10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Con la vista puesta en 2025, tras un año emocionante y lleno de retos, la intersección de la IA y el desarrollo de software seguirá dando forma a la comunidad de desarrolladores de manera significativa.
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de Secure-by-Design, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año:
Reescribiendo la ecuación de la IA: No IA en lugar de desarrollador, sino IA + desarrollador
"A medida que las empresas se ven abocadas a tomar medidas drásticas de reducción de costes en 2025, a nadie le sorprendería que los desarrolladores fueran sustituidos por herramientas de IA. Pero tal y como era la situación cuando la IA Generativa hizo su debut por primera vez y ahora con años de actualizaciones y más por venir, todavía no es un motor de productividad seguro y autónomo, especialmente a la hora de crear código. La IA es una tecnología altamente disruptiva con muchas aplicaciones y casos de uso sorprendentes, pero no es un sustituto suficiente para los desarrolladores humanos cualificados. Estoy de acuerdo con la predicción de Forrester de que este cambio hacia la sustitución IA/humano en 2025 probablemente fracasará, y especialmente a largo plazo. Creo que la combinación de IA+desarrollador tiene más probabilidades de lograrlo que la IA por sí sola."
La IA ofrece una mezcla de riesgos y oportunidades
"Durante 2025, veremos surgir nuevos casos de riesgo a partir de código generado por IA, incluidos los efectos adversos de problemas conocidos como la alucinación en cuclillas, las bibliotecas envenenadas y los exploits que afectan a la cadena de suministro de software. Además, la IA se utilizará mucho más para encontrar fallos en el código, así como para escribir exploits para él, como acaba de demostrar el Project Zero de Google. Por el contrario, creo que lo que veremos adicionalmente son algunos niveles iniciales de madurez alcanzados con desarrolladores empresariales capaces de aprovechar estas herramientas en su trabajo sin añadir demasiado riesgo adicional, sin embargo, esto sería la excepción, no la regla, y dependería de que su organización midiera activamente el riesgo de los desarrolladores y ajustara su programa de seguridad en consecuencia. En el entorno de amenazas en rápida evolución que seguramente traerá 2025, serán los desarrolladores cualificados y conscientes de la seguridad con herramientas de codificación de IA aprobadas los que podrán producir código más rápido, mientras que los desarrolladores con poca conciencia de seguridad y habilidades generales solo introducirán más problemas, y a mayor velocidad."
Salir de las sombras [de la IA
"El panorama legislativo en torno a la IA está cambiando rápidamente en un intento de mantenerse al día con los frecuentes avances de la tecnología y su ritmo de adopción. En 2025, los responsables de seguridad deben asegurarse de que están preparados para cumplir las posibles directivas. Una combinación de lo siguiente -entender la naturaleza de la "IA en la sombra" y luego asegurarse de que no se está utilizando en la organización, seguido del uso estricto de solo herramientas aprobadas y verificadas instaladas en los sistemas de la empresa- demostrará ser lo más crítico para las organizaciones en el próximo año. Esto conducirá a una mayor assessment de la cohorte de desarrollo, para entender cómo deben ser mejor apoyados para crecer continuamente su destreza de seguridad y aplicarlo a todos los aspectos de su trabajo."
La seguridad de las herramientas de IA será una medida clave para los desarrolladores
"En estos momentos, el mercado de las herramientas de codificación basadas en LLM está en plena ebullición. No paran de aparecer novedades, cada una de ellas con mejores resultados, seguridad y productividad. A medida que nos adentramos en 2025, necesitamos una norma que sirva de referencia para evaluar el nivel de seguridad de cada herramienta de IA. Esto incluye las capacidades de codificación, es decir, su capacidad para generar código con patrones de codificación buenos y seguros que no puedan ser explotados por agentes de amenazas".
La IA dificultará la entrada en el sector de los desarrolladores noveles
"Los desarrolladores tienen más barreras de entrada que nunca. Con las fuerzas de trabajo híbridas y distribuidas y el nivel de competencias requerido para los puestos de nivel inicial, el listón sigue subiendo cada año para los desarrolladores junior. En 2025, los empleadores empezarán a esperar que los desarrolladores junior ya tengan las habilidades y conocimientos para integrar y optimizar las herramientas de IA de forma segura dentro de su flujo de trabajo cuando empiecen a trabajar, en lugar de dedicar tiempo a la formación en el puesto de trabajo. En el próximo año, los desarrolladores que no aprendan a aprovechar las herramientas de IA en su flujo de trabajo de desarrollo se enfrentarán a importantes consecuencias para su propio crecimiento profesional y tendrán dificultades para conseguir oportunidades de empleo. Corren el riesgo de obstaculizar su "licencia para codificar", lo que impide su participación en proyectos más complejos, ya que el dominio seguro de la IA acabará siendo clave."
