セキュアコードに関する展望

Una vez más, la causa principal del hackeo de Equifax es una vulnerabilidad de una aplicación web. Este tipo de vulnerabilidades existen desde hace más de una década, pero siguen siendo tan relevantes en la actualidad. En primer lugar, se deben proporcionar a cada desarrollador las herramientas necesarias para evitar la introducción de estos problemas mediante la formación y la orientación en tiempo real durante el desarrollo del código.

Equifax dijo que descubrió la brecha el 29 de julio. «Los delincuentes aprovecharon la vulnerabilidad de una aplicación web estadounidense para acceder a ciertos archivos», dijo la empresa.

Leer más: La empresa de informes crediticios Equifax afirma que un incidente de ciberseguridad podría afectar a 143 millones de consumidores estadounidenses

Una versión de este artículo apareció en Expertos en ciberseguridad. Se ha actualizado y distribuido aquí.

‍

La adopción de asistentes de inteligencia artificial, que van desde creadores de código de modelos de lenguaje grande (LLM) hasta sofisticados agentes de inteligencia artificial para agencias, brinda a los desarrolladores de software una gran cantidad de beneficios. Sin embargo, unos hallazgos recientes, corroborados por un nuevo estudio del MIT, advierten: la dependencia excesiva de la IA puede hacer que los usuarios pierdan sus habilidades de pensamiento crítico.

Dado un panorama de software en el que los riesgos de seguridad relacionados con la IA han aumentado al mismo ritmo que la adopción de la IA, esta pérdida de capacidad cognitiva podría conducir a resultados catastróficos. Es un imperativo ético para los desarrolladores y las organizaciones identificar, comprender y mitigar de forma proactiva las vulnerabilidades de seguridad en las primeras etapas del ciclo de vida del desarrollo de software (SDLC). Quienes no cumplen con este deber, que, de manera alarmante, describe a muchas organizaciones en la actualidad, se enfrentan a un aumento igualmente pronunciado de las posibles amenazas a la seguridad, algunas de las cuales son directamente atribuibles a la IA.

El debate no es si se debe usar la IA, ya que los beneficios de productividad y eficiencia son demasiado grandes como para descartarlos. Por el contrario, la verdadera cuestión es cómo aplicarla de la manera más eficaz: salvaguardar la seguridad y, al mismo tiempo, maximizar el crecimiento de la producción. Y lo mejor es que lo hagan desarrolladores expertos en seguridad que entiendan a fondo su código, sin importar dónde se haya originado.

La dependencia excesiva de la IA corre el riesgo de deterioro cognitivo

El estudio realizado por el Media Lab del MIT, publicado a principios de junio, evaluó las funciones cognitivas de 54 estudiantes de cinco universidades del área de Boston mientras escribían un ensayo. Los estudiantes se dividieron en tres grupos: los que utilizaban un modelo lingüístico amplio (LLM), los que utilizaban los motores de búsqueda y los que cursaban estudios a la antigua escuela sin ayuda externa. El equipo de investigación utilizó la electroencefalografía (EEG) para registrar la actividad cerebral de los participantes y evaluar el compromiso cognitivo y la carga cognitiva. El equipo descubrió que el grupo de la vieja escuela, que solo trabajaba con el cerebro, mostraba la actividad neuronal más fuerte y variada, mientras que los que utilizaban motores de búsqueda mostraban una actividad moderada y los que utilizaban un LLM (en este caso, el ChatGPT-4 de OpenAI) mostraban la menor cantidad de actividad cerebral.

Puede que esto no sea particularmente sorprendente; después de todo, cuando contratas una herramienta para que piense por ti, vas a pensar menos. Sin embargo, el estudio también reveló que los usuarios de LLM tenían una conexión más débil con sus trabajos: el 83% de los estudiantes tenía dificultades para recordar el contenido de sus ensayos incluso minutos después de terminarlos, y ninguno de los participantes podía proporcionar citas precisas. En comparación con los demás grupos, faltaba un sentido de pertenencia por parte del autor. Los participantes que solo tenían el cerebro no solo tenían el mayor sentido de propiedad y mostraron la gama más amplia de actividad cerebral, sino que también produjeron los artículos más originales. Los resultados del grupo de maestría fueron más homogéneos y, de hecho, los jueces los identificaron fácilmente como resultado del trabajo de la IA.

Desde el punto de vista de los desarrolladores, el resultado clave es la disminución del pensamiento crítico derivada del uso de la IA. Por supuesto, un solo caso en el que se confíe en la IA no provoque una pérdida de las habilidades de pensamiento esenciales, pero el uso constante a lo largo del tiempo puede provocar que esas habilidades se atrofien. El estudio sugiere una forma de ayudar a mantener vivo el pensamiento crítico mientras se usa la IA (haciendo que la IA ayude al usuario en lugar de que el usuario ayude a la IA), pero el verdadero énfasis debe estar en garantizar que los desarrolladores tengan las habilidades de seguridad que necesitan para crear software seguro y que usen esas habilidades como una parte esencial y rutinaria de su trabajo.

Educación para desarrolladores: esencial para el ecosistema impulsado por la IA

Un estudio como el del MIT no va a detener la adopción de la IA, que está avanzando en todos los sectores. De la Universidad de Stanford Informe sobre el índice de IA de 2025 descubrió que el 78% de las organizaciones informaron haber usado IA en 2024, en comparación con el 55% en 2023. Se espera que ese tipo de crecimiento continúe. Sin embargo, el aumento del uso se refleja en un aumento del riesgo: el informe reveló que los incidentes de ciberseguridad relacionados con la inteligencia artificial aumentaron un 56% en el mismo período.

