Información sobre el código de seguridad

El desarrollo impulsado por la IA ha introducido categorías completamente nuevas de riesgos de software. La inyección rápida, la manipulación del RAG y las autorizaciones excesivas de los agentes ya no son preocupaciones teóricas, sino realidades activas en las aplicaciones modernas.

Los desarrolladores necesitan una exposición práctica a estos modelos de amenazas emergentes en entornos que reflejen la complejidad del mundo real. Por eso hemos transformado las missions jefes Cybermon 2025 AI/LLM, que no eran más que una experiencia con eventos limitados, en una colección de temas de misiones que se pueden implementar en Secure Code Warrior. Encontrará la colección Cybermon 2025: Beat the Boss en la sección Conceptos específicos, dentro de Conceptos de seguridad, al crear una nueva misión.

Cybermon 2025: Battez le boss permite a las organizaciones integrar en cualquier momento estos retos de seguridad muy complejos relacionados con la IA en sus programas de codificación segura.

¿Qué es Beat the Boss?

Beat the Boss reúne cuatro retos avanzados de IA y LLM diseñados para poner a prueba las capacidades de desarrollo de IA segura en el mundo real.

Cada tema incluye un breve vídeo introductorio y directrices, un calentamiento guiado paso a paso y la misión original del jefe de alto nivel de dificultad de Cybermon 2025. Estos escenarios inmersivos se centran en clases de vulnerabilidades prácticas de la IA que los desarrolladores deben comprender a medida que evolucionan las aplicaciones basadas en la IA.

Las cuatro missions se centran cada una en un área de riesgo distinta relacionada con la IA, simulando modelos de amenazas reales en sistemas alimentados por IA:

• Bypassaur — Inyección directa y rápida
• Keykraken — Inyección rápida indirecta
• Promptgeist — Debilidades relacionadas con los vectores y la integración
• Proxysurfa — Excesiva agencia

Hágalo a su manera.

Le recomendamos que se centre en un jefe cada vez para poder prestar a cada vulnerabilidad la atención que merece. Muchas organizaciones optan por gestionar:

• Un jefe por semana en el marco de un sprint centrado en la seguridad de la IA.
• O una vez al mes en el marco de la iniciativa «Vulnerabilidad del mes».

En la base de conocimientos hay disponibles instrucciones de implementación estructuradas y recursos de marca descargables para los administradores que configuran los eventos internos:
Cybermon 2025: organice su propio evento Beat the Boss

Implementar la preparación para la seguridad de la IA

El desarrollo acelerado por la IA está redefiniendo el panorama de los riesgos de software. Las clases de vulnerabilidad emergentes exigen más que una simple toma de conciencia: requieren experiencia aplicada.

Beat the Boss permite a las empresas traducir la evolución de los modelos de amenazas relacionadas con la IA en funcionalidades prácticas para los desarrolladores.

Los desarrolladores pueden afrontar cada reto de forma independiente y, a continuación, revisar las soluciones guiadas para reforzar la mentalidad del atacante y las estrategias defensivas. Hay vídeos de presentación completa de la solución disponibles para el aprendizaje tras el reto:

Muchos equipos amplían la experiencia mediante sesiones internas de intercambio de conocimientos, lo que hace que el aprendizaje basado en eventos pase de ser competitivo a colaborativo. La seguridad y el desarrollo son deportes de equipo. Las organizaciones están mejor protegidas cuando los desarrolladores, los responsables de seguridad y los equipos de ingeniería trabajan juntos para comprender y mitigar la creciente superficie de ataque de la IA. Los informes facilitados, las evaluaciones de soluciones compartidas y los debates entre equipos permiten transformar la resolución de retos individuales en capacidad colectiva.

Al integrar Beat the Boss en sus iniciativas de codificación segura, refuerza la adopción segura de la IA al tiempo que desarrolla una madurez cuantificable en materia de seguridad de la IA dentro de sus equipos de desarrollo.

Comience

Encontrará la colección Cybermon 2025: Beat the Boss en la sección Conceptos específicos, dentro de Conceptos de seguridad, al crear una nueva misión. Inicie sesión en su cuenta Secure Code Warrior para configurar su implementación y reforzar el desarrollo seguro de la IA dentro de sus equipos.

La Ley de Ciberresiliencia se está convirtiendo rápidamente en una prioridad estratégica, no solo para las empresas con sede en la UE, sino también para todas las empresas que venden productos digitales en el mercado europeo. Aunque los plazos de cumplimiento se extienden hasta 2027, los equipos de ingeniería y seguridad ya se plantean preguntas difíciles sobre las prácticas de seguridad desde el diseño, la gestión de vulnerabilidades y las capacidades de desarrollo.

A diferencia de muchas normativas que se centran en la documentación y las auditorías, la CRA sitúa el diseño y el desarrollo de software seguro en el centro del cumplimiento normativo. Las empresas que invierten desde el principio en funciones de seguridad desde el momento del diseño alcanzarán el cumplimiento normativo más rápidamente y se diferenciarán en un mercado en el que la seguridad de los productos se está convirtiendo en un factor decisivo para la compra.

Lo que exige la ley sobre ciberresiliencia

La Ley de Ciberresiliencia (CRA) introduce requisitos básicos en materia de ciberseguridad para la mayoría de los productos con un componente digital comercializados en la UE, en particular el software, los sistemas operativos, los dispositivos conectados y los sistemas integrados.

Más importante aún, cambia dónde recae la responsabilidad.

La seguridad ya no es solo una cuestión de ejecución o explotación. En el marco de la CRA, se convierte en una obligación de diseño y desarrollo que abarca la arquitectura, la implementación, el mantenimiento y la gestión de las vulnerabilidades.

Para los responsables de ingeniería y seguridad, esto significa:

• Los productos deben fabricarse de conformidad con los principios de seguridad desde su diseño.
• Las vulnerabilidades conocidas deben evitarse en la medida de lo posible y tratarse de manera eficaz.
• Las organizaciones deben demostrar que cuentan con prácticas de desarrollo seguras.

En resumen: la conformidad es inseparable de la forma en que los desarrolladores escriben y gestionan el código.

¿A quién se dirige la CRA?

Aunque fue introducida por la UE, la CRA se aplica a cualquier organización del mundo que comercialice los productos digitales en cuestión en el mercado de la UE, en particular:

• Proveedores de software y proveedores SaaS cuyos servicios funcionan como componentes de procesamiento de datos remotos de los productos cubiertos.
• Fabricantes de productos digitales o conectados
• Importadores, distribuidores y minoristas
• Organizaciones que integran componentes digitales de terceros

Para las empresas globales, la preparación para el CRA es un requisito para el desarrollo transfronterizo, y no un ejercicio de cumplimiento regional.

¿Por qué las organizaciones empiezan ahora mismo?

Principales etapas:

• Septiembre de 2026: comienzan las obligaciones de notificación de vulnerabilidades.
• Diciembre de 2027: se requiere conformidad total.

