Jefe de Tecnología, Director y Cofundador
Doctor Matias Madou
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Esta vulnerabilidad puede producirse cuando los programadores no implementan correctamente las reglas de la lógica empresarial, lo que podría hacer que sus aplicaciones sean vulnerables a diversos tipos de ataques si un usuario malintencionado las aprovecha.
Si alguna vez hubo algo que pudiera arruinar la Navidad en el sector de la ciberseguridad, ese es una devastadora violación de la privacidad que va camino de convertirse en el mayor caso de ciberespionaje que haya afectado jamás al Gobierno de los Estados Unidos.
La causa principal del hackeo a Equifax es, una vez más, una vulnerabilidad en una aplicación web. Este tipo de vulnerabilidades existen desde hace más de una década, pero siguen siendo igual de relevantes hoy en día.
Los ataques de inyección, el famoso rey de las vulnerabilidades (por categorías), han perdido el primer puesto, ya que el control de acceso se considera la peor de las amenazas, y los desarrolladores deben tomar nota de ello.
En general, las comprobaciones de autorización a nivel de objeto deben incluirse en todas las funciones que accedan a una fuente de datos mediante la entrada de un usuario. De lo contrario, existe un gran riesgo.
Un curso cuidadosamente diseñado, que contenga exactamente los módulos en los que sus desarrolladores deben demostrar sus habilidades, tendrá un gran impacto y les permitirá ponerse manos a la obra de inmediato cuando se trate de aplicar métodos de seguridad probados en su trabajo diario.
No es fácil volver a incorporar las actualizaciones de seguridad en el proceso de desarrollo, pero en el mundo actual, en el que incluso dispositivos aparentemente sencillos, como las herramientas de presentación, son sorprendentemente complejos y están conectados con todo lo demás, es necesario.
Debemos alcanzar un nivel en el que la seguridad se considere una responsabilidad compartida por toda la organización y todo el ciclo de vida del desarrollo de software (SDLC). Sin duda, esto es posible si se opta por un entorno DevSecOps completo y altamente compatible.
La falta de vulnerabilidad en el control de acceso a nivel funcional permite a los usuarios ejecutar funciones que deberían estar restringidas o acceder a recursos que deberían estar protegidos.
La autenticación suele servir como puerta de acceso tanto a una aplicación como, potencialmente, al resto de una red, por lo que resulta un objetivo atractivo para los atacantes. Si un proceso de autenticación es defectuoso o vulnerable, existe una gran probabilidad de que los atacantes descubran y aprovechen esta vulnerabilidad.
El desarrollo de software ya no es una isla, y si tenemos en cuenta todos los aspectos del riesgo asociado al software —desde la nube hasta los sistemas integrados en dispositivos y vehículos, pasando por nuestra infraestructura crítica, por no hablar de las API que lo conectan todo—, la superficie de ataque es ilimitada y está fuera de control.
Se puede afirmar con certeza que los últimos años han cambiado radicalmente los estándares de ciberseguridad y, aunque no es obligatorio, todas las empresas deberían proponerse seguir este ejemplo y examinar minuciosamente las prácticas de seguridad de los proveedores, como si formaran parte de su propio programa de seguridad interno.
La vulnerabilidad de seguridad en las asignaciones masivas surgió porque muchos marcos modernos animaban a los desarrolladores a utilizar funciones que vinculaban automáticamente las entradas de los clientes a variables de código y objetos internos.
Empezamos a pensar en qué podríamos hacer para reducir los obstáculos que impiden acceder a la formación cuando se necesita y cómo se podría implementar el microaprendizaje de forma más fluida en su flujo de trabajo.
Los desarrolladores no tendrán una influencia positiva en la reducción de las vulnerabilidades de seguridad si no tienen un conocimiento básico de cómo funcionan las vulnerabilidades, por qué son peligrosas, qué patrones causan y qué patrones de diseño o codificación las solucionan en un contexto que tenga sentido en su mundo. Un enfoque preparado permite que varios niveles de conocimiento se hagan una idea completa de lo que significa programar de forma segura, defender una base de código y destacar como desarrollador consciente de la seguridad.
Por definición, los ataques de día cero no dan tiempo a los desarrolladores para encontrar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que el agente malicioso ha penetrado primero. El daño ya está hecho y es enorme, tanto para el software como para la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esta ventaja en la medida de lo posible.
