En mis años mozos, solía jugar mucho a DOOM y, al principio, tenía que alternar entre los distintos niveles de dificultad para completar mis primeras partidas. Iban desde "Soy demasiado joven para morir" (Fácil) hasta "Pesadilla" (Muy difícil). Hay días en los que desearía poder simplemente reiniciar y cambiar el nivel de dificultad de dirigir una empresa tecnológica, especialmente en las primeras etapas, cuando tantos elementos son delicados, precarios y propensos al fracaso.

Las estadísticas son conocidas y aleccionadoras: Las startups fracasan en un 90%, que es la situación desde hace muchos años, pero si profundizamos, el desglose general es que el 21% de las startups fracasan en el primer año, el 30% a los dos años, el 50% a los cinco años y el 70% en la primera década. 

Estoy orgulloso de que mis cofundadores Matias Madou, Fatemah Beydoun, Colin Wong, Nathan Desmet y Jaap Karan Singh hayan llegado al "Nivel 10", reforzados por el apoyo de nuestros inversores, Goldman Sachs, Cisco Investment, Paladin Capital, Forgepoint, Airtree y Tidal, junto con mis consejeros independientes Jim Pflaging y Nanhi Singh.

El equipo fundador ha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.

2024: El año en que lanzamos al mercado las primeras herramientas de conocimiento de datos del sector.

Demostrar la rentabilidad de la inversión en mejorar la cualificación de las personas es extremadamente difícil, pero en 2024, SCW consiguió lo que todo el sector pedía: "¿Pueden demostrar que nuestro software es más seguro si mejoramos las cualificaciones de nuestros desarrolladores?". Hemos recopilado datos sobre vulnerabilidades y resolución de problemas de algunos de nuestros mayores clientes que ejecutan programas bien establecidos, y podemos demostrar con orgullo -con la validación de nuestros clientes- que la reducción media de vulnerabilidades fue del 53% para el código creado por desarrolladores seguros frente al código creado por otros. También hemos demostrado que los desarrolladores seguros pueden solucionar los problemas de seguridad 2-3 veces más rápido, ahorrando tiempo y reduciendo la exposición al riesgo.

El primero en salir fue SCW Trust Score, la única capacidad de evaluación comparativa que cuantifica el impacto de los programas de codificación segura de las empresas. Por primera vez, los responsables de seguridad pueden obtener información detallada y respaldada por datos sobre las habilidades de codificación segura del equipo de desarrollo, así como compararla con los estándares del sector. Esta es la visibilidad impecable que muchos han estado esperando para hacer ajustes críticos en sus programas, así como para proporcionar a los desarrolladores individuales vías de aprendizaje para fortalecer sus habilidades de seguridad de por vida. Incluso publicamos un documento de investigación con el ex Director Nacional Cibernético de EE.UU., Chris Inglis, y Kemba Walden, Presidente del Paladin Global Institute y ex Director Nacional Cibernético de EE.UU. en funciones.

Más tarde, lanzamos SCW Trust Agent, una oferta complementaria que ofrece visibilidad en todo el repositorio de código de una organización, analizando cada commit con respecto a las habilidades de codificación segura de los desarrolladores. SCW Trust Agent se basa en SCW Trust Score y trabajan juntos para demostrar la eficacia con la que se aplica el programa de seguridad de la empresa en cada commit.

Estas herramientas son fundamentales para ayudar a los responsables de seguridad de las empresas a alcanzar objetivos como las directrices Secure-by-Design de CISA, con la verificación de las habilidades de seguridad de los desarrolladores, los commits seguros y, en última instancia, la erradicación de categorías de vulnerabilidades, elementos necesarios de los principios de diseño seguro probados. 

¡Hola, socio! Nuestra red de socios sigue creciendo, al igual que nuestra base de clientes.

Uno de los aspectos más reconfortantes de pertenecer al sector de la ciberseguridad es comprender que, en esencia, todos somos una gran comunidad de frikis apasionados y que, en su mayor parte, estamos dispuestos a unir nuestras fuerzas no solo en busca del éxito mutuo, sino también de un mundo digital más seguro para todos.

Tenemos el privilegio de contar con una gran variedad de empresas tecnológicas y de seguridad como socios comerciales, y nuestro Programa de Socios es fundamental para ayudarnos a impulsar el crecimiento. A finales de 2024, anunciamos nuestra segunda asociación OEM con OpenText, líder mundial en gestión de la información. Este desarrollo, junto con nuestro socio OEM insignia, Black Duck, nos brinda una oportunidad increíble para ofrecer soluciones integrales a gran escala que satisfagan las necesidades actuales de las empresas y sus programas de seguridad.

Además, ahora contamos con más de 650 clientes empresariales. Desde nuestros humildes comienzos hace diez años, en los que recuerdo haber invitado a nuestro equipo de cuatro personas a una comida barata para celebrar la llegada de nuestro primer gran cliente, nos hemos labrado sin duda una saludable huella de clientes que no temen abordar la seguridad preventiva con los desarrolladores como agentes del cambio.

La IA, el disruptor definitivo, y el futuro de la seguridad impulsada por los desarrolladores.

La inteligencia artificial, los LLM y las herramientas de codificación de IA llevan más de dos años en boca de todos los profesionales de TI, y nos encontramos -como sociedad- en un momento decisivo de nuestra historia tecnológica. La gran cantidad de herramientas de IA en casi todas las categorías promete enormes ganancias de productividad y, en el desarrollo de software, una encuesta reciente de GitHub reveló que la mayoría de los ingenieros han comenzado a adoptar asistentes de codificación impulsados por IA. 

Estas herramientas ya forman parte del panorama del desarrollo de software, a pesar de que sólo el 38% de las organizaciones aprueban su uso. Su uso es inevitable y, en lugar de crear una situación de "IA en la sombra", los responsables de seguridad deberían centrarse en llevar a los desarrolladores por el camino de la codificación segura y responsable. Los desarrolladores conscientes de la seguridad pueden manejar estas herramientas con el pensamiento crítico y la experiencia en seguridad necesarios para beneficiarse realmente del aumento de la productividad, sin aumentar el riesgo continuo perpetuado por los desarrolladores con escasas habilidades de seguridad. 

2025 es el año en que se seguirán viendo avances en la codificación de IA. Aun así, puede que tengamos un par de cosas en la manga para ayudar a las empresas a aplicar eficazmente la gestión de riesgos de los desarrolladores en este ámbito y en muchos otros. Tendrá que permanecer atento y ver adónde nos lleva nuestro viaje.

