendo mas entretenido que una clase en un aula creo jajaja ya vere como sigue

cesar augusto cuncanchun galeano

student•

se me dificulata diferenciar entre confidencialidad e integridad, ambas tienen como objetivos la seguridad de la informacion de usuario no autorizados. Cual es la diferencia?

Anibal Rojas

teacher•

Un ejemplo: Se realiza una operación incorrecta sobre una base de datos, y los datos son alterados de forma no intencional e inadvertida. La Confidencialidad se converva, pero la Integridad no, fue afectada y los datos ya no son útiles, o peor aún nadie se da cuenta y continua la operación con datos erróneos.

Nicolás E. Rozo Espinosa

student•

Debes tener presente, que la integridad hace referencia a la calidad y confiabilidad de los datos, pero la confidencialidad hace referencia a que la información debe se accesible a las personas que solo debe tener la información.

Jenny Karen Guzmán Pulido

student•

Para medir la seguridad se utiliza “Penetration Testing” Sistema para métricas convencionales que son muy difíciles de llevar y consiste en ataques reales de manera artificial y controlado.

Fernando Torres

student•

Cuándo el profesor explica Integridad, me parece que se confundió, pues lo que menciona va más hacia confidencialidad, sobre todo en su ejemplo de información médica. La integridad más bien se refiere a la capacidad que tendrá el sistema de garantizar que los datos no han sido modificados desde su creación sin autorización. Por ejemplo, cuando decimos que un mensaje se conservó integro (no modificado) y que puede detectarse que fue modificado.

David Steve Yurivilca Yurivilca

student•

Si quiero tener una garantia minima en la comprobacion de hechos y la traza de responsabilidad, que metodos deberia implementar en mi sistema? Seria suficiente implementar un log de acciones donde se puede guardar la fecha, hora, usuario, evento (si fue un insert, update, delete) y valor ingresado en una tabla y registro especifico (indicando la PK del registro).

Alejandro Picado Brenes

student•

¿El subatributo de integridad no tiene que ver con que los datos que maneje el sistema se garanticen completos y exactos o integros? o en que subatributo se maneja eso?

Khalil Vasiliey

student•

Si.

Luis Rodolfo Altuve Cáceres

student•

En el contexto de la arquitectura de software, la seguridad mide cómo el sistema protege la información del usuario. Esto incluye:

Confidencialidad: Garantiza que solo usuarios autorizados accedan a cierta información.
Integridad: Protege los datos de modificaciones por atacantes o usuarios sin permiso.
No repudio: Asegura que las acciones puedan verificarse legalmente (en lugar de 'comprobación de hechos').
Trazabilidad: Conecta cada acción en el sistema con el usuario responsable.
Autenticación: Verifica la identidad de los usuarios para garantizar acceso legítimo.

Julian Guillermo Amado Amado

student•

La comprobación de hechos y la traza de responsabilidad son conceptos relacionados pero distintos en la seguridad del software.

Comprobación de hechos se refiere a la verificación de que una acción realmente ocurrió, a menudo utilizando herramientas como registros de auditoría y firmas digitales para validar eventos.
Traza de responsabilidad se centra en identificar quién realizó una acción en el sistema, conectando a un usuario específico con sus interacciones, utilizando registros que documentan esas acciones.

Ambos son esenciales para garantizar la integridad y seguridad de los sistemas, pero cumplen roles diferentes.

Frandel Corporan Rodríguez

student•

Seguridad

Hablamos de que tanto el sistema protege la información del usuario, lo autentifica, y le gestiona los accesos.

Confidencialidad: Como el sistema relaciona a cada usuario con lo que puede o no puede acceder.
Integridad: Que tan seguro es el sistema.
Comprobación de hechos: Como el sistema puede demostrar de manera veraz cada acción o decisión del usuario.
Traza de responsabilidad: Relacionar cada acción realizada en el sistema el usuario que la ejecuto.
Autenticidad: Como el sistema identifica al usuario o como comprueba que el usuario es quien dice ser.

ANDRES ALFONSO MIRA MEJIA

student•

✅

Donny Daniel Vásquez Ramos

student•

Genial esta clase. Muy buen capítulo!

Los 5 pilares de seguridad en software

Introducción al curso

Curso Profesional de Arquitectura de Software

Atributos de calidad

Qué son los atributos de calidad en software

Cómo medir idoneidad funcional en software

Qué es eficiencia de ejecución en software

Cómo medir interoperabilidad y coexistencia

Qué es la usabilidad y sus 6 dimensiones

Cómo medir confiabilidad en software