Esta es la primera parte de una serie de dos artículos sobre el cumplimiento exitoso de la norma PCI-DSS dentro de una empresa. En este capítulo describimos cómo los especialistas en seguridad de aplicaciones pueden colaborar estrechamente con los responsables de desarrollo para fortalecer a los desarrolladores, reforzar el SSDLC y obtener resultados concretos a partir de la legislación general.
Ya sabemos que un día de trabajo es muy ajetreado. Entonces, ¿qué incentivo tienen los desarrolladores para ir a un aula o cambiar de contexto y seguir cinco pasos para participar en cursos de formación basados en teorías estáticas?
Hay varias razones por las que las herramientas de AppSec no se utilizan como cabría esperar. No se trata tanto de las herramientas y su funcionalidad, sino más bien de cómo se pueden integrar en un programa de seguridad en su conjunto.
Queremos destacar a uno de nuestros expertos, Oscar Quintas. Forma parte de nuestro equipo de contenido de productos y trabaja como investigador sénior de seguridad. También es nuestro mago residente para todo lo relacionado con la infraestructura como código (IaC).
Las condiciones de competencia entre héroes y villanos en materia de ciberseguridad son, como es sabido, injustas. Los datos sensibles son el nuevo oro, y los atacantes se adaptan rápidamente para eludir las medidas de defensa y aprovechan las brechas de seguridad, grandes y pequeñas, para obtener posibles beneficios económicos.
Esta vulnerabilidad se produce cuando se reciben demasiadas solicitudes al mismo tiempo y la API no dispone de suficientes recursos informáticos para procesarlas. En ese caso, la API puede dejar de estar disponible o no responder a nuevas solicitudes.
Si el control de acceso a nivel de infraestructura no funciona a la perfección, toda la empresa queda expuesta a los atacantes, que pueden aprovechar esta brecha de seguridad como puerta de entrada para espiar sin autorización o lanzar un ataque completo.
Los ciberataques son cada vez más frecuentes y las amenazas que afectan a las infraestructuras basadas en Linux son cada vez más habituales. El objetivo final es tener la oportunidad de abrir un cofre del tesoro con datos confidenciales almacenados en la nube.
La mecánica real detrás de esta vulnerabilidad es similar a la de otras, pero en este caso la exposición excesiva de datos se define como aquella que afecta a datos protegidos legalmente o altamente sensibles.
Al igual que con el software basado en web, las API y los dispositivos móviles, el código vulnerable de los sistemas integrados puede ser explotado si un atacante lo descubre en el mundo real.
Esta es la segunda parte de una miniserie sobre el cumplimiento de la norma PCI-DSS dentro de una organización. En este último capítulo, describimos cómo los directores técnicos y los directores de seguridad de la información pueden asumir desde el principio un papel pionero en la reducción de los riesgos cibernéticos y hacer que el proceso sea fluido, exitoso y quizás un poco entretenido para los desarrolladores.
El error de registro y supervisión insuficiente se debe principalmente a un plan de ciberseguridad fallido que registra todos los intentos de autenticación fallidos, denegaciones de acceso y errores de validación de entradas.
Hoy en día, uno de los pilares fundamentales de cualquier defensa de ciberseguridad es el hash de datos importantes, como contraseñas, información personal y documentos financieros, cuando están inactivos.
La reciente normativa sobre ciberseguridad de la Administración Biden ha dado mucho que hablar al sector de la seguridad, especialmente a aquellos que quieren convencer a los desarrolladores de la importancia de aplicar métodos probados para una codificación segura en su trabajo diario.
Debemos reforzar un enfoque basado en las personas para las mejores prácticas de ciberseguridad, lo que dará mejores resultados que si dependemos en gran medida de la automatización, las herramientas y las respuestas a problemas que ya se han integrado y detectado.
Los desarrolladores, junto con los responsables de las configuraciones de seguridad y el control de acceso, son los que más cerca están del código. Es necesario fomentar sus competencias en materia de seguridad y, para alcanzar los elevados estándares establecidos por el NIST, una estructura de cursos orientada a la práctica podría ser la forma adecuada de abordar el problema, especialmente en el caso de grandes grupos de desarrolladores.
