Seguridad del Software: Proteja su negocio de ciberataques

Aunque los riesgos asociados con las ciberamenazas son motivo sobrado para instrumentar soluciones de software security o seguridad del software, hay razones ligadas a la creación, desarrollo y concesión de licencias de software igualmente importantes.

Garantizar que nuestro software es resistente ante los embates de las ciberamenazas, involucra la puesta en juego de estrategias prácticas que van en conjunto con la ciberseguridad, tales como:

• Codificación segura.
• Prácticas DevSecOps (desarrollo, seguridad y operaciones) para el desarrollo de software o de aplicaciones.
• Pruebas de seguridad continuas.
• Identificación y priorización de vulnerabilidades.

En tanto, la visión integral de buenas prácticas para seguridad del software inicia en la etapa de diseño o creación, donde los desarrolladores incorporan funciones para evitar el pirateo o manipulación de los programas.

El concepto de seguridad del software está relacionado con las medidas implementadas para la protección de las aplicaciones y sistemas de software ante los intentos de acceso no autorizados, violaciones de datos y ciberataques.

Requiere de acciones para identificar y mitigar vulnerabilidades en el software, garantizando así su integridad, confidencialidad y disponibilidad.

Seguridad del Software: Pilar fundamental para la protección de datos en México

En México, la creciente adopción de tecnologías digitales y la creciente conciencia sobre la protección de datos personales aumenta la importancia de garantizar la seguridad del software.

Normativas como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y la Norma Oficial Mexicana NOM-151 establecen los requisitos legales para la protección de datos personales.

Estas regulaciones obligan a las organizaciones a implementar medidas de seguridad robustas para proteger la información de sus clientes y empleados.

La seguridad del software juega un papel fundamental en el cumplimiento de estas normativas, ya que proporciona los mecanismos necesarios para garantizar la integridad, confidencialidad y disponibilidad de los datos.

El incumplimiento de estas normativas puede tener graves consecuencias para las organizaciones, incluyendo:

• Multas económicas significativas
• Pérdida de reputación y daños a la marca
• Los ciberataques pueden causar interrupciones en las operaciones comerciales
• Pérdidas financieras
• Exposición de información confidencial

Para garantizar la seguridad del software, las organizaciones deben adoptar una serie de medidas, como:

• Realizar evaluaciones de riesgos regulares
• Implementar controles de acceso
• Cifrar los datos
• Realizar copias de seguridad
• Mantener actualizado el software

Asimismo, es fundamental contar con un plan de respuesta a incidentes para actuar de manera rápida y eficaz en caso de un ciberataque.

La seguridad del software no es solo una cuestión técnica, sino también una responsabilidad de toda la organización. Al invertir en seguridad, las empresas pueden proteger sus activos más valiosos y construir una mayor confianza con sus clientes.

Importancia de la seguridad del software

El enfoque integral que tomamos como punto de partida es el correspondiente al desarrollo de software seguro, destinado a la creación de programas informáticos y aplicaciones.

Su importancia radica en minimizar vulnerabilidades y proteger los datos de los usuarios.

Sin dejar a un lado todo lo relacionado con riesgos y amenazas que atacan el software en su carácter de elemento central en los entornos informáticos.

Protección de datos sensibles

Datos sensibles son aquellos datos personales de carácter privado, que corresponden al ámbito íntimo de su titular.

Para una mejor comprensión de las diferencias entre datos personales y datos sensibles, tenemos que los primeros son aquellos que permiten identificar a un individuo en particular (nombre, domicilio, edad, registro de seguridad social)

En tanto que los datos sensibles corresponden a información privada, muy personal, que deben permanecer restringidos.

Se entiende que su tratamiento sólo puede darse bajo consentimiento del titular, por motivos legales.

Otras denominaciones para los datos sensibles son: datos personales confidenciales, o bien, datos personales sensibles.

¿Qué se consideran datos sensibles?

De acuerdo con los lineamientos de la Comisión Europea (quien lidera a nivel mundial la legislación y reglamentación al respecto), los siguientes son datos sensibles:

• Datos genéticos y/o datos biométricos tratados únicamente para identificar un ser humano.
• Datos relacionados con la salud.
• Datos relacionados con la vida o la orientación sexual de una persona.
• Datos personales que revelen el origen racial o étnico
• Las opiniones políticas, las convicciones religiosas o filosóficas.

En América Latina, las medidas de protección y uso de datos sensibles difieren de país en país.

Para México, la definición de datos personales sensibles se encuentra en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).

