Por qué las inyecciones SQL son la plaga del mundo de la seguridad de aplicaciones (y cómo los CISO pueden erradicarlas de una vez por todas)
Existe una teoría muy conocida que afirma que las cucarachas pueden sobrevivir a todo, incluso a una explosión nuclear. Esta teoría es cierta hasta cierto punto, pero debido a su constitución simple, son muy resistentes en comparación con su tamaño y difíciles de erradicar en la mayoría de las condiciones.
Pensándolo bien... Si hay un problema equivalente a las cucarachas en el mundo digital, creo que sería la vulnerabilidad de inyección SQL (SQLi) en el código. Esta vulnerabilidad se conoce desde hace más de 20 años, pero las organizaciones siguen sufriendo daños. Al igual que los casos de ataques dirigidos generalizados y costosos, fue el resultado de la inyección SQL. Tras el hackeo electoral en Illinois, en el que se expusieron los registros de 200 000 votantes, el FBI recomendó a todos los administradores de TI que se esforzaran rápidamente por reforzar las prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre hackers de Imperva reveló que, entre 2005 y 2011, el 83 % de todos los casos de violación de datos notificados utilizaron ataques SQLi. Hoy en día, la vulnerabilidad de inyección sigue siendo la mayor amenaza en Estados Unidos. OWASP Top 10. Es relativamente simple, pero no desaparece fácilmente.
Es ridículo que esta misma vulnerabilidad siga apareciendo en un número considerable de pruebas de seguridad de aplicaciones. Sabemos perfectamente cómo funciona este problema y también sabemos cómo evitarlo. ¿Cómo es posible que esto ocurra? La verdad es que nuestra seguridad de software tiene un margen de mejora infinito.
El informe sobre el estado de la seguridad del software de Veracode, basado en 400 000 análisis de aplicaciones realizados en 2017, reveló una estadística sorprendente. Solo el 30 % de las aplicaciones superó las políticas del Top 10 de OWASP. Casi una de cada tres aplicaciones analizadas recientemente presentaba inyecciones SQL, lo que demuestra que este tema ha sido constante durante los últimos cinco años. Esto es prueba de un problema crónico. No estamos aprendiendo de nuestros errores y los CISO parecen enfrentarse a una dura batalla para conseguir suficiente personal de seguridad. Por lo general, la proporción entre expertos en AppSec y desarrolladores es de 1:100, lo cual no es adecuado.
¿Por qué la seguridad del software es fundamental para la supervivencia?
No es ningún secreto que hay escasez de personal especializado en seguridad. Sin embargo, también hay que tener en cuenta que los desarrolladores no resuelven los problemas cuando surgen y no están preparados para evitar las vulnerabilidades desde el principio.El mismo informe de Veracode reveló que solo el 14,4 % de todas las vulnerabilidades de desarrollo contaban con medidas de mitigación documentadas. Es decir, la mayoría de las vulnerabilidades se presentaron sin medidas de mitigación de desarrollo. Menos de un tercio de las vulnerabilidades se resolvieron durante los primeros 90 días, y el 42 % de las vulnerabilidades no se resolvieron durante el periodo de desarrollo.
Siempre hablo con expertos en seguridad, CISO y directores generales, y me he dado cuenta de que muchas empresas están tan descontentas con el número de vulnerabilidades que no pueden mitigar (además de la catástrofe que supone la detección errónea) que han dejado de buscar soluciones y se limitan a cruzar los dedos y esperar los mejores resultados.
¿Por qué los expertos en seguridad de aplicaciones permitieron esta situación?
No se equivoque. Los empleados de AppSec conocen a la perfección los problemas del código. Al fin y al cabo, esta es una de las habilidades clave que los convierte en un valioso recurso para el equipo. Sin embargo, a menudo se enfrentan a dificultades debido a diversos factores.
Por ejemplo, el administrador de AppSec detecta un problema y pregunta al desarrollador: «¿Puede modificar el código?». La respuesta a esta importante pregunta varía según la organización, pero, por lo general, los desarrolladores están tan concentrados en cumplir con los estrictos sprints de entrega de funciones que no tienen tiempo para resolver estos problemas ni las herramientas adecuadas para hacerlo. Los expertos en AppSec pueden identificar las vulnerabilidades por sí mismos, pero a menudo carecen de la tecnología y/o los permisos de acceso necesarios para resolverlas de inmediato.