Nos complace anunciar una nueva función en la Secure Code Warrior: Misiones. Esta nueva categoría de retos es la siguiente fase de la formación en seguridad para desarrolladores, en la que los usuarios ya no solo pueden recuperar sus conocimientos sobre seguridad, sino también aplicarlos en un entorno de simulación real.
Ya sea por la incertidumbre que genera una nueva forma de trabajar, por un poco de desconfianza o tal vez por la incredulidad ante el teletrabajo, observo que las empresas que se resisten a ello tienden a quedarse atrás a la hora de atraer a los mejores talentos, mantener su alcance global y, sinceramente, adaptarse a los nuevos tiempos.
Hoy en día, las contraseñas son la clave de la mayoría de las medidas de seguridad informática. Incluso cuando se utilizan otros métodos de seguridad, como la autenticación de dos factores o la biometría, la mayoría de las empresas siguen utilizando la seguridad basada en contraseñas como parte de su protección.
La modificación de una línea de código en un dispositivo de aviónica cuesta un millón de dólares estadounidenses y su implementación lleva un año. Para Southwest Airlines, cuya flota se basa en aviones Boeing 737, esto supondría la «quiebra» de la empresa.
Secure Code Warrior desarrollado una acción de GitHub que integra el aprendizaje contextual en el escaneo de código de GitHub. Esto significa que los desarrolladores pueden utilizar una acción de terceros, como Snyk Container Action, para encontrar vulnerabilidades de seguridad y luego ampliar el resultado mediante un aprendizaje hiperrelevante específico de CWE.
Las pruebas de penetración y las herramientas de análisis estático (más conocidas como SAST) son solo una parte del proceso global de reducción de riesgos de seguridad. Funcionan de forma bastante independiente de lo que hacemos, ¡hasta que el código vuelve a nosotros para las correcciones urgentes, por supuesto!
El código con un determinado nivel de calidad es, por definición, también seguro, pero no todo código seguro es necesariamente de buena calidad. ¿Es el inicio «desde la izquierda» la fórmula para garantizar unos estándares de codificación puramente seguros?
El comportamiento vulnerable en el que nos centraremos aquí es el uso de código procedente de fuentes no fiables, una práctica aparentemente inofensiva que causa grandes problemas.
Avancemos hasta el año 2016, cuando un investigador de seguridad descubrió una vulnerabilidad frecuente en el sitio web principal de Equifax, conocida como Cross-Site Scripting (XSS). Esto se desprende de un tuit de un investigador que se hace llamar x0rz.
Muchas empresas que superan sus objetivos en materia de ciberseguridad han introducido un programa oficial de «campeones de la seguridad» que asigna tareas de seguridad importantes —desde la colaboración entre equipos y el apoyo general hasta la supervisión de las mejores prácticas— a personas que demuestran aptitud y pasión por desempeñar ese papel.
Rust integra elementos conocidos y funcionales de lenguajes de uso frecuente y funciona según una filosofía diferente, que elimina la complejidad y, al mismo tiempo, introduce rendimiento y seguridad.
Es probable que sea algo más frecuente en las API, pero los atacantes suelen intentar encontrar errores sin parchear y archivos o directorios desprotegidos en cualquier parte de una red. Cuando se encuentran con una API en la que la depuración está activada o las funciones de seguridad están desactivadas, su trabajo malicioso se vuelve un poco más fácil.
Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad.
A veces, las aplicaciones también comparten datos con otros programas como parte de una carga de trabajo global. Si el nivel de transporte no está protegido, es vulnerable tanto al espionaje externo como al acceso interno no autorizado.
Todas las empresas pueden aprovechar el Mes de la Concienciación sobre la Ciberseguridad para refrescar sus conocimientos en materia de seguridad. ¡Este año también lanzamos una nueva aplicación gratuita para la comunidad de programadores!
Una relación basada en los inestables cimientos de la desconfianza, bueno, es mejor abordarla con bajas expectativas. Por desgracia, este puede ser el estado de la relación laboral entre los desarrolladores y el equipo de AppSec dentro de una organización.
Las configuraciones de seguridad incorrectas, especialmente aquellas con permisos erróneos, se producen con mayor frecuencia cuando un desarrollador crea un nuevo usuario o concede permiso a una aplicación como herramienta para realizar una tarea.