El informe de Stanford subraya la necesidad vital de gobernanza mejorada de la IA, ya que también descubrió que las organizaciones son laxas a la hora de aplicar las salvaguardias de seguridad. Si bien prácticamente todas las organizaciones reconocen los riesgos de la IA, menos de dos tercios toman medidas al respecto, lo que las hace vulnerables a una serie de amenazas de ciberseguridad y, potencialmente, infringen unos requisitos de cumplimiento normativo cada vez más estrictos.

Si la respuesta no es dejar de usar la IA (cosa que nadie hará), debe ser usarla de manera más segura. El estudio del MIT ofrece una pista útil sobre cómo hacerlo. En una cuarta sesión del estudio, los investigadores dividieron a los usuarios del LLM en dos grupos: los que empezaron el ensayo por su cuenta antes de acudir a ChatGPT en busca de ayuda, conocido en el estudio como el grupo Brain-to-LLM, y los que hicieron que ChatGPT preparara un primer borrador antes de dedicarle su atención personal, conocido como grupo LLM-to-Brain. El grupo Brain-to-LLM, que utilizó herramientas de inteligencia artificial para ayudar a reescribir un ensayo que ya había redactado, mostró una mayor capacidad de memoria y actividad cerebral, con algunas áreas similares a las de los usuarios de los motores de búsqueda. El grupo que pasó del LLM al cerebro, que permitió a la IA iniciar el ensayo, mostró una actividad neuronal menos coordinada y una tendencia a utilizar el vocabulario del LLM.

Un enfoque del cerebro a la LLM puede ayudar a mantener la inteligencia de los usuarios un poco más nítida, pero los desarrolladores también necesitan conocimientos específicos para escribir software de forma segura y evaluar críticamente el código generado por la IA para detectar errores y riesgos de seguridad. Tienen que entender las limitaciones de la IA, incluida su propensión a introducir fallos de seguridad, como vulnerabilidades para inyección rápida ataques.

Esto requiere revisar los programas de seguridad empresarial para garantizar un SDLC centrado en las personas, en el que los desarrolladores reciban una capacitación eficaz, flexible, práctica y continua como parte de una cultura empresarial que prioriza la seguridad. Los desarrolladores deben mejorar continuamente sus habilidades para mantenerse al tanto de las amenazas sofisticadas y en rápida evolución, en particular las impulsadas por el papel destacado de la IA en el desarrollo de software. Esto protege, por ejemplo, contra los cada vez más frecuentes ataques de inyección rápida. Sin embargo, para que esa protección funcione, las organizaciones necesitan una iniciativa impulsada por los desarrolladores que se centre en patrones de diseño seguros y en la modelización de amenazas.

Conclusión

Cuando los LLM o los agentes de agencia hacen el trabajo pesado, los usuarios se convierten en espectadores pasivos. Según los autores del estudio, esto puede llevar a «debilitar las habilidades de pensamiento crítico, a comprender mejor los materiales y a formar una memoria a largo plazo». Un nivel más bajo de compromiso cognitivo también puede reducir las habilidades de toma de decisiones.

Las organizaciones no pueden permitirse la falta de pensamiento crítico en lo que respecta a la ciberseguridad. Y dado que las fallas del software en entornos altamente distribuidos y basados en la nube se han convertido en el principal objetivo de los ciberatacantes, la ciberseguridad comienza por garantizar la seguridad del código, ya sea que lo creen desarrolladores, asistentes de inteligencia artificial o agentes de agencias. A pesar de todo el poder de la IA, las organizaciones necesitan más que nunca habilidades de pensamiento crítico y de resolución de problemas muy perfeccionadas. Y eso no se puede subcontratar a la IA.

Las nuevas capacidades de IA de SCW Trust Agent proporcionan la capacidad de observación y el control profundos que necesita para gestionar con confianza la adopción de la IA en su SDLC sin sacrificar la seguridad. Descubre más.

Los desarrolladores de software han demostrado que están preparados y dispuestos a utilizar la inteligencia artificial (IA) generativa para escribir código y, en general, han obtenido algunos resultados favorables. Pero también hay muchos indicios de que podrían estar jugando a un juego peligroso.

Según un reciente encuesta realizada por GitHub, más del 90% de los desarrolladores estadounidenses utilizan herramientas de codificación de IA, y citan ventajas como tiempos de finalización más rápidos, resolución rápida de los incidentes y un entorno más colaborativo, algo que consideran importante. Trabajar con herramientas de inteligencia artificial permite a los desarrolladores delegar tareas rutinarias, lo que les permite dedicarse a trabajos más creativos que benefician a sus empresas y, no por casualidad, reduce las posibilidades de agotamiento laboral.

Sin embargo, los estudios también han demostrado que las herramientas de IA tienden a introducir defectos al escribir código. UN encuesta de Snyk descubrió que, aunque el 75,8% de los encuestados dijo que el código de IA es más seguro que el código humano, el 56,4% admitió que la IA a veces introduce problemas de codificación. Resulta alarmante que el 80% de los encuestados afirme que elude las políticas de seguridad del código de IA durante el desarrollo.

Desde OpenAI's Chat GPT debutado en noviembre de 2022, el uso de modelos de IA generativa se ha extendido a la velocidad del rayo a lo largo del proceso de desarrollo del código en los servicios financieros, como lo ha hecho en muchos otros campos. La rápida aparición de otros modelos, como Copiloto de GitHub, Codex OpenAI, y un lista creciente de otros, sugiere que solo hemos arañado la superficie de lo que la IA generativa puede hacer y el impacto que puede tener. Sin embargo, para que ese impacto sea positivo, debemos asegurarnos de que el código que genera es seguro.

Los errores de codificación se pueden propagar rápidamente

Ya sea creado por desarrolladores humanos o por modelos de IA, el código va a contienen algunos errores. Dado que la IA ayuda a acelerar el desarrollo de código para satisfacer las demandas cada vez mayores en entornos informáticos altamente distribuidos y basados en la nube, podrían aumentar las probabilidades de que el código incorrecto se propague ampliamente antes de que se detecte.

