Perspectivas sobre códigos seguros

El desarrollo basado en IA ha introducido una clase completamente nueva de riesgos de software. La inyección de comandos, la manipulación de RAG y los permisos masivos de agentes ya no son preocupaciones teóricas, sino una realidad cotidiana en las aplicaciones modernas.

Los desarrolladores deben estar expuestos en la práctica a estos nuevos patrones de amenaza en entornos que reflejen la complejidad real. Por este motivo, hemos Secure Code Warrior las misiones AI/LLM Boss de Cybermon 2025 de una experiencia de evento limitada a una colección de misiones temáticas listas para usar en Secure Code Warrior . Encontrarás la colección Cybermon 2025: Beat the Boss en la sección Conceptos específicos, dentro de Conceptos de seguridad, cuando crees una nueva misión.

Cybermon 2025: Besiege den Boss permite a las empresas integrar estos requisitos de seguridad de IA altamente complejos en sus programas de codificación segura en cualquier momento.

¿Qué es Beat the Boss?

Beat the Boss reúne cuatro retos avanzados de IA/LLM con los que se deben poner a prueba las habilidades para el desarrollo seguro de la IA en el mundo real.

Cada tema incluye un breve vídeo introductorio y unas instrucciones, una fase de calentamiento guiada y la misión original del jefe con un alto grado de dificultad de Cybermon 2025. Estos escenarios inmersivos se centran en clases prácticas sobre vulnerabilidades de la IA. El desarrollador debe comprender si sus aplicaciones compatibles con la IA avanzan.

Las cuatro misiones contra jefes se centran cada una en un área específica de riesgo de la IA y simulan patrones de amenaza reales en sistemas basados en IA:

• Bypassaur — Inyección directa inmediata
• Keykraken — Inyección indirecta inmediata
• Promptgeist — Debilidades vectoriales y de incrustación
• Proxysurfing — Capacidad de acción exagerada

Corre hacia tu arte.

Recomendamos que cada jefe se ponga en el punto de mira para dar a cada punto débil la atención que se merece. Muchas organizaciones deciden llevar a cabo:

• Un jefe por semana como sprint centrado en la seguridad de la IA
• O una al mes como iniciativa «Vulnerabilidad del mes».

En la base de conocimientos para administradores hay disponible una guía estructurada para la introducción y descarga de recursos de marca, así como la configuración de eventos internos:
Cybermon 2025: Organiza tu propio evento Beat the Boss

Operacionalización de la preparación en materia de seguridad de la IA

El desarrollo acelerado de KI cambia el panorama de los riesgos de software. Las nuevas clases de vulnerabilidades requieren algo más que concienciación: requieren experiencia aplicada.

Beat the Boss permite a las empresas convertir los patrones de amenazas de IA en desarrollo en habilidades prácticas para desarrolladores.

Los desarrolladores pueden desafiar a cada individuo y luego comprobar las soluciones completas, para reforzar el pensamiento del angreifer y las estrategias de abwehr. Hay vídeos con soluciones completas disponibles, para que puedan seguir formándose después del desafío:

Muchos equipos amplían la experiencia mediante reuniones internas para intercambiar conocimientos, lo que transforma el aprendizaje basado en eventos de competitivo a colaborativo. La seguridad y el desarrollo son deportes de equipo. Las empresas están mejor protegidas cuando los desarrolladores, los responsables de seguridad y los equipos de ingenieros colaboran para comprender y defenderse de la creciente superficie de ataque de la IA. Las defensas asignadas, las comprobaciones de soluciones compartidas y los debates entre equipos incluyen, dentro del reto, requisitos individuales y habilidades colectivas.

Al integrar Beat the Boss en sus iniciativas de programación segura, promoverá la adopción de una IA segura y, al mismo tiempo, desarrollará un grado de madurez medible en materia de seguridad de la IA en sus equipos de desarrollo.

Empiece

Encontrarás Cybermon 2025: Colección Beat the Boss en la sección Conceptos específicos, dentro de Conceptos de seguridad, cuando crees una nueva misión. Inicia sesión en tu Secure Code Warrior para configurar tu implementación y reforzar el desarrollo seguro de IA en tus equipos.

La Ley de Resiliencia Cibernética se está convirtiendo cada vez más en una prioridad estratégica, no solo para las empresas con sede en la UE, sino para todas las empresas que venden productos digitales en el mercado europeo. Los plazos para el cumplimiento de la normativa se extienden hasta 2027, pero los equipos de ingeniería y seguridad ya se enfrentan a cuestiones críticas relacionadas con los métodos de seguridad, las brechas de seguridad y la capacidad de desarrollo.

A diferencia de muchas normativas que se centran en la documentación y las auditorías, la CRA sitúa el diseño y el desarrollo de software seguro en el centro del cumplimiento normativo. Las empresas que invierten desde el principio en funciones de seguridad cumplirán las normativas más rápidamente y destacarán entre la multitud en un mercado en el que la seguridad de los productos es un factor determinante para la decisión de compra.

¿Qué exige la Ley de Ciberresiliencia?

Con la Ley de Resiliencia Cibernética (CRA) se introducen requisitos básicos de ciberseguridad para la mayoría de los productos con componentes digitales que se comercializan en el mercado de la UE, incluidos el software, los sistemas operativos, los dispositivos conectados y los sistemas integrados.

Aún más importante es que cambia dónde recae la responsabilidad.

La seguridad ya no es solo un problema operativo. La CRA incluye una obligación de diseño y desarrollo que abarca la arquitectura, la implementación, el mantenimiento y el acceso con brechas de seguridad.

Para los directivos de los ámbitos de la tecnología y la seguridad, esto significa:

• Los productos deben fabricarse siguiendo los principios de «Seguridad desde el diseño».
• Las vulnerabilidades de seguridad conocidas deben prevenirse en la medida de lo posible y tratarse de manera eficaz.
• Las empresas deben demostrar que cuentan con prácticas de desarrollo seguras.

En resumen: el cumplimiento normativo es inseparable del arte y el arte, como la escritura y gestión del código por parte de los desarrolladores.

Para cuando usted la CRA

Aunque la CRA fue introducida por la UE, se aplica a todas las organizaciones del mundo que comercializan productos digitales en el mercado de la UE, entre ellas:

• Proveedores de software y proveedores de SaaS cuyos servicios sirven como componentes de procesamiento de datos remotos de los productos cubiertos.
• Fabricante de productos digitales o conectados
• Importadores, distribuidores y minoristas
• Organizaciones, los componentes digitales de terceros proveedores

Para las empresas globales, la preparación para CRA es un proceso de desarrollo transfronterizo, no un procedimiento de cumplimiento regional.