El tiempo impedirá a las organizaciones alcanzar la seguridad por diseño
"Los desarrolladores necesitan tiempo y recursos suficientes para actualizarse y familiarizarse con las herramientas y prácticas adecuadas para lograr "Secure by Design". A menos que las organizaciones consigan la implicación de los responsables de seguridad e ingeniería, sus avances se verán obstaculizados o se estancarán por completo. Cuando las organizaciones intentan reducir costes o restringir recursos, a menudo dan prioridad a los esfuerzos de corrección inmediatos frente a las soluciones a largo plazo, centrándose en herramientas de corrección polifacéticas que hacen algunas cosas "bien" y todo lo demás "mediocre". En 2025, este desequilibrio creará una mayor disparidad entre las organizaciones que dan prioridad al desarrollo de software seguro y las que sólo quieren una solución rápida para seguir el ritmo de un panorama cambiante."
Las auditorías de seguridad de la cadena de suministro desempeñarán un papel fundamental en la mitigación de los riesgos mundiales
"Todos los proveedores externos/terceros empezarán a ser objeto de un mayor escrutinio. Puedes tener el mejor programa de seguridad interno, pero si las empresas a las que subcontratas no practican Secure by Design, todo el marco de seguridad puede verse comprometido. Como resultado, las organizaciones van a auditar en gran medida sus esfuerzos de externalización, presionando a los líderes empresariales para que sigan estrictas directrices de seguridad y cumplimiento de la industria. En última instancia, el éxito de los equipos de seguridad depende de una visión holística de 360 grados, que incluya un enfoque unificado en toda la organización y en cualquier socio externo."
La IA influirá a la hora de "cortar el ruido"
"Los equipos de desarrollo luchan contra las tasas de falsos positivos con los escáneres de vulnerabilidades de código. ¿Cómo pueden estar seguros de que las vulnerabilidades que se les asignan son realmente un riesgo para la seguridad? En 2025, la IA será una herramienta crucial para ayudar a los desarrolladores a "eliminar el ruido" en lo que respecta a la corrección del código, proporcionando una comprensión más profunda del propio código. Al aprovechar el aprendizaje automático, la IA puede priorizar mejor las amenazas reales basándose en el contexto, reduciendo el tiempo dedicado a mejorar la precisión de las alertas de seguridad. Esto permitirá a los equipos centrarse en las vulnerabilidades que realmente suponen un riesgo, mejorando la eficiencia general y permitiendo ciclos de desarrollo más rápidos y seguros."
La evaluación comparativa será la solución para que las organizaciones alcancen los objetivos de seguridad por diseño
"La ausencia de un punto de referencia en materia de seguridad resultará perjudicial para las organizaciones en 2025, ya que no dispondrán de un punto de referencia claro para medir sus progresos en el cumplimiento de las normas de Secure by Design. Sin un sistema de evaluación comparativa que valore la forma en que los equipos se adhieren a las prácticas de codificación segura, estas organizaciones corren el riesgo de introducir inadvertidamente vulnerabilidades que podrían dar lugar a una brecha importante. Y si se produce una brecha, lo más probable es que no tengan tiempo para implantar un sistema de evaluación comparativa, sino que se vean obligadas a acelerar sus iniciativas SBD sin evaluar primero la madurez de seguridad de sus equipos de desarrolladores, exponiendo en última instancia a su organización a riesgos aún mayores."
Deuda técnica a costa del código generado por IA
"No es ningún secreto que la industria ya tiene un enorme problema con la deuda técnica, y eso con el código que ya se ha escrito. Con el aumento de la confianza ciega de los desarrolladores en el código intrínsecamente inseguro generado por IA, además de la limitada supervisión ejecutiva, esto solo va a empeorar. Es muy posible que esta dinámica nos lleve a ver un aumento de 10 veces en CVEs reportados este próximo año."
Para tener éxito en 2025, las organizaciones deben estar dispuestas a introducir la IA de forma responsable y segura, junto con una formación adecuada e inversiones en mitigación de riesgos para sus equipos de desarrollo. El año que viene se cumple un año del compromiso de CISA con el diseño seguro, y las marcas que mantendrán su ventaja competitiva serán las que prioricen su enfoque de desarrollo seguro para eliminar mejor el riesgo asociado a la IA, los problemas de seguridad de terceros y otras amenazas emergentes.
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Con la vista puesta en 2025, tras un año emocionante y lleno de retos, la intersección de la IA y el desarrollo de software seguirá dando forma a la comunidad de desarrolladores de manera significativa.