Con la vista puesta en 2025, tras un año emocionante y lleno de retos, la intersección de la IA y el desarrollo de software seguirá dando forma a la comunidad de desarrolladores de manera significativa. 

Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de Secure-by-Design, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año:
‍

Reescribiendo la ecuación de la IA: No IA en lugar de desarrollador, sino IA + desarrollador

"A medida que las empresas se ven abocadas a tomar medidas drásticas de reducción de costes en 2025, a nadie le sorprendería que los desarrolladores fueran sustituidos por herramientas de IA. Pero tal y como era la situación cuando la IA Generativa hizo su debut por primera vez y ahora con años de actualizaciones y más por venir, todavía no es un motor de productividad seguro y autónomo, especialmente a la hora de crear código. La IA es una tecnología altamente disruptiva con muchas aplicaciones y casos de uso sorprendentes, pero no es un sustituto suficiente para los desarrolladores humanos cualificados. Estoy de acuerdo con la predicción de Forrester de que este cambio hacia la sustitución IA/humano en 2025 probablemente fracasará, y especialmente a largo plazo. Creo que la combinación de IA+desarrollador tiene más probabilidades de lograrlo que la IA por sí sola."

‍

La IA ofrece una mezcla de riesgos y oportunidades

"Durante 2025, veremos surgir nuevos casos de riesgo a partir de código generado por IA, incluidos los efectos adversos de problemas conocidos como la alucinación en cuclillas, las bibliotecas envenenadas y los exploits que afectan a la cadena de suministro de software. Además, la IA se utilizará mucho más para encontrar fallos en el código, así como para escribir exploits para él, como acaba de demostrar el Project Zero de Google. Por el contrario, creo que lo que veremos adicionalmente son algunos niveles iniciales de madurez alcanzados con desarrolladores empresariales capaces de aprovechar estas herramientas en su trabajo sin añadir demasiado riesgo adicional, sin embargo, esto sería la excepción, no la regla, y dependería de que su organización midiera activamente el riesgo de los desarrolladores y ajustara su programa de seguridad en consecuencia. En el entorno de amenazas en rápida evolución que seguramente traerá 2025, serán los desarrolladores cualificados y conscientes de la seguridad con herramientas de codificación de IA aprobadas los que podrán producir código más rápido, mientras que los desarrolladores con poca conciencia de seguridad y habilidades generales solo introducirán más problemas, y a mayor velocidad." 

‍

Salir de las sombras [de la IA

"El panorama legislativo en torno a la IA está cambiando rápidamente en un intento de mantenerse al día con los frecuentes avances de la tecnología y su ritmo de adopción. En 2025, los responsables de seguridad deben asegurarse de que están preparados para cumplir las posibles directivas. Una combinación de lo siguiente -entender la naturaleza de la "IA en la sombra" y luego asegurarse de que no se está utilizando en la organización, seguido del uso estricto de solo herramientas aprobadas y verificadas instaladas en los sistemas de la empresa- demostrará ser lo más crítico para las organizaciones en el próximo año. Esto conducirá a una mayor assessment de la cohorte de desarrollo, para entender cómo deben ser mejor apoyados para crecer continuamente su destreza de seguridad y aplicarlo a todos los aspectos de su trabajo."

‍

La seguridad de las herramientas de IA será una medida clave para los desarrolladores

"En estos momentos, el mercado de las herramientas de codificación basadas en LLM está en plena ebullición. No paran de aparecer novedades, cada una de ellas con mejores resultados, seguridad y productividad. A medida que nos adentramos en 2025, necesitamos una norma que sirva de referencia para evaluar el nivel de seguridad de cada herramienta de IA. Esto incluye las capacidades de codificación, es decir, su capacidad para generar código con patrones de codificación buenos y seguros que no puedan ser explotados por agentes de amenazas". 

‍

La IA dificultará la entrada en el sector de los desarrolladores noveles

"Los desarrolladores tienen más barreras de entrada que nunca. Con las fuerzas de trabajo híbridas y distribuidas y el nivel de competencias requerido para los puestos de nivel inicial, el listón sigue subiendo cada año para los desarrolladores junior. En 2025, los empleadores empezarán a esperar que los desarrolladores junior ya tengan las habilidades y conocimientos para integrar y optimizar las herramientas de IA de forma segura dentro de su flujo de trabajo cuando empiecen a trabajar, en lugar de dedicar tiempo a la formación en el puesto de trabajo. En el próximo año, los desarrolladores que no aprendan a aprovechar las herramientas de IA en su flujo de trabajo de desarrollo se enfrentarán a importantes consecuencias para su propio crecimiento profesional y tendrán dificultades para conseguir oportunidades de empleo. Corren el riesgo de obstaculizar su "licencia para codificar", lo que impide su participación en proyectos más complejos, ya que el dominio seguro de la IA acabará siendo clave."

‍

El tiempo impedirá a las organizaciones alcanzar la seguridad por diseño

"Los desarrolladores necesitan tiempo y recursos suficientes para actualizarse y familiarizarse con las herramientas y prácticas adecuadas para lograr "Secure by Design". A menos que las organizaciones consigan la implicación de los responsables de seguridad e ingeniería, sus avances se verán obstaculizados o se estancarán por completo. Cuando las organizaciones intentan reducir costes o restringir recursos, a menudo dan prioridad a los esfuerzos de corrección inmediatos frente a las soluciones a largo plazo, centrándose en herramientas de corrección polifacéticas que hacen algunas cosas "bien" y todo lo demás "mediocre". En 2025, este desequilibrio creará una mayor disparidad entre las organizaciones que dan prioridad al desarrollo de software seguro y las que sólo quieren una solución rápida para seguir el ritmo de un panorama cambiante."

‍

Las auditorías de seguridad de la cadena de suministro desempeñarán un papel fundamental en la mitigación de los riesgos mundiales

"Todos los proveedores externos/terceros empezarán a ser objeto de un mayor escrutinio. Puedes tener el mejor programa de seguridad interno, pero si las empresas a las que subcontratas no practican Secure by Design, todo el marco de seguridad puede verse comprometido. Como resultado, las organizaciones van a auditar en gran medida sus esfuerzos de externalización, presionando a los líderes empresariales para que sigan estrictas directrices de seguridad y cumplimiento de la industria. En última instancia, el éxito de los equipos de seguridad depende de una visión holística de 360 grados, que incluya un enfoque unificado en toda la organización y en cualquier socio externo."

