Los ataques de tipo «día cero» están aumentando. Es hora de planificar una ventaja defensiva.
Una versión de este artículo ha sido publicada en Revue SC. Ha sido modificado y difundido aquí.
Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que efectivamente le han robado y violado. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.
Imagina ahora que te roban en tu casa porque los ladrones han hecho una copia de la llave. Entran y salen a su antojo, pero tienen cuidado de no ser detectados. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, que tu caja fuerte ha sido vaciada y que tus efectos personales han sido destrozados. Esta es la misma realidad a la que se enfrenta una organización si es víctima de un ciberataque de tipo «día cero». En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de datos exitosas eran el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas aún no están preparadas para mejorar significativamente esta estadística.
Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.
El regalo de Navidad que nadie quería, Log4Shell, está revolucionando Internet, con más de mil millones de dispositivos afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero jamás registrado, y esto no ha hecho más que empezar. A pesar de que algunos informes indican que los exploits comenzaron unos días antes de su divulgación pública, una presentación realizada en la Black Hat Conference en 2016 sugiere que este problema se conoce desde hace tiempo. Ay. Peor aún, es extremadamente fácil de explotar, y todos los guionistas y actores de amenazas del planeta están buscando sacar provecho de esta vulnerabilidad.
¿Cuál es entonces la mejor manera de defenderse contra una amenaza siniestra y escurridiza, por no hablar de las vulnerabilidades que no se han detectado durante el proceso de desarrollo de software? Echemos un vistazo.
Los ataques «día cero» contra objetivos importantes son poco frecuentes (y costosos).
Existe un enorme mercado para los exploits en la Dark Web, y los días cero tienden a ser caros, por citar solo un ejemplo en este artículo cotizado en 2,5 millones de dólares en el momento de redactarlo. Señalado como un exploit de Apple iOS, no es de extrañar que el precio que pide el investigador de seguridad sea exorbitante. Al fin y al cabo, podría tratarse de una puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se corrija.
Pero, ¿quién tiene tanto dinero, de todos modos? En general, las organizaciones criminales cibernéticas encuentran el dinero si lo consideran útil, especialmente para los ataques de ransomware, cada vez más populares. Sin embargo, los gobiernos mundiales y los departamentos de defensa forman parte de la clientela de los exploits que pueden utilizar con fines de inteligencia sobre amenazas y, en escenarios más positivos, las propias empresas pueden comprar sus propios exploits potenciales de día cero para poder mitigar las catástrofes.
El año 2021 ha batido récords en cuanto al descubrimiento de vulnerabilidades de día cero en tiempo real, y son las grandes organizaciones, los servicios gubernamentales y las infraestructuras los que corren mayor riesgo de ser sondeados para detectar posibles debilidades. No hay forma de estar totalmente a salvo de un ataque de día cero, pero se puede «jugar un poco» ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien le ofrezca las claves de su castillo de software en un mercado de la web oscura, recurra a profesionales de la seguridad legítimos y ofrézcales recompensas decentes en caso de divulgación ética y posibles correcciones.
Y si resulta ser una amenaza del día cero impresionante, es de suponer que necesitarás algo más que una tarjeta regalo de Amazon (y valdrá la pena).
Su equipamiento podría suponer un obstáculo para su personal de seguridad.
La pesadez de las herramientas de seguridad es un problema desde hace mucho tiempo, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Además de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de manera eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los RSSI consideraban que su solución de seguridad era «totalmente eficaz».
En un ámbito conocido por su agotamiento profesional, su falta de personal cualificado en materia de seguridad para responder a la demanda y su necesidad de agilidad, obligar a los profesionales de la seguridad a trabajar con una sobrecarga de información en forma de datos, informes y supervisión de enormes conjuntos de herramientas resulta tedioso. Este es precisamente el tipo de situación que puede hacer que pasen por alto una alerta crítica, como puede haber sido el caso a la hora de evaluar correctamente las vulnerabilidades de Log4j.
