ANÁLISIS TEÓRICO SOBRE LAS APLICACIONES MÓVILES Y SEGURIDAD

Por:

Wilmer Hernandez Doria

Pedro Guzmán Ortega

Fundación universitaria tecnológico Comfenalco

Programa de ingeniería de sistemas

Cartagena col.

2018
 Contenido
Introducción ............................................................................................................. 4

Descripción........................................................................................................... 6

Antecedentes ....................................................................................................... 8

Objetivos ............................................................................................................ 12

Objetivos específicos ........................................... Error! Bookmark not defined.

Finalidad del proyecto ........................................................................................ 12

Marco teórico ......................................................................................................... 13

Aplicaciones móviles .......................................................................................... 13

Diferencias entre aplicaciones web y móviles .................................................... 13

s. o Android ........................................................................................................ 14

Arquitectura de Android ...................................................................................... 15

 Aplicaciones: ................................................................................................ 16

 Marco de trabajo de aplicaciones:................................................................ 16

 Bibliotecas: ................................................................................................... 16

 Runtime de Android: .................................................................................... 16

 Núcleo Linux: ............................................................................................... 17

Aplicaciones en Android ..................................................................................... 17

Dispositivos móviles en Latinoamérica ............................................................... 17

Principios de seguridad de sistemas .................................................................. 19

Normatividad legal para el desarrollo de las apps .............................................. 21

La triada CIA ...................................................................................................... 22

Propiedad intelectual .......................................................................................... 22

 Propiedad Industrial (la marca y el diseño industrial) ......................................... 22

La marca ............................................................................................................ 23

• ¿Cómo consultar antecedentes marcarios? ..................................................... 24

• ¿Cuáles son los derechos otorgados a quien registra su marca? ................... 24

• Acciones que pueden interponerse para defender derechos marcarios .......... 25

Diseños Industriales ........................................................................................... 26

¿Cómo consultar los antecedentes de un diseño industrial? ............................. 27

¿En cuáles casos pueden considerarse la exclusión de la protección? ............. 28

Derechos de Autor ............................................................................................. 28

Facultades generales para el titular de los derechos de autor ........................... 29

Titularidad reconocida por la ley......................................................................... 29

Normativa de protección de datos personales ................................................... 30

Consideraciones básicas del tratamiento de datos personales .......................... 30

Normativa de comercio electrónico ................................................................... 31

Aplicación de los requisitos jurídicos de los mensajes de datos ........................ 31

Normativa de consumo. Ley 1480 de 2011, estatuto del consumidor ................ 33

Condiciones de uso en plataformas de distribución de apps ............................. 33

Tienda App Store de Apple ................................................................................ 34

Términos de uso de las apps ............................................................................ 36

Resultados ............................................................................................................. 39

Conclusiones ........................................................... Error! Bookmark not defined.

Bibliografía ............................................................................................................. 42
 Introducción
Desde hace un tiempo que existen cuestionamientos a la forma en que las
empresas gestionan la seguridad de sus sistemas y aplicaciones web disponibles
para los usuarios. A eso se añaden los riesgos asociados al desarrollo de
aplicaciones móviles, los cuales de no ser controlados podrían significar que sus
usuarios sean víctimas de ataques a la confidencialidad de su información1.

Ahora bien, el desarrollo de aplicaciones para aparatos móviles (smartphones,

tablets, etc.)2 Es distinto al desarrollo de aplicaciones para equipos de escritorio.
Hay que partir considerando la forma de interacción con éstos: Ya no se usa la
pantalla para ver información, el teclado para ingresar información, y el mouse
para apuntar a información.

En los dispositivos móviles, es la pantalla la que sirve para las tres funciones
mencionadas. Además, esta pantalla es considerablemente más pequeña que la
de los equipos de escritorio, y el dispositivo para apuntar e ingresar información al
dispositivo es el dedo del usuario, cuya precisión es mucho menor a la del puntero
del mouse, ya que la superficie relativa del espacio de la pantalla es más
pequeña3.

Finalmente, está el tema de la plataforma. Cada aparato tiene un sistema

operativo el cual es derivado de una plataforma móvil, la cual funciona mediante
una API7 a la cual acceden los desarrolladores mediante un SDK8 , el cual
funciona en base a uno o varios lenguajes de programación. Hoy en día, existen
cuatro formas de desarrollar aplicaciones móviles para estas plataformas: Web,
nativa, híbrida y web embebida4.

Esta investigación realiza un estudio teórico sobre las aplicaciones móviles y las
normativas de seguridad asociadas a las mismas, ya que es necesario estudiar la

1 C. Perrin, “The CIA triad,” TechRepublic Security Blog, 2008

2 G. McGraw, Software security: Building security in, vol. 1.
3 “LEAPP” (30 de Abril de 2012).
4 G. McGraw, Software security: Building security in, vol. 1.
seguridad de las aplicaciones lanzadas al mercado, teniendo en cuenta que las
consecuencias de un ataque pueden ser las siguientes: Filtración de datos
personales del usuario de la aplicación. Robo de credenciales (ej. login/password)
del usuario, las cuales podrían ser reutilizadas por los atacantes para acceder a su
información bancaria, o peor aún, realizar transacciones monetarias en su nombre.
Descripción del problema
Teniendo en cuenta de que la seguridad, en un sistema de información, se define
como la capacidad de un sistema de funcionar adecuadamente, aún dentro de un
entorno hostil. Al momento de ser más específicos y hablar de seguridad de
software, esta se define como la construcción de software que sea capaz de
funcionar correctamente bajo ataque malicioso. Dos conceptos que son base para
cualquier análisis de seguridad de software como el propuesto en este trabajo, son
la triada CIA y los conceptos de identificación, autentificación y autorización5.

Aunque muchas aplicaciones almacenan información en áreas del teléfono, las

cuales durante su operación normal no debieran ser accesibles por el usuario ni
por otras aplicaciones. Por ejemplo, en la plataforma Android, cada aplicación
tiene un área de almacenamiento para sí, inaccesible por parte de otras
aplicaciones y por parte de usuarios que accedan a la memoria interna del aparato
(vía USB o exploradores de archivos), esto si el usuario no ha rooteado su equipo.
Si eso ocurre el usuario podría acceder a información la cual supone que no
debería poder verse o modificar.

Sin embargo, Hoy en día la penetración de la computación móvil es tal, que

manejamos mucha información en nuestros equipos: Datos personales, contactos,
fotos, ubicación geográfica, etc. También dejamos lo que se conoce como traza
digital: Los sitios que visitamos, las redes inalámbricas a las cuales nos
conectamos, las acciones que realizamos en las aplicaciones que ocupamos. Esta
traza digital permite que las organizaciones que desarrollan aplicaciones móviles
puedan hacer profiling acerca de nosotros6: Esto quiere decir que no sólo pueden
obtener de nosotros nuestro género, dirección física, edad, etc., sino que también
pueden inferir cosas como nuestra religión, nivel educativo, costumbres de
compra, tendencia política, preferencia sexual, etc., la mayor parte del tiempo sin
nosotros saberlo. Esto ocurre en particular en aplicaciones gratuitas que usan

5 C. Perrin, “The CIA triad,” TechRepublic Security Blog, 2008

6 “LEAPP” (30 de Abril de 2012).
publicidad para obtener ganancias, ya que los proveedores de publicidad (ej.
Google), al tener múltiples clientes, fuentes de información, y usuarios, pueden
determinar todos aquellos datos, incluso sin nuestro consentimiento7.

Por lo anterior, podemos deducir que el uso de las aplicaciones necesariamente

representa un riesgo para los usuarios, ya que estos ofrecen información personal
al momento de hacer la instalación. En este sentido y para mantener la
seguridad, las empresas buscan desarrollar las aplicaciones de tal manera que no
almacene ninguna información crítica directamente en el dispositivo. Si es
necesario almacenarla, deberá hacerse de forma segura. Este trabajo describe los
avances en seguridad de APPS en las últimas décadas y la importancia de esta
temática para los usuarios y desarrolladores.

7 R. Johnson, Z. Wang, C. Gagnon, A. Stavrou, “Analysis of android applications’ permissions,”

Antecedentes
Jorge Iván Escobar Martínez y Luis Carlos Quinto Rojas, en su tesis:
“Vulnerabilidad en dispositivos móviles con sistema operativo Android” presentada
en el tecnológico de Antioquia en el año 2015; consideran que: El sistema
operativo (S.O.) Android en dispositivos móviles es uno de los más usados en el
mercado con un porcentaje del 48.96%. La vulnerabilidad, también entendida
como fallos de seguridad, está relacionada con todo aquello que altera o provoca
pérdida de información mediante amenazas en un sistema. Los incidentes de
seguridad en dispositivos con S.O. Android se han incrementado de manera
alarmante debido a la preferencia de sus usuarios, esto los hace más vulnerables
de ser atacados. Se presenta un alto riesgo de vulnerabilidad en la violación de
información confidencial de las personas que administran estos dispositivos. De
acuerdo con esto, en este artículo se pretende reflexionar acerca de los aspectos
más relevantes en dicho problema de seguridad que afecta a las terminales con
S.O. Android, y se describen las amenazas más frecuentes que se presentan.
Además, se dan posibles recomendaciones para lograr minimizar los riesgos de
seguridad que se presentan en estas terminales.

