La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