La seguridad preventiva debe incluir un modelo de amenazas dirigido por los desarrolladores.
Las vulnerabilidades en el código suelen ser introducidas por los desarrolladores, que necesitan asesoramiento específico y formación continua para desarrollar habilidades de codificación seguras. Sin embargo, los desarrolladores seguros de alto nivel han tenido la oportunidad de aprender y practicar el modelado de amenazas como parte de su proceso de creación de software.
No es de extrañar que las personas que mejor conocen su software sean los desarrolladores que lo han creado. Tienen un profundo conocimiento de cómo interactúan los usuarios con él, dónde se utilizan las funciones y, cuando son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que podría romperse o explotarse.
Si lo relacionamos con el exploit Log4Shell, lamentablemente nos encontramos ante un escenario en el que una vulnerabilidad catastrófica ha escapado a la detección de expertos y conjuntos de herramientas complejas, pero que quizá no habría ocurrido en absoluto si la biblioteca se hubiera configurado para limpiar las entradas de los usuarios. La decisión de no hacerlo parece haber sido una característica oscura por comodidad, pero la hizo extremadamente fácil de explotar (pensemos en el nivel de inyección SQL, que ciertamente no es genial). Si el modelado de amenazas hubiera sido realizado por un grupo de desarrolladores apasionados y expertos en seguridad, es muy probable que este escenario se hubiera teorizado y contemplado.
Un buen programa de seguridad incluye un componente emocional, ya que la intervención humana y los matices son fundamentales para resolver los problemas creados por el hombre. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y la configuración seguras a nivel de la arquitectura del software y las aplicaciones. Los desarrolladores no deberían enfrentarse a esta tarea de la noche a la mañana, pero lo ideal es encontrar una vía clara para mejorarlos hasta un nivel que les permita aliviar la presión sobre el equipo de seguridad en esta importante tarea (y es una forma excelente de establecer relaciones entre ambos equipos).
Un día cero conduce a n días.
El siguiente paso para hacer frente a un día cero consiste en publicar los parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable los aplique lo antes posible, y sin duda antes de que un atacante llegue primero. Con Log4Shell, podría eclipsar a Heartbleed en cuanto a su resistencia y potencia, dada su integración en millones de dispositivos y la creación de dependencias complejas dentro del diseño del software.
En realidad, no hay forma de detener por completo este tipo de ataques insidiosos. Sin embargo, si nos comprometemos a utilizar todos los medios a nuestro alcance para crear software seguro y de calidad, y abordamos el desarrollo con la misma mentalidad que si se tratara de una infraestructura crítica, todos tendremos la oportunidad de lograrlo.
Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo ha sido publicada en Revue SC. Ha sido modificado y difundido aquí.
Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que efectivamente le han robado y violado. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.
Imagina ahora que te roban en tu casa porque los ladrones han hecho una copia de la llave. Entran y salen a su antojo, pero tienen cuidado de no ser detectados. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, que tu caja fuerte ha sido vaciada y que tus efectos personales han sido destrozados. Esta es la misma realidad a la que se enfrenta una organización si es víctima de un ciberataque de tipo «día cero». En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de datos exitosas eran el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas aún no están preparadas para mejorar significativamente esta estadística.
Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.
El regalo de Navidad que nadie quería, Log4Shell, está revolucionando Internet, con más de mil millones de dispositivos afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero jamás registrado, y esto no ha hecho más que empezar. A pesar de que algunos informes indican que los exploits comenzaron unos días antes de su divulgación pública, una presentación realizada en la Black Hat Conference en 2016 sugiere que este problema se conoce desde hace tiempo. Ay. Peor aún, es extremadamente fácil de explotar, y todos los guionistas y actores de amenazas del planeta están buscando sacar provecho de esta vulnerabilidad.
¿Cuál es entonces la mejor manera de defenderse contra una amenaza siniestra y escurridiza, por no hablar de las vulnerabilidades que no se han detectado durante el proceso de desarrollo de software? Echemos un vistazo.