La tendencia en equipos móviles con S.O. Android apunta a que ésta siga siendo
la plataforma más utilizada para dispositivos móviles en el mercado. Su
popularidad y difusión han hecho que esta plataforma sufra las más diversas
amenazas y vulnerabilidades informáticas, siendo el blanco favorito de los
cibercriminales. En este artículo se da un breve repaso a los problemas de
seguridad en dispositivos móviles, enumerando los posibles inconvenientes más
comunes, sucedidos cuando los usuarios no protegen sus equipos y la información
contenida en ellos con herramientas de seguridad. En este texto se describe la
importancia de considerar o aplicar buenas prácticas de seguridad que pueden ser
decisivas al momento de que el dispositivo sea víctima de un ataque o robo, ya
sea del equipo o de la información. La seguridad informática debe ser considerada
como una inversión; se trata de tiempo y esfuerzo bien invertidos, ya que previene
riesgos y mitiga los efectos nocivos que acarrea ser víctima de cibercriminales.

Por otra parte, Cristian GIovanny Toro Sánchez Jesús Alfredo Vargas CARVAJAL
Marien Hernández Vega en su trabajo “guía para validar el nivel de seguridad de
los permisos y uso de recursos de una aplicación móvil bajo plataformas android”
presentada en la universidad católica de Colombia en 2015 consideran: El uso de
App móviles dentro de una organización, genera nuevos problemas de seguridad,
puesto que existen personas e incluso organizaciones inescrupulosas, que están
aprovechando las necesidades actuales creadas por la tecnología y tratan de
incorporar elementos maliciosos en busca de vulnerabilidades dentro de estas
aplicaciones con el fin de obtener, robar o manipular información que puede
afectar el bienestar de los usuarios u organizaciones. Partiendo de lo anterior, el
principal reto de este proyecto era generar una guía que permitiera validar un App
móvil determinando su nivel de seguridad, para ello se buscaron y clasificaron las
principales vulnerabilidades de las aplicaciones desarrolladas bajo la plataforma
Android tomando como referencia la norma NIST 800-163, y se enumerarán
algunos controles basados en la norma ISO 27001, con el fin de proveer al usuario
una herramienta que le permita bajo un estándar reconocido, establecer un nivel
de seguridad aceptable y mitigar el riesgo de que estás vulnerabilidades sean
explotadas. La guía también tiene como finalidad brindar a las organizaciones un
apoyo en sus procesos de desarrollo y adquisición de tecnología móvil, ya que
parte desde el reconocimiento de los requisitos de seguridad que tiene la
compañía, apoyo logístico en sus procesos de validación y aprobación/rechazo de
una App. El alcance del proyecto partió de la clasificación de vulnerabilidades,
escogiendo las vulnerabilidades que se presentan en los permisos y el uso de los
recursos de las App móviles; y se justifica principalmente en la gran importancia
que tiene la seguridad de la información para las organizaciones, y como esa
seguridad también debe ser evaluada en las App móviles que se usan para apoyar
los procesos del negocio, permitiendo que los usuarios puedan trabajar de manera
eficiente, rápida, pero con niveles óptimos de seguridad para la organización y
para ellos mismos. La metodología usada fue HPVA, ya que enmarca la
generación de proyectos y la realización de la guía generada. Dentro de los
resultados obtenidos esta la caracterización de vulnerabilidades y su clasificación,
que permitió limitar el alcance del proyecto, posteriormente se validaron los
dominios de la norma ISO 27001 para poder encontrar los controles que cubrían
esas vulnerabilidades; de estos dos resultados se genera un anexo a la guía
propuesta, en donde hay un cuestionario detallado y graficado, y con
recomendaciones para el usuario. Finalmente se construyó un documento guía
para poder validar el nivel de seguridad de una App móvil bajo plataforma Android
y se validó en el Ministerio de Medio ambiente.

Por último, Almudena González en tu trabajo: “modelos de seguridad para

móviles” presentado en la UNAD 2016 concluye que:

Los smartphones se convierten en objetivo para los agentes maliciosos cuando

son hackeados para descargar aplicaciones de otros sistemas operativos o
cambiar de compañías de telefonía móvil (la común ‘apertura de bandas’).

2. Evitar abrir archivos adjuntos de correo electrónico en el teléfono. Así como

funciona el malware en computadores, los archivos adjuntos abiertos en móviles
pueden contener programas maliciosos.

3. Evitar hacer clic en enlaces de mensajes de texto. El spam puede contener

enlaces a sitios web maliciosos.

4. Tener cuidado con las aplicaciones. Antes de descargar una aplicación, revisar
los recursos de sistema que esta requiere. Además, es necesario realizar
actualizaciones de las aplicaciones ya instaladas, para poner parche a las
vulnerabilidades.

5. Tener cuidado con posibles sitios de phishing durante el uso del navegador
móvil. Al usar un navegador, se recomienda seguir las mismas precauciones en el
teléfono como se haría en un computador. Así mismo, se recomienda teclear la
dirección del sitio directamente en el navegador y si hace clic en un enlace hacia
una nueva página, comprobar la URL para asegurarse de que no ser redirigido a
un sitio desconocido.

6. Apagar la función de bluetooth de los dispositivos cuando no se esté utilizando.

Cualquier persona con un teléfono con bluetooth puede espiar fácilmente la
actividad en otro teléfono, las llamadas y mensajes de texto.

7. Bloquear el teléfono y activar el borrado remoto. Limpiando la memoria podrá

evitar que ladrones accedan a información personal en el teléfono.

8. Instalar un software antimalware, que ofrezca las últimas tecnologías móviles,

incluyendo una protección superior antimalware y antirrobo para dispositivos
Android, junto con otros servicios críticos
Objetivos
Conocer la importancia de la Seguridad en el desarrollo de aplicaciones móviles,
con el fin de entender los problemas de seguridad más recurrentes y significativos
a los que se exponen los usuarios.

Por lo anterior, se estipula el cumplimiento de los siguientes ítems:

 Indagar sobre la historia de las aplicaciones y la seguridad de las mismas.

 Conocer los riesgos y los problemas de seguridad más recurrentes y
significativos a los que son expuestos los usuarios.
 Estudiar la Normatividad legal para el desarrollo de las apps

Finalidad del proyecto

Esta monografía tiene como fin, dar a conocer la importancia de la seguridad y el
tratamiento de la información personal en aplicaciones móviles para prevenir
riesgos futuros o posibles afecciones a sus usuarios.
 Marco teórico

Aplicaciones móviles
Las aplicaciones, también llamadas apps, están presentes en los teléfonos desde
hace tiempo; de hecho, ya estaban incluidas en los sistemas operativos de Nokia
o Blackberry años atrás. Los móviles de esa época, contaban con pantallas
reducidas y muchas veces no táctiles, y son los que ahora llamamos feature
phones, en contraposición a los smartphones, más actuales8.

En esencia, una aplicación no deja de ser un software. Para entender un poco

mejor el concepto, podemos decir que las aplicaciones son para los móviles lo que
los programas son para los ordenadores de escritorio9.

El auge que han tenido los dispositivos móviles como tablets o teléfonos
inteligentes en los últimos años, ha permitido que una gran cantidad de
necesidades que surgen en el día a día del ser humano, se vean solucionadas por
medio de aplicaciones instaladas en este tipo de dispositivos, tales como las
aplicaciones de agendas electrónicas, noticias, directorios y mapas para ubicar
ciertos lugares, etc. Actualmente, una gran diversidad de usuarios finales optan
por utilizar más un dispositivo móvil que una computadora portátil o de escritorio.
Esto se ve reflejado en que la tasa de conexiones a internet desde una
computadora ha disminuido en los últimos años, razón por la cual existen muchas
aplicaciones para dispositivos móviles enfocadas a las diferentes plataformas que
utiliza cada uno de ellos10.

Diferencias entre aplicaciones web y móviles

Las aplicaciones comparten la pantalla del teléfono con las webs móviles, pero
mientras las primeras tienen que ser descargadas e instaladas antes de usar, a
una web puede accederse simplemente usando Internet y un navegador; sin
embargo, no todas pueden verse correctamente desde una pantalla generalmente
más pequeña que la de un ordenador de escritorio.