Además, hay que darse cuenta de que todos los problemas tienen un proceso que hay que seguir: encontrar la solución, implementarla y probarla. Incluso los problemas más pequeños que se encuentran en el código pueden llevar un montón de tiempo solucionarlos, por no hablar de los recursos que se necesitan. Hay más de 700 vulnerabilidades que pueden aparecer en el software, y es imposible que una sola persona las defienda todas. Por eso, la mayoría de las empresas solo se centran en las 10 principales vulnerabilidades de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y y, como resultado, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
En pocas palabras, no proporcionamos a los desarrolladores las herramientas y la formación necesarias para promover el éxito de la codificación segura. No existen normas que obliguen a las organizaciones a exigir a los desarrolladores que posean las habilidades de seguridad adecuadas. Es lamentable que la mayoría de las universidades y los programas de prácticas tampoco preparen a los desarrolladores junior para que puedan codificar de forma segura.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Los desarrolladores deben dedicar tiempo a formarse en la redacción de códigos seguros. Sin embargo, en el mundo actual, en el que el desarrollo de software avanza rápidamente y escasean los buenos desarrolladores y expertos en seguridad, esto no parece ser una prioridad. Es hora de cambiar el discurso.
En los titulares recientes del Foro Económico Mundial se afirma que «sin seguridad, la economía digital no puede existir», y se destaca que la seguridad es un elemento fundamental de toda estrategia de innovación digital. «La seguridad protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. La seguridad va más allá de su función defensiva y proporciona a las empresas una ventaja estratégica para el crecimiento».
Mejorar las técnicas y los resultados de la codificación segura añade una sólida capa de protección cibernética a la organización, lo que permite crear código más rápido y de mejor calidad. Los desarrolladores no tienen que ser expertos en seguridad, pero deben contar con facultades activas y prácticas para convertirse en la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los héroes de la seguridad y la innovación de la próxima generación. Son personas muy inteligentes, resuelven problemas de forma creativa y por lo general, se esfuerzan por perfeccionar sus habilidades. Aproveche sus puntos fuertes y cumpla con los estándares más altos de seguridad de software mediante la formación especializada que se merece. Lea el informe técnico. Obtenga más información.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Existe una teoría muy conocida que dice que las cucarachas pueden sobrevivir a todo, incluso a una explosión nuclear.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Existe una teoría muy conocida que afirma que las cucarachas pueden sobrevivir a todo, incluso a una explosión nuclear. Esta teoría es cierta hasta cierto punto, pero debido a su constitución simple, son muy resistentes en comparación con su tamaño y difíciles de erradicar en la mayoría de las condiciones.
Pensándolo bien... Si hay un problema equivalente a las cucarachas en el mundo digital, creo que sería la vulnerabilidad de inyección SQL (SQLi) en el código. Esta vulnerabilidad se conoce desde hace más de 20 años, pero las organizaciones siguen sufriendo daños. Al igual que los casos de ataques dirigidos generalizados y costosos, fue el resultado de la inyección SQL. Tras el hackeo electoral en Illinois, en el que se expusieron los registros de 200 000 votantes, el FBI recomendó a todos los administradores de TI que se esforzaran rápidamente por reforzar las prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre hackers de Imperva reveló que, entre 2005 y 2011, el 83 % de todos los casos de violación de datos notificados utilizaron ataques SQLi. Hoy en día, la vulnerabilidad de inyección sigue siendo la mayor amenaza en Estados Unidos. OWASP Top 10. Es relativamente simple, pero no desaparece fácilmente.
Es ridículo que esta misma vulnerabilidad siga apareciendo en un número considerable de pruebas de seguridad de aplicaciones. Sabemos perfectamente cómo funciona este problema y también sabemos cómo evitarlo. ¿Cómo es posible que esto ocurra? La verdad es que nuestra seguridad de software tiene un margen de mejora infinito.
El informe sobre el estado de la seguridad del software de Veracode, basado en 400 000 análisis de aplicaciones realizados en 2017, reveló una estadística sorprendente. Solo el 30 % de las aplicaciones superó las políticas del Top 10 de OWASP. Casi una de cada tres aplicaciones analizadas recientemente presentaba inyecciones SQL, lo que demuestra que este tema ha sido constante durante los últimos cinco años. Esto es prueba de un problema crónico. No estamos aprendiendo de nuestros errores y los CISO parecen enfrentarse a una dura batalla para conseguir suficiente personal de seguridad. Por lo general, la proporción entre expertos en AppSec y desarrolladores es de 1:100, lo cual no es adecuado.
