안전한 코드에 대한 관점

Una vez más, la causa principal del hackeo de Equifax es una vulnerabilidad de una aplicación web. Este tipo de vulnerabilidades existen desde hace más de una década, pero siguen siendo tan relevantes en la actualidad. En primer lugar, se deben proporcionar a cada desarrollador las herramientas necesarias para evitar la introducción de estos problemas mediante la formación y la orientación en tiempo real durante el desarrollo del código.

Equifax dijo que descubrió la brecha el 29 de julio. «Los delincuentes aprovecharon la vulnerabilidad de una aplicación web estadounidense para acceder a ciertos archivos», dijo la empresa.

Leer más: La empresa de informes crediticios Equifax afirma que un incidente de ciberseguridad podría afectar a 143 millones de consumidores estadounidenses

Una versión de este artículo apareció en Expertos en ciberseguridad. Se ha actualizado y distribuido aquí.

‍

La adopción de asistentes de inteligencia artificial, que van desde creadores de código de modelos de lenguaje grande (LLM) hasta sofisticados agentes de inteligencia artificial para agencias, brinda a los desarrolladores de software una gran cantidad de beneficios. Sin embargo, unos hallazgos recientes, corroborados por un nuevo estudio del MIT, advierten: la dependencia excesiva de la IA puede hacer que los usuarios pierdan sus habilidades de pensamiento crítico.

Dado un panorama de software en el que los riesgos de seguridad relacionados con la IA han aumentado al mismo ritmo que la adopción de la IA, esta pérdida de capacidad cognitiva podría conducir a resultados catastróficos. Es un imperativo ético para los desarrolladores y las organizaciones identificar, comprender y mitigar de forma proactiva las vulnerabilidades de seguridad en las primeras etapas del ciclo de vida del desarrollo de software (SDLC). Quienes no cumplen con este deber, que, de manera alarmante, describe a muchas organizaciones en la actualidad, se enfrentan a un aumento igualmente pronunciado de las posibles amenazas a la seguridad, algunas de las cuales son directamente atribuibles a la IA.

El debate no es si se debe usar la IA, ya que los beneficios de productividad y eficiencia son demasiado grandes como para descartarlos. Por el contrario, la verdadera cuestión es cómo aplicarla de la manera más eficaz: salvaguardar la seguridad y, al mismo tiempo, maximizar el crecimiento de la producción. Y lo mejor es que lo hagan desarrolladores expertos en seguridad que entiendan a fondo su código, sin importar dónde se haya originado.

La dependencia excesiva de la IA corre el riesgo de deterioro cognitivo

El estudio realizado por el Media Lab del MIT, publicado a principios de junio, evaluó las funciones cognitivas de 54 estudiantes de cinco universidades del área de Boston mientras escribían un ensayo. Los estudiantes se dividieron en tres grupos: los que utilizaban un modelo lingüístico amplio (LLM), los que utilizaban los motores de búsqueda y los que cursaban estudios a la antigua escuela sin ayuda externa. El equipo de investigación utilizó la electroencefalografía (EEG) para registrar la actividad cerebral de los participantes y evaluar el compromiso cognitivo y la carga cognitiva. El equipo descubrió que el grupo de la vieja escuela, que solo trabajaba con el cerebro, mostraba la actividad neuronal más fuerte y variada, mientras que los que utilizaban motores de búsqueda mostraban una actividad moderada y los que utilizaban un LLM (en este caso, el ChatGPT-4 de OpenAI) mostraban la menor cantidad de actividad cerebral.

Puede que esto no sea particularmente sorprendente; después de todo, cuando contratas una herramienta para que piense por ti, vas a pensar menos. Sin embargo, el estudio también reveló que los usuarios de LLM tenían una conexión más débil con sus trabajos: el 83% de los estudiantes tenía dificultades para recordar el contenido de sus ensayos incluso minutos después de terminarlos, y ninguno de los participantes podía proporcionar citas precisas. En comparación con los demás grupos, faltaba un sentido de pertenencia por parte del autor. Los participantes que solo tenían el cerebro no solo tenían el mayor sentido de propiedad y mostraron la gama más amplia de actividad cerebral, sino que también produjeron los artículos más originales. Los resultados del grupo de maestría fueron más homogéneos y, de hecho, los jueces los identificaron fácilmente como resultado del trabajo de la IA.

Desde el punto de vista de los desarrolladores, el resultado clave es la disminución del pensamiento crítico derivada del uso de la IA. Por supuesto, un solo caso en el que se confíe en la IA no provoque una pérdida de las habilidades de pensamiento esenciales, pero el uso constante a lo largo del tiempo puede provocar que esas habilidades se atrofien. El estudio sugiere una forma de ayudar a mantener vivo el pensamiento crítico mientras se usa la IA (haciendo que la IA ayude al usuario en lugar de que el usuario ayude a la IA), pero el verdadero énfasis debe estar en garantizar que los desarrolladores tengan las habilidades de seguridad que necesitan para crear software seguro y que usen esas habilidades como una parte esencial y rutinaria de su trabajo.

Educación para desarrolladores: esencial para el ecosistema impulsado por la IA

Un estudio como el del MIT no va a detener la adopción de la IA, que está avanzando en todos los sectores. De la Universidad de Stanford Informe sobre el índice de IA de 2025 descubrió que el 78% de las organizaciones informaron haber usado IA en 2024, en comparación con el 55% en 2023. Se espera que ese tipo de crecimiento continúe. Sin embargo, el aumento del uso se refleja en un aumento del riesgo: el informe reveló que los incidentes de ciberseguridad relacionados con la inteligencia artificial aumentaron un 56% en el mismo período.

