Insights sobre códigos de seguridad

El desarrollo basado en IA ha introducido un tipo completamente nuevo de riesgo de software. La inserción rápida, la manipulación de RAG y los permisos excesivos de los agentes ya no son un problema teórico, sino que se están convirtiendo en una realidad en las aplicaciones modernas.

Los desarrolladores deben poder experimentar directamente estos nuevos patrones de amenazas en un entorno que refleje la complejidad real. Por eso hemos transformado la misión Cybermon 2025 AI/LLM Boss de una experiencia de evento limitada en una colección de temas de misiones desplegables dentro de Secure Code Warrior. Al crear una nueva misión, puede encontrar la colección Cybermon 2025: Beat the Boss en la sección de conceptos específicos bajo el concepto de seguridad.

Cybermon 2025: La organización Bit the Boss puede integrar estos problemas de seguridad de IA de alto nivel en cualquier momento en su programa de codificación segura.

¿Qué es Beat the Boss?

Beat the Boss ofrece cuatro retos avanzados de IA/LLM diseñados para poner a prueba las capacidades reales de desarrollo de IA de seguridad.

Cada tema incluye un breve vídeo introductorio, una guía, una guía de calentamiento y una misión original de Cybermon 2025 con un jefe de alto nivel de dificultad. Estos escenarios inmersivos se centran en las clases de vulnerabilidades reales de la IA que los desarrolladores deben comprender a medida que avanzan las aplicaciones asistidas por IA.

Las cuatro misiones de jefe se centran en distintas áreas de riesgo de la IA y simulan patrones de amenazas reales de los sistemas basados en IA.

• Biphasaurus — Inyección rápida directa
• Kikrakken — Inyección rápida indirecta
• Prompt Geist — Debilidades de vectores e incrustaciones
• 프록시서파 — Agencia excesiva

Ejecutar de la manera deseada.

Es recomendable centrarse en un jefe a la vez para poder prestar la atención adecuada a cada punto débil. Muchas organizaciones optan por lo siguiente:

• Un jefe por semana con un sprint de seguridad de IA intensivo.
• o una vez al mes con la iniciativa «Vulnerabilidad del mes».

Los administradores que organizan eventos internos pueden acceder a instrucciones estructuradas para la implementación y a recursos de marca descargables en la base de conocimientos.
Cybermon 2025: Derrota al jefe en un evento de operación directa.

Operaciones de preparación de seguridad de IA

El desarrollo acelerado de la IA está cambiando el entorno de riesgos del software. Las nuevas clases de vulnerabilidades requieren no solo reconocimiento, sino también experiencia en su aplicación.

Beat the Boss ayuda a las organizaciones a convertir los patrones de amenazas de IA en evolución en capacidades prácticas para los desarrolladores.

Los desarrolladores pueden intentar cada desafío de forma independiente y luego revisar la solución guiada para reforzar la mentalidad del atacante y la estrategia de defensa. Después del desafío, se proporciona un vídeo con la solución completa para el aprendizaje.

Muchos equipos amplían su experiencia mediante sesiones internas de intercambio de conocimientos, lo que transforma el aprendizaje basado en eventos de competitivo a colaborativo. La seguridad y el desarrollo son deportes de equipo. Las organizaciones están mejor protegidas cuando los desarrolladores, los responsables de seguridad y los equipos de ingeniería colaboran para comprender y mitigar la creciente superficie de ataque de la IA. Las sesiones informativas fluidas, el intercambio de revisiones de soluciones y los debates entre equipos ayudan a convertir la realización de tareas individuales en una capacidad colectiva.

Al integrar Beat the Boss en la iniciativa de codificación segura, se refuerza la adopción segura de la IA y, al mismo tiempo, se establece una madurez de seguridad de la IA cuantificable en todo el equipo de desarrollo.

Empezar

Al crear una nueva misión, puede encontrar la colección Cybermon 2025: Beat the Boss en la sección de conceptos específicos del apartado de seguridad. Inicie sesión en su cuenta de Secure Code Warrior para configurar el despliegue y mejorar el desarrollo de la IA de seguridad de todo el equipo.

La resiliencia cibernética no solo es una prioridad para las empresas con sede en la UE, sino que también se está convirtiendo rápidamente en un valor estratégico para todas las empresas estratégicas del mercado europeo. El cumplimiento normativo, que se prolongará hasta 2027, ya está planteando preguntas difíciles a los equipos de relaciones y seguridad sobre las prácticas de diseño, el desarrollo de vulnerabilidades y las capacidades.

A diferencia de muchas normativas que se centran en la documentación y la auditoría, Cray es clave para cumplir con las normas de diseño y desarrollo de software de seguridad. Gracias a la inversión previa en la función Secure by Design, estamos cambiando más rápido y la seguridad de los productos está mejorando más rápido.

Requisitos necesarios para la ley de restauración cibernética

La Ley de Restauración Cibernética (CRA) introduce requisitos básicos de ciberseguridad para la mayoría de los productos que contienen componentes digitales comercializados en el mercado de la UE, incluyendo software, sistemas operativos, dispositivos conectados y sistemas integrados.

Lo más importante es que habrá cambios. Donde hay cosas que hacer.

La seguridad ya no es un problema de tiempo de ejecución o operativo. En CRA, se aplica de la siguiente manera: las obligaciones de diseño y desarrollo abarcan la arquitectura, la implementación, el mantenimiento y el tratamiento de vulnerabilidades.

Ingeniería y seguridad Esto significa lo siguiente para los líderes.

• El producto debe fabricarse de acuerdo con los principios de diseño de seguridad.
• Las vulnerabilidades conocidas deben prevenirse y tratarse de manera eficaz siempre que sea posible.
• La organización debe demostrar que cuenta con prácticas de desarrollo seguro.

En pocas palabras, el cumplimiento normativo no puede separarse de la forma de ganar y mantener dinero.

Solicitud de automóvil

La UE lo ha adoptado, pero se aplicará a continuación. Todas las organizaciones del mundo pueden lanzar productos digitales al mercado a través de él. Hay varios puntos que destacar al respecto.

• Servicios aplicables: procesamiento remoto de datos del producto, configuración, software destacado, proveedores de SaaS.
• Fabricantes de productos digitales o conectados
• Importadores, distribuidores y minoristas
• Organizaciones que incluyen componentes digitales de terceros

En el caso de las empresas globales, la preparación de los automóviles no implica requisitos de desarrollo transfronterizo ni actividades de cumplimiento normativo regional.

La razón por la que la organización está comenzando ahora

Hitos principales:

• Septiembre de 2026: inicio de la obligación de notificar vulnerabilidades.
• Diciembre de 2027: necesidad de cumplimiento normativo total.

En teoría, ese calendario puede parecer cómodo. En realidad, la innovación en el desarrollo suele realizarse por trimestres a lo largo de varios años.

El diseño de seguridad es el siguiente. Los requisitos obligatorios son los siguientes.