Sobre el papel, esta cronología puede parecer cómoda. En realidad, la transformación del desarrollo no se produce en trimestres, sino a lo largo de los años.

La seguridad desde el diseño no es una actualización de la política. Requiere:

• Mejorar las habilidades de miles de desarrolladores en todos los lenguajes y en todos los equipos.
• Integrar las expectativas en materia de seguridad desde el diseño en los flujos de trabajo cotidianos.
• Pasar de la corrección reactiva de vulnerabilidades a la prevención
• Crear pruebas cuantificables de que las prácticas de desarrollo seguro se aplican de manera coherente.

Estos cambios afectan a la contratación, la integración, las decisiones relativas a la arquitectura, los procesos SDLC y la cultura de la ingeniería. Las organizaciones que aplacen la implementación hasta finales de 2026 intentarán modernizar sus capacidades bajo la presión normativa, una solución mucho más costosa y disruptiva.

La aplicación de la ley también conlleva importantes riesgos financieros. En virtud del artículo 64 de la CRA, las sanciones pueden alcanzar los 15 millones de euros, es decir, el 2,5 % de la facturación anual mundial, en caso de incumplimiento de los requisitos esenciales en materia de ciberseguridad.

Es simplemente demasiado tarde esperar hasta finales de 2026.

El CRA es, en definitiva, un reto de capacidad para los desarrolladores.

Muchas normativas se centran en las políticas y la documentación. La CRA va más allá al establecer un vínculo entre el cumplimiento normativo y las prácticas reales utilizadas para diseñar y crear software. Esto genera expectativas en cuanto al desarrollo seguro como disciplina operativa, y no solo como requisito de gobernanza.

Para los responsables de ingeniería, esto significa que el cumplimiento depende de la aplicación sistemática por parte de los equipos de desarrollo de prácticas seguras, en particular:

• Comprender las clases de vulnerabilidad habituales
• Aplicar los principios de diseño y arquitectura seguros.
• Evitar los modelos de implementación no seguros.
• Gestión responsable de componentes de terceros y de código abierto

Las herramientas de seguridad desempeñan un papel importante en la detección de problemas. Sin embargo, estas herramientas muestran sus debilidades una vez que se ha escrito el código. La seguridad desde el diseño obliga a los desarrolladores a prevenir las vulnerabilidades en primer lugar y a hacerlo de manera coherente en todos los equipos, lenguajes y productos.

Las herramientas por sí solas no pueden lograrlo. Los resultados en materia de seguridad desde el diseño dependen de la capacidad humana.

¿Cómo Secure Code Warrior a la preparación de la CRA?

Secure Code Warrior itinerarios de aprendizaje alineados con el CRA que combinan:

• UNE Una búsqueda estándar CRA asignada a los requisitos de vulnerabilidad técnica del anexo I, parte I.
• Colección UNE Conceptual Secure by Design
• Aprendizaje práctico de las vulnerabilidades específicas del idioma

Consulte nuestra guía de una hoja sobre todo el contenido de aprendizaje alineado con la CRA en SCW. SCW no certifica el cumplimiento. Apoyamos la preparación para la CRA mediante un aprendizaje estructurado y una mejora cuantificable de las capacidades, de conformidad con los principios de desarrollo seguro de la normativa.

Comience ahora mismo a prepararse para la CRA.

El CRA refleja la dirección que está tomando la industria: la seguridad mediante la ingeniería de diseño es la expectativa por defecto. Las organizaciones que inviertan ahora en las capacidades de los desarrolladores estarán en mejor posición para garantizar el cumplimiento y crear software más resistente y menos arriesgado a largo plazo.

Para obtener más información sobre cómo Secure Code Warrior ayudarle a alcanzar la conformidad, consulte nuestra base de conocimientos: Cómo Secure Code Warrior ayudarle a alcanzar la conformidad.

Comenzamos nuestro análisis en profundidad de los 10 factores de éxito con el paso fundamental del Facilitador 1: Criterios de éxito definidos y medibles. Si un programa de codificación segura es un viaje, el primer paso, y el más crucial, es saber exactamente adónde se va. Esa es la esencia misma del primer facilitador.

Relacionar los criterios de éxito con los resultados comerciales.

La creación de un programa de codificación segura eficaz requiere la existencia de objetivos claros estrechamente relacionados con los resultados comerciales. El Enabler 1 responde a las preguntas fundamentales: «¿Cuál es, en términos muy específicos y medibles, el problema o la dificultad que intentamos resolver con nuestro programa de codificación segura?».

Quizás su organización desee cumplir con los requisitos de conformidad o evitar fallos de seguridad y ciberataques. O tal vez desee destacar como organización, reducir costes y plazos de revisión formando a los desarrolladores para que programen de forma segura desde el principio.

Independientemente de sus motivaciones, el estado actual de su organización o incluso la plataforma de formación en seguridad que elija, el éxito a largo plazo de su programa depende en gran medida de la definición de objetivos claramente definidos y vinculados a los objetivos comerciales, con el fin de ganar adhesión y garantizar un éxito duradero.

Tenga en cuenta a las partes interesadas clave de su programa a la hora de determinar los criterios de éxito. Conocer a sus patrocinadores ejecutivos y sus objetivos empresariales le ayudará a impulsar una adopción más amplia en todos los departamentos.

Hacer que el éxito sea tangible y medible.

Estos objetivos deben, por su propia naturaleza, ser específicos de su organización. Dicho esto, revise estos objetivos comerciales típicos y piense en cómo podrían inspirarle otras ideas:

Reducción de riesgos: Mitigar los riesgos de los desarrolladores y reducir las vulnerabilidades introducidas por fallos de codificación. Esto incluye la identificación de riesgos y la reducción de la superficie de ataque de las aplicaciones.

Los programas suelen centrarse en métricas como la densidad de vulnerabilidades o la reducción y prevención de la tasa de inyección de vulnerabilidades.

Velocidad operativa: Maximiza la velocidad de entrega de productos, reduce la frustración y el desgaste de los desarrolladores y disminuye la cantidad de tiempo dedicado a la reelaboración. La formación en código seguro actúa como un incentivo significativo para los desarrolladores, ya que les ayuda a evitar la reelaboración, que requiere mucho tiempo, del código defectuoso identificado más adelante en el ciclo de vida del desarrollo de software.

Los programas suelen tener como objetivo reducir el tiempo medio de reparación (MTTR) de las vulnerabilidades por parte de los desarrolladores.

Cumplimiento normativo: Logre el cumplimiento externo, como la adhesión a normas como PCI-DSS (que exige la formación de todos los desarrolladores que trabajan en sistemas de pago).

Talento y confianza: Aumenta el compromiso y la concienciación sobre la seguridad y las vulnerabilidades dentro de la organización de desarrolladores, al tiempo que mantienes y fomentas la confianza de los clientes. Para algunas empresas, los desarrolladores con conocimientos de seguridad ayudan a establecer una diferenciación en el mercado.