Esta Ley a la letra dice:

“Aquellos datos personales que afectan a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste”.

“En México, se consideran como datos sensibles aquellos que puedan revelar aspectos como estado de salud presente y futuro, origen racial o étnico, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.”

Conocer sobre gestión documental y protección de datos en México ayudará para saber clasificar los archivos y cumplir con la ley.

Prevención de ataques cibernéticos

Los ataques cibernéticos, las ciberamenazas, buscan la vulneración del software en cualquiera de sus muchas expresiones.

Las políticas preventivas que cada organización sea capaz de implementar se convierten en su escudo protector.

Conciencia sobre ciberseguridad

Generar conciencia y capacitar periódicamente a los colaboradores acerca de la ciberseguridad en México es un primer gran paso en materia de prevención.

En ocasiones, esta clase de educación se considera prescindible o poco relevante. Sin embargo, es la vía para desactivar la probabilidad de éxito de la ingeniería social.

Copias de seguridad

Cifrado y copias de seguridad de los datos, particularmente de los confidenciales.

Ambas acciones forman parte de una medida preventiva sólida que limita los daños derivados de un ciberataque.

Verificar email y URL

Verificar las direcciones de eMail y los vínculos antes de activarlos, sobre todo si demandan envíos de información sensible o confidencial.

Como dice una recomendación coloquial “si algo parece extraño, es probable que lo sea”.

Revisar derechos de administrador y privilegios

Restricción en los derechos de administrador y aplicación del mecanismo de privilegios mínimos son dos tipos de políticas internas.

Combinar estas dos políticas disminuyen los riesgos de hackeo al mismo tiempo que limitan los permisos de ejecución de software o aplicaciones.

Actualización del software

Actualización constante del software, los sistemas operativos y los dispositivos para mantener un entorno informático robusto, con mínimas posibilidades de ser vulnerado.

Auditorías y simulacros

Auditorías periódicas para comprobar software, sistemas y servidores, integridad de las copias de seguridad, simulación de procesos de recuperación, políticas de ciberseguridad, así como eliminación de software no utilizado.

Reforzar contraseñas y autenticación multifactor

Política de contraseñas basadas en mejores prácticas, de carácter obligatorio, que de preferencia incluya la autenticación multifactor, uso de frases a manera de contraseñas, bloqueo de accesos luego de intentos fallidos y protección de redes WiFi mediante contraseñas.

Firewall y endpoints

Instalación de firewall y protección de endpoints. En el caso del firewall, para impedir los ataques llamados de fuerza bruta antes de que provoquen daños al sistema.

En cuanto a los dispositivos endpoints, ya sea en red o cloud (tabletas, portátiles, móviles o de escritorio), mediante software de seguridad.

Mantenimiento de la reputación de la empresa

El buen nombre o capital reputacional de una organización es un bien intangible de gran valor. Lleva implícitas características como la confianza y la credibilidad.

Cualquier ataque informático, que por definición altera la integridad, disponibilidad y confidencialidad de los sistemas, daña la seguridad del software, lo que a su vez impacta en la reputación.

Entonces, no es únicamente aplicar buenas prácticas de seguridad en la configuración tanto del software como de los dispositivos físicos, también se requiere de generar código seguro en la creación y desarrollo de dicho software, así como proteger las conexiones e interacciones en internet.

Tres cosas que ponen en riesgo la reputación de una empresa

Fraude y robos de identidad, fallas en los sistemas, así como alteraciones en la continuidad de los negocios, constituyen las tres circunstancias más representativas de riesgo que puede derivar en daños a la reputación de una entidad.

Más allá de la problemática tecnológica, suelen ser las áreas financieras y legales de las organizaciones quienes deben mantener el diálogo, las negociaciones y las garantías necesarias para que los clientes se sientan respaldados.

Principales amenazas a la seguridad del software

Entre las amenazas más frecuentes para la integridad y seguridad del software hay nombres conocidos y también conocimientos muy técnicos.

Malware y virus informáticos

El malware (software malicioso) y los virus informáticos en todas sus variantes, tales como troyanos en ciberseguridad, gusanos, adware o spyware, entre otros, por diseño están destinados al robo de datos, interrupción de operaciones o infiltración en los sistemas.

Ataques de piratería informática

Esta clase de ataques implica la transgresión directa de sistemas y redes, así como la manipulación de programas para, por ejemplo, eliminar restricciones de propiedad intelectual o derechos de autor.

Así, software propietario o diseñado para licenciamiento, acaba siendo distribuido en forma gratuita, con lo cual se presentan conductas delictivas.