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de Secure-by-Design, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año:
Reescribiendo la ecuación de la IA: No IA en lugar de desarrollador, sino IA + desarrollador
"A medida que las empresas se ven abocadas a tomar medidas drásticas de reducción de costes en 2025, a nadie le sorprendería que los desarrolladores fueran sustituidos por herramientas de IA. Pero tal y como era la situación cuando la IA Generativa hizo su debut por primera vez y ahora con años de actualizaciones y más por venir, todavía no es un motor de productividad seguro y autónomo, especialmente a la hora de crear código. La IA es una tecnología altamente disruptiva con muchas aplicaciones y casos de uso sorprendentes, pero no es un sustituto suficiente para los desarrolladores humanos cualificados. Estoy de acuerdo con la predicción de Forrester de que este cambio hacia la sustitución IA/humano en 2025 probablemente fracasará, y especialmente a largo plazo. Creo que la combinación de IA+desarrollador tiene más probabilidades de lograrlo que la IA por sí sola."
La IA ofrece una mezcla de riesgos y oportunidades
"Durante 2025, veremos surgir nuevos casos de riesgo a partir de código generado por IA, incluidos los efectos adversos de problemas conocidos como la alucinación en cuclillas, las bibliotecas envenenadas y los exploits que afectan a la cadena de suministro de software. Además, la IA se utilizará mucho más para encontrar fallos en el código, así como para escribir exploits para él, como acaba de demostrar el Project Zero de Google. Por el contrario, creo que lo que veremos adicionalmente son algunos niveles iniciales de madurez alcanzados con desarrolladores empresariales capaces de aprovechar estas herramientas en su trabajo sin añadir demasiado riesgo adicional, sin embargo, esto sería la excepción, no la regla, y dependería de que su organización midiera activamente el riesgo de los desarrolladores y ajustara su programa de seguridad en consecuencia. En el entorno de amenazas en rápida evolución que seguramente traerá 2025, serán los desarrolladores cualificados y conscientes de la seguridad con herramientas de codificación de IA aprobadas los que podrán producir código más rápido, mientras que los desarrolladores con poca conciencia de seguridad y habilidades generales solo introducirán más problemas, y a mayor velocidad."
Salir de las sombras [de la IA
"El panorama legislativo en torno a la IA está cambiando rápidamente en un intento de mantenerse al día con los frecuentes avances de la tecnología y su ritmo de adopción. En 2025, los responsables de seguridad deben asegurarse de que están preparados para cumplir las posibles directivas. Una combinación de lo siguiente -entender la naturaleza de la "IA en la sombra" y luego asegurarse de que no se está utilizando en la organización, seguido del uso estricto de solo herramientas aprobadas y verificadas instaladas en los sistemas de la empresa- demostrará ser lo más crítico para las organizaciones en el próximo año. Esto conducirá a una mayor assessment de la cohorte de desarrollo, para entender cómo deben ser mejor apoyados para crecer continuamente su destreza de seguridad y aplicarlo a todos los aspectos de su trabajo."
La seguridad de las herramientas de IA será una medida clave para los desarrolladores
"En estos momentos, el mercado de las herramientas de codificación basadas en LLM está en plena ebullición. No paran de aparecer novedades, cada una de ellas con mejores resultados, seguridad y productividad. A medida que nos adentramos en 2025, necesitamos una norma que sirva de referencia para evaluar el nivel de seguridad de cada herramienta de IA. Esto incluye las capacidades de codificación, es decir, su capacidad para generar código con patrones de codificación buenos y seguros que no puedan ser explotados por agentes de amenazas".
La IA dificultará la entrada en el sector de los desarrolladores noveles
"Los desarrolladores tienen más barreras de entrada que nunca. Con las fuerzas de trabajo híbridas y distribuidas y el nivel de competencias requerido para los puestos de nivel inicial, el listón sigue subiendo cada año para los desarrolladores junior. En 2025, los empleadores empezarán a esperar que los desarrolladores junior ya tengan las habilidades y conocimientos para integrar y optimizar las herramientas de IA de forma segura dentro de su flujo de trabajo cuando empiecen a trabajar, en lugar de dedicar tiempo a la formación en el puesto de trabajo. En el próximo año, los desarrolladores que no aprendan a aprovechar las herramientas de IA en su flujo de trabajo de desarrollo se enfrentarán a importantes consecuencias para su propio crecimiento profesional y tendrán dificultades para conseguir oportunidades de empleo. Corren el riesgo de obstaculizar su "licencia para codificar", lo que impide su participación en proyectos más complejos, ya que el dominio seguro de la IA acabará siendo clave."
