Material Detail

EVALUACIÓN DE LA CALIDAD DEL RECURSO COMO MATERIAL DE APRENDIZAJE EN LOS ESTUDIOS DE GRADO DE INGENIERÍA INFORMÁTICA DE LA UPM. Description: o Overview:、 Se accede directamente desde un navegador moderno (Chrome 90+, Firefox 88+, Edge 90+, Safari 14+) sin instalaciones ni complementos adicionales. Compatible con Windows (7/8/10/11), macOS (10.14+), Linux (distros recientes) e iOS 13+ / Android 9+ en dispositivos móviles. Funciona en cualquier conexión a Internet (ideal ≥5 Mbps, pero carga incluso en 3G). Resolución mínima recomendada 1024 × 768 px; el diseño es totalmente responsive para tablets y smartphones. No requier almacenamiento local significativo (solo usa caché del navegador). Diseñado con enfoque “mobile-first”: los menús y tablas se adaptan automáticamente a pantallas pequeñas. Para enlaces a herramientas externas (GitHub, GitLab), conviene usar la última versión del navegador; no hace falta crear cuenta ni credenciales. o Tema Science and Technology / Information Technology / IT Security and Risk Management o Tipos de formato de materiales Images/grafics y links to related material o Type of Material: Reference Material o Technical Requirements: Se accede directamente desde un navegador moderno (Chrome 90+, Firefox 88+, Edge 90+, Safari 14+) sin instalaciones ni complementos adicionales. Compatible con Windows (7/8/10/11), macOS (10.14+), Linux (distros recientes) e iOS 13+ / Android 9+ en dispositivos móviles. Funciona en cualquier conexión a Internet (ideal ≥5 Mbps, pero carga incluso en 3G). Resolución mínima recomendada 1024 × 768 px; el diseño es totalmente responsive para tablets y smartphones. No requier almacenamiento local significativo (solo usa caché del navegador). Diseñado con enfoque “mobile-first”: los menús y tablas se adaptan automáticamente a pantallas pequeñas. Para enlaces a herramientas externas (GitHub, GitLab), conviene usar la última versión del navegador; no hace falta crear cuenta ni credenciales. o Learning Goal(s): Identificar y describir los diez principales riesgos de seguridad en aplicaciones web (p. ej., inyección SQL, Cross-Site Scripting, autenticación rota). Analizar el impacto de cada vulnerabilidad en entornos de producción y comprender los vectores comunes de ataque. Aplicar buenas prácticas de codificación segura para prevenir dichas vulnerabilidades desde el diseño hasta la implementación. Priorizar los riesgos basándose en su frecuencia, severidad e impacto económico/personal. Integrar controles de seguridad en el ciclo de vida de desarrollo de software (SDLC) y recomendar herramientas de prueba automatizada. Evaluar código y realizar revisiones orientadas a OWASP para reforzar la calidad del software. Desarrollar habilidades para interpretar reportes de análisis de vulnerabilidades y planificar tareas de remediación efectivas. o Recommended Use(s): Clases teóricas y debates: Usar OWASP Top Ten como guía para dedicar cada sesión a una vulnerabilidad y fomentar debates analizando casos reales. Trabajos prácticos de laboratorio: Realizar penetration testing en aplicaciones de ejemplo y ejercicios de corrección de código vulnerable según las recomendaciones del recurso. Proyecto integrador de curso: Desarrollar una aplicación web que implemente controles para al menos cinco vulnerabilidades del Top Ten e incluir una presentación o informe justificando cada medida con citas específicas del recurso. Autoevaluación y guías de estudio: Recomendar la lectura obligatoria del Top Ten antes de exámenes y crear cuestionarios basados en sus descripciones y ejemplos para reforzar conocimientos. Actualización continua y seminarios: Incorporar seminarios que muestren la evolución del ranking de vulnerabilidades e invitar a profesionales a presentar casos reales de explotación del Top Ten. o Target Student Population: Estudiantes de Grado en Ingeniería Informática: Alumnos de tercer y cuarto curso que estén matriculados en asignaturas como “Seguridad Informática”, “Desarrollo Web Seguro” o “Protección de Aplicaciones Web”. Estudiantes de Máster en Ciberseguridad o Seguridad de la Información: Aquellos que requieran un referente práctico para identificar y mitigar vulnerabilidades en entornos empresariales y académicos. Estudiantes de Grado en Ingeniería del Software o Telecomunicaciones: Futuras promociones que necesiten complementar sus conocimientos de programación con aspectos de seguridad en el ciclo de vida del software. Profesionales en Prácticas o Pasantías: Estudiantes en prácticas en empresas de desarrollo de software o consultoras de seguridad que deseen adoptar las buenas prácticas de OWASP en proyectos reales. Cursos de Formación Continua y Bootcamps: Participantes de cursos intensivos de desarrollo web o seguridad informática que busquen un recurso oficial, claro y actualizado para estudiar vulnerabilidades críticas. o Prerequisite Knowledge: Fundamentos de desarrollo web: HTML, CSS y