El futuro de la ciberseguridad: Lo que no ocurrirá en el próximo año
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
En nuestra industria, muchos expertos en seguridad han comenzado a predecir los temas candentes del año, pero con más de cinco mil millones de registros de datos sensibles robados en 2019, pensamos que sería más preciso predecir lo que no sucederá en la ciberseguridad en el futuro inmediato.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció originalmente en Lectura oscura. Se ha actualizado para su sindicación aquí.
En nuestra industria, muchos expertos en seguridad han tomado la costumbre de predecir los temas candentes para el próximo año (y yo no soy una excepción), pero con más de cinco mil millones de registros de datos sensibles robados en 2019, me imaginé que sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o de hecho en el futuro previsible.
Me senté con mi cofundador, Matías Madou, y nos reímos un poco al elaborar esta lista. Pretende ser una perspectiva algo desenfadada, pero te hace reflexionar sobre el largo camino que queda por recorrer para fortificar cada organización contra los ciberataques maliciosos.
Ahora, miremos en nuestra bola de cristal y revelemos nuestras predicciones. No vamos a ver:
Inyecciones SQL erradicadas de todo el software
Creo que todos los profesionales de la seguridad del planeta han estado esperando el día en el que ya no se descarrilen para identificar los fallos de inyección SQL, hasta la saciedad.
Lamentablemente, llevamos más de veinte años esperando este día, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.
Es frustrante, como mínimo, ya que el remedio se conoce desde hace casi el mismo tiempo. Sin embargo, la prioridad de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.
(¿Quieres saber más sobre los patrones de codificación que pueden llevar a una inyección SQL? Acepte el reto aquí).
Los desarrolladores y AppSec se convierten en los mejores amigos
Ah, los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como la de Rocky contra Apolo? La respuesta corta es que sí, pueden llevarse bien, pero ahora mismo sus prioridades suelen ser muy diferentes.
Cuando se encuentran en el entorno de un proyecto, están en las antípodas y chocan justo en el último obstáculo: cuando los especialistas en seguridad de las aplicaciones examinan el código de un desarrollador. El desarrollador ha construido características hermosas y funcionales (que es su máxima prioridad) que se destrozan si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, ha llamado a su bebé feo y ha obligado al desarrollador a volver a arreglar cualquier error, a menudo retrasando el despliegue.
En nuestro estado actual, esto no se arreglará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a ocurrir como un proceso por defecto en 2020 (y con muchas empresas, bastantes años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores están reconociendo la necesidad de actualizar sus conocimientos en materia de seguridad y trabajar con un estándar más alto; uno que incluya objetivos de seguridad desde el principio.
Un exceso de profesionales de la seguridad
En 2020, 2025, 2030... está casi garantizado que nos faltará personal a nivel mundial en lo que respecta a la experiencia en seguridad.
Según un informe del ISC(2), hay alrededor de 2,93 millones de puestos de ciberseguridad sin cubrir. Es casi seguro que esta situación va a empeorar antes de mejorar, y no hay ningún ejército de seguridad oculto esperando a marchar a nuestro rescate en los próximos años.
En el futuro inmediato, nuestra mejor oportunidad para hacer frente a esta escasez de habilidades es hacer de la seguridad una prioridad organizativa y mejorar la capacitación de nuestra fuerza de trabajo actual, y eso significa capacitar a los desarrolladores con la formación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente están luchando contra errores de seguridad conocidos y antiguos (véase el punto 1 anterior). Si nos aseguramos de que no tengan que dedicar un tiempo y un esfuerzo preciosos a arreglar estos problemas comunes, tendrán más ancho de banda para centrarse en los problemas de seguridad más difíciles (por el momento, es probable que estos abarquen problemas con las API, así como la creación de herramientas que puedan adaptarse a los conductos de desarrollo).
Se produce menos código
El mundo se está digitalizando a un ritmo asombroso, y la demanda de la sociedad no va a disminuir. Cada año se escriben aproximadamente 111.000 millones de líneas de código, y esta cifra no hará más que aumentar y ser más aterradora (para los equipos de AppSec, que ya están agotados).
El aumento del volumen de código incrementa inevitablemente las posibles vulnerabilidades de seguridad, por lo que cualquier idea de que 2020 será un año más lento para la producción de software y las infracciones es tan realista como que se celebren carreras de unicornios en el Grand National.
Reducción de los robos de registros de datos
Como he dicho, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.
En 2019 se robaron al menos 5.300 millones de registros en todo el mundo, y la defensa contra los atacantes sigue siendo un poco desesperada y reactiva. Puede que esta cifra no se duplique en los próximos doce meses, pero creo que se acercará.
Como ejemplo, veamos las tendencias históricas de los datos robados denunciados en Estados Unidos año tras año:
Si se examina el período comprendido entre 2005 y 2010, se observa un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante que hay que destacar es que en 2009 se produjo un fuerte descenso en el número de infracciones notificadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de que hubo menos infracciones.
Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza de las violaciones y el número de registros robados, con un enorme pico en 2017. El número de ataques tuvo una tendencia a la baja en 2018, quizá debido al endurecimiento de las medidas de seguridad, pero el número de registros obtenidos fue el más alto de la historia. Los ciberataques serán cada vez más sofisticados, de gran volumen y no van a desaparecer pronto. Y a nivel mundial, es poco probable que veamos un descenso en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y deben trabajar de forma más inteligente para proteger nuestra privacidad.