‍

La IA influirá a la hora de "cortar el ruido"  

"Los equipos de desarrollo luchan contra las tasas de falsos positivos con los escáneres de vulnerabilidades de código. ¿Cómo pueden estar seguros de que las vulnerabilidades que se les asignan son realmente un riesgo para la seguridad? En 2025, la IA será una herramienta crucial para ayudar a los desarrolladores a "eliminar el ruido" en lo que respecta a la corrección del código, proporcionando una comprensión más profunda del propio código. Al aprovechar el aprendizaje automático, la IA puede priorizar mejor las amenazas reales basándose en el contexto, reduciendo el tiempo dedicado a mejorar la precisión de las alertas de seguridad. Esto permitirá a los equipos centrarse en las vulnerabilidades que realmente suponen un riesgo, mejorando la eficiencia general y permitiendo ciclos de desarrollo más rápidos y seguros."

‍

La evaluación comparativa será la solución para que las organizaciones alcancen los objetivos de seguridad por diseño

"La ausencia de un punto de referencia en materia de seguridad resultará perjudicial para las organizaciones en 2025, ya que no dispondrán de un punto de referencia claro para medir sus progresos en el cumplimiento de las normas de Secure by Design. Sin un sistema de evaluación comparativa que valore la forma en que los equipos se adhieren a las prácticas de codificación segura, estas organizaciones corren el riesgo de introducir inadvertidamente vulnerabilidades que podrían dar lugar a una brecha importante. Y si se produce una brecha, lo más probable es que no tengan tiempo para implantar un sistema de evaluación comparativa, sino que se vean obligadas a acelerar sus iniciativas SBD sin evaluar primero la madurez de seguridad de sus equipos de desarrolladores, exponiendo en última instancia a su organización a riesgos aún mayores."

‍

Deuda técnica a costa del código generado por IA

"No es ningún secreto que la industria ya tiene un enorme problema con la deuda técnica, y eso con el código que ya se ha escrito. Con el aumento de la confianza ciega de los desarrolladores en el código intrínsecamente inseguro generado por IA, además de la limitada supervisión ejecutiva, esto solo va a empeorar. Es muy posible que esta dinámica nos lleve a ver un aumento de 10 veces en CVEs reportados este próximo año."

‍

Para tener éxito en 2025, las organizaciones deben estar dispuestas a introducir la IA de forma responsable y segura, junto con una formación adecuada e inversiones en mitigación de riesgos para sus equipos de desarrollo. El año que viene se cumple un año del compromiso de CISA con el diseño seguro, y las marcas que mantendrán su ventaja competitiva serán las que prioricen su enfoque de desarrollo seguro para eliminar mejor el riesgo asociado a la IA, los problemas de seguridad de terceros y otras amenazas emergentes.

Adoptar un enfoque proactivo para proteger su software requiere que se mantenga a la vanguardia de las últimas normas y requisitos de cumplimiento. Después de todo, el panorama de la ciberseguridad está en constante movimiento con nuevas amenazas y vulnerabilidades, especialmente a medida que surgen nuevas tecnologías. Nunca ha sido esto más cierto que hoy, cuando nos encontramos colectivamente en un punto de inflexión de la IA en el que parecen surgir nuevas evoluciones y casos de uso cada día. 

Para hacer frente a estos retos, la Fundación OWASP ha publicado recientemente su versión actualizada del OWASP Top 10 for Large Language Model (LLM) Applications, que pretende informar a los desarrolladores, arquitectos y otros contribuyentes a la entrega de software de los riesgos potenciales a la hora de desplegar LLMs y aplicaciones de IA Generativa. Y en Secure Code Warrior nos complace anunciar que los cambios y actualizaciones de esta última versión ya están implementados y disponibles en nuestro código seguro learning platform. Con estos nuevos materiales disponibles y actualizados, todos nuestros usuarios pueden mantenerse a la vanguardia de la mitigación de riesgos al utilizar LLMs.

Novedades de esta actualización

OWASP ha eliminado dos elementos de su anterior Top 10:

• Diseño inseguro de plugins - que se refiere a cómo los LLM interactúan con los plugins y cómo los plugins interactúan con el almacenamiento externo o los servicios. 
• Robo de modelos: se refiere a la reproducción o adquisición no autorizada de modelos de aprendizaje automático o sistemas de IA.

De acuerdo con las versiones anteriores del Top 10 de OWASP, Secure Code Warrior tenía directrices asociadas a estas vulnerabilidades como parte de nuestro curso Top 10 de LLM. Estas Guías, que proveen información digerible sobre vulnerabilidades y conceptos de seguridad en un formato fácil de entender y leer, han sido removidas del currículum del Curso. Sin embargo, las directrices siguen estando disponibles en Explore, junto con el resto del material didáctico que ofrecemos. 

Manteniendo su Top 10 en un 10 oficial, OWASP ha añadido dos nuevos elementos:

• Filtración de avisos del sistema : cuando los avisos que guían el comportamiento de un modelo, normalmente ocultos, quedan expuestos a los usuarios.
• Vectorización e incrustación : pueden exponer información específica, exclusiva o en tiempo real que no está disponible públicamente.

Las directrices para estas vulnerabilidades han sido añadidas al Curso LLM Top 10, y al igual que las directrices que fueron eliminadas, estas dos también están accesibles en Explore para los usuarios que quieran aprovechar el aprendizaje a su propio ritmo.

Por último, OWASP también ha realizado algunos cambios en las categorías de vulnerabilidades existentes en su lista, renombrando algunas categorías para que sean más amplias o específicas, y modificando sus definiciones. Nuestras directrices sobre estos temas se han actualizado para reflejar tanto los cambios menores de la guía de OWASP como las nuevas convenciones de nomenclatura. Adicionalmente su listado en orden de prioridad ha sido actualizado para coincidir con el orden establecido en el Top 10 de OWASP LLM.

En Secure Code Warrior, nos comprometemos a ayudar a nuestros usuarios a mantenerse a la vanguardia. Con las últimas actualizaciones de OWASP ya reflejadas en nuestro ágil learning platform, hemos facilitado a nuestros usuarios el acceso a materiales de formación actualizados que cubren las vulnerabilidades más actuales y mitigan el riesgo al desplegar tecnologías LLM y Generative AI. Ya sea que esté navegando por las amenazas recientemente introducidas de System Prompt Leakage o Vector and Embedding, o actualizando su comprensión de Misinformation y Unbounded Consumption, nuestra plataforma proporciona los recursos que necesita para dominar estos conceptos críticos mejorando su postura de seguridad.