El informe de Stanford subraya la necesidad vital de gobernanza mejorada de la IA, ya que también descubrió que las organizaciones son laxas a la hora de aplicar las salvaguardias de seguridad. Si bien prácticamente todas las organizaciones reconocen los riesgos de la IA, menos de dos tercios toman medidas al respecto, lo que las hace vulnerables a una serie de amenazas de ciberseguridad y, potencialmente, infringen unos requisitos de cumplimiento normativo cada vez más estrictos.

Si la respuesta no es dejar de usar la IA (cosa que nadie hará), debe ser usarla de manera más segura. El estudio del MIT ofrece una pista útil sobre cómo hacerlo. En una cuarta sesión del estudio, los investigadores dividieron a los usuarios del LLM en dos grupos: los que empezaron el ensayo por su cuenta antes de acudir a ChatGPT en busca de ayuda, conocido en el estudio como el grupo Brain-to-LLM, y los que hicieron que ChatGPT preparara un primer borrador antes de dedicarle su atención personal, conocido como grupo LLM-to-Brain. El grupo Brain-to-LLM, que utilizó herramientas de inteligencia artificial para ayudar a reescribir un ensayo que ya había redactado, mostró una mayor capacidad de memoria y actividad cerebral, con algunas áreas similares a las de los usuarios de los motores de búsqueda. El grupo que pasó del LLM al cerebro, que permitió a la IA iniciar el ensayo, mostró una actividad neuronal menos coordinada y una tendencia a utilizar el vocabulario del LLM.

Un enfoque del cerebro a la LLM puede ayudar a mantener la inteligencia de los usuarios un poco más nítida, pero los desarrolladores también necesitan conocimientos específicos para escribir software de forma segura y evaluar críticamente el código generado por la IA para detectar errores y riesgos de seguridad. Tienen que entender las limitaciones de la IA, incluida su propensión a introducir fallos de seguridad, como vulnerabilidades para inyección rápida ataques.

Esto requiere revisar los programas de seguridad empresarial para garantizar un SDLC centrado en las personas, en el que los desarrolladores reciban una capacitación eficaz, flexible, práctica y continua como parte de una cultura empresarial que prioriza la seguridad. Los desarrolladores deben mejorar continuamente sus habilidades para mantenerse al tanto de las amenazas sofisticadas y en rápida evolución, en particular las impulsadas por el papel destacado de la IA en el desarrollo de software. Esto protege, por ejemplo, contra los cada vez más frecuentes ataques de inyección rápida. Sin embargo, para que esa protección funcione, las organizaciones necesitan una iniciativa impulsada por los desarrolladores que se centre en patrones de diseño seguros y en la modelización de amenazas.

결론

Cuando los LLM o los agentes de agencia hacen el trabajo pesado, los usuarios se convierten en espectadores pasivos. Según los autores del estudio, esto puede llevar a «debilitar las habilidades de pensamiento crítico, a comprender mejor los materiales y a formar una memoria a largo plazo». Un nivel más bajo de compromiso cognitivo también puede reducir las habilidades de toma de decisiones.

Las organizaciones no pueden permitirse la falta de pensamiento crítico en lo que respecta a la ciberseguridad. Y dado que las fallas del software en entornos altamente distribuidos y basados en la nube se han convertido en el principal objetivo de los ciberatacantes, la ciberseguridad comienza por garantizar la seguridad del código, ya sea que lo creen desarrolladores, asistentes de inteligencia artificial o agentes de agencias. A pesar de todo el poder de la IA, las organizaciones necesitan más que nunca habilidades de pensamiento crítico y de resolución de problemas muy perfeccionadas. Y eso no se puede subcontratar a la IA.

Las nuevas capacidades de IA de SCW Trust Agent proporcionan la capacidad de observación y el control profundos que necesita para gestionar con confianza la adopción de la IA en su SDLC sin sacrificar la seguridad. Descubre más.

Los desarrolladores de software han demostrado que están preparados y dispuestos a utilizar la inteligencia artificial (IA) generativa para escribir código y, en general, han obtenido algunos resultados favorables. Pero también hay muchos indicios de que podrían estar jugando a un juego peligroso.

Según un reciente encuesta realizada por GitHub, más del 90% de los desarrolladores estadounidenses utilizan herramientas de codificación de IA, y citan ventajas como tiempos de finalización más rápidos, resolución rápida de los incidentes y un entorno más colaborativo, algo que consideran importante. Trabajar con herramientas de inteligencia artificial permite a los desarrolladores delegar tareas rutinarias, lo que les permite dedicarse a trabajos más creativos que benefician a sus empresas y, no por casualidad, reduce las posibilidades de agotamiento laboral.

Sin embargo, los estudios también han demostrado que las herramientas de IA tienden a introducir defectos al escribir código. UN encuesta de Snyk descubrió que, aunque el 75,8% de los encuestados dijo que el código de IA es más seguro que el código humano, el 56,4% admitió que la IA a veces introduce problemas de codificación. Resulta alarmante que el 80% de los encuestados afirme que elude las políticas de seguridad del código de IA durante el desarrollo.

Desde OpenAI's Chat GPT debutado en noviembre de 2022, el uso de modelos de IA generativa se ha extendido a la velocidad del rayo a lo largo del proceso de desarrollo del código en los servicios financieros, como lo ha hecho en muchos otros campos. La rápida aparición de otros modelos, como Copiloto de GitHub, Codex OpenAI, y un lista creciente de otros, sugiere que solo hemos arañado la superficie de lo que la IA generativa puede hacer y el impacto que puede tener. Sin embargo, para que ese impacto sea positivo, debemos asegurarnos de que el código que genera es seguro.