El tiempo impedirá a las organizaciones alcanzar la seguridad por diseño
"Los desarrolladores necesitan tiempo y recursos suficientes para actualizarse y familiarizarse con las herramientas y prácticas adecuadas para lograr "Secure by Design". A menos que las organizaciones consigan la implicación de los responsables de seguridad e ingeniería, sus avances se verán obstaculizados o se estancarán por completo. Cuando las organizaciones intentan reducir costes o restringir recursos, a menudo dan prioridad a los esfuerzos de corrección inmediatos frente a las soluciones a largo plazo, centrándose en herramientas de corrección polifacéticas que hacen algunas cosas "bien" y todo lo demás "mediocre". En 2025, este desequilibrio creará una mayor disparidad entre las organizaciones que dan prioridad al desarrollo de software seguro y las que sólo quieren una solución rápida para seguir el ritmo de un panorama cambiante."
Las auditorías de seguridad de la cadena de suministro desempeñarán un papel fundamental en la mitigación de los riesgos mundiales
"Todos los proveedores externos/terceros empezarán a ser objeto de un mayor escrutinio. Puedes tener el mejor programa de seguridad interno, pero si las empresas a las que subcontratas no practican Secure by Design, todo el marco de seguridad puede verse comprometido. Como resultado, las organizaciones van a auditar en gran medida sus esfuerzos de externalización, presionando a los líderes empresariales para que sigan estrictas directrices de seguridad y cumplimiento de la industria. En última instancia, el éxito de los equipos de seguridad depende de una visión holística de 360 grados, que incluya un enfoque unificado en toda la organización y en cualquier socio externo."
La IA influirá a la hora de "cortar el ruido"
"Los equipos de desarrollo luchan contra las tasas de falsos positivos con los escáneres de vulnerabilidades de código. ¿Cómo pueden estar seguros de que las vulnerabilidades que se les asignan son realmente un riesgo para la seguridad? En 2025, la IA será una herramienta crucial para ayudar a los desarrolladores a "eliminar el ruido" en lo que respecta a la corrección del código, proporcionando una comprensión más profunda del propio código. Al aprovechar el aprendizaje automático, la IA puede priorizar mejor las amenazas reales basándose en el contexto, reduciendo el tiempo dedicado a mejorar la precisión de las alertas de seguridad. Esto permitirá a los equipos centrarse en las vulnerabilidades que realmente suponen un riesgo, mejorando la eficiencia general y permitiendo ciclos de desarrollo más rápidos y seguros."
La evaluación comparativa será la solución para que las organizaciones alcancen los objetivos de seguridad por diseño
"La ausencia de un punto de referencia en materia de seguridad resultará perjudicial para las organizaciones en 2025, ya que no dispondrán de un punto de referencia claro para medir sus progresos en el cumplimiento de las normas de Secure by Design. Sin un sistema de evaluación comparativa que valore la forma en que los equipos se adhieren a las prácticas de codificación segura, estas organizaciones corren el riesgo de introducir inadvertidamente vulnerabilidades que podrían dar lugar a una brecha importante. Y si se produce una brecha, lo más probable es que no tengan tiempo para implantar un sistema de evaluación comparativa, sino que se vean obligadas a acelerar sus iniciativas SBD sin evaluar primero la madurez de seguridad de sus equipos de desarrolladores, exponiendo en última instancia a su organización a riesgos aún mayores."
Deuda técnica a costa del código generado por IA
"No es ningún secreto que la industria ya tiene un enorme problema con la deuda técnica, y eso con el código que ya se ha escrito. Con el aumento de la confianza ciega de los desarrolladores en el código intrínsecamente inseguro generado por IA, además de la limitada supervisión ejecutiva, esto solo va a empeorar. Es muy posible que esta dinámica nos lleve a ver un aumento de 10 veces en CVEs reportados este próximo año."
Para tener éxito en 2025, las organizaciones deben estar dispuestas a introducir la IA de forma responsable y segura, junto con una formación adecuada e inversiones en mitigación de riesgos para sus equipos de desarrollo. El año que viene se cumple un año del compromiso de CISA con el diseño seguro, y las marcas que mantendrán su ventaja competitiva serán las que prioricen su enfoque de desarrollo seguro para eliminar mejor el riesgo asociado a la IA, los problemas de seguridad de terceros y otras amenazas emergentes.
Con la vista puesta en 2025, tras un año emocionante y lleno de retos, la intersección de la IA y el desarrollo de software seguirá dando forma a la comunidad de desarrolladores de manera significativa.