De igual manera, al carecer de actualizaciones y soporte, este software se convierte en un riesgo porque abre la puerta a códigos maliciosos o a sustracción de datos del usuario.

Ingeniería social

Este tipo de amenaza se caracteriza porque está dirigida en primera instancia a las personas, en lugar de tener como objetivo a los dispositivos o sistemas informáticos.

Usa técnicas de manipulación psicológica como la suplantación de identidad; la inducción de miedo o urgencia; o bien, recurre a la codicia y a la curiosidad.

La ingeniería social, también conocida como hackeo humano, obtiene de sus víctimas datos confidenciales que utiliza para obtener recursos financieros o iniciar un ciberataque.

Vulnerabilidades en el código fuente

Prácticas de codificación inseguras por parte de quien desarrolla software es la manera más común de incorporar vulnerabilidades en el código fuente.

Esto puede ser por un manejo fallido de la entrada del usuario, por validación insuficiente, o bien, por el uso de funciones obsoletas.

Medidas para fortalecer la seguridad del software

Fortalecer la seguridad del software no debiera considerarse una carga innecesaria, más bien, su integración es imprescindible como parte de la estrategia integral de seguridad en las áreas de IT.

Actualización regular del software

Mantener el software actualizado es una recomendación prácticamente universal con miras a fortalecer su propia seguridad y la del entorno informático en su conjunto.

Parches de seguridad y corrección de errores son los dos elementos centrales de toda actualización.

Implementación de autenticación y autorización

Estos dos procesos, la autenticación y la autorización, trabajan juntos para la validación de credenciales de los usuarios en un sistema.

La autenticación verifica la identidad de un usuario, mientras que la autorización valida los permisos de acceso que le son aplicables.

Ambos casos forman parte de la gestión del acceso de identidad (IAM, por sus siglas en inglés).

La IAM es un marco de seguridad para garantizar el principio de privilegios mínimos, es decir, que los usuarios dispongan de la cantidad mínima de acceso a los recursos que requieren para su trabajo y nada más.

Una implementación adecuada de autenticación y autorización brinda a las organizaciones beneficios como:

1. Mejoras en la seguridad del software y en general del entorno informático.
2. Previene que los datos e información sensibles estén a disposición de usuarios no autorizados.
3. Ayuda en el cumplimiento de leyes y regulaciones.

Encriptación de datos sensibles

Tal vez la definición más clara y concreta es esta, de SoftwareLab, que dice:

“La encriptación de datos es el proceso de transformar datos legibles, conocidos como texto plano, en un formato ilegible llamado texto cifrado, utilizando algoritmos y claves de encriptación”.

Al tratarse de datos sensibles, se incrementa el nivel de importancia que se le debe otorgar a la encriptación, para la cual hay dos métodos principales:

• Llave pública o encriptación asimétrica, y
• Llave privada o encriptación simétrica.

Realización de pruebas de seguridad

Llevar a cabo pruebas de seguridad tiene como objetivo la detección de vulnerabilidades y su posterior reparación.

Destaca la importancia de incorporar las pruebas de seguridad como parte del ciclo de vida de desarrollo del software, desarrollo web y de aplicaciones, con la intención de mantener su funcionalidad e integridad en medio de un ámbito dinámico con ciberamenazas crecientes.

Pruebas para garantizar la seguridad del software

Algunos de los tipos de pruebas o metodologías que se aplican para garantizar la fortaleza de la seguridad del software son:

• Escaneo de vulnerabilidades.
• Análisis de código.
• Pruebas de penetración, también conocidas como piratería ética.
• Evaluación de riesgos.
• Auditoría de seguridad.
• Hackeo ético.
• Evaluación situacional.

Capacitación del personal en seguridad informática

La capacitación acerca de seguridad informática para quienes laboran en una organización, no solo es un factor relevante desde la óptica de la prevención, sino que eleva su nivel de comprensión acerca de las responsabilidades que implica.

Cuando los colaboradores tienen la oportunidad de reforzar sus habilidades gracias a la capacitación, pueden por ejemplo estar más atentos en las situaciones de su trabajo con datos, sin importar que sea en línea o laborando a distancia.

Desde la perspectiva de quien ofrece la capacitación, con el absoluto involucramiento de los altos directivos de la organización, ésta debe ser muy completa, recurrente y abarcando tanto cuestiones técnicas como de concientización.

De preferencia, la capacitación debe ofrecer directivas acerca de lo que está permitido y lo que no, pero también revisar situaciones hipotéticas y sus posibles respuestas ante ciberamenazas o ataques declarados.