Por qué las organizaciones deben empezar ahora

Hitos importantes:

• Septiembre de 2026: comienzan las contracciones para el mensaje de seguridad lücken beginnen.
• Diciembre de 2027: se requiere una reserva completa.

Este plan temporal se puede ver claramente en el papel. En realidad, la transformación en el desarrollo no se produce trimestralmente, sino que se lleva a cabo a lo largo de años.

Secure by Design no es una actualización de directrices. Requiere:

• Cualificación de miles de desarrolladores en diferentes lenguajes y equipos.
• Integración de las expectativas de Secure by Design en los procesos de trabajo diarios.
• Transición de la corrección reactiva de las brechas de seguridad a la prevención
• Creación de pruebas cuantificables que demuestren que se aplican de forma sistemática prácticas de desarrollo seguras.

Estos cambios afectan a la configuración, la incorporación, las decisiones arquitectónicas, los procesos SDLC y la cultura de ingeniería. Las empresas que esperen hasta finales de 2026 intentarán actualizar sus capacidades bajo presión regulatoria, lo que supondrá un proceso mucho más costoso y disruptivo.

La implementación también supone un riesgo financiero considerable. De conformidad con el artículo 64, la CRA puede imponer sanciones de hasta 15 millones de euros por infringir los requisitos básicos de ciberseguridad. EUR o el 2,5 % de la suma anual mundial están relacionados.

Esperar hasta finales de 2026 es simplemente demasiado tarde.

CRA es, en última instancia, un reto para las habilidades de los desarrolladores.

Muchas normativas se centran en directrices y documentación. La CRA va un paso más allá al vincular el cumplimiento normativo con las prácticas reales que se aplican en el desarrollo y la creación de software. Despierta expectativas en relación con el desarrollo seguro como disciplina operativa y no solo como requisito normativo.

Para los responsables técnicos, esto significa que el cumplimiento de las normas depende de que los equipos de desarrollo apliquen de forma sistemática procedimientos seguros, entre los que se incluyen:

• Comprender las clases generales de vulnerabilidades
• Aplicación de principios seguros de diseño y arquitectura
• Evitar un patrón de implementación inseguro
• Tratamiento responsable con terceros proveedores y componentes de código abierto.

Las herramientas de seguridad desempeñan un papel importante en la detección de problemas. Sin embargo, las herramientas detectan vulnerabilidades después de que se ha escrito el código. Secure by Design requiere que los desarrolladores eviten las brechas de seguridad desde el principio, de manera uniforme en todos los equipos, lenguajes y productos.

Las herramientas por sí solas no pueden lograrlo. Los resultados, que son seguros desde el principio, dependen de la capacidad humana.

Cómo Secure Code Warrior la preparación de la CRA

Secure Code Warrior itinerarios de aprendizaje orientados a CRA que combinan:

• EIN CRA Standard Quest asignado a los requisitos técnicos de seguridad del Anhang I, Parte I
• Colección conceptual EIN Secure by Design
• Aprendizaje práctico y específico del lenguaje sobre vulnerabilidad

Eche un vistazo a nuestra guía de una página con todo el contenido formativo orientado a la CRA en SCW. SCW no certifica el cumplimiento de la normativa. Apoyamos la preparación de las agencias de calificación mediante un aprendizaje estructurado y una mejora cuantificable de las habilidades, en consonancia con los principios del Reglamento sobre desarrollo prudencial.

Empieza ahora mismo a crear la disponibilidad CRA.

La CRA refleja la dirección en la que se mueve el sector: la seguridad mediante tecnología de construcción como mantenimiento estándar. Las empresas que invierten ahora en las capacidades de sus desarrolladores están en mejores condiciones de garantizar el cumplimiento de la normativa y, a largo plazo, de desarrollar software robusto y con menos riesgos.

Para obtener más información sobre cómo Secure Code Warrior puede Secure Code Warrior a cumplir con las normativas, consulte nuestra base de conocimientos: Cómo Secure Code Warrior puede ayudarle a cumplir con las normativas.

Comenzamos nuestra inmersión profunda en los 10 precursores del éxito con el paso fundamental del facilitador 1: criterios de éxito definidos y medibles. Si un programa de codificación seguro es un viaje, el primer y más importante paso es saber exactamente adónde se dirige. Esa es la esencia del primer facilitador.

Vinculación de los criterios de éxito con los resultados empresariales

La creación de un programa eficaz para la codificación segura requiere objetivos claros que estén vinculados a los servicios de la empresa. El facilitador 1 respondió a las preguntas fundamentales: «¿Cuál es, de forma concreta y cuantificable, el problema o el punto débil que intentamos resolver con nuestro programa de codificación segura?».

Quizás su organización esté buscando cumplir con los requisitos de cumplimiento normativo o evitar brechas de seguridad y ciberataques. O quizás esté buscando empezar como organización, reduciendo los costes y el tiempo dedicado a la formación de nuestros desarrolladores desde el principio y en las escuelas, de forma segura hasta la programación.

Independientemente de sus motivos, la situación actual de su empresa o incluso la plataforma de formación en seguridad que haya elegido depende de que los objetivos claramente definidos estén vinculados a los objetivos comerciales para ganar aceptación y garantizar un éxito duradero.

Tenga en cuenta a las partes interesadas clave de su programa a la hora de determinar los criterios de éxito. Conocer a sus patrocinadores ejecutivos y sus objetivos empresariales le ayudará a impulsar una adopción más amplia en todos los departamentos.

El éxito tangible y medible

Por supuesto, estos objetivos deben ser específicos para su empresa. Sin embargo, eche un vistazo a estos objetivos empresariales típicos y piense en cómo podrían inspirarle otras ideas:

Reducción de riesgos: Mitigar los riesgos de los desarrolladores y reducir las vulnerabilidades introducidas por fallos de codificación. Esto incluye la identificación de riesgos y la reducción de la superficie de ataque de las aplicaciones.

Los programas suelen centrarse en métricas como la densidad de vulnerabilidades o la reducción y prevención de la tasa de inyección de vulnerabilidades.

Velocidad operativa: Maximiza la velocidad de entrega de productos, reduce la frustración y el desgaste de los desarrolladores y disminuye la cantidad de tiempo dedicado a la reelaboración. La formación en código seguro actúa como un incentivo significativo para los desarrolladores, ya que les ayuda a evitar la reelaboración, que requiere mucho tiempo, del código defectuoso identificado más adelante en el ciclo de vida del desarrollo de software.