8 A. Hevia, “CC51D - Seguridad de Datos,” Departamento de Ciencias de la Computación

9 R. Johnson, Z. Wang, C. Gagnon, A. Stavrou, “Analysis of android applications’ permissions,”
10 “LEAPP” (30 de Abril de 2012).
Las que se adaptan especialmente a un dispositivo móvil se llaman «web
responsivas» y son ejemplo del diseño líquido, ya que se puede pensar en ellas
como un contenido que toma la forma del contenedor, mostrando la información
según sea necesario. Así, columnas enteras, bloques de texto y gráficos de una
web, pueden acomodarse en el espacio de una manera diferente o incluso
desaparecer de acuerdo a si se entra desde un teléfono, una tableta o un
ordenador.

Por ejemplo, las aplicaciones pueden verse aun cuando se está sin conexión a
Internet, además, pueden acceder a ciertas características de hardware del
teléfono como los sensores, capacidades que actualmente están fuera del alcance
de las webs. Por lo anterior, puede decirse que una aplicación ofrece una mejor
experiencia de uso, evitando tiempos de espera excesivos y logrando una
navegación más fluida entre los contenidos11.

s. o Android12
El Sistema operativo Android, es el conjunto de programas básicos que se utilizan
los dispositivos móviles con pantalla táctil.

Entre estos dispositivos, encontramos los teléfonos y relojes inteligentes, las

tabletas, televisores y automóviles.

Este Sistema operativo Android, es de código abierto, gratuito y no requiere del

pago de licencias. Hoy en día es el más usado, siendo en consecuencia, uno de
los mejores.

El nombre de Android, en español "androide", está relacionado con la novela

escrita por Phillip K. Dick, titulada "¿Sueñan los androides con ovejas eléctricas?",
y, de hecho, el símbolo del Sistema operativo Android es el robot "Andy"13.

El corazón de este sistema, está dirigido por un núcleo (Kernel) sin el cual, no
podría ubicar los componentes básicos del dispositivo, como por ejemplo, el tipo
de procesador, los parámetros de uso, una conexión WiFi o la mismísima cámara
fotográfica. Este núcleo también funciona como si fuera una capa separadora
entre el hardware y el resto de la pila de software.

11 DRAKE, Joshua; FORA; Pau Oliva; ZA Lanier; COLLIN, Mulliner. Etal. Android Hackers’s
handbook. Indianapolis: John Wiley & Sons, Inc., 2013, 577 p.
12 ANDROID OS (2012). HISTORIA DE ANDROID. [Citado: Mayo 28 de 2015].
13 R. Johnson, Z. Wang, C. Gagnon, A. Stavrou, “Analysis of android applications’ permissions,”
Actualmente se considera uno de los modelos de negocio de mayor éxito; esto se
ve reflejado en las cifras que presentó International Data Corporation (IDC), donde
Android está en cada tres de cuatro teléfonos que se vendieron en el tercer cuarto
del 2012. Esto es un crecimiento del 91.5 % en un año donde el mercado creció
casi al doble al anterior, cuando obtuvo un 46.4 % del mercado durante el 2011.

Es también el sistema operativo móvil que más se utiliza por parte de las
compañías de telecomunicaciones y que más aceptación tiene por parte de los
usuarios, ya que hay 136 millones de teléfonos Android (a nivel mundial) en el
período de julio a septiembre del 2012, lo que equivale al 75 % del total de
teléfonos vendidos en ese lapso (181 millones). Cuenta también con una
plataforma para crear aplicaciones y un sitio para la distribución de estas
(marketplace).

Arquitectura de Android
La principal plataforma que utiliza Android es ARM, que es una arquitectura RISC
(ordenador con conjunto de instrucciones reducidas) de 32 bits. El núcleo del
sistema es Linux en su versión 2.6. Una de las grandes ventajas que muestra la
arquitectura de este sistema operativo, es que esta se encuentra formada por
diferentes capas, lo cual es de beneficio para los desarrolladores ya que por medio
de librerías no es necesario programar a bajo nivel las funcionalidades de su
aplicación14.

14 A. Hevia, “CC51D - Seguridad de Datos,” Departamento de Ciencias de la Computación

  Aplicaciones: incluyen un cliente de correo electrónico, programa de SMS,
calendario, mapas, navegador, contactos y otros. Todas ellas escritas en
Java.

 Marco de trabajo de aplicaciones: los desarrolladores tienen acceso

completo a los mismos APIs del framework usados por las aplicaciones
base. La arquitectura está diseñada para simplificar la reutilización de
componentes; cualquier aplicación puede publicar sus capacidades y
cualquier otra aplicación puede luego hacer uso de esas capacidades.

 Bibliotecas: incluye un conjunto de bibliotecas de C/C++ usadas por varios

componentes del sistema15.

 Runtime de Android: incluye un set de bibliotecas base que proporcionan

la mayor parte de las funciones disponibles en las bibliotecas base del

15 MINTIC, M. d. (15 de Junio de 2016). Apps.co. Obtenido de Apps.co

 lenguaje Java. Cada aplicación Android corre su propio proceso, con su
propia instancia de la máquina virtual Dalvik.

 Núcleo Linux: Android depende de Linux para los servicios base del
sistema como seguridad, gestión de memoria, gestión de procesos, pila de
red y modelo de controladores. También actúa como capa de abstracción
entre el hardware y el resto de la pila de software.

Aplicaciones en Android
La estructura del sistema operativo Android se compone de aplicaciones que se
ejecutan en un framework Java de aplicaciones orientadas a objetos sobre el
núcleo de las bibliotecas de Java en una máquina virtual Dalvik con compilación
en tiempo de ejecución.

Las bibliotecas escritas en lenguaje C incluyen un administrador de interfaz gráfica

(surface manager), un framework OpenCore, una base de datos relacional SQLite,
una Interfaz de programación de API gráfica OpenGL ES 2.0 3D, un motor de
renderizado WebKit, un motor gráfico SGL, SSL y una biblioteca estándar de C
Bionic.

Dispositivos móviles en Latinoamérica

De acuerdo con Euromonitor International, Latinoamérica tuvo el mercado con el
mayor crecimiento en volumen de ventas al por menor en cuanto a dispositivos
móviles en el 2018, con un aumento de 61 % en tablets y 414 % en teléfonos
inteligentes respecto del año anterior.1 Las estadísticas reflejan que Brasil y
México son los países con el mercado más grande para la telefonía móvil en
relación con unidades vendidas. Algunos otros países o regiones donde se reflejó
este fenómeno son16:

 Brasil: 227.4 millones de celulares, estadísticamente 11.65 celulares por

habitante.

16 MINTIC, M. d. (15 de Junio de 2016). Apps.co. Obtenido de Apps.co

 México: 96.2 millones de celulares, estadísticamente 8.87 celulares por
habitante.

 América Central: 52 millones de habitantes de celulares, estadísticamente 12.24

celulares por habitante.

 El Caribe: 22.9 millones de celulares, estadísticamente 5.88 celulares por

habitante. De los celulares vendidos durante este período, el 40 % fueron
destinados a personas entre 25 y 35 años de edad, respectivamente.

El incremento de usuarios que utilizan este tipo de dispositivos repercute en

muchos aspectos. Uno de ellos es el uso que se le da a una conexión a internet
desde una computadora, ya que años atrás las personas se conectaban con
mayor frecuencia desde una computadora para realizar ciertas actividades como
chatear, redes sociales, correo electrónico. Actualmente las principales actividades
son el correo electrónico, bancas en línea y compras en sitios web.

Chatear y ver redes sociales se ha disminuido considerablemente, ya que es uno

de los principales atractivos para un usuario al momento de adquirir un dispositivo
móvil, así como lo es también el poder enviar y recibir imágenes o videos. Según
CentralAmericaData, en Guatemala durante el 2018 la telefonía celular alcanzó
casi los 21 millones de usuarios, incrementándose así un 6.7 % en comparación
con el 201717.

Hugo Barra confirmó a inicios del presente año que se tiene un promedio de 1,3
millones de celulares con el sistema operativo Android nuevos por día,
convirtiéndose así en el sistema operativo móvil más utilizado a nivel mundial; Es
importante mencionar que con el lanzamiento del Iphone 5 se tiene una
proyección de ventas para finales de este año de 527 millones de unidades. Es
decir alcanzará la marca de Android el próximo año; esto en cuanto a unidades
activadas, no así en usuarios que utilicen el sistema operativo. De acuerdo con las

17 G. McGraw, Software security: Building security in, vol. 1.

publicaciones de IDC del 18 de agosto del 2017, se puede ver claramente que
Android es el sistema operativo líder a nivel mundial, seguido por iOS18.

Principios de seguridad de sistemas

En 1975, Saltzer y Schroeder publican el que probablemente es la principal
referencia en seguridad de la información [9]. En su paper, definen ocho principios
de seguridad de sistemas de información. Estos principios son los siguientes:

1. Economía de mecanismos: Se deberá mantener el sistema lo más simple

posible, ya que la revisión y corrección de código vulnerable se torna más difícil en
entornos complejos. Ejemplo de tal complejidad es el fenómeno de la
fragmentación, el cual se observa en plataformas móviles, y se manifiesta a través
de las diferencias entre tamaños de pantalla, hardware y configuraciones
observadas dentro de una misma plataforma móvil, lo cual causa que el código
creado dependa muchas veces de diferentes configuraciones de hardware, lo cual
lo hace más complejo, por lo tanto propenso a errores, y finalmente a
vulnerabilidades.