Los errores de codificación se pueden propagar rápidamente

Ya sea creado por desarrolladores humanos o por modelos de IA, el código va a contienen algunos errores. Dado que la IA ayuda a acelerar el desarrollo de código para satisfacer las demandas cada vez mayores en entornos informáticos altamente distribuidos y basados en la nube, podrían aumentar las probabilidades de que el código incorrecto se propague ampliamente antes de que se detecte.

Los modelos de IA que se están entrenando para escribir código incorporarán miles de ejemplos de código que realizan diversas tareas y, a continuación, pueden basarse en esos ejemplos para crear su propio código. Pero si las muestras con las que está trabajando contienen defectos o vulnerabilidades (ya sea que hayan sido creadas originalmente por un humano o por otra IA), el modelo podría transferir esos defectos a un nuevo entorno.

Considerando la investigación ha demostrado Dado que los modelos de IA no son capaces de reconocer de manera confiable las fallas en el código que utilizan, hay poca defensa integrada contra la propagación de fallas y vulnerabilidades. La IA no solo cometerá errores al programar, sino que repetirá sus propios errores y los de otras fuentes hasta que se identifique la vulnerabilidad en algún momento, tal vez en forma de una violación exitosa de la seguridad de una empresa que utiliza el software que creó.

La verdadera defensa contra la proliferación de errores de codificación es que los humanos y los modelos de IA trabajen juntos. Los desarrolladores humanos deben supervisar la escritura del código de la IA y actuar como contrapeso a las prácticas de codificación inseguras y al código vulnerable. Pero para que eso suceda, los desarrolladores deben estar bien formados en las mejores prácticas de escritura segura de código para que puedan identificar los errores de codificación que podría cometer una IA y corregirlos rápidamente.

Los desafíos de la creación y corrección de códigos de IA

La repentina explosión de grandes modelos lingüísticos (LLM) como ChatGPT ha sido una especie de arma de doble filo. Por un lado, las empresas y los usuarios habituales han registrado enormes aumentos de productividad gracias al uso de la IA para gestionar tareas laboriosas, onerosas o difíciles que consumen mucho tiempo. Por otro lado, hay muchos ejemplos de lo que puede salir mal cuando se confía ciegamente en la IA para que se encargue del trabajo.

Los modelos de IA han creado errores evidentes, demostró sesgo y produjo alucinaciones rotundas. En muchos casos, la raíz del problema eran los datos de capacitación inadecuados o irresponsables. Cualquier modelo de IA es tan bueno como los datos con los que se entrena, por lo que es esencial que los datos de entrenamiento sean exhaustivos y se examinen cuidadosamente. Sin embargo, incluso entonces, se cometerán algunos errores.

El uso de la IA para la codificación se enfrenta a muchos de los mismos obstáculos. Se ha demostrado que el código generado por la IA contiene una serie de defectos, como las vulnerabilidades relacionadas con la creación de secuencias de comandos entre sitios y la inyección de código, así como los ataques específicos de la IA y el aprendizaje automático (ML), como inyección rápida. Los modelos de IA también funcionan en una caja negra porque sus procesos no son transparentes, lo que impide que un equipo de seguridad o desarrollo vea cómo una IA llega a sus conclusiones. Como resultado, el modelo puede repetir los mismos errores una y otra vez. Las mismas deficiencias que pueden afectar a la escritura de código también se aplican al uso de la IA para remediación de código y cumplir con los requisitos de cumplimiento.

La posibilidad de que los modelos de IA creen o repitan fallas ha crecido hasta el punto de que los LLM ahora tienen su propia lista de proyectos abiertos de seguridad de aplicaciones web (OWASP) diez principales vulnerabilidades.

Los desarrolladores y la IA pueden trabajar juntos para crear un código seguro

La preocupación por las posibles fallas en el código generado por la IA podría hacer que algunas organizaciones se detengan, aunque sea brevemente, a la hora de seguir adelante con la tecnología. Sin embargo, los beneficios potenciales son demasiado grandes como para ignorarlos, especialmente a medida que los desarrolladores de IA siguen innovando y mejorando sus modelos. Por ejemplo, es poco probable que el sector de los servicios financieros vuelva a meter la pata en la botella. Los bancos y las empresas de servicios financieros ya están impulsados por la tecnología y operan en un campo en el que siempre buscan una ventaja competitiva.

La clave es implementar modelos de IA de manera que se minimice el riesgo. Y eso significa contar con desarrolladores que sean conscientes de la seguridad y estén bien formados en las mejores prácticas de codificación segura, para que puedan escribir código seguro por sí mismos y supervisar de cerca el código que producen los modelos de IA. Si los motores de inteligencia artificial y los desarrolladores humanos trabajan en estrecha colaboración y los desarrolladores tienen la última palabra, las empresas pueden aprovechar los beneficios de una mayor productividad y eficiencia y, al mismo tiempo, mejorar la seguridad, limitar los riesgos y garantizar el cumplimiento.

Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer la guía Secure Code Warrior, recientemente publicada: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.

‍

‍

Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.

‍

Cómo el aprendizaje ágil con Secure Code Warrior reduce las vulnerabilidades

La educación en seguridad debe evolucionar

Uno de los desafíos a los que se enfrentan los equipos de seguridad en la actualidad es que no hay tiempo suficiente para integrar la codificación segura en las primeras etapas del ciclo de desarrollo. Los líderes de seguridad también deben replantearse el valor que los desarrolladores obtienen de la experiencia de aprendizaje de código seguro y cómo hacer que el programa sea más atractivo y, lo que es más importante, más impactante. Lo último que desea es que su programa de educación sobre seguridad se considere un obstáculo para la productividad. El objetivo de abordar la formación en seguridad para desarrolladores debería, por el contrario, basarse en itinerarios atractivos, integraciones con los flujos de trabajo y una variedad de contenido que ayude a mantener los conceptos, lo que redunde en una reducción de las vulnerabilidades que se introducen.