• Miles de tecnologías de desarrollo de perros en todos los idiomas y en general.
• Diseño teniendo en cuenta la seguridad: expectativas sobre la realización de tareas cotidianas.
• Transición de la mejora de la vulnerabilidad reactiva a la prevención.
• Aplicación coherente de prácticas de desarrollo seguro y generación de pruebas cuantificables.

Estos cambios incluyen la «incorporación», los procesos de «decisión arquitectónica y SDLC» y la «cultura de empatía». Las organizaciones que pospongan estas medidas hasta finales de 2026 se verán sometidas a presiones normativas y se verán obligadas a intentar reformarse, lo que supone una vía mucho más costosa y disruptiva.

La multa puede ascender a 15 millones de euros o al 2,5 % de la facturación anual mundial. De conformidad con el artículo 64, se pueden infringir los requisitos de ciberseguridad.

Esperar hasta finales de 2026 sería demasiado tarde.

CR es

Muchas regulaciones han hablado sobre políticas y documentos. La CRA va un paso más allá al vincularse con prácticas reales a través del diseño y el cumplimiento de software. Esto eleva las expectativas sobre los principios y el entorno operativo más allá de los simples requisitos de gobernanza.

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

• Comprensión de las clases de vulnerabilidad generales
• Diseño de seguridad y aplicación de principios de arquitectura
• Prevención de la creación de patrones inseguros
• Manejar de manera responsable los componentes de terceros y de código abierto.

Desempeña un papel importante en la resolución de problemas de herramientas de seguridad. Sin embargo, al escribir código, las herramientas revelan sus puntos débiles. Para diseñar teniendo en cuenta la seguridad, es necesario prevenir las vulnerabilidades desde el principio.

Esta tarea no se puede realizar solo con herramientas. Los resultados del diseño basado en la seguridad dependen de lo siguiente: la capacidad humana.

#Código seguro: Método de preparación del automóvil para guerreros

Hay un código de seguridad. La ruta de aprendizaje ajustada a CRA. La combinación es la siguiente.

• A Apéndice I de la norma estándar para automóviles, parte I: mapeo de requisitos de vulnerabilidad tecnológica
• A Colección conceptual Secure by Design
• Prácticas de vulnerabilidad por idioma

Consulte la guía de referencia de SCW para todo el contenido de aprendizaje sobre alineación de automóviles. SCW no certifica el cumplimiento normativo. Ofrece asistencia para automóviles a través de. Mejora sistemática y aprendible de las capacidades, en consonancia con los principios de desarrollo seguro de la normativa.

Comience ahora mismo a preparar su automóvil.

CR refleja la dirección de la industria. La seguridad basada en la ingeniería de diseño es una expectativa básica. Los sindicatos que invierten en las capacidades actuales de los desarrolladores pueden asegurar una posición ventajosa para el cumplimiento normativo y construir plataformas con una gran capacidad de recuperación y un bajo riesgo a largo plazo.

Para obtener más información sobre cómo Secure Code Warrior puede ayudarle a cumplir con las normativas, consulte la base de conocimientos. #Secure Code > Cómo Secure Code Warrior puede ayudarle a cumplir con las normativas

Se realiza un análisis en profundidad. Los 10 factores del éxito. Junto con los pasos básicos , el factor de éxito n.º 1 es: criterios de éxito definidos y medibles. El primer y más importante paso del programa de codificación segura es saber hacia dónde se dirige. Esta es la esencia del primer factor de éxito.

Conectar los resultados empresariales con los criterios de éxito.

Para establecer un sistema de seguridad eficaz, es necesario contar con objetivos claros que estén estrechamente relacionados con los resultados empresariales. El facilitador 1 busca la respuesta a la pregunta clave: «¿Cuál es el problema o la dificultad que se pretende resolver mediante la codificación segura, en términos muy concretos y medibles?».

Es posible que esté perdido en la reunión. Requisitos de cumplimiento normativo o prevención de violaciones de seguridad y ciberataques. O tal vez esté buscando una solución. Empiece por la izquierda. Organizador, reelaboración y reducción de costes. Formamos a los desarrolladores para que puedan programar de forma segura desde el principio.

Independientemente de la motivación, el estado actual de la organización o la plataforma de formación en seguridad elegida, el éxito a largo plazo del equipo depende en gran medida del establecimiento de objetivos vinculados a los objetivos empresariales para lograr un éxito continuo.

Tenga en cuenta a las partes interesadas clave de su programa a la hora de determinar los criterios de éxito. Conocer a sus patrocinadores ejecutivos y sus objetivos empresariales le ayudará a impulsar una adopción más amplia en todos los departamentos.

Visibilidad y medición para el éxito

Estos objetivos deben variar según la organización específica. Sin embargo, al avanzar hacia los mismos objetivos comerciales, se puede ver cómo estos objetivos pueden generar ideas.

Reducción de riesgos: Mitigar los riesgos de los desarrolladores y reducir las vulnerabilidades introducidas por fallos de codificación. Esto incluye la identificación de riesgos y la reducción de la superficie de ataque de las aplicaciones.

Los programas suelen centrarse en métricas como la densidad de vulnerabilidades o la reducción y prevención de la tasa de inyección de vulnerabilidades.

Velocidad operativa: Maximiza la velocidad de entrega de productos, reduce la frustración y el desgaste de los desarrolladores y disminuye la cantidad de tiempo dedicado a la reelaboración. La formación en código seguro actúa como un incentivo significativo para los desarrolladores, ya que les ayuda a evitar la reelaboración, que requiere mucho tiempo, del código defectuoso identificado más adelante en el ciclo de vida del desarrollo de software.

Los programas suelen tener como objetivo reducir el tiempo medio de reparación (MTTR) de las vulnerabilidades por parte de los desarrolladores.

Cumplimiento normativo: Logre el cumplimiento externo, como la adhesión a normas como PCI-DSS (que exige la formación de todos los desarrolladores que trabajan en sistemas de pago).

Talento y confianza: Aumenta el compromiso y la concienciación sobre la seguridad y las vulnerabilidades dentro de la organización de desarrolladores, al tiempo que mantienes y fomentas la confianza de los clientes. Para algunas empresas, los desarrolladores con conocimientos de seguridad ayudan a establecer una diferenciación en el mercado.

Los programas suelen establecer requisitos mínimos de habilidades para los desarrolladores o incluso crean programas especializados de campeones de seguridad.

Documentación del éxito del equipo de éxito conjunto

Una vez definidos los criterios de éxito, el siguiente paso es documentar el plan de éxito conjunto. Este plan incluye apoyo externo, como la plataforma educativa CSM. Se trata de un proyecto compartido entre las principales partes interesadas y departamentos.