¿Por qué la seguridad del software es fundamental para la supervivencia?
No es ningún secreto que hay escasez de personal especializado en seguridad. Sin embargo, también hay que tener en cuenta que los desarrolladores no resuelven los problemas cuando surgen y no están preparados para evitar las vulnerabilidades desde el principio.El mismo informe de Veracode reveló que solo el 14,4 % de todas las vulnerabilidades de desarrollo contaban con medidas de mitigación documentadas. Es decir, la mayoría de las vulnerabilidades se presentaron sin medidas de mitigación de desarrollo. Menos de un tercio de las vulnerabilidades se resolvieron durante los primeros 90 días, y el 42 % de las vulnerabilidades no se resolvieron durante el periodo de desarrollo.
Siempre hablo con expertos en seguridad, CISO y directores generales, y me he dado cuenta de que muchas empresas están tan descontentas con el número de vulnerabilidades que no pueden mitigar (además de la catástrofe que supone la detección errónea) que han dejado de buscar soluciones y se limitan a cruzar los dedos y esperar los mejores resultados.
¿Por qué los expertos en seguridad de aplicaciones permitieron esta situación?
No se equivoque. Los empleados de AppSec conocen a la perfección los problemas del código. Al fin y al cabo, esta es una de las habilidades clave que los convierte en un valioso recurso para el equipo. Sin embargo, a menudo se enfrentan a dificultades debido a diversos factores.
Por ejemplo, el administrador de AppSec detecta un problema y pregunta al desarrollador: «¿Puede modificar el código?». La respuesta a esta importante pregunta varía según la organización, pero, por lo general, los desarrolladores están tan concentrados en cumplir con los estrictos sprints de entrega de funciones que no tienen tiempo para resolver estos problemas ni las herramientas adecuadas para hacerlo. Los expertos en AppSec pueden identificar las vulnerabilidades por sí mismos, pero a menudo carecen de la tecnología y/o los permisos de acceso necesarios para resolverlas de inmediato.
Además, hay que darse cuenta de que todos los problemas tienen un proceso que hay que seguir: encontrar la solución, implementarla y probarla. Incluso los problemas más pequeños que se encuentran en el código pueden llevar un montón de tiempo solucionarlos, por no hablar de los recursos que se necesitan. Hay más de 700 vulnerabilidades que pueden aparecer en el software, y es imposible que una sola persona las defienda todas. Por eso, la mayoría de las empresas solo se centran en las 10 principales vulnerabilidades de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y y, como resultado, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
En pocas palabras, no proporcionamos a los desarrolladores las herramientas y la formación necesarias para promover el éxito de la codificación segura. No existen normas que obliguen a las organizaciones a exigir a los desarrolladores que posean las habilidades de seguridad adecuadas. Es lamentable que la mayoría de las universidades y los programas de prácticas tampoco preparen a los desarrolladores junior para que puedan codificar de forma segura.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Los desarrolladores deben dedicar tiempo a formarse en la redacción de códigos seguros. Sin embargo, en el mundo actual, en el que el desarrollo de software avanza rápidamente y escasean los buenos desarrolladores y expertos en seguridad, esto no parece ser una prioridad. Es hora de cambiar el discurso.
En los titulares recientes del Foro Económico Mundial se afirma que «sin seguridad, la economía digital no puede existir», y se destaca que la seguridad es un elemento fundamental de toda estrategia de innovación digital. «La seguridad protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. La seguridad va más allá de su función defensiva y proporciona a las empresas una ventaja estratégica para el crecimiento».
Mejorar las técnicas y los resultados de la codificación segura añade una sólida capa de protección cibernética a la organización, lo que permite crear código más rápido y de mejor calidad. Los desarrolladores no tienen que ser expertos en seguridad, pero deben contar con facultades activas y prácticas para convertirse en la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los héroes de la seguridad y la innovación de la próxima generación. Son personas muy inteligentes, resuelven problemas de forma creativa y por lo general, se esfuerzan por perfeccionar sus habilidades. Aproveche sus puntos fuertes y cumpla con los estándares más altos de seguridad de software mediante la formación especializada que se merece. Lea el informe técnico. Obtenga más información.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Existe una teoría muy conocida que afirma que las cucarachas pueden sobrevivir a todo, incluso a una explosión nuclear. Esta teoría es cierta hasta cierto punto, pero debido a su constitución simple, son muy resistentes en comparación con su tamaño y difíciles de erradicar en la mayoría de las condiciones.
