<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Publicaciones de </title><description /><language>es</language><atom:link rel="self" href="https://www.ivanti.com/es/blog/authors/srinivas-mukkamala/rss" /><link>https://www.ivanti.com/es/blog/authors/srinivas-mukkamala</link><item><guid isPermaLink="false">75a326a8-6fdc-4941-95dc-09a510ef428c</guid><link>https://www.ivanti.com/es/blog/security-by-default-the-crucial-complement-to-secure-by-design</link><atom:author><atom:name>Srinivas Mukkamala</atom:name><atom:uri>https://www.ivanti.com/es/blog/authors/srinivas-mukkamala</atom:uri></atom:author><category>Seguridad</category><title>Seguridad por defecto: el complemento esencial de Secure by Design</title><description>&lt;p&gt;Los sistemas de ciberseguridad heredados —muchos diseñados hace más de una década— no tienen en cuenta la nueva generación de capacidades y vulnerabilidades de los atacantes, ni la dependencia de la configuración humana, que es el talón de Aquiles de gran parte del software.&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;Esta nueva realidad se está abordando con el concepto de desarrollo de software denominado seguridad por defecto, un complemento necesario de los principios &lt;a href="https://www.cisa.gov/securebydesign/pledge" rel="noopener" target="_blank"&gt;Secure by Design&lt;/a&gt; establecidos por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA).&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;Los principios Secure by Design hacen hincapié en integrar la seguridad en todo el diseño y desarrollo del software. La seguridad por defecto garantiza que un producto sea seguro de forma inherente desde el primer momento. No se necesita una configuración compleja porque las funciones de seguridad principales, como el registro seguro y la autorización, ya vienen preconfiguradas.&amp;nbsp;&lt;/p&gt;&lt;h2&gt;Las amenazas evolucionan y se aceleran&amp;nbsp;&lt;/h2&gt;&lt;p&gt;Hasta hace poco, la mayoría de los sistemas tenían un «radio de impacto» limitado. Protegidos por cortafuegos, estaban contenidos, de modo que el acceso quedaba restringido a unas pocas personas dentro de una organización. Los atacantes no disponían de un terreno abierto que recorrer en busca de debilidades. No podían automatizar sus ataques, y todo el proceso de ataque —encontrar una vulnerabilidad, convertirla en arma creando un exploit y desplegar el ataque armado— llevaba como mínimo semanas y, a menudo, meses.&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;Esto limitaba no solo la velocidad de los ataques, sino también su escala. Los atacantes tenían que dirigirse a las organizaciones una por una, buscando formas de eludir controles específicos. La tasa global de ataques era baja y, aun cuando se producían, el impacto quedaba relativamente contenido debido al tiempo y al esfuerzo que debían invertir los atacantes.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Relacionado: &lt;a href="https://www.ivanti.com/blog/the-8-best-practices-for-reducing-your-organization-s-attack-surface" target="_blank" rel="noopener"&gt;8&amp;nbsp;prácticas recomendadas para reducir la superficie de ataque en las organizaciones&lt;/a&gt;&lt;/strong&gt;&lt;/p&gt;&lt;p&gt;Cuando hablamos de «un panorama de ciberamenazas en evolución», casi nos quedamos cortos, porque la evolución natural, e incluso la técnica, nunca había sido tan rápida. En solo unos años, se ha transformado en una especie de Thunderdome digital, un escenario que pone en peligro a quienes están insuficientemente protegidos como nunca antes.&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;Esto se debe a que los atacantes han podido aprovechar tres avances clave:&amp;nbsp;&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Los atacantes actuales pueden convertir rápidamente las vulnerabilidades en armas, y las herramientas de inteligencia artificial lo están haciendo aún más fácil. Atrás quedaron los largos periodos de divulgación. Las herramientas de análisis automatizado y los kits de exploits, fácilmente disponibles en la dark web, permiten que incluso atacantes con menos conocimientos técnicos entren en el juego del malware. Los ataques de día cero son una preocupación creciente a medida que los atacantes se vuelven más ágiles a la hora de explotar vulnerabilidades antes de que exista un parche.&amp;nbsp;&lt;/li&gt;&lt;li&gt;La adopción de la nube ha creado una superficie de ataque más amplia, ya que la infraestructura en la nube distribuida dificulta la protección y la supervisión de los datos. El modelo de responsabilidad compartida de la seguridad entre proveedores de nube y usuarios puede dar lugar a vulnerabilidades si se configura incorrectamente o no se comprende por completo. Además, las aplicaciones en la nube suelen depender de API para la comunicación, lo que puede introducir vulnerabilidades si no se protegen adecuadamente.