El plan de éxito incluye lo siguiente:

1. Factores de creación de valor: Aquí se incluyen la mejora de la seguridad del código y los objetivos empresariales principales relacionados con la respuesta a la pregunta «¿por qué existe el programa?».
2. Estado actual: Esto utiliza «¿Dónde estamos ahora?» (por ejemplo, la tecnología de codificación de seguridad actual o los programas de formación existentes).
3. Estado futuro (deseado): A continuación, documentaremos «¿Dónde queremos estar?». Y estableceremos una forma de resolver la brecha en la codificación de la tecnología de seguridad.
4. KPI/Valores medidos: Estos indicadores muestran que, a medida que el programa avanza con éxito, la brecha entre el presente y el futuro se está reduciendo.

Es recomendable comenzar de la siguiente manera. Si se necesita uno o dos indicadores específicos, se pueden ampliar más adelante. Estas mediciones de KPI deben cumplir con el principio S.M.A.R.T. (específico, medible, alcanzable, relevante y con un plazo determinado). Deben ser fáciles de rastrear y no deben prestarse a interpretaciones erróneas. Para ejecutar el plan, todas las partes responsables deben revisar conjuntamente el valor a intervalos acordados diariamente.

Al definir y medir explícitamente estos criterios, el programa de mejora de la seguridad pasa de ser un simple gasto a convertirse en un factor verificable que impulsa resultados empresariales importantes. Este programa es el primer paso esencial para alcanzar la madurez.

Ahora vamos a profundizar en el tema. Enable 2: Senior Leadership Sponsorship . Se analiza el papel fundamental que desempeña el liderazgo en el lanzamiento exitoso de un programa de seguridad .

¿Tiene alguna otra pregunta?Los clientes pueden ponerse en contacto con el equipo de cuentas o escribir a support@securecodewarrior.com.잠재. Los clientes pueden consultar en cualquier momento con un miembro del equipo de ventas. Aquí.

A una persona que decide lanzarse de cabeza a una empresa emergente se le llama de muchas maneras, desde el ambicioso apodo de «emprendedor» hasta el decididamente menos glamuroso «loco de remate». Después de once años al frente de Secure Code Warrior, me encuentro felizmente en un punto intermedio. 

Los últimos cinco años han sido una lección de resiliencia para muchos, con imprevistos, tanto económicos como de otro tipo, que ni siquiera las personas más inteligentes del planeta pudieron predecir. Aquí podría venir a la mente la «ley del más fuerte», pero yo prefiero esta cita:

«No es la especie más fuerte la que sobrevive, ni la más inteligente. Es la que mejor se adapta al cambio».

(A menudo se atribuye erróneamente a Charles Darwin, pero en realidad fue dicho por el profesor Leon C. Megginson, quien estaba resumiendo la obra de Darwin, El origen de las especies. Con suerte, esto te hará ganar un gran premio en un concurso de preguntas y respuestas en un pub en el futuro).

Ahora bien, ¿qué mejor ejemplo de cambio y adaptabilidad hay en nuestro mundo que la inteligencia artificial? Han pasado más de tres años desde que se lanzó la bomba del LLM y todavía estamos tratando de comprender qué es esta iteración, qué puede hacer y cómo puede servirnos mejor en prácticamente todas las funciones que existen hoy en día. En cualquier caso, ha llegado para quedarse y, como profesionales de la ciberseguridad en particular, debemos ir un paso por delante para protegerla, incluso en ausencia de barreras de protección y normativas oficiales.

2025 fue un año importante para la IA, la ciberseguridad y SCW. Afronto 2026 con una confianza tranquila y el optimismo que solo puede aportar el trabajo duro que da sus frutos. 

Hemos alcanzado algunos hitos importantes, entre ellos nuestra incursión en la protección del desarrollo de software basado en inteligencia artificial. Nosotros:

• Publicado Trust Agent: IA en fase de pruebas beta: Las nuevas investigaciones de la CCIA confirman que la IA generativa es la tecnología que más rápido se ha adoptado en la historia, por lo que no es de extrañar que los agentes y asistentes de codificación de IA hayan tenido una gran acogida entre los desarrolladores, incluyendo implementaciones apresuradas a nivel empresarial que avanzan más rápido que sus programas de seguridad.
  
  Nuestra última tecnología, Trust Agent: AI, proporciona el ingrediente que faltaba: visibilidad y gobernanza sobre el código generado por IA. Ofrece a los responsables de seguridad de las empresas la observabilidad y el control profundos que necesitan para gestionar con confianza la adopción de la IA en su ciclo de vida de desarrollo de software (SDLC) sin sacrificar la seguridad.
• Hemos superado nuestro último gran hito en cuanto a ingresos: El hecho de haber superado nuestro objetivo de ingresos es una prueba de la tenacidad y la innovación de todo el Secure Code Warrior . Cuando comenzamos este viaje, nuestra misión era ir más allá del enfoque de «casillas de verificación» en materia de seguridad y capacitar realmente a los desarrolladores para que escribieran código seguro desde la primera línea.
  
  El hecho de que esa visión haya tenido eco en tantas empresas globales demuestra que el sector está finalmente cambiando su enfoque hacia una seguridad centrada en los desarrolladores, y no podría estar más orgulloso de cómo nuestros Warriors se han esforzado por hacer que el software sea más seguro para todos.
• Integraciones expertas con socios estratégicos: nuestras alianzas con grandes empresas como Aikido, OpenText y Black Duck representan un importante paso adelante en nuestra misión de crear un ecosistema de seguridad fluido y centrado en los desarrolladores. Al salvar la brecha entre la identificación de vulnerabilidades y la provisión de las habilidades específicas necesarias para solucionarlas, estamos cerrando de manera efectiva el círculo en lo que respecta al riesgo de software orientado a los desarrolladores.
  
  Estoy muy orgulloso de esta asociación, que supone un cambio estratégico que nos aleja de las herramientas fragmentadas y nos acerca a una experiencia unificada en la que la seguridad es una extensión natural del flujo de trabajo de desarrollo.

Ahora que nos adentramos en otro gran año, me gustaría dar las gracias a nuestro creciente número de seguidores, especialmente a los de la amplia comunidad cibernética, que siguen liderando la lucha contra las vulnerabilidades recurrentes, la escasa concienciación sobre la seguridad y la mala calidad del código producido. Al adoptar un nuevo estándar más seguro, podemos empezar a ver mejoras reales en la seguridad de nuestro software, nuestros servicios y nuestra tecnología. 

Estamos avanzando a toda velocidad con una inversión total en un futuro en el que la IA escribirá la mayor parte del código, bajo la atenta mirada de humanos cualificados. Nuestro SCW Learning está evolucionando rápidamente para satisfacer los requisitos de este nuevo mundo, y nuestro SCW Trust Agent: AI estará disponible en los próximos tres meses para respaldar el funcionamiento seguro de LLM, MCP y mucho más en el SDLC. También estamos a punto de anunciar muy pronto una nueva y emocionante asociación con un importante actor del mercado.

¡Estén atentos!

Una versión de este artículo se publicó en Revista SC. Aquí se ha modificado y sindicado.