Los modelos de IA que se están entrenando para escribir código incorporarán miles de ejemplos de código que realizan diversas tareas y, a continuación, pueden basarse en esos ejemplos para crear su propio código. Pero si las muestras con las que está trabajando contienen defectos o vulnerabilidades (ya sea que hayan sido creadas originalmente por un humano o por otra IA), el modelo podría transferir esos defectos a un nuevo entorno.

Considerando la investigación ha demostrado Dado que los modelos de IA no son capaces de reconocer de manera confiable las fallas en el código que utilizan, hay poca defensa integrada contra la propagación de fallas y vulnerabilidades. La IA no solo cometerá errores al programar, sino que repetirá sus propios errores y los de otras fuentes hasta que se identifique la vulnerabilidad en algún momento, tal vez en forma de una violación exitosa de la seguridad de una empresa que utiliza el software que creó.

La verdadera defensa contra la proliferación de errores de codificación es que los humanos y los modelos de IA trabajen juntos. Los desarrolladores humanos deben supervisar la escritura del código de la IA y actuar como contrapeso a las prácticas de codificación inseguras y al código vulnerable. Pero para que eso suceda, los desarrolladores deben estar bien formados en las mejores prácticas de escritura segura de código para que puedan identificar los errores de codificación que podría cometer una IA y corregirlos rápidamente.

Los desafíos de la creación y corrección de códigos de IA

La repentina explosión de grandes modelos lingüísticos (LLM) como ChatGPT ha sido una especie de arma de doble filo. Por un lado, las empresas y los usuarios habituales han registrado enormes aumentos de productividad gracias al uso de la IA para gestionar tareas laboriosas, onerosas o difíciles que consumen mucho tiempo. Por otro lado, hay muchos ejemplos de lo que puede salir mal cuando se confía ciegamente en la IA para que se encargue del trabajo.

Los modelos de IA han creado errores evidentes, demostró sesgo y produjo alucinaciones rotundas. En muchos casos, la raíz del problema eran los datos de capacitación inadecuados o irresponsables. Cualquier modelo de IA es tan bueno como los datos con los que se entrena, por lo que es esencial que los datos de entrenamiento sean exhaustivos y se examinen cuidadosamente. Sin embargo, incluso entonces, se cometerán algunos errores.

El uso de la IA para la codificación se enfrenta a muchos de los mismos obstáculos. Se ha demostrado que el código generado por la IA contiene una serie de defectos, como las vulnerabilidades relacionadas con la creación de secuencias de comandos entre sitios y la inyección de código, así como los ataques específicos de la IA y el aprendizaje automático (ML), como inyección rápida. Los modelos de IA también funcionan en una caja negra porque sus procesos no son transparentes, lo que impide que un equipo de seguridad o desarrollo vea cómo una IA llega a sus conclusiones. Como resultado, el modelo puede repetir los mismos errores una y otra vez. Las mismas deficiencias que pueden afectar a la escritura de código también se aplican al uso de la IA para remediación de código y cumplir con los requisitos de cumplimiento.

La posibilidad de que los modelos de IA creen o repitan fallas ha crecido hasta el punto de que los LLM ahora tienen su propia lista de proyectos abiertos de seguridad de aplicaciones web (OWASP) diez principales vulnerabilidades.

Los desarrolladores y la IA pueden trabajar juntos para crear un código seguro

La preocupación por las posibles fallas en el código generado por la IA podría hacer que algunas organizaciones se detengan, aunque sea brevemente, a la hora de seguir adelante con la tecnología. Sin embargo, los beneficios potenciales son demasiado grandes como para ignorarlos, especialmente a medida que los desarrolladores de IA siguen innovando y mejorando sus modelos. Por ejemplo, es poco probable que el sector de los servicios financieros vuelva a meter la pata en la botella. Los bancos y las empresas de servicios financieros ya están impulsados por la tecnología y operan en un campo en el que siempre buscan una ventaja competitiva.

La clave es implementar modelos de IA de manera que se minimice el riesgo. Y eso significa contar con desarrolladores que sean conscientes de la seguridad y estén bien formados en las mejores prácticas de codificación segura, para que puedan escribir código seguro por sí mismos y supervisar de cerca el código que producen los modelos de IA. Si los motores de inteligencia artificial y los desarrolladores humanos trabajan en estrecha colaboración y los desarrolladores tienen la última palabra, las empresas pueden aprovechar los beneficios de una mayor productividad y eficiencia y, al mismo tiempo, mejorar la seguridad, limitar los riesgos y garantizar el cumplimiento.

Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer la guía Secure Code Warrior, recientemente publicada: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.

‍

‍

Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.

‍

Cómo el aprendizaje ágil con Secure Code Warrior reduce las vulnerabilidades

La educación en seguridad debe evolucionar

Uno de los desafíos a los que se enfrentan los equipos de seguridad en la actualidad es que no hay tiempo suficiente para integrar la codificación segura en las primeras etapas del ciclo de desarrollo. Los líderes de seguridad también deben replantearse el valor que los desarrolladores obtienen de la experiencia de aprendizaje de código seguro y cómo hacer que el programa sea más atractivo y, lo que es más importante, más impactante. Lo último que desea es que su programa de educación sobre seguridad se considere un obstáculo para la productividad. El objetivo de abordar la formación en seguridad para desarrolladores debería, por el contrario, basarse en itinerarios atractivos, integraciones con los flujos de trabajo y una variedad de contenido que ayude a mantener los conceptos, lo que redunde en una reducción de las vulnerabilidades que se introducen.