Los programas suelen establecer requisitos mínimos de habilidades para los desarrolladores o incluso crean programas especializados de campeones de seguridad.

Documentar el éxito en un plan de éxito conjunto.

Unavez que haya definido sus criterios de éxito, el siguiente paso es documentarlos en un Plan de éxito conjunto. Este plan es un plan común interfuncional, con todas las partes interesadas clave de su programa, incluido el apoyo externo, como su plataforma de formación CSM.

El plan de éxito contiene:

1. Factores de valor: se trata, en particular, de los objetivos comerciales de alto nivel relacionados con la mejora de la seguridad del código y la respuesta al «por qué» de su programa.
2. Situación actual: Esto plantea la pregunta «¿Dónde nos encontramos ahora?» (por ejemplo, las competencias actuales en materia de codificación segura o los programas de formación existentes).
3. Estado futuro (deseado): A continuación, documente «¿Dónde queremos estar?» y determine cómo se cubrirá el déficit de competencias en materia de codificación segura.
4. KPI/medidas: Son los indicadores que muestran el éxito y demuestran que la brecha entre la situación actual y la futura se reduce a medida que se desarrolla el programa.

Le recomendamos que comience con uno o dos indicadores específicos y que los amplíe posteriormente si es necesario. Estos KPI/medidas deben respetar el principio S.M.A.R.T. (específico, medible, alcanzable, relevante, limitado en el tiempo). Deben ser fáciles de seguir y no dar lugar a interpretaciones ambiguas. Se requiere la responsabilidad de todas las partes para poner en práctica el plan, con un ritmo regular y acordado para examinar el valor y el retorno de la inversión con la dirección.

Al definir y medir estos criterios de manera explícita, su programa de codificación segura pasa de ser un simple centro de costos a convertirse en un motor verificable de resultados comerciales cruciales, un primer paso necesario para alcanzar la madurez del programa.

A continuación, nos sumergiremos en Facilitador 2: Patrocinio de la alta dirección para debatir el papel clave que desempeña el liderazgo en la implementación exitosa de un programa de codificación segura.

¿Tiene alguna otra pregunta? Los clientes pueden ponerse en contacto con el equipo encargado de la cuenta o escribir a support@securecodewarrior.com. Los clientes potenciales pueden hablar con un miembro de nuestro equipo comercial poniéndose en contacto con nosotros aquí.

A una persona que decide lanzarse de cabeza a una empresa emergente se le llama de muchas maneras, desde el ambicioso apodo de «emprendedor» hasta el decididamente menos glamuroso «loco de remate». Después de once años al frente de Secure Code Warrior, me encuentro felizmente en un punto intermedio. 

Los últimos cinco años han sido una lección de resiliencia para muchos, con imprevistos, tanto económicos como de otro tipo, que ni siquiera las personas más inteligentes del planeta pudieron predecir. Aquí podría venir a la mente la «ley del más fuerte», pero yo prefiero esta cita:

«No es la especie más fuerte la que sobrevive, ni la más inteligente. Es la que mejor se adapta al cambio».

(A menudo se atribuye erróneamente a Charles Darwin, pero en realidad fue dicho por el profesor Leon C. Megginson, quien estaba resumiendo la obra de Darwin, El origen de las especies. Con suerte, esto te hará ganar un gran premio en un concurso de preguntas y respuestas en un pub en el futuro).

Ahora bien, ¿qué mejor ejemplo de cambio y adaptabilidad hay en nuestro mundo que la inteligencia artificial? Han pasado más de tres años desde que se lanzó la bomba del LLM y todavía estamos tratando de comprender qué es esta iteración, qué puede hacer y cómo puede servirnos mejor en prácticamente todas las funciones que existen hoy en día. En cualquier caso, ha llegado para quedarse y, como profesionales de la ciberseguridad en particular, debemos ir un paso por delante para protegerla, incluso en ausencia de barreras de protección y normativas oficiales.

2025 fue un año importante para la IA, la ciberseguridad y SCW. Afronto 2026 con una confianza tranquila y el optimismo que solo puede aportar el trabajo duro que da sus frutos. 

Hemos alcanzado algunos hitos importantes, entre ellos nuestra incursión en la protección del desarrollo de software basado en inteligencia artificial. Nosotros:

• Publicado Trust Agent: IA en fase de pruebas beta: Las nuevas investigaciones de la CCIA confirman que la IA generativa es la tecnología que más rápido se ha adoptado en la historia, por lo que no es de extrañar que los agentes y asistentes de codificación de IA hayan tenido una gran acogida entre los desarrolladores, incluyendo implementaciones apresuradas a nivel empresarial que avanzan más rápido que sus programas de seguridad.
  
  Nuestra última tecnología, Trust Agent: AI, proporciona el ingrediente que faltaba: visibilidad y gobernanza sobre el código generado por IA. Ofrece a los responsables de seguridad de las empresas la observabilidad y el control profundos que necesitan para gestionar con confianza la adopción de la IA en su ciclo de vida de desarrollo de software (SDLC) sin sacrificar la seguridad.
• Hemos superado nuestro último gran hito en cuanto a ingresos: El hecho de haber superado nuestro objetivo de ingresos es una prueba de la tenacidad y la innovación de todo el Secure Code Warrior . Cuando comenzamos este viaje, nuestra misión era ir más allá del enfoque de «casillas de verificación» en materia de seguridad y capacitar realmente a los desarrolladores para que escribieran código seguro desde la primera línea.
  
  El hecho de que esa visión haya tenido eco en tantas empresas globales demuestra que el sector está finalmente cambiando su enfoque hacia una seguridad centrada en los desarrolladores, y no podría estar más orgulloso de cómo nuestros Warriors se han esforzado por hacer que el software sea más seguro para todos.
• Integraciones expertas con socios estratégicos: nuestras alianzas con grandes empresas como Aikido, OpenText y Black Duck representan un importante paso adelante en nuestra misión de crear un ecosistema de seguridad fluido y centrado en los desarrolladores. Al salvar la brecha entre la identificación de vulnerabilidades y la provisión de las habilidades específicas necesarias para solucionarlas, estamos cerrando de manera efectiva el círculo en lo que respecta al riesgo de software orientado a los desarrolladores.
  
  Estoy muy orgulloso de esta asociación, que supone un cambio estratégico que nos aleja de las herramientas fragmentadas y nos acerca a una experiencia unificada en la que la seguridad es una extensión natural del flujo de trabajo de desarrollo.

Ahora que nos adentramos en otro gran año, me gustaría dar las gracias a nuestro creciente número de seguidores, especialmente a los de la amplia comunidad cibernética, que siguen liderando la lucha contra las vulnerabilidades recurrentes, la escasa concienciación sobre la seguridad y la mala calidad del código producido. Al adoptar un nuevo estándar más seguro, podemos empezar a ver mejoras reales en la seguridad de nuestro software, nuestros servicios y nuestra tecnología. 