2. Política por defecto a prueba de fallos: Este principio define una política base
para el desarrollo de cualquier sistema de información, estableciendo lo que se
conoce como una política de inclusión, vale decir, parte de una base en la cual se
niega el acceso a todos los recursos del sistema de información, para ir
añadiendo, a medida que se van requiriendo, los permisos de acceso a diferentes
recursos del sistema. Ejemplo de esto en aplicaciones móviles es el hecho de que,
previo a su instalación, éstas parten sin ningún privilegio de acceso a recursos del
aparato, y, dependiendo del modelo de permisos de la plataforma, es el usuario el
que le provee los permisos mediante una lista blanca.

3. Completa mediación: Aquí se establece que toda vez que un sujeto (sistema,
usuario, programa, etc.) requiera el acceso sobre un objeto (recurso), los permisos
del sujeto sobre el objeto deben ser verificados. Esto quiere decir que no basta

18 Google Play. Obtenido de Google Play

con que, por ejemplo, un usuario esté autentificado ante un sistema para acceder
a los recursos de éste, sino que también se debe establecer qué recursos está
autorizado a acceder y qué puede hacer con ellos, además de verificar tales
autorizaciones cada vez que el usuario quiera hacer uso de ellos.

4. Diseño abierto: El diseño de los sistemas no puede depender de secretos para

reforzar su seguridad. Esto va en contra de la filosofía de la “Seguridad a través de
la oscuridad”5 que se basa en confiar la seguridad de un sistema de información
en el secreto de su implementación. Un ejemplo clásico en este sentido es el
Principio de Kerckhoffs, el cual establece que un algoritmo criptográfico no debe
basar su seguridad en el secreto de su diseño, sino que en el largo de su(s)
llave(s) de cifrado.

5. Separación de privilegios: La seguridad de un sistema se refuerza mediante la

participación de múltiples actores para realizar acciones riesgosas sobre el
sistema. Por ejemplo, antiguamente para lanzar un misil nuclear se requería el uso
de dos llaves, cada una de ellas operada por una persona diferente19

6 . Un ejemplo más moderno es el uso de 2FA para sistemas bancarios y algunas

aplicaciones como GMail y Amazon Web Services.

6. Privilegio mínimo: Cualquier sujeto puede tener sobre un objeto sólo los
permisos que éste requiere para realizar su labor, y nada más. Un ejemplo de
violación de este principio es el abuso de permisos solicitados por aplicaciones,
como el ocurrido en el caso de la aplicación “Brightest Flashlight”, cuyo propósito
era usar la luz de la cámara del teléfono como linterna, pero además del permiso
para usar la linterna, solicitaba permisos como acceso a los contactos del teléfono,
GPS, etc20.

19 DRAKE, Joshua; FORA; Pau Oliva; ZA Lanier; COLLIN, Mulliner. Etal. Android Hackers’s
handbook. Indianapolis: John Wiley & Sons, Inc., 2013, 577 p.
20 C. Perrin, “The CIA triad,” TechRepublic Security Blog, 2008
7. Mecanismo menos común: Este principio establece que se deben reducir los
mecanismos comunes entre sujetos con diferentes niveles de privilegios. A
diferentes grupos de sujetos se les asignan diferentes grupos de permisos, lo cual
causa que si se logra doblegar la seguridad de un grupo de sujetos (o un sujeto
perteneciente a este grupo), los daños causados a sus recursos sean limitados y
no extensibles a todo el sistema. Ejemplo de esto es el hecho de que las
plataformas móviles impiden el acceso de usuarios a áreas de superusuario (root).

8. Aceptabilidad psicológica: La inclusión de seguridad en un sistema conlleva una

penalización en su usabilidad. Se debe buscar el equilibrio entre estas dos
propiedades. Es esencial que la interfaz de usuario sea lo más fácil de usar
posible, ya que con ello los usuarios podrán aplicar los mecanismos de protección
adecuadamente y los errores se minimizan.

Normatividad legal para el desarrollo de las apps

Normativa de protección de datos personales, comercio electrónico, normativa de
consumo, propiedad intelectual, sin desconocer que adicionalmente hay que
contemplar la elaboración de unos buenos términos de uso y que se debe tener en
cuenta que las plataformas de distribución de APPs imponen sus propias
condiciones para acceder a sus servicios. Por otra parte, es de especial interés
denotar que la normativa vigente acerca de aspectos de consumo, protección de
datos personales y de propiedad intelectual son regulados en el territorio nacional
por la Superintendencia de Industria y Comercio, por medio de sus delegaturas
especializadas, estas son: la delegatura para la protección del consumidor,
delegatura para la protección de datos personales y la delegatura para la
propiedad industrial.
La triada CIA21
La triada CIA es un modelo que permite desarrollar políticas de seguridad,
identificar áreas problemáticas y soluciones necesarias para la seguridad
mediante sus tres componentes fundamentales:

Confidencialidad: Los activos de información deben estar disponibles para ser

vistos sólo por quienes corresponde y se deben impedir accesos no autorizados a
ellos.

Integridad: Los datos deben ser protegidos de ser modificados o borrados por
partes no autorizadas, y en caso de que partes autorizadas hayan realizado
modificaciones que no debieron, éstas deben ser deshechas.

Disponibilidad: Los activos de información deben estar disponibles para aquellas

partes autorizadas las cuales requieran hacer uso de ellos.

Propiedad intelectual
Para conocer la normativa de propiedad intelectual, en primera instancia es
necesario indicar que, la propiedad intelectual obedece a las creaciones
generadas desde el intelecto humano, en cualquiera de los campos que
desempeñe. Es por ello, que en cuanto al ámbito normativo puede definirse como
la protección que otorga la ley a las creaciones intelectuales. Habiendo dicho esto,
es importante indicar que la propiedad intelectual se compone de dos ramas, estas
son: la propiedad industrial y la protección de derechos de autor22.

Propiedad Industrial (la marca y el diseño industrial)

En Colombia, lo referente a temas de propiedad industrial están a cargo de la
Superintendencia de Industria y Comercio, conocida por sus siglas SIC, se trata de
un ente adscrito al Ministerio de Industria, Comercio y Turismo cuya dependencia
a cargo para estos temas es la Delegatura para la Propiedad Industrial. La
propiedad industrial en términos simples, promueven la exclusividad de uso y

21 Google Play. Obtenido de Google Play

22 C. Perrin, “The CIA triad,” TechRepublic Security Blog, 2008
disposición de aquellos resultados que se generen a causa de una inversión
previa, un esfuerzo en labores como investigación, creación e innovación.

El resultado de las actividades anteriormente descritas es lo protegible por medio

de la propiedad industrial, siendo protegible lo referente a: “marcas, patentes de
invención, modelos de utilidad, dibujos, diseños industriales, los esquemas de
trazado o topografías de circuitos integrados, indicaciones geográficas y
denominaciones de origen”. Es de especial interés aclarar que dentro de los
elementos que puede proteger la propiedad industrial y que son de especial
interés por su aplicabilidad en el ámbito de las aplicaciones móviles se encuentran
la marca y los diseños industriales. Es por ello, que se explicaran más a fondo a
continuación:

La marca
Es un tipo de creación intelectual, por ello se habla que son bienes intangibles, es
necesario protegerla dado que a pesar de no ser algo material, si puede dar lugar
a beneficios económicos y, por tanto, desempeña un papel importante en el
desarrollo de las actividades de la empresa. Hay que mencionar además que las
marcas se pueden clasificar en 5 tipos principalmente, según su forma de
presentación: en nominativas, figurativas, mixtas, tridimensionales y sonoras 23.

En definitiva una marca es un distintivo del producto o servicio frente a otras

empresas, considerando que hay otros negocios que desarrollan labores iguales o
similares a las establecidas en nuestro objeto social en las aplicaciones móviles
es común observar marcas de tipo nominativas, figurativas y mixtas, siendo las
dos últimas las más empleadas. Así mismo, es necesario que se tenga en cuenta
algunos aspectos referentes a las marcas: las consideraciones para su registro,
cómo consultar los antecedentes marcarios, los derechos que se adquieren al

23 MINTIC, M. d. (15 de Junio de 2016). Apps.co. Obtenido de Apps.co

registrarla y las acciones administrativas con que se cuenta para defenderla, entre
otros24.

• ¿Cómo consultar antecedentes marcarios?