Al integrar el aprendizaje seguro de código con el flujo de trabajo de los desarrolladores y reducir su carga de tiempo, los desarrolladores pueden ver un gran aumento en su capacidad de codificar de forma más segura y ser más productivos. Secure Code Warrior ha analizado los datos de más de 75 000 desarrolladores que utilizan nuestra plataforma y ha descubierto que el aprendizaje ágil ayuda a los desarrolladores introducir un 53% menos de vulnerabilidades en la base de código.

Esto requiere un cambio de enfoque para que los desarrolladores se entusiasmen con el tema mediante un aprendizaje más práctico e integraciones con sus herramientas y su entorno para impulsar una mayor participación y momentos de microaprendizaje con un gran impacto.

Según Derek Fisher, líder en seguridad de aplicaciones, «Todos estamos bastante familiarizados con la capacitación anual sobre cumplimiento a la que todos estamos sujetos en cualquier organización. Por lo general, es lo que yo llamo «muerte en PowerPoint», un montón de diapositivas y quizás una evaluación al final... simplemente es muy ineficaz y lleva mucho tiempo. Recibimos formación, pero se basaba en el cumplimiento habitual, con una formación específica para la seguridad basada en la grabación de diapositivas y audio. Nos dimos cuenta de que los desarrolladores no estaban muy comprometidos ni aprendían de los materiales, por lo que tuvimos que cambiar nuestra estrategia».

Integre la experiencia de aprendizaje con los flujos de trabajo de sus desarrolladores

La plataforma de Secure Code Warrior incorpora contenido de microrráfagas justo a tiempo al flujo de trabajo diario del desarrollador. Esta integración con las herramientas de seguridad está diseñada para eliminar el cambio de contexto y permitir a los equipos de AppSec crear programas más prescriptivos y atractivos.

Con estos integraciones de devtool y seguridad, puede medir el funcionamiento de su programa de aprendizaje de código seguro haciendo un seguimiento del progreso de los desarrolladores y midiendo los tiempos de respuesta a los tickets, así como observando la reducción de las vulnerabilidades a lo largo del tiempo mediante las herramientas IAST/DAST/SAST.

Estas son tres formas clave en las que Secure Code Warrior puede integrarse con sus herramientas y flujos de trabajo para ayudar a reducir las vulnerabilidades hasta en un 53%

1. Optimice su enfoque

Integre Secure Code Warrior con sus herramientas de escaneo y pruebas con lápiz. Esto le permite correlacionar automáticamente las vulnerabilidades específicas y exponer a los desarrolladores a un contenido de aprendizaje confiable que es necesario para corregirlo. Secure Code Warrior cuenta con integraciones con Synopsys, Snyk, Bugcrowd, Fortify, Contrast y muchos más para ayudar a que su programa se centre en la perfección.

2. Mejore la productividad

Permita que los equipos de desarrollo aprendan mediante desafíos prácticos, laboratorios de codificación y directrices integradas en las tablas de Jira, Gitlab, GitHub y Azure. El aprendizaje se lleva a cabo en minutos, no en horas, sin obstaculizar la productividad de los desarrolladores ni interrumpir su flujo.

2. Amplíe su programa

Reduzca la carga administrativa de un programa de seguridad con las capacidades de SCORM y SCIM diseñadas para la empresa. Integre fácilmente Secure Code Warrior con su LMS y administre automáticamente el aprovisionamiento de usuarios. Habilite el SSO con la integración de Okta.

Reduzca el 53% de las vulnerabilidades en las primeras etapas del SDLC

Es posible corregir las vulnerabilidades mucho antes en el SDLC cambiando el enfoque hacia la escritura de código más seguro desde el principio, cuando cuesta mucho menos arreglarlos. Al analizar el origen de muchas vulnerabilidades, a saber, el código inseguro que los desarrolladores envían a la producción, reducir las vulnerabilidades introducidas puede ayudar a aliviar su deuda tecnológica y reforzar la seguridad.

La reducción significativa de las vulnerabilidades mediante la educación de los desarrolladores no se logra mediante una formación aburrida y estática que interrumpe el flujo de los desarrolladores. Al integrar en tus herramientas el aprendizaje de la plataforma de aprendizaje ágil más flexible del mercado, tus inversiones actuales en seguridad y herramientas de desarrollo adquieren más valor, lo que puede traducirse en una reducción sustancial del 53% de las vulnerabilidades.

Obtenga más consejos de Secure Code Warrior

En nuestra próxima entrada de blog, analizaremos cómo puede crear un programa altamente atractivo que vincule todo con la reducción de riesgos y le permita centrarse en cuál es el impacto material para un programa de codificación segura exitoso.

Secure Code Warrior está aquí para que su organización le ayude a programar de forma segura durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.

Descubra cómo la educación práctica en seguridad puede reducir las vulnerabilidades en un 53%

El desafío al que se enfrentan los equipos de desarrollo en la actualidad

Los desarrolladores están sometidos a una enorme presión para construir más rápido y acelerar los ciclos de producción más que nunca. Esto lleva a que se introduzca un mayor volumen de código en las organizaciones, algunos de los cuales provienen de código abierto, inteligencia artificial u otros terceros. Si bien esto puede ayudar a acelerar la productividad, también aumenta el riesgo de introducir código inseguro en la base de código.

A pesar de la creciente presión para entregar más rápido, un equipo de desarrollo de software reelabora aproximadamente el 26% de su código antes de su lanzamiento. Esto significa que un desarrollador puede dedicar hasta 13,5 horas a la semana únicamente a deudas técnicas. Eso equivale a dedicar más de 700 horas al año a corregir errores del pasado. Las horas de pérdida de productividad pueden ralentizar los ciclos de desarrollo y, lo que es peor, introducir nuevos riesgos en el código a través de atajos y fuentes de terceros. Esto crea un desafío a la hora de equilibrar la presión para publicar código de forma rápida pero también segura.

