Por qué es necesario apoyar, en lugar de castigar, la curiosidad y la mentalidad de seguridad.
El reciente informe del investigador de seguridad adolescente Bill Demilkap, que expone una vulnerabilidad grave en el software que se utilizaba en la escuela, me ha traído recuerdos. Recuerdo que, cuando era un niño curioso, levantaba el capó del software para ver cómo funcionaba todo y, lo que es más importante, para ver si podía romperlo.Durante décadas, los ingenieros de software han buscado la mejora y el fortalecimiento continuos de sus productos. La comunidad de seguridad (con un enfoque un poco descarado) desempeña un papel importante en la detección de defectos y desastres potenciales, a ser posible antes de que los malhechores hagan lo mismo.
Sin embargo, el problema aquí es que, tras su descubrimiento, se le impuso una sanción disciplinaria leve. Y eso ocurrió solo después de que agotara todos los medios para ponerse en contacto con la empresa (Follett Corporation). Personalmente, optó por un método bastante público para identificar finalmente su capacidad de infringir el sistema y a sí mismo. Intentó repetidamente enviar advertencias éticas a Follett Corporation, pero no obtuvo respuesta.Por otra parte, el software seguía siendo vulnerable y una gran cantidad de datos de estudiantes no estaban encriptados, por lo que se hicieron públicos con gran facilidad.
También buscó errores en el software Blackboard, de otra empresa. Los datos de Blackboard estaban al menos encriptados, pero un posible atacante podría haber accedido a millones de registros y haberlos robado. Tanto este software como los productos de Forret se utilizaban en su escuela.
La historia del «hacker malvado» plantea un problema.
Demilkap ha anunciado los resultados de la investigación de este año. Deffcoin, con su actitud burlona y sus detalles más traviesos, ha recibido el aplauso del público.Así es. Folett Corporation se encontró inicialmente en una situación terrible y tuvo que superar muchos obstáculos antes de que se reconocieran sus descubrimientos, pero se dice que agradeció sus esfuerzos, siguió sus consejos y, finalmente, mejoró la seguridad del software y evitó la crisis de convertirse en otra estadística más de fuga de datos. Después de graduarse en el instituto, asistirá a la Universidad Tecnológica de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy solicitado.
Como responsable de seguridad, me resulta difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha acabado bien, al principio se le trató como a un molesto guionista que se entrometía donde no le incumbía.Si se busca este incidente en Google, hay artículos que lo llaman «hacker» (lo que, en opinión de los legos en materia de seguridad, lo posiciona como un villano en varios sentidos). En realidad, su enfoque (y muchos otros) ayuda a mantener la seguridad de los datos.
Necesitamos personas curiosas, inteligentes, centradas en la seguridad y con visión de futuro. Y necesitamos que lo hagan con más frecuencia. En julio, más de 4000 millones de registros se vieron afectados por fugas de datos maliciosas solo este año. Es posible que en agosto se añadan otros 50 millones a esta cifra debido a la fuga de datos de la marca de moda y estilo de vida Poshmark.
Estamos cometiendo los mismos errores, pero lo que más nos preocupa es que, en muchos casos, se trata de vulnerabilidades simples que nos hacen fruncir el ceño y seguimos tropezando con ellas.
El cross-site scripting y la inyección SQL no han desaparecido.
Según el informe, Demilkap descubrió que el software de participación comunitaria Blackboards y el sistema de información para estudiantes Folletts, ambos de Cable, contenían errores de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL. Ambos han sido objeto de debate entre los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante años. En realidad, deberían ser recuerdos lejanos, como las camisetas Hypercolor y los disquetes.
Sin embargo, no es así. Además, es evidente que hay una falta de desarrolladores con suficiente conciencia de seguridad como para detener la introducción de código. Las herramientas de escaneo y la revisión manual del código tienen limitaciones, y existen problemas de seguridad mucho más complejos que el XSS y la inyección SQL. En estos casos, se pueden aprovechar de manera más eficaz estas medidas costosas y que requieren mucho tiempo.
