Más infracciones, más problemas: el coste de la confianza en las aplicaciones de terceros
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.
Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.
La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.
Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.
Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.
¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.
La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.
Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.
Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.
El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.
Encontrará consejos que incluyen:
* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores
* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas
* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.
Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.
Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.