Según Secure Code Warrior's investigación, el 67% de los desarrolladores admiten que envían código con vulnerabilidades y, con cada nueva línea de código que se escribe cada día, se introducen más y más vulnerabilidades. Hay una forma mejor de abordar esto: integrar la seguridad desde el principio. En este blog, analizaremos cómo los desarrolladores pueden ser la primera línea de defensa para proteger el código y reducir hasta un 53% de las vulnerabilidades de su código mediante el aprendizaje ágil.

Impida que se introduzcan vulnerabilidades

Secure Code Warrior trabaja con más de 600 empresas diferentes para ayudarlas a proteger su código. Nuestros investigadores analizaron los datos del 30% de nuestra base de usuarios (casi 75 000 desarrolladores) y observaron que los desarrolladores que aprenden y aplican prácticas de codificación seguras con Secure Code Warrior introducen un 53% menos de vulnerabilidades en su organización que sus pares. Cuando los desarrolladores dejan de crear nuevas vulnerabilidades, se ganan horas y horas de productividad. Este tiempo se puede dedicar a reducir la acumulación de deudas técnicas o incluso a ofrecer soluciones y funciones nuevas e innovadoras. Las posibilidades se vuelven infinitas cuando la introducción de vulnerabilidades pasa a ser cosa del pasado y puede resultar en una serie de mejoras de eficiencia en el ciclo de vida del desarrollo de software.

¿Cómo pueden los desarrolladores beneficiarse del aprendizaje ágil?

Secure Code Warrior ha integrado principios ágiles en el diseño de nuestra plataforma de aprendizaje para alentar a los desarrolladores para aprender a programar de forma segura practicando. Esto se logra dividiendo lo que solía ser una capacitación de seguridad larga y aburrida en pequeñas microrráfagas de aprendizaje que son interactivas y atractivas.

Secure Code Warrior es la única plataforma de aprendizaje ágil que combina varios formatos de aprendizaje por microrráfagas para que los desarrolladores puedan aprender, probar y aplicar sus conocimientos rápidamente, en el contexto del trabajo real que ya están realizando, en el idioma que elijan.

Con programas personalizables, actividades de aprendizaje práctico de gran impacto e integraciones listas para usar con herramientas para desarrolladores, Secure Code Warrior es la forma más eficaz de enseñar a los desarrolladores a identificar y corregir las vulnerabilidades al principio del SDLC y a evitar que se introduzcan en primer lugar.

Por qué Secure Code Warrior

Secure Code Warrior brinda a sus desarrolladores las habilidades necesarias para escribir código seguro. Nuestra plataforma de aprendizaje es la solución de codificación segura más eficaz porque utiliza métodos de aprendizaje ágiles para que los desarrolladores aprendan, apliquen y conserven los principios de seguridad del software. Más de 600 empresas confían en Secure Code Warrior para implementar programas de formación en seguridad ágiles para aprender a programar con una metodología ágil, ofrecer software seguro rápidamente y crear una cultura de seguridad impulsada por los desarrolladores. ¿Está listo para obtener más información? Solicita una demostración.

Tras el anuncio de financiación de la Serie C, me complace anunciar un paso más en el camino de nuestra empresa. Synopsys, líder del sector de la seguridad, ha dado la bienvenida a una nueva e interesante incorporación a su gama de productos: Capacitación en seguridad para desarrolladores de Synopsys, con tecnología de Secure Code Warrior. Puedes leer el comunicado de prensa completo aquí.

Esta expansión de su cartera líder del sector de soluciones de seguridad de aplicaciones supone un paso positivo en la dirección correcta para los programas de seguridad empresarial, ya que les permite adoptar las metodologías DevSecOps basadas en las mejores prácticas, especialmente las relacionadas con la responsabilidad compartida en materia de seguridad. En pocas palabras, esta integración aumentará la base mundial de desarrolladores expertos en seguridad, y es una magnífica oportunidad para que todas las organizaciones apoyen la reducción de las vulnerabilidades a nivel de código mediante la capacitación de los desarrolladores en la codificación segura.

Los gobiernos de todo el mundo están vigilando cada vez más a los proveedores de software tras algunos de los peores ciberataques de la historia, y la CISA de los Estados Unidos ha publicado sus Pautas de seguridad por diseño y por defecto este año, en el que recomiendan que la responsabilidad final de los resultados de ciberseguridad recaiga en el proveedor y no en el usuario final. Para muchos proveedores de software, esto requerirá una revisión significativa de sus prácticas de seguridad internas, o correrán el riesgo de recibir cuantiosas multas. Esto se convertirá rápidamente en algo innegociable en todo el mundo, y cualquier excusa relacionada con la escasez de habilidades en ciberseguridad no servirá de nada: necesitamos desarrolladores conscientes de la seguridad que desempeñen su papel vital para crear software más seguro, y los necesitamos ahora.

Las soluciones de aprendizaje ágil flexibles y personalizables son un poderoso antídoto contra los patrones de codificación deficientes, además de la experiencia negativa que muchos desarrolladores han tenido con las iniciativas de AppSec hasta la fecha. Hay que convencerlos, darles cabida y ofrecerles itinerarios de aprendizaje que se ajusten a su flujo de trabajo para proporcionarles la información correcta en el momento adecuado. La integración de Synopsy con nuestra plataforma es una solución viable y líder en el mercado para este problema, y puede mejorar radicalmente la relación de los desarrolladores con la seguridad.

