Blog

La seguridad del software está en el salvaje oeste (y va a hacer que nos maten)

Pieter Danhieux
Publicado el 13 de marzo de 2019

Publicado originalmente en CSO Online

Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).

La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.

Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.

Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.

La seguridad del software debería ser la prioridad de toda organización.

Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.

¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.

Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.

A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.

Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.

En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.

Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.

Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.

Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.

Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.

La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.

Ver recurso
Ver recurso

La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.

¿Quiere saber más?

Director General, Presidente y Cofundador

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Pieter Danhieux
Publicado el 13 de marzo de 2019

Director General, Presidente y Cofundador

Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Compartir en:

Publicado originalmente en CSO Online

Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).

La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.

Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.

Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.

La seguridad del software debería ser la prioridad de toda organización.

Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.

¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.

Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.

A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.

Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.

En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.

Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.

Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.

Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.

Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.

La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.

Publicado originalmente en CSO Online

Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).

La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.

Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.

Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.

La seguridad del software debería ser la prioridad de toda organización.

Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.

¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.

Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.

A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.

Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.

En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.

Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.

Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.

Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.

Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.

La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.

Acceso a recursos

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Descargar PDF
Ver recurso
Compartir en:
¿Quiere saber más?

Compartir en:
Autor
Pieter Danhieux
Publicado el 13 de marzo de 2019

Director General, Presidente y Cofundador

Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Compartir en:

Publicado originalmente en CSO Online

Como hacker ético (semiretirado), profesional de la seguridad y friki informático en general, podría decirse que me importa mucho la tecnología. Me interesa saber cómo se creó, qué hace y cómo va a mejorar o hacer más eficiente algún aspecto de nuestras vidas. Siempre miro "bajo el capó" de los dispositivos y veo algunos de los mejores (y peores) ejemplos de código que existen. Hace poco, miré cómo mi sistema de aire acondicionado podía controlarse de forma remota con una aplicación de Android (imagina mi sorpresa cuando descubrí que cualquiera en la red WiFi podía controlar esa cosa sin ningún tipo de autenticación).

La seguridad de los programas informáticos es siempre una prioridad para mí, al igual que el peligro real que supone nuestro estilo de vida, cada vez más digital y de intercambio de información personal. Al fin y al cabo, nos encontramos en un territorio en gran medida no regulado, no supervisado y felizmente ignorado. Estamos en el Salvaje Oeste.

Como sociedad colectiva, no miramos bajo el capó de la tecnología que usamos cada día. Aunque series de televisión tan populares y aclamadas como Mr. Robot ayudan a la concienciación general, no somos conscientes de la seguridad... de hecho, la mayoría de nosotros no tiene ni idea de lo seguro que es el software dentro de la miríada de aplicaciones, servicios y cosas cada vez más conectadas que compramos y utilizamos. Ni siquiera es que confiemos intrínsecamente en ellos: simplemente no pensamos en ellos en absoluto.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo, Facebook, Target: todas y cada una de estas empresas de uso generalizado han sido víctimas de una filtración de datos. Sus vulnerabilidades de software fueron explotadas y millones y millones de registros de clientes quedaron expuestos. Estos ejemplos representan una fracción de las violaciones globales que han tenido lugar en los últimos diez años. Son una costosa consecuencia de la escasa seguridad del software, que permite a los malos robar nuestra valiosa información.

Cuando la mayoría de la gente piensa en violaciones de datos, piensa en violaciones de la seguridad de la información, se entiende que son una pesadilla para la empresa violada y un inconveniente para aquellos cuyos datos personales se han visto afectados, pero en serio, ¿cuál es el problema? Si se sigue ignorando la seguridad, ¿son realmente tan grandes las consecuencias? Hasta ahora no ha ocurrido nada tan importante: las violaciones de datos tienen graves repercusiones para las empresas responsables de ellas, pero es su problema, ¿no? Pierden negocio, pierden la confianza de los consumidores; en última instancia, es su trabajo resolverlo y pagar los daños.

La seguridad del software debería ser la prioridad de toda organización.

Hay una razón bastante sencilla para explicar por qué la seguridad del software no es la preocupación número uno de todas las organizaciones con un equipo de desarrollo: todavía no han perdido la vida suficientes personas y no hay suficiente conocimiento sobre los riesgos.

¿Morbo? Tal vez. Pero es la pura verdad. La reglamentación, las normas de construcción y la atención que se presta a la ley (como la de, por ejemplo, los organismos gubernamentales) se produce cuando hay un coste humano real.