Si alguna vez ha sufrido un robo en su casa, comprenderá esa sensación inicial de que algo va mal. Y luego se dará cuenta de que realmente le han robado y violado su intimidad. Esto suele provocar una incomodidad duradera, por no hablar de la necesidad de adoptar medidas de seguridad comparables a las de Fort Knox.

Imagina que tu casa ha sido robada porque los ladrones se han hecho con las llaves. Se mueven libremente por todas partes, pero tienen cuidado de no ser descubiertos. Un día, desaparecen las joyas que tenías escondidas en el congelador, la caja fuerte está vacía y y se dan cuenta demasiado tarde de que han registrado minuciosamente sus pertenencias personales. Esto es lo mismo que le pasa a una organización cuando es víctima de un ataque cibernético de día cero. Según un estudio de Ponemon Institute de 2020, el 80 % de las violaciones de datos exitosas fueron el resultado de exploits de día cero y, lamentablemente, la mayoría de las empresas no están preparadas para mejorar significativamente esta estadística.

Según la definición, los ataques de día cero no dan tiempo a los desarrolladores para encontrar y corregir las vulnerabilidades existentes que pueden ser explotadas, ya que los actores maliciosos son los primeros en entrar. Una vez que se ha producido el daño, se desata una frenética carrera para reparar tanto el software como el daño a la reputación de la empresa. Dado que los atacantes siempre llevan la ventaja, es fundamental aprovechar al máximo cualquier ventaja que se pueda obtener.

Log4Shell, un regalo navideño que nadie quería, está causando furor en Internet. Se dice que más de mil millones de dispositivos se han visto afectados por esta grave vulnerabilidad de Java. Se prevé que sea el peor ataque de día cero de la historia, y esto es solo el principio. Sin embargo, algunos informes afirman que los exploits comenzaron a aparecer unos días antes de que se hicieran públicos, y una presentación realizada en la conferencia Black Hat de 2016 sugiere que se trata de un problema conocido desde hace tiempo. Para colmo, es muy fácil de explotar, y todos los script kiddies y actores maliciosos del planeta están persiguiendo a las víctimas con esta vulnerabilidad.

Entonces, sin mencionar las vulnerabilidades que se pasan por alto en el proceso de desarrollo de software, ¿cuál es la mejor manera de defenderse de amenazas resbaladizas y maliciosas? Veámoslo.

Los ataques de día cero contra objetivos de gran envergadura son poco frecuentes y muy costosos.

En la dark web existe un enorme mercado de exploits. Por poner un ejemplo, los zero-day suelen generar bastante dinero. En el momento de escribir este artículo, se cotizaba a 2,5 millones de dólares. Se sabe que se trata de un exploit para Apple iOS, por lo que no es de extrañar que el precio exigido por los investigadores de seguridad se haya disparado. Al fin y al cabo, puede ser una puerta de entrada para dañar millones de dispositivos, recopilar miles de millones de registros de datos confidenciales y hacerlo durante el mayor tiempo posible antes de que se descubra y se aplique un parche.

De todos modos, ¿quién tiene ese dinero? Por lo general, las organizaciones delictivas cibernéticas organizadas obtienen dinero en efectivo si consideran que algo tiene valor. Esto es especialmente cierto en el caso de los ataques de ransomware, que siempre son muy populares. Sin embargo, los gobiernos y los ministerios de defensa de todo el mundo se consideran clientes de exploits que pueden utilizarse para obtener información sobre amenazas y, en un escenario más positivo, las propias empresas pueden comprar exploits de día cero potenciales para mitigar los desastres.

En 2021 se batió el récord. En el caso de los exploits de día cero detectados en tiempo real, las organizaciones de gran tamaño, los departamentos gubernamentales y las infraestructuras son los que corren mayor riesgo de sufrir vulnerabilidades. No hay forma de estar completamente a salvo de la posibilidad de un ataque de día cero, pero ofrecer un programa de recompensas por errores generoso y sistemático permite, en cierta medida, «jugar».No espere a que alguien le proporcione la llave del castillo del software en el oscuro mercado web, sino que consiga refuerzos de seguridad legítimos y ofrezca una recompensa adecuada por la divulgación ética de información y las posibles correcciones.

Si la amenaza de un ataque de día cero es demasiado grave, es mejor asumir que tendrás que gastar más dinero que el valor de la tarjeta regalo de Amazon (y que valdrá la pena hacerlo).

El herramientas puede ser responsabilidad del responsable de seguridad.

Las engorrosas herramientas de seguridad que gestionan los CISO habituales han sido un problema desde hace mucho tiempo. Con entre 55 y 75 herramientas diferentes en su arsenal de seguridad, a excepción de la navaja suiza (en sentido figurado) más confusa del mundo, el 53 % de las empresas ni siquiera están seguras de que estén trabajando de forma eficaz. Según un estudio del Ponemon Institute. Otro estudio reveló que solo el 17 % de los CISO considera que su pila de seguridad es «totalmente eficaz».

El agotamiento, la escasez de personal especializado en seguridad para satisfacer la demanda y la necesidad de agilidad son factores bien conocidos en este campo, en el que los expertos en seguridad se ven obligados a gestionar una sobrecarga de información en forma de datos, informes y supervisión procedentes de un amplio conjunto de herramientas. Este es precisamente el tipo de situación en la que se pueden pasar por alto alertas importantes al evaluar adecuadamente las vulnerabilidades de Log4j.

La seguridad preventiva debe incluir modelos de amenazas centrados en los desarrolladores.

Las vulnerabilidades a nivel de código suelen ser introducidas por los desarrolladores, y para crear técnicas de codificación seguras se necesitan instrucciones precisas y un plan de aprendizaje regular. Sin embargo, los desarrolladores con un nivel de seguridad más alto tuvieron la oportunidad de aprender y practicar el modelado de amenazas como parte del proceso de desarrollo de software.

No es de extrañar que las personas que mejor conocen su propio software sean los desarrolladores que lo crearon. Estos tienen un profundo conocimiento de cómo interactúan los usuarios con el software, dónde se utilizan las funciones y los posibles escenarios en los que el software podría verse comprometido o ser objeto de abuso si se conoce bien la seguridad.

Si volvemos a este problema con el exploit Log4Shell, lamentablemente se presenta un escenario en el que una vulnerabilidad crítica puede eludir la detección por parte de expertos y conjuntos de herramientas complejas. Sin embargo, si la biblioteca estuviera configurada para eliminar las entradas del usuario, esto no habría ocurrido en absoluto . La decisión de no hacerlo parece haber sido una función ambigua para mayor comodidad, pero se ha vuelto muy fácil de explotar (pensemos en el nivel de inyección SQL, que no es nada genial) . Si un grupo de desarrolladores perspicaces y expertos en seguridad hubiera realizado un modelo de amenazas, es muy probable que hubieran teorizado y considerado este escenario.