Los programas suelen tener como objetivo reducir el tiempo medio de reparación (MTTR) de las vulnerabilidades por parte de los desarrolladores.

Cumplimiento normativo: Logre el cumplimiento externo, como la adhesión a normas como PCI-DSS (que exige la formación de todos los desarrolladores que trabajan en sistemas de pago).

Talento y confianza: Aumenta el compromiso y la concienciación sobre la seguridad y las vulnerabilidades dentro de la organización de desarrolladores, al tiempo que mantienes y fomentas la confianza de los clientes. Para algunas empresas, los desarrolladores con conocimientos de seguridad ayudan a establecer una diferenciación en el mercado.

Los programas suelen establecer requisitos mínimos de habilidades para los desarrolladores o incluso crean programas especializados de campeones de seguridad.

Documentación de resultados en un plan de éxito conjunto

Una vezdefinidas las características de su éxito, el siguiente paso es incluirlas en un plan de éxito común. Este plan se basa en un plan cruzado que funciona, y todos los actores importantes participan en su programa, incluido el apoyo externo como su plataforma escolar CSM.

El plan de éxito incluye:

1. Factores de valor: están los objetivos empresariales exagerados relacionados con la mejora de la seguridad del código y la respuesta al «por qué» de su programa.
2. Estado actual: Esto justifica la pregunta «¿Dónde estamos ahora? » (por ejemplo, habilidades actuales para programar de forma segura o programas de formación existentes).
3. Estado futuro (deseado): A continuación, documenta «¿Dónde queremos estar?» y determina cómo se puede cerrar la brecha en las habilidades para programar de forma segura.
4. KPIs/Medidas: Son los indicadores clave, el éxito y el espectáculo que, con la introducción del programa, reducen la brecha entre la situación actual y la futura.

Recomendamos comenzar con 1 o 2 métricas específicas y ampliarlas más adelante si es necesario. Estos KPI/medidas deben cumplir con el principio S.M.A.R.T. (específico, medible, accesible, relevante, con plazos definidos). Deben ser fáciles de seguir y no deben interpretarse de forma arbitraria. Para poner en práctica el plan, es necesario que todas las partes rindan cuentas, y el valor y el retorno de la inversión deben revisarse periódicamente con la dirección en condiciones acordadas.

Su programa es una programación segura a través de un sitio web económico para verificar resultados comerciales importantes, un primer paso necesario para madurar el programa.

A continuación, vamos a sumergirnos en Enabler 2: Patrocinio a través del liderazgo para leer el papel clave, la guía para la introducción exitosa de un programa de codificación seguro.

¿Tiene alguna otra pregunta? Los clientes pueden ponerse en contacto con el equipo de cuentas o escribir a support@securecodewarrior.com. Los clientes potenciales pueden hablar con un miembro de nuestro equipo de ventas poniéndose en contacto con nosotros aquí.

A una persona que decide lanzarse de cabeza a una empresa emergente se le llama de muchas maneras, desde el ambicioso apodo de «emprendedor» hasta el decididamente menos glamuroso «loco de remate». Después de once años al frente de Secure Code Warrior, me encuentro felizmente en un punto intermedio. 

Los últimos cinco años han sido una lección de resiliencia para muchos, con imprevistos, tanto económicos como de otro tipo, que ni siquiera las personas más inteligentes del planeta pudieron predecir. Aquí podría venir a la mente la «ley del más fuerte», pero yo prefiero esta cita:

«No es la especie más fuerte la que sobrevive, ni la más inteligente. Es la que mejor se adapta al cambio».

(A menudo se atribuye erróneamente a Charles Darwin, pero en realidad fue dicho por el profesor Leon C. Megginson, quien estaba resumiendo la obra de Darwin, El origen de las especies. Con suerte, esto te hará ganar un gran premio en un concurso de preguntas y respuestas en un pub en el futuro).

Ahora bien, ¿qué mejor ejemplo de cambio y adaptabilidad hay en nuestro mundo que la inteligencia artificial? Han pasado más de tres años desde que se lanzó la bomba del LLM y todavía estamos tratando de comprender qué es esta iteración, qué puede hacer y cómo puede servirnos mejor en prácticamente todas las funciones que existen hoy en día. En cualquier caso, ha llegado para quedarse y, como profesionales de la ciberseguridad en particular, debemos ir un paso por delante para protegerla, incluso en ausencia de barreras de protección y normativas oficiales.

2025 fue un año importante para la IA, la ciberseguridad y SCW. Afronto 2026 con una confianza tranquila y el optimismo que solo puede aportar el trabajo duro que da sus frutos. 

Hemos alcanzado algunos hitos importantes, entre ellos nuestra incursión en la protección del desarrollo de software basado en inteligencia artificial. Nosotros:

• Publicado Trust Agent: IA en fase de pruebas beta: Las nuevas investigaciones de la CCIA confirman que la IA generativa es la tecnología que más rápido se ha adoptado en la historia, por lo que no es de extrañar que los agentes y asistentes de codificación de IA hayan tenido una gran acogida entre los desarrolladores, incluyendo implementaciones apresuradas a nivel empresarial que avanzan más rápido que sus programas de seguridad.
  
  Nuestra última tecnología, Trust Agent: AI, proporciona el ingrediente que faltaba: visibilidad y gobernanza sobre el código generado por IA. Ofrece a los responsables de seguridad de las empresas la observabilidad y el control profundos que necesitan para gestionar con confianza la adopción de la IA en su ciclo de vida de desarrollo de software (SDLC) sin sacrificar la seguridad.
• Hemos superado nuestro último gran hito en cuanto a ingresos: El hecho de haber superado nuestro objetivo de ingresos es una prueba de la tenacidad y la innovación de todo el Secure Code Warrior . Cuando comenzamos este viaje, nuestra misión era ir más allá del enfoque de «casillas de verificación» en materia de seguridad y capacitar realmente a los desarrolladores para que escribieran código seguro desde la primera línea.
  
  El hecho de que esa visión haya tenido eco en tantas empresas globales demuestra que el sector está finalmente cambiando su enfoque hacia una seguridad centrada en los desarrolladores, y no podría estar más orgulloso de cómo nuestros Warriors se han esforzado por hacer que el software sea más seguro para todos.
• Integraciones expertas con socios estratégicos: nuestras alianzas con grandes empresas como Aikido, OpenText y Black Duck representan un importante paso adelante en nuestra misión de crear un ecosistema de seguridad fluido y centrado en los desarrolladores. Al salvar la brecha entre la identificación de vulnerabilidades y la provisión de las habilidades específicas necesarias para solucionarlas, estamos cerrando de manera efectiva el círculo en lo que respecta al riesgo de software orientado a los desarrolladores.
  