Pensándolo bien... Si hay un problema equivalente a las cucarachas en el mundo digital, creo que sería la vulnerabilidad de inyección SQL (SQLi) en el código. Esta vulnerabilidad se conoce desde hace más de 20 años, pero las organizaciones siguen sufriendo daños. Al igual que los casos de ataques dirigidos generalizados y costosos, fue el resultado de la inyección SQL. Tras el hackeo electoral en Illinois, en el que se expusieron los registros de 200 000 votantes, el FBI recomendó a todos los administradores de TI que se esforzaran rápidamente por reforzar las prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre hackers de Imperva reveló que, entre 2005 y 2011, el 83 % de todos los casos de violación de datos notificados utilizaron ataques SQLi. Hoy en día, la vulnerabilidad de inyección sigue siendo la mayor amenaza en Estados Unidos. OWASP Top 10. Es relativamente simple, pero no desaparece fácilmente.
Es ridículo que esta misma vulnerabilidad siga apareciendo en un número considerable de pruebas de seguridad de aplicaciones. Sabemos perfectamente cómo funciona este problema y también sabemos cómo evitarlo. ¿Cómo es posible que esto ocurra? La verdad es que nuestra seguridad de software tiene un margen de mejora infinito.
El informe sobre el estado de la seguridad del software de Veracode, basado en 400 000 análisis de aplicaciones realizados en 2017, reveló una estadística sorprendente. Solo el 30 % de las aplicaciones superó las políticas del Top 10 de OWASP. Casi una de cada tres aplicaciones analizadas recientemente presentaba inyecciones SQL, lo que demuestra que este tema ha sido constante durante los últimos cinco años. Esto es prueba de un problema crónico. No estamos aprendiendo de nuestros errores y los CISO parecen enfrentarse a una dura batalla para conseguir suficiente personal de seguridad. Por lo general, la proporción entre expertos en AppSec y desarrolladores es de 1:100, lo cual no es adecuado.
¿Por qué la seguridad del software es fundamental para la supervivencia?
No es ningún secreto que hay escasez de personal especializado en seguridad. Sin embargo, también hay que tener en cuenta que los desarrolladores no resuelven los problemas cuando surgen y no están preparados para evitar las vulnerabilidades desde el principio.El mismo informe de Veracode reveló que solo el 14,4 % de todas las vulnerabilidades de desarrollo contaban con medidas de mitigación documentadas. Es decir, la mayoría de las vulnerabilidades se presentaron sin medidas de mitigación de desarrollo. Menos de un tercio de las vulnerabilidades se resolvieron durante los primeros 90 días, y el 42 % de las vulnerabilidades no se resolvieron durante el periodo de desarrollo.
Siempre hablo con expertos en seguridad, CISO y directores generales, y me he dado cuenta de que muchas empresas están tan descontentas con el número de vulnerabilidades que no pueden mitigar (además de la catástrofe que supone la detección errónea) que han dejado de buscar soluciones y se limitan a cruzar los dedos y esperar los mejores resultados.
¿Por qué los expertos en seguridad de aplicaciones permitieron esta situación?
No se equivoque. Los empleados de AppSec conocen a la perfección los problemas del código. Al fin y al cabo, esta es una de las habilidades clave que los convierte en un valioso recurso para el equipo. Sin embargo, a menudo se enfrentan a dificultades debido a diversos factores.
Por ejemplo, el administrador de AppSec detecta un problema y pregunta al desarrollador: «¿Puede modificar el código?». La respuesta a esta importante pregunta varía según la organización, pero, por lo general, los desarrolladores están tan concentrados en cumplir con los estrictos sprints de entrega de funciones que no tienen tiempo para resolver estos problemas ni las herramientas adecuadas para hacerlo. Los expertos en AppSec pueden identificar las vulnerabilidades por sí mismos, pero a menudo carecen de la tecnología y/o los permisos de acceso necesarios para resolverlas de inmediato.