La ciberdelincuencia va a costar a las empresas de todo el mundo se estima en 10,5 billones de dólares anuales para 2025, lo que representa un aumento constante con respecto a los 3 billones de dólares de 2015. Cybersecurity Ventures también informa que la ciberdelincuencia representa la «mayor transferencia de riqueza económica de la historia». No se trata de un simulacro; nosotros, como sector colectivo, debemos empezar a dar prioridad a la educación en codificación segura para cada persona que escriba código, y establecer un nuevo punto de referencia en materia de seguridad como medida de la calidad del software. Ahora que el completo conjunto de herramientas de Synopsys incluye un aprendizaje ágil, práctico y atractivo para los desarrolladores, nunca ha habido un mejor momento para hacer un cambio significativo a programas de seguridad preventivos impulsados por los desarrolladores.

7月13日、当社はシリーズC資金調達ラウンドの完了を発表しました。次なるミッション段階に向け、5000万ドルを調達しました。そのミッションとは、最も先進的な組織が開発チームの力を活用し、一般的な脆弱性を阻止する支援をすることです。

当社の市場をリードするアジャイル学習ツール群は、開発者のセキュアコーディングスキル向上だけでなく、彼らの働き方や学び方、スキル向上機会への関与方法において、その道の半ばまで到達させることに揺るぎない焦点を置いて設計されています。今回の資金調達により、当社の素晴らしいチームによる取り組みが継続され、製品ロードマップにおける新たな興味深い目標達成が可能となります。

政府の規制により、大多数の組織にとってセキュリティ文化の抜本的な変革が必要であると指摘される中、開発者のスキル向上への取り組みを遅滞なく早期に開始する企業にとって、その未来はどのように見えているのでしょうか？

脅威に対して柔軟性を維持し、俊敏な学習を実現する

中国の伝説的な哲学者、孔子の最も有名な言葉の一つはこうだ。「風に折れる若草は、嵐に折れる大木よりも強い」。 技術が驚異的な速度で進化する現代（そして陰湿なサイバー脅威が常に一歩遅れて追いかける時代）において、組織は静的な教育ソリューションに時間を浪費する余裕などない。 サイバーセキュリティの教科書が印刷される前に時代遅れになるのは珍しいことではなく、硬直した対面式コースは、新たなセキュリティ問題が浮上するたびに最善の技術やアプローチを伝えるようには設計されていない。

Secure Code Warrior 、開発者向けセキュリティ教育の市場をリードSecure Code Warrior 、アジャイルなアプローチで開発者を育成し、明日の基準となるエンジニアへと変革します。開発者優先の学習プラットフォームとツールにより、私たちはよりダイナミックに活動し、最新の脅威に対応しつつ、問題が発生した際に最も効果的な解決策を見出すことが可能です。 教育ソリューションの基盤が固定化されている場合、開発者スキルの向上において「風向きに応じて柔軟に対応する」ことは困難です。その結果、教育者と学習者の双方にフラストレーションが生じ、脆弱性修正の成功率はさらに低下します。

ガートナーによれば、2025年までに大企業の70％がアジャイルな学習アプローチを採用する見込みだ。マイクロラーニング、継続的改善、そして事業目標達成やセキュリティ成果に直結する中核的知見の創出へと向かうこの変革は、計り知れない可能性を秘めている。ただし、現状に挑戦することが求められる。 企業は、教育ニーズを日常業務に適応させることにコミットすべきであり、スキル向上よりもストレスレベルを高めるだけの追加的で単一的な取り組みを行ってはならない。

当社の能力とリーダーシップを拡大し、業界最高水準のアジャイル学習を提供します

将来の企業顧客に、業界最高のアジャイル学習ツールを提供するという当社の取り組みの一環として、経営陣の拡充を発表できることを誇りに思います。Imperva のカスタマーサービス担当ディレクターである Nanhi Singh を取締役会メンバーに任命するとともに、Patrick Collins を新しい製品・技術担当ディレクターに任命しました。

賢明な企業は、実践的でサイバーセキュリティに焦点を当てた学習に万能なアプローチは存在しないことを深く認識しており、開発チームに複数の学習経路を提供する能力を求めています。当社は、俊敏な学習プラットフォームと絶え間ない改善・体験の継続的な提供（コーディングラボでのリアルタイムフィードバック機能を含む）を通じて、毎日これを実現し、可能な限り魅力的で拡張性の高い学習環境を構築しています。 当社のジャストインタイム方式は、不要なモジュールやコースに時間を浪費することなく、必要な情報を必要なタイミングで確実に提供します。

この成果は、チームメンバーの揺るぎない献身と投資家の皆様の絶え間ない信頼なくしては実現し得ませんでした。アジャイルな学びの機会は無限に広がっており、今後数ヶ月で間違いなく計り知れない貢献をしてくれるであろうナンヒとパトリックを迎えられることに、これ以上ないほど興奮しています。

Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y distribuido aquí.

‍

Es probable que todos, en algún momento de su carrera, hayan visto uno de esos informes operativos o gráficos jerárquicos que definen quién depende de quién en una organización. A veces simplemente se llama organigrama, es una herramienta útil para que las personas sepan quién trabaja para ellas y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de programación puede depender del director de desarrollo de productos, quien a su vez depende del vicepresidente de innovación. Y luego, las líneas de autoridad suben y bajan en la estructura de la empresa. ¿Quién no ha mirado uno de esos gráficos para intentar encontrar su pequeño bloque personal escondido en algún lugar?

No es de extrañar que los humanos estén tan fascinados por la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo, ya que todos sabían cuál era su lugar y su responsabilidad a la hora de mantener unidos, vivos y prósperos a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una extensión de aquellos tiempos y de ese éxito ancestral.

Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa u otros factores. En su mayor parte, todos los componentes básicos de esos gráficos representan a personas o grupos de personas. No estamos en un punto en el que las máquinas puedan supervisar a los humanos, por lo que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizacional?

