¿Por qué las inyecciones de SQL son las cucarachas del mundo de AppSec (y cómo los CISO pueden erradicarlas de una vez por todas)?
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. El generalizado y costoso ataque a Target fue el resultado de una inyección de SQL, al igual que un caso de piratería electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre piratas informáticos de Imperva reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83 % de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Top 10 de OWASP. Son relativamente simples, pero simplemente no desaparecerán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
El informe de Veracode sobre el estado de la seguridad del software, basado en 400 000 escaneos de aplicaciones en 2017, reveló una estadística alarmante: solo el 30 % de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada, de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4 % de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42 % de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente del Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. El generalizado y costoso ataque a Target fue el resultado de una inyección de SQL, al igual que un caso de piratería electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre piratas informáticos de Imperva reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83 % de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Top 10 de OWASP. Son relativamente simples, pero simplemente no desaparecerán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
El informe de Veracode sobre el estado de la seguridad del software, basado en 400 000 escaneos de aplicaciones en 2017, reveló una estadística alarmante: solo el 30 % de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada, de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4 % de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42 % de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente del Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. El generalizado y costoso ataque a Target fue el resultado de una inyección de SQL, al igual que un caso de piratería electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre piratas informáticos de Imperva reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83 % de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Top 10 de OWASP. Son relativamente simples, pero simplemente no desaparecerán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
El informe de Veracode sobre el estado de la seguridad del software, basado en 400 000 escaneos de aplicaciones en 2017, reveló una estadística alarmante: solo el 30 % de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada, de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4 % de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42 % de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente del Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. El generalizado y costoso ataque a Target fue el resultado de una inyección de SQL, al igual que un caso de piratería electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre piratas informáticos de Imperva reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83 % de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Top 10 de OWASP. Son relativamente simples, pero simplemente no desaparecerán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
El informe de Veracode sobre el estado de la seguridad del software, basado en 400 000 escaneos de aplicaciones en 2017, reveló una estadística alarmante: solo el 30 % de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada, de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4 % de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42 % de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente del Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere pilotar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Tabla de contenido
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserve una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El habilitador 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