Un buen programa de seguridad tiene un elemento emocional en el que la intervención y los matices humanos son clave para resolver los problemas causados por personas. Para que el modelado de amenazas sea efectivo, se necesita empatía y experiencia, lo mismo ocurre con la codificación y la configuración de la seguridad a nivel de arquitectura del software y las aplicaciones. No es necesario que los desarrolladores se dediquen a ello de la noche a la mañana, pero lo ideal sería contar con una hoja de ruta clara para actualizar la tecnología hasta un nivel que alivie la presión del equipo de seguridad sobre esta importante tarea (y que también sea una buena forma de establecer una relación entre ambos equipos).

0일이 n일로 이어집니다

El siguiente paso en la respuesta al día cero es eliminar el parche lo antes posible. Esperamos que todos los usuarios del software vulnerable apliquen el parche lo antes posible y con certeza, antes de que lleguen los atacantes. Log4Shell podría superar a Heartbleed en cuanto a durabilidad y eficacia, ya que está integrado en millones de dispositivos y crea dependencias complejas en toda la compilación del software.

En realidad, no hay forma de bloquear por completo este tipo de ataques astutos. Sin embargo, si nos comprometemos a crear software seguro y de alta calidad utilizando todos los medios a nuestro alcance, y abordamos el desarrollo con la misma mentalidad que se aplica a las infraestructuras críticas, todos tendremos la oportunidad de luchar contra ellos.

El desarrollo asistido por IA (o su versión más moderna, «vibe coding») está teniendo un impacto enorme e innovador en la generación de código. Los desarrolladores ya consolidados están adoptando estas herramientas en masa, y los desarrolladores que querían crear software por sí mismos pero carecían de la experiencia necesaria también las están utilizando para crear activos que antes requerían mucho tiempo y dinero. Se espera que esta tecnología marque el comienzo de una nueva era de innovación, pero también plantea una serie de nuevas vulnerabilidades y perfiles de riesgo que los responsables de la seguridad están luchando por mitigar.

Recientemente, InvariantLabs descubrió una grave vulnerabilidad en el MCP (Model Context Protocol), un marco similar a una API que permite que potentes herramientas de IA interactúen de forma autónoma con otro software y bases de datos, lo que ha dado lugar a una nueva categoría de vulnerabilidades especialmente perjudiciales para las empresas: los «ataques de adicción a herramientas» (Tool Docuining Atars).Las principales herramientas de IA, como Windsurf y Cursor, no son una excepción. Dado que cuentan con millones de usuarios, es fundamental disponer de la concienciación y la tecnología necesarias para gestionar estos nuevos problemas de seguridad.

Actualmente, el rendimiento de estas herramientas es el siguiente. Como se ha mencionado anteriormente, son lo suficientemente seguras como para clasificarlas como productos de nivel empresarial. Opinión de los investigadores de seguridad de AWS e Intuit, Vinish Sainarajala e Idan Habler, en un reciente artículo de investigación:«A medida que mejora la autonomía de los sistemas de IA y estos comienzan a interactuar directamente con herramientas externas y datos en tiempo real a través de funciones como MCP, se ha vuelto absolutamente crucial mantener la seguridad de estas interacciones».

Perfil de riesgo del sistema de inteligencia artificial y del protocolo de contexto del modelo

El protocolo de contexto del modelo es un software muy útil. Ha sido creado por Anthropos. Permite una integración más fluida y sin problemas entre los agentes de IA de modelos de lenguaje grandes (LLM) y otras herramientas. Se trata de un potente caso de uso que abre un mundo de posibilidades para interactuar con soluciones de IA de vanguardia entre aplicaciones propietarias y herramientas SaaS críticas para el negocio, como GitHub. Solo hay que empezar a escribir el servidor MCP y establecer las directrices sobre cómo se desea que funcione y cuál es su propósito.

En realidad, el impacto de la tecnología MCP en la seguridad es en su mayor parte positivo. La promesa de una integración más directa entre la pila tecnológica utilizada por los expertos en seguridad y LLM es demasiado atractiva como para ignorarla, y demuestra que, al menos en general, es posible automatizar tareas de seguridad precisas a un nivel que antes era imposible sin escribir y desplegar código personalizado para cada tarea.Teniendo en cuenta que la amplia visibilidad y conectividad entre los datos, las herramientas y el personal son fundamentales para una defensa y planificación de la seguridad eficaces, la interoperabilidad mejorada de LLM que ofrece MCP es una perspectiva interesante para la seguridad empresarial.

Sin embargo, el uso de MCP puede introducir otros vectores de amenaza y, a menos que se gestione con cuidado, puede ampliar considerablemente el alcance de los ataques a las empresas. Como se mencionó anteriormente, los ataques de Invariant Lab y Tool Poison son una nueva categoría de vulnerabilidades que pueden provocar la filtración de datos confidenciales y actividades no autorizadas de modelos de IA, y a partir de ahí, el impacto en la seguridad se vuelve muy grave rápidamente.

Según InvariantLabs, cuando una herramienta MCP contiene comandos maliciosos en su descripción que el usuario no puede ver, pero que el modelo de IA puede leer y ejecutar completamente, se puede producir un ataque de intoxicación de herramientas. De esta manera, se puede engañar a la herramienta para que realice tareas incorrectas sin el conocimiento del usuario. El problema radica en la suposición de MCP de que todas las descripciones de las herramientas son fiables. Esto es música para los oídos de los actores maliciosos.

Estos prestan atención a los siguientes resultados que pueden producirse debido a herramientas dañadas.

• Indicar al modelo de IA que acceda a archivos confidenciales (por ejemplo, claves SSH, archivos de configuración, bases de datos, etc.).
• En un entorno en el que estos actos maliciosos están ocultos por naturaleza a los usuarios que no son conscientes de ellos, se ordena a la IA que extraiga y transmita estos datos.
• Tras la increíblemente sencilla interfaz de usuario para la adquisición y salida de herramientas, se esconde una desconexión entre lo que ve el usuario y lo que hace el modelo de IA.

Se trata de una categoría de vulnerabilidad preocupante, y es casi seguro que se verá con mayor frecuencia a medida que continúe el inevitable aumento del uso de MCP. A medida que avancen los programas de seguridad empresarial, se tomarán medidas cuidadosas para detectar y mitigar estas amenazas, y será fundamental prepararse adecuadamente para que los desarrolladores puedan participar en su resolución.

Por qué solo los desarrolladores con conocimientos de seguridad deben utilizar herramientas de IA para agentes

Las herramientas de codificación con IA agencial se consideran la próxima generación de la codificación asistida por IA y ofrecen funciones que mejoran la eficiencia, la productividad y la flexibilidad del desarrollo de software. Son especialmente útiles gracias a su capacidad mejorada para comprender el contexto y la intención, pero no están libres de amenazas como la inyección inmediata, las alucinaciones o la manipulación del comportamiento por parte de los atacantes.

