Datenschutz mit Sicherheit verwechseln: Der fatale Fehler
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Wenn Online-Datenschutz ohne Sicherheit zu existieren versucht, herrscht Chaos. Fragen Sie einfach Ross Ulbricht.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
En un reciente vuelo de larga distancia, aproveché para devorar un volumen francamente insano de episodios de podcast. Estar al día con tantas series diferentes significa que nunca me falta algo que escuchar, con una conversación convincente -aunque unilateral- a sólo un toque de la pantalla de mi teléfono.
Finalmente, llegué a un episodio del podcast sobre crímenes reales, Casefile. Esta serie dramática y sin tapujos (completada con un anfitrión de voz siniestra y sin nombre) profundizaba en un tema que fascina incluso a los tecnólogos más entendidos y expertos: la deep web, y el ascenso cataclísmico del sitio web de comercio de contrabando, Silk Road. Dividido en dos partes, quienes estén familiarizados con el ascenso y la caída de Silk Road habrán seguido sin duda las noticias sobre el caso, pero el podcast divulga cada pequeño detalle, en una narración deliciosa y al borde del asiento.
La Ruta de la Seda: Lecciones de la mazmorra de la Deep Web
Si no conoces los entresijos de Silk Road, el resumen es que un hombre creó un sitio web de comercio en la Deep Web, oculto a las miradas indiscretas del público en general y que no se puede ver sin utilizar un software especial: el navegador Tor, para ser exactos. Al principio, el sitio sólo ofrecía sus propias setas mágicas, pero, prácticamente de la noche a la mañana, se llenó de vendedores que ofrecían de todo, desde drogas duras hasta armas ilegales y datos de tarjetas de crédito robadas. Puedes ponerte al día aquí. El creador y administrador del sitio se hacía llamar Dread Pirate Roberts, un seudónimo inspirado en la princesa prometida. Era todo el mundo, no era nadie. Todos los usuarios comerciaban con una verdadera cantidad de productos ilegales, y lo hacían de forma totalmente anónima (y, de paso, consiguieron que Bitcoin se ganara la reputación de ser la moneda preferida de los traficantes de drogas, un apodo que apenas está empezando a cambiar).
Sin embargo, el experimento antisistema de Dread Pirate Roberts era una bestia en sí misma. Pronto, los sicarios estaban anunciando sus servicios. La gente mala hacía cosas malas... y él estaba embriagado por su nueva e insondable riqueza. Incluso intentó utilizar los servicios de un sicario anunciado para deshacerse de un antiguo empleado. Resumiendo, ésta fue una de las muchas decisiones estúpidas que provocaron su perdición. Ha sido desenmascarado como Ross Ulbricht y actualmente se está pudriendo en una celda de Estados Unidos, cumpliendo una doble cadena perpetua más cuarenta años sin posibilidad de libertad condicional.
Pero, ¿cómo le pillaron si todo era completamente privado y anónimo?
Bueno, para decirlo sin rodeos: era un codificador bastante malo. El propio sitio de Silk Road era como una vieja barcaza agujereada abandonada en el océano. Teniendo en cuenta que era un centro de actividad ilegal (y todos los datos que había detrás de esa actividad) no era seguro en absoluto; era un blanco fácil a la espera de ser explotado por un hacker oportunista. Para ser justos, cuando eres el cerebro de un enorme negocio de tráfico ilegal de drogas, probablemente no es fácil encontrar empleados competentes que quieran involucrarse en tu operación. Tampoco ocultó su falta de conocimientos, incluso publicó bajo su nombre real en Stack Overflow (sí, esa es su cuenta de usuario), pidiendo ayuda para configurar correctamente el código de su sitio para conectarse con Tor usando Curl en PHP. Cambió su nombre real por el de "frosty" menos de un minuto después de publicar, pero está claro que esto no ayudó... de hecho, probablemente hizo más daño: la clave de encriptación del servidor de Silk Road terminaba con la subcadena "frosty@frosty", lo que le implicó aún más cuando el FBI se enteró de su olor.