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de Secure-by-Design, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año:
Reescribiendo la ecuación de la IA: No IA en lugar de desarrollador, sino IA + desarrollador
"A medida que las empresas se ven abocadas a tomar medidas drásticas de reducción de costes en 2025, a nadie le sorprendería que los desarrolladores fueran sustituidos por herramientas de IA. Pero tal y como era la situación cuando la IA Generativa hizo su debut por primera vez y ahora con años de actualizaciones y más por venir, todavía no es un motor de productividad seguro y autónomo, especialmente a la hora de crear código. La IA es una tecnología altamente disruptiva con muchas aplicaciones y casos de uso sorprendentes, pero no es un sustituto suficiente para los desarrolladores humanos cualificados. Estoy de acuerdo con la predicción de Forrester de que este cambio hacia la sustitución IA/humano en 2025 probablemente fracasará, y especialmente a largo plazo. Creo que la combinación de IA+desarrollador tiene más probabilidades de lograrlo que la IA por sí sola."
La IA ofrece una mezcla de riesgos y oportunidades
"Durante 2025, veremos surgir nuevos casos de riesgo a partir de código generado por IA, incluidos los efectos adversos de problemas conocidos como la alucinación en cuclillas, las bibliotecas envenenadas y los exploits que afectan a la cadena de suministro de software. Además, la IA se utilizará mucho más para encontrar fallos en el código, así como para escribir exploits para él, como acaba de demostrar el Project Zero de Google. Por el contrario, creo que lo que veremos adicionalmente son algunos niveles iniciales de madurez alcanzados con desarrolladores empresariales capaces de aprovechar estas herramientas en su trabajo sin añadir demasiado riesgo adicional, sin embargo, esto sería la excepción, no la regla, y dependería de que su organización midiera activamente el riesgo de los desarrolladores y ajustara su programa de seguridad en consecuencia. En el entorno de amenazas en rápida evolución que seguramente traerá 2025, serán los desarrolladores cualificados y conscientes de la seguridad con herramientas de codificación de IA aprobadas los que podrán producir código más rápido, mientras que los desarrolladores con poca conciencia de seguridad y habilidades generales solo introducirán más problemas, y a mayor velocidad."
Salir de las sombras [de la IA
"El panorama legislativo en torno a la IA está cambiando rápidamente en un intento de mantenerse al día con los frecuentes avances de la tecnología y su ritmo de adopción. En 2025, los responsables de seguridad deben asegurarse de que están preparados para cumplir las posibles directivas. Una combinación de lo siguiente -entender la naturaleza de la "IA en la sombra" y luego asegurarse de que no se está utilizando en la organización, seguido del uso estricto de solo herramientas aprobadas y verificadas instaladas en los sistemas de la empresa- demostrará ser lo más crítico para las organizaciones en el próximo año. Esto conducirá a una mayor assessment de la cohorte de desarrollo, para entender cómo deben ser mejor apoyados para crecer continuamente su destreza de seguridad y aplicarlo a todos los aspectos de su trabajo."
La seguridad de las herramientas de IA será una medida clave para los desarrolladores
"En estos momentos, el mercado de las herramientas de codificación basadas en LLM está en plena ebullición. No paran de aparecer novedades, cada una de ellas con mejores resultados, seguridad y productividad. A medida que nos adentramos en 2025, necesitamos una norma que sirva de referencia para evaluar el nivel de seguridad de cada herramienta de IA. Esto incluye las capacidades de codificación, es decir, su capacidad para generar código con patrones de codificación buenos y seguros que no puedan ser explotados por agentes de amenazas".
La IA dificultará la entrada en el sector de los desarrolladores noveles
"Los desarrolladores tienen más barreras de entrada que nunca. Con las fuerzas de trabajo híbridas y distribuidas y el nivel de competencias requerido para los puestos de nivel inicial, el listón sigue subiendo cada año para los desarrolladores junior. En 2025, los empleadores empezarán a esperar que los desarrolladores junior ya tengan las habilidades y conocimientos para integrar y optimizar las herramientas de IA de forma segura dentro de su flujo de trabajo cuando empiecen a trabajar, en lugar de dedicar tiempo a la formación en el puesto de trabajo. En el próximo año, los desarrolladores que no aprendan a aprovechar las herramientas de IA en su flujo de trabajo de desarrollo se enfrentarán a importantes consecuencias para su propio crecimiento profesional y tendrán dificultades para conseguir oportunidades de empleo. Corren el riesgo de obstaculizar su "licencia para codificar", lo que impide su participación en proyectos más complejos, ya que el dominio seguro de la IA acabará siendo clave."