  Estoy muy orgulloso de esta asociación, que supone un cambio estratégico que nos aleja de las herramientas fragmentadas y nos acerca a una experiencia unificada en la que la seguridad es una extensión natural del flujo de trabajo de desarrollo.

Ahora que nos adentramos en otro gran año, me gustaría dar las gracias a nuestro creciente número de seguidores, especialmente a los de la amplia comunidad cibernética, que siguen liderando la lucha contra las vulnerabilidades recurrentes, la escasa concienciación sobre la seguridad y la mala calidad del código producido. Al adoptar un nuevo estándar más seguro, podemos empezar a ver mejoras reales en la seguridad de nuestro software, nuestros servicios y nuestra tecnología. 

Estamos avanzando a toda velocidad con una inversión total en un futuro en el que la IA escribirá la mayor parte del código, bajo la atenta mirada de humanos cualificados. Nuestro SCW Learning está evolucionando rápidamente para satisfacer los requisitos de este nuevo mundo, y nuestro SCW Trust Agent: AI estará disponible en los próximos tres meses para respaldar el funcionamiento seguro de LLM, MCP y mucho más en el SDLC. También estamos a punto de anunciar muy pronto una nueva y emocionante asociación con un importante actor del mercado.

¡Estén atentos!

Una versión de este artículo apareció en SC Magazine. Ha sido modificado y distribuido aquí.


Si alguna vez ha sufrido un robo en su hogar, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que realmente le han robado y le han hecho daño. Esto se aplica a las quejas persistentes, solo para seguir con un cambio de medidas de seguridad que se llevarían a cabo con Fort Knox.

Imagina que alguien entra en tu casa porque los ladrones han hecho una copia de la llave. Se mueven sigilosamente, entran y salen a su antojo, pero se aseguran de no ser descubiertos. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, tu caja fuerte ha sido vaciada y tus objetos personales han sido saqueados. Esta es la realidad equivalente, con una empresa involucrada, si ofrece ataques cibernéticos de día cero. En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de privacidad exitosas fueron el resultado de exploits de día cero, y lamentablemente la mayoría de las empresas están mal equipadas para mejorar significativamente estas estadísticas.

Por definición, los ataques de día cero no dan tiempo a los desarrolladores para encontrar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que el agente malicioso ha penetrado primero. El daño ya está hecho y es enorme, tanto para el software como para la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esta ventaja en la medida de lo posible.

El regalo de Navidad que nadie quería — Log4Shell — está revolucionando Internet. Alrededor de mil millones de dispositivos se verán afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero de todos los tiempos, y esto solo es el principio. A pesar de algunos informes que indican que los exploits comenzaron unos días antes de su publicación, una presentación en la Black Hat Conference en 2016 sugiere que se trata de un problema conocido desde hace tiempo. Ay. Peor aún, es terriblemente fácil de explotar, y todos los script kiddies y actores maliciosos del planeta están persiguiendo esta vulnerabilidad.

Entonces, ¿cuál es la mejor manera de protegerse de una amenaza resbaladiza y oscura, por no hablar de las brechas de seguridad que se pasaron por alto en el proceso de desarrollo de software? Echemos un vistazo.

Los ataques de día cero contra objetivos importantes son poco frecuentes (y costosos).

En la Dark Web existe un enorme mercado de exploits, y los zero-days suelen costar una buena suma de dinero; por citar un ejemplo , en el momento de redactar este artículo, su precio era de 2,5 millones de dólares. Se trata de un exploit de Apple iOS, por lo que no es de extrañar que el precio que pide el investigador de seguridad se haya disparado. Al fin y al cabo, podría ser la puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de registros de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se parchee.

Pero, ¿quién tiene tanto dinero? Por lo general, las organizaciones criminales cibernéticas organizadas solicitan el pago si lo consideran oportuno, especialmente en los populares ataques de ransomware. Sin embargo, los gobiernos y las autoridades de defensa de todo el mundo se encuentran entre los clientes de los exploits, que pueden utilizar para obtener información sobre amenazas y, en casos positivos, las propias empresas podrían ser sus potenciales exploits de día cero para evitar catástrofes.

En 2021 se batieron récords en el descubrimiento en vivo de exploits de día cero, y son las grandes organizaciones, las autoridades gubernamentales y las infraestructuras, que son las que corren mayor riesgo, las que se someten a pruebas de vulnerabilidad. No hay forma de protegerse completamente contra los ataques de día cero, pero se puede «jugar» en cierta medida ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien ofrezca la llave de su castillo de software en un mercado de la Dark Web, permita que los entusiastas legítimos de la seguridad accedan a su página y ofrézcales recompensas relevantes por revelaciones éticas y posibles correcciones.

Y si por casualidad se produce una amenaza de día cero, puede dar por hecho que tendrá que emitir más de una tarjeta regalo de Amazon (y merecerá la pena hacerlo).

Sus herramientas podrían suponer una carga para su personal de seguridad.

Las herramientas de seguridad estáticas son desde hace tiempo un problema, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Aparte de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de forma eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los CISO consideraban que su conjunto de herramientas de seguridad era «totalmente eficaz».

En un sector conocido por su agotamiento, la falta de personal especializado en seguridad para cubrir la demanda y la necesidad de agilidad, es una carga obligar a los expertos en seguridad a trabajar con el aluvión de información en forma de datos, informes y herramientas para supervisar herramientas enormes. Este es precisamente el tipo de escenario que puede llevarles a pasar por alto una alerta crítica, como ocurrió cuando se trató de examinar adecuadamente las debilidades de Log4j.

La seguridad preventiva debería incluir un modelo de amenazas orientado al desarrollador.

Los desarrolladores suelen utilizar las brechas de seguridad a nivel de código, y necesitan instrucciones precisas y un itinerario formativo regular para adquirir conocimientos de programación segura. Los desarrolladores de seguridad del siguiente nivel tienen la posibilidad de aprender y practicar en su proceso de desarrollo de software.
‍
No debería sorprender que las personas que mejor conocen su software sean los desarrolladores que lo crearon y lo desarrollaron. Tienen un profundo conocimiento de cómo los usuarios interactúan con el software, dónde se utilizan las funciones y, si son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que el software podría fallar o ser explotado.

