Tendencias 2021 para la seguridad de Software


Ante el inusual año 2020 que estamos viviendo, las modificaciones y esfuerzos que tuvieron que realizar casi todas las organizaciones para salir adelante y mantener la continuidad del negocio fueron notables.

Sin embargo, las transformaciones digitales que realizaron los negocios, el sector salud, el sector educativo y gobierno alrededor del mundo, en muchos casos no fueron planificadas, ampliando la superficie de ataque y el panorama de amenazas.

A continuación compartimos las predicciones pronosticadas por dos especialistas de Checkmarx para comprender mejor lo que podemos esperar ver el próximo 2021, las cuales están basadas en las tendencias observadas, el conocimiento profesional y el conocimiento profundo de las industrias impulsadas por la tecnología y el software en su conjunto.

Adaptarse a la nube, la seguridad correrá para alcanzar las velocidades de desarrollo.


A pesar de que la filosofía actual de muchas organizaciones es hacer que el software entre en producción rápidamente y retroceder si se encuentra un error  para que puedan impulsar las funciones de una manera rápida, la realidad es que esto no funciona con la seguridad.

Liberar código y posteriormente corregir vulnerabilidades, será siempre una oportunidad para que actores malintencionados se infiltren en sus sistemas. Por lo tanto en 2021, las herramientas utilizadas para la seguridad de las aplicaciones que se integren en la cadena de herramientas deben funcionar mucho más rápidamente, escalar a entornos en la nube y presentar hallazgos procesables en un formato que los desarrolladores puedan comprender y usar para realizar soluciones rápidas.

Incrementará el hackeo de código abierto.

Los ciberdelincuentes consideran que el código abierto es una forma fácil de acceder a las organizaciones, y esta tendencia se acelerará en 2021. Rara vez pasa una semana sin que se descubran paquetes maliciosos de código abierto. 

Actualmente, las organizaciones entienden que necesitan proteger los componentes de código abierto que están usando y las soluciones existentes les ayudan a eliminar paquetes que son vulnerables por error (cuando un desarrollador coloca accidentalmente una vulnerabilidad en el paquete), pero todavía están ciegos a los casos en los que los adversarios introducen maliciosamente código contaminado en paquetes. Esto debe cambiar en 2021.

Lo ideal será limitarse al uso de componentes de código abierto bien conocidos para proyectos críticos y revisar las políticas mediante las cuales los proyectos de código abierto aceptan nuevos contribuyentes (ya sea que permitan que cualquiera contribuya o realice verificaciones de antecedentes para eliminar el potencial malos actores).


La demanda de seguridad basada en la nube aumenta el uso de infraestructura como código (IaC).


La escalada digital de la noche a la mañana que se produjo en 2020 obligó a muchas organizaciones a recurrir a la nube para mantener la continuidad del negocio. 

La nube ofrece ventajas obvias para apoyar a una fuerza laboral dispersa, pero con esta transición vienen nuevos desafíos, uno de los más grandes gira en torno a la aparición de la infraestructura como código (IaC).

IaC ha obligado a los desarrolladores a entrar en aguas inexploradas, debido a la falta de formación adecuada y a la creciente presión para crear código rápidamente en estos entornos. 

La arquitectura real de este código es extremadamente compleja y las herramientas de seguridad en el mercado actual son generalmente demasiado dispares para detectar brechas en el código. 

En 2021, los cibercriminales incrementarán sus intentos de explotar los errores de los desarrolladores en estos entornos flexibles. Para combatir esto, veremos una mayor concentración en torno a la capacitación en seguridad en la nube, las mejores prácticas de IaC y el gasto adicional asignado a la seguridad de software y aplicaciones para respaldar la demanda de una fuerza de trabajo remota y ecosistemas de software más complejos.


La seguridad dependerá del desarrollo, no al revés.


No es ningún secreto que los desarrolladores marcan tendencias en las organizaciones que se dirigen hacia la transformación digital. La integración de la seguridad en el desarrollo de software deberá adoptar un enfoque de abajo hacia arriba y de arriba hacia abajo. 

Los desarrolladores ya no están dispuestos a cambiar entre diferentes interfaces (una para el desarrollo y otra para la seguridad), ni deberían tener que hacerlo si la velocidad se exige al igual que la seguridad. Quieren consumir todos los datos, ya sea que hablemos de datos relacionados con problemas de calidad o problemas de seguridad, de manera simplificada.


El contexto será el rey. Con vistas holísticas de la aplicación, la postura de seguridad mejora.


2021 traerá la convergencia del mercado de AppSec ya que la demanda de las organizaciones de obtener una perspectiva holística sobre la postura de seguridad de sus aplicaciones desde varios puntos de vista (por ejemplo, comprender el contexto de la aplicación y combinarlo con la infraestructura como código) impulsa la adopción de soluciones integrales que proporcionan una vista completa del ecosistema. 

Cuando se trata de la seguridad del código abierto en particular, las vistas más completas permitirán a las organizaciones no solo saber si están consumiendo un paquete vulnerable, sino también, y lo que es más importante, si la forma en que la aplicación lo consume constituye un ataque. o vulnerabilidad posible.

Éste es un ejemplo específico. Cuando existe una vulnerabilidad en un componente de código abierto, para que ciberdelincuente explote esa vulnerabilidad, se deben cumplir tres condiciones: 

1) Debe consumir ese código abierto en esa versión vulnerable

2) Su aplicación debe codificar a un función específica en ese código abierto 

3) Su infraestructura como código necesita abrir un puerto específico. 

Solo al tener información contextualizada mediante la combinación de estos tres datos, podrá saber con precisión si es vulnerable a un ataque.


La seguridad nativa de la nube ocupará un lugar central.


API ha sido la palabra de moda cuando se trata de seguridad y desarrollo de software moderno. Pero si 2020 fue el año de la API, 2021 será el año en el que la seguridad nativa de la nube se robe la atención. 

Las API, los contenedores y las herramientas de orquestación son ahora comunes en el desarrollo de software, y las organizaciones han estado trabajando arduamente para aumentar la conectividad entre las diferentes herramientas que han empleado para impulsar la eficiencia y la productividad. Pero en cada punto de conexión, existe el riesgo de una vulnerabilidad que podría conducir a una brecha. 

En 2021, veremos a las organizaciones enfrentarse a esta realidad de la complejidad del software y tomar medidas para protegerse.Las API vulnerables serán las principales responsables de las infracciones relacionadas con el software y las aplicaciones.

Si bien el conocimiento sobre la seguridad de las API ha mejorado en los últimos años, aún podemos predecir que las API seguirán siendo un vector de ataque superior, si no el principal, para los adversarios en 2021.

A medida que los actores maliciosos continúan aumentando sus ataques dirigidos a API y las organizaciones se ponen al día en su comprensión de cómo se pueden explotar estos programas, los adversarios aprovecharán esta brecha en el corto plazo, lo que obligará a los desarrolladores a identificar rápidamente formas de mejorar la seguridad. Procesos de autenticación y autorización de API.


Los dispositivos de IoT heredados harán que los consumidores sean particularmente vulnerables.


En los últimos años, hemos visto una explosión en los dispositivos conectados, tanto que nuestras vidas están inundadas de ellos. Nos hemos acostumbrado a que los dispositivos IoT funcionen en segundo plano sin pensarlo dos veces antes de reemplazarlos, actualizarlos o eliminarlos por completo.

A medida que estos dispositivos envejecen pero siguen en uso, muchos fabricantes dejan de incluirlos en las actualizaciones de software y parches a medida que priorizan los modelos más nuevos, lo que convierte