Al integrar el aprendizaje seguro de código con el flujo de trabajo de los desarrolladores y reducir su carga de tiempo, los desarrolladores pueden ver un gran aumento en su capacidad de codificar de forma más segura y ser más productivos. Secure Code Warrior ha analizado los datos de más de 75 000 desarrolladores que utilizan nuestra plataforma y ha descubierto que el aprendizaje ágil ayuda a los desarrolladores introducir un 53% menos de vulnerabilidades en la base de código.

Esto requiere un cambio de enfoque para que los desarrolladores se entusiasmen con el tema mediante un aprendizaje más práctico e integraciones con sus herramientas y su entorno para impulsar una mayor participación y momentos de microaprendizaje con un gran impacto.

Según Derek Fisher, líder en seguridad de aplicaciones, «Todos estamos bastante familiarizados con la capacitación anual sobre cumplimiento a la que todos estamos sujetos en cualquier organización. Por lo general, es lo que yo llamo «muerte en PowerPoint», un montón de diapositivas y quizás una evaluación al final... simplemente es muy ineficaz y lleva mucho tiempo. Recibimos formación, pero se basaba en el cumplimiento habitual, con una formación específica para la seguridad basada en la grabación de diapositivas y audio. Nos dimos cuenta de que los desarrolladores no estaban muy comprometidos ni aprendían de los materiales, por lo que tuvimos que cambiar nuestra estrategia».

Integre la experiencia de aprendizaje con los flujos de trabajo de sus desarrolladores

La plataforma de Secure Code Warrior incorpora contenido de microrráfagas justo a tiempo al flujo de trabajo diario del desarrollador. Esta integración con las herramientas de seguridad está diseñada para eliminar el cambio de contexto y permitir a los equipos de AppSec crear programas más prescriptivos y atractivos.

Con estos integraciones de devtool y seguridad, puede medir el funcionamiento de su programa de aprendizaje de código seguro haciendo un seguimiento del progreso de los desarrolladores y midiendo los tiempos de respuesta a los tickets, así como observando la reducción de las vulnerabilidades a lo largo del tiempo mediante las herramientas IAST/DAST/SAST.

Estas son tres formas clave en las que Secure Code Warrior puede integrarse con sus herramientas y flujos de trabajo para ayudar a reducir las vulnerabilidades hasta en un 53%

1. Optimice su enfoque

Integre Secure Code Warrior con sus herramientas de escaneo y pruebas con lápiz. Esto le permite correlacionar automáticamente las vulnerabilidades específicas y exponer a los desarrolladores a un contenido de aprendizaje confiable que es necesario para corregirlo. Secure Code Warrior cuenta con integraciones con Synopsys, Snyk, Bugcrowd, Fortify, Contrast y muchos más para ayudar a que su programa se centre en la perfección.

2. Mejore la productividad

Permita que los equipos de desarrollo aprendan mediante desafíos prácticos, laboratorios de codificación y directrices integradas en las tablas de Jira, Gitlab, GitHub y Azure. El aprendizaje se lleva a cabo en minutos, no en horas, sin obstaculizar la productividad de los desarrolladores ni interrumpir su flujo.

2. Amplíe su programa

Reduzca la carga administrativa de un programa de seguridad con las capacidades de SCORM y SCIM diseñadas para la empresa. Integre fácilmente Secure Code Warrior con su LMS y administre automáticamente el aprovisionamiento de usuarios. Habilite el SSO con la integración de Okta.

Reduzca el 53% de las vulnerabilidades en las primeras etapas del SDLC

Es posible corregir las vulnerabilidades mucho antes en el SDLC cambiando el enfoque hacia la escritura de código más seguro desde el principio, cuando cuesta mucho menos arreglarlos. Al analizar el origen de muchas vulnerabilidades, a saber, el código inseguro que los desarrolladores envían a la producción, reducir las vulnerabilidades introducidas puede ayudar a aliviar su deuda tecnológica y reforzar la seguridad.

La reducción significativa de las vulnerabilidades mediante la educación de los desarrolladores no se logra mediante una formación aburrida y estática que interrumpe el flujo de los desarrolladores. Al integrar en tus herramientas el aprendizaje de la plataforma de aprendizaje ágil más flexible del mercado, tus inversiones actuales en seguridad y herramientas de desarrollo adquieren más valor, lo que puede traducirse en una reducción sustancial del 53% de las vulnerabilidades.

Obtenga más consejos de Secure Code Warrior

En nuestra próxima entrada de blog, analizaremos cómo puede crear un programa altamente atractivo que vincule todo con la reducción de riesgos y le permita centrarse en cuál es el impacto material para un programa de codificación segura exitoso.

Secure Code Warrior está aquí para que su organización le ayude a programar de forma segura durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.

Descubra cómo la educación práctica en seguridad puede reducir las vulnerabilidades en un 53%

El desafío al que se enfrentan los equipos de desarrollo en la actualidad

Los desarrolladores están sometidos a una enorme presión para construir más rápido y acelerar los ciclos de producción más que nunca. Esto lleva a que se introduzca un mayor volumen de código en las organizaciones, algunos de los cuales provienen de código abierto, inteligencia artificial u otros terceros. Si bien esto puede ayudar a acelerar la productividad, también aumenta el riesgo de introducir código inseguro en la base de código.

A pesar de la creciente presión para entregar más rápido, un equipo de desarrollo de software reelabora aproximadamente el 26% de su código antes de su lanzamiento. Esto significa que un desarrollador puede dedicar hasta 13,5 horas a la semana únicamente a deudas técnicas. Eso equivale a dedicar más de 700 horas al año a corregir errores del pasado. Las horas de pérdida de productividad pueden ralentizar los ciclos de desarrollo y, lo que es peor, introducir nuevos riesgos en el código a través de atajos y fuentes de terceros. Esto crea un desafío a la hora de equilibrar la presión para publicar código de forma rápida pero también segura.

