La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Publicado originalmente en CSO Online
Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).
La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.
Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.
Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.
La seguridad del software debería ser la prioridad de toda organización.
Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.
¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.
Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.
A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.
Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.
En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.
Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.
Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.
Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.
Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.
La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