Los desarrolladores son la línea de defensa que distingue entre los buenos y los malos compromisos de código, y mantener una aguda capacidad de pensamiento crítico y de seguridad será fundamental para el futuro del desarrollo de software de seguridad.

Los resultados de la IA no deben implementarse con una confianza ciega. Los desarrolladores con experiencia en seguridad que aplican un pensamiento crítico adecuado a cada situación pueden aprovechar de forma segura la mejora de la productividad que ofrece esta tecnología. No obstante, debe existir un entorno de programación en pareja en el que expertos humanos puedan evaluar las tareas generadas por la herramienta, modelar las amenazas y, finalmente, dar su aprobación.

Descubra cómo los desarrolladores pueden utilizar la IA para mejorar sus habilidades y aumentar su productividad. Aquí.

Más información sobre técnicas de relajación prácticas y los últimos artículos de investigación.

Se prevé que las herramientas de codificación de IA y la tecnología MCP serán elementos importantes para el futuro de la ciberseguridad, pero es importante no dar nada por sentado antes de comprobarlo detenidamente.

Nara Yara y Habulus describen en detalle una estrategia integral de mitigación para implementar MCP a nivel empresarial y gestionar los riesgos de forma continua. En última instancia, se centra en los principios de defensa en profundidad y confianza cero, y aborda explícitamente el perfil de riesgo único que este nuevo ecosistema supone para el entorno empresarial. En particular, para los desarrolladores es esencial cerrar la brecha de conocimientos en las siguientes áreas.

• Certificación y control de acceso: Las herramientas de IA de Agentic tienen la capacidad de resolver problemas y tomar decisiones autónomas para alcanzar los objetivos previstos, al igual que los seres humanos cuando acceden a tareas de ingeniería. Sin embargo, tal y como se ha establecido hasta ahora, no se puede ignorar la supervisión de personas expertas en estos procesos. Los desarrolladores que utilizan estas herramientas en el flujo de trabajo deben comprender exactamente qué derechos de acceso tienen, qué datos pueden buscar o exponer y dónde se pueden compartir.
• Detección y mitigación de amenazas generales: al igual que con la mayoría de los procesos de IA, los usuarios deben ser competentes en el trabajo para detectar posibles fallos e imprecisiones en los resultados de las herramientas. Los desarrolladores deben recibir formación continua y acreditación en estas tecnologías para poder revisar eficazmente los procesos de seguridad. También pueden revisar el código generado por la IA con precisión y autoridad en materia de seguridad.
• Coordinación con las políticas de seguridad y la gobernanza de la IA: se debe informar a los desarrolladores sobre las herramientas autorizadas, proporcionarles oportunidades para aprender las técnicas y darles acceso a dichas herramientas. Para que las confirmaciones sean fiables, tanto los desarrolladores como las herramientas deben someterse a pruebas comparativas de seguridad.

El artículo de investigación recientemente publicado describe la aparición de la codificación Vibra y la codificación asistida por IA, así como las medidas que deben adoptar las empresas para mejorar la próxima generación de ingenieros de software basados en IA. Échale un vistazo y ponte en contacto con nosotros ahora mismo para reforzar tu cohorte de desarrolladores.

Una versión de este artículo se publicó originalmente en. DZone. Aquí se ha actualizado y sindicado.

La versión 4.0 de la norma de seguridad de datos de la industria de tarjetas de pago (PCI DSS) cambia casi todo lo relacionado con la seguridad de cualquier empresa u organización que acepte pagos electrónicos (la mayoría). Esta actualización supondrá un cambio radical para la mayoría de las empresas, que tendrán que actualizar muchos de sus procesos de seguridad e introducir nuevas protecciones en materia de cifrado, autenticación, control de acceso, gestión de claves y otras áreas en las que hasta ahora la adopción había sido lenta.

Debido a la complejidad de los nuevos requisitos, las organizaciones deben cumplir plenamente con la normativa antes de marzo de 2025. Sin embargo, esta fecha límite llegará antes de lo que la mayoría de la gente cree. De hecho, muchas empresas con visión de futuro están tomando medidas para que los desarrolladores puedan hacer frente al entorno de cumplimiento normativo actual.

Más allá del entrenamiento con casillas de verificación

Los desarrolladores de la organización escriben la mayor parte del código que utiliza la infraestructura, por lo que son un buen punto de partida para implementar los nuevos requisitos de PCI DSS 4.0. Sin embargo, la mayoría de los desarrolladores necesitan apoyo estratégico para mejorar sus habilidades como parte de un programa actualizado de concienciación sobre la seguridad. El objetivo es que adquieran la experiencia necesaria para implementar y mantener el mayor nivel de seguridad que exige la nueva norma.

De hecho, el requisito 12.6.2 de PCI DSS 4.0 exige a las organizaciones implementar un programa de seguridad formal y actualizarlo con la información más reciente sobre amenazas y tecnologías de defensa. En la norma anterior, se consideraba que se había cumplido el objetivo con un programa de seguridad básico o con una formación anual sobre cumplimiento normativo del tipo «marcar casillas». La nueva norma exige mucho más, como que los programas de formación en seguridad aborden las amenazas y vulnerabilidades específicas del entorno empresarial.Por ejemplo, si el robo de identidad es un problema importante en una organización, debe abordarse mediante la formación.

Es evidente que una formación mínima ya no es suficiente desde un punto de vista práctico ni para cumplir con los nuevos estándares. En su lugar, las organizaciones deben ofrecer a los desarrolladores una ruta de aprendizaje completa y ágil que les enseñe a aplicar las mejores prácticas de seguridad en su trabajo diario.Las organizaciones pueden ir más allá del mínimo esfuerzo de cumplimiento normativo y proporcionar a los desarrolladores los recursos necesarios para comprender adecuadamente la seguridad, lo que les permitirá tomar mejores decisiones de seguridad en general y cumplir con la norma PCI DSS 4.0.

La buena noticia es que muchos de los nuevos requisitos de PCI DSS 4.0 se centran en áreas con las que la mayoría de los desarrolladores ya están familiarizados, como la certificación, el cifrado, el control de acceso y la gestión de claves. Si se proporcionan a los desarrolladores recursos adecuados, relevantes y familiares que les permitan mejorar sus habilidades, las organizaciones podrán prepararse más fácilmente para las nuevas normas y las responsabilidades reforzadas que exige PCI DSS 4.0.

Utilizar PCI DSS 4.0 como plataforma para reforzar la seguridad general.

Aunque resolver las necesidades de los desarrolladores mediante una formación excelente en materia de seguridad es importante para cumplir con éxito la nueva norma PCI DSS 4.0, los esfuerzos por llevar a la organización hacia una mejor ciberseguridad no tienen por qué terminar aquí. Sí, los requisitos son estrictos, pero la mayoría de las organizaciones deben esforzarse por cumplirlos, por lo que no hay razón para no utilizar estos esfuerzos como punto de partida para iniciar una mejor concienciación y formación en materia de seguridad en general. De este modo, las organizaciones no solo podrán cumplir los requisitos de cumplimiento normativo, sino que también podrán empezar a crear una cultura de seguridad positiva que dé prioridad a las mejores prácticas y haga que todo el personal de la organización trabaje por los mismos objetivos prioritarios en materia de seguridad.