Personas como Bill Demilkap deberían inspirar a los desarrolladores a crear código de mayor calidad. Con solo 17 años, logró infiltrarse en dos sistemas con mucho tráfico mediante vectores de amenaza que deberían haberse detectado y corregido antes de que se confirmara el código.
Gamificación: ¿Cuál es la clave del compromiso?
He escrito mucho sobre las razones por las que los desarrolladores apenas se involucran en la seguridad. En pocas palabras, es porque no se hace mucho, ni a nivel organizativo ni a nivel educativo, para formar desarrolladores con conciencia de seguridad. Si las empresas dedican tiempo a crear una cultura de seguridad que recompense y valore el compromiso, y si se imparten cursos de formación que motiven a los desarrolladores a expresarse y seguir afrontando retos, estos molestos vestigios de vulnerabilidad empezarán a desaparecer del software que utilizamos.
Demirkapi tiene un interés evidente por la seguridad y ha dedicado mucho tiempo a aprender métodos de ingeniería inversa de malware, cómo detectar fallos y cómo romper cosas que desde fuera parecen intactas. Sin embargo, cuando hablamos con él (y a través de las diapositivas de DEF CON), hizo un comentario interesante sobre el autoaprendizaje... Lo convirtió en un juego:
«Mi objetivo era descubrir algo en el software de la escuela, así que disfruté aprendiendo por mi cuenta una gran cantidad de pruebas de penetración, como si fuera un juego. Empecé a investigar porque quería saber más, pero al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
No todos los desarrolladores quieren especializarse en seguridad, pero es necesario darles a todos la oportunidad de adquirir conciencia sobre este tema. Lo básico es que, dentro de una organización, especialmente una que maneja grandes cantidades de datos confidenciales, esto cumple casi la función de una «licencia de código». Si todos los desarrolladores pueden corregir las vulnerabilidades de seguridad más simples antes de que se creen, se puede estar en una posición mucho más segura frente a los desarrolladores que intentan causar un gran caos.
¿Le interesa la formación en gamificación? Eche un vistazo a la serie «Coder's Conquer Security Conquer». XSS Y Inyección SQL.
El investigador de seguridad adolescente Bill Demilkap, al revelar una grave vulnerabilidad en el software utilizado en las escuelas, sin duda me trajo algunos recuerdos. Recuerdo que, cuando era un niño curioso, levantaba el capó del software para echar un vistazo a su interior y ver cómo funcionaba todo, y si era posible romperlo.
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El reciente informe del investigador de seguridad adolescente Bill Demilkap, que expone una vulnerabilidad grave en el software que se utilizaba en la escuela, me ha traído recuerdos. Recuerdo que, cuando era un niño curioso, levantaba el capó del software para ver cómo funcionaba todo y, lo que es más importante, para ver si podía romperlo.Durante décadas, los ingenieros de software han buscado la mejora y el fortalecimiento continuos de sus productos. La comunidad de seguridad (con un enfoque un poco descarado) desempeña un papel importante en la detección de defectos y desastres potenciales, a ser posible antes de que los malhechores hagan lo mismo.
Sin embargo, el problema aquí es que, tras su descubrimiento, se le impuso una sanción disciplinaria leve. Y eso ocurrió solo después de que agotara todos los medios para ponerse en contacto con la empresa (Follett Corporation). Personalmente, optó por un método bastante público para identificar finalmente su capacidad de infringir el sistema y a sí mismo. Intentó repetidamente enviar advertencias éticas a Follett Corporation, pero no obtuvo respuesta.Por otra parte, el software seguía siendo vulnerable y una gran cantidad de datos de estudiantes no estaban encriptados, por lo que se hicieron públicos con gran facilidad.
También buscó errores en el software Blackboard, de otra empresa. Los datos de Blackboard estaban al menos encriptados, pero un posible atacante podría haber accedido a millones de registros y haberlos robado. Tanto este software como los productos de Forret se utilizaban en su escuela.
La historia del «hacker malvado» plantea un problema.