Una forma segura de mejorar la postura de seguridad de su organización es a través de la capacitación de los desarrolladores en las mejores prácticas de codificación segura, proporcionadas en un marco que incluya líneas de base y puntos de referencia diseñados para dar a los desarrolladores las vías de aprendizaje específicas que necesitan. La codificación segura, sin embargo, no es una solución de una sola vez: debe convertirse en una forma de vida, codificada en el ADN de una organización. Los desarrolladores no sólo tienen que cambiar a la izquierda, o empezar por la izquierda, sino que tienen que permanecer en ella. 

No basta con impartir formación. Las organizaciones necesitan confirmar que los desarrolladores han asimilado completamente su formación y siguen las mejores prácticas al principio del ciclo de vida de desarrollo de software (SDLC) como parte de sus rutinas diarias. Es necesario realizar un seguimiento del rendimiento de los desarrolladores y medir su progreso tanto con respecto a los estándares internos como a los puntos de referencia del sector, midiendo de forma eficaz el ROI de la inversión en formación.

Secure Code Warrior's Trust Score proporciona visibilidad sobre el rendimiento de los desarrolladores individuales y agrega los datos para proporcionar una assessment del rendimiento general de su organización. Muestra la eficacia de los programas de mejora de las competencias e identifica las áreas que necesitan mejoras. Y, ayuda a garantizar el cumplimiento de la gama de requisitos de cumplimiento normativo, ya provengan del Reglamento General de Protección de Datos(GDPR), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago(PCI DSS), la Ley de Privacidad del Consumidor de California(CCPA) u otros.

Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.

La formación mejora la seguridad, si los desarrolladores la reciben 

Durante años, el uso de las mejores prácticas de seguridad al inicio del SDLC parecía ser una aspiración en la industria del software, algo a lo que se podía aspirar algún día, pero que no era una prioridad en la actualidad. Pero la velocidad cada vez mayor del desarrollo de software, junto con el ritmo acelerado de las ciberamenazas sofisticadas y destructivas -a menudo basadas en vulnerabilidades de software- han hecho que la codificación segura sea esencial. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras(CISA) pone el código seguro en primer plano con su iniciativa Secure-by-Design, que se está convirtiendo en un movimiento internacional. 

Nuestra investigación ha demostrado que la correlación entre un enfoque de seguridad por diseño y una reducción de las vulnerabilidades del software es clara. Analizamos los datos de reducción de vulnerabilidades del 26% de la base de clientes de SCW y descubrimos que la formación de desarrolladores se traducía en reducciones de vulnerabilidades de software que oscilaban entre el 22% y el 84%. Ese rango era el resultado de variables como el tamaño de las empresas implicadas (las empresas más pequeñas con relativamente pocos desarrolladores producían un rango más dramático de resultados), y si un grupo de aprendizaje se centraba en un problema específico, en cuyo caso eliminaban un mayor porcentaje de fallos.

Los resultados de las grandes empresas fueron bastante coherentes. Las empresas con 7.000 desarrolladores o más pueden esperar que las vulnerabilidades se reduzcan entre un 47% y un 53% como resultado de la mejora de las competencias de los desarrolladores en materia de seguridad. Por ejemplo, una empresa estadísticamente media con más de 10.000 desarrolladores -que no es una de las de mayor rendimiento en la plataforma ni una de las de mayor referencia- obtuvo una reducción del 53% en vulnerabilidades. 

Por supuesto, la formación más eficaz no adopta un enfoque amplio y único. Debe adaptarse a los entornos de trabajo de los desarrolladores y a los tipos de desarrollo que realizan.

Las empresas deben empezar por establecer los conocimientos básicos que deben tener los desarrolladores para que escribir código seguro les resulte tan natural como escribir código sin más. Los programas de perfeccionamiento deben consistir en una formación práctica y ágil en escenarios reales que se ajusten al tipo de trabajo que realizan y a los lenguajes que utilizan. Y deben ser lo suficientemente flexibles para que las sesiones de formación se adapten a sus horarios de trabajo. 

Para los desarrolladores, el conjunto de habilidades implica algo más que escribir código. Tienen que ser capaces de comprobar el software creado por asistentes de inteligencia artificial y terceros, como los repositorios de código abierto. Los desarrolladores han hecho un uso ávido de los modelos generativos de IA y, en general, han alabado sus ventajas a la hora de ayudarles a crear más código con mayor rapidez. Sin embargo, aunque el 76% de los participantes en una encuesta de Snyk afirmaron que el código generado por IA era más seguro que el producido por humanos, el 56,4% seguía afirmando que la IA introduce errores a veces o con frecuencia. Y la misma encuesta reveló que el 80% de los desarrolladores omiten la aplicación de políticas de seguridad del código de IA, lo que sugiere que no se están abordando los problemas del código de IA.

En un enfoque de seguridad por diseño, los desarrolladores -trabajando con los equipos de seguridad, en lugar de por separado- abordarán estos problemas en una fase temprana del SDLC, identificando y corrigiendo los fallos antes de que el código pase a producción.

La puntuación de confianza mide el rendimiento individual y empresarial

También es fundamental que la formación sea continua. Las empresas deben adoptar una cultura que dé prioridad a la seguridad y que se aplique en todas partes, desde los niveles más altos de la empresa hasta los más bajos. Debe centrarse en la mejora continua y en la aplicación de las mejores prácticas de seguridad en todo el SDLC. La tecnología y los ciberdelincuentes no dejan de evolucionar; la ciberseguridad tampoco debería hacerlo. Para las organizaciones que producen software, los desarrolladores formados en seguridad son la base.

Por eso, demostrar que la formación se ha asentado de forma efectiva es tan importante como la propia formación. Trust Score no sólo ofrece visibilidad del rendimiento de los desarrolladores individualmente y de la organización en general, sino que permite a las organizaciones desglosar los datos de rendimiento para centrarse en lenguajes específicos, equipos de desarrolladores o categorías de software. Los datos de los resultados de rendimiento individuales y agregados también ayudan a identificar las áreas en las que es necesario mejorar la formación, por ejemplo, si no está teniendo el efecto deseado en el rendimiento diario de los desarrolladores.

Trust Score ha permitido a las organizaciones evaluar el rendimiento de los desarrolladores y confirmar si han adquirido -y están utilizando- los conocimientos de seguridad necesarios, garantizando que se han ganado su licencia para codificar. Permite a las organizaciones conceder con confianza a los desarrolladores cualificados acceso a sus datos más confidenciales y proyectos de software críticos, mientras que deniega ese acceso a aquellos que aún no están preparados.

