Las credenciales codificadas pueden introducir riesgos de seguridad
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Obtén más información sobre los riesgos asociados con las credenciales codificadas y la ingeniería social mientras analizamos el reciente incidente de seguridad de Uber y por qué es tan importante que las organizaciones cambien a la izquierda y se aseguren de que sus desarrolladores están al día con las mejores prácticas de codificación segura.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Secure Code Warrior está profundamente comprometida a ayudar a educar a la comunidad de desarrolladores y de seguridad sobre cómo escribir código de forma segura, así como a mitigar el riesgo de vulnerabilidades introducidas a través de código inseguro. Como parte de este objetivo, utilizaremos la historia en desarrollo del reciente incidente de seguridad de Uber como una oportunidad para discutir la importancia de la seguridad impulsada por los desarrolladores y el cambio de la izquierda.
Incidente de seguridad en Uber
Uber publicó un comunicado sobre el incidente de ciberseguridad el 16 de septiembre y siguen actualizándolo. Los lectores deben tener en cuenta que esta es una historia en curso. Recapitulemos lo que hemos aprendido a través del anuncio de Uber hasta el momento y de otras publicaciones reputadas en la comunidad de seguridad.
El hacker comenzó con la ingeniería social de un empleado de Uber, después de haber encontrado su número de What'sApp. El atacante se puso en contacto con ellos y comenzó a suplantar sus credenciales haciendo que el empleado desprevenido iniciara sesión en un sitio falso de Uber y luego capturando su nombre de usuario y contraseña.
Las cuentas de Uber están protegidas a través de la autenticación multifactor (MFA), lo que significa que, además de enviar una contraseña, el usuario debe presentar una segunda prueba que confirme su identidad. En la mayoría de los casos, se trata de un aviso enviado a un dispositivo móvil.
Tras obtener las credenciales, el atacante inició un ataque de fatiga MFA intentando continuamente iniciar sesión en el sitio genuino de Uber, y abrumando al empleado con numerosas notificaciones push en su dispositivo. De nuevo, el atacante se puso en contacto con la víctima a través de WhatsApp. Esta vez, supuestamente, se hizo pasar por el servicio de asistencia informática y logró convencerles de que aceptaran.
Credenciales codificadas
La base de la brecha de seguridad de Uber fue un exitoso ataque de phishing. Una vez dentro, el intruso encontró recursos compartidos de red que contenían scripts de PowerShell. Uno de estos scripts contenía las credenciales codificadas de un usuario administrador, lo que llevó a comprometer los servicios internos de Uber, como AWS, G-Suite y los repositorios de código. El hacker también obtuvo acceso a la cuenta HackerOne de Uber. Según Uber, sin embargo, "todos los informes de errores a los que el atacante pudo acceder han sido remediados".
¿Tiene curiosidad por ver cómo se vería esta vulnerabilidad en el código? Pruebe nuestro desafío PowerShell de forma gratuita.
¿Qué tan comunes son estos tipos de ataques?
La ingeniería social como vector de ataque es difícil de defender, ya que el factor humano siempre se ha considerado la parte más débil de la ciberseguridad. El hackeo de Uber ha ilustrado claramente que las implementaciones de MFA pueden ser fácilmente burladas. La clave para evitarlo es crear más conciencia entre los empleados sobre el funcionamiento de los ataques de phishing.
Lo que causó la exposición de los servicios internos de Uber, sin embargo, son el nombre de usuario y la contraseña del administrador que se encontraron en un script de PowerShell. La codificación de credenciales nunca es buena, ya que son legibles para cualquier desarrollador y, básicamente, para cualquiera que tenga acceso al código.
Pero, de nuevo, ¡la concienciación es la clave! Los desarrolladores con una mentalidad centrada en la seguridad son más propensos a detectar vulnerabilidades, y menos a escribirlas.
Un enfoque doble de educación general sobre ingeniería social y, más concretamente, de formación proactiva en codificación segura, reducirá el número de vulnerabilidades en una base de código y, por tanto, resultará fundamental en la lucha contra las amenazas a la seguridad.
¿Quiere saber más sobre cómo mantenerse al día con las mejores prácticas de codificación segura? Consulte Secure Code Coach. Aquí puede aprender las directrices de codificación segura y probar ejercicios de formación de forma gratuita.
Tabla de contenido
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