Los ataques «día cero» contra objetivos importantes son poco frecuentes (y costosos).
Existe un enorme mercado para los exploits en la Dark Web, y los días cero tienden a ser caros, por citar solo un ejemplo en este artículo cotizado en 2,5 millones de dólares en el momento de redactarlo. Señalado como un exploit de Apple iOS, no es de extrañar que el precio que pide el investigador de seguridad sea exorbitante. Al fin y al cabo, podría tratarse de una puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se corrija.
Pero, ¿quién tiene tanto dinero, de todos modos? En general, las organizaciones criminales cibernéticas encuentran el dinero si lo consideran útil, especialmente para los ataques de ransomware, cada vez más populares. Sin embargo, los gobiernos mundiales y los departamentos de defensa forman parte de la clientela de los exploits que pueden utilizar con fines de inteligencia sobre amenazas y, en escenarios más positivos, las propias empresas pueden comprar sus propios exploits potenciales de día cero para poder mitigar las catástrofes.
El año 2021 ha batido récords en cuanto al descubrimiento de vulnerabilidades de día cero en tiempo real, y son las grandes organizaciones, los servicios gubernamentales y las infraestructuras los que corren mayor riesgo de ser sondeados para detectar posibles debilidades. No hay forma de estar totalmente a salvo de un ataque de día cero, pero se puede «jugar un poco» ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien le ofrezca las claves de su castillo de software en un mercado de la web oscura, recurra a profesionales de la seguridad legítimos y ofrézcales recompensas decentes en caso de divulgación ética y posibles correcciones.
Y si resulta ser una amenaza del día cero impresionante, es de suponer que necesitarás algo más que una tarjeta regalo de Amazon (y valdrá la pena).
Su equipamiento podría suponer un obstáculo para su personal de seguridad.
La pesadez de las herramientas de seguridad es un problema desde hace mucho tiempo, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Además de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de manera eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los RSSI consideraban que su solución de seguridad era «totalmente eficaz».
En un ámbito conocido por su agotamiento profesional, su falta de personal cualificado en materia de seguridad para responder a la demanda y su necesidad de agilidad, obligar a los profesionales de la seguridad a trabajar con una sobrecarga de información en forma de datos, informes y supervisión de enormes conjuntos de herramientas resulta tedioso. Este es precisamente el tipo de situación que puede hacer que pasen por alto una alerta crítica, como puede haber sido el caso a la hora de evaluar correctamente las vulnerabilidades de Log4j.
La seguridad preventiva debe incluir un modelo de amenazas dirigido por los desarrolladores.
Las vulnerabilidades en el código suelen ser introducidas por los desarrolladores, que necesitan asesoramiento específico y formación continua para desarrollar habilidades de codificación seguras. Sin embargo, los desarrolladores seguros de alto nivel han tenido la oportunidad de aprender y practicar el modelado de amenazas como parte de su proceso de creación de software.
No es de extrañar que las personas que mejor conocen su software sean los desarrolladores que lo han creado. Tienen un profundo conocimiento de cómo interactúan los usuarios con él, dónde se utilizan las funciones y, cuando son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que podría romperse o explotarse.
Si lo relacionamos con el exploit Log4Shell, lamentablemente nos encontramos ante un escenario en el que una vulnerabilidad catastrófica ha escapado a la detección de expertos y conjuntos de herramientas complejas, pero que quizá no habría ocurrido en absoluto si la biblioteca se hubiera configurado para limpiar las entradas de los usuarios. La decisión de no hacerlo parece haber sido una característica oscura por comodidad, pero la hizo extremadamente fácil de explotar (pensemos en el nivel de inyección SQL, que ciertamente no es genial). Si el modelado de amenazas hubiera sido realizado por un grupo de desarrolladores apasionados y expertos en seguridad, es muy probable que este escenario se hubiera teorizado y contemplado.