Cuando volvemos al exploit Log4Shell, vemos un escenario en el que no se encontró una brecha de seguridad catastrófica de expertos y conjuntos de herramientas complejos. Sin embargo, es posible que no se hubieran producido en absoluto si la biblioteca se hubiera configurado para resumir las entradas de los usuarios. La decisión parece haber sido una característica oscura por razones prácticas, pero la hizo dolorosamente fácil de explotar (piensa en el nivel de inyección SQL, ciertamente nada ingenioso). Si el modelado de amenazas lo hubiera llevado a cabo un grupo de desarrolladores entusiastas y conscientes de la seguridad, es muy probable que este escenario se hubiera teorizado y puesto en práctica.

Un buen programa de seguridad tiene un componente emocional en el que la intervención humana y los matices son fundamentales para resolver los problemas causados por las personas. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y configuración seguras de software y aplicaciones a nivel de arquitectura. Los desarrolladores no deben trabajar hasta altas horas de la noche, sino que lo ideal es que dejen claro que pueden delegar esta importante tarea al equipo de seguridad (y es una gran oportunidad para crear una relación entre ambos equipos).

Los días nulos dan lugar a N días.

La siguiente parte del proceso con un Zero-Day consiste en aplicar parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable lo haga lo más rápido posible y, en cualquier caso, antes que el proveedor. Log4Shell podría eclipsar a Heartbleed en cuanto a su persistencia y capacidad, dado que está integrado en millones de dispositivos y genera dependencias complejas dentro de una compilación de software.

Desde un punto de vista realista, no hay forma de detener por completo este tipo de ataques encubiertos. Sin embargo, si nos comprometemos a aprovechar todas las posibilidades para desarrollar software seguro y de alta calidad, y abordamos el desarrollo con la misma mentalidad que se emplearía en infraestructuras críticas, todos tendremos una oportunidad real.

El desarrollo basado en IA (o, en su versión más moderna, «Vibe Coding») tiene un efecto transformador enorme en la creación de código. Los desarrolladores consolidados utilizan estas herramientas en masa, y aquellos de nosotros que siempre hemos querido desarrollar nuestro propio software, pero no teníamos la experiencia necesaria, también las utilizamos para desarrollar recursos que antes habrían requerido mucho tiempo y dinero. Aunque esta tecnología promete marcar el comienzo de una nueva era de innovación, también conlleva una serie de nuevas vulnerabilidades y perfiles de riesgo que los responsables de la seguridad tienen dificultades para contrarrestar.

Un reciente descubrimiento de InvariantLabs reveló una vulnerabilidad crítica en el Model Context Protocol (MCP), un marco similar a una API que permite a las potentes herramientas de IA interactuar de forma autónoma con otro software y bases de datos. Esto permite los llamados «ataques de envenenamiento de herramientas», una nueva categoría de vulnerabilidades que podría resultar especialmente dañina para las empresas. Las grandes herramientas de IA, como Windsurf y Cursor, no son inmunes a ello, y con muchos millones de usuarios, la concienciación y la capacidad para hacer frente a este problema de seguridad emergente son de suma importancia.

Según parece, el rendimiento de estas herramientas no es lo suficientemente seguro como para considerarlas aptas para su uso en empresas, tal y como se desprende de un reciente trabajo de investigación realizado por los investigadores de seguridad de AWS e Intuit, Vineeth Sai Narajala e Idan Habler:Dado que los sistemas de IA son cada vez más autónomos e interactúan directamente con herramientas externas y datos en tiempo real a través de elementos como MCP, es absolutamente necesario garantizar que estas interacciones sean seguras».

Sistemas de IA agenticos y el perfil de riesgo del Protocolo de Contexto del Modelo

El Model Context Protocol es un práctico software creado por Anthropic que permite una integración mejor y más fluida entre los agentes de IA de modelos de lenguaje grandes (LLM) y otras herramientas. Se trata de un potente caso de uso que abre un mundo de posibilidades entre aplicaciones propietarias y herramientas SaaS críticas para el negocio, como GitHub, que interactúan con soluciones de IA de última generación. Basta con escribir un servidor MCP y ponerse manos a la obra para definir las directrices sobre cómo y con qué finalidad debe funcionar.

Los efectos de la tecnología MCP en la seguridad son, de hecho, mayoritariamente positivos. La promesa de una integración más sencilla entre los LLM y la pila tecnológica utilizada por los expertos en seguridad es demasiado tentadora como para ignorarla. Representa la posibilidad de automatizar con precisión las tareas de seguridad a un nivel que antes no era posible, al menos sin escribir y desplegar código personalizado, normalmente para cada tarea. La mejora de la interoperabilidad de los LLM que ofrece MCP es una perspectiva interesante para la seguridad empresarial, ya que la transparencia y la conectividad entre los datos, las herramientas y el personal son fundamentales para una defensa y una planificación de la seguridad eficaces.

Sin embargo, el uso de MCP puede traer consigo otros posibles vectores de amenaza y ampliar considerablemente la superficie de ataque de la empresa, si no se gestiona con cuidado. Como señala Invariante Labore, los ataques de envenenamiento de herramientas (Tool Poisoning Attacks) constituyen una nueva categoría de vulnerabilidades que pueden dar lugar a la filtración de datos sensibles y a acciones no autorizadas por parte de los modelos de IA. A partir de ahí, las repercusiones en la seguridad se vuelven muy negras muy rápidamente.

InvariantLabs señala que es posible un ataque de envenenamiento de herramientas si se incrustan instrucciones maliciosas en las descripciones de las herramientas MCP, que no son visibles para los usuarios, pero que los modelos de IA pueden leer (y ejecutar) completamente. Esto induce a la herramienta a realizar acciones maliciosas no autorizadas sin que el usuario sea consciente de ello. El problema radica en la suposición del MCP de que todas las descripciones de herramientas son fiables. Esto es música para los oídos de un agente malicioso.

Usted constata las siguientes posibles consecuencias de una herramienta comprometida:

• Ordenar a los modelos de IA que accedan a archivos confidenciales (como claves SSH, archivos de configuración, bases de datos, etc.).
• Indicar a la IA que extraiga y transfiera estos datos, en un entorno en el que estas acciones maliciosas estén ocultas por naturaleza al usuario desprevenido.
• Establezca una separación entre lo que ve el usuario y las acciones del modelo de IA ocultándose tras representaciones aparentemente sencillas de la interfaz de usuario de herramientas y resultados.

Se trata de una nueva categoría de vulnerabilidades preocupante, y es muy probable que la veamos con mayor frecuencia, ya que el inevitable aumento del uso de MCP continúa. A medida que avanzan los programas de seguridad para empresas, estas tomarán medidas cuidadosas para detectar y mitigar esta amenaza. Por lo tanto, es fundamental preparar adecuadamente a los desarrolladores para que formen parte de la solución.