Demilkap ha anunciado los resultados de la investigación de este año. Deffcoin, con su actitud burlona y sus detalles más traviesos, ha recibido el aplauso del público.Así es. Folett Corporation se encontró inicialmente en una situación terrible y tuvo que superar muchos obstáculos antes de que se reconocieran sus descubrimientos, pero se dice que agradeció sus esfuerzos, siguió sus consejos y, finalmente, mejoró la seguridad del software y evitó la crisis de convertirse en otra estadística más de fuga de datos. Después de graduarse en el instituto, asistirá a la Universidad Tecnológica de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy solicitado.
Como responsable de seguridad, me resulta difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha acabado bien, al principio se le trató como a un molesto guionista que se entrometía donde no le incumbía.Si se busca este incidente en Google, hay artículos que lo llaman «hacker» (lo que, en opinión de los legos en materia de seguridad, lo posiciona como un villano en varios sentidos). En realidad, su enfoque (y muchos otros) ayuda a mantener la seguridad de los datos.
Necesitamos personas curiosas, inteligentes, centradas en la seguridad y con visión de futuro. Y necesitamos que lo hagan con más frecuencia. En julio, más de 4000 millones de registros se vieron afectados por fugas de datos maliciosas solo este año. Es posible que en agosto se añadan otros 50 millones a esta cifra debido a la fuga de datos de la marca de moda y estilo de vida Poshmark.
Estamos cometiendo los mismos errores, pero lo que más nos preocupa es que, en muchos casos, se trata de vulnerabilidades simples que nos hacen fruncir el ceño y seguimos tropezando con ellas.
El cross-site scripting y la inyección SQL no han desaparecido.
Según el informe, Demilkap descubrió que el software de participación comunitaria Blackboards y el sistema de información para estudiantes Folletts, ambos de Cable, contenían errores de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL. Ambos han sido objeto de debate entre los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante años. En realidad, deberían ser recuerdos lejanos, como las camisetas Hypercolor y los disquetes.
Sin embargo, no es así. Además, es evidente que hay una falta de desarrolladores con suficiente conciencia de seguridad como para detener la introducción de código. Las herramientas de escaneo y la revisión manual del código tienen limitaciones, y existen problemas de seguridad mucho más complejos que el XSS y la inyección SQL. En estos casos, se pueden aprovechar de manera más eficaz estas medidas costosas y que requieren mucho tiempo.
Personas como Bill Demilkap deberían inspirar a los desarrolladores a crear código de mayor calidad. Con solo 17 años, logró infiltrarse en dos sistemas con mucho tráfico mediante vectores de amenaza que deberían haberse detectado y corregido antes de que se confirmara el código.
Gamificación: ¿Cuál es la clave del compromiso?
He escrito mucho sobre las razones por las que los desarrolladores apenas se involucran en la seguridad. En pocas palabras, es porque no se hace mucho, ni a nivel organizativo ni a nivel educativo, para formar desarrolladores con conciencia de seguridad. Si las empresas dedican tiempo a crear una cultura de seguridad que recompense y valore el compromiso, y si se imparten cursos de formación que motiven a los desarrolladores a expresarse y seguir afrontando retos, estos molestos vestigios de vulnerabilidad empezarán a desaparecer del software que utilizamos.
Demirkapi tiene un interés evidente por la seguridad y ha dedicado mucho tiempo a aprender métodos de ingeniería inversa de malware, cómo detectar fallos y cómo romper cosas que desde fuera parecen intactas. Sin embargo, cuando hablamos con él (y a través de las diapositivas de DEF CON), hizo un comentario interesante sobre el autoaprendizaje... Lo convirtió en un juego:
«Mi objetivo era descubrir algo en el software de la escuela, así que disfruté aprendiendo por mi cuenta una gran cantidad de pruebas de penetración, como si fuera un juego. Empecé a investigar porque quería saber más, pero al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
No todos los desarrolladores quieren especializarse en seguridad, pero es necesario darles a todos la oportunidad de adquirir conciencia sobre este tema. Lo básico es que, dentro de una organización, especialmente una que maneja grandes cantidades de datos confidenciales, esto cumple casi la función de una «licencia de código». Si todos los desarrolladores pueden corregir las vulnerabilidades de seguridad más simples antes de que se creen, se puede estar en una posición mucho más segura frente a los desarrolladores que intentan causar un gran caos.