Un buen programa de seguridad incluye un componente emocional, ya que la intervención humana y los matices son fundamentales para resolver los problemas creados por el hombre. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y la configuración seguras a nivel de la arquitectura del software y las aplicaciones. Los desarrolladores no deberían enfrentarse a esta tarea de la noche a la mañana, pero lo ideal es encontrar una vía clara para mejorarlos hasta un nivel que les permita aliviar la presión sobre el equipo de seguridad en esta importante tarea (y es una forma excelente de establecer relaciones entre ambos equipos).
Un día cero conduce a n días.
El siguiente paso para hacer frente a un día cero consiste en publicar los parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable los aplique lo antes posible, y sin duda antes de que un atacante llegue primero. Con Log4Shell, podría eclipsar a Heartbleed en cuanto a su resistencia y potencia, dada su integración en millones de dispositivos y la creación de dependencias complejas dentro del diseño del software.
En realidad, no hay forma de detener por completo este tipo de ataques insidiosos. Sin embargo, si nos comprometemos a utilizar todos los medios a nuestro alcance para crear software seguro y de calidad, y abordamos el desarrollo con la misma mentalidad que si se tratara de una infraestructura crítica, todos tendremos la oportunidad de lograrlo.
Una versión de este artículo ha sido publicada en Revue SC. Ha sido modificado y difundido aquí.
Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que efectivamente le han robado y violado. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.
Imagina ahora que te roban en tu casa porque los ladrones han hecho una copia de la llave. Entran y salen a su antojo, pero tienen cuidado de no ser detectados. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, que tu caja fuerte ha sido vaciada y que tus efectos personales han sido destrozados. Esta es la misma realidad a la que se enfrenta una organización si es víctima de un ciberataque de tipo «día cero». En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de datos exitosas eran el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas aún no están preparadas para mejorar significativamente esta estadística.
Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.
El regalo de Navidad que nadie quería, Log4Shell, está revolucionando Internet, con más de mil millones de dispositivos afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero jamás registrado, y esto no ha hecho más que empezar. A pesar de que algunos informes indican que los exploits comenzaron unos días antes de su divulgación pública, una presentación realizada en la Black Hat Conference en 2016 sugiere que este problema se conoce desde hace tiempo. Ay. Peor aún, es extremadamente fácil de explotar, y todos los guionistas y actores de amenazas del planeta están buscando sacar provecho de esta vulnerabilidad.
¿Cuál es entonces la mejor manera de defenderse contra una amenaza siniestra y escurridiza, por no hablar de las vulnerabilidades que no se han detectado durante el proceso de desarrollo de software? Echemos un vistazo.
Los ataques «día cero» contra objetivos importantes son poco frecuentes (y costosos).
Existe un enorme mercado para los exploits en la Dark Web, y los días cero tienden a ser caros, por citar solo un ejemplo en este artículo cotizado en 2,5 millones de dólares en el momento de redactarlo. Señalado como un exploit de Apple iOS, no es de extrañar que el precio que pide el investigador de seguridad sea exorbitante. Al fin y al cabo, podría tratarse de una puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se corrija.
Pero, ¿quién tiene tanto dinero, de todos modos? En general, las organizaciones criminales cibernéticas encuentran el dinero si lo consideran útil, especialmente para los ataques de ransomware, cada vez más populares. Sin embargo, los gobiernos mundiales y los departamentos de defensa forman parte de la clientela de los exploits que pueden utilizar con fines de inteligencia sobre amenazas y, en escenarios más positivos, las propias empresas pueden comprar sus propios exploits potenciales de día cero para poder mitigar las catástrofes.