Según Secure Code Warrior's investigación, el 67% de los desarrolladores admiten que envían código con vulnerabilidades y, con cada nueva línea de código que se escribe cada día, se introducen más y más vulnerabilidades. Hay una forma mejor de abordar esto: integrar la seguridad desde el principio. En este blog, analizaremos cómo los desarrolladores pueden ser la primera línea de defensa para proteger el código y reducir hasta un 53% de las vulnerabilidades de su código mediante el aprendizaje ágil.

Impida que se introduzcan vulnerabilidades

Secure Code Warrior trabaja con más de 600 empresas diferentes para ayudarlas a proteger su código. Nuestros investigadores analizaron los datos del 30% de nuestra base de usuarios (casi 75 000 desarrolladores) y observaron que los desarrolladores que aprenden y aplican prácticas de codificación seguras con Secure Code Warrior introducen un 53% menos de vulnerabilidades en su organización que sus pares. Cuando los desarrolladores dejan de crear nuevas vulnerabilidades, se ganan horas y horas de productividad. Este tiempo se puede dedicar a reducir la acumulación de deudas técnicas o incluso a ofrecer soluciones y funciones nuevas e innovadoras. Las posibilidades se vuelven infinitas cuando la introducción de vulnerabilidades pasa a ser cosa del pasado y puede resultar en una serie de mejoras de eficiencia en el ciclo de vida del desarrollo de software.

¿Cómo pueden los desarrolladores beneficiarse del aprendizaje ágil?

Secure Code Warrior ha integrado principios ágiles en el diseño de nuestra plataforma de aprendizaje para alentar a los desarrolladores para aprender a programar de forma segura practicando. Esto se logra dividiendo lo que solía ser una capacitación de seguridad larga y aburrida en pequeñas microrráfagas de aprendizaje que son interactivas y atractivas.

Secure Code Warrior es la única plataforma de aprendizaje ágil que combina varios formatos de aprendizaje por microrráfagas para que los desarrolladores puedan aprender, probar y aplicar sus conocimientos rápidamente, en el contexto del trabajo real que ya están realizando, en el idioma que elijan.

Con programas personalizables, actividades de aprendizaje práctico de gran impacto e integraciones listas para usar con herramientas para desarrolladores, Secure Code Warrior es la forma más eficaz de enseñar a los desarrolladores a identificar y corregir las vulnerabilidades al principio del SDLC y a evitar que se introduzcan en primer lugar.

Por qué Secure Code Warrior

Secure Code Warrior brinda a sus desarrolladores las habilidades necesarias para escribir código seguro. Nuestra plataforma de aprendizaje es la solución de codificación segura más eficaz porque utiliza métodos de aprendizaje ágiles para que los desarrolladores aprendan, apliquen y conserven los principios de seguridad del software. Más de 600 empresas confían en Secure Code Warrior para implementar programas de formación en seguridad ágiles para aprender a programar con una metodología ágil, ofrecer software seguro rápidamente y crear una cultura de seguridad impulsada por los desarrolladores. ¿Está listo para obtener más información? Solicita una demostración.

Tras el anuncio de financiación de la Serie C, me complace anunciar un paso más en el camino de nuestra empresa. Synopsys, líder del sector de la seguridad, ha dado la bienvenida a una nueva e interesante incorporación a su gama de productos: Capacitación en seguridad para desarrolladores de Synopsys, con tecnología de Secure Code Warrior. Puedes leer el comunicado de prensa completo aquí.

Esta expansión de su cartera líder del sector de soluciones de seguridad de aplicaciones supone un paso positivo en la dirección correcta para los programas de seguridad empresarial, ya que les permite adoptar las metodologías DevSecOps basadas en las mejores prácticas, especialmente las relacionadas con la responsabilidad compartida en materia de seguridad. En pocas palabras, esta integración aumentará la base mundial de desarrolladores expertos en seguridad, y es una magnífica oportunidad para que todas las organizaciones apoyen la reducción de las vulnerabilidades a nivel de código mediante la capacitación de los desarrolladores en la codificación segura.

Los gobiernos de todo el mundo están vigilando cada vez más a los proveedores de software tras algunos de los peores ciberataques de la historia, y la CISA de los Estados Unidos ha publicado sus Pautas de seguridad por diseño y por defecto este año, en el que recomiendan que la responsabilidad final de los resultados de ciberseguridad recaiga en el proveedor y no en el usuario final. Para muchos proveedores de software, esto requerirá una revisión significativa de sus prácticas de seguridad internas, o correrán el riesgo de recibir cuantiosas multas. Esto se convertirá rápidamente en algo innegociable en todo el mundo, y cualquier excusa relacionada con la escasez de habilidades en ciberseguridad no servirá de nada: necesitamos desarrolladores conscientes de la seguridad que desempeñen su papel vital para crear software más seguro, y los necesitamos ahora.

Las soluciones de aprendizaje ágil flexibles y personalizables son un poderoso antídoto contra los patrones de codificación deficientes, además de la experiencia negativa que muchos desarrolladores han tenido con las iniciativas de AppSec hasta la fecha. Hay que convencerlos, darles cabida y ofrecerles itinerarios de aprendizaje que se ajusten a su flujo de trabajo para proporcionarles la información correcta en el momento adecuado. La integración de Synopsy con nuestra plataforma es una solución viable y líder en el mercado para este problema, y puede mejorar radicalmente la relación de los desarrolladores con la seguridad.