¿Le interesa la formación en gamificación? Eche un vistazo a la serie «Coder's Conquer Security Conquer». XSS Y Inyección SQL.
El reciente informe del investigador de seguridad adolescente Bill Demilkap, que expone una vulnerabilidad grave en el software que se utilizaba en la escuela, me ha traído recuerdos. Recuerdo que, cuando era un niño curioso, levantaba el capó del software para ver cómo funcionaba todo y, lo que es más importante, para ver si podía romperlo.Durante décadas, los ingenieros de software han buscado la mejora y el fortalecimiento continuos de sus productos. La comunidad de seguridad (con un enfoque un poco descarado) desempeña un papel importante en la detección de defectos y desastres potenciales, a ser posible antes de que los malhechores hagan lo mismo.
Sin embargo, el problema aquí es que, tras su descubrimiento, se le impuso una sanción disciplinaria leve. Y eso ocurrió solo después de que agotara todos los medios para ponerse en contacto con la empresa (Follett Corporation). Personalmente, optó por un método bastante público para identificar finalmente su capacidad de infringir el sistema y a sí mismo. Intentó repetidamente enviar advertencias éticas a Follett Corporation, pero no obtuvo respuesta.Por otra parte, el software seguía siendo vulnerable y una gran cantidad de datos de estudiantes no estaban encriptados, por lo que se hicieron públicos con gran facilidad.
También buscó errores en el software Blackboard, de otra empresa. Los datos de Blackboard estaban al menos encriptados, pero un posible atacante podría haber accedido a millones de registros y haberlos robado. Tanto este software como los productos de Forret se utilizaban en su escuela.
La historia del «hacker malvado» plantea un problema.
Demilkap ha anunciado los resultados de la investigación de este año. Deffcoin, con su actitud burlona y sus detalles más traviesos, ha recibido el aplauso del público.Así es. Folett Corporation se encontró inicialmente en una situación terrible y tuvo que superar muchos obstáculos antes de que se reconocieran sus descubrimientos, pero se dice que agradeció sus esfuerzos, siguió sus consejos y, finalmente, mejoró la seguridad del software y evitó la crisis de convertirse en otra estadística más de fuga de datos. Después de graduarse en el instituto, asistirá a la Universidad Tecnológica de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy solicitado.
Como responsable de seguridad, me resulta difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha acabado bien, al principio se le trató como a un molesto guionista que se entrometía donde no le incumbía.Si se busca este incidente en Google, hay artículos que lo llaman «hacker» (lo que, en opinión de los legos en materia de seguridad, lo posiciona como un villano en varios sentidos). En realidad, su enfoque (y muchos otros) ayuda a mantener la seguridad de los datos.
Necesitamos personas curiosas, inteligentes, centradas en la seguridad y con visión de futuro. Y necesitamos que lo hagan con más frecuencia. En julio, más de 4000 millones de registros se vieron afectados por fugas de datos maliciosas solo este año. Es posible que en agosto se añadan otros 50 millones a esta cifra debido a la fuga de datos de la marca de moda y estilo de vida Poshmark.
Estamos cometiendo los mismos errores, pero lo que más nos preocupa es que, en muchos casos, se trata de vulnerabilidades simples que nos hacen fruncir el ceño y seguimos tropezando con ellas.
El cross-site scripting y la inyección SQL no han desaparecido.
Según el informe, Demilkap descubrió que el software de participación comunitaria Blackboards y el sistema de información para estudiantes Folletts, ambos de Cable, contenían errores de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL. Ambos han sido objeto de debate entre los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante años. En realidad, deberían ser recuerdos lejanos, como las camisetas Hypercolor y los disquetes.
Sin embargo, no es así. Además, es evidente que hay una falta de desarrolladores con suficiente conciencia de seguridad como para detener la introducción de código. Las herramientas de escaneo y la revisión manual del código tienen limitaciones, y existen problemas de seguridad mucho más complejos que el XSS y la inyección SQL. En estos casos, se pueden aprovechar de manera más eficaz estas medidas costosas y que requieren mucho tiempo.