Cuando alguien desea averiguar los antecedentes de marca para asegurar la
originalidad de su creación, se posee dos alternativas principalmente: consultar de
manera independiente o hacer una solicitud formal de consulta ante la SIC. La
primera consiste en una búsqueda informal en las bases de datos de la SIC, son
consultas no vinculantes, se realiza empleando la página WEB de la SIC aplicando
ciertos criterios de búsqueda como lo son marcas, lemas, nombres, enseñas
comerciales (signos que pueden percibirse visualmente y que identifican los
establecimientos de comercio), en este tipo de consulta también es posible
averiguar acerca de denominaciones de origen que son aquellos títulos o
calificativos que hacen referencia a un país, región, un territorio o área geográfica
a modo que se entienda cual es el origen, reputación e inclusive características del
producto o servicio que representa la marca25.

La segunda opción consiste en que el usuario presenta un formulario de solicitud

completamente diligenciado y realiza un pago que le es notificado por la entidad.
De este modo, recibirá una respuesta consecuente, vinculante. Es de aclarar que
este tipo de solicitudes se recomiendan principalmente cuando el usuario desea
averiguar los antecedentes de un signo figurativo 26.

• ¿Cuáles son los derechos otorgados a quien registra su marca?

Cuando usted es titular de una marca, se le reconocen ciertos derechos como lo
son el derecho al uso, al uso indirecto y el derecho de disposición. Derecho al uso,
es cuando el solicitante obtiene la resolución de concesión o acto administrativo
que lo define como único y legitimo titular de la marca, por tanto, le es posible
realizar diferentes transacciones que incluyan a dicha marca. Es necesario tener

24 Google Play. Obtenido de Google Play

25 A. Hevia, “CC51D - Seguridad de Datos,” Departamento de Ciencias de la Computación
26 INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN INTECO. (2011)
en cuenta que dichas transacciones tendrán validez ante la SIC siempre y cuando
a la marca no se le realice ningún tipo de variación, de lo contrario se necesitaría
hacer un nuevo registro marcario. Cuando se habla de transacciones, se habla de
poder “introducir, comercializar, publicitar, importar, exportar, almacenar,
transportar, vender o prestar los productos o servicios identificados con la marca
en el mercado”.

Derecho al uso indirecto de la marca (licencias contractuales), se trata de la

celebración de contratos entre un licenciante (titular de la marca) y un tercero
(licenciatario), donde se otorga la facultad de uso de la marca en virtud de una
licencia de uso de la cual se genera algún tipo de contraprestación.

Derecho de Disposición, es el derecho con que cuenta el titular para celebrar

contratos cuyo objeto sea vender, transferir o ceder el registro marcario a terceros
(enajenación de titularidad). Este tipo de trámite también debe hacerse dando fé
ante la Superintendencia de Industria y Comercio

• Acciones que pueden interponerse para defender derechos marcarios

Cuando el titular de una marca considere que se están vulnerando sus derechos
con el uso indebido de su marca, es posible interponer alguna de las siguientes
acciones: oponerse al registro, propender cancelar su registro, medidas de
frontera y acciones jurisdiccionales.

A continuación, se describirá cada medida:

Oposición al Registro, es la acción de oponerse cuando se evidencie posible

afectación en relación con algún interés general o particular.

Cancelación del Registro, se trata de extinguir el derecho incluido en el registro

marcario principalmente cuando en un término de 3 años previos a la acción de
cancelación, la marca no ha sido usada en alguno de los países que conforman la
Comunidad Andina de Naciones.
Medidas de Frontera, es una medida provisional solicitada por el titular de la
marca ante la entidad aduanera a fin de establecer si hay o no infracciones a
derechos de propiedad industrial en una operación de importación o exportación.

Acciones Jurisdiccionales, es la posibilidad de interponer acciones legales ante

jueces civiles del circuito del domicilio del demandado, si evidencia algún tipo de
infracción contra sus derechos. Por tanto, es posible que se ordene la detención
de actos infractores, indemnizaciones, órdenes de retiro de mercancía infractora
del mercado, prohibición de importación o exportación de la mercancía infractora,
así como medidas que eviten la repetición de conductas infractoras.

Organización Mundial de la Propiedad Intelectual (OMPI) Es una organización de

carácter Internacional que hace parte de las Naciones Unidas, cuenta con 189
estados miembros dentro de los cuales se encuentra Colombia; se trata
esencialmente de un foro mundial de políticas e información en materia de
propiedad industrial. De igual modo, tiene a cargo los temas referentes de
clasificación de productos y servicios para el registro de marcas, ésta clasificación
se conoce como Clasificación de Niza establecida mediante el “Arreglo de Niza”
concertado en el año de 1957, su asamblea “se conforma de los miembros de la
unión que se hayan adherido al Acta de Estocolmo o al Acta de Ginebra”

La OMPI mantiene un listado con la clasificación internacional de productos y

servicios conformada actualmente por 34 clases de productos y 11 clases de
servicios, todas con sus respectivas notas explicativas. Junto a estas clases
mantiene una lista de alrededor de 11000 productos y servicios que componen
dichas clases, que son revisadas periódicamente por un comité de expertos y que
están disponibles en su página WEB en su sección descargas y apoyo informático.

Diseños Industriales
Son parte de la propiedad industrial y consisten básicamente en la apariencia
particular de un producto, resultado de la unión de líneas o combinación de
colores, de formas externas en 2D o 3D, de configuraciones, etc .Los diseños
“revisten importancia en cuanto a envases, empaquetado y presentación del
producto”. Es importante que el diseño no cambie la finalidad de los productos,
solo su forma o aspecto estético27.

La importancia de proteger este tipo de diseños (registrarlo) recae en que el

esfuerzo intelectual para su obtención, debe ser reconocido y que la creatividad en
los productos apalanca su diferenciación en el mercado brindando variedad para
el consumidor e impulsando la competitividad. Por otro lado, con la protección se
propende evitar reproducciones o imitaciones no autorizadas por terceros . Sin
embargo, es de notar que la apariencia de un producto es un factor que puede
convertirse en decisivo a la hora de realizar una transacción comercial. No
obstante, un diseño para ser registrable no debe haber sido descrito o dado a
conocer al público tiempo previo a la solicitud de su registro. No obstante, a un
diseño no se le considera nuevo si es creado a partir de mejoras secundarias de
otras creaciones previas.

¿Cómo consultar los antecedentes de un diseño industrial?

Para que los usuarios puedan realizar consultas nacionales, puede hacerlo
mediante la página de la SIC, empleando el sistema de consulta de nuevas
creaciones. Para ejecutar consultas de registros a nivel internacional hay varias
fuentes, pero es posible apoyarse en sitios WEB como el ofrecido por la OEPM u
Oficina Española de Patentes y Marcas .

• Requisitos para solicitar el registro del diseño industrial Para poder solicitar el
registro de un diseño industrial se debe presentar una serie de documentos dentro
de los que se encuentran: el formulario peritorio otorgado por la entidad, adjuntar
el recibo de pago asignado, presentar dibujos sin incluir medidas, cortes o
funciones técnicas. Cuando son diseños en tres dimensiones debe incluirse
adicionalmente 6 vistas (una por cada cara) y 1 de perspectiva. Por último, el
documento de sesión de derechos por parte del diseñador si el solicitante es una

27DRAKE, Joshua; FORA; Pau Oliva; ZA Lanier; COLLIN, Mulliner. Etal. Android Hackers’s
handbook. Indianapolis: John Wiley & Sons, Inc., 2013, 577 p.
persona natural o jurídica diferente; en el caso que el solicitante este representado
por un abogado debe anexarse el poder otorgado al abogado para su
representación.

¿En cuáles casos pueden considerarse la exclusión de la protección?

Dentro de las solicitudes de protección pueden generarse algunos escenarios que
son objeto de exclusión cómo:

- Aquellos diseños cuya explotación puedan atentar contra la moral de las

personas o contra el orden público,

- Los diseños que no generen aporte del diseñador,

- Diseños de productos que son obligatoriamente necesarios para que éstos

puedan conectarse o montarse con otro producto del cual forma parte, dado que
no representan componente de innovación

Derechos de Autor28
La denominación derechos de autor o según el derecho anglosajón Copyright,
abarca un conjunto de derechos que le son reconocidos legalmente a un autor,
sobre obras producidas “a partir de su talento e inteligencia, en especial las que su
paternidad les sea reconocida y respetada, así como que le permita difundir la
obra, autorizando o negando, en su caso, la reproducción”, sea una obra
publicada o inédita. Es de aclarar que en Colombia la norma de derechos de autor,
considera protegible: las obras científicas literarias y artísticas tales como libros,
folletos, escritos, composiciones musicales con o sin letra, programas
informáticos, creaciones como dibujos, pinturas, esculturas y “toda producción del
dominio científico, literario o artístico que pueda reproducirse, o pueda definirse
por cualquier forma de impresión o de reproducción”.

28FERNANDES, Jerónimo. Banco de pruebas de seguridad para plataformas móviles Android.