¿Por qué solo los desarrolladores con experiencia en seguridad deberían utilizar herramientas de IA agenticas?

Las herramientas de codificación de IA de Agentic se consideran el siguiente avance en la codificación basada en IA y contribuyen a su capacidad para ofrecer más eficiencia, productividad y flexibilidad en el desarrollo de software. Su capacidad mejorada para comprender el contexto y la intención las hace especialmente útiles, pero no son inmunes a amenazas como la inyección rápida, las alucinaciones o la manipulación del comportamiento por parte de los atacantes.

Los desarrolladores son la línea defensiva entre los commits de código buenos y malos, y en el futuro será fundamental para el desarrollo seguro de software mantener al día tanto las habilidades en materia de seguridad como el pensamiento crítico.

Los resultados de la IA nunca deben implementarse con una confianza ciega, y son los desarrolladores con experiencia en seguridad, que aplican un pensamiento crítico y contextual, los que pueden aprovechar con seguridad las ganancias de productividad de esta tecnología. No obstante, debe tratarse de una especie de entorno de programación en pareja, en el que el experto humano sea capaz de evaluar, cuestionar y, en última instancia, aprobar el trabajo realizado por la herramienta.

Descubre más sobre cómo los desarrolladores pueden mejorar sus habilidades con la IA y aumentar su productividad aquí.

Técnicas prácticas para limitar los daños y más información en nuestro último informe de investigación.

Las herramientas de codificación KI y la tecnología MCP serán un factor importante para el futuro de la ciberseguridad, pero es importante que no nos lancemos antes de haber sondeado el terreno.

El documento de Narajala y Habler describe estrategias integrales para reducir los riesgos de la implementación de MCP a nivel empresarial y la gestión continua de los riesgos asociados. En última instancia, se trata de principios de defensa profunda y de confianza cero que se centran expresamente en el perfil de riesgo único que este nuevo ecosistema conlleva para el entorno empresarial. Especialmente para los desarrolladores, es importante cerrar las brechas de conocimiento en las siguientes áreas:

• Autenticación y control de acceso: las herramientas de IA agentivas resuelven problemas y toman decisiones autónomas para alcanzar los objetivos que se les han fijado, de forma similar a como un ser humano abordaría tareas técnicas. Sin embargo, como hemos observado, no se puede ignorar la supervisión experta de estos procesos por parte de seres humanos, y los desarrolladores que utilizan estas herramientas en sus flujos de trabajo deben comprender exactamente qué acceso tienen, qué datos recuperan o pueden poner a disposición y dónde se pueden compartir.
• Detección y defensa generales contra amenazas: al igual que con la mayoría de los procesos de IA, el usuario debe dominar la tarea por sí mismo para detectar posibles errores e imprecisiones en los resultados de la herramienta. Los desarrolladores deben recibir formación continua y sus habilidades deben ser evaluadas para poder verificar eficazmente los procesos de seguridad y revisar el código generado por la IA con precisión y autoridad en materia de seguridad.
• Alineación con la política de seguridad y la gobernanza de la IA: se debe informar a los desarrolladores sobre las herramientas autorizadas y darles la oportunidad de formarse y acceder a ellas. Tanto el desarrollador como la herramienta deben someterse a una evaluación comparativa de seguridad antes de que las confirmaciones se consideren fiables.

Recientemente hemos publicado un artículo de investigación sobre la aparición del vibe coding y la codificación basada en IA, así como sobre las medidas que deben adoptar las empresas para formar a la próxima generación de ingenieros de software basados en IA. Échale un vistazo y ponte en contacto con nosotros hoy mismo para reforzar tu equipo de desarrollo.

Una versión de este artículo apareció originalmente en DZone. Ha sido actualizado y sindicado aquí.

La versión 4.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) cambiará casi todo sobre la seguridad para cualquier negocio u organización que acepte pagos electrónicos, que es la gran mayoría de ellos. Y no nos equivoquemos, esta actualización será transformadora para la mayoría de las empresas, ya que les obligará a actualizar muchos de sus procesos de seguridad y, potencialmente, a desplegar nuevas protecciones en materia de cifrado, autenticación, control de acceso, gestión de claves y otras áreas que pueden haber tardado en adoptar hasta ahora.

Debido a la complejidad de los nuevos requisitos, las organizaciones tienen de plazo hasta marzo de 2025 para cumplirlos plenamente. Pero ese plazo llegará antes de lo que la mayoría de la gente cree. De hecho, muchas empresas con visión de futuro están tomando medidas ahora mismo para permitir a sus desarrolladores navegar por el panorama de cumplimiento pendiente. 

Más allá de la mera formación

Los desarrolladores de una organización escriben el código en el que se basa gran parte de su infraestructura, por lo que es lógico que sean un buen punto de partida a la hora de implantar los nuevos requisitos de PCI DSS 4.0. Sin embargo, la mayoría de los desarrolladores necesitarán apoyo estratégico para actualizar sus conocimientos como parte de un programa actualizado de concienciación sobre la seguridad. De este modo, se asegurarán de que cuentan con la experiencia necesaria para implantar y mantener los mayores niveles de seguridad que exige la nueva norma. 

De hecho, el requisito 12.6.2 de la norma PCI DSS 4.0 obliga a las organizaciones a implantar un programa de seguridad formal y a mantenerlo actualizado con la información más reciente sobre amenazas y técnicas defensivas. Con la norma anterior, los programas de seguridad básicos o incluso la formación anual para el cumplimiento de la normativa, al estilo de "marcar la casilla", cumplían el objetivo. Esta nueva norma exige mucho más, incluso requiere que los programas de formación en seguridad aborden amenazas y vulnerabilidades específicas dentro del entorno de una empresa. Por ejemplo, si el robo de identidades es un gran problema para una organización, la formación debe abordarlo.

Está claro que una formación mínima ya no será suficiente ni desde el punto de vista práctico ni para cumplir la nueva norma. En su lugar, las organizaciones deben proporcionar a los desarrolladores vías de aprendizaje completas y ágiles que les enseñen a aplicar las mejores prácticas de seguridad a su trabajo real y cotidiano. Al ir más allá de los esfuerzos mínimos de cumplimiento y proporcionar a los desarrolladores los recursos que necesitan para comprender realmente la seguridad, las organizaciones pueden capacitar a sus desarrolladores para tomar mejores decisiones de seguridad en general, al tiempo que cumplen con PCI DSS 4.0.