Estamos avanzando a toda velocidad con una inversión total en un futuro en el que la IA escribirá la mayor parte del código, bajo la atenta mirada de humanos cualificados. Nuestro SCW Learning está evolucionando rápidamente para satisfacer los requisitos de este nuevo mundo, y nuestro SCW Trust Agent: AI estará disponible en los próximos tres meses para respaldar el funcionamiento seguro de LLM, MCP y mucho más en el SDLC. También estamos a punto de anunciar muy pronto una nueva y emocionante asociación con un importante actor del mercado.

¡Estén atentos!

Una versión de este artículo ha sido publicada en Revue SC. Ha sido modificado y difundido aquí.


Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo no va bien, seguida de la constatación de que efectivamente le han robado y violado. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.

Imagina ahora que te roban en tu casa porque los ladrones han hecho una copia de la llave. Entran y salen a su antojo, pero tienen cuidado de no ser detectados. Entonces, un día, te das cuenta demasiado tarde de que las joyas que habías escondido en el congelador han desaparecido, que tu caja fuerte ha sido vaciada y que tus efectos personales han sido destrozados. Esta es la misma realidad a la que se enfrenta una organización si es víctima de un ciberataque de tipo «día cero». En 2020, un estudio del Ponemon Institute reveló que el 80 % de las violaciones de datos exitosas eran el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas aún no están preparadas para mejorar significativamente esta estadística.

Los ataques «día cero», por definición, no dan tiempo a los desarrolladores para detectar y corregir las vulnerabilidades existentes que podrían ser explotadas, ya que es el autor de la amenaza quien ha actuado primero. El daño ya está hecho y entonces comienza una carrera frenética para reparar tanto el software como el daño a la reputación de la empresa. Los atacantes siempre tienen ventaja, y es fundamental reducir esa ventaja en la medida de lo posible.

El regalo de Navidad que nadie quería, Log4Shell, está revolucionando Internet, con más de mil millones de dispositivos afectados por esta catastrófica vulnerabilidad de Java. Se perfila como el peor ataque de día cero jamás registrado, y esto no ha hecho más que empezar. A pesar de que algunos informes indican que los exploits comenzaron unos días antes de su divulgación pública, una presentación realizada en la Black Hat Conference en 2016 sugiere que este problema se conoce desde hace tiempo. Ay. Peor aún, es extremadamente fácil de explotar, y todos los guionistas y actores de amenazas del planeta están buscando sacar provecho de esta vulnerabilidad.

¿Cuál es entonces la mejor manera de defenderse contra una amenaza siniestra y escurridiza, por no hablar de las vulnerabilidades que no se han detectado durante el proceso de desarrollo de software? Echemos un vistazo.

Los ataques «día cero» contra objetivos importantes son poco frecuentes (y costosos).

Existe un enorme mercado para los exploits en la Dark Web, y los días cero tienden a ser caros, por citar solo un ejemplo en este artículo cotizado en 2,5 millones de dólares en el momento de redactarlo. Señalado como un exploit de Apple iOS, no es de extrañar que el precio que pide el investigador de seguridad sea exorbitante. Al fin y al cabo, podría tratarse de una puerta de entrada para comprometer millones de dispositivos, recopilar miles de millones de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se corrija.

Pero, ¿quién tiene tanto dinero, de todos modos? En general, las organizaciones criminales cibernéticas encuentran el dinero si lo consideran útil, especialmente para los ataques de ransomware, cada vez más populares. Sin embargo, los gobiernos mundiales y los departamentos de defensa forman parte de la clientela de los exploits que pueden utilizar con fines de inteligencia sobre amenazas y, en escenarios más positivos, las propias empresas pueden comprar sus propios exploits potenciales de día cero para poder mitigar las catástrofes.

El año 2021 ha batido récords en cuanto al descubrimiento de vulnerabilidades de día cero en tiempo real, y son las grandes organizaciones, los servicios gubernamentales y las infraestructuras los que corren mayor riesgo de ser sondeados para detectar posibles debilidades. No hay forma de estar totalmente a salvo de un ataque de día cero, pero se puede «jugar un poco» ofreciendo un programa de recompensas por errores generoso y bien estructurado. En lugar de esperar a que alguien le ofrezca las claves de su castillo de software en un mercado de la web oscura, recurra a profesionales de la seguridad legítimos y ofrézcales recompensas decentes en caso de divulgación ética y posibles correcciones.

Y si resulta ser una amenaza del día cero impresionante, es de suponer que necesitarás algo más que una tarjeta regalo de Amazon (y valdrá la pena).

Su equipamiento podría suponer un obstáculo para su personal de seguridad.

La pesadez de las herramientas de seguridad es un problema desde hace mucho tiempo, ya que el CISO medio gestiona entre 55 y 75 herramientas en su arsenal de seguridad. Además de ser la navaja suiza más confusa (en sentido figurado) del mundo, el 53 % de las empresas ni siquiera están convencidas de que funcionen de manera eficaz, según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los RSSI consideraban que su solución de seguridad era «totalmente eficaz».

En un ámbito conocido por su agotamiento profesional, su falta de personal cualificado en materia de seguridad para responder a la demanda y su necesidad de agilidad, obligar a los profesionales de la seguridad a trabajar con una sobrecarga de información en forma de datos, informes y supervisión de enormes conjuntos de herramientas resulta tedioso. Este es precisamente el tipo de situación que puede hacer que pasen por alto una alerta crítica, como puede haber sido el caso a la hora de evaluar correctamente las vulnerabilidades de Log4j.

La seguridad preventiva debe incluir un modelo de amenazas dirigido por los desarrolladores.

Las vulnerabilidades en el código suelen ser introducidas por los desarrolladores, que necesitan asesoramiento específico y formación continua para desarrollar habilidades de codificación seguras. Sin embargo, los desarrolladores seguros de alto nivel han tenido la oportunidad de aprender y practicar el modelado de amenazas como parte de su proceso de creación de software.

No es de extrañar que las personas que mejor conocen su software sean los desarrolladores que lo han creado. Tienen un profundo conocimiento de cómo interactúan los usuarios con él, dónde se utilizan las funciones y, cuando son lo suficientemente conscientes de la seguridad, de los posibles escenarios en los que podría romperse o explotarse.

Si lo relacionamos con el exploit Log4Shell, lamentablemente nos encontramos ante un escenario en el que una vulnerabilidad catastrófica ha escapado a la detección de expertos y conjuntos de herramientas complejas, pero que quizá no habría ocurrido en absoluto si la biblioteca se hubiera configurado para limpiar las entradas de los usuarios. La decisión de no hacerlo parece haber sido una característica oscura por comodidad, pero la hizo extremadamente fácil de explotar (pensemos en el nivel de inyección SQL, que ciertamente no es genial). Si el modelado de amenazas hubiera sido realizado por un grupo de desarrolladores apasionados y expertos en seguridad, es muy probable que este escenario se hubiera teorizado y contemplado.

