La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónDirector General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
El movimiento Secure-by-Design es el futuro del desarrollo de software seguro. Conozca los elementos clave que las empresas deben tener en cuenta cuando piensan en una iniciativa Secure-by-Design.
DigitalOcean reduce su deuda de seguridad con Secure Code Warrior
El uso por parte de DigitalOcean de la formación Secure Code Warrior ha reducido significativamente la deuda de seguridad, permitiendo a los equipos centrarse más en la innovación y la productividad. La mejora de la seguridad ha reforzado la calidad de sus productos y su ventaja competitiva. De cara al futuro, SCW Trust Score les ayudará a seguir mejorando las prácticas de seguridad y a continuar impulsando la innovación.
Recursos para empezar
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.
Seguridad reactiva frente a seguridad preventiva: Prevenir es mejor que curar
La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad.
Ventajas de la evaluación comparativa de las competencias de seguridad de los desarrolladores
La creciente atención que se presta al código seguro y a los principios del diseño seguro exige que los desarrolladores reciban formación en ciberseguridad desde el principio del proceso de desarrollo de software, con herramientas como Secure Code Warrior's Trust Score, que ayudan a medir y mejorar sus progresos.
Impulsando iniciativas de seguridad por diseño para empresas con éxito significativo
Nuestro último documento de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, es el resultado de un análisis profundo de iniciativas reales de Secure-by-Design a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en hallazgos basados en datos.