Normativas y estándares de seguridad del software

Enseguida abordamos tres vertientes, para enriquecer la visión acerca de este tema.

ISO 27001:2013

La Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) son entidades que trabajan para el establecimiento de estándares y normas.

El caso de la seguridad de la información es un ámbito con normas que ISO e IEC tienen en común, por lo que su trabajo es colaborativo.

Los estándares 2700

Dentro de los estándares ISO/IEC, a los Sistemas de gestión de la seguridad de la información (SGSI), les corresponde la serie 27000, integrada para varias normas y documentos, que forman una familia de estándares.

Encabezan esa familia:

• ISO / IEC 27001. Para temas de tecnologías de la información, técnicas de seguridad y gestión de la seguridad de la información.
• ISO / IEC 27002. Contiene un código de prácticas para los controles de seguridad de la información.

Entrando más a detalle en la norma ISO 27001, tenemos que es un estándar internacional para la seguridad de la información, aprobado y publicado con ese carácter en octubre de 2005.

Se fundamenta en medidas para proteger la información (sin importar el formato de esta), ante cualquier amenaza. Con el propósito de garantizar la continuidad operativa de la organización.

En el año 2013 se revisó esta norma y se introdujo un cambio importante, por lo que encontramos una modificación en la nomenclatura: ISO 27001:2013.

El cambio consistió en la adopción de la estructura del Anexo SL (antes conocido como Guía 83 ISO), que en ISO es la estructura común para las normas de sistemas de gestión, sin importar la industria en la que se apliquen.

La ISO 27001:2013 se compone de 10 secciones conocidas como cláusulas.

En 2022 se publicó una nueva actualización de la norma, que sustituye a las versiones previas y queda identificada como ISO 27001:2022

El tema de la ISO 27001 es bastante amplio y requiere de análisis profundo.

No obstante, es importante mencionar que es una excelente respuesta tanto a requerimientos legislativos (incluido el GDPR), como en lo relacionado con amenazas potenciales (ciberdelitos, filtración de datos personales, virus, vandalismo, uso malintencionado de la información).

OWASP Top Ten

Open Web Application Security Project (OWASP, por sus siglas en inglés) es un proyecto de código abierto que tiene como propósito la determinación y combate de los factores que provocan que el software sea inseguro.

La gestión de los proyectos e infraestructura OWASP está a cargo de un organismo sin fines de lucro llamado Fundación OWASP. Las dos categorías de proyectos que maneja son los de desarrollo y los de documentación.

Estos últimos, los de documentación se dividen a su vez en:

1. Guía OWASP – Documento con orientaciones detalladas acerca de la seguridad de aplicaciones web.

2. OWASP Top 10 – Documento considerado de alto nivel, enfocado en las vulnerabilidades críticas de las aplicaciones web.

Así que la lista OWASP Top 10 incluye los 10 riesgos de seguridad más importantes en aplicaciones web de acuerdo con esta Fundación, que la publica y actualiza cada tres o cuatro años.

Busca crear conciencia acerca de la seguridad en aplicaciones, mediante la identificación de algunos de los riesgos críticos que se presentan, además de referenciarlos en artículos científicos, tesis de grado o libros acerca de la seguridad.

La primera edición de OWASP Top 10 fue en 2003. Sus actualizaciones se han realizado en 2004, 2007, 2010, 2013, 2017 y 2021.

GDPR (Reglamento General de Protección de Datos)

El reglamento general de protección de datos (personales) o GDPR (por sus siglas en inglés), de la Unión Europea está considerado como la normativa más avanzada y estricta en el ámbito internacional en la materia.

Constituye también un referente o modelo a seguir por parte de otros países.

Se trata de una regulación vigente desde 2018, aplicable tanto a plataformas digitales como a sitios web.

Su objeto es el procesamiento de datos personales de individuos que están en la Unión Europea, por parte de un controlador o procesador no establecido en la Unión, siempre que las actividades de procesamiento se relacionen con:

• la oferta de bienes o servicios, indistintamente si se requiere algún pago o no del sujeto de datos.
• el monitoreo de la conducta de los usuarios, condicionado a que esa conducta suceda dentro de la Unión.

GDPR fortalece los derechos de privacidad de las personas (o al menos esa es su clara intención). Incorpora como un esquema novedoso el derecho a la portabilidad de los datos personales.

Quiere decir que cada individuo se hace cargo de elegir libremente con que organizaciones decide compartir sus datos personales, esos que ya han sido recabados por otras entidades.