El año 2021 ha batido récords en cuanto al descubrimiento de vulnerabilidades de día cero en tiempo real, y son las grandes organizaciones, los servicios gubernamentales y las infraestructuras los que corren mayor riesgo de ser sondeados para detectar posibles debilidades. No hay forma de estar totalmente a salvo de un ataque de día cero, pero se puede «jugar un poco» ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien le ofrezca las claves de su castillo de software en un mercado de la web oscura, recurra a profesionales de la seguridad legítimos y ofrézcales recompensas decentes en caso de divulgación ética y posibles correcciones.
Y si resulta ser una amenaza del día cero impresionante, es de suponer que necesitarás algo más que una tarjeta regalo de Amazon (y valdrá la pena).
Su equipamiento podría suponer un obstáculo para su personal de seguridad.
La pesadez de las herramientas de seguridad es un problema desde hace mucho tiempo, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Además de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de manera eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los RSSI consideraban que su solución de seguridad era «totalmente eficaz».
En un ámbito conocido por su agotamiento profesional, su falta de personal cualificado en materia de seguridad para responder a la demanda y su necesidad de agilidad, obligar a los profesionales de la seguridad a trabajar con una sobrecarga de información en forma de datos, informes y supervisión de enormes conjuntos de herramientas resulta tedioso. Este es precisamente el tipo de situación que puede hacer que pasen por alto una alerta crítica, como puede haber sido el caso a la hora de evaluar correctamente las vulnerabilidades de Log4j.
La seguridad preventiva debe incluir un modelo de amenazas dirigido por los desarrolladores.
Las vulnerabilidades en el código suelen ser introducidas por los desarrolladores, que necesitan asesoramiento específico y formación continua para desarrollar habilidades de codificación seguras. Sin embargo, los desarrolladores seguros de alto nivel han tenido la oportunidad de aprender y practicar el modelado de amenazas como parte de su proceso de creación de software.
No es de extrañar que las personas que mejor conocen su software sean los desarrolladores que lo han creado. Tienen un profundo conocimiento de cómo interactúan los usuarios con él, dónde se utilizan las funciones y, cuando son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que podría romperse o explotarse.
Si lo relacionamos con el exploit Log4Shell, lamentablemente nos encontramos ante un escenario en el que una vulnerabilidad catastrófica ha escapado a la detección de expertos y conjuntos de herramientas complejas, pero que quizá no habría ocurrido en absoluto si la biblioteca se hubiera configurado para limpiar las entradas de los usuarios. La decisión de no hacerlo parece haber sido una característica oscura por comodidad, pero la hizo extremadamente fácil de explotar (pensemos en el nivel de inyección SQL, que ciertamente no es genial). Si el modelado de amenazas hubiera sido realizado por un grupo de desarrolladores apasionados y expertos en seguridad, es muy probable que este escenario se hubiera teorizado y contemplado.
Un buen programa de seguridad incluye un componente emocional, ya que la intervención humana y los matices son fundamentales para resolver los problemas creados por el hombre. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y la configuración seguras a nivel de la arquitectura del software y las aplicaciones. Los desarrolladores no deberían enfrentarse a esta tarea de la noche a la mañana, pero lo ideal es encontrar una vía clara para mejorarlos hasta un nivel que les permita aliviar la presión sobre el equipo de seguridad en esta importante tarea (y es una forma excelente de establecer relaciones entre ambos equipos).
Un día cero conduce a n días.
El siguiente paso para hacer frente a un día cero consiste en publicar los parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable los aplique lo antes posible, y sin duda antes de que un atacante llegue primero. Con Log4Shell, podría eclipsar a Heartbleed en cuanto a su resistencia y potencia, dada su integración en millones de dispositivos y la creación de dependencias complejas dentro del diseño del software.
En realidad, no hay forma de detener por completo este tipo de ataques insidiosos. Sin embargo, si nos comprometemos a utilizar todos los medios a nuestro alcance para crear software seguro y de calidad, y abordamos el desarrollo con la misma mentalidad que si se tratara de una infraestructura crítica, todos tendremos la oportunidad de lograrlo.