La buena noticia es que muchos de los nuevos requisitos de PCI DSS 4.0 están dirigidos a áreas con las que la mayoría de los desarrolladores ya están familiarizados, como la autenticación, el cifrado, el control de acceso, la gestión de claves y otras. Cuando los desarrolladores reciben recursos adecuados, relevantes y familiares para desarrollar sus habilidades, las organizaciones pueden prepararlos más fácilmente para los nuevos estándares y las mayores responsabilidades que exigirá PCI DSS 4.0.

Utilizar PCI DSS 4.0 como pasarela para mejorar la seguridad en general

Aunque abordar las necesidades de los desarrolladores con una buena formación en seguridad será clave para cumplir con éxito la nueva norma PCI DSS 4.0, el esfuerzo de llevar a una organización hacia una mejor ciberseguridad no tiene por qué terminar ahí. Sí, los requisitos son rigurosos, pero dado que la mayoría de las organizaciones tendrán que trabajar para cumplirlos, no hay razón para no utilizar ese esfuerzo como trampolín para poner en marcha una mejor concienciación y formación en materia de seguridad en general. Esto no sólo ayudará a una organización a cumplir los requisitos de conformidad, sino que también empezará a fomentar una cultura de seguridad positiva que dé prioridad a las mejores prácticas y garantice que todos los miembros de la organización trabajen por el mismo objetivo, la seguridad ante todo. 

Es cierto que hay una curva de aprendizaje, pero es probable que los desarrolladores se sumen a este esfuerzo. En una encuesta realizada por Evans Data a más de 1.200 desarrolladores profesionales que trabajan activamente en todo el mundo, la inmensa mayoría dijo que apoyaba el concepto de crear código seguro y establecer una mejor cultura de la seguridad en sus organizaciones. Está claro que la mayoría de los desarrolladores ven con buenos ojos un cambio estratégico y respaldado hacia la codificación segura y una nueva priorización de la seguridad como parte del proceso de desarrollo. 

Las actualizaciones de seguridad exigidas por la norma PCI DSS 4.0 constituyen una excusa perfecta para que las empresas inviertan en mejores prácticas de seguridad y formación, y adopten una mejor cultura general de seguridad dentro de su organización.

Los desarrolladores pueden alcanzar más fácilmente niveles más altos de madurez de seguridad si sus empresas invierten en un programa que les permita integrar sus conocimientos en codificación segura con las herramientas y la formación pertinentes. Esto, a su vez, puede ayudar a crear una cultura de la seguridad en la que los desarrolladores estén más capacitados para tomar mejores decisiones que mejoren la postura general de seguridad de su organización mucho más allá incluso de las nuevas y rigurosas normas PCI DSS 4.0.
‍

Después de solo unos minutos navegando por las noticias técnicas, rápidamente queda claro lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece traer consigo un informe sobre una infracción grave, una nueva vulnerabilidad de seguridad o el grave peligro de un aprovechamiento activo por parte de ciberatacantes y delincuentes. Y casi todos los indicadores y informes del sector muestran un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos pronostican que esta tendencia continuará en los próximos años.

Contra estas nuevas amenazas se ha creado una primera línea de defensa agotada y con falta de personal, formada por empleados de seguridad informática. Aunque reciben salarios elevados y son casi indispensables para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus empresas sufrían una falta de competencias en ciberseguridad, y el 71 % indicaron que esta carencia había provocado daños directos y cuantificables a sus empresas. Solo en Estados Unidos, el informe reveló que había más de 520 000 puestos vacantes en el ámbito de la ciberseguridad, en un sector que solo cuenta con unos 940 000 empleados.

En la actualidad, hay aproximadamente 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las empresas que están dispuestas a pagar grandes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se tarda un 21 % más en cubrir un puesto de ciberseguridad que cualquier otro puesto, si es que se puede cubrir.

La activación por parte de los desarrolladores se ha ignorado durante demasiado tiempo.

Hemos señalado en muchos blogs anteriores que se puede recurrir a los desarrolladores para cubrir algunas de estas lagunas críticas en la defensa de la ciberseguridad. El problema es que, tradicionalmente, los desarrolladores nunca han recibido formación en materia de ciberseguridad. Su rendimiento laboral dependía casi exclusivamente de la velocidad y el tiempo de implementación. La seguridad era tarea de los equipos de AppSec, por otro lado.

Por desgracia, no basta con cambiar de rumbo y pedir a los desarrolladores que, de repente, empiecen a hacer sus aplicaciones y programas más seguros. Aunque estén dispuestos a realizar estos cambios, y las encuestas han revelado que muchos de ellos lo están, aún así necesitan formación para lograrlo. También necesitan el ánimo y el apoyo de la alta dirección, pero el aprendizaje significativo es el primer obstáculo y, a menudo, el más grande.

Hay una razón por la que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática siguen sin cubrirse en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas cambia constantemente. Intentar enseñar ciberseguridad incluso a desarrolladores con conocimientos técnicos no se puede hacer de manera eficiente con cursos de formación estáticos que se completan rápidamente, no son fáciles de recordar y tendrán un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.

Construye un andamio para alcanzar zonas más elevadas.

Enseñar habilidades de ciberseguridad con métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. Esto no es posible porque los estudiantes no cuentan con los fundamentos necesarios para dominar los numerosos conceptos generales de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede aplicar el concepto de «aprender en un andamio ».

Cuando se utiliza un andamiaje o un enfoque «multicapa» en la formación continua, los temas más amplios suelen dividirse en experiencias de aprendizaje o conceptos individuales. De esta manera, se garantiza que los estudiantes sean capaces de dominar cada concepto con la ayuda de ejercicios e instrucciones adecuados, y se ofrece todo el apoyo necesario para cada componente. Los conceptos más nuevos y avanzados se superponen a los ya aprendidos, al igual que se construye un andamio físico cuando un edificio se hace más alto. De esta manera, los alumnos pueden alcanzar un mayor nivel de comprensión y habilidades que el que podrían alcanzar sin ayuda.

Y al igual que con los andamios físicos, este soporte se retira gradualmente cuando ya no es necesario, de modo que los alumnos asumen más responsabilidad a medida que se vuelven más competentes.

El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y las percepciones que los alumnos pueden experimentar cuando se sienten frustrados, intimidados o desanimados al resolver una tarea difícil sin ayuda. Sin embargo, también puede ser muy valioso cuando se trata de abordar un concepto extremadamente difícil, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como si fueran niños, resulta muy útil que su experiencia con el equipo de seguridad pueda tener el mismo efecto, es decir, frustrante y desalentador, sobre todo cuando su arduo trabajo se ve rebatido con correcciones de errores y una nueva dosis de críticas.