El tiempo impedirá a las organizaciones alcanzar la seguridad por diseño
"Los desarrolladores necesitan tiempo y recursos suficientes para actualizarse y familiarizarse con las herramientas y prácticas adecuadas para lograr "Secure by Design". A menos que las organizaciones consigan la implicación de los responsables de seguridad e ingeniería, sus avances se verán obstaculizados o se estancarán por completo. Cuando las organizaciones intentan reducir costes o restringir recursos, a menudo dan prioridad a los esfuerzos de corrección inmediatos frente a las soluciones a largo plazo, centrándose en herramientas de corrección polifacéticas que hacen algunas cosas "bien" y todo lo demás "mediocre". En 2025, este desequilibrio creará una mayor disparidad entre las organizaciones que dan prioridad al desarrollo de software seguro y las que sólo quieren una solución rápida para seguir el ritmo de un panorama cambiante."
Las auditorías de seguridad de la cadena de suministro desempeñarán un papel fundamental en la mitigación de los riesgos mundiales
"Todos los proveedores externos/terceros empezarán a ser objeto de un mayor escrutinio. Puedes tener el mejor programa de seguridad interno, pero si las empresas a las que subcontratas no practican Secure by Design, todo el marco de seguridad puede verse comprometido. Como resultado, las organizaciones van a auditar en gran medida sus esfuerzos de externalización, presionando a los líderes empresariales para que sigan estrictas directrices de seguridad y cumplimiento de la industria. En última instancia, el éxito de los equipos de seguridad depende de una visión holística de 360 grados, que incluya un enfoque unificado en toda la organización y en cualquier socio externo."
La IA influirá a la hora de "cortar el ruido"
"Los equipos de desarrollo luchan contra las tasas de falsos positivos con los escáneres de vulnerabilidades de código. ¿Cómo pueden estar seguros de que las vulnerabilidades que se les asignan son realmente un riesgo para la seguridad? En 2025, la IA será una herramienta crucial para ayudar a los desarrolladores a "eliminar el ruido" en lo que respecta a la corrección del código, proporcionando una comprensión más profunda del propio código. Al aprovechar el aprendizaje automático, la IA puede priorizar mejor las amenazas reales basándose en el contexto, reduciendo el tiempo dedicado a mejorar la precisión de las alertas de seguridad. Esto permitirá a los equipos centrarse en las vulnerabilidades que realmente suponen un riesgo, mejorando la eficiencia general y permitiendo ciclos de desarrollo más rápidos y seguros."
La evaluación comparativa será la solución para que las organizaciones alcancen los objetivos de seguridad por diseño
"La ausencia de un punto de referencia en materia de seguridad resultará perjudicial para las organizaciones en 2025, ya que no dispondrán de un punto de referencia claro para medir sus progresos en el cumplimiento de las normas de Secure by Design. Sin un sistema de evaluación comparativa que valore la forma en que los equipos se adhieren a las prácticas de codificación segura, estas organizaciones corren el riesgo de introducir inadvertidamente vulnerabilidades que podrían dar lugar a una brecha importante. Y si se produce una brecha, lo más probable es que no tengan tiempo para implantar un sistema de evaluación comparativa, sino que se vean obligadas a acelerar sus iniciativas SBD sin evaluar primero la madurez de seguridad de sus equipos de desarrolladores, exponiendo en última instancia a su organización a riesgos aún mayores."
Deuda técnica a costa del código generado por IA
"No es ningún secreto que la industria ya tiene un enorme problema con la deuda técnica, y eso con el código que ya se ha escrito. Con el aumento de la confianza ciega de los desarrolladores en el código intrínsecamente inseguro generado por IA, además de la limitada supervisión ejecutiva, esto solo va a empeorar. Es muy posible que esta dinámica nos lleve a ver un aumento de 10 veces en CVEs reportados este próximo año."
Para tener éxito en 2025, las organizaciones deben estar dispuestas a introducir la IA de forma responsable y segura, junto con una formación adecuada e inversiones en mitigación de riesgos para sus equipos de desarrollo. El año que viene se cumple un año del compromiso de CISA con el diseño seguro, y las marcas que mantendrán su ventaja competitiva serán las que prioricen su enfoque de desarrollo seguro para eliminar mejor el riesgo asociado a la IA, los problemas de seguridad de terceros y otras amenazas emergentes.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior crea una cultura de desarrolladores orientados a la seguridad, dotándoles de las habilidades necesarias para codificar de forma segura. Nuestro buque insignia es Agile Learning Platform , que ofrece itinerarios basados en habilidades relevantes, prácticas en missions y herramientas contextuales para que los desarrolladores aprendan, desarrollen y apliquen rápidamente sus habilidades para escribir código seguro a gran velocidad.
Con la vista puesta en 2025, tras un año emocionante y lleno de retos, la intersección de la IA y el desarrollo de software seguirá dando forma a la comunidad de desarrolladores de manera significativa.