Por supuesto, existe una curva de aprendizaje, pero los desarrolladores también se esforzarán por lograrlo. Según una encuesta realizada por Evans Data, la gran mayoría de los más de 1200 desarrolladores profesionales que trabajan activamente en todo el mundo apoyan la idea de crear código seguro y establecer una mejor cultura de seguridad en las organizaciones. Está claro que la mayoría de los desarrolladores acogen con satisfacción el cambio estratégico y respaldado hacia la codificación segura y el cambio de prioridades de seguridad como parte del proceso de desarrollo.

Las actualizaciones de seguridad exigidas por PCI DSS 4.0 proporcionan a las empresas una excusa perfecta para invertir en mejores prácticas de seguridad y formación, e introducir una cultura de seguridad más sólida en toda la organización.

Si las empresas invierten en programas que integren tecnologías de codificación segura con las herramientas y la formación pertinentes, los desarrolladores podrán mejorar más fácilmente su madurez en materia de seguridad. De este modo, los desarrolladores tendrán la capacidad de tomar mejores decisiones que superen con creces los estrictos nuevos estándares PCI DSS 4.0, lo que les permitirá crear una cultura de seguridad.
‍

Si echas un vistazo a las noticias tecnológicas durante unos minutos, te darás cuenta rápidamente de lo peligroso que se está volviendo el entorno de amenazas. Cada día parecen surgir nuevas denuncias sobre importantes violaciones de seguridad, nuevas vulnerabilidades o amenazas activas de ciberdelincuentes y criminales. Además, casi todos los indicadores y informes del sector apuntan a un aumento progresivo del número de amenazas cibernéticas, y la mayoría de los expertos prevén que esta tendencia continuará en los próximos años.

Para hacer frente a estas nuevas amenazas, el personal de seguridad informática que trabaja en primera línea está agotado y hay escasez de mano de obra.A pesar de que reciben salarios elevados y son prácticamente indispensables para todas las empresas y organizaciones, nunca hay suficientes profesionales de la seguridad disponibles. Según una encuesta reciente realizada por el Centro de Estrategia y Estudios Internacionales, el 82 % de los responsables de la toma de decisiones en materia de TI afirmaron que sus organizaciones se enfrentan a dificultades debido a la falta de personal con conocimientos de ciberseguridad, y el 71 % afirmaron que esta falta de personal ha causado daños directos y cuantificables a sus organizaciones.Según el informe, solo en Estados Unidos hay más de 520 000 puestos de trabajo sin cubrir en el sector de la ciberseguridad, que da empleo a unas 940 000 personas.

Actualmente, hay alrededor de 3,5 millones de puestos de trabajo relacionados con la ciberseguridad sin cubrir en todo el mundo. Esto significa que incluso las organizaciones que están dispuestas a pagar grandes sumas de dinero para contratar y retener a los mejores profesionales tienen dificultades para encontrar candidatos adecuados. De media, se tarda un 21 % más en completar esta tarea. Si se puede ocupar un puesto más alto que en cualquier otro trabajo, se puede reforzar la ciberseguridad.

El apoyo a los desarrolladores se ha ignorado durante demasiado tiempo.

Como mencioné anteriormente, es posible aprovechar a los desarrolladores para compensar algunas de las importantes deficiencias en la defensa de la ciberseguridad. Sin embargo, tradicionalmente, los desarrolladores no han recibido formación en ciberseguridad. Su rendimiento se basaba casi exclusivamente en la velocidad y el tiempo de implementación. Además, el equipo de AppSec se encargaba de la seguridad.

Lamentablemente, no se trata simplemente de cambiar de rumbo y pedir a los desarrolladores que añadan de repente medidas de seguridad a las aplicaciones y programas. Aunque muchos de ellos estén dispuestos a aplicar estos cambios y, según las encuestas, la mayoría lo está haciendo, sigue siendo necesaria la formación para llevarlos a cabo. Además, se necesita el apoyo y el respaldo de la alta dirección, pero lo primero y, a menudo, el mayor obstáculo es hacer posible un aprendizaje significativo.

Hay una razón por la que millones de puestos de trabajo en seguridad informática, bien remunerados y altamente seguros, siguen sin cubrirse en todo el mundo. Si fuera fácil, todo el mundo se habría lanzado a ese campo. Aprender a hacer frente a las amenazas y a eliminar las vulnerabilidades del código es difícil, y el entorno de amenazas cambia constantemente. Incluso para los desarrolladores relativamente expertos en tecnología, los intentos de enseñarles ciberseguridad son fugaces, poco memorables y tienen un impacto positivo mínimo. Esto es especialmente cierto cuando se añaden estos requisitos a una agenda ya de por sí sobrecargada.

Haga un trampolín y suba a un lugar más alto.

Enseñar ciberseguridad utilizando métodos tradicionales es como construir un rascacielos sin despegar los pies del suelo. Es imposible porque los estudiantes carecen de los fundamentos necesarios para dominar muchos de los conceptos avanzados de un campo tan complejo como la ciberseguridad. Para compensar esta carencia, se puede emplear el aprendizaje escalonado con los siguientes conceptos.

Cuando se utiliza un enfoque escalonado o «jerárquico» para mejorar las habilidades, los temas más amplios suelen clasificarse en experiencias de aprendizaje o conceptos individuales. Esto permite a los alumnos dominar cada concepto con la práctica y la orientación adecuadas, y recibir todo el apoyo necesario para cada componente.Al igual que se construyen andamios físicos a medida que el edificio se eleva, los conceptos más nuevos y avanzados se superponen a los conceptos ya dominados. De esta manera, los estudiantes pueden alcanzar un nivel de comprensión y adquisición de habilidades más alto del que podrían alcanzar sin ayuda.

Al igual que el soporte físico, este apoyo se elimina gradualmente cuando ya no es necesario, y a medida que los alumnos adquieren mayor destreza, también aumenta su responsabilidad.

El aprendizaje por andamios se utiliza principalmente para reducir los sentimientos negativos y la autopercepción que pueden experimentar los estudiantes cuando intentan realizar tareas difíciles sin ayuda y se sienten frustrados, asustados o desanimados. Sin embargo, también puede ser útil cuando se trata de conceptos muy difíciles, como la ciberseguridad moderna. Lejos de tratar a los desarrolladores como niños pequeños, puede ser de gran ayuda si la experiencia en el equipo de seguridad puede provocar los mismos resultados de frustración y desánimo. Especialmente cuando sus esfuerzos se ven recompensados con la corrección de errores y nuevas críticas.