Cuando se proporcionan a los desarrolladores herramientas que les permiten comprender los fundamentos de la codificación segura (normalmente empezando por OWASP Top 10), pueden ver por sí mismos cómo se producen las vulnerabilidades de seguridad, por qué son peligrosas y cómo se pueden solucionar antes de que lleguen a la fase de producción. A partir de ahí, pueden ampliar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de buenas soluciones. Los niveles van creciendo poco a poco, y cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o la creación de modelos de amenazas, estos saltos no parecen tan intimidantes y pueden abordarse con precisión.

Como sector, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las empresas pueden introducir nuevas normas para ayudar a los desarrolladores a crear software de mayor calidad. Como ventaja adicional para las empresas con capacidades técnicas que se forman continuamente, cada paso en este camino o cada nivel del marco se traducirá directamente en una mejor ciberseguridad a lo largo del proceso de aprendizaje. No es necesario esperar hasta el final de un curso para ver los resultados.

Es difícil aprender sobre ciberseguridad y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla. La introducción de un programa de seguridad con estructuras de aprendizaje puede ayudar a sacarle el máximo partido, y las ventajas se hacen evidentes casi de inmediato. Las mejoras comienzan casi al instante y se van acentuando con el tiempo.

Empiece con nosotros a formar desarrolladores conscientes de la seguridad. Eche un vistazo a:

Cursos
Misiones
Formación para desarrolladores

... ¡y mucho más!

Recientemente, nos alegró mucho ver la primera publicación del Consejo Tecnológico de Forbes de nuestro presidente y director ejecutivo, Pieter Danhieux, en directo. En la publicación se describía detalladamente cómo la formación continua de los desarrolladores para crear un código más seguro es la clave para prevenir los ciberataques y las violaciones de la protección de datos. Además, se mostraba cómo esos mismos desarrolladores conscientes de la seguridad pueden contribuir a proporcionar un código mejor y más seguro más rápidamente de lo que muchos departamentos de TI creen. La necesidad de este enfoque es sin duda convincente. Un estudio reciente reveló que ahora se produce un ciberataque cada 39 segundos, y todos hemos visto los trastornos que ha causado un solo ataque exitoso de ransomware al oleoducto Colonial, que en general no fue tan destructivo como el hackeo de SolarWinds.

‍

Muchas vulnerabilidades de seguridad frecuentes siguen existiendo porque nadie se ha molestado en mostrar a los desarrolladores cómo se pueden sustituir los patrones de codificación deficientes por un método mejor, con el que se puedan ejecutar las mismas funciones de una manera más segura. Y las consecuencias de reparar el software en una fase tardía de su desarrollo son extremadamente costosas, tanto en términos de horas dedicadas como de retrasos en la implementación. Reparar el código después del lanzamiento, especialmente después de que un atacante haya aprovechado una vulnerabilidad previamente desconocida, puede costar a veces millones de dólares. Y eso sin tener en cuenta el daño a la reputación de una empresa tras una infracción grave.

Los desarrolladores con formación en seguridad se convierten naturalmente en mejores programadores. Sin duda, los CISO no deben renunciar tan fácilmente a sus herramientas de seguridad, pero si adoptan un enfoque de seguridad inclusivo y preventivo desde arriba, pueden aprovechar el mayor recurso de su empresa, el factor humano, especialmente cuando se trata de la codificación segura desde el inicio del ciclo de desarrollo de software.

A tal fin, a continuación se enumeran las tres estrategias más importantes que debe tener en cuenta.

1. Sea proactivo, no reactivo.

Las empresas suelen caer en la trampa de actuar de forma reactiva, por ejemplo, respondiendo a las actividades de la competencia, en lugar de desarrollar y perseguir una visión única. Muchas también adoptan este enfoque cuando se trata de vulnerabilidades de seguridad en el código y solo se toman en serio la ciberseguridad cuando se ven obligadas a ello tras sufrir una infracción. Por desgracia, para entonces el daño ya está hecho. Las multas, los costes de recuperación, la pérdida de clientes y la restauración de la marca tienen un impacto negativo en los resultados empresariales. Otra forma de reaccionar en lugar de actuar es confiar en el escaneo automático o manual del código para encontrar vulnerabilidades en el código existente, en lugar de centrarse en crear código seguro. Lamentablemente, el escaneo de código no es una solución perfecta. Es decir, cuantas más vulnerabilidades contenga el código, mayor será la probabilidad de que algunas se cuelen.

Solo si adopta un enfoque proactivo y colabora con los desarrolladores para ayudarles desde el principio a crear código seguro, podrá establecer un ciclo de desarrollo de software que reduzca considerablemente la probabilidad de que se publiquen vulnerabilidades de codificación para los usuarios.

2. Mejorar las cualificaciones, sin exagerar.

Una vez que haya decidido proporcionar a los desarrolladores los conocimientos que necesitan para crear código seguro, elija su enfoque con cuidado. Los talleres de formación internos que paralizan la programación frustran tanto a los desarrolladores como a los gerentes. Los cursos externos, a los que hay que asistir por la tarde o durante el fin de semana, son aún menos populares. El mejor enfoque consiste en ampliar los conocimientos de programación de forma gradual. Proporcione información relevante paso a paso durante el proceso de codificación, esencialmente formación continua, sin distraer demasiado a los desarrolladores ni ralentizar el proceso de desarrollo.

3. Crear incentivos, no dar nada por sentado.

Los desarrolladores no deben considerar las mejoras de seguridad como un castigo o una tarea tediosa. Los gerentes deben inspirar a los desarrolladores transmitiéndoles la importancia que tiene el código seguro para el éxito de la empresa. También es importante transmitirles que los programadores seguros son más valiosos para la empresa y que en el futuro se beneficiarán de mayores oportunidades profesionales.

La administración Biden es bienvenida La orden ejecutiva ha puesto mayor énfasis en la ciberseguridad y en la necesidad de «incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas o métodos innovadores para demostrar el cumplimiento de las prácticas de seguridad». Aunque las herramientas son indispensables, no son suficientes. Ninguna herramienta podrá nunca excluir por completo la capacidad de una persona de ignorar, malinterpretar, abusar o eludir de alguna manera los sistemas y herramientas implementados. Para maximizar la seguridad de sus empresas, los CISO deben aprovechar el factor humano y animar a los desarrolladores a convertirse en defensores y practicantes voluntariosos de la seguridad.