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de Secure-by-Design, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año:
Reescribiendo la ecuación de la IA: No IA en lugar de desarrollador, sino IA + desarrollador
"A medida que las empresas se ven abocadas a tomar medidas drásticas de reducción de costes en 2025, a nadie le sorprendería que los desarrolladores fueran sustituidos por herramientas de IA. Pero tal y como era la situación cuando la IA Generativa hizo su debut por primera vez y ahora con años de actualizaciones y más por venir, todavía no es un motor de productividad seguro y autónomo, especialmente a la hora de crear código. La IA es una tecnología altamente disruptiva con muchas aplicaciones y casos de uso sorprendentes, pero no es un sustituto suficiente para los desarrolladores humanos cualificados. Estoy de acuerdo con la predicción de Forrester de que este cambio hacia la sustitución IA/humano en 2025 probablemente fracasará, y especialmente a largo plazo. Creo que la combinación de IA+desarrollador tiene más probabilidades de lograrlo que la IA por sí sola."
La IA ofrece una mezcla de riesgos y oportunidades
"Durante 2025, veremos surgir nuevos casos de riesgo a partir de código generado por IA, incluidos los efectos adversos de problemas conocidos como la alucinación en cuclillas, las bibliotecas envenenadas y los exploits que afectan a la cadena de suministro de software. Además, la IA se utilizará mucho más para encontrar fallos en el código, así como para escribir exploits para él, como acaba de demostrar el Project Zero de Google. Por el contrario, creo que lo que veremos adicionalmente son algunos niveles iniciales de madurez alcanzados con desarrolladores empresariales capaces de aprovechar estas herramientas en su trabajo sin añadir demasiado riesgo adicional, sin embargo, esto sería la excepción, no la regla, y dependería de que su organización midiera activamente el riesgo de los desarrolladores y ajustara su programa de seguridad en consecuencia. En el entorno de amenazas en rápida evolución que seguramente traerá 2025, serán los desarrolladores cualificados y conscientes de la seguridad con herramientas de codificación de IA aprobadas los que podrán producir código más rápido, mientras que los desarrolladores con poca conciencia de seguridad y habilidades generales solo introducirán más problemas, y a mayor velocidad."
Salir de las sombras [de la IA
"El panorama legislativo en torno a la IA está cambiando rápidamente en un intento de mantenerse al día con los frecuentes avances de la tecnología y su ritmo de adopción. En 2025, los responsables de seguridad deben asegurarse de que están preparados para cumplir las posibles directivas. Una combinación de lo siguiente -entender la naturaleza de la "IA en la sombra" y luego asegurarse de que no se está utilizando en la organización, seguido del uso estricto de solo herramientas aprobadas y verificadas instaladas en los sistemas de la empresa- demostrará ser lo más crítico para las organizaciones en el próximo año. Esto conducirá a una mayor assessment de la cohorte de desarrollo, para entender cómo deben ser mejor apoyados para crecer continuamente su destreza de seguridad y aplicarlo a todos los aspectos de su trabajo."
La seguridad de las herramientas de IA será una medida clave para los desarrolladores
"En estos momentos, el mercado de las herramientas de codificación basadas en LLM está en plena ebullición. No paran de aparecer novedades, cada una de ellas con mejores resultados, seguridad y productividad. A medida que nos adentramos en 2025, necesitamos una norma que sirva de referencia para evaluar el nivel de seguridad de cada herramienta de IA. Esto incluye las capacidades de codificación, es decir, su capacidad para generar código con patrones de codificación buenos y seguros que no puedan ser explotados por agentes de amenazas".
La IA dificultará la entrada en el sector de los desarrolladores noveles
"Los desarrolladores tienen más barreras de entrada que nunca. Con las fuerzas de trabajo híbridas y distribuidas y el nivel de competencias requerido para los puestos de nivel inicial, el listón sigue subiendo cada año para los desarrolladores junior. En 2025, los empleadores empezarán a esperar que los desarrolladores junior ya tengan las habilidades y conocimientos para integrar y optimizar las herramientas de IA de forma segura dentro de su flujo de trabajo cuando empiecen a trabajar, en lugar de dedicar tiempo a la formación en el puesto de trabajo. En el próximo año, los desarrolladores que no aprendan a aprovechar las herramientas de IA en su flujo de trabajo de desarrollo se enfrentarán a importantes consecuencias para su propio crecimiento profesional y tendrán dificultades para conseguir oportunidades de empleo. Corren el riesgo de obstaculizar su "licencia para codificar", lo que impide su participación en proyectos más complejos, ya que el dominio seguro de la IA acabará siendo clave."
