Por qué las inyecciones de SQL son las cucarachas del mundo de AppSec (y cómo los CISO pueden erradicarlas de una vez por todas)
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. La generalizada, costoso ataque a Target fue el resultado de una inyección de SQL, al igual que una instancia de hackeo electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
De Imperva Informe de la iniciativa de inteligencia de piratas informáticos reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83% de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Los 10 mejores de OWASP. Son relativamente simples, pero simplemente no morirán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
Veracode's Informe sobre el estado de la seguridad del software - basado en 400 000 escaneos de aplicaciones en 2017», reveló una estadística alarmante: solo el 30% de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4% de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42% de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente de Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. La generalizada, costoso ataque a Target fue el resultado de una inyección de SQL, al igual que una instancia de hackeo electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
De Imperva Informe de la iniciativa de inteligencia de piratas informáticos reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83% de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Los 10 mejores de OWASP. Son relativamente simples, pero simplemente no morirán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
Veracode's Informe sobre el estado de la seguridad del software - basado en 400 000 escaneos de aplicaciones en 2017», reveló una estadística alarmante: solo el 30% de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4% de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42% de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente de Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. La generalizada, costoso ataque a Target fue el resultado de una inyección de SQL, al igual que una instancia de hackeo electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
De Imperva Informe de la iniciativa de inteligencia de piratas informáticos reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83% de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Los 10 mejores de OWASP. Son relativamente simples, pero simplemente no morirán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
Veracode's Informe sobre el estado de la seguridad del software - basado en 400 000 escaneos de aplicaciones en 2017», reveló una estadística alarmante: solo el 30% de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4% de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42% de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente de Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. La generalizada, costoso ataque a Target fue el resultado de una inyección de SQL, al igual que una instancia de hackeo electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
De Imperva Informe de la iniciativa de inteligencia de piratas informáticos reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83% de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Los 10 mejores de OWASP. Son relativamente simples, pero simplemente no morirán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
Veracode's Informe sobre el estado de la seguridad del software - basado en 400 000 escaneos de aplicaciones en 2017», reveló una estadística alarmante: solo el 30% de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4% de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42% de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente de Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