Un buen programa de seguridad incluye un componente emocional, ya que la intervención humana y los matices son fundamentales para resolver los problemas creados por el hombre. El modelado de amenazas requiere empatía y experiencia para ser eficaz, al igual que la codificación y la configuración seguras a nivel de la arquitectura del software y las aplicaciones. Los desarrolladores no deberían enfrentarse a esta tarea de la noche a la mañana, pero lo ideal es encontrar una vía clara para mejorarlos hasta un nivel que les permita aliviar la presión sobre el equipo de seguridad en esta importante tarea (y es una forma excelente de establecer relaciones entre ambos equipos).

Un día cero conduce a n días.

El siguiente paso para hacer frente a un día cero consiste en publicar los parches lo más rápido posible, con la esperanza de que cada usuario del software vulnerable los aplique lo antes posible, y sin duda antes de que un atacante llegue primero. Con Log4Shell, podría eclipsar a Heartbleed en cuanto a su resistencia y potencia, dada su integración en millones de dispositivos y la creación de dependencias complejas dentro del diseño del software.

En realidad, no hay forma de detener por completo este tipo de ataques insidiosos. Sin embargo, si nos comprometemos a utilizar todos los medios a nuestro alcance para crear software seguro y de calidad, y abordamos el desarrollo con la misma mentalidad que si se tratara de una infraestructura crítica, todos tendremos la oportunidad de lograrlo.

El desarrollo asistido por IA (o, en su versión más actual, el «vibe coding») tiene un efecto transformador considerable en la creación de código. Los desarrolladores experimentados están adoptando estas herramientas en masa, y aquellos de nosotros que siempre hemos querido crear nuestro propio software, pero que no tenemos la experiencia necesaria, también las estamos aprovechando para crear activos que antes habrían sido prohibitivos en términos de coste y tiempo. Aunque esta tecnología promete inaugurar una nueva era de innovación, introduce toda una serie de nuevas vulnerabilidades y perfiles de riesgo que los responsables de la seguridad tienen dificultades para mitigar.

Un descubrimiento reciente de InvariantLabs ha revelado una vulnerabilidad crítica en el Model Context Protocol (MCP), un marco de trabajo de tipo API que permite a potentes herramientas de IA interactuar de forma autónoma con otros programas y bases de datos, lo que da lugar a lo que se ha denominado «ataques por envenenamiento de herramientas », una nueva categoría de vulnerabilidad que podría resultar especialmente perjudicial para las empresas. Las principales herramientas de IA, como Windsurf y Cursor, no son inmunes, y con varios millones de usuarios, es fundamental la sensibilización y las competencias necesarias para gestionar este problema de seguridad emergente.

En la situación actual, el resultado de estas herramientas no es lo suficientemente seguro como para considerarlas aptas para su uso en empresas, tal y como se indica en un reciente artículo de investigación de Vineeth Sai Narajala e Idan Habler, investigadores de seguridad en AWS e Intuit: «A medida que los sistemas de IA se vuelven más autónomos y comienzan a interactuar directamente con herramientas externas y datos en tiempo real a través de herramientas como el MCP, se vuelve absolutamente esencial garantizar la seguridad de estas interacciones».

Los sistemas de IA agencial y el perfil de riesgo del Protocolo de Contexto del Modelo

El Model Context Protocol es un práctico software creado por Anthropic que permite una integración mejor y más fluida entre los agentes de IA LLM (Large Language Model) y otras herramientas. Se trata de un potente caso de uso que abre un mundo de posibilidades entre las aplicaciones propietarias y las herramientas SaaS críticas para la empresa, como GitHub, en interacción con soluciones de IA de vanguardia. Solo tiene que escribir un servidor MCP y empezar a definir las directrices sobre cómo desea que funcione y con qué fin.

Las implicaciones de la tecnología MCP en materia de seguridad son, en realidad, esencialmente positivas. La promesa de una integración más directa entre los LLM y la tecnología utilizada por los profesionales de la seguridad es demasiado tentadora como para ignorarla, y representa la posibilidad de una automatización precisa de las tareas de seguridad a niveles antes imposibles, al menos sin escribir e implementar código personalizado, generalmente para cada tarea. La mejora de la interoperabilidad de los LLM que ofrece MCP representa una perspectiva interesante para la seguridad de las empresas, ya que una visibilidad y conectividad ampliadas entre los datos, las herramientas y el personal son esenciales para una defensa y una planificación eficaces de la seguridad.

Sin embargo, el uso del MCP puede introducir otros posibles vectores de amenazas, ampliando considerablemente la superficie de ataque de las empresas si no se gestiona con cuidado. Como ha señalado Laboratoires invariants, los ataques por envenenamiento de herramientas constituyen una nueva categoría de vulnerabilidad que puede dar lugar a la filtración de datos sensibles y a acciones no autorizadas por parte de modelos de IA. A partir de ahí, las implicaciones en materia de seguridad se difuminan muy rápidamente.

InvariantLabs señala que un ataque de envenenamiento de herramientas es posible cuando se integran instrucciones maliciosas en las descripciones de las herramientas MCP que no son visibles para los usuarios, pero que son totalmente legibles (y ejecutables) por los modelos de IA. Esto incita a la herramienta a realizar acciones maliciosas no autorizadas sin el conocimiento del usuario. El problema radica en la hipótesis del MCP de que todas las descripciones de las herramientas son fiables, lo que es música para los actores maliciosos.

Señalan las posibles consecuencias de una herramienta comprometida:

• Dirigir los modelos de IA para acceder a archivos confidenciales (como claves SSH, archivos de configuración, bases de datos, etc.).
• Solicitar a la IA que extraiga y transmita estos datos, en un entorno en el que estas acciones maliciosas están intrínsecamente ocultas al usuario no informado.
• Cree una diferencia entre lo que ve el usuario y lo que hace el modelo de IA ocultándose tras representaciones de interfaz de usuario de una simplicidad engañosa de los argumentos y los resultados de las herramientas.

Se trata de una categoría de vulnerabilidad emergente preocupante, que sin duda veremos cada vez con más frecuencia a medida que continúe el inevitable crecimiento del uso de los MCP. Será necesario tomar medidas minuciosas para detectar y mitigar esta amenaza a medida que evolucionen los programas de seguridad de la empresa, y es esencial preparar adecuadamente a los desarrolladores para que participen en la solución.

¿Por qué solo los desarrolladores competentes en materia de seguridad deberían aprovechar las herramientas de IA agentiques?

Las herramientas de codificación de Agentic AI se consideran la próxima evolución de la codificación asistida por IA, ya que refuerzan su capacidad para ofrecer una mayor eficiencia, productividad y flexibilidad en el desarrollo de software. Su mayor capacidad para comprender el contexto y las intenciones las hace especialmente útiles, pero no son inmunes a amenazas como las inyecciones rápidas, las alucinaciones o la manipulación del comportamiento por parte de los atacantes.