Prueba del cambio de la cultura de seguridad

La ciberseguridad ya no es sólo una cuestión de seguridad. Es una cuestión empresarial, que afecta a la integridad del activo más valioso de muchas organizaciones: sus datos. Una violación grave afecta a las operaciones de una organización, a su reputación y, potencialmente, a su viabilidad. La importancia de la ciberseguridad no ha pasado desapercibida para los organismos reguladores, que han ido aplicando normativas cada vez más estrictas y se han mostrado dispuestos a perseguir a los CISO y, potencialmente, a otros miembros de la alta dirección, incluso hasta el punto de presentar cargos penales, como en los casos de Uber y SolarWinds. 

Adoptar una cultura de seguridad en toda la empresa es esencial en el entorno actual. Y dado que gran parte del valor de una empresa reside en sus datos, aplicaciones y servicios, la codificación segura es un elemento esencial de esa cultura. La formación y el perfeccionamiento específicos como parte de una mentalidad cultural, junto con pruebas de que la formación ha ayudado a cambiar la cultura, pueden encaminar a las organizaciones hacia el fortalecimiento de sus posturas de seguridad. 

Los programas de seguridad impulsados por los desarrolladores tienen valor. La prueba está en la puntuación de confianza.

Los equipos de seguridad tienen dificultades para seguir el ritmo de la oleada de nuevas innovaciones en el mundo actual de DevOps impulsado por la nube, por lo que es lógico que sean igualmente incapaces de seguir el ritmo de la miríada de formas en que los atacantes explotan las debilidades que inevitablemente surgen con tanto código generado constantemente. 

Sin embargo, a pesar del ritmo acelerado de las violaciones de seguridad importantes -desde la violación de datos de Equifax y el ataque a la cadena de suministro de SolarWinds hasta más incidentes en los últimos años, como los ataques con éxito a Change Healthcare, AT&T y otros-, muchas organizaciones siguen centrándose en un enfoque reactivo de la seguridad. Dedican la mayor parte de sus recursos de seguridad a encontrar y corregir vulnerabilidades y a responder a los incidentes a medida que se producen. Este enfoque podría haber sido adecuado en otra época, pero la rápida evolución del software, las capacidades tecnológicas y la infraestructura de TI es demasiado para que los equipos de seguridad, faltos de personal y sobrecargados de trabajo, puedan seguir el ritmo.

Para evitar estar continuamente en desventaja, tienen que dejar de perseguir amenazas de seguridad que se mueven demasiado rápido para ellos o esperar a que el caballo de la violación de datos esté fuera del establo. En lugar de ello, deben adelantarse al problema adoptando un enfoque preventivo, en lugar de reactivo. Mejorar la seguridad tanto de las aplicaciones heredadas como de las nuevas requiere un enfoque de seguridad por diseño -reforzado por una formación eficaz de los desarrolladores- para garantizar que se emplean las mejores prácticas de seguridad al principio del ciclo de vida de desarrollo del software (SDLC) y que se corrigen las vulnerabilidades antes de que pasen a producción.

Hasta la fecha, esto ha resultado mucho más fácil de decir que de hacer. 

Escasean los programadores seguros

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) ha intentado impulsar la prevención como política clave con su iniciativa Secure-by-Design, que promueve la codificación segura junto con otras buenas prácticas -desde la autenticación multifactor (MFA) hasta la reducción de clases de vulnerabilidades- y anima a las organizaciones a asumir el Compromiso Secure-by-Design. Otros países, como Australia, Canadá, Alemania y el Reino Unido, han puesto en marcha programas similares. Sin embargo, nuestra investigación muestra que muy pocas organizaciones se han subido al carro hasta ahora.

Si combinamos todos los desarrolladores de Secure Code Warrior's Learning Platform con los de los competidores de SCW que trabajan en la vena de Secure-by-Design, hay entre 500.000 y 1 millón de desarrolladores que están adoptando este enfoque. Según la estimación más generosa, esto supone alrededor del 3,5% del número total de desarrolladores en todo el mundo, que se prevé que alcance los 28,7 millones a finales de 2024. Son muchos desarrolladores produciendo más código que nunca, especialmente con programas de inteligencia artificial generativa que aceleran enorm emente el ritmo de desarrollo, y muy pocos aprendiendo a empezar con código seguro. 

Por lo general, a los ingenieros de software no se les enseña ciberseguridad porque el modelo tradicional ha exigido que los desarrolladores y los profesionales de la seguridad trabajen como entidades separadas, y que los equipos de seguridad se ocupen de los problemas de seguridad después de que se haya creado el software. Pero los profesionales de la seguridad están lamentablemente superados en número en el entorno actual. El informe más reciente de Building Security in Maturity Model, BSIMM14, muestra que hay, de media, 3,87 profesionales de AppSec por cada 100 desarrolladores en todo el mundo. Contar con menos de cuatro especialistas formados para tratar de proteger los resultados de 100 desarrolladores que trabajan a una velocidad de vértigo no es una receta para conseguir un código seguro. 

El descuido de la seguridad de las aplicaciones es igualmente evidente cuando se compara su tamaño de mercado con otros sectores de la seguridad. Los componentes que conforman un enfoque Secure-by-Design entran en el mercado de la seguridad de las aplicaciones, que se espera que crezca de 6.080 millones de dólares en 2023 a 17.510 millones en 2031. Parece un crecimiento rápido, pero palidece cuando se compara con el dinero que se gasta en seguridad de redes, que se prevé que aumente de 23.570 millones de dólares en 2023 a 67.330 millones en 2032, o en seguridad de tecnología operativa, que se prevé que crezca de 18.030 millones en 2023 a 57.510 millones en 2031. 

Teniendo en cuenta la creciente importancia del código y las aplicaciones seguras, este ámbito está infradotado. De hecho, si las empresas invierten más en la seguridad de las aplicaciones y en un enfoque Secure-by-Design, podrían ahorrar en otras áreas de seguridad. 

Hay otros factores que contribuyen a la opinión de que la seguridad preventiva es más difícil de implantar y, por tanto, de vender a los altos ejecutivos. Por un lado, las empresas que llevan mucho tiempo funcionando, como las del sector de servicios financieros, cargan con viejos sistemas heredados, algunos de los cuales datan de mediados del siglo pasado, cuando COBOL era el lenguaje de programación preferido. 

La idea de introducir la seguridad preventiva en el código y los sistemas heredados al mismo tiempo que en las aplicaciones más recientes puede parecer desalentadora, pero un planteamiento basado en el diseño seguro, aplicado mediante la mejora de las competencias de los desarrolladores, puede aplicar las mejores prácticas de seguridad a esos sistemas. Es la mejor oportunidad que tienen muchas organizaciones de mejorar su seguridad. 