Haga clic en el enlace siguiente y descargue el PDF de este recurso.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Mostrar el informeReserve una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Una versión de este artículo ha sido publicada en Revue SC. Ha sido modificado y difundido aquí.
Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que efectivamente le han robado y violado. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.
Imagina ahora que te roban en tu casa porque los ladrones han hecho una copia de la llave. Entran y salen a su antojo, pero tienen cuidado de no ser detectados. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, que tu caja fuerte ha sido vaciada y que tus efectos personales han sido destrozados. Esta es la misma realidad a la que se enfrenta una organización si es víctima de un ciberataque de tipo «día cero». En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de datos exitosas eran el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas aún no están preparadas para mejorar significativamente esta estadística.
Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.
El regalo de Navidad que nadie quería, Log4Shell, está revolucionando Internet, con más de mil millones de dispositivos afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero jamás registrado, y esto no ha hecho más que empezar. A pesar de que algunos informes indican que los exploits comenzaron unos días antes de su divulgación pública, una presentación realizada en la Black Hat Conference en 2016 sugiere que este problema se conoce desde hace tiempo. Ay. Peor aún, es extremadamente fácil de explotar, y todos los guionistas y actores de amenazas del planeta están buscando sacar provecho de esta vulnerabilidad.
¿Cuál es entonces la mejor manera de defenderse contra una amenaza siniestra y escurridiza, por no hablar de las vulnerabilidades que no se han detectado durante el proceso de desarrollo de software? Echemos un vistazo.
Los ataques «día cero» contra objetivos importantes son poco frecuentes (y costosos).
Existe un enorme mercado para los exploits en la Dark Web, y los días cero tienden a ser caros, por citar solo un ejemplo en este artículo cotizado en 2,5 millones de dólares en el momento de redactarlo. Señalado como un exploit de Apple iOS, no es de extrañar que el precio que pide el investigador de seguridad sea exorbitante. Al fin y al cabo, podría tratarse de una puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se corrija.
Pero, ¿quién tiene tanto dinero, de todos modos? En general, las organizaciones criminales cibernéticas encuentran el dinero si lo consideran útil, especialmente para los ataques de ransomware, cada vez más populares. Sin embargo, los gobiernos mundiales y los departamentos de defensa forman parte de la clientela de los exploits que pueden utilizar con fines de inteligencia sobre amenazas y, en escenarios más positivos, las propias empresas pueden comprar sus propios exploits potenciales de día cero para poder mitigar las catástrofes.
El año 2021 ha batido récords en cuanto al descubrimiento de vulnerabilidades de día cero en tiempo real, y son las grandes organizaciones, los servicios gubernamentales y las infraestructuras los que corren mayor riesgo de ser sondeados para detectar posibles debilidades. No hay forma de estar totalmente a salvo de un ataque de día cero, pero se puede «jugar un poco» ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien le ofrezca las claves de su castillo de software en un mercado de la web oscura, recurra a profesionales de la seguridad legítimos y ofrézcales recompensas decentes en caso de divulgación ética y posibles correcciones.
Y si resulta ser una amenaza del día cero impresionante, es de suponer que necesitarás algo más que una tarjeta regalo de Amazon (y valdrá la pena).
Su equipamiento podría suponer un obstáculo para su personal de seguridad.
La pesadez de las herramientas de seguridad es un problema desde hace mucho tiempo, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Además de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de manera eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los RSSI consideraban que su solución de seguridad era «totalmente eficaz».
En un ámbito conocido por su agotamiento profesional, su falta de personal cualificado en materia de seguridad para responder a la demanda y su necesidad de agilidad, obligar a los profesionales de la seguridad a trabajar con una sobrecarga de información en forma de datos, informes y supervisión de enormes conjuntos de herramientas resulta tedioso. Este es precisamente el tipo de situación que puede hacer que pasen por alto una alerta crítica, como puede haber sido el caso a la hora de evaluar correctamente las vulnerabilidades de Log4j.