Cartagena, 2014.
La entidad delegada para la administración de derechos de autor y derechos
conexos es la Dirección Nacional de Derechos de Autor, que es una unidad
administrativa especial adscrita al Ministerio del Interior. En Colombia, la principal
norma que rige los derechos de autor es la ley 23 de 1982.

Facultades generales para el titular de los derechos de autor

Según reposa en el art. 3 de la ley 23 de 1982, el titular puede: disponer de su
obra a título gratuito u oneroso, por otro lado, puede aprovecharla con fines o no
de lucro generado por cualquier medio de reproducción, multiplicación o difusión.
Es de aclarar que cuando se obtiene lucro por concepto de derechos de autor el
monto no debe ser menor al 60% del total del recaudo. Por último, el titular
también puede ejercer prerrogativas aseguradas por la ley 23 de 1982 en defensa
de su derecho moral (debido a que la autoría sobre la obra siempre debe ser
reconocida)29.

Titularidad reconocida por la ley

Según art. 4 de la ley 23 de 1982, los titulares de derechos pueden ser: “El autor
de su obra, el artista, intérprete o ejecutante, sobre su interpretación o ejecución,
el productor sobre su fonograma, el organismo de radiodifusión sobre su emisión,
entre otros”. En último lugar, hay que tener en cuenta que se consideran obras
independientes aquellas que previa autorización expresa del titular de la obra
original, se producen a partir de modificaciones, transformaciones, traducciones,
entre otros y que por tanto su titularidad recae sobre quien realizó dichas
modificaciones salvo que se haya suscrito un contrato indicando lo contrario. Sin
embargo, cuando estas obras modificadas son publicadas se debe citar al autor y
título de la obra original30.

29 DRAKE, Joshua; FORA; Pau Oliva; ZA Lanier; COLLIN, Mulliner. Etal. Android Hackers’s
handbook. Indianapolis: John Wiley & Sons, Inc., 2013, 577 p.
30 G. McGraw, Software security: Building security in, vol. 1.
Normativa de protección de datos personales
En Colombia rige la Ley Estatutaria 1581 de 2012, para los temas y disposiciones
generales de protección de datos personales. La Ley de Protección de Datos
abarca el derecho que tienen los ciudadanos a conocer, actualizar y rectificar
información recopilada sobre ellos en bases de datos o archivos registrados por
entidades públicas o privadas. Es necesario recalcar que su cobertura se limita al
estado colombiano o territorios extranjeros siempre y cuando se posean acuerdos
o tratados de carácter internacional que dictaminen su validez; sin embargo, no
aplicará principalmente en: bases de datos o archivos usados en un ámbito
personal o doméstico, bases de datos con información periodística y bases de
datos para asuntos de seguridad y defensa31.

Consideraciones básicas del tratamiento de datos personales

Cuando se hace referencia al tratamiento de datos, se habla de aquellas
operaciones aplicables a datos personales, por ejemplo: su recolección,
almacenamiento, uso, circulación o supresión. Para ello, es necesario tener en
cuenta que todo tratamiento de datos debe realizarse legítimamente, con el
consentimiento previo del titular, por tanto, la información debe ser verídica,
exacta, comprobable y comprensible. Igualmente, el titular de los datos puede
solicitar en cualquier momento que información se tiene sobre él, ya sea del
responsable del tratamiento (quien decida sobre la base de datos) o del encargado
(persona quien realiza tratamiento de datos personales por cuenta del
responsable).

Así mismo, es necesario resaltar que todo dato personal, salvo que constituya
información pública, no puede estar publicado en medios de comunicación o
divulgación masivos. Más aún, el responsable o encargado del tratamiento de
información debe asegurar por todos los medios seguridad de la información a fin
de evitar adulteración, perdida, consulta, accesos no autorizados o fraudulentos a
ella

31 A. Hevia, “CC51D - Seguridad de Datos,” Departamento de Ciencias de la Computación

Normativa de comercio electrónico 32
Para poder entender correctamente la ley 527/99 es necesario entender a qué
hacen referencia los términos mensaje de datos y comercio electrónico, por tanto,
a continuación, se definen: Mensaje de datos, es toda información tratada por
medios electrónicos, contempla labores como el envío, recepción, transmisión,
almacenamiento, etc. Al ser por medios electrónicos abarca las comunicaciones
del tipo correo electrónico, ópticos, telefax y todo tipo de comunicaciones que
puedan relacionarse por su naturaleza electrónica

Comercio electrónico, es toda relación comercial, contractual o no, donde se

evidencie algún tipo de suministro o intercambio de bienes y servicios a partir del
empleo de mensajes de datos33.

Aplicación de los requisitos jurídicos de los mensajes de datos

Para que un mensaje de datos pueda tener validez jurídica, se debe poder
identificar los siguientes criterios que se definen a continuación:

Escrito, hace referencia a que un mensaje de datos tiene la misma validez jurídica
que un documento físico.

Firma, o en su efecto equivalente poder la identificación del iniciador del mensaje

de datos y poder indicarse de alguna manera que el contenido cuenta con su
aprobación

Original, un mensaje de datos, siempre que conserve la integridad de su contenido

a partir del momento que se generó, tendrá completa validez para ser presentado
como prueba y podrá ser mostrada a la persona que se deba presentar .

Integridad de un mensaje de datos, es la condición donde un mensaje de datos se

considera completo e inalterado, salvo que se le adicione información o algún

32 FERNANDES, Jerónimo. Banco de pruebas de seguridad para plataformas móviles Android.

Cartagena, 2014.
33 INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN INTECO. (2011)
cambio inherente al proceso de comunicación, por ejemplo, una cadena de
correos.

Admisibilidad y fuerza probatoria, los mensajes de datos como medio de prueba

tienen la fuerza probatoria descrita en el “Cap. VIII del título XIII, sección tercera,
libro segundo del Código de procedimiento Civil”.

Criterio para valorar probatoriamente un mensaje de datos, para la valoración de

un mensaje de datos como un medio probatorio se usarán las mismas reglas y
demás criterios empleados para la valoración de pruebas.

Conservación de los mensajes de datos y documentos, cuando sea necesaria la

conservación de un mensaje de datos, su información debería poder ser
consultada posteriormente, en el mismo formato y contenido exacto;
preferiblemente pudiendo identificarse el origen y destino del mismo con datos
como fecha y hora.

Consideraciones a tener en cuenta en la comunicación de mensajes de datos En

las comunicaciones que se empleen mensajes de datos es necesario conocer que:

Salvo que previamente se acuerde entre las partes, un contrato puede ser
celebrado empleando un mensaje de datos.

• Un mensaje de datos tendrá reconocimiento jurídico, por tanto, la misma validez

y fuerza obligatoria que documentos físicos.

• Se entenderá que el mensaje de datos proviene del iniciador si ha sido enviado

por el iniciador, alguna persona facultada para actuar en su nombre o inclusive si
se genera mediante un sistema automático que opere en su nombre.

• El destinatario del mensaje puede actuar consecuentemente, según el acuerdo

pactado siempre y cuando el mensaje recibido provenga del iniciador. Habiendo
concordancia entre el mensaje enviado y el recibido.
• Acuse de recibido, si entre iniciador y destinatario se convino emplear acuses de
recibo al enviar o antes de enviar el mensaje, pero no se definió por medio de cual
método hacerlo, es posible hacerlo por medio de comunicación automática o no
del destinatario o cualquier acto que el destinatario pueda emplear para hacer
conocer que ha recibido el mensaje. En consecuencia, si no se recibe acuse, ese
mensaje se considerará como no enviado34.

Normativa de consumo. Ley 1480 de 2011, estatuto del consumidor

Considerar esta normativa dentro de las importantes a la hora de crear y gestionar
aplicaciones móviles se debe a que todo usuario de plataformas tecnológicas tiene
derechos como consumidor, por tanto, se debe tener en cuenta que hay una serie
de pautas que los desarrolladores y publicadores deben respetar como lo son:
brindar información clara que permita elegir los servicios que se desean adquirir,
proteger a los infantes según los aspectos plasmados en el código de infancia y
adolescencia dado que un dispositivo móvil es objeto de uso tanto por adultos
como niños, entre otras consideraciones importantes que no se deben pasar por
alto.

Condiciones de uso en plataformas de distribución de apps

ienda de aplicaciones Google Play Luego de leer las condiciones de uso
publicadas por la tienda de Google Play es posible evidenciar que es un contrato
dispuesto para todo usuario potencial de los servicios de Google. En dicho
contrato, se inicia identificando al prestador del servicio como Google INC ubicado
en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos.

En los términos de uso se presume que cualquier usuario que use algún servicio
ofrecido por Google ha leído y aceptado todas las condiciones de uso. Se indica a
los usuarios que los servicios deben ser consultados y empleados bajo los medios
idóneos ofrecidos como la interfaz WEB “bajo el estricto cumplimiento de la ley”,
por ejemplo, no se debe hacer ingeniería inversa o tratar de extraer código fuente.