Crear una cultura de prevención

Puede que la transición hacia un enfoque preventivo de la seguridad esté teniendo un comienzo lento, pero el impulso para adoptar prácticas de seguridad por diseño no va a desaparecer porque la necesidad apremiante de ello en el entorno actual de ciberamenazas tampoco va a desaparecer. A la industria del automóvil se le echaría la culpa si decidiera invertir en más ambulancias y paramédicos en lugar de hacer coches más seguros, pero muchas organizaciones siguen ese modelo cuando se trata de ciberseguridad.

Las organizaciones deben adoptar un enfoque preventivo y proactivo para reducir el riesgo. Deben crear programas para capacitar a los desarrolladores en la escritura de código seguro y la corrección de errores (como los introducidos por asistentes de IA o código de terceros) en una fase temprana del SDLC. Estos programas deben incluir programas de formación ágiles e interactivos que se ajusten a los horarios de los desarrolladores y puedan adaptarse a sus entornos de trabajo y a los lenguajes de programación que utilizan. El perfeccionamiento debe incluir formación práctica que aborde problemas del mundo real.

Y lo que es más importante, debe incluir un medio de medir sus progresos para garantizar que han convertido las mejores prácticas de seguridad en una parte vital de sus rutinas diarias. Una herramienta como Trust Score de SCW utiliza puntos de referencia para medir el progreso tanto internamente como en comparación con los estándares del sector, al tiempo que identifica las áreas que deben mejorarse. 

Un planteamiento de seguridad desde el diseño sería holístico y reflejaría una mentalidad de la organización en la que la seguridad es lo primero, una prioridad empresarial. No cabe duda de que la respuesta y la recuperación son partes esenciales de la postura global de seguridad de una organización. Pero si se centran en la prevención, las empresas pueden hacer grandes progresos en la reducción del riesgo y tal vez evitar el tipo de brechas importantes que pueden amenazar la viabilidad de un negocio.

Obtenga más información sobre cómo Secure Code Warrior puede ayudarle a realizar una iniciativa viable de Secure-by-Design hoy mismo.

Con unas amenazas cibernéticas cada vez más frecuentes y sofisticadas, la atención de la ciberseguridad se centra en la importancia del código seguro. La Estrategia Nacional de Ciberseguridad de la Casa Blanca y la iniciativa Secure-by-Design de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), junto con las iniciativas y la legislación de otros países, ponen la responsabilidad de la seguridad directamente sobre el hombro de los productores de software. Cambiar a la izquierda -o más exactamente, empezar por la izquierda- para garantizar la seguridad en una fase temprana del ciclo de vida de desarrollo de software (SDLC), que antes se consideraba algo agradable de tener, es ahora esencial para que las organizaciones protejan sus datos y sistemas y eviten las consecuencias normativas tras una infracción.

La clave para garantizar unas prácticas de codificación seguras está en la formación de los desarrolladores. Los ingenieros de software suelen recibir poca o ninguna formación en ciberseguridad. Su trabajo, especialmente en el entorno acelerado de DevOps de hoy en día, ha consistido en crear nuevas aplicaciones, actualizaciones y servicios lo más rápidamente posible -cada vez más con la ayuda de modelos generativos de IA de rápido funcionamiento- y dejar que los equipos de seguridad se ocupen de los problemas de ciberseguridad en algún momento posterior del SDLC. Esta es una forma ineficaz de abordar la plétora de fallos que surgen con la creación de tanto código, lo que a menudo da lugar a que se liberen vulnerabilidades de software en el ecosistema.

Los desarrolladores deben recibir formación para escribir código seguro desde el principio y ser capaces de detectar el código inseguro generado por la IA o cuando está presente en el software de código abierto y de terceros que utilizan. Para muchos equipos de desarrollo y organizaciones, este es un territorio desconocido. ¿Cómo saben que los desarrolladores están recibiendo la formación que necesitan? ¿Y se aplica esa formación con regularidad?

Algunas empresas que se dedican a la formación de desarrolladores han considerado beneficioso establecer un conjunto de competencias de referencia que los desarrolladores deben adquirir y medir su progreso en función de unos puntos de referencia claramente definidos. Para ayudar en este esfuerzo, Secure Code Warrior ha lanzado un punto de referencia diseñado para medir con precisión el progreso de los desarrolladores en la formación en seguridad. El SCW Trust Score permite a las organizaciones medir hasta qué punto se está aplicando la formación en el trabajo y facilita la colaboración entre los equipos de seguridad, desarrollo e ingeniería.

Es una forma de comprobar que la formación en código seguro está arraigando, al tiempo que se identifican las áreas susceptibles de mejora.

Razones para un diseño seguro

Los productores de software tienen motivos de sobra para introducir la seguridad en el SDLC al principio del proceso. La creciente demanda de aplicaciones y servicios y la velocidad que la IA aporta al proceso de desarrollo ha demostrado ser útil para los desarrolladores, que adoptaron rápidamente la IA generativa, pero también da lugar inevitablemente a que se libere software con errores. Cuanto más código se genera, más fallos hay, y un estudio reciente ha descubierto que casi tres cuartas partes de las aplicaciones (independientemente de cómo se hayan creado) contienen al menos un fallo de seguridad, y casi el 20% de ellos se consideran críticos. 

Ponerse al día con las vulnerabilidades más tarde en el SDLC se está convirtiendo en algo prohibitivamente lento y costoso. El Instituto Nacional de Estándares y Tecnología (NIST) ha descubierto que corregir los defectos durante las pruebas lleva 15 veces más tiempo que asegurar el software al principio del SDLC, y corregirlos durante la fase de despliegue/mantenimiento puede llevar de 30 a 100 veces más. 

Todo esto subraya la importancia de aplicar la seguridad al principio del ciclo de desarrollo, lo que ha demostrado ser no sólo la forma más eficaz de reducir el riesgo, sino también la más rentable. Los desarrolladores -trabajando con equipos de seguridad en lugar de tenerlos funcionando como entidades separadas- están en la mejor posición para introducir la seguridad al principio del SDLC. Y los desarrolladores formados en las mejores prácticas de seguridad han sido eficaces a la hora de reducir las vulnerabilidades. El problema es que muy pocos de ellos han recibido formación.

La belleza de los puntos de referencia 

El camino básico para las empresas consiste en establecer una base de competencias en materia de seguridad, impartir formación y verificar, tanto ante las organizaciones como ante los organismos reguladores, que los desarrolladores han adquirido las competencias necesarias. Esto ha resultado difícil para muchas organizaciones de todos los sectores económicos, pero no tiene por qué serlo.