Los promotores exigen una formación de seguridad más larga y frecuente basada en vídeos
Si hay algo que les gusta a los desarrolladores es ver horas y horas de vídeos de formación por ordenador (CBT). De hecho, es tal la demanda de este cautivador contenido, que Netflix anunciará toda una nueva subcategoría dedicada a los vídeos genéricos de formación en seguridad.
Eh, no. Ni ahora, ni en 2020, ni nunca.
Para los desarrolladores, su introducción a la seguridad es a menudo a través de la formación en el lugar de trabajo. La codificación segura rara vez forma parte de su educación terciaria, y la formación en el puesto de trabajo puede ser su primer encuentro con la seguridad del software. Y, como es lógico, a menudo no les gusta.
Para que los desarrolladores se tomen en serio la seguridad -y para que la formación sea útil- tiene que ser relevante, atractiva y contextual a sus trabajos. Una formación puntual sobre el cumplimiento de la normativa, o un flujo interminable de vídeos aburridos, no es el camino hacia el corazón de un desarrollador, y no va a reducir las vulnerabilidades.
Si quieres que la cohorte de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra las vulnerabilidades comunes, haz que trabajen con ejemplos de código reales, del tipo que se encontrarían en sus tareas diarias. Haz que el aprendizaje sea del tamaño de un bocado, que sea fácil de construir, e incentívalo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, atractiva y desarrollar habilidades y soluciones reales en toda la organización.
¿Quién sabe? Con la formación adecuada, un desarrollador podría reconocer el campeón de seguridad que lleva dentro y difundir los beneficios de la codificación segura a lo largo y ancho.
Cero muertes por un incidente relacionado con la ciberseguridad
Está claro que esto no es un asunto de risa. He dicho muchas veces que el mundo simplemente no se preocupará por la ciberseguridad hasta que la gente empiece a morir por un incidente relacionado con un ciberataque.
El problema es que esto ya ha sucedido, y ha pasado bastante desapercibido.
Los ciberataques contra hospitales estadounidenses se han relacionado con un aumento de las muertes por infarto en 2019. Por supuesto, los atacantes no provocaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware a los sistemas y equipos de los hospitales ralentizaron los tiempos de tratamiento de los cuidados críticos.
Este estudio de la Universidad de Florida Central analizó 3.000 hospitales, 311 de los cuales habían sufrido una violación de datos. En los que se vieron afectados por un incidente de seguridad, tardaron una media de 2,7 minutos más en realizar un ECG a las víctimas sospechosas de sufrir un infarto; probablemente debido a los cambios en los procedimientos, las medidas de seguridad recién implementadas y los problemas de soporte informático que ocuparon más tiempo que antes. Identificar y tratar un ataque al corazón es una carrera contra el tiempo, y en esos hospitales se produjeron de media 36 muertes más por cada 10.000 ataques al corazón al año.
Esto es impactante y, por desgracia, creo que empeorará antes de mejorar. Esto debería servir como un duro recordatorio de que todos tenemos que hacer más para elevar la seguridad del software y hacer que sea una prioridad en todas las empresas.
Menos imágenes de stock de "hackers encapuchados"
Si se escribe "hacker" en una búsqueda de imágenes, inevitablemente aparecerán miles de imágenes de una figura encapuchada y sin rostro tecleando en un ordenador portátil, o una figura similar con una máscara de Guy Fawkes.
Esta imagen estereotipada de un hacker está cansando mucho y, bueno, hace que todos parezcan malos. Hay muchos chicos y chicas buenos en materia de seguridad, y las connotaciones negativas en torno a la imagen de "hacker" hacen un flaco favor a todo el mundo.
¿Creo que esto cambiará pronto? Probablemente no, pero es bueno soñar. Por ahora, es importante recordar que la seguridad no tiene por qué dar miedo.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
El poder de la marca en AppSec DevSec DevSecOps (¿Qué hay en un Acrynym?)
En AppSec, el impacto duradero de un programa exige algo más que tecnología: necesita una marca fuerte. Una identidad poderosa garantiza que sus iniciativas resuenen e impulsen un compromiso sostenido dentro de su comunidad de desarrolladores.
.png)
Agente de confianza: AI por Secure Code Warrior
Esta página presenta SCW Trust Agent: AI, un nuevo conjunto de capacidades que proporcionan una profunda observabilidad y gobernanza sobre las herramientas de codificación de IA. Descubra cómo nuestra solución correlaciona de forma única el uso de herramientas de IA con las habilidades de los desarrolladores para ayudarle a gestionar el riesgo, optimizar su SDLC y garantizar que cada línea de código generado por IA sea segura.
.avif)
Vibe Coding: Guía práctica para actualizar su estrategia AppSec para la IA
Vea el vídeo a la carta para aprender a capacitar a los administradores de AppSec para que se conviertan en facilitadores de IA, en lugar de bloqueadores, mediante un enfoque práctico que da prioridad a la formación. Le mostraremos cómo aprovechar Secure Code Warrior (SCW) para actualizar estratégicamente su estrategia de AppSec para la era de los asistentes de codificación de IA.
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Recursos para empezar
Por qué el Mes de la Concienciación sobre Ciberseguridad debe evolucionar en la era de la IA
Los CISO no pueden confiar en el mismo manual de concienciación de siempre. En la era de la IA, deben adoptar enfoques modernos para proteger el código, los equipos y las organizaciones.
.avif)
Codificación segura en la era de la IA: pruebe nuestros nuevos retos interactivos de IA
La codificación asistida por IA está cambiando el desarrollo. Prueba nuestros nuevos retos de IA al estilo Copilot para revisar, analizar y corregir código de forma segura en flujos de trabajo realistas.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