Personas como Bill Demilkap deberían inspirar a los desarrolladores a crear código de mayor calidad. Con solo 17 años, logró infiltrarse en dos sistemas con mucho tráfico mediante vectores de amenaza que deberían haberse detectado y corregido antes de que se confirmara el código.
Gamificación: ¿Cuál es la clave del compromiso?
He escrito mucho sobre las razones por las que los desarrolladores apenas se involucran en la seguridad. En pocas palabras, es porque no se hace mucho, ni a nivel organizativo ni a nivel educativo, para formar desarrolladores con conciencia de seguridad. Si las empresas dedican tiempo a crear una cultura de seguridad que recompense y valore el compromiso, y si se imparten cursos de formación que motiven a los desarrolladores a expresarse y seguir afrontando retos, estos molestos vestigios de vulnerabilidad empezarán a desaparecer del software que utilizamos.
Demirkapi tiene un interés evidente por la seguridad y ha dedicado mucho tiempo a aprender métodos de ingeniería inversa de malware, cómo detectar fallos y cómo romper cosas que desde fuera parecen intactas. Sin embargo, cuando hablamos con él (y a través de las diapositivas de DEF CON), hizo un comentario interesante sobre el autoaprendizaje... Lo convirtió en un juego:
«Mi objetivo era descubrir algo en el software de la escuela, así que disfruté aprendiendo por mi cuenta una gran cantidad de pruebas de penetración, como si fuera un juego. Empecé a investigar porque quería saber más, pero al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
No todos los desarrolladores quieren especializarse en seguridad, pero es necesario darles a todos la oportunidad de adquirir conciencia sobre este tema. Lo básico es que, dentro de una organización, especialmente una que maneja grandes cantidades de datos confidenciales, esto cumple casi la función de una «licencia de código». Si todos los desarrolladores pueden corregir las vulnerabilidades de seguridad más simples antes de que se creen, se puede estar en una posición mucho más segura frente a los desarrolladores que intentan causar un gran caos.
¿Le interesa la formación en gamificación? Eche un vistazo a la serie «Coder's Conquer Security Conquer». XSS Y Inyección SQL.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El reciente informe del investigador de seguridad adolescente Bill Demilkap, que expone una vulnerabilidad grave en el software que se utilizaba en la escuela, me ha traído recuerdos. Recuerdo que, cuando era un niño curioso, levantaba el capó del software para ver cómo funcionaba todo y, lo que es más importante, para ver si podía romperlo.Durante décadas, los ingenieros de software han buscado la mejora y el fortalecimiento continuos de sus productos. La comunidad de seguridad (con un enfoque un poco descarado) desempeña un papel importante en la detección de defectos y desastres potenciales, a ser posible antes de que los malhechores hagan lo mismo.
Sin embargo, el problema aquí es que, tras su descubrimiento, se le impuso una sanción disciplinaria leve. Y eso ocurrió solo después de que agotara todos los medios para ponerse en contacto con la empresa (Follett Corporation). Personalmente, optó por un método bastante público para identificar finalmente su capacidad de infringir el sistema y a sí mismo. Intentó repetidamente enviar advertencias éticas a Follett Corporation, pero no obtuvo respuesta.Por otra parte, el software seguía siendo vulnerable y una gran cantidad de datos de estudiantes no estaban encriptados, por lo que se hicieron públicos con gran facilidad.
También buscó errores en el software Blackboard, de otra empresa. Los datos de Blackboard estaban al menos encriptados, pero un posible atacante podría haber accedido a millones de registros y haberlos robado. Tanto este software como los productos de Forret se utilizaban en su escuela.
La historia del «hacker malvado» plantea un problema.
Demilkap ha anunciado los resultados de la investigación de este año. Deffcoin, con su actitud burlona y sus detalles más traviesos, ha recibido el aplauso del público.Así es. Folett Corporation se encontró inicialmente en una situación terrible y tuvo que superar muchos obstáculos antes de que se reconocieran sus descubrimientos, pero se dice que agradeció sus esfuerzos, siguió sus consejos y, finalmente, mejoró la seguridad del software y evitó la crisis de convertirse en otra estadística más de fuga de datos. Después de graduarse en el instituto, asistirá a la Universidad Tecnológica de Rochester, por lo que está claro que va por el buen camino para convertirse en un especialista en seguridad muy solicitado.