Uno de los retos a los que se enfrentan los responsables de seguridad es la dificultad de ampliar un programa de formación a toda la empresa. Pero la investigación de SCW muestra que las organizaciones, especialmente las que cuentan con grandes cuadros de desarrolladores, pueden aplicar con éxito un enfoque de diseño seguro. Los resultados de las organizaciones más pequeñas tienden a mostrar una gran variación en la aplicación de los principios de diseño seguro. Aún así, también pueden beneficiarse de un enfoque que incluya Trust Scores, y probablemente mostrarán mejoras más rápidamente.

Trust Score utiliza métricas de evaluación comparativa para medir el progreso de los alumnos individuales, agrega sus puntuaciones para evaluar el rendimiento del equipo en general y compara el progreso de la organización con los puntos de referencia y las mejores prácticas del sector. No sólo realiza un seguimiento de la formación, sino que muestra hasta qué punto los desarrolladores aplican sus nuevas habilidades en el día a día. También pone de relieve las áreas que deben mejorarse, lo que permite a la organización optimizar sus programas de formación. 

En todos los sectores de infraestructuras críticas de CISA para los que se disponía de datos, la mayoría de las organizaciones se encuentran más o menos al mismo nivel en la aplicación de principios de diseño seguro. Las puntuaciones de confianza de sectores que van desde los servicios financieros y la base industrial de defensa hasta la sanidad, las TI y la fabricación crítica se situaron en el mismo rango, un poco por encima de 300 en una escala de 1.000 puntos. Ningún sector supera a los demás, a pesar de la creencia generalizada de que los servicios financieros, al ser el más regulado, estarían muy por delante.

Los sectores de infraestructuras críticas no incluidos en la clasificación Trust Score -como las operaciones químicas, energéticas y nucleares- no suelen crear su propio software, sino que confían en otros sectores, especialmente en el de TI. Sin embargo, la importancia de mantener sistemas seguros dentro de estos sectores (nadie quiere ver comprometida una central nuclear) sólo demuestra lo esencial que es asegurar el software que utilizan en primer lugar.

Conclusión:

El aumento de la presión normativa y la realidad del panorama de las ciberamenazas han hecho imperativo un enfoque de seguridad desde el diseño para las organizaciones que desean proteger sus datos, sistemas, operaciones empresariales y reputación. En gran parte, la creación de software seguro está en manos de los desarrolladores, pero necesitan ayuda en forma de un programa de formación y actualización exhaustivo que les proporcione la educación que necesitan y les muestre cómo se aplica. 

Un programa que incluya puntos de referencia, respaldado por una herramienta como Trust Score, puede proporcionar una visión clara del progreso crítico de un equipo de desarrollo. Se trata de un nuevo enfoque vital que tanto los desarrolladores como las empresas para las que trabajan necesitan para garantizar que mejoran constantemente sus habilidades de desarrollo de software seguro, al tiempo que cumplen los nuevos requisitos de Secure-by-Design.

‍

Ha sido alentador ver cómo el movimiento Secure-By-Design (SBD) de CISA ha cobrado impulso en todo el mundo, ya que Estados Unidos, Australia, Nueva Zelanda, Canadá, Singapur, Japón, Alemania y el Reino Unido se han comprometido a incorporar directrices similares en sus estrategias de ciberseguridad más amplias, y muchas de estas naciones también han contribuido a las recomendaciones originales.

Desde abril de 2024, más de 200 empresas, entre ellas Secure Code WarriorDesde abril de 2024, más de 200 empresas, entre las que se incluye el Reino Unido, han firmado el compromiso "Secure-by-Design", lo que indica un compromiso más amplio de la industria para mejorar la calidad del software y las normas de seguridad. Vemos estas directrices como un momento crucial para los líderes de la ciberseguridad que, por primera vez, cuentan con el apoyo de un gobierno mundial para un cambio cultural significativo en el desarrollo de software. Aunque estas recomendaciones aún no son obligatorias fuera de los proveedores de software que venden directamente al gobierno de EE.UU., veo esto no sólo como el futuro, sino como una oportunidad de oro para empezar a luchar contra los actores de amenazas. Un aspecto central de las directrices es el esfuerzo por eliminar las categorías de vulnerabilidades, y la concentración de toda la industria en este objetivo podría suponer el impacto positivo más significativo en la seguridad digital en décadas.

Creemos que este movimiento es fundamental, y nuestro último documento de investigación, Benchmarking Security Skills: Racionalización de la seguridad por diseño en la empresa es el resultado de un análisis en profundidad de iniciativas reales de Secure-by-Design a nivel empresarial, y de la derivación de enfoques de mejores prácticas basados en conclusiones basadas en datos. 

Medición del ROI de los esfuerzos de seguridad por diseño de las organizaciones

La revisión de las prácticas de desarrollo de software establecidas desde hace mucho tiempo no es una tarea fácil. Los CISO suelen enfrentarse a desafíos cuando intentan demostrar el retorno de la inversión (ROI) y el valor comercial de las actividades del programa de seguridad, tanto a nivel de personal como de empresa, y muchos expresan una creciente frustración por la reducción presupuestaria y la falta de aceptación por parte de los altos ejecutivos de las nuevas iniciativas cibernéticas. Sin embargo, una propuesta respaldada por datos marcará la diferencia en este caso. 

En los últimos años, la ausencia de un parámetro de referencia de habilidades que permita a las organizaciones evaluar su desempeño en relación con los estándares de la industria ha sido un desafío clave. Esto ha dificultado enormemente la creación e implementación de programas de seguridad que impacten en las áreas adecuadas y fomenten la mejora continua del grupo de desarrollo, un elemento crucial para el éxito de las prácticas de seguridad de software. 

La clave para que las iniciativas de seguridad por diseño funcionen no es solo brindarles a los desarrolladores las habilidades necesarias para garantizar la seguridad del código, sino también garantizarles a los reguladores que esas habilidades están en su lugar. Por eso, decidimos analizar la preparación del equipo de desarrolladores y los resultados pueden sorprender.

Cómo las empresas que intentan acelerar sus iniciativas de SBD pueden aprovechar el índice de confianza

Es prácticamente imposible mejorar de manera eficiente sin una idea clara de dónde se comienza y hacia dónde se debe llegar. Sin embargo, cientos de clientes empresariales utilizan de manera eficaz SCW Trust Score (una referencia global que cuantifica las competencias de seguridad de los equipos de desarrolladores) para proporcionar estos puntos de datos útiles y granulares. Estos conocimientos dan forma a programas de seguridad altamente efectivos, impulsados por los desarrolladores, que favorecen el éxito de las iniciativas Secure-by-Design.

