Por qué las inyecciones de SQL son las cucarachas del mundo de AppSec (y cómo los CISO pueden erradicarlas de una vez por todas)

Hay una teoría muy conocida de que las cucarachas pueden sobrevivir básicamente a cualquier cosa, incluso a una explosión nuclear. Si bien esa teoría solo es cierta hasta cierto punto, su simple composición corporal las hace extremadamente resistentes para su tamaño y difíciles de erradicar en la mayoría de las condiciones.
He estado pensando... si las cucarachas tuvieran un equivalente en el mundo digital, serían las vulnerabilidades de inyección de SQL (SQLi) en el código. Se trata de una vulnerabilidad conocida desde hace más de veinte años, pero las organizaciones son víctimas de ella una y otra vez. La generalizada, costoso ataque a Target fue el resultado de una inyección de SQL, al igual que una instancia de hackeo electoral en Illinois, donde se expusieron 200 000 registros de votantes, lo que llevó al FBI a recomendar a todos los administradores de TI que trabajaran rápidamente para reforzar sus prácticas de seguridad.
De Imperva Informe de la iniciativa de inteligencia de piratas informáticos reveló que, entre 2005 y 2011, los ataques de SQLi se utilizaron en el 83% de todas las violaciones de datos denunciadas. En la actualidad, las vulnerabilidades por inyección siguen siendo la principal amenaza en el Los 10 mejores de OWASP. Son relativamente simples, pero simplemente no morirán.
Parece ridículo que esta misma vulnerabilidad siga apareciendo en un número significativo de escaneos de seguridad de aplicaciones. Sabemos cómo funciona y sabemos cómo detenerlo. ¿Cómo es posible? La verdad es que la seguridad de nuestro software tiene un enorme margen de mejora.
Veracode's Informe sobre el estado de la seguridad del software - basado en 400 000 escaneos de aplicaciones en 2017», reveló una estadística alarmante: solo el 30% de las aplicaciones superaron la política de las 10 principales de OWASP. Este ha sido un tema recurrente durante los últimos cinco años, ya que las inyecciones de SQL aparecen en casi 1 de cada 3 aplicaciones recién escaneadas. Esto demuestra que se trata de un problema endémico; no estamos aprendiendo de nuestros errores, y los CISO parecen enfrentarse a una ardua batalla para poder adquirir suficiente talento en materia de seguridad. Por lo general, la proporción entre especialistas en AppSec y desarrolladores es inadecuada de 1:100.
¿Por qué la seguridad del software está en soporte vital?
No es ningún secreto que el talento especializado en seguridad es escaso, pero también debemos prestar atención al hecho de que los desarrolladores no solucionan los problemas a medida que surgen y es evidente que están mal preparados para no introducir vulnerabilidades en primer lugar. En el mismo informe de Veracode, se divulgó que solo había mitigaciones documentadas para el 14,4% de todas las vulnerabilidades de desarrollo. En otras palabras, la mayoría de las vulnerabilidades se presentaron sin ninguna mitigación por parte del desarrollo. Menos de un tercio de las vulnerabilidades se cerraron en los primeros 90 días, y el 42% de las vulnerabilidades nunca se cerraron durante el período de desarrollo.
Hablo constantemente con profesionales de la seguridad, CISO y directores ejecutivos y, como dato anecdótico, me he dado cuenta de que muchas empresas se sienten tan frustradas por la cantidad de vulnerabilidades encontradas que no pueden mitigarse (además del flagelo conocido como falsos positivos), que dejan de buscarlas por completo, cruzan los dedos y esperan lo mejor.
¿Por qué los profesionales de AppSec permiten que esto suceda?
No se equivoque: los usuarios de AppSec son muy conscientes de los problemas en el código. Después de todo, esa es una de sus principales habilidades que los convierte en un recurso de equipo tan valioso. Sin embargo, a menudo se ven obstaculizados por varios factores.
Por ejemplo, un administrador de AppSec encontrará un problema y preguntará al desarrollador: «¿puedes arreglar el código?». La respuesta a esta importante pregunta varía de una organización a otra, pero, por lo general, los desarrolladores se esfuerzan tanto por cumplir con los estrictos plazos de entrega de funciones que simplemente no tienen tiempo para solucionar estos problemas ni herramientas decentes que les ayuden. Es posible que los propios profesionales de AppSec sean capaces de identificar las vulnerabilidades, pero con frecuencia no tienen las habilidades o el acceso para subsanarlas en el acto.
También debemos darnos cuenta de que para cada problema hay un proceso en el que es necesario encontrar una solución, implementarla y luego probarla. Incluso para el más mínimo problema que se encuentre en el código, el tiempo que puede llevar solucionarlo, sin mencionar los recursos necesarios, es inmenso. Hay más de 700 vulnerabilidades que se pueden introducir en el software, y es simplemente imposible que una persona pueda defenderse de todas ellas. Por esta razón, la mayoría de las empresas se limitan a seguir únicamente las 10 mejores de OWASP. Mientras tanto, los desarrolladores siguen creando funciones y, a su vez, siguen introduciendo vulnerabilidades en el código que escriben.
¿Cuál es la solución?
El simple hecho es que no proporcionamos a nuestros desarrolladores las herramientas ni la formación necesarias para fomentar el éxito de la codificación segura. No hay ninguna normativa que obligue a las organizaciones a garantizar que los desarrolladores posean las habilidades de seguridad adecuadas, y es una triste realidad que la mayoría de las universidades y pasantías tampoco preparan a los desarrolladores jóvenes para programar de forma segura.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Necesitamos dedicar tiempo a educar a los desarrolladores sobre cómo escribir código seguro. Sin embargo, en el mundo actual, en el que el desarrollo de software es rápido y en el que escasean los buenos desarrolladores y profesionales de la seguridad, nunca parece ser una prioridad. Es hora de cambiar la conversación.
Un titular reciente de Foro Económico Mundial gritaba: «No puede haber economía digital sin seguridad», y el contenido que lo acompañaba argumentaba la necesidad de que la seguridad sea una parte fundamental de cualquier estrategia de transformación digital. «La seguridad es lo que protege a las empresas, permitiéndoles innovar y crear nuevos productos y servicios. Más allá de una función defensiva, la seguridad proporciona a las empresas una ventaja de crecimiento estratégico».
La mejora de las habilidades y los resultados de codificación segura agregará una poderosa capa de ciberprotección para las organizaciones, ayudándolas a crear un código mejor y más rápido. No es necesario que los desarrolladores se conviertan en expertos en seguridad, pero deben estar capacitados de manera positiva y práctica para que sean la primera línea de defensa contra los ciberataques. Los desarrolladores pueden ser los próximos héroes de la seguridad y la innovación. Son personas muy inteligentes, resuelven problemas de forma creativa y, en general, están deseosos de desarrollar sus habilidades. Aproveche sus puntos fuertes con la formación especializada que se merecen y comprométase con un estándar de seguridad de software más alto. Lea nuestro libro blanco para obtener más información.
Cuando alguien quiere volar un avión, hay un proceso muy riguroso que garantiza la formación, la experiencia práctica, los controles médicos, los conocimientos de seguridad y los exámenes antes de poder volar. Nadie se atrevería a imaginar que se quedaría sin esta preparación exhaustiva y la validación de sus habilidades, pero esto es lo que ocurre en el día a día con la escritura de códigos.
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.