Además, hay que darse cuenta de que todos los problemas tienen un proceso que hay que seguir: encontrar la solución, implementarla y probarla. Incluso los problemas más pequeños que se encuentran en el código pueden llevar un montón de tiempo solucionarlos, por no hablar de los recursos que se necesitan. Hay más de 700 vulnerabilidades que pueden aparecer en el software, y es imposible que una sola persona las defienda todas. Por eso, la mayoría de las empresas solo se centran en las 10 principales vulnerabilidades de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y y, como resultado, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
En pocas palabras, no proporcionamos a los desarrolladores las herramientas y la formación necesarias para promover el éxito de la codificación segura. No existen normas que obliguen a las organizaciones a exigir a los desarrolladores que posean las habilidades de seguridad adecuadas. Es lamentable que la mayoría de las universidades y los programas de prácticas tampoco preparen a los desarrolladores junior para que puedan codificar de forma segura.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Los desarrolladores deben dedicar tiempo a formarse en la redacción de códigos seguros. Sin embargo, en el mundo actual, en el que el desarrollo de software avanza rápidamente y escasean los buenos desarrolladores y expertos en seguridad, esto no parece ser una prioridad. Es hora de cambiar el discurso.
En los titulares recientes del Foro Económico Mundial se afirma que «sin seguridad, la economía digital no puede existir», y se destaca que la seguridad es un elemento fundamental de toda estrategia de innovación digital. «La seguridad protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. La seguridad va más allá de su función defensiva y proporciona a las empresas una ventaja estratégica para el crecimiento».
Mejorar las técnicas y los resultados de la codificación segura añade una sólida capa de protección cibernética a la organización, lo que permite crear código más rápido y de mejor calidad. Los desarrolladores no tienen que ser expertos en seguridad, pero deben contar con facultades activas y prácticas para convertirse en la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los héroes de la seguridad y la innovación de la próxima generación. Son personas muy inteligentes, resuelven problemas de forma creativa y por lo general, se esfuerzan por perfeccionar sus habilidades. Aproveche sus puntos fuertes y cumpla con los estándares más altos de seguridad de software mediante la formación especializada que se merece. Lea el informe técnico. Obtenga más información.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Existe una teoría muy conocida que afirma que las cucarachas pueden sobrevivir a todo, incluso a una explosión nuclear. Esta teoría es cierta hasta cierto punto, pero debido a su constitución simple, son muy resistentes en comparación con su tamaño y difíciles de erradicar en la mayoría de las condiciones.
Pensándolo bien... Si hay un problema equivalente a las cucarachas en el mundo digital, creo que sería la vulnerabilidad de inyección SQL (SQLi) en el código. Esta vulnerabilidad se conoce desde hace más de 20 años, pero las organizaciones siguen sufriendo daños. Al igual que los casos de ataques dirigidos generalizados y costosos, fue el resultado de la inyección SQL. Tras el hackeo electoral en Illinois, en el que se expusieron los registros de 200 000 votantes, el FBI recomendó a todos los administradores de TI que se esforzaran rápidamente por reforzar las prácticas de seguridad.
El informe de la iniciativa de inteligencia sobre hackers de Imperva reveló que, entre 2005 y 2011, el 83 % de todos los casos de violación de datos notificados utilizaron ataques SQLi. Hoy en día, la vulnerabilidad de inyección sigue siendo la mayor amenaza en Estados Unidos. OWASP Top 10. Es relativamente simple, pero no desaparece fácilmente.
Es ridículo que esta misma vulnerabilidad siga apareciendo en un número considerable de pruebas de seguridad de aplicaciones. Sabemos perfectamente cómo funciona este problema y también sabemos cómo evitarlo. ¿Cómo es posible que esto ocurra? La verdad es que nuestra seguridad de software tiene un margen de mejora infinito.
El informe sobre el estado de la seguridad del software de Veracode, basado en 400 000 análisis de aplicaciones realizados en 2017, reveló una estadística sorprendente. Solo el 30 % de las aplicaciones superó las políticas del Top 10 de OWASP. Casi una de cada tres aplicaciones analizadas recientemente presentaba inyecciones SQL, lo que demuestra que este tema ha sido constante durante los últimos cinco años. Esto es prueba de un problema crónico. No estamos aprendiendo de nuestros errores y los CISO parecen enfrentarse a una dura batalla para conseguir suficiente personal de seguridad. Por lo general, la proporción entre expertos en AppSec y desarrolladores es de 1:100, lo cual no es adecuado.
¿Por qué la seguridad del software es fundamental para la supervivencia?