Los atacantes siempre intentan primero encontrar vulnerabilidades de seguridad fáciles de explotar, e incluso pueden utilizar un script para detectar puntos débiles frecuentes. Es similar a un ladrón que revisa todos los coches de una calle para ver si alguna puerta está abierta, lo cual es mucho más fácil que romper una ventana.
Ante la constante escasez de personal cualificado y la avalancha de código, escrito para satisfacer los requisitos del mundo del software, muchas empresas están incorporando la ciberseguridad a su estrategia y a su infraestructura existente. Es hora de que analicemos con honestidad nuestro nivel general de madurez en materia de ciberseguridad y evaluemos las soluciones rápidas y viables que tenemos ante nosotros.
Los CISO se encuentran en una situación cada vez más tensa: deben proteger más recursos, enviar más código, reducir una superficie de ataque mayor y todo ello con unos recursos financieros que disminuyen rápidamente. Es un hecho inevitable que la ciberseguridad se considere un centro de costes y, aunque el programa de seguridad de una empresa es lo que impide que un agente malicioso se convierta en el titular catastrófico de mañana, los responsables de seguridad deben hacer más para vender y demostrar el valor comercial general del departamento, en un lenguaje que tenga sentido para los ejecutivos.
Nuestro último informe de investigación, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise (Evaluación comparativa de las habilidades de seguridad: optimización del diseño seguro en la empresa), es el resultado de un análisis en profundidad de iniciativas reales de diseño seguro a nivel empresarial y de la derivación de enfoques de mejores prácticas basados en resultados respaldados por datos.
El creciente interés por el código seguro y los principios de seguridad desde el diseño exige que los desarrolladores reciban formación en ciberseguridad desde el inicio del ciclo de vida del desarrollo de software (SDLC). Herramientas como Trust Score de Secure Code Warrior a medir y mejorar sus progresos.
Nuestras investigaciones han demostrado que la formación en código seguro funciona. Trust Score utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones. Muestra la eficacia de la iniciativa a la hora de subsanar las brechas de seguridad y cómo se puede hacer aún más eficaz.
Es bien sabido que resulta difícil encontrar datos significativos sobre el éxito de las iniciativas de seguridad desde el diseño. Los CISO se enfrentan a menudo al reto de demostrar el retorno de la inversión (ROI) y el valor comercial de las actividades de los programas de seguridad, tanto a nivel de personal como de empresa. Por no hablar de que a las empresas les resulta especialmente difícil obtener información sobre cómo se evalúan sus empresas en comparación con los estándares actuales del sector. En la Estrategia Nacional de Ciberseguridad del presidente se instaba a las partes interesadas a «tener en cuenta la seguridad y la resiliencia desde el principio». La clave del éxito de las iniciativas de seguridad desde el diseño no solo consiste en dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también en garantizar a los organismos reguladores que esas habilidades están presentes. En esta presentación, presentamos una gran cantidad de datos cualitativos y cuantitativos procedentes de varias fuentes primarias, entre las que se incluyen datos internos recopilados de más de 250 000 desarrolladores, información sobre los clientes basada en datos y estudios públicos. A partir de esta agregación de datos, queremos ofrecer una visión general del estado actual de las iniciativas de diseño seguro en varios sectores. El informe describe por qué este ámbito no se aprovecha suficientemente en la actualidad, el impacto significativo que puede tener un programa de formación continua exitoso en la reducción de los riesgos de ciberseguridad y su potencial para eliminar categorías de vulnerabilidades de una base de código.
El debate sobre la IA no se centra en su uso, sino en su aplicación. Descubra cómo puede conciliar la necesidad de aumentar la productividad mediante la IA con una seguridad sólida, confiando en desarrolladores que comprenden a la perfección su código.
En este informe técnico, el experto en seguridad y Secure Code Warrior y cofundador Secure Code Warrior , Matias Madou, Ph.D., analizará los seis pilares que necesita para formar y apoyar eficazmente a su grupo de desarrolladores. Conclusiones de diez ejecutivos que han implementado programas de seguridad a nivel empresarial y errores comunes que debe evitar en su camino hacia el éxito.