Por supuesto, no estoy sugiriendo que agreguemos software a los organigramas de nuestra empresa. Nadie quiere tener una aplicación para un jefe. ¿Cómo les pedirías un aumento? Sin embargo, el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas en estos días no es muy diferente del peligroso entorno al que se enfrentaron nuestros antiguos parientes humanos hace mucho tiempo. Si ayudamos a definir las responsabilidades de nuestras aplicaciones y software dentro de una jerarquía estricta y a hacer cumplir esas políticas con los mínimos privilegios, podemos asegurarnos de que nuestras aplicaciones y software también sobrevivan y prosperen a pesar del panorama de amenazas devastadoramente difícil que se les presenta.

Los ataques a aplicaciones y software alcanzan un máximo histórico

Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante entender primero el panorama de amenazas. Hoy en día, los atacantes, así como los bots y el software basado en la automatización que les funciona, buscan constantemente cualquier error en las defensas para aprovecharlo. Y aunque siguen lanzándose ataques de suplantación de identidad y de otro tipo contra seres humanos, los hackers más hábiles han centrado la mayor parte de sus esfuerzos en atacar el software.

Y mientras todo el software está en el punto de mira, los ataques más exitosos se realizan contra las interfaces de programación de aplicaciones o API. Estas sencillas API son pequeñas piezas de software que utilizan los desarrolladores para realizar una variedad de tareas pequeñas pero importantes para sus aplicaciones y programas. Suelen ser flexibles y únicas y, a veces, incluso se crean sobre la marcha según sea necesario en el proceso de desarrollo.

Las API son ciertamente flexibles, pero también lo son a menudo muy sobreautorizado por sus funciones. Los desarrolladores suelen concederles muchos permisos para que, por ejemplo, puedan seguir funcionando aunque el programa que ayudan a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, obtiene mucho más que solo los derechos de acceso, por ejemplo, a una parte de una base de datos específica. Incluso pueden obtener derechos prácticamente de administrador sobre toda una red.

No es de extrañar que varias firmas de investigación de seguridad digan que la inmensa mayoría de los ataques de robo de credenciales actuales se realizan contra software como las API. Akamai sitúa ese número en 75% del total, mientras que Gartner también afirma que vulnerabilidades relacionadas con las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra los ataques contra las API aumentando casi un 700% en comparación con el año pasado.

Creación de un organigrama para el software

Una de las formas en que las organizaciones luchan contra las amenazas de robo de credenciales es imponiendo el mínimo privilegio o incluso la confianza cero en sus redes. Esto limita a los usuarios a recibir apenas los permisos suficientes para realizar su trabajo o sus tareas. Ese acceso a menudo se ve restringido aún más por factores como la hora y la ubicación. De este modo, aunque un ataque de robo de credenciales tenga éxito, no servirá de mucho al atacante, ya que solo tendrá permiso para realizar funciones limitadas durante un breve período de tiempo.

El mínimo privilegio es una buena defensa, pero normalmente solo se aplica a usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados y, a menudo, no están tan reguladas. Esa es una de las razones control de acceso roto es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de ciberataques.

Es fácil decir que la solución a este problema crítico es simplemente aplicar los privilegios mínimos al software. Pero es mucho más difícil de implementar. En primer lugar, los desarrolladores deben ser conscientes de los peligros. Y luego, de ahora en adelante, las API y otros tipos de software deberían colocarse oficialmente, o al menos imaginarse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si se supone que una API recopila datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay motivo para que también pueda conectarse con los sistemas de nómina o de financiación. En el organigrama del software, no habría líneas directas ni punteadas que conectaran esos sistemas.

Probablemente no sea realista que los desarrolladores creen realmente un organigrama que muestre los miles o incluso millones de API que operan en su organización. Sin embargo, ser conscientes del peligro que representan y restringir sus permisos solo a lo que necesitan para hacer su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta hoy en día. Comienza con la toma de conciencia y termina con tratar las API y el software con el mismo escrutinio que los usuarios humanos.
‍

¿Quieres mejorar tu equipo de desarrollo? Resolver los problemas de seguridad de la API y más con nuestro plataforma de aprendizaje ágil y herramientas de seguridad que dan prioridad a los desarrolladores.

En nuestro mundo hiperconectado, casi todas las organizaciones comparten un talón de Aquiles común. Una sola vulnerabilidad, tan solo un fragmento explotable de su código, puede provocar el robo de los datos de los clientes, dañar la reputación y provocar importantes pérdidas financieras. La alineación organizacional en torno a la codificación segura nunca ha sido tan imperiosa, pero lograrlo es más fácil decirlo que hacerlo. Por eso, en 2020, Secure Code Warrior contrató a Evans Data Corp. para llevar a cabo una investigación* primaria sobre las actitudes de los desarrolladores y gerentes hacia la codificación segura, las prácticas de código seguro y las operaciones de seguridad.

En este entorno en el que la ciberseguridad es primordial, los KPI tradicionales para el éxito de los proyectos se están redefiniendo, pero no con la suficiente rapidez.

Cuando preguntamos a los desarrolladores y gerentes sobre las prioridades más críticas en el proceso de desarrollo de software:

• アプリケーションの公称性能：76%
• 62％が機能と特徴を選択した
• そして、選択されたセキュアコードの50％強
  

Hoy, como podemos ver, la seguridad no es una prioridad crítica.

Sin embargo, de cara al futuro, el panorama cambia drásticamente. Cuando se les pregunta acerca de las prioridades futuras más importantes para medir el éxito de los proyectos, el 79% de los desarrolladores coincide en que la codificación segura será cada vez más crítica. De hecho, los desarrolladores ven la seguridad como el KPI cuya importancia aumentará más.

