¿Por qué necesitamos apoyar en lugar de castigar a los trabajadores de seguridad curiosos?
El último informe del investigador de seguridad juvenil Bill Demirkapi, que expone las principales vulnerabilidades del software utilizado en su escuela, sin duda me ha traído algunos recuerdos. Recuerdo que, cuando era un niño curioso, abría el software para ver cómo funcionaba y, lo que es más importante, si podía descifrarlo. Durante décadas,los ingenieros de software han buscado mejorar y reforzar continuamente sus productos, y la comunidad de seguridad (aunque a veces sus métodos sean un poco descarados) ha desempeñado un papel importante en la detección de fallos y posibles desastres, con la esperanza de hacerlo antes que los malos.
Sin embargo, el problema aquí es que, en respuesta a su descubrimiento, fue suspendido temporalmente de la escuela. Esto ocurrió después de que agotara todas las vías de contacto con la empresa (Freight Company) en privado y, finalmente, optara por realizar una crítica bastante pública para demostrar su identidad y su capacidad para vulnerar el sistema. Intentó repetidamente advertir a Freight Company de forma ética, pero no obtuvo respuesta, y el software seguía siendo vulnerable.una gran cantidad de datos de los estudiantes quedaban expuestos con bastante facilidad, ya que la mayoría de ellos no estaban encriptados.
También descubrió un error en el software de otra empresa: Blackboard. Aunque los datos de Blackboard estaban al menos encriptados, un posible atacante podría haber vuelto a entrar y robar millones de registros. Su escuela usaba este software y productos de Flare.
La descripción de «hacker malicioso» es problemática.
Demir Kapı presentó sus hallazgos en la conferencia DEF CONde este año, y los detalles más divertidos de su actuación se ganaron el aplauso del público.Efectivamente, así es: según se informa, la empresa Folet agradeció sus esfuerzos y siguió sus recomendaciones, lo que finalmente hizo que su software fuera más seguro y evitó que se convirtiera en otra estadística más de fuga de datos, a pesar de que inicialmente se encontraba en desventaja. Tras graduarse en el instituto, también asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un experto en seguridad muy solicitado.
Como profesional de la seguridad, es difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha salido bien, al principio se le tachó de chico molesto que se entrometía donde no le incumbía. En las búsquedas de Google sobre el incidente, hay artículos que lo califican de «hacker» (lo que, para los profanos en materia de seguridad, lo posiciona en muchos aspectos como un villano), cuando en realidad su método (y el de muchos otros) contribuye a proteger la seguridad de nuestros datos.
Necesitamos personas curiosas, inteligentes y preocupadas por la seguridad que profundicen en la situación, y necesitamos investigar con más frecuencia. Hasta julio, más de 4000 millones de registros solo este año han quedado expuestos a fugas de datos maliciosas. Es posible que a esta cifra se sumen otros 50 millones debido a la quiebra en agosto de la marca de moda y estilo de vida Poshmark.
Hemos cometido los mismos errores, y lo que es más preocupante, estos errores suelen ser simples fallos que provocan problemas en la cara y las manos, y nos siguen poniendo en apuros.
El cross-site scripting y la inyección SQL aún no han desaparecido.
Según informes de Cabley Demirkapi, el software de participación comunitaria Blackboards y el sistema de información estudiantil Folletts contienen vulnerabilidades de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL, dos vulnerabilidades que han sido objeto de debate entre los expertos en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, realmente mucho tiempo, al igual que las camisetas Hypercolor y los disquetes, que ahora deberían ser un recuerdo lejano.
Sin embargo, este no es el caso. Es evidente que no hay suficientes desarrolladores que demuestren la concienciación necesaria en materia de seguridad como para evitar introducirlas en su código. Las herramientas de análisis y la revisión manual del código solo pueden ser de gran utilidad, y existen problemas de seguridad mucho más complejos que los inyectados por XSS y SQL, en los que estas medidas costosas y que requieren mucho tiempo pueden aprovecharse mejor.
Personas como Bill Demirkapi deberían motivar a los desarrolladores a crear códigos con estándares más altos. Con solo 17 años, él logró infiltrarse en dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de la entrega del código.
Gamificación: ¿la clave para la participación?