34 GIRONES, Jesús Tomas. El gran libro de Android. México: Alfaomega, 2012. 403p.
Por otro lado, es notorio que la exigencia de Google que un usuario se autentique
con una cuenta propia, obedece a que constantemente se están asociando a ella
en sus bases de datos información de: hábitos de consumo, ubicación, números
telefónicos, dirección IP de origen, navegador WEB empleado, entre otros. No
obstante, la adecuada limitación de información recopilada se presume es
responsabilidad del usuario debido a que Google tiene algunos enlaces públicos
donde brinda instrucciones acerca de cómo limitar la información recopilada, por
ejemplo, de cómo restringir las cookies. En pocas palabras el usuario final tiene la
potestad de acogerse a que información personal brinda, sea voluntariamente a
través de elementos como los formularios WEB para el registro y posterior uso de
servicios o en la configuración adecuada de elementos de privacidad en sus
terminales, en el peor de los casos el usuario puede abstenerse de usar los
servicios ofrecidos.

es muy importante conocer que la ley aplicable ante controversias serán las
vigentes ante tribunales federales o estatales del condado de Santa Clara
(California, Estados Unidos), que aun cuando el usuario deje de usar los servicios
ofrecidos por Google este último mantendrá los derechos sobre la información
otorgados previamente y tener en cuenta que las modificaciones a los términos de
uso siempre serán publicados, hecho por el cual los usuarios deberían revisarlos
periódicamente sabiendo que no se usaran de manera retroactiva y que por lo
general, quedarán en firme en plazos no mayores a 14 días a partir de la
publicación salvo que se trate de modificaciones especiales como las obligadas de
manera legislativa35.

Tienda App Store de Apple

En los términos de uso la primera aclaración que se hace es que como usuario se
podrá acceder a servicios o suscribirse a contenidos, haciendo énfasis que cuando
se trate de comprar, utilizar u obtener se habla se derechos de uso bajo licencia,
independiente que sea necesario o no realizar un pago por ello (una transacción).

35 GIRONES, Jesús Tomas. El gran libro de Android. México: Alfaomega, 2012. 403p.
En estos términos de uso se indica que todo tema referente a facturación se
recibirá en formato electrónico, por otro lado, es posible evidenciar que para Apple
es importante la satisfacción de su cliente, por ello es posible que cuando se trate
de contenidos: -Si hay retraso alguno o problemas técnicos, Apple pueda
sustituirlo o en su defecto devuelva el dinero al usuario. -Que solo se presenten
cargo de facturación al usuario cuando éste reciba el contenido que solicitó. -Si es
contenido que no se entregue de manera inmediata se podrá disponer de hasta 14
días para cancelar dicho suministro luego de haber obtenido el recibo. Así mismo,
todo usuario de Apple deberá tener un ID o cuenta, que servirá para el uso de
servicios y acceso de contenido.

Con respecto al tema de políticas de privacidad, Apple tienen sus políticas

discriminadas por regiones, Colombia hace parte de la región denominada
América Latina y el Caribe; dentro de estas políticas se aclara que datos sobre
información personal son aquellos empleados para identificar o contactar a una
persona en particular y que pueden ser solicitados por Apple o alguna de sus
filiales e inclusive compartidos entre estos entes, respetando la política de
privacidad. La información puede incluir entre otros: nombre, dirección postal,
número telefónico, tarjetas de crédito y/o preferencias cuyos fines serán
verificación de identidad, contacto con el usuario, investigaciones para mejora de
servicios, comunicaciones, entre otros. De igual modo, también aparecen las
Cookies y otras tecnologías que Apple podrá emplear para entender los hábitos de
consumo de sus usuarios y conocer las secciones WEB visitadas con el propósito
de perfilar la publicidad que se le dirige, mejorar la atención que se le brinda. Por
otra parte, es claro que Apple da a conocer que esta información puede ser
divulgada a socios estratégicos con fines de mejora, mas nunca con fines de
marketing .

En relación con la privacidad de sus usuarios, Apple cumple con el Sistema de

reglas de privacidad transfronteriza de la Cooperación Económica Asia-Pacífico
(APEC) y “utiliza cláusulas contractuales aprobadas para la transferencia
internacional de información personal recogida en el Espacio Económico Europeo
y en Suiza”36 .

En cuanto a software y aplicaciones, el usuario debe comprometerse a utilizar el

software mas no a modificarlo o usar versiones modificadas, tampoco podrá
emplearse con fines comerciales salvo que para ello se haya estipulado
previamente. Por otra parte, se nombran algunas condiciones para el APP Store
donde se discrimina que una APP puede ser cedida bajo licenciamiento de Apple
o de un proveedor (un tercero), más no vendidas, por tanto, así mismo se tratará
el tema en cuanto a responsabilidades, labores de mantenimiento y soporte (salvo
que la legislación aplicable lo exija) debido a que Apple actuará como un agente
de los proveedores y por tanto, no interviene en los contratos suscritos con
terceros.

En las condiciones de uso se puede evidenciar que, para Apple, la seguridad de

sus usuarios es importante, por ello, se indica expresamente que no se podrá
manipular o eludir los controles o tecnologías de seguridad impuestos para los
servicios. Por último, en cuanto a derechos de autor la normativa aplicable Apple
actuara acorde a la ley vigente en Estados Unidos, por tanto, al aceptar los
contratos los usuarios se someterán a la competencia exclusiva de los tribunales
del condado de Santa Clara California o por el contrario los de su lugar de
residencia habitual si el usuario final reside en algún país de la Unión Europea,
Suiza o Islandia.

Términos de uso de las apps 37

Los términos de uso de aplicaciones son lineamientos que por lo general están
elaborados de una manera que busca eximir de la mayor cantidad de
responsabilidades al titular de la aplicación; por tanto, con ellas se busca informar
al usuario acerca de las políticas, condiciones y restricciones a que debe acogerse

36GIRONES, Jesús Tomas. El gran libro de Android. México: Alfaomega, 2012. 403p.
37FERNANDES, Jerónimo. Banco de pruebas de seguridad para plataformas móviles Android.
Cartagena, 2014.
para que le sea permitido disfrutar de las herramientas o tareas específicas que
ejecuta el software. No obstante, los términos de uso son una valiosa herramienta
para proteger la aplicación legalmente. Cuando el usuario notifica que acepta los
términos y condiciones listados, está generando un vínculo contractual; por ello, la
importancia que el usuario final se tome el tiempo que crea necesario para leer y
entender los términos que acepta, dado que es un contrato donde no se negocian
cada una de sus cláusulas, solo se informan y aceptan por parte de los clientes.

• Una correcta definición de los términos de uso, define el alcance de los derechos
y deberes entre las partes, por tanto, es un ítem que se debe elaborar con
responsabilidad, siendo precisos y empleando en lo posible terminología de fácil
comprensión para los usuarios.

• Políticas de cookies, una clara información donde se indique a los usuarios que
son las cookies, su finalidad, como habilitarlas o rechazarlas.

• Escalabilidad en el replanteamiento de términos y condiciones, dado que se

genera necesidad de modificar el contrato. Por ejemplo, cuando el market o tienda
virtual cambia las condiciones de publicación de la APPs, de esta manera quien
publicó la aplicación puede adaptarse para que su software no sea excluido por
incumplimiento.

• Información básica como el ¿quiénes somos?, acerca de…, datos como el

registro mercantil, contacto, entre otros.

• Cláusulas que indiquen en qué momento se da por terminado el contrato y o

licencias otorgadas; por ende, el derecho de tratamiento y responsabilidad de la
información.

• Disponibilidad de la aplicación en las diferentes plataformas como Android, IOS,

entre otros.
• Exclusiones de responsabilidad al desarrollador por compatibilidad de software
con el hardware.

• Obligatoriedad de aceptar actualizaciones del software para permitir que el

usuario pueda seguir disfrutando del servicio.

• Aclaración de excepción de responsabilidad al haber incompatibilidad entre el

software y la versión de sistema operativo empleado por el terminal, entre otros.

• Condiciones de monetización de aplicaciones, como por ejemplo, indicar que es

normal que se evidencie publicidad en plena ejecución de la aplicación.

• Soporte técnico, como será la modalidad de soporte, su cobertura, sus

excepciones, etc.

• Expresar si se permite o no, crear versiones parciales o completas de la

aplicación en otros idiomas, si es posible reproducir sus marcas comerciales.

• Finalmente, notificar al usuario de posibles cambios en las condiciones de uso y

el momento en que quedarían en firme.

Se aclara que varias consideraciones fueron listadas y obtenidas luego de analizar

elementos comunes presentes en contratos de uso de aplicaciones de diferente
naturaleza a fin de hacer una mejor precisión.
 Resultados
Después de la revisión teórica y el análisis anterior, se obtuvieron los siguientes
resultados:

La seguridad es uno de los temas que más preocupan a los desarrolladores al

programar apps. Pero del mismo también es muy importante para los clientes y
usuarios de las aplicaciones móviles, especialmente cuándo al descargar una app
te piden tantísimos permisos para acceder al contenido de tu teléfono: imágenes,
contactos, datos, conexiones, etc.

