Capítulo I: Justificación y Marco de Investigación
Este capítulo aborda los cimientos teóricos y de investigación que motivaron la creación de la plataforma TVAPyMM. Se detalla el proceso de concepción de la idea, la justificación académica de plantear el proyecto como un trabajo de investigación y el análisis del público objetivo al que está destinada la solución.
💡 Motivación y Origen de la Idea
¿Cómo surge el proyecto?
La génesis de TVAPyMM (Plataforma de Evaluación Automática de Vulnerabilidades) surge de una inquietud compartida en el ámbito académico y profesional de la seguridad informática: la opacidad de las herramientas comerciales de escaneo de vulnerabilidades.
Durante nuestra formación en ingeniería, constatamos que el análisis de vulnerabilidades en aplicaciones web suele abordarse desde dos extremos poco óptimos para el aprendizaje y la personalización:
- Herramientas de "caja negra" cerradas (SaaS comerciales): Son sumamente costosas, ocultan los algoritmos de detección detrás de plataformas propietarias y no permiten comprender conceptualmente cómo se detecta o explota una vulnerabilidad en el tráfico de red.
- Herramientas open-source sumamente complejas (ej. OWASP ZAP, Nikto): Aunque excelentes, poseen una curva de aprendizaje empinada, bases de código masivas de difícil lectura y arquitecturas monolíticas que complican la adición rápida de reglas personalizadas por parte de desarrolladores sin conocimientos profundos de la herramienta de escaneo específica.
Frente a este escenario, nos planteamos la siguiente pregunta:
¿Es posible diseñar un motor de escaneo moderno, sumamente rápido gracias a la concurrencia nativa, que funcione mediante un modelo puramente modular (plugins) y que sirva tanto para auditar entornos de producción como para enseñar a los futuros profesionales de seguridad cómo opera un escáner por dentro?
De allí nació la visión de construir una plataforma desacoplada, elegante y extensible que desmitificara el proceso de auditoría automática de seguridad web.
🔬 Planteamiento como Trabajo de Investigación
El desarrollo de TVAPyMM no se concibió únicamente como la construcción de un producto de software (software engineering), sino principalmente como un proyecto de investigación aplicada. La hipótesis central de la investigación consistía en demostrar que una arquitectura modular basada en componentes desacoplados e inyección de dependencias dinámica en entornos backend modernos (Spring Boot) podía igualar o superar la eficiencia de los motores clásicos monolíticos, disminuyendo drásticamente el tiempo de desarrollo de nuevas reglas de detección.
Objetivos Académicos de la Investigación
- Análisis de Firmas de Vulnerabilidades: Estudiar a fondo la estructura y los vectores de ataque asociados al top 10 de OWASP (Open Web Application Security Project), abstrayendo sus firmas en algoritmos deterministas reutilizables.
- Evaluación del Impacto de la Concurrencia: Comparar el modelo de concurrencia clásica basado en hilos del sistema operativo (Thread-per-request) frente al modelo de suspensiones asíncronas de Kotlin Coroutines, analizando el consumo de CPU y memoria al despachar escaneos masivos paralelos sobre canales HTTP.
- Diseño del Principio Abierto/Cerrado (Open/Closed Principle) en Seguridad: Investigar patrones de diseño que permitieran que el motor de escaneo fuera extensible para nuevas vulnerabilidades (abierto a la extensión) sin requerir modificaciones en el núcleo de orquestación (cerrado a la modificación).
- Comprensión Práctica del Tráfico de Red: Analizar el comportamiento del protocolo TLS/SSL, la transmisión de cabeceras de seguridad y las cookies para catalogar las debilidades de configuración más habituales en la web actual.
🎯 Justificación del Proyecto
En el panorama tecnológico contemporáneo, la seguridad de las aplicaciones web ha dejado de ser una consideración opcional para convertirse en un pilar fundamental del desarrollo de software. Con la transición masiva de servicios tradicionales hacia plataformas en la nube, las aplicaciones web se han convertido en el vector de ataque más explotado a nivel global.
El Reto de la Seguridad Continua (DevSecOps)
Las metodologías de desarrollo ágil exigen integraciones y despliegues continuos (CI/CD). Realizar auditorías manuales (pentesting) en cada ciclo de despliegue es económicamente inviable y operativamente insostenible. Por tanto, se vuelve imprescindible la incorporación de herramientas de Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) y Pruebas Estáticas (SAST) automáticas.
TVAPyMM cubre este vacío ofreciendo una solución que:
- Realiza análisis DAST e inspecciones de infraestructura de red de manera no intrusiva.
- Proporciona feedback inmediato y accionable en un panel interactivo visualmente atractivo.
- Almacena registros históricos para evaluar la evolución del nivel de riesgo de cada proyecto en el tiempo.
👥 Público Objetivo (Target Audience)
La plataforma se diseñó pensando en tres segmentos de usuarios claramente definidos:
1. Desarrolladores de Software y Equipos de Ingeniería
- Necesidad: Detectar fallos comunes de configuración y programación (ej. cookies inseguras, cabeceras HTTP ausentes, configuraciones SSL/TLS débiles) durante las etapas tempranas del ciclo de vida del desarrollo.
- Beneficio: Obtener reportes concisos, libres de jerga innecesaria, con recomendaciones de remediación directas que pueden aplicarse directamente en la configuración del servidor web o del código.
2. Estudiantes y Docentes de Ciberseguridad (Ámbito Académico)
- Necesidad: Comprender el funcionamiento interno de las herramientas de auditoría automática sin perderse en arquitecturas de código inabarcables.
- Beneficio: Acceso a una arquitectura limpia ("Filesystem-as-API") donde pueden examinar de forma directa clases independientes como
CookieCheckeroTlsConfigChecker, y programar sus propios plugins de escaneo como proyectos de clase.
3. Pequeñas y Medianas Empresas (PyMEs)
- Necesidad: Evaluar la postura de seguridad de sus sitios públicos sin presupuesto para contratar costosas licencias anuales de software empresarial corporativo.
- Beneficio: Una herramienta gratuita, robusta y dockerizada que pueden desplegar localmente o en su infraestructura cloud gratuita (como Oracle Cloud Always Free) para escanear periódicamente sus dominios de negocio.