La ciberdelincuencia va a costar a las empresas de todo el mundo se estima en 10,5 billones de dólares anuales para 2025, lo que representa un aumento constante con respecto a los 3 billones de dólares de 2015. Cybersecurity Ventures también informa que la ciberdelincuencia representa la «mayor transferencia de riqueza económica de la historia». No se trata de un simulacro; nosotros, como sector colectivo, debemos empezar a dar prioridad a la educación en codificación segura para cada persona que escriba código, y establecer un nuevo punto de referencia en materia de seguridad como medida de la calidad del software. Ahora que el completo conjunto de herramientas de Synopsys incluye un aprendizaje ágil, práctico y atractivo para los desarrolladores, nunca ha habido un mejor momento para hacer un cambio significativo a programas de seguridad preventivos impulsados por los desarrolladores.

7월 13일, 우리는 시리즈 C 자금 조달 라운드를 마감했다고 발표했습니다. 선구적인 조직들이 개발자 커뮤니티의 힘을 활용하여 일반적인 취약점을 무력화할 수 있도록 지원하는 우리의 사명을 위한 다음 단계로 5천만 달러를 조달했습니다.

시장 선도적인 당사의 애자일 학습 도구 세트는 개발자의 안전한 코딩 기술 향상뿐만 아니라, 그들이 업무 방식, 학습 방식, 그리고 기술 향상 기회에 참여하는 방식 측면에서 중간 지점에 도달하도록 하는 데 흔들림 없는 초점을 두고 설계되었습니다. 이번 자금 조달은 당사 놀라운 팀의 작업이 지속될 수 있도록 보장하며, 제품 로드맵에서 달성할 새롭고 흥미로운 이정표들을 마련할 것입니다.

정부 규제로 인해 대부분의 조직에 보안 문화의 근본적인 변화가 필요함을 지적할 때, 개발자 역량 향상을 위한 개선의 길을 조기에 시작하는 기업들의 미래는 어떻게 전망될까요?

위협에 맞서 민첩한 학습으로 유연성을 유지하라

중국 전설적 철학자 공자의 가장 유명한 명언 중 하나는 이렇다: "바람에 휘어지는 푸른 대나무가 폭풍에 부러지는 튼튼한 참나무보다 강하다." 기술이 눈부신 속도로 발전하는 현대(그리고 교활한 사이버 위협이 그 뒤를 바짝 쫓는) 시대에 조직들은 정적인 교육 솔루션으로 시간을 낭비할 여유가 없습니다. 사이버 보안 교재가 인쇄되기 전에 이미 구식이 되는 것은 드문 일이 아니며, 경직된 대면 교육 과정은 보안 문제가 발생할 때마다 최상의 기술과 접근법을 소개하도록 설계되지 않았습니다.

Secure Code Warrior 개발자 보안 교육 분야의 시장 선도 Secure Code Warrior , 민첩한 접근 방식을 통해 개발자를 양성하여 미래의 핵심 엔지니어로 성장시키고 Secure Code Warrior . 개발자 중심의 학습 플랫폼과 도구를 통해 우리는 훨씬 더 유연하게 대응하며, 현재의 위협에 발맞추고 문제가 발생할 때마다 가장 효과적인 해결책을 찾아낼 수 있습니다. 교육 솔루션의 기반이 한 곳에 고정되어 있다면, 개발자 역량 강화라는 바람에 '흔들릴' 수 없을 것입니다. 이는 교육자와 학습자 모두에게 좌절감을 안겨줄 뿐 아니라 취약점 보완이라는 목표 달성에 더욱 실패로 이어질 것입니다.

가트너에 따르면, 2025년까지 대기업의 70%가 민첩한 학습 방식을 채택할 것이다. 마이크로 러닝, 지속적인 개선, 그리고 기업 목표와 가장 관련성 높은 보안 성과 달성에 활용할 수 있는 핵심 지식 창출로의 이러한 전환은 막대한 힘을 지닌다. 그러나 이는 현 상태에 도전할 것을 요구한다. 기업들은 교육적 요구를 일상 업무에 맞추기 위해 노력해야 하며, 기술 향상보다 스트레스 수준만 높이는 것처럼 보이는 추가적이고 단일화된 교육 방식을 도입해서는 안 됩니다.

우리의 역량과 리더십을 확대하여 동급 최고의 민첩한 학습을 제공합니다.

미래의 기업 고객을 위해 동급 최고의 애자일 학습 도구를 제공하기 위한 노력의 일환으로, 최근 리더십 팀 확장을 발표하게 되어 자랑스럽게 생각합니다. 임페르바의 고객 지원 총괄 책임자인 난히 싱(Nanhi Singh)을 이사회 멤버로 임명했으며, 패트릭 콜린스(Patrick Collins)를 새로운 제품 및 기술 총괄 책임자로 임명했습니다.

스마트 기업들은 사이버보안 중심의 실용적 학습에 단일 접근법이 존재하지 않음을 잘 인지하고 있으며, 개발 팀에게 다양한 학습 경로를 제공할 수 있는 역량을 추구합니다. 저희는 민첩한 학습 플랫폼과 지속적인 개선 및 경험 흐름, 특히 코딩 랩스(Coding Labs)를 통한 실시간 피드백 옵션을 통해 매일 이를 실현하며, 가장 매력적이고 확장 가능한 학습 환경을 조성합니다. 저희의 적시 교육 방식은 불필요한 모듈이나 과정에 시간을 낭비하지 않도록 보장하며, 가장 필요한 순간에 정확한 정보를 제공합니다.