El tiempo impedirá a las organizaciones alcanzar la seguridad por diseño
"Los desarrolladores necesitan tiempo y recursos suficientes para actualizarse y familiarizarse con las herramientas y prácticas adecuadas para lograr "Secure by Design". A menos que las organizaciones consigan la implicación de los responsables de seguridad e ingeniería, sus avances se verán obstaculizados o se estancarán por completo. Cuando las organizaciones intentan reducir costes o restringir recursos, a menudo dan prioridad a los esfuerzos de corrección inmediatos frente a las soluciones a largo plazo, centrándose en herramientas de corrección polifacéticas que hacen algunas cosas "bien" y todo lo demás "mediocre". En 2025, este desequilibrio creará una mayor disparidad entre las organizaciones que dan prioridad al desarrollo de software seguro y las que sólo quieren una solución rápida para seguir el ritmo de un panorama cambiante."
Las auditorías de seguridad de la cadena de suministro desempeñarán un papel fundamental en la mitigación de los riesgos mundiales
"Todos los proveedores externos/terceros empezarán a ser objeto de un mayor escrutinio. Puedes tener el mejor programa de seguridad interno, pero si las empresas a las que subcontratas no practican Secure by Design, todo el marco de seguridad puede verse comprometido. Como resultado, las organizaciones van a auditar en gran medida sus esfuerzos de externalización, presionando a los líderes empresariales para que sigan estrictas directrices de seguridad y cumplimiento de la industria. En última instancia, el éxito de los equipos de seguridad depende de una visión holística de 360 grados, que incluya un enfoque unificado en toda la organización y en cualquier socio externo."
La IA influirá a la hora de "cortar el ruido"
"Los equipos de desarrollo luchan contra las tasas de falsos positivos con los escáneres de vulnerabilidades de código. ¿Cómo pueden estar seguros de que las vulnerabilidades que se les asignan son realmente un riesgo para la seguridad? En 2025, la IA será una herramienta crucial para ayudar a los desarrolladores a "eliminar el ruido" en lo que respecta a la corrección del código, proporcionando una comprensión más profunda del propio código. Al aprovechar el aprendizaje automático, la IA puede priorizar mejor las amenazas reales basándose en el contexto, reduciendo el tiempo dedicado a mejorar la precisión de las alertas de seguridad. Esto permitirá a los equipos centrarse en las vulnerabilidades que realmente suponen un riesgo, mejorando la eficiencia general y permitiendo ciclos de desarrollo más rápidos y seguros."
La evaluación comparativa será la solución para que las organizaciones alcancen los objetivos de seguridad por diseño
"La ausencia de un punto de referencia en materia de seguridad resultará perjudicial para las organizaciones en 2025, ya que no dispondrán de un punto de referencia claro para medir sus progresos en el cumplimiento de las normas de Secure by Design. Sin un sistema de evaluación comparativa que valore la forma en que los equipos se adhieren a las prácticas de codificación segura, estas organizaciones corren el riesgo de introducir inadvertidamente vulnerabilidades que podrían dar lugar a una brecha importante. Y si se produce una brecha, lo más probable es que no tengan tiempo para implantar un sistema de evaluación comparativa, sino que se vean obligadas a acelerar sus iniciativas SBD sin evaluar primero la madurez de seguridad de sus equipos de desarrolladores, exponiendo en última instancia a su organización a riesgos aún mayores."
Deuda técnica a costa del código generado por IA
"No es ningún secreto que la industria ya tiene un enorme problema con la deuda técnica, y eso con el código que ya se ha escrito. Con el aumento de la confianza ciega de los desarrolladores en el código intrínsecamente inseguro generado por IA, además de la limitada supervisión ejecutiva, esto solo va a empeorar. Es muy posible que esta dinámica nos lleve a ver un aumento de 10 veces en CVEs reportados este próximo año."
Para tener éxito en 2025, las organizaciones deben estar dispuestas a introducir la IA de forma responsable y segura, junto con una formación adecuada e inversiones en mitigación de riesgos para sus equipos de desarrollo. El año que viene se cumple un año del compromiso de CISA con el diseño seguro, y las marcas que mantendrán su ventaja competitiva serán las que prioricen su enfoque de desarrollo seguro para eliminar mejor el riesgo asociado a la IA, los problemas de seguridad de terceros y otras amenazas emergentes.
Índice
Secure Code Warrior hace que la codificación segura sea una experiencia positiva y atractiva para los desarrolladores a medida que aumentan sus habilidades. Guiamos a cada programador a lo largo de su propio camino de aprendizaje, para que los desarrolladores con conocimientos de seguridad se conviertan en los superhéroes cotidianos de nuestro mundo conectado.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
Recursos para empezar
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
.png)
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