Sin embargo, a pesar de que la conciencia sobre la codificación segura está aumentando, existen preocupaciones en torno a su adopción. Tanto para los desarrolladores como para los administradores, hacer frente a las vulnerabilidades y hacerse responsables del código es suficiente para mantenerlos despiertos por la noche. Nuestra investigación* mostró que ambos grupos comparten el mismo conjunto básico de preocupaciones, lo que apunta a la necesidad de una mejor formación en prácticas de codificación seguras.

Preocupaciones y barreras en torno a las prácticas de codificación seguras

開発者の主な懸念は「過去の脆弱性を再現するコードを含めること」である。開発者はコードの品質で評価されるため、これは当然のことだ。開発者は誰も、安全でないコードや修正を必要としチームを遅延させるコードの源となることを望まない。

La segunda preocupación más importante para los desarrolladores es lidiar con los errores introducidos por los compañeros de trabajo. El cumplimiento de los plazos y la responsabilidad por el código también ocupan un lugar destacado en la lista, al igual que el hecho de que aprender a usar código seguro sea todo un desafío, lo que refleja la insatisfacción de los desarrolladores con los enfoques de formación actuales.

Los gerentes, por otro lado, tienen una visión más vertical. Su principal preocupación es ser responsables del código incorrecto o del código que reproduce vulnerabilidades anteriores. Después de todo, si su equipo produce un código pésimo, la responsabilidad recae en el gerente.

El hecho de que el proceso de aprendizaje sea desafiante ocupa el tercer lugar: este no es el único obstáculo para las prácticas de codificación seguras.

El 45% identificó la falta de comunicación entre las partes interesadas y la dirección como un obstáculo importante. El 42% lamenta la falta de habilidades de codificación seguras entre los nuevos empleados. Al mismo tiempo, el 40% señaló que el tiempo y los recursos de capacitación eran inadecuados.

Los enfoques actuales de capacitación en código seguro no funcionan, y los gerentes se dan cuenta de que se necesita un nuevo enfoque.

¿Quién es responsable de las prácticas de código seguro?

Por su propia naturaleza, la práctica de la codificación segura significa considerar la seguridad mucho antes en el SDLC. Significa incorporar activamente la seguridad en el software tal como está escrito, desde el principio, en lugar de dejar esto para más adelante. En otras palabras, «girar a la izquierda». Este «cambio a la izquierda» es la esencia de una práctica de codificación segura. Y significa que, en última instancia, todos los miembros de una organización deben ser responsables de la seguridad del código. Pero ahora mismo, solo el 15% de los desarrolladores está de acuerdo.

Sin embargo, aunque la mayoría de los desarrolladores siguen viendo la seguridad como un problema ajeno, un grupo pequeño pero creciente no solo adopta activamente la codificación segura, sino que la defiende dentro de su organización. El 29% de los desarrolladores encuestados está de acuerdo en que existen personas a las que acudir en su lugar de trabajo. El problema es que estos defensores del código seguro todavía están muy escasos.

Creando más campeones de la seguridad

Los gerentes de desarrollo son conscientes de la necesidad de identificar y crear nuevos campeones de la seguridad y aumentar las habilidades de codificación segura de los desarrolladores en general.

Muchos gerentes también valoran las habilidades de codificación segura cuando contratan a nuevos desarrolladores y valoran la experiencia de codificación segura entre los desarrolladores que ya forman parte de sus equipos.

El 83% de los gerentes encuestados dicen que piden a los desarrolladores que aprendan o adopten prácticas de codificación seguras. Aproximadamente las tres cuartas partes de los directivos encuestados afirman que ofrecen incentivos a los desarrolladores para que se dediquen a la formación sobre código seguro. Estos incentivos van desde el reconocimiento formal hasta el aumento de las responsabilidades y el aumento de los salarios.

Está claro que los gerentes de desarrollo tienen una influencia fundamental en la adopción de prácticas de codificación seguras a nivel organizacional, y son fundamentales para detectar a los campeones de la seguridad.

Pero cuando se trata de crear más de estos campeones, ¿qué motiva a los desarrolladores a aprender a programar de forma segura? Nuestra investigación muestra que lo ven como un medio para aumentar su productividad y eficiencia.

Entonces, ¿por qué los desarrolladores no presionan para que la formación en código sea más segura? ¿Qué se interpone en su camino para alinearse con una necesidad organizacional cada vez mayor?

Soluciones para empezar a abordar la realineación

開発者は座って講師の話を聞くだけでは満足せず、自ら物事を手に入れ、実際に試してみたいと考えています。 彼らは実践的な応用に焦点を当てたいと考えており、これは現在の研修プログラムが著しく不足している点である。企業による研修の改善点を尋ねたところ、回答者の30％が「研修は実践的な応用、特に実際の職場環境での応用を中心にすべきだ」と回答した。

Las prácticas de formación actuales no lo consiguen. Se necesita un nuevo enfoque y, como defensores del cambio, Secure Code Warrior adopta un enfoque dirigido por personas para ayudar a las organizaciones a reorientarse en torno a la codificación segura. Nuestra ciberseguridad Cursos ofrecen itinerarios de aprendizaje guiados que incluyen desafíos de codificación prácticos y «gamificados» que imitan a los que se enfrentan los desarrolladores en el mundo real.

Esta formación es específica para cada idioma: marco, a diferencia de la formación genérica, que a menudo entra por un oído y sale por el otro.

Cuando se trata de realinear la cultura, Torneos se puede usar para medir las habilidades de seguridad de los programadores, establecer una línea de base para el desarrollo futuro de habilidades y detectar a los posibles campeones de seguridad dentro de su equipo de desarrollo.

Si desea obtener más información sobre la formación en código seguro que alinea las necesidades de los administradores, los desarrolladores y la organización hacia un futuro de codificación segura, reserve una demostración ahora.

*Pasar de la reacción a la prevención: la cara cambiante de la seguridad de las aplicaciones. Secure Code Warrior y Evans Data Corp. 2020