이러한 성과는 우리 팀원들의 흔들림 없는 헌신과 투자자들의 지속적인 신뢰 없이는 불가능했을 것입니다. 민첩한 학습의 기회는 무궁무진하며, 앞으로 몇 달간 분명히 귀중한 기여를 해줄 나니와 패트릭을 환영하게 되어 매우 기쁩니다.

Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y distribuido aquí.

‍

Es probable que todos, en algún momento de su carrera, hayan visto uno de esos informes operativos o gráficos jerárquicos que definen quién depende de quién en una organización. A veces simplemente se llama organigrama, es una herramienta útil para que las personas sepan quién trabaja para ellas y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de programación puede depender del director de desarrollo de productos, quien a su vez depende del vicepresidente de innovación. Y luego, las líneas de autoridad suben y bajan en la estructura de la empresa. ¿Quién no ha mirado uno de esos gráficos para intentar encontrar su pequeño bloque personal escondido en algún lugar?

No es de extrañar que los humanos estén tan fascinados por la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo, ya que todos sabían cuál era su lugar y su responsabilidad a la hora de mantener unidos, vivos y prósperos a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una extensión de aquellos tiempos y de ese éxito ancestral.

Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa u otros factores. En su mayor parte, todos los componentes básicos de esos gráficos representan a personas o grupos de personas. No estamos en un punto en el que las máquinas puedan supervisar a los humanos, por lo que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizacional?

Por supuesto, no estoy sugiriendo que agreguemos software a los organigramas de nuestra empresa. Nadie quiere tener una aplicación para un jefe. ¿Cómo les pedirías un aumento? Sin embargo, el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas en estos días no es muy diferente del peligroso entorno al que se enfrentaron nuestros antiguos parientes humanos hace mucho tiempo. Si ayudamos a definir las responsabilidades de nuestras aplicaciones y software dentro de una jerarquía estricta y a hacer cumplir esas políticas con los mínimos privilegios, podemos asegurarnos de que nuestras aplicaciones y software también sobrevivan y prosperen a pesar del panorama de amenazas devastadoramente difícil que se les presenta.

Los ataques a aplicaciones y software alcanzan un máximo histórico

Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante entender primero el panorama de amenazas. Hoy en día, los atacantes, así como los bots y el software basado en la automatización que les funciona, buscan constantemente cualquier error en las defensas para aprovecharlo. Y aunque siguen lanzándose ataques de suplantación de identidad y de otro tipo contra seres humanos, los hackers más hábiles han centrado la mayor parte de sus esfuerzos en atacar el software.

Y mientras todo el software está en el punto de mira, los ataques más exitosos se realizan contra las interfaces de programación de aplicaciones o API. Estas sencillas API son pequeñas piezas de software que utilizan los desarrolladores para realizar una variedad de tareas pequeñas pero importantes para sus aplicaciones y programas. Suelen ser flexibles y únicas y, a veces, incluso se crean sobre la marcha según sea necesario en el proceso de desarrollo.

Las API son ciertamente flexibles, pero también lo son a menudo muy sobreautorizado por sus funciones. Los desarrolladores suelen concederles muchos permisos para que, por ejemplo, puedan seguir funcionando aunque el programa que ayudan a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, obtiene mucho más que solo los derechos de acceso, por ejemplo, a una parte de una base de datos específica. Incluso pueden obtener derechos prácticamente de administrador sobre toda una red.

No es de extrañar que varias firmas de investigación de seguridad digan que la inmensa mayoría de los ataques de robo de credenciales actuales se realizan contra software como las API. Akamai sitúa ese número en 75% del total, mientras que Gartner también afirma que vulnerabilidades relacionadas con las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra los ataques contra las API aumentando casi un 700% en comparación con el año pasado.

Creación de un organigrama para el software

Una de las formas en que las organizaciones luchan contra las amenazas de robo de credenciales es imponiendo el mínimo privilegio o incluso la confianza cero en sus redes. Esto limita a los usuarios a recibir apenas los permisos suficientes para realizar su trabajo o sus tareas. Ese acceso a menudo se ve restringido aún más por factores como la hora y la ubicación. De este modo, aunque un ataque de robo de credenciales tenga éxito, no servirá de mucho al atacante, ya que solo tendrá permiso para realizar funciones limitadas durante un breve período de tiempo.

El mínimo privilegio es una buena defensa, pero normalmente solo se aplica a usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados y, a menudo, no están tan reguladas. Esa es una de las razones control de acceso roto es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de ciberataques.

Es fácil decir que la solución a este problema crítico es simplemente aplicar los privilegios mínimos al software. Pero es mucho más difícil de implementar. En primer lugar, los desarrolladores deben ser conscientes de los peligros. Y luego, de ahora en adelante, las API y otros tipos de software deberían colocarse oficialmente, o al menos imaginarse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si se supone que una API recopila datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay motivo para que también pueda conectarse con los sistemas de nómina o de financiación. En el organigrama del software, no habría líneas directas ni punteadas que conectaran esos sistemas.

Probablemente no sea realista que los desarrolladores creen realmente un organigrama que muestre los miles o incluso millones de API que operan en su organización. Sin embargo, ser conscientes del peligro que representan y restringir sus permisos solo a lo que necesitan para hacer su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta hoy en día. Comienza con la toma de conciencia y termina con tratar las API y el software con el mismo escrutinio que los usuarios humanos.
‍

¿Quieres mejorar tu equipo de desarrollo? Resolver los problemas de seguridad de la API y más con nuestro plataforma de aprendizaje ágil y herramientas de seguridad que dan prioridad a los desarrolladores.

En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, tan solo un fragmento explotable de su código, puede provocar el robo de los datos de los clientes, dañar la reputación y provocar importantes pérdidas financieras. La alineación organizacional en torno a la codificación segura nunca ha sido tan imperiosa, pero lograrlo es más fácil decirlo que hacerlo. Por eso, en 2020, Secure Code Warrior contrató a Evans Data Corp. para llevar a cabo una investigación* primaria sobre las actitudes de los desarrolladores y gerentes hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.