A pesar de su enorme apuesta por la privacidad, con mensajería encriptada, moneda e instrucciones explícitas para asegurar el contrabando en tránsito y entrega, el sitio no era la fortaleza impenetrable de fantasía libertaria que Ulbricht podría haber imaginado. Los expertos (es decir, los programadores contratados por el FBI) lo desentrañaron poco a poco para revelarlo todo, incluida la identidad de miles de personas que realizaron transacciones en el sitio. Es posible que aquellos que compraron productos ilegales hace muchos años sigan recibiendo una llamada a la puerta del largo brazo de la ley en algún momento.
El FBI publicó una documentación en la que se explica cómo pudieron penetrar en Silk Road, con la explicación general de utilizar una fuga de direcciones IP. Una configuración errónea de la página de inicio de sesión de Silk Road reveló la dirección IP y, por tanto, la ubicación física de sus servidores, sin necesidad de ningún tipo de pirateo. Un error de novato, sin duda, que finalmente llevó al FBI directamente a Ross Ulbricht.
Se especula con que este fallo -de existir- habría sido detectado mucho antes de este momento, por uno de los muchos profesionales de la seguridad que vigilan el sitio. Nik Cubrilovic, un consultor de seguridad australiano, afirma que simplemente no estaba allí en una entrevista con WIRED:
"No hay manera de que puedas estar conectado a un sitio Tor y ver la dirección de un servidor que no es un nodo Tor. La forma en que están tratando de hacer que un jurado o un juez crea que sucedió simplemente no tiene sentido técnicamente."
A continuación, Cubrilovic alude a que la información puede haberse obtenido mediante prácticas ilegales de piratería informática. Esa práctica parece ser la inyección SQL, un rumor no probado que se ha discutido como un método plausible de extracción en muchos sitios desde entonces.
Las legalidades que rodean las tácticas del FBI son una discusión completamente aparte. El hecho de que la información haya podido obtenerse es indicativo de las deficientes prácticas de seguridad de Silk Road, a pesar de que el usuario general entiende que el sitio es "privado". Cuando la privacidad se confunde con la seguridad, la posibilidad de exponerse a las vulnerabilidades aumenta con toda seguridad.
También existe la posibilidad de que el sitio siga funcionando (en su forma original, de todos modos; ha sido resucitado varias veces, y hay sitios aún más grandes como éste que operan en este momento) si Ross Ulbricht hubiera hecho la distinción entre privacidad y seguridad, trabajando activamente para garantizar ambas antes de que creciera en una lámpara de calor gigante, atrayendo a todos los delincuentes desagradables con un conocimiento tecnológico ligeramente superior a la media en el planeta. En cambio, el club privado y todos sus secretos se revelaron en el momento en que alguien encontró la forma de abrir la puerta.
No eres un narcotraficante, así que ¿por qué debería importarte?
La pérdida de Silk Road y el encarcelamiento de su fundador no es una historia triste ni simpática, pero es un fascinante caso de estudio sobre las diferencias de matiz entre la privacidad y la verdadera y sólida seguridad del sitio. Hay muchas operaciones legítimas que requieren que las transacciones y la información sean privadas -pensemos en los historiales médicos digitalizados, o incluso en los millones de números de tarjetas de crédito que tiene un gran banco-, pero si no se aseguran también con un desarrollo de software férreo, esa información podría ser escogida por un atacante (e, irónicamente, acabar en un sitio como Silk Road). La privacidad no existe sin seguridad.
Los buenos, como usted, podrían tener software vulnerable a ataques de inyección SQL y otras vulnerabilidades del Top 10 de OWASP, por lo que es vital que se preparen y mitiguen eficazmente. Si se forma a los desarrolladores para que codifiquen de forma segura desde el principio del proceso, estos fallos no verán la luz del día. Es imperativo que las organizaciones se centren en la seguridad y capaciten a sus equipos de desarrollo para codificar de forma segura. Podemos mostrarle cómo hacerlo de forma divertida, medible y gamificada. ¿Está preparado?
Índice
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