Como responsable de seguridad, me resulta difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha acabado bien, al principio se le trató como a un molesto guionista que se entrometía donde no le incumbía.Si se busca este incidente en Google, hay artículos que lo llaman «hacker» (lo que, en opinión de los legos en materia de seguridad, lo posiciona como un villano en varios sentidos). En realidad, su enfoque (y muchos otros) ayuda a mantener la seguridad de los datos.
Necesitamos personas curiosas, inteligentes, centradas en la seguridad y con visión de futuro. Y necesitamos que lo hagan con más frecuencia. En julio, más de 4000 millones de registros se vieron afectados por fugas de datos maliciosas solo este año. Es posible que en agosto se añadan otros 50 millones a esta cifra debido a la fuga de datos de la marca de moda y estilo de vida Poshmark.
Estamos cometiendo los mismos errores, pero lo que más nos preocupa es que, en muchos casos, se trata de vulnerabilidades simples que nos hacen fruncir el ceño y seguimos tropezando con ellas.
El cross-site scripting y la inyección SQL no han desaparecido.
Según el informe, Demilkap descubrió que el software de participación comunitaria Blackboards y el sistema de información para estudiantes Folletts, ambos de Cable, contenían errores de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL. Ambos han sido objeto de debate entre los especialistas en seguridad desde la década de 1990. Hemos soportado su existencia durante años. En realidad, deberían ser recuerdos lejanos, como las camisetas Hypercolor y los disquetes.
Sin embargo, no es así. Además, es evidente que hay una falta de desarrolladores con suficiente conciencia de seguridad como para detener la introducción de código. Las herramientas de escaneo y la revisión manual del código tienen limitaciones, y existen problemas de seguridad mucho más complejos que el XSS y la inyección SQL. En estos casos, se pueden aprovechar de manera más eficaz estas medidas costosas y que requieren mucho tiempo.
Personas como Bill Demilkap deberían inspirar a los desarrolladores a crear código de mayor calidad. Con solo 17 años, logró infiltrarse en dos sistemas con mucho tráfico mediante vectores de amenaza que deberían haberse detectado y corregido antes de que se confirmara el código.
Gamificación: ¿Cuál es la clave del compromiso?
He escrito mucho sobre las razones por las que los desarrolladores apenas se involucran en la seguridad. En pocas palabras, es porque no se hace mucho, ni a nivel organizativo ni a nivel educativo, para formar desarrolladores con conciencia de seguridad. Si las empresas dedican tiempo a crear una cultura de seguridad que recompense y valore el compromiso, y si se imparten cursos de formación que motiven a los desarrolladores a expresarse y seguir afrontando retos, estos molestos vestigios de vulnerabilidad empezarán a desaparecer del software que utilizamos.
Demirkapi tiene un interés evidente por la seguridad y ha dedicado mucho tiempo a aprender métodos de ingeniería inversa de malware, cómo detectar fallos y cómo romper cosas que desde fuera parecen intactas. Sin embargo, cuando hablamos con él (y a través de las diapositivas de DEF CON), hizo un comentario interesante sobre el autoaprendizaje... Lo convirtió en un juego:
«Mi objetivo era descubrir algo en el software de la escuela, así que disfruté aprendiendo por mi cuenta una gran cantidad de pruebas de penetración, como si fuera un juego. Empecé a investigar porque quería saber más, pero al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
No todos los desarrolladores quieren especializarse en seguridad, pero es necesario darles a todos la oportunidad de adquirir conciencia sobre este tema. Lo básico es que, dentro de una organización, especialmente una que maneja grandes cantidades de datos confidenciales, esto cumple casi la función de una «licencia de código». Si todos los desarrolladores pueden corregir las vulnerabilidades de seguridad más simples antes de que se creen, se puede estar en una posición mucho más segura frente a los desarrolladores que intentan causar un gran caos.
¿Le interesa la formación en gamificación? Eche un vistazo a la serie «Coder's Conquer Security Conquer». XSS Y Inyección SQL.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