Aunque muchas veces los permisos están totalmente justificados al programar

apps, hay otras veces en las que no. Por eso el usuario debe prestar atención a
los permisos, pero el desarrollador también debe ser ético y solamente pedir
acceso a lo que sea estrictamente necesario, como ya os contamos en nuestra
guía para crear una app de éxito.A continuación exponemos algunos de los
permisos que se solicitan más regularmente:

Contactos, Llamadas, Fotos, videos y audios, ID del dispositivo y datos, Mensajes

SMS, Wifi, Cuentas.

Por otra parte, Considerar una aplicación como segura no depende solamente del
proceso de programar apps, no sólo del código. Si no que también depende del
propio usuario, que es el que acepta o rechaza las políticas de privacidad de las
apps concretas. Para programar apps de cualquier tipo se recomienda:

 Control de acceso: centrado en el usuario, dejándole siempre la

posibilidad de acceder o prohibir el acceso a su información.
 Autenticación: realizada con una identidad única y una contraseña solo
conocida por el usuario.
 Seguridad y confidencialidad: el uso del estándar de AES (Advanced
Encryption Standard) con una clave cifrada de al menos 128 bits es muy
recomendable para garantizar la seguridad.
  Integridad: se debe usar al menos un código de autenticación basado
en clave simétrica, como AES.
 Información a los usuarios: antes de recolectar ninguna información,
las apps deben presentar a los usuarios una política de privacidad clara
que identifique la identidad que usará los datos, el propósito de los
mismos, los métodos de privacidad usados, sus derechos y un método
de contacto.
 Transferencia de datos: usar TLS (Transport Layer Security) con
métodos de encriptación de 128 bits o redes privadas virtuales.
 Retención de datos: los datos sólo deben ser guardados el tiempo
necesario para el propósito establecido, no más.
 Comunicaciones con wearables: en las comunicaciones con
wearables se deben usar métodos criptográficos para la autenticación
de los dispositivos y la distribución de la clave.
 Alerta de los fallos de seguridad: la empresa desarrolladora debe
avisar a las autoridades competentes así como a los usuarios tan pronto
como sea posible y debe ayudar al usuario a aliviar los posibles daños
causados por dicha brecha.

Partiendo de lo anterior, la seguridad en el desarrollo de aplicaciones móviles y la

protección de datos debe ser uno de los elementos más importante de los
profesionales que buscan el crecimiento a largo plazo y la consolidación de su
trabajo en esta industria. Mientras que el mundo móvil experimenta un crecimiento
espectacular, se expone a importantes problemas de seguridad. Entre los cuales
se encuentra:

 Códigos fuente desconocidos

Desarrollar una aplicación móvil desde cero puede consumir mucho tiempo, por lo
que los desarrolladores a menudo intentan utilizar la enorme cantidad de código
en la web.
  Almacenamiento inseguro de datos

Los desarrolladores son responsables de proteger los datos de las personas que
utilizan sus aplicaciones.

 Controles frágiles en el servidor

Actualmente no se puede confiar únicamente en la protección que implementan

los fabricantes en el dispositivo para hacer cumplir los controles de seguridad.

 Fuga de datos involuntaria

Sucede cuando la información confidencial es colocada por error en una ubicación

fácilmente accesible en el dispositivo móvil por parte de aplicaciones maliciosas.

 Encriptación rota

Los gigantes de la tecnología más grande han prestado especial atención a la

criptografía.

La evolución de la telefonía móvil ha dejado en un segundo plano el desarrollo de

unos servicios y mecanismos de seguridad acordes con este proceso evolutivo.
Esta monografía, es el resultado de la necesidad de encontrar una solución a los
problemas de seguridad existentes en los sistemas de telefonía móvil actuales. Y
si bien no ofrece ninguna solución directa, serviría como referencias a futuras
investigaciones que aborden la temática.

Este trabajo realizo una definición de la arquitectura de seguridad para los

sistemas de telefonía móvil de segunda generación, que permita soslayar los
problemas de seguridad que éstos plantean, y que permita la coexistencia de
éstos con los de tercera generación, sin que ello signifique renunciar a los
servicios de seguridad ofrecidos por ésta.

Para finalizar es indispensable hacer hincapié en los siguientes aspectos:

Existe un gran crecimiento en la obtención de estos dispositivos asociado de igual
manera a las vulnerabilidades relacionadas con los accesos por elementos
externos que pueden atacar la disponibilidad e integridad de la información,
servicios y recursos que se encuentran en este tipo de dispositivos.

Las normas necesarias para garantizar la seguridad de los usuarios son

indispensables ya que certifican el adecuado tratamiento de la información,
además de limitar las violaciones al material intelectual.

Esta investigación, ofreció una definición del conjunto de leyes y normativas

necesarias para la implementación de una aplicación móvil para la seguridad
ciudadana.

Bibliografía
 Junio de 2016). Google Play. Obtenido de Google Play:
https://play.google.com/intl/es_es/about/apps/
 MINTIC, M. d. (15 de Junio de 2016). Apps.co. Obtenido de Apps.co:
https://apps.co/comunicaciones/tic-legal/cinco-normas-clave-sobre-
tiendasvirtuales/.
 SDP, S. D. (2014). Encuesta Multipropósito 2014. Bogotá
 ACCENTURE High Performance Delivered. [En línea] [Citado el: 01 de
Noviembre de 2016] https://www.accenture.com/co-es/insight-
futureapplications-strategies-achieve-greater-business
 VERGARA, C. (19 de Octubre de 2012). Revista “P&M”. Obtenido de:
http://www.revistapym.com.co/destacados/negocio-moda-internet-que-
loque-mas-buscan-colombianos
 “DINERO” (28 de Enero de 2015) obtenido de Dinero.com:
http://www.dinero.com/empresas/articulo/cuanto-gastan-
colombianosmoda/205171
 “LEAPP” (30 de Abril de 2012). Obtenido de Leaap.com:
https://leapp.wordpress.com/2012/04/30/historia-de-las-
aplicacionesmoviles/
 “RCN” (15 de Abril de 2016). Tecnología: El Boom de las Apps en
Colombia. Obtenido de: http://www.noticiasrcn.com/tecnologia-
tecnologia/elboom-las-apps-colombia.
 “ELTIEMPO” (4 de Noviembre de 2014)
http://www.eltiempo.com/tecnosfera/novedades-
tecnologia/cuantoscolombianos-compran-por-internet/14774555
 “PORTAFOLIO” (1 de Agosto de 2014)
http://www.portafolio.co/negocios/empresas/perfil-colombianos-
compranonline-42656
 “POLYVORE” ( 3 de Febrero de 2016)
http://www.polyvore.com/dresses/shop?category_id=3
 R. Johnson, Z. Wang, C. Gagnon, A. Stavrou, “Analysis of android
applications’ permissions,” en Software Security and Reliability Companion
(SERE-C), 2012 IEEE Sixth International Conference on, 2012, pp. 45–46.
 A. Hevia, “CC51D - Seguridad de Datos,” Departamento de Ciencias de la
Computación, Universidad de Chile, 2009.
 G. McGraw, Software security: Building security in, vol. 1. Addison-Wesley
Professional, 2006.
 C. Perrin, “The CIA triad,” TechRepublic Security Blog, 2008 [Online].
Disponible en http://www.techrepublic.com/blog/it-security/the-cia-triad/.
[Accedido 26-07- 2016]
 ANDROID OS (2012). HISTORIA DE ANDROID. [Citado: Mayo 28 de
2015]. Disponible en:
http://androidos.readthedocs.org/en/latest/data/historia/
 CARACTERÍSTICAS DEL SISTEMA OPERATIVO ANDROID (1995).
[Citado Mayo 25 de 2015] Disponible en:
http://www.samsung.com/co/article/android-2-2- os-explained/
 DRAKE, Joshua; FORA; Pau Oliva; ZA Lanier; COLLIN, Mulliner. Etal.
Android Hackers’s handbook. Indianapolis: John Wiley & Sons, Inc., 2013,
577 p.
 EL ANDROID LIBRE. LA HISTORIA DE ANDROID EN IMÁGENES:
DESDE SUS INICIOS HASTA AHORA.[Citado Abril 10 de 2015].Disponible
en: http://www.elandroidelibre.com/2014/06/la-historia-de-android-en-
imagenes-desdesus-inicios-hasta-ahora.html
 EVOLUCIÓN DE MÓVILES[Citado: Mayo de 2014] Disponible
en:http://dispositivosmobilesits.blogspot.com/2012/02/evolucion-de-
moviles.html http://www.hacking-tutorial.com/hacking-tutorial/hacking-
android-smartphonetutorial-using-metasploit/#sthash.9RNHAwR0.dpbs