Scroll to top
© 2018, SYNTONIZE Digital Pulse

Seguridad en el desarrollo de apps

La seguridad al programar las apps es uno de los temas que más preocupan a nuestros desarrolladores. Al mismo tiempo, es algo muy importante tanto para los clientes como para los usuarios de las apps. Especialmente cuando al descargar una app piden tantos permisos para acceder al contenido del teléfono móvil: imágenes, contactos, datos, conexiones, etc.

Autenticación vs autorización

Ambos términos se aplican a menudo de manera conjunta en temas de seguridad en las apps. Son dos conceptos clave para la infraestructura de una solución digital. Autenticación se refiere a confirmar la propia identidad. Mientras que autorización significa otorgar acceso al sistema. Para simplificarlo, la autenticación es el proceso de verificar quién es el usuario, y la autorización es el proceso de verificar a qué se tiene acceso.

Mientras que la autenticación se enfoca en determinar que el usuario es quien dice ser, la autorización se encarga de controlar qué acciones puede realizar el usuario.

En los últimos años, la autenticación ha mejorado mucho. Según el nivel de seguridad, la autenticación puede ser:

  • Autenticación de factor único. Es el método de autenticación más simple. Se basa en una contraseña simple para dar acceso al usuario en un sistema concreto.
  • Autenticación de dos factores . Se trata de un proceso de verificación en dos pasos. No solo requiere un nombre de usuario y contraseña, también algún dato que solo el usuario conoce. Garantizando un nivel de seguridad adicional.
  • Autenticación multi-factor. Este método de autenticación es el más avnzado. Con categorías independientes de autenticación para dar acceso al usuario en el sistema. Para eliminar potenciales amenazas en el sistema todos los factores necesarios deben ser independientes entre sí. Los bancos, organizaciones financieras y empresas publicas utilizan la autenticación de factores múltiples para cuidar sus datos

Por su parte, la autorización se produce después de que el sistema haya autenticado con éxito la identidad del cliente. Una vez que el sistema verifica la identidad del usuario, este puede acceder a los recursos del sistemas (información, archivos…). Se trata del proceso para determinar si el usuario autenticado tiene acceso a los datos particulares.

Ambos términos se usan a menudo conjuntamente. Pero tienen conceptos y significados totalmente diferentes. Cruciales para la infraestructura de soluciones digitales, especialmente cuando hablamos de seguridad en apps.

Cómo nos aseguramos en Syntonize de desarrollar apps seguras
  • Estableciendo un control de acceso. Centrado en el  usuario, que le permita acceder o restringir el uso de su información.
  • Pedir autenticación. Con una identidad única y una contraseña que únicamente conozca el usuario.
  • En cuanto a seguridad y confidencialidad. Aplicando el estándar AES (Advanced Encryption Standard). 
  • Usando al menos un código de autenticación basado en clave simétrica. Como AES.
  • Las apps que desarrollamos presentan a los usuarios una política de privacidad clara. Que explica a los usuarios el uso de los datos, el propósito de los mismos, los métodos de privacidad usados, sus derechos y un método de contacto.
  • Con TLS (Transport Layer Security) y métodos de encriptación o redes privadas virtuales.
  • Guardando los datos el tiempo necesario para el propósito establecido, no más.
  • En las comunicaciones con wearables, utilizamos métodos criptográficos para la autenticación de los dispositivos y la distribución de la clave.
  • Estableciendo alertas para los fallos de seguridad. Ayudamos al usuario a aliviar los posibles daños causados por las brechas en seguridad.