&amp;nbsp;&lt;/li&gt;&lt;li&gt;Las medidas de seguridad tradicionales, como los cortafuegos y los antivirus, no mantienen el ritmo. Los cortafuegos pueden eludirse mediante ingeniería social, mientras que los antivirus tienen dificultades para detectar amenazas de día cero completamente nuevas. El enfoque de seguridad basado en el perímetro ha quedado obsoleto en la era de la nube, donde los principios Secure by Design deben implementarse en toda la infraestructura de TI.&amp;nbsp;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Los atacantes están preparados para buscar puntos débiles o lanzar ataques en cuanto se activa un producto. Por eso, ese producto debe contar con defensas sólidas desde el día cero en el mismo instante en que se enciende y se conecta a la red de una organización.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Relacionado: &lt;a href="https://www.ivanti.com/blog/secure-by-design-principles-are-more-important-than-ever" target="_blank" rel="noopener"&gt;Los principios Secure by Design son más importantes que nunca&lt;/a&gt;&lt;/strong&gt;&lt;/p&gt;&lt;h2&gt;Los tres pilares de la seguridad por defecto&amp;nbsp;&lt;/h2&gt;&lt;p&gt;La correcta ejecución de la seguridad por defecto se basa en tres pilares fundamentales.&amp;nbsp;&lt;/p&gt;&lt;h3&gt;Seguridad shift-left&amp;nbsp;&lt;/h3&gt;&lt;p&gt;&lt;a href="https://www.ivanti.com/glossary/shift-left" target="_blank" rel="noopener"&gt;Shift-left&lt;/a&gt; se centra en detectar vulnerabilidades en las primeras fases del proceso de desarrollo. Los desarrolladores deben escribir código seguro y evitar errores habituales identificados en recursos como OWASP Top 10 (vulnerabilidades de seguridad de aplicaciones web) y CWE Top 25 (debilidades comunes del software).&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;Una analogía es la medicina preventiva, en la que los hábitos saludables y la inoculación pueden proteger a una persona frente a enfermedades. Al centrarse desde el principio en prácticas de codificación segura, los desarrolladores incorporan inmunidad y resiliencia directamente en el software.&amp;nbsp;&lt;/p&gt;&lt;h3&gt;Imposición de configuraciones seguras&amp;nbsp;&lt;/h3&gt;&lt;p&gt;Cuando las personas configuran su nuevo software, los hackers lo celebran. Para eliminar los errores de configuración, los proveedores de software deben imponer configuraciones seguras por defecto. Esto incluye la autenticación multifactor (MFA) o el inicio de sesión único (SSO), así como evitar credenciales codificadas de forma rígida (contraseñas o tokens) o configuraciones predeterminadas con vulnerabilidades ya conocidas por los atacantes.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Imponer configuraciones seguras garantiza una seguridad coherente en todos los despliegues, con independencia de la experiencia del usuario o sus conocimientos técnicos. También simplifica la experiencia de usuario, ya que no tiene que tomar decisiones de configuración.&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;h3&gt;Protección de la cadena de suministro de software&amp;nbsp;&lt;/h3&gt;&lt;p&gt;Al igual que la fabricación en automoción y aeroespacial, el desarrollo de software moderno se ha convertido en una línea de montaje que depende en gran medida de bibliotecas de terceros y código abierto. En el marco de la seguridad por defecto, los desarrolladores deben prestar mucha atención a la seguridad de estos componentes para que no introduzcan vulnerabilidades.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Relacionado: &lt;a href="https://www.ivanti.com/blog/the-secure-by-design-pledge-a-commitment-to-creating-a-safer-digital-future" target="_blank" rel="noopener"&gt;El compromiso Secure by Design: un compromiso para crear un futuro digital más seguro&lt;/a&gt;&lt;/strong&gt;&lt;/p&gt;&lt;h2&gt;Medición de la seguridad por defecto&amp;nbsp;&lt;/h2&gt;&lt;p&gt;Hoy en día, un proveedor puede aprovechar la instrumentación y la telemetría para supervisar el rendimiento de las funciones de seguridad por defecto. Si el producto es local, habilitar la telemetría implicará abrir huecos en un cortafuegos para que los datos salgan de la red del usuario. Si está en la nube, resulta más sencillo permitir que la telemetría vuelva al proveedor.&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;p&gt;En cualquiera de los dos casos, se trata de una cuestión de consentimiento mutuo: el usuario del software debe habilitar la telemetría predeterminada para que el proveedor pueda observar el comportamiento del software y comprobar si se están implementando sus controles de seguridad integrados. Afortunadamente, esto también significa que el usuario no tiene que intervenir para habilitar las funciones de seguridad. Un proveedor puede hacerlo de forma remota si cuenta con el consentimiento del cliente.