Los desarrolladores constituyen la línea de defensa entre las validaciones correctas e incorrectas del código, y será fundamental mantener tanto las competencias en materia de seguridad como el pensamiento crítico en el futuro del desarrollo de software seguro.

Los resultados de la IA nunca deben implementarse con una confianza ciega, y son los desarrolladores con experiencia en seguridad que aplican un pensamiento contextual y crítico los que pueden aprovechar de forma segura las ganancias de productividad que ofrece esta tecnología. No obstante, debe tratarse de un entorno de programación en pareja, en el que el experto humano sea capaz de evaluar y modelar las amenazas y, en última instancia, aprobar el trabajo realizado por la herramienta.

Descubra cómo los desarrolladores pueden mejorar sus habilidades y aumentar su productividad gracias a la IA aquí.

Técnicas prácticas de mitigación y lecturas complementarias en nuestro último artículo de investigación.

Las herramientas de codificación basadas en la IA y la tecnología MCP están llamadas a desempeñar un papel importante en el futuro de la ciberseguridad, pero es fundamental no lanzarnos a ellas sin antes comprobar el terreno.

Narajala y Habler papier detallan las estrategias de mitigación completas para la implementación del MCP a nivel empresarial y la gestión continua de sus riesgos. En última instancia, se centra en los principios de defensa en profundidad y confianza cero, apuntando explícitamente al perfil de riesgo único que este nuevo ecosistema aporta a un entorno empresarial. Para los desarrolladores en particular, es esencial colmar las lagunas de conocimiento en los siguientes ámbitos:

• Autenticación y control de acceso: Las herramientas de IA agencial permiten resolver problemas y tomar decisiones autónomas para alcanzar los objetivos que se les han fijado, de la misma manera que un humano abordaría las tareas de ingeniería. Sin embargo, como hemos establecido, no se puede ignorar la supervisión humana cualificada de estos procesos, y los desarrolladores que utilizan estas herramientas en sus flujos de trabajo deben comprender exactamente qué accesos tienen, qué datos recuperan o pueden exponer, y dónde se pueden compartir.
• Detección y mitigación generales de amenazas: al igual que ocurre con la mayoría de los procesos de IA, para detectar posibles fallos e inexactitudes en los resultados de la herramienta, el usuario debe dominar la tarea por sí mismo. Los desarrolladores deben beneficiarse de una actualización y verificación continuas de estas competencias para revisar eficazmente los procesos de seguridad y examinar el código generado por la IA con precisión y autoridad en materia de seguridad.
• Armonización con la política de seguridad y la gobernanza de la IA: Los desarrolladores deben estar informados sobre las herramientas aprobadas y tener la posibilidad de mejorar sus competencias y acceder a ellas. Tanto el desarrollador como la herramienta deben someterse a un análisis comparativo de seguridad antes de que se aprueben las confirmaciones.

Recientemente hemos publicado un documento de investigación sobre la aparición de la codificación por vibración y la codificación asistida por IA, y sobre las medidas que deben tomar las empresas para formar a la próxima generación de ingenieros de software impulsados por la IA. Descúbralo y póngase en contacto con nosotros para reforzar su equipo de desarrollo hoy mismo.

Una versión de este artículo se publicó inicialmente en Zone D. Se ha actualizado y publicado aquí.

La versión 4.0 de la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) cambiará casi todo lo relacionado con la seguridad de cualquier empresa u organización que acepte pagos electrónicos, lo que representa a la gran mayoría de ellas. Y no se equivoquen, esta actualización transformará a la mayoría de las empresas, obligándolas a actualizar muchos de sus procesos de seguridad y, potencialmente, a implementar nuevas protecciones relacionadas con el cifrado, la autenticación, el control de acceso, la gestión de claves y otras áreas que tal vez hayan tardado en adoptar anteriormente.

Debido a la complejidad de los nuevos requisitos, las organizaciones tienen hasta marzo de 2025 para cumplir plenamente con ellos. Pero esta fecha límite llegará antes de lo que la mayoría de la gente cree. De hecho, muchas empresas pioneras están tomando medidas para que sus desarrolladores puedan navegar por el panorama de cumplimiento pendiente.

Más allá de la formación para marcar

Los desarrolladores de una empresa escriben el código en el que se basa gran parte de su infraestructura. Por lo tanto, es lógico que sean un buen punto de partida a la hora de implementar los nuevos requisitos de PCI DSS 4.0. Sin embargo, la mayoría de los desarrolladores necesitarán apoyo estratégico para mejorar sus habilidades en el marco de un programa actualizado de sensibilización sobre la seguridad. Esto garantiza que cuenten con la experiencia necesaria para implementar y mantener los niveles de seguridad más elevados que exige la nueva norma.

De hecho, el requisito 12.6.2 de la norma PCI DSS 4.0 exige a las empresas implementar un programa de seguridad oficial y mantenerlo actualizado con la información más reciente sobre amenazas y técnicas de defensa. Con la norma anterior, los programas de seguridad básicos o incluso la formación anual sobre cumplimiento del tipo «marcar casillas» permitían alcanzar el objetivo. Esta nueva norma impone mucho más, llegando incluso a exigir que los programas de formación en seguridad aborden las amenazas y vulnerabilidades específicas del entorno de una empresa. Por ejemplo, si el robo de identidad constituye un problema grave para una organización, la formación debe abordarlo.

Está claro que una formación mínima ya no será suficiente, ni desde el punto de vista práctico ni para cumplir con la nueva norma. Las empresas deben ofrecer a los desarrolladores itinerarios de aprendizaje completos y ágiles que les enseñen a aplicar las mejores prácticas de seguridad en su trabajo diario. Al ir más allá de los esfuerzos mínimos de cumplimiento y proporcionar a los desarrolladores los recursos que necesitan para comprender realmente la seguridad, las empresas pueden darles los medios para tomar mejores decisiones en materia de seguridad en general, al tiempo que cumplen con la norma PCI DSS 4.0.

La buena noticia es que muchas de las nuevas exigencias de la norma PCI DSS 4.0 se refieren a ámbitos que la mayoría de los desarrolladores ya conocen, como la autenticación, el cifrado, el control de acceso, la gestión de claves, etc. Cuando los desarrolladores disponen de recursos adecuados, pertinentes y familiares para desarrollar sus competencias, las organizaciones pueden prepararles más fácilmente para las nuevas normas y las mayores responsabilidades que exigirá la norma PCI DSS 4.0.

Utilizar la norma PCI DSS 4.0 como puente hacia una mayor seguridad global.