En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.

Cuando preguntamos a los desarrolladores y gerentes sobre las prioridades más críticas en el proceso de desarrollo de software:

• 지정 애플리케이션 성능 76%
• 62%가 기능과 특성을 선택했습니다.
• 그리고 선택된 안전한 코드의 50% 이상
  

Hoy, como podemos ver, la seguridad no es una prioridad crítica.

Sin embargo, de cara al futuro, el panorama cambia drásticamente. Cuando se les pregunta acerca de las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coincide en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores ven la seguridad como el KPI cuya importancia aumentará más.

Sin embargo, a pesar de que la conciencia sobre la codificación segura está aumentando, existen preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los administradores, hacer frente a las vulnerabilidades y hacerse responsables del código es suficiente para mantenerlos despiertos por la noche. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, lo que apunta a la necesidad de una mejor formación en prácticas de codificación seguras.

Preocupaciones y barreras en torno a las prácticas de codificación seguras

개발자들의 주요 우려는 "기존 취약점을 재현하는 코드를 포함하는 것"입니다. 개발자들은 코드 품질로 평가받기 때문에 당연한 일입니다. 어떤 개발자도 불안전한 코드나 수정이 필요해 팀의 업무를 지연시키는 코드의 원인이 되고 싶어 하지 않습니다.

La segunda preocupación más importante para los desarrolladores es lidiar con los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que aprender a usar código seguro sea todo un desafío, lo que refleja la insatisfacción de los desarrolladores con los enfoques de formación actuales.

Los gerentes, por otro lado, tienen una visión más vertical. Su principal preocupación es ser responsables del código incorrecto o del código que reproduce vulnerabilidades anteriores. Después de todo, si su equipo produce un código pésimo, la responsabilidad recae en el gerente.

El hecho de que el proceso de aprendizaje sea desafiante ocupa el tercer lugar: este no es el único obstáculo para las prácticas de codificación seguras.

El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de habilidades de codificación seguras entre los nuevos empleados. Al mismo tiempo, el 40% señaló que el tiempo y los recursos de capacitación eran inadecuados.

Los enfoques actuales de capacitación en código seguro no funcionan, y los gerentes se dan cuenta de que se necesita un nuevo enfoque.

¿Quién es responsable de las prácticas de código seguro?

Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa incorporar activamente la seguridad en el software tal como está escrito, desde el principio, en lugar de dejar esto para más adelante. En otras palabras, «girar a la izquierda». Este «cambio a la izquierda» es la esencia de una práctica de codificación segura. Y significa que, en última instancia, todos los miembros de una organización deben ser responsables de la seguridad del código. Pero ahora mismo, solo el 15% de los desarrolladores está de acuerdo.

Sin embargo, aunque la mayoría de los desarrolladores siguen viendo la seguridad como un problema ajeno, un grupo pequeño pero creciente no solo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que existen personas a las que acudir en su lugar de trabajo. El problema es que estos defensores del código seguro todavía están muy escasos.

Creando más campeones de la seguridad

Los gerentes de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de la seguridad y aumentar las habilidades de codificación segura de los desarrolladores en general.

Muchos gerentes también valoran las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia de codificación segura entre los desarrolladores que ya forman parte de sus equipos.

El 83% de los gerentes encuestados dicen que piden a los desarrolladores que aprendan o adopten prácticas de codificación seguras. Aproximadamente las tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que se dediquen a la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal hasta el aumento de las responsabilidades y el aumento de los salarios.

Está claro que los gerentes de desarrollo tienen una influencia fundamental en la adopción de prácticas de codificación seguras a nivel organizacional, y son fundamentales para detectar a los campeones de la seguridad.

Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender a programar de forma segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.

Entonces, ¿por qué los desarrolladores no presionan para que la formación en código sea más segura? ¿Qué se interpone en su camino para alinearse con una necesidad organizacional cada vez mayor?

Soluciones para empezar a abordar la realineación

개발자들은 강사의 설명을 듣기만 하는 것을 원하지 않으며, 직접 손에 쥐어보고 시험해보고 싶어 합니다. 그들은 실용적인 응용에 집중하기를 원하는데, 이는 현재의 교육 프로그램이 크게 부족한 부분이다. 회사에서 제공하는 교육이 어떻게 개선될 수 있는지 묻자, 응답자의 30%가 교육이 실용적인 응용, 특히 실제 업무 환경에 초점을 맞추기를 원한다고 답했다.

Las prácticas de formación actuales no lo consiguen. Se necesita un nuevo enfoque y, como defensores del cambio, Secure Code Warrior adopta un enfoque dirigido por personas para ayudar a las organizaciones a reorientarse en torno a la codificación segura. Nuestra ciberseguridad Cursos ofrecen itinerarios de aprendizaje guiados que incluyen desafíos de codificación prácticos y «gamificados» que imitan a los que se enfrentan los desarrolladores en el mundo real.

Esta formación es específica para cada idioma: marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.

Cuando se trata de realinear la cultura, Torneos se puede usar para medir las habilidades de seguridad de los programadores, establecer una línea de base para el desarrollo futuro de habilidades y detectar a los posibles campeones de seguridad dentro de su equipo de desarrollo.

Si desea obtener más información sobre la formación en código seguro que alinea las necesidades de los administradores, los desarrolladores y la organización hacia un futuro de codificación segura, reserve una demostración ahora.

*Pasar de la reacción a la prevención: la cara cambiante de la seguridad de las aplicaciones. Secure Code Warrior y Evans Data Corp. 2020