Cuando se proporcionan herramientas que permiten a los desarrolladores comprender los conceptos básicos de la codificación segura (por lo general, comenzando con OWASP Top 10), pueden comprobar por sí mismos cómo se producen los errores de seguridad, por qué son peligrosos y cómo solucionarlos antes de entrar en la fase de producción. De este modo, pueden ampliar sus conocimientos adquiriendo experiencia práctica en la resolución de vulnerabilidades más complejas y la aplicación de buenas correcciones. El nivel va creciendo poco a poco, y en lo que respecta a cuestiones de seguridad avanzadas, como la arquitectura de software insegura o la modelización de amenazas, estos avances no son tan amenazantes y pueden resolverse con precisión.

En el sector, no se debe esperar que los desarrolladores se conviertan en expertos en seguridad. Sin embargo, las organizaciones pueden adoptar nuevos estándares para apoyar a los desarrolladores y producir software de mayor calidad. Para las organizaciones que cuentan con departamentos de ingeniería altamente cualificados, como ventaja adicional, cada etapa o nivel de andamiaje se traduce directamente en una mejora de la ciberseguridad a medida que se aprende. No es necesario esperar hasta el final del curso para ver los resultados.

Aprender sobre ciberseguridad es una tarea difícil y, sin la ayuda y la orientación adecuadas, es casi imposible dominarla por completo. Al utilizar un programa de seguridad junto con el aprendizaje escalonado, se pueden ver los beneficios casi de inmediato, lo que permite aprovechar al máximo el programa de seguridad. Las mejoras comienzan casi de inmediato y se mantendrán a lo largo del tiempo.

Comience a crear desarrolladores de seguridad sólidos con nosotros. Compruébelo usted mismo.

Cursos de formación
Misiones
Formación para desarrolladores

... ¡Y mucho más!

Recientemente, tuvimos el gran placer de ver el primero. Fue creado por Pieter Danhieux, presidente y director ejecutivo de Forbes Technology Council Post. En esta publicación, se explica en detalle la importancia de mejorar las habilidades de los desarrolladores para crear códigos más seguros y así prevenir los ciberataques y las violaciones de datos. Además, descubrimos cómo los desarrolladores con conocimientos de seguridad pueden ayudar a proporcionar códigos más seguros y de mayor calidad de lo que piensan muchos departamentos de TI.La necesidad de este enfoque es indudablemente atractiva. Según un estudio reciente , ahora se produce un ciberataque cada 39 segundos.Y todos hemos sido testigos del caos que puede provocar un solo ataque de ransomware exitoso. El de Colonial Pipeline, en un contexto más amplio, no fue tan destructivo como el hackeo de SolarWinds.

‍

Muchas vulnerabilidades comunes siguen existiendo. Esto se debe a que nadie ha mostrado a los desarrolladores cómo sustituir los patrones de codificación incorrectos por otros mejores que realicen las mismas funciones de una forma más segura. Además, corregir el software en las últimas fases del desarrollo conlleva un coste enorme en términos de tiempo y retrasos en la distribución. Una vez distribuido, corregir el código, especialmente después de que un atacante haya aprovechado una vulnerabilidad no detectada anteriormente, puede costar a veces millones de dólares. Esto sin tener en cuenta el daño a la reputación de la empresa que puede suponer una brecha de seguridad grave.

Los desarrolladores que han recibido formación en seguridad se convierten naturalmente en mejores programadores. Por supuesto, el CISO no debe renunciar inmediatamente a las herramientas de seguridad. Sin embargo, al impulsar un enfoque de seguridad integral y preventivo desde los niveles más altos, el CISO puede aprovechar el recurso más importante de la empresa: el factor humano. Esto es especialmente cierto en lo que respecta a la codificación segura desde las primeras fases del ciclo de vida del desarrollo de software.

Para ello, hay que tener en cuenta las tres estrategias principales siguientes.

1. Actúe de forma proactiva, no reactiva.

Por ejemplo, las empresas suelen caer en la trampa de reaccionar a posteriori, respondiendo a las acciones de la competencia en lugar de desarrollar y perseguir una visión única. Además, muchas empresas adoptan este enfoque en lo que respecta a las vulnerabilidades de seguridad del código y solo se toman en serio la ciberseguridad cuando se produce una infracción de seguridad y es inevitable. Lamentablemente, para entonces ya se han producido daños, como multas, costes de recuperación, pérdida de clientes y restauración de la marca, lo que acaba afectando a los beneficios.Otra forma de respuesta que se puede adoptar en lugar de tomar medidas es centrarse en la creación de código seguro desde el principio, en lugar de depender del escaneo automático o manual del código para detectar vulnerabilidades en el código existente. Lamentablemente, el escaneo de código no es una solución perfecta. Es decir, cuanto más vulnerable es el código, mayor es la probabilidad de que se pasen por alto algunas vulnerabilidades.

Solo adoptando un enfoque preventivo y colaborando con los desarrolladores para ayudarles a crear código seguro desde el principio se puede establecer un ciclo de vida de desarrollo de software que reduzca considerablemente la posibilidad de que las vulnerabilidades de codificación se hagan públicas para los usuarios.

2. Mejora tus habilidades, pero no te excedas.

Si ha decidido proporcionar a los desarrolladores los conocimientos necesarios para crear código seguro, elija el enfoque adecuado. Los talleres de formación internos que interrumpen la codificación son frustrantes tanto para los desarrolladores como para los gerentes. Los cursos de formación externos a los que hay que asistir por la noche o durante el fin de semana son mucho menos populares. Lo mejor es desarrollar las habilidades de codificación de forma gradual. Proporcione información relevante paso a paso durante el proceso de codificación: así podrá mejorar las habilidades básicas sin distraer la atención de los desarrolladores ni retrasar el proceso de desarrollo.

3. Ofrezca incentivos, no haga suposiciones.

Los desarrolladores no deben considerar la mejora de la tecnología de seguridad como un castigo o una tarea ardua. Los administradores deben inspirar a los desarrolladores transmitiéndoles el importante papel que desempeña el código de seguridad en el éxito de la empresa. También es importante transmitir a los programadores de seguridad que son más valiosos para la empresa y que en el futuro disfrutarán de más oportunidades profesionales.

Bienvenida de la administración Biden Orden ejecutiva Se ha ampliado la necesidad de centrarse en la ciberseguridad e «incluir criterios para evaluar las prácticas de seguridad de los propios desarrolladores y proveedores e identificar herramientas o métodos innovadores para demostrar el cumplimiento de las prácticas de seguridad». Sin embargo, aunque las herramientas son esenciales, no son suficientes por sí solas. Ninguna herramienta puede ignorar los sistemas y herramientas existentes, malinterpretar, abusar o eludir de otro modo. Para maximizar la seguridad de la empresa, el CISO debe aprovechar el factor humano y animar a los desarrolladores a convertirse en defensores y practicantes de la seguridad.