La seguridad preventiva debe incluir un modelo de amenazas dirigido por los desarrolladores.
Las vulnerabilidades en el código suelen ser introducidas por los desarrolladores, que necesitan asesoramiento específico y formación continua para desarrollar habilidades de codificación seguras. Sin embargo, los desarrolladores seguros de alto nivel han tenido la oportunidad de aprender y practicar el modelado de amenazas como parte de su proceso de creación de software.
No es de extrañar que las personas que mejor conocen su software sean los desarrolladores que lo han creado. Tienen un profundo conocimiento de cómo interactúan los usuarios con él, dónde se utilizan las funciones y, cuando son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que podría romperse o explotarse.
Si lo relacionamos con el exploit Log4Shell, lamentablemente nos encontramos ante un escenario en el que una vulnerabilidad catastrófica ha escapado a la detección de expertos y conjuntos de herramientas complejas, pero que quizá no habría ocurrido en absoluto si la biblioteca se hubiera configurado para limpiar las entradas de los usuarios. La decisión de no hacerlo parece haber sido una característica oscura por comodidad, pero la hizo extremadamente fácil de explotar (pensemos en el nivel de inyección SQL, que ciertamente no es genial). Si el modelado de amenazas hubiera sido realizado por un grupo de desarrolladores apasionados y expertos en seguridad, es muy probable que este escenario se hubiera teorizado y contemplado.
Un buen programa de seguridad incluye un componente emocional, ya que la intervención humana y los matices son fundamentales para resolver los problemas creados por el hombre. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y la configuración seguras a nivel de la arquitectura del software y las aplicaciones. Los desarrolladores no deberían enfrentarse a esta tarea de la noche a la mañana, pero lo ideal es encontrar una vía clara para mejorarlos hasta un nivel que les permita aliviar la presión sobre el equipo de seguridad en esta importante tarea (y es una forma excelente de establecer relaciones entre ambos equipos).
Un día cero conduce a n días.
El siguiente paso para hacer frente a un día cero consiste en publicar los parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable los aplique lo antes posible, y sin duda antes de que un atacante llegue primero. Con Log4Shell, podría eclipsar a Heartbleed en cuanto a su resistencia y potencia, dada su integración en millones de dispositivos y la creación de dependencias complejas dentro del diseño del software.
En realidad, no hay forma de detener por completo este tipo de ataques insidiosos. Sin embargo, si nos comprometemos a utilizar todos los medios a nuestro alcance para crear software seguro y de calidad, y abordamos el desarrollo con la misma mentalidad que si se tratara de una infraestructura crítica, todos tendremos la oportunidad de lograrlo.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior aquí para ayudar a su organización a proteger el código a lo largo de todo el ciclo de desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de la seguridad de las aplicaciones, desarrollador, responsable de la seguridad informática o cualquier otra persona involucrada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código no seguro.
Reserve una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de formación sobre el código seguro
Nuestro contenido de vanguardia evoluciona constantemente para adaptarse al panorama en constante cambio del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la IA hasta la inyección de XQuery, ofrecidos para una variedad de puestos, desde arquitectos hasta ingenieros, pasando por jefes de producto y control de calidad. Descubra una visión general de lo que nuestro catálogo de contenidos tiene para ofrecer por tema y por función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon está de vuelta: las missions Beat the Boss ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible todo el año en SCW. Implemente desafíos de seguridad avanzados relacionados con la IA y el LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la ley sobre ciberresiliencia: lo que significa para el desarrollo de software seguro desde el diseño.
Descubra qué exige la ley europea sobre ciberresiliencia (CRA), a quién se aplica y cómo los equipos de ingenieros pueden prepararse mediante prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el refuerzo de las capacidades de los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 da inicio a nuestra serie de 10 partes titulada «Facilitadores del éxito», mostrando cómo combinar la codificación segura con resultados comerciales, como la reducción de riesgos y la rapidez, para garantizar la madurez a largo plazo de los programas.