Aunque es esencial satisfacer las necesidades de los desarrolladores mediante una buena formación en materia de seguridad para cumplir con éxito la nueva norma PCI DSS 4.0, los esfuerzos por hacer que una organización evolucione hacia una mejor ciberseguridad no deben detenerse ahí. Sí, los requisitos son rigurosos, pero dado que la mayoría de las organizaciones tendrán que esforzarse por cumplirlos, no hay razón para no utilizar este esfuerzo como trampolín para reforzar la sensibilización sobre la seguridad y la formación en general. Esto no solo permitirá a una organización cumplir con los requisitos de conformidad, sino que también comenzará a fomentar una cultura de seguridad positiva que dé prioridad a las mejores prácticas y garantice que todos los miembros de la organización trabajen con el mismo objetivo, centrado en la seguridad.

Hay una curva de aprendizaje, por supuesto, pero los desarrolladores probablemente estarán de acuerdo con tal esfuerzo. En una encuesta de Evans realizada a más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo, la gran mayoría declaró que apoyaba el concepto de crear código seguro e instaurar una mejor cultura de seguridad en sus organizaciones. Está claro que la mayoría de los desarrolladores están a favor de una transición estratégica y sostenida hacia una codificación segura y una redefinición de las prioridades de seguridad en el marco del proceso de desarrollo.

Las actualizaciones de seguridad impuestas por la norma PCI DSS 4.0 constituyen una excusa perfecta para las empresas que desean invertir en la mejora de las mejores prácticas y la formación en materia de seguridad, así como para adoptar una mejor cultura global de la seguridad dentro de su organización.

Los desarrolladores pueden alcanzar más fácilmente niveles de madurez en materia de seguridad si sus empresas invierten en un programa que les permita integrar sus competencias en materia de codificación segura con herramientas y formaciones pertinentes. Esto, a su vez, puede contribuir a crear una cultura de seguridad en la que los desarrolladores estén más capacitados para tomar mejores decisiones que mejoren la postura de seguridad global de su organización mucho más allá de las nuevas y rigurosas normas PCI DSS 4.0.
‍

Después de solo unos minutos leyendo las noticias tecnológicas, comprenderá rápidamente lo peligroso que se está volviendo el panorama de las amenazas. Cada día parece estar marcado por la notificación de una violación importante, una nueva vulnerabilidad o una grave amenaza de explotación activa por parte de ciberatacantes y delincuentes. Y casi todos los indicadores e informes del sector apuntan a un número cada vez más peligroso de ciberamenazas, y la mayoría de los expertos predicen que esta tendencia continuará en los próximos años.

Ante estas nuevas amenazas, los agentes de primera línea encargados de la seguridad informática están agotados y faltan efectivos. Aunque los salarios son elevados y es casi indispensable para cualquier empresa u organización, nunca hay suficiente personal de seguridad para todos. En una encuesta reciente realizada por el Centro de Estudios Estratégicos e Internacionales, el 82 % de los responsables de la toma de decisiones informáticas declararon que su organización sufría una escasez de competencias en ciberseguridad, y el 71 % afirmaron que esta escasez había causado daños directos y cuantificables a sus organizaciones. Solo en Estados Unidos, el informe indica que había más de 520 000 puestos vacantes en ciberseguridad en un ámbito en el que solo hay 940 000 empleados.

En la actualidad, existen alrededor de 3,5 millones de puestos de trabajo sin cubrir en el ámbito de la ciberseguridad en todo el mundo, lo que significa que incluso las organizaciones que están dispuestas a pagar enormes sumas de dinero para contratar y retener a profesionales de alto nivel tienen dificultades para encontrar candidatos adecuados. Por término medio, se necesita un 21 % más para cubrir un puesto de ciberseguridad que cualquier otro empleo, si es que se pueden cubrir.

La activación de los desarrolladores se ha ignorado durante demasiado tiempo.

Hemos señalado en numerosos blogs anteriores que se puede recurrir a los desarrolladores para subsanar algunas de estas deficiencias críticas en materia de defensas de ciberseguridad. Lo cierto es que, tradicionalmente, los desarrolladores nunca han recibido formación en ciberseguridad. Su rendimiento profesional se basaba casi exclusivamente en la rapidez y el plazo de implementación. La seguridad se confiaba a los equipos de AppSec, situados más lejos.

Desgraciadamente, no se trata simplemente de cambiar de marcha y pedir a los desarrolladores que de repente empiecen a reforzar la seguridad de sus aplicaciones y programas. Aunque estén dispuestos a realizar estos cambios, y las encuestas han demostrado que muchos de ellos lo están, aún necesitan formación para lograrlo. También necesitan el estímulo y el apoyo de la alta dirección, pero poder beneficiarse de un aprendizaje significativo constituye el primer obstáculo, y a menudo el más importante.

No es casualidad que millones de puestos de trabajo bien remunerados y altamente seguros en el ámbito de la seguridad informática sigan vacantes en todo el mundo. Si fuera un trabajo fácil, todo el mundo se lanzaría a este campo. Es difícil aprender a combatir las amenazas y eliminar las vulnerabilidades del código, y el panorama de las amenazas está en constante evolución. Intentar enseñar ciberseguridad, incluso a desarrolladores relativamente expertos en tecnología, no se puede lograr de manera eficaz utilizando una formación estática que se queda obsoleta rápidamente, no es memorable y solo tendrá un impacto positivo mínimo, especialmente si estos requisitos se añaden a sus agendas ya sobrecargadas.

Construya un andamio para alcanzar un terreno más elevado.

Enseñar habilidades en ciberseguridad utilizando métodos tradicionales es como intentar construir un rascacielos sin despegar nunca los pies del suelo. No es posible porque los estudiantes no tienen las bases necesarias para dominar los numerosos conceptos de nivel superior de un campo tan complejo como la ciberseguridad. Para compensar esto, se puede emplear el concepto de aprendizaje escalonado.

Cuando se utiliza un enfoque escalonado o «estratificado» para la mejora de las competencias, los temas más generales suelen dividirse en experiencias o conceptos de aprendizaje distintos. Esto garantiza que los estudiantes sean capaces de dominar cada concepto mediante ejercicios e instrucciones adecuados, proporcionando todo el apoyo necesario para cada componente. Los conceptos más recientes y avanzados se añaden a los ya dominados, al igual que se construye un andamio físico a medida que se eleva un edificio. De esta manera, los estudiantes pueden alcanzar niveles de comprensión y adquisición de competencias superiores a los que serían capaces de dominar sin ayuda.

Y al igual que los andamios físicos, este soporte se elimina gradualmente cuando ya no es necesario, con una mayor responsabilidad hacia los estudiantes a medida que se vuelven más competentes.

El aprendizaje por andamiaje se utiliza principalmente para reducir las emociones negativas y la percepción que los alumnos pueden tener de sí mismos cuando se sienten frustrados, intimidados o desanimados al intentar realizar una tarea difícil sin ayuda. Pero también puede ser muy útil cuando se trata de abordar un concepto extremadamente difícil como la ciberseguridad moderna. Lejos de ser una forma de tratar a los desarrolladores como niños, resulta extremadamente útil cuando su experiencia con el equipo de seguridad puede tener el mismo efecto frustrante y desalentador, especialmente cuando su arduo trabajo se ve recompensado con correcciones de errores y nuevas críticas.