protocolos HTTP/HTTPS para comprender cómo se estructuran y envían datos en una página. Lógica de programación en back-end: Variables, funciones y estructuras de control, y capacidad para leer fragmentos de código que procesan entradas de usuario. Bases de datos relacionales básicas: SQL (SELECT, INSERT, UPDATE, DELETE), esquemas de tablas y claves para entender ataques de inyección. Conceptos básicos de seguridad web: Conocer qué es la inyección SQL, XSS y CSRF; distinguir autenticación vs. autorización y cómo funcionan sesiones. Modelo cliente-servidor y pila tecnológica: Saber cómo se despliega una app web (servidor web, servidor de aplicación, base de datos) y tener experiencia con al menos un framework (por ejemplo, Express.js, Django o Spring). Herramientas de análisis básicas: Uso de la consola de desarrollador en navegadores (DevTools) y experiencia con herramientas de pruebas para interceptar y analizar peticiones HTTP. Evaluations and Observations o Quality of Content: • Lista Fortalezas de la calidad del contenido: Formato homogéneo y bien estructurado que facilita comparar cada vulnerabilidad. Incluye casos de estudio y estadísticas que contextualizan las amenazas, despertando curiosidad. Se puede usar en teoría (clases magistrales) y en práctica. Fomenta debates en equipo al proporcionar información suficiente para análisis colaborativo. Permite crear ejercicios de autoevaluación a partir de ejemplos y recomendaciones, aunque no incluya cuestionarios integrados. Ofrece guías de mitigación paso a paso (validación de entradas, codificación segura, configuración de encabezados) para inculcar buenas prácticas. Mantiene enlaces a herramientas (OWASP ZAP, Cheat Sheets, repositorios GitHub), lo que facilita profundizar en material complementario. • Lista Preocupaciones de la calidad del contenido: Carece de ejercicios interactivos; docentes o alumnos deben crear actividades adicionales. Asume conocimientos previos en desarrollo web y seguridad, lo que genera una curva de aprendizaje pronunciada para principiantes. No ofrece rutas de aprendizaje modulares, obligando a navegar manualmente por todo el contenido. No incluye autoevaluaciones formales ni criterios de calificación, por lo que la verificación del aprendizaje depende de recursos externos. Depende de enlaces a repositorios y herramientas OWASP que pueden quedar obsoletos, limitando el acceso a ejemplos prácticos. Está enfocado a usuarios intermedios/avanzados; no contempla adaptaciones para principiantes ni programas de autoaprendizaje. No dispone de foros, espacios de discusión ni actividades colaborativas integradas, restringiendo el aprendizaje social. Emplea lenguaje técnico y textos densos sin suficientes gráficos, lo que dificulta su comprensión para quienes aprenden de forma visual. o Potential Effectiveness as a Teaching/Learning Tool: • Lista Fortalezas de la efectividad del recurso como una herramienta de aprendizaje: Menús desplegables e índice fijo facilitan saltar directamente a cada sección sin desplazamientos largos. Toda la información (descripción, ejemplos y mitigaciones) está integrada en la misma página o en pestañas internas, sin necesidad de instalar nada. El diseño responsive ajusta automáticamente menús y tipografía para que sea legible en móviles y tablets sin necesidad de zoom. Uso consistente de tipografías y colores para diferenciar títulos, subtítulos, ejemplos y recomendaciones, lo que mejora la jerarquía visual. Contenido mayoritariamente en texto y gráficos SVG ligeros, lo que minimiza los tiempos de carga incluso en conexiones moderadas. Los enlaces a Cheat Sheets, repositorios de GitHub y otras páginas de OWASP están actualizados y sin errores, evitando frustraciones al profundizar en temas. Se cumplen estándares básicos de accesibilidad (texto alternativo en imágenes, contraste de colores, estructura semántica), facilitando su uso a personas con dificultades visuales o lectores de pantalla. Al final de cada sección se incluyen enlaces a herramientas (ej. OWASP ZAP) y guías específicas (Cheat Sheets), permitiendo profundizar sin tener que buscar recursos externos. • Lista Preocupaciones de la efectividad del recurso como una herramienta de aprendizaje: Todo está en una sola página larga sin índice fijo, por lo que es difícil ubicar secciones rápido. No hay enlaces internos (“anclas”) para saltar a apartados o volver al inicio, obligando a desplazarse manualmente. En móviles <360 px, los diagramas y tablas quedan muy pequeños y requieren zoom para leerse. Algunos enlaces externos abren en la misma pestaña, interrumpiendo la lectura y obligando a volver manualmente. No incluye tutoriales o guías para principiantes; asume conocimientos previos en seguridad. No hay indicación de progreso (barra o porcentaje), lo que complica planificar sesiones de estudio largas. La carga de diagramas SVG y scripts se ralentiza en conexiones <2 Mbps, interrumpiendo la navegación.