No es ningún secreto que hay escasez de personal especializado en seguridad. Sin embargo, también hay que tener en cuenta que los desarrolladores no resuelven los problemas cuando surgen y no están preparados para evitar las vulnerabilidades desde el principio.El mismo informe de Veracode reveló que solo el 14,4 % de todas las vulnerabilidades de desarrollo contaban con medidas de mitigación documentadas. Es decir, la mayoría de las vulnerabilidades se presentaron sin medidas de mitigación de desarrollo. Menos de un tercio de las vulnerabilidades se resolvieron durante los primeros 90 días, y el 42 % de las vulnerabilidades no se resolvieron durante el periodo de desarrollo.
Siempre hablo con expertos en seguridad, CISO y directores generales, y me he dado cuenta de que muchas empresas están tan descontentas con el número de vulnerabilidades que no pueden mitigar (además de la catástrofe que supone la detección errónea) que han dejado de buscar soluciones y se limitan a cruzar los dedos y esperar los mejores resultados.
¿Por qué los expertos en seguridad de aplicaciones permitieron esta situación?
No se equivoque. Los empleados de AppSec conocen a la perfección los problemas del código. Al fin y al cabo, esta es una de las habilidades clave que los convierte en un valioso recurso para el equipo. Sin embargo, a menudo se enfrentan a dificultades debido a diversos factores.
Por ejemplo, el administrador de AppSec detecta un problema y pregunta al desarrollador: «¿Puede modificar el código?». La respuesta a esta importante pregunta varía según la organización, pero, por lo general, los desarrolladores están tan concentrados en cumplir con los estrictos sprints de entrega de funciones que no tienen tiempo para resolver estos problemas ni las herramientas adecuadas para hacerlo. Los expertos en AppSec pueden identificar las vulnerabilidades por sí mismos, pero a menudo carecen de la tecnología y/o los permisos de acceso necesarios para resolverlas de inmediato.
Además, hay que darse cuenta de que todos los problemas tienen un proceso que hay que seguir: encontrar la solución, implementarla y probarla. Incluso los problemas más pequeños que se encuentran en el código pueden llevar un montón de tiempo solucionarlos, por no hablar de los recursos que se necesitan. Hay más de 700 vulnerabilidades que pueden aparecer en el software, y es imposible que una sola persona las defienda todas. Por eso, la mayoría de las empresas solo se centran en las 10 principales vulnerabilidades de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y y, como resultado, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
En pocas palabras, no proporcionamos a los desarrolladores las herramientas y la formación necesarias para promover el éxito de la codificación segura. No existen normas que obliguen a las organizaciones a exigir a los desarrolladores que posean las habilidades de seguridad adecuadas. Es lamentable que la mayoría de las universidades y los programas de prácticas tampoco preparen a los desarrolladores junior para que puedan codificar de forma segura.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Los desarrolladores deben dedicar tiempo a formarse en la redacción de códigos seguros. Sin embargo, en el mundo actual, en el que el desarrollo de software avanza rápidamente y escasean los buenos desarrolladores y expertos en seguridad, esto no parece ser una prioridad. Es hora de cambiar el discurso.
En los titulares recientes del Foro Económico Mundial se afirma que «sin seguridad, la economía digital no puede existir», y se destaca que la seguridad es un elemento fundamental de toda estrategia de innovación digital. «La seguridad protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. La seguridad va más allá de su función defensiva y proporciona a las empresas una ventaja estratégica para el crecimiento».
Mejorar las técnicas y los resultados de la codificación segura añade una sólida capa de protección cibernética a la organización, lo que permite crear código más rápido y de mejor calidad. Los desarrolladores no tienen que ser expertos en seguridad, pero deben contar con facultades activas y prácticas para convertirse en la primera línea de defensa contra los ciberataques. Los desarrolladores pueden convertirse en los héroes de la seguridad y la innovación de la próxima generación. Son personas muy inteligentes, resuelven problemas de forma creativa y por lo general, se esfuerzan por perfeccionar sus habilidades. Aproveche sus puntos fuertes y cumpla con los estándares más altos de seguridad de software mediante la formación especializada que se merece. Lea el informe técnico. Obtenga más información.
Las personas que desean volar en avión deben someterse a un proceso muy estricto que garantiza su formación, experiencia práctica, examen médico, conocimientos de seguridad y pruebas antes de volar. Nadie se atrevería a imaginar que alguien podría volar sin haber pasado por esta amplia preparación y verificación de habilidades, pero en la programación esto ocurre a diario.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
