Entrega del Alumno

UNIVERSIDAD TECNOLÓGICA Y POLITÉCNICA DE COYUCA DE BENÍTEZ

Asignatura: Frameworks para Desarrollo Web

Cuatrimestre: V Unidad: III

Tema: Proceso de Seguridad e Implementación de la Aplicación Web

Docente: Ing. Geovamy Piza Rodríguez

Alumna: Adriana de los Santos Layna

Carrera: Ingeniería en Tecnologías de la Información e Innovación Digital (Línea)

Fecha: 20 Abril 2026

Índice

Introducción
Desarrollo
1. Tema 1 — Fundamentos de seguridad web e integración
2. Tema 2 — Mecanismos de encriptación y control de acceso
3. Tema 3 — Certificados de seguridad web
4. Tema 4 — Despliegue de aplicaciones en el servidor
Reporte Final del Caso Práctico
1. Justificación de mecanismos de control de acceso
2. Justificación del certificado de seguridad
3. Requerimientos del hosting
4. Protocolo de transferencia de archivos
5. Despliegue y servicios de autenticación
Conclusión
Bibliografía

1. Introducción

El presente documento constituye el reporte de la Unidad III de la asignatura Framework para Desarrollo Web, la cual aborda el proceso de seguridad e implementación de aplicaciones web. A lo largo de esta unidad se trabajó con un caso práctico real: el desarrollo y despliegue de una aplicación web para la gestión de eventos universitarios de la Universidad Tecnológica del Pacífico.

La aplicación permite registrar usuarios con diferentes roles (estudiante, profesor, administrador), publicar eventos académicos como conferencias, talleres y seminarios, gestionar inscripciones y administrar todo el sistema desde un panel de administración.

El stack tecnológico utilizado incluye HTML, CSS y JavaScript en el frontend, Node.js con Express en el backend, y MySQL como base de datos. La aplicación fue desplegada en el subdominio eventosuniversitarios.eventyplanner.com con certificado SSL/TLS proporcionado por Let's Encrypt.

Este reporte integra las cuatro actividades de la unidad y documenta todo el proceso de seguridad, encriptación, certificación y despliegue implementado.

2. Desarrollo

El desarrollo completo de las 4 actividades se encuentra documentado en la sección de Actividades, donde se aborda cada tema con detalle:

Tema 1

Fundamentos de seguridad web

Concepto de seguridad web, tipos de amenazas, herramientas y mecanismos de control.

Ver Actividad 1

Tema 2

Encriptación y control de acceso

Tipos de encriptación, métodos de autenticación, autorización por roles.

Ver Actividad 2

Tema 3

Certificados de seguridad

Tipos de certificados SSL/TLS, Let's Encrypt, implementación de HTTPS.

Ver Actividad 3

Tema 4

Despliegue al servidor

Servicios, permisos, proceso de deploy, SFTP, autenticación.

Ver Actividad 4

3. Reporte Final del Caso Práctico

a) Justificación de los Mecanismos de Control de Acceso

La aplicación implementa un sistema de control de acceso basado en roles (RBAC) con tres niveles:

Administrador: Acceso total al sistema. Puede crear, editar, cancelar y eliminar eventos. Gestiona usuarios e inscripciones.
Profesor: Puede crear eventos y visualizar inscripciones a sus eventos.
Estudiante: Puede inscribirse a eventos, ver sus inscripciones y cancelarlas.

La autenticación se implementa mediante JWT (JSON Web Tokens) firmados con HMAC-SHA256, con expiración de 24 horas. Las contraseñas se almacenan como hashes bcrypt con salt aleatorio y 10 rondas de costo, haciendo computacionalmente inviable su reversión.

Adicionalmente se implementa rate limiting (5 intentos cada 15 minutos) para prevenir ataques de fuerza bruta, validación de datos de entrada para prevenir inyección SQL y XSS, y tokens CSRF para proteger formularios.

b) Justificación del Certificado de Seguridad

Se seleccionó un certificado SSL/TLS DV (Domain Validation) de Let's Encrypt por las siguientes razones:

Costo: Gratuito, adecuado para un proyecto académico.
Nivel de validación: DV es suficiente para una aplicación universitaria que no procesa pagos.
Automatización: Renovación automática cada 90 días via Certbot/Hostinger.
Compatibilidad: Reconocido por todos los navegadores modernos.
Protocolo: TLS 1.3 con cipher suites modernas (AES-256-GCM, ChaCha20-Poly1305).

c) Requerimientos del Hosting

Requisito	Especificación
Servidor web	Apache 2.4+ o Nginx 1.18+
Node.js	v18.x o superior (LTS)
MySQL	v8.0 o superior
RAM	Mínimo 512 MB
Almacenamiento	Mínimo 1 GB
SSL/TLS	Soporte para Let's Encrypt
Acceso SSH	Requerido para deploy y configuración
Subdominios	Soporte para subdominios ilimitados
Proveedor utilizado	Hostinger (Plan Premium)

d) Protocolo de Transferencia de Archivos

Se seleccionó SFTP (SSH File Transfer Protocol) operando sobre el puerto 65002:

Toda la comunicación se cifra mediante SSH.
Las credenciales y archivos nunca viajan en texto plano.
Se utiliza la misma autenticación que SSH.
Opera sobre un único puerto (65002), simplificando reglas de firewall.
Herramienta utilizada: FileZilla con protocolo SFTP.

Se descartó FTP tradicional por transmitir datos sin cifrado, y SCP por no soportar listado de directorios ni transferencias parciales.

e) Servicios de Autenticación y Autorización

El flujo completo de autenticación implementado:

El usuario accede al formulario de registro/login.
En registro: los datos se validan, la contraseña se hashea con bcrypt y se almacena en MySQL.
En login: se verifica email + contraseña hasheada. Si es válido, se genera un JWT.
El JWT se almacena en el cliente (localStorage) y se envía en cada request.
El middleware verifica el JWT y extrae el rol del usuario.
El middleware de autorización verifica si el rol tiene permiso para la acción solicitada.
Se registra cada acceso en logs para auditoría.

4. Conclusión

A lo largo de esta unidad se adquirieron conocimientos fundamentales sobre la seguridad e implementación de aplicaciones web. El desarrollo del caso práctico permitió aplicar de forma integral los conceptos de seguridad web, encriptación de datos, certificados SSL/TLS y procesos de despliegue en un servidor de producción.

La implementación del sistema de Gestión de Eventos Universitarios demostró la importancia de considerar la seguridad como un componente transversal en todas las etapas del desarrollo: desde el diseño de la autenticación y autorización, pasando por la protección de datos con encriptación, hasta el despliegue seguro con HTTPS y SFTP.

El uso de tecnologías modernas como JWT para autenticación sin estado, bcrypt para hashing de contraseñas, Let's Encrypt para certificados SSL gratuitos, y SFTP para transferencia segura de archivos, refleja las mejores prácticas actuales de la industria del desarrollo web.

La aplicación desplegada en eventosuniversitarios.eventyplanner.com representa un ejemplo funcional de cómo un proyecto académico puede alcanzar estándares profesionales de seguridad y despliegue.

5. Bibliografía

La bibliografía completa se encuentra en la sección de Bibliografía.

Acceder a la Aplicación

La aplicación web funcional se encuentra en la página principal:

Ir a la Aplicacion de Eventos