El análisis revelado en nuestro informe técnico muestra que las organizaciones de las principales industrias de infraestructura crítica están avanzando en la preparación de sus desarrolladores para avanzar en sus iniciativas de SBD. También descubrimos que los equipos de desarrolladores de estas industrias poseen una postura de seguridad promedio.

Secure Code Warrior El análisis de la capacitación de desarrolladores en las industrias de infraestructura crítica se basa en información obtenida de más de 20 millones de puntos de datos, de 600 clientes empresariales y más de 250.000 desarrolladores activos en todo el mundo. El análisis concluyó que:

• El número total de desarrolladores que actualmente participan en iniciativas de capacitación de SBD centradas en el desarrollador es menos del 4% de todos los desarrolladores a nivel mundial;
• La industria de servicios financieros tuvo el puntaje de confianza más alto, 336;
• La mayoría de las iniciativas de capacitación a gran escala de Secure-by-Design tienen éxito, mientras que las iniciativas a menor escala tienden a ser dispersas. Sin embargo, cuando se les da un mandato, se ha demostrado que ofrecen un retorno de la inversión (ROI) mensurable más rápidamente;
• Cuando las iniciativas de capacitación están firmemente en marcha, los riesgos introducidos por los desarrolladores en las aplicaciones son considerablemente menores. El análisis determinó que los desarrolladores que participan en grandes iniciativas de capacitación (más de 7000 desarrolladores en una sola empresa) pueden reducir de manera previsible las vulnerabilidades entre un 47 y un 53 %.

La solución | Conclusión

SCW Trust Score es una herramienta poderosa en el arsenal de cualquier líder de seguridad, que permite un análisis exhaustivo de áreas específicas dentro de una organización. Los informes se pueden filtrar según idiomas, equipos o categorías, lo que genera informes personalizados que permiten a las empresas abordar las necesidades específicas de los desarrolladores o equipos e identificar las áreas en las que se necesita capacitación o entrenamiento adicional. Después de todo, la seguridad es una tarea interminable; una evaluación comparativa eficaz del rendimiento ayudará a identificar oportunidades para la mejora continua.

El desarrollo y la implementación acelerados de software, junto con un panorama de amenazas cibernéticas cada vez más amenazador y unos reguladores cada vez más atentos, han puesto la ciberseguridad en primer plano. Las organizaciones, si aún no lo han hecho, deben priorizar el desarrollo de una cultura de seguridad en toda la empresa.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:

‍

"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

• distrotech/tazas-filtros
• OpenPrinting/tazas-filtros
• Cups-browsed
• libcupsfilters
• libppd
  
  

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

1. El actor de la amenaza inicia el ataque
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. El sistema víctima procesa los atributos de la impresora
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. El sistema víctima se conecta al servidor IPP del atacante-controlador
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Información práctica para medir sus esfuerzos de aprendizaje de código seguro 

Maximizar el valor de su programa de aprendizaje de código seguro depende en gran medida del compromiso de sus usuarios. El mundo de la ciberseguridad es un paisaje en constante evolución con nuevas amenazas, así como oportunidades para fortalecer su postura general de seguridad. Adoptar un enfoque proactivo de la seguridad de su código requiere un aprendizaje continuo del código seguro para maximizar la eficacia y relevancia del programa. Para ello, los responsables de los programas deben tener un conocimiento claro de la participación de los usuarios, no sólo en un momento determinado, sino a lo largo de periodos prolongados, con el fin de identificar tendencias y optimizar el rendimiento del programa.

Por eso nos complace anunciar un nuevo informe diseñado para medir el compromiso de sus usuarios que facilita la detección de tendencias clave y la identificación de cuándo tomar medidas dentro de su organización. Con esta nueva información, las organizaciones no solo pueden hacer más para maximizar el retorno de la inversión en aprendizaje seguro de código, sino también mejorar de forma duradera su postura de ciberseguridad.

Novedades de este informe

El informe Engagement Insights presenta una serie de estadísticas clave relevantes para su programa de aprendizaje ágil, durante el período de tiempo seleccionado (por defecto, los últimos 12 meses), todo lo cual también es accesible a través de la API de informes. El informe de participación proporciona una visión rápida y sencilla del número de nuevos alumnos que han participado activamente en el programa ágil de SCW learning platform durante este periodo de tiempo, los alumnos activos que han participado en la plataforma y el número actual de alumnos habilitados.

‍

‍

Estos totales son sólo el principio. Puede desglosar cómo han interactuado sus alumnos con la plataforma y descubrir las tendencias de los alumnos activos durante el periodo de tiempo seleccionado. Con esta información puedes planificar comunicaciones (boletines internos, blogs) u otras actividades de compromiso para que los desarrolladores vuelvan a perfeccionar sus habilidades.

‍

Del mismo modo, el desglose de la última actividad de aprendizaje muestra la última vez que sus alumnos han utilizado la plataforma SCW. Como en cualquier forma de aprendizaje, el recuerdo de los conceptos se desvanece con el tiempo. Lo ideal es que la mayor parte de los alumnos estén agrupados en los dos primeros grupos de actividad reciente. Este tipo de agrupación no sólo mantiene frescas las habilidades de los desarrolladores, sino que mejora la puntuación de confianza de SCW de su organización al evitar la pérdida de habilidades con el paso del tiempo.

‍

‍

Y la información va más allá de la frecuencia y la recurrencia. El informe de compromiso ofrece un desglose de la cantidad de tiempo que los alumnos han pasado en las diferentes partes de la plataforma Secure Code Warrior durante el período de tiempo seleccionado. Los administradores pueden utilizar esta información para identificar los factores que impulsan la participación de los usuarios. ¿Ha pasado algún tiempo desde la última vez que organizó un SCW tournament, podría ser una oportunidad para volver a involucrar a una parte de su cohorte de desarrolladores? ¿Los alumnos utilizan el módulo Explorar para ampliar sus horizontes fuera del contenido de aprendizaje estructurado en Courses o Evaluaciones? Identificar los tipos de alto compromiso, así como los usuarios de alto nivel, ofrece oportunidades para diseñar programas que encantarán a los desarrolladores y celebrar a sus líderes activos.

‍

Como puede ver, hay muchas formas de medir el compromiso de sus alumnos con su programa de aprendizaje ágil. Seguimos dedicados a proporcionar nuevas perspectivas e informes para impulsar los resultados de aprendizaje más eficaces y las mejoras en la postura de ciberseguridad de su organización. Permanezca atento a las próximas novedades y háganos saber si tiene preguntas, comentarios o datos específicos que le gustaría ver para optimizar su programa.

‍