Cuando los desarrolladores disponen de herramientas que les permiten comprender los principios fundamentales de la codificación segura (empezando generalmente por el Top 10 de la OWASP), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de que se pongan en producción. A partir de ahí, pueden profundizar sus conocimientos abordando vulnerabilidades más complejas y adquiriendo experiencia práctica en la aplicación de las correcciones adecuadas. Las capas se amplían poco a poco y, cuando se trata de problemas de seguridad avanzados, como una arquitectura de software insegura o el modelado de amenazas, estos avances no parecen tan intimidantes y pueden abordarse con precisión.

Como industria, nunca debemos esperar que los desarrolladores se conviertan en expertos en seguridad, pero las organizaciones pueden adoptar nuevas normas para ayudar a los desarrolladores a producir software de mejor calidad. Como ventaja adicional, para las organizaciones cuyo departamento de ingeniería está perfeccionando sus habilidades, cada etapa del proceso, o cada nivel de andamiaje, se traducirá directamente en una mejor ciberseguridad a medida que vayan aprendiendo. No es necesario esperar al final de un curso para ver los resultados.

Es difícil informarse sobre la ciberseguridad, y es casi imposible dominarla sin la ayuda y las instrucciones adecuadas. Adoptar un programa de seguridad acompañado de un aprendizaje estructurado puede ayudarle a sacarle el máximo partido, y las ventajas se harán evidentes casi de inmediato. Las mejoras comenzarán casi inmediatamente y seguirán mejorando continuamente con el tiempo.

Comience a desarrollar desarrolladores eficaces en materia de seguridad con nosotros; descubra:

Cursos
Missions
Formación para desarrolladores

... ¡y mucho más!

Recientemente, nos ha complacido enormemente ver publicado en línea el primer artículo del Consejo Tecnológico de Forbes escrito por nuestro presidente y director general, Pieter Danhieux. El artículo explicaba por qué es esencial reforzar las competencias de los desarrolladores para crear un código más seguro con el fin de prevenir los ciberataques y las violaciones de datos. Además, revelaba cómo esos mismos desarrolladores preocupados por la seguridad pueden contribuir a proporcionar un código de mejor calidad y más seguro, más rápidamente de lo que piensan muchos servicios informáticos. La necesidad de este enfoque es sin duda imperiosa. Un estudio reciente reveló que ahora se produce un ciberataque cada 39 segundos, y todos hemos sido testigos de las perturbaciones causadas por un solo ataque de ransomware exitoso en el oleoducto Colonial, que, en general, no fue tan destructivo como el hackeo de SolarWinds.

‍

Muchas vulnerabilidades comunes persisten porque nadie se ha molestado en enseñar a los desarrolladores cómo sustituir los modelos de codificación incorrectos por un método mejor para ejecutar las mismas funciones, de forma más segura y protegida. Y el impacto de corregir un software en una fase avanzada de su desarrollo es extremadamente costoso, tanto en términos de horas dedicadas como de retrasos en la implementación. Corregir el código una vez que se ha implementado, especialmente cuando un atacante ha aprovechado una vulnerabilidad no descubierta anteriormente, a veces puede costar millones de dólares. Y eso sin tener en cuenta el daño a la reputación de una empresa tras una infracción grave.

Los desarrolladores formados en seguridad se convierten naturalmente en mejores programadores. Los RSSI no deberían abandonar sus herramientas de seguridad a corto plazo, pero al adoptar un enfoque de seguridad inclusivo y preventivo desde arriba, los RSSI pueden aprovechar el mayor recurso de su empresa, el factor humano, especialmente cuando se trata de proteger la programación desde el inicio del ciclo de desarrollo de software.

Para ello, estas son las tres estrategias principales de alto nivel que hay que tener en cuenta.

1. Sea proactivo, no reactivo.

Las empresas suelen caer en la trampa de la reactividad, por ejemplo, reaccionando a lo que hace la competencia en lugar de desarrollar y perseguir una visión única. Muchas también adoptan este enfoque cuando se trata de fallos de seguridad en el código, y solo se toman en serio la ciberseguridad cuando se ven obligadas a hacerlo tras una violación exitosa. Por desgracia, para entonces, el daño ya está hecho: las multas, los gastos de recuperación, la pérdida de clientes y la restauración de la marca repercuten en los resultados financieros. Otra forma de reaccionar en lugar de actuar es basarse en el análisis automático o manual del código para detectar vulnerabilidades en el código existente, en lugar de centrarse en crear código seguro desde el principio. Desgraciadamente, la digitalización del código no es una solución perfecta, lo que significa que cuanto más vulnerabilidades contenga el código, más probabilidades hay de que algunas de ellas pasen desapercibidas.

Solo adoptando un enfoque proactivo y colaborando con los desarrolladores para ayudarles a crear un código seguro desde el principio podrá establecer un ciclo de vida de desarrollo de software que reduzca considerablemente la posibilidad de que se divulguen vulnerabilidades de codificación a los usuarios.

2. Mejore sus habilidades, no exagere.

Una vez que haya decidido proporcionar a los desarrolladores los conocimientos que necesitan para crear código seguro, elija cuidadosamente su enfoque. Los talleres de formación internos que interrumpen la codificación frustran tanto a los desarrolladores como a los gerentes. Los cursos fuera de las instalaciones que requieren asistencia por la noche o los fines de semana son aún menos populares. El mejor enfoque consiste en desarrollar progresivamente las competencias en materia de codificación, proporcionando información relevante paso a paso durante el proceso de codificación, es decir, mejorando las competencias sin distraer significativamente a los desarrolladores ni ralentizar el proceso de desarrollo.

3. Incite, no dé nada por sentado.

Los desarrolladores no deben considerar el refuerzo de las competencias en materia de seguridad como un castigo o una tarea tediosa. Los responsables deben inspirar a los desarrolladores explicándoles el importante papel que desempeña el código seguro en el éxito de la empresa. También es importante hacerles comprender que los programadores seguros son más valiosos para la empresa y que se beneficiarán de mayores oportunidades profesionales en el futuro.

La administración Biden es bien recibida El decreto ejecutivo ha puesto mayor énfasis en la ciberseguridad y en la necesidad de «incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores, e identificar herramientas o métodos innovadores para demostrar el cumplimiento de las prácticas seguras». Pero, si bien las herramientas son esenciales, no son suficientes. Ninguna herramienta eliminará por completo la capacidad de una persona de ignorar, malinterpretar, abusar o eludir los sistemas y herramientas implementados. Para optimizar la seguridad de sus empresas, los RSSI deben aprovechar el factor humano y animar a los desarrolladores a convertirse en defensores y practicantes voluntarios de la seguridad.