He escrito mucho sobre por qué los desarrolladores prácticamente no participan en cuestiones de seguridad. La respuesta breve es que, tanto a nivel organizativo como educativo, no se ha hecho mucho por formar desarrolladores con conciencia de seguridad. Cuando las empresas dedican tiempo a crear una cultura de seguridad que recompense y reconozca la participación, incluyendo la implementación de formación que hable el lenguaje de los desarrolladores y los motive a seguir intentándolo, esos molestos restos de vulnerabilidades comenzarán a desaparecer del software que utilizamos.
Demirkapi claramente tiene un interés extracurricular por la seguridad y ha dedicado tiempo a aprender cómo realizar ingeniería inversa en malware, descubrir vulnerabilidades y descifrar cosas que aparentemente no están dañadas desde el exterior. Sin embargo, al hablar con él (y a través de su presentación en DEF CON), hizo una declaración interesante sobre su autoaprendizaje... Lo convirtió en un juego:
«El objetivo era encontrar algo en el software de mi escuela, una forma divertida y lúdica de aprender por mi cuenta una gran cantidad de pruebas de penetración. Aunque empecé a investigar con el fin de aprender más, al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
Aunque no todos los desarrolladores desean especializarse en seguridad, todos ellos deberían tener la oportunidad de mejorar su concienciación al respecto, ya que los conocimientos básicos son prácticamente una «licencia de código» dentro de la organización, especialmente para aquellos desarrolladores que controlan gran cantidad de datos confidenciales. Si todos los desarrolladores pudieran corregir las vulnerabilidades de seguridad más simples antes de que se produjeran, estaríamos en una posición más segura frente a aquellos que intentan causar graves daños.
¿Te interesa el entrenamiento gamificado? Echa un vistazo a nuestra serie «Programadores conquistan la seguridad» en XSS y inyección SQL.
El investigador de seguridad juvenil Bill Demirkapi reveló las principales vulnerabilidades del software utilizado en las escuelas, lo que sin duda nos recuerda a algo. Recuerdo que, cuando era un niño curioso, abría la tapa del software para espiar lo que había debajo, ver cómo funcionaba... y si podía descifrarlo.
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El último informe del investigador de seguridad juvenil Bill Demirkapi, que expone las principales vulnerabilidades del software utilizado en su escuela, sin duda me ha traído algunos recuerdos. Recuerdo que, cuando era un niño curioso, abría el software para ver cómo funcionaba y, lo que es más importante, si podía descifrarlo. Durante décadas,los ingenieros de software han buscado mejorar y reforzar continuamente sus productos, y la comunidad de seguridad (aunque a veces sus métodos sean un poco descarados) ha desempeñado un papel importante en la detección de fallos y posibles desastres, con la esperanza de hacerlo antes que los malos.
Sin embargo, el problema aquí es que, en respuesta a su descubrimiento, fue suspendido temporalmente de la escuela. Esto ocurrió después de que agotara todas las vías de contacto con la empresa (Freight Company) en privado y, finalmente, optara por realizar una crítica bastante pública para demostrar su identidad y su capacidad para vulnerar el sistema. Intentó repetidamente advertir a Freight Company de forma ética, pero no obtuvo respuesta, y el software seguía siendo vulnerable.una gran cantidad de datos de los estudiantes quedaban expuestos con bastante facilidad, ya que la mayoría de ellos no estaban encriptados.
También descubrió un error en el software de otra empresa: Blackboard. Aunque los datos de Blackboard estaban al menos encriptados, un posible atacante podría haber vuelto a entrar y robar millones de registros. Su escuela usaba este software y productos de Flare.
La descripción de «hacker malicioso» es problemática.
Demir Kapı presentó sus hallazgos en la conferencia DEF CONde este año, y los detalles más divertidos de su actuación se ganaron el aplauso del público.Efectivamente, así es: según se informa, la empresa Folet agradeció sus esfuerzos y siguió sus recomendaciones, lo que finalmente hizo que su software fuera más seguro y evitó que se convirtiera en otra estadística más de fuga de datos, a pesar de que inicialmente se encontraba en desventaja. Tras graduarse en el instituto, también asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un experto en seguridad muy solicitado.
Como profesional de la seguridad, es difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha salido bien, al principio se le tachó de chico molesto que se entrometía donde no le incumbía. En las búsquedas de Google sobre el incidente, hay artículos que lo califican de «hacker» (lo que, para los profanos en materia de seguridad, lo posiciona en muchos aspectos como un villano), cuando en realidad su método (y el de muchos otros) contribuye a proteger la seguridad de nuestros datos.