Por ejemplo, un puente. Los ingenieros civiles (una profesión con cientos de años de antigüedad) consideran que la seguridad es una parte fundamental de la construcción de un puente. Su enfoque va mucho más allá de la estética y la funcionalidad básica. Todos los puentes que se construyen deben cumplir estrictas normas de seguridad, y tanto la profesión de ingeniero civil como la sociedad en su conjunto han aprendido con el tiempo a esperar un alto nivel de seguridad. Hoy en día, un puente que no cumple los requisitos de seguridad se considera peligroso e inutilizable. Esta es una evolución a la que tenemos que llegar dentro de la ingeniería de software.

A modo de ejemplo más moderno, echemos un vistazo a la industria del juguete. En la década de 1950 se produjo un gran aumento de la producción y las ventas de juguetes gracias al baby boom de la posguerra. Curiosamente, también se informó de que el número de visitas a las salas de urgencias por incidentes relacionados con los juguetes había aumentado durante esta época. Las flechas de los juguetes provocaban lesiones en los ojos, los juguetes pequeños (y las piezas desmontables de los juguetes más grandes) se ingerían, y los hornos de juguete comercializados para las niñas eran capaces de calentarse a temperaturas más altas que los hornos domésticos normales.

Era una especie de "salvaje oeste", con poca regulación, salvo algunas prohibiciones aisladas y retiradas de productos en las circunstancias más graves. Los fabricantes de juguetes eran básicamente libres de producir los juguetes que quisieran, y cualquier preocupación por la seguridad solía señalarse cuando ya se habían producido varios incidentes. No fue hasta que se aprobaron proyectos de ley como la Ley de Seguridad de los Juguetes de Richard Nixon de 1969, que las pruebas y la posterior prohibición de los juguetes peligrosos se convirtieron en una norma, tanto en Estados Unidos como en el resto del mundo. Aunque siguen ocurriendo accidentes, hoy en día el proceso general de fabricación de juguetes adopta una política de "seguridad ante todo", y nuestros hijos corren mucho menos peligro potencial.

En la seguridad del software, ahora mismo estamos en el salvaje oeste. Aparte de las leyes y reglamentos obvios en relación con la privacidad (especialmente recientemente con el GDPR) y la protección de los datos de los clientes, así como la legislación obligatoria de notificación de infracciones en algunos países, se dice y se hace muy poco en la corriente principal de las empresas o la comunidad sobre el nivel de seguridad incorporado en el software. Incluso esas leyes se relacionan más con la responsabilidad de la empresa que con el software real que se regula, o con el hecho de tener un estándar de seguridad obligatorio que cumplir.

Llegaremos allí, pero puede que primero haya que recorrer un camino de destrucción.

Gartner estima que habrá 8.400 millones de dispositivos conectados a Internet en uso en 2020; una cifra que representa un aumento del 31% desde 2016. Esto incluye la electrónica de consumo, así como cosas como dispositivos médicos y equipos específicos de la industria. Eso es un montón de oportunidades para un hacker.

Imagina que el software que ejecuta el marcapasos de alguien es inseguro. Un hacker podría entrar y potencialmente detener el corazón de su víctima (¿crees que es ridículo? Los médicos deshabilitaron el WiFi del marcapasos de Dick Cheney para impedir un posible asesinato mediante piratería informática). Un microondas o un hervidor de agua conectados podrían explotarse a distancia (junto con todo tipo de dispositivos de la Internet de las Cosas de los que disfrutamos en nuestros hogares), o se podrían desactivar los frenos de un coche eléctrico conectado. Puede parecer una película de acción de Hollywood, pero si el software de cualquiera de estas piezas avanzadas de tecnología conectada puede ser violado, realmente tenemos un desastre potencial en nuestras manos, al igual que las amenazas que ya hemos cubierto con las ramificaciones explosivas de los ciberataques en la industria del petróleo y el gas.

Podemos adelantarnos a las nefastas consecuencias de la piratería informática a medida que nuestras vidas se vuelven cada vez más dependientes de lo digital. Todo empieza por conseguir que los desarrolladores se entusiasmen con la codificación segura y se tomen en serio el desarrollo de una mentalidad y una cultura de seguridad sólidas en los equipos de desarrollo.

La revolución del software empieza aquí. El sector bancario está liderando la adopción de la formación gamificada en la lucha contra el código malicioso, en un enfoque verdaderamente innovador que da la vuelta a la formación tradicional (léase: aburrida). De hecho, cada uno de los seis principales bancos de Australia está involucrando a sus desarrolladores de esta manera, encendiendo su mentalidad de seguridad. Vea lo que nuestro cliente, IAG Group, hizo con su siguiente nivel tournament.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Director General, Presidente y Cofundador

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas
Centro de recursos

Recursos para empezar

Más entradas