&amp;nbsp;&lt;/p&gt;&lt;h2&gt;Adelantarse a las amenazas en evolución&lt;/h2&gt;&lt;p&gt;Los profesionales de la ciberseguridad, incluso los que tienen las mejores intenciones y más se esfuerzan, siguen estando a merced de los datos y la información de que disponen. Por ejemplo, las listas tradicionales de vulnerabilidades, como &lt;a href="https://owasp.org/www-project-top-ten/" rel="noopener" target="_blank"&gt;OWASP Top 10&lt;/a&gt; y &lt;a href="https://cwe.mitre.org/top25/index.html" rel="noopener" target="_blank"&gt;CWE Top 25&lt;/a&gt;, son clave para la concienciación en materia de seguridad, pero tienen limitaciones:&amp;nbsp;&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Las actualizaciones de las listas siguen dejando una ventana de vulnerabilidad entre el descubrimiento y la mitigación. Los atacantes aprovechan esta brecha dirigiéndose a vulnerabilidades «atípicas» que aún no figuran en las listas.&amp;nbsp;&lt;/li&gt;&lt;li&gt;Las listas tradicionales se centran en vulnerabilidades conocidas, lo que deja a las organizaciones expuestas a «incógnitas conocidas»: debilidades con potencial de explotación, pero aún no identificadas.&amp;nbsp;&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;&amp;nbsp;Dicho esto, la IA y el aprendizaje automático prometen revolucionar la seguridad por defecto al cerrar estas brechas:&amp;nbsp;&amp;nbsp;&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Los algoritmos de aprendizaje automático pueden analizar grandes volúmenes de datos de seguridad para identificar patrones y predecir posibles vulnerabilidades, incluidas aquellas que aún no aparecen en las listas tradicionales.&amp;nbsp;&amp;nbsp;&lt;/li&gt;&lt;li&gt;Al analizar las tendencias de exploits y el comportamiento del software, el aprendizaje automático puede identificar las debilidades «conocidas desconocidas» con mayor probabilidad de ser explotadas, aunque aún no estén documentadas.&amp;nbsp;&amp;nbsp;&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Incorporación de la IA al SDLC&amp;nbsp;&lt;/h3&gt;&lt;p&gt;La IA y el aprendizaje automático también pueden transformar la forma en que los principios de seguridad por defecto se incorporan a los ciclos de desarrollo de software:&amp;nbsp;&lt;/p&gt;&lt;ul&gt;&lt;li&gt;&amp;nbsp;&lt;strong&gt;Detección automatizada de vulnerabilidades:&lt;/strong&gt; Las herramientas de IA pueden analizar continuamente el código en busca de vulnerabilidades, tanto conocidas como desconocidas, para que puedan abordarse en las primeras fases del SDLC.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Modelado proactivo de seguridad:&lt;/strong&gt; Al analizar patrones de ataque, la IA puede predecir amenazas; esto permite un modelado proactivo de seguridad para crear software con defensas integradas frente a esas amenazas.&amp;nbsp;&lt;/li&gt;&lt;li&gt;&lt;strong&gt;Asistencia inteligente para desarrolladores:&lt;/strong&gt; La IA puede analizar código y hacer sugerencias en tiempo real sobre prácticas de codificación segura a los equipos de desarrollo.&amp;nbsp;&amp;nbsp;&lt;/li&gt;&lt;/ul&gt;&lt;h3&gt;Seguridad por defecto mediante software autorreparable&amp;nbsp;&amp;nbsp;&amp;nbsp;&lt;/h3&gt;&lt;p&gt;Uno de los objetivos de los desarrolladores preocupados por la seguridad por defecto es crear software con la capacidad innata de autoidentificar vulnerabilidades de forma proactiva y corregirlas. Este concepto se inspira en &lt;a href="https://en.wikipedia.org/wiki/Genetic_algorithm" rel="noopener" target="_blank"&gt;algoritmos genéticos&lt;/a&gt; utilizados en fabricación, que permiten a los sistemas autooptimizarse y mejorar con el tiempo.&amp;nbsp;&lt;/p&gt;&lt;p&gt;Esto transformará la «seguridad por defecto» de un concepto estático en una capacidad dinámica, autosupervisada y autorreparable, integrada en el software empresarial. Le dará la capacidad de corregir sus propias vulnerabilidades, frustrar amenazas e incluso informar de nuevos ataques a sus desarrolladores.&amp;nbsp;&lt;/p&gt;&lt;p&gt;&lt;strong&gt;Relacionado: &lt;a href="https://www.ivanti.com/es/webinars/2024/practical-demo-protect-all-endpoints-with-secure-uem-countermeasures"&gt;Demostración práctica: proteja todos los endpoints con contramedidas UEM seguras&lt;/a&gt;&lt;/strong&gt;&lt;/p&gt;&lt;h2&gt;Pasos en la dirección correcta&amp;nbsp;&lt;/h2&gt;&lt;p&gt;No hace mucho, &lt;a href="https://www.ivanti.com/blog/it-s-time-for-digital-privacy-and-safety-to-be-a-government-priority" target="_blank" rel="noopener"&gt;escribí&lt;/a&gt; sobre la necesidad de una «colaboración público-privada en la que la industria y el gobierno se unan para resolver el problema de la seguridad digital». La creación de los principios Secure by Design y los esfuerzos de CISA y de líderes del sector para impulsarlos suponen un gran avance en la creación de esa defensa colaborativa contra las ciberamenazas que se necesita con tanta urgencia.&amp;nbsp;&lt;/p&gt;&lt;p&gt;No obstante, sigue correspondiendo a cada proveedor y desarrollador de software poner estas medidas en práctica. Seguir prácticas de seguridad por defecto desempeña un papel vital en el desarrollo y la entrega de software más seguro, así como en la obtención de una posición de ventaja en la batalla de la ciberseguridad.&amp;nbsp;&lt;/p&gt;</description><pubDate>Fri, 13 Sep 2024 12:00:00 Z</pubDate></item></channel></rss>