Necesitamos personas curiosas, inteligentes y preocupadas por la seguridad que profundicen en la situación, y necesitamos investigar con más frecuencia. Hasta julio, más de 4000 millones de registros solo este año han quedado expuestos a fugas de datos maliciosas. Es posible que a esta cifra se sumen otros 50 millones debido a la quiebra en agosto de la marca de moda y estilo de vida Poshmark.
Hemos cometido los mismos errores, y lo que es más preocupante, estos errores suelen ser simples fallos que provocan problemas en la cara y las manos, y nos siguen poniendo en apuros.
El cross-site scripting y la inyección SQL aún no han desaparecido.
Según informes de Cabley Demirkapi, el software de participación comunitaria Blackboards y el sistema de información estudiantil Folletts contienen vulnerabilidades de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL, dos vulnerabilidades que han sido objeto de debate entre los expertos en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, realmente mucho tiempo, al igual que las camisetas Hypercolor y los disquetes, que ahora deberían ser un recuerdo lejano.
Sin embargo, este no es el caso. Es evidente que no hay suficientes desarrolladores que demuestren la concienciación necesaria en materia de seguridad como para evitar introducirlas en su código. Las herramientas de análisis y la revisión manual del código solo pueden ser de gran utilidad, y existen problemas de seguridad mucho más complejos que los inyectados por XSS y SQL, en los que estas medidas costosas y que requieren mucho tiempo pueden aprovecharse mejor.
Personas como Bill Demirkapi deberían motivar a los desarrolladores a crear códigos con estándares más altos. Con solo 17 años, él logró infiltrarse en dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de la entrega del código.
Gamificación: ¿la clave para la participación?
He escrito mucho sobre por qué los desarrolladores prácticamente no participan en cuestiones de seguridad. La respuesta breve es que, tanto a nivel organizativo como educativo, no se ha hecho mucho por formar desarrolladores con conciencia de seguridad. Cuando las empresas dedican tiempo a crear una cultura de seguridad que recompense y reconozca la participación, incluyendo la implementación de formación que hable el lenguaje de los desarrolladores y los motive a seguir intentándolo, esos molestos restos de vulnerabilidades comenzarán a desaparecer del software que utilizamos.
Demirkapi claramente tiene un interés extracurricular por la seguridad y ha dedicado tiempo a aprender cómo realizar ingeniería inversa en malware, descubrir vulnerabilidades y descifrar cosas que aparentemente no están dañadas desde el exterior. Sin embargo, al hablar con él (y a través de su presentación en DEF CON), hizo una declaración interesante sobre su autoaprendizaje... Lo convirtió en un juego:
«El objetivo era encontrar algo en el software de mi escuela, una forma divertida y lúdica de aprender por mi cuenta una gran cantidad de pruebas de penetración. Aunque empecé a investigar con el fin de aprender más, al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
Aunque no todos los desarrolladores desean especializarse en seguridad, todos ellos deberían tener la oportunidad de mejorar su concienciación al respecto, ya que los conocimientos básicos son prácticamente una «licencia de código» dentro de la organización, especialmente para aquellos desarrolladores que controlan gran cantidad de datos confidenciales. Si todos los desarrolladores pudieran corregir las vulnerabilidades de seguridad más simples antes de que se produjeran, estaríamos en una posición más segura frente a aquellos que intentan causar graves daños.
¿Te interesa el entrenamiento gamificado? Echa un vistazo a nuestra serie «Programadores conquistan la seguridad» en XSS y inyección SQL.
El último informe del investigador de seguridad juvenil Bill Demirkapi, que expone las principales vulnerabilidades del software utilizado en su escuela, sin duda me ha traído algunos recuerdos. Recuerdo que, cuando era un niño curioso, abría el software para ver cómo funcionaba y, lo que es más importante, si podía descifrarlo. Durante décadas,los ingenieros de software han buscado mejorar y reforzar continuamente sus productos, y la comunidad de seguridad (aunque a veces sus métodos sean un poco descarados) ha desempeñado un papel importante en la detección de fallos y posibles desastres, con la esperanza de hacerlo antes que los malos.
Sin embargo, el problema aquí es que, en respuesta a su descubrimiento, fue suspendido temporalmente de la escuela. Esto ocurrió después de que agotara todas las vías de contacto con la empresa (Freight Company) en privado y, finalmente, optara por realizar una crítica bastante pública para demostrar su identidad y su capacidad para vulnerar el sistema. Intentó repetidamente advertir a Freight Company de forma ética, pero no obtuvo respuesta, y el software seguía siendo vulnerable.una gran cantidad de datos de los estudiantes quedaban expuestos con bastante facilidad, ya que la mayoría de ellos no estaban encriptados.
También descubrió un error en el software de otra empresa: Blackboard. Aunque los datos de Blackboard estaban al menos encriptados, un posible atacante podría haber vuelto a entrar y robar millones de registros. Su escuela usaba este software y productos de Flare.
La descripción de «hacker malicioso» es problemática.
Demir Kapı presentó sus hallazgos en la conferencia DEF CONde este año, y los detalles más divertidos de su actuación se ganaron el aplauso del público.Efectivamente, así es: según se informa, la empresa Folet agradeció sus esfuerzos y siguió sus recomendaciones, lo que finalmente hizo que su software fuera más seguro y evitó que se convirtiera en otra estadística más de fuga de datos, a pesar de que inicialmente se encontraba en desventaja. Tras graduarse en el instituto, también asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un experto en seguridad muy solicitado.
Como profesional de la seguridad, es difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha salido bien, al principio se le tachó de chico molesto que se entrometía donde no le incumbía. En las búsquedas de Google sobre el incidente, hay artículos que lo califican de «hacker» (lo que, para los profanos en materia de seguridad, lo posiciona en muchos aspectos como un villano), cuando en realidad su método (y el de muchos otros) contribuye a proteger la seguridad de nuestros datos.
Necesitamos personas curiosas, inteligentes y preocupadas por la seguridad que profundicen en la situación, y necesitamos investigar con más frecuencia. Hasta julio, más de 4000 millones de registros solo este año han quedado expuestos a fugas de datos maliciosas. Es posible que a esta cifra se sumen otros 50 millones debido a la quiebra en agosto de la marca de moda y estilo de vida Poshmark.
Hemos cometido los mismos errores, y lo que es más preocupante, estos errores suelen ser simples fallos que provocan problemas en la cara y las manos, y nos siguen poniendo en apuros.
El cross-site scripting y la inyección SQL aún no han desaparecido.
Según informes de Cabley Demirkapi, el software de participación comunitaria Blackboards y el sistema de información estudiantil Folletts contienen vulnerabilidades de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL, dos vulnerabilidades que han sido objeto de debate entre los expertos en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, realmente mucho tiempo, al igual que las camisetas Hypercolor y los disquetes, que ahora deberían ser un recuerdo lejano.
Sin embargo, este no es el caso. Es evidente que no hay suficientes desarrolladores que demuestren la concienciación necesaria en materia de seguridad como para evitar introducirlas en su código. Las herramientas de análisis y la revisión manual del código solo pueden ser de gran utilidad, y existen problemas de seguridad mucho más complejos que los inyectados por XSS y SQL, en los que estas medidas costosas y que requieren mucho tiempo pueden aprovecharse mejor.
Personas como Bill Demirkapi deberían motivar a los desarrolladores a crear códigos con estándares más altos. Con solo 17 años, él logró infiltrarse en dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de la entrega del código.
Gamificación: ¿la clave para la participación?
He escrito mucho sobre por qué los desarrolladores prácticamente no participan en cuestiones de seguridad. La respuesta breve es que, tanto a nivel organizativo como educativo, no se ha hecho mucho por formar desarrolladores con conciencia de seguridad. Cuando las empresas dedican tiempo a crear una cultura de seguridad que recompense y reconozca la participación, incluyendo la implementación de formación que hable el lenguaje de los desarrolladores y los motive a seguir intentándolo, esos molestos restos de vulnerabilidades comenzarán a desaparecer del software que utilizamos.
Demirkapi claramente tiene un interés extracurricular por la seguridad y ha dedicado tiempo a aprender cómo realizar ingeniería inversa en malware, descubrir vulnerabilidades y descifrar cosas que aparentemente no están dañadas desde el exterior. Sin embargo, al hablar con él (y a través de su presentación en DEF CON), hizo una declaración interesante sobre su autoaprendizaje... Lo convirtió en un juego:
«El objetivo era encontrar algo en el software de mi escuela, una forma divertida y lúdica de aprender por mi cuenta una gran cantidad de pruebas de penetración. Aunque empecé a investigar con el fin de aprender más, al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
Aunque no todos los desarrolladores desean especializarse en seguridad, todos ellos deberían tener la oportunidad de mejorar su concienciación al respecto, ya que los conocimientos básicos son prácticamente una «licencia de código» dentro de la organización, especialmente para aquellos desarrolladores que controlan gran cantidad de datos confidenciales. Si todos los desarrolladores pudieran corregir las vulnerabilidades de seguridad más simples antes de que se produjeran, estaríamos en una posición más segura frente a aquellos que intentan causar graves daños.
¿Te interesa el entrenamiento gamificado? Echa un vistazo a nuestra serie «Programadores conquistan la seguridad» en XSS y inyección SQL.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
El último informe del investigador de seguridad juvenil Bill Demirkapi, que expone las principales vulnerabilidades del software utilizado en su escuela, sin duda me ha traído algunos recuerdos. Recuerdo que, cuando era un niño curioso, abría el software para ver cómo funcionaba y, lo que es más importante, si podía descifrarlo. Durante décadas,los ingenieros de software han buscado mejorar y reforzar continuamente sus productos, y la comunidad de seguridad (aunque a veces sus métodos sean un poco descarados) ha desempeñado un papel importante en la detección de fallos y posibles desastres, con la esperanza de hacerlo antes que los malos.
Sin embargo, el problema aquí es que, en respuesta a su descubrimiento, fue suspendido temporalmente de la escuela. Esto ocurrió después de que agotara todas las vías de contacto con la empresa (Freight Company) en privado y, finalmente, optara por realizar una crítica bastante pública para demostrar su identidad y su capacidad para vulnerar el sistema. Intentó repetidamente advertir a Freight Company de forma ética, pero no obtuvo respuesta, y el software seguía siendo vulnerable.una gran cantidad de datos de los estudiantes quedaban expuestos con bastante facilidad, ya que la mayoría de ellos no estaban encriptados.
También descubrió un error en el software de otra empresa: Blackboard. Aunque los datos de Blackboard estaban al menos encriptados, un posible atacante podría haber vuelto a entrar y robar millones de registros. Su escuela usaba este software y productos de Flare.
La descripción de «hacker malicioso» es problemática.
Demir Kapı presentó sus hallazgos en la conferencia DEF CONde este año, y los detalles más divertidos de su actuación se ganaron el aplauso del público.Efectivamente, así es: según se informa, la empresa Folet agradeció sus esfuerzos y siguió sus recomendaciones, lo que finalmente hizo que su software fuera más seguro y evitó que se convirtiera en otra estadística más de fuga de datos, a pesar de que inicialmente se encontraba en desventaja. Tras graduarse en el instituto, también asistirá al Instituto Tecnológico de Rochester, por lo que está claro que va por el buen camino para convertirse en un experto en seguridad muy solicitado.
Como profesional de la seguridad, es difícil no cuestionar la forma en que se ha gestionado esta situación. Aunque en este caso todo ha salido bien, al principio se le tachó de chico molesto que se entrometía donde no le incumbía. En las búsquedas de Google sobre el incidente, hay artículos que lo califican de «hacker» (lo que, para los profanos en materia de seguridad, lo posiciona en muchos aspectos como un villano), cuando en realidad su método (y el de muchos otros) contribuye a proteger la seguridad de nuestros datos.
Necesitamos personas curiosas, inteligentes y preocupadas por la seguridad que profundicen en la situación, y necesitamos investigar con más frecuencia. Hasta julio, más de 4000 millones de registros solo este año han quedado expuestos a fugas de datos maliciosas. Es posible que a esta cifra se sumen otros 50 millones debido a la quiebra en agosto de la marca de moda y estilo de vida Poshmark.
Hemos cometido los mismos errores, y lo que es más preocupante, estos errores suelen ser simples fallos que provocan problemas en la cara y las manos, y nos siguen poniendo en apuros.
El cross-site scripting y la inyección SQL aún no han desaparecido.
Según informes de Cabley Demirkapi, el software de participación comunitaria Blackboards y el sistema de información estudiantil Folletts contienen vulnerabilidades de seguridad comunes, como scripts entre sitios (XSS) e inyección SQL, dos vulnerabilidades que han sido objeto de debate entre los expertos en seguridad desde la década de 1990. Hemos soportado su existencia durante mucho tiempo, realmente mucho tiempo, al igual que las camisetas Hypercolor y los disquetes, que ahora deberían ser un recuerdo lejano.
Sin embargo, este no es el caso. Es evidente que no hay suficientes desarrolladores que demuestren la concienciación necesaria en materia de seguridad como para evitar introducirlas en su código. Las herramientas de análisis y la revisión manual del código solo pueden ser de gran utilidad, y existen problemas de seguridad mucho más complejos que los inyectados por XSS y SQL, en los que estas medidas costosas y que requieren mucho tiempo pueden aprovecharse mejor.
Personas como Bill Demirkapi deberían motivar a los desarrolladores a crear códigos con estándares más altos. Con solo 17 años, él logró infiltrarse en dos sistemas de alto tráfico mediante vectores de amenaza que deberían haber sido detectados y corregidos antes de la entrega del código.
Gamificación: ¿la clave para la participación?
He escrito mucho sobre por qué los desarrolladores prácticamente no participan en cuestiones de seguridad. La respuesta breve es que, tanto a nivel organizativo como educativo, no se ha hecho mucho por formar desarrolladores con conciencia de seguridad. Cuando las empresas dedican tiempo a crear una cultura de seguridad que recompense y reconozca la participación, incluyendo la implementación de formación que hable el lenguaje de los desarrolladores y los motive a seguir intentándolo, esos molestos restos de vulnerabilidades comenzarán a desaparecer del software que utilizamos.
Demirkapi claramente tiene un interés extracurricular por la seguridad y ha dedicado tiempo a aprender cómo realizar ingeniería inversa en malware, descubrir vulnerabilidades y descifrar cosas que aparentemente no están dañadas desde el exterior. Sin embargo, al hablar con él (y a través de su presentación en DEF CON), hizo una declaración interesante sobre su autoaprendizaje... Lo convirtió en un juego:
«El objetivo era encontrar algo en el software de mi escuela, una forma divertida y lúdica de aprender por mi cuenta una gran cantidad de pruebas de penetración. Aunque empecé a investigar con el fin de aprender más, al final descubrí que la situación era mucho peor de lo que esperaba», afirma.
Aunque no todos los desarrolladores desean especializarse en seguridad, todos ellos deberían tener la oportunidad de mejorar su concienciación al respecto, ya que los conocimientos básicos son prácticamente una «licencia de código» dentro de la organización, especialmente para aquellos desarrolladores que controlan gran cantidad de datos confidenciales. Si todos los desarrolladores pudieran corregir las vulnerabilidades de seguridad más simples antes de que se produjeran, estaríamos en una posición más segura frente a aquellos que intentan causar graves daños.
¿Te interesa el entrenamiento gamificado? Echa un vistazo a nuestra serie «Programadores conquistan la seguridad» en XSS y inyección SQL.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior puede ayudar a su organización a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es usted responsable de seguridad de aplicaciones, desarrollador, director de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para ayudarle a empezar
Temas y contenidos de la formación sobre códigos de seguridad
Nuestro contenido líder en el sector está en constante evolución para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Los temas abarcan desde la IA hasta la inyección de XQuery, y son aptos para puestos que van desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo por adelantado a nuestro catálogo de contenidos, ordenados por tema y función.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para ayudarle a empezar
Cybermon ha vuelto: la misión de derrotar al jefe IA ya está disponible bajo demanda.
Cybermon 2025 ya está disponible en SCW durante todo el año. Guerra de seguridad de IA/LLM de alto nivel de la tribu, desarrollo de IA de seguridad reforzada con modelos de gran escala.
Interpretación de la Ley de Resiliencia de la Red: ¿Qué significa lograr la seguridad mediante el diseño del desarrollo de software?
Comprenda los requisitos de la Ley de Resiliencia de las Redes de la Unión Europea (CRA), a quiénes se aplica y cómo los equipos de ingeniería pueden prepararse mediante prácticas de diseño, prevención de vulnerabilidades y desarrollo de capacidades de los desarrolladores.
Factor impulsor 1: Criterios de éxito claros y medibles
El facilitador 1 es el preludio de nuestra serie de 10 partes sobre los impulsores del éxito, que muestra cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y el aumento de la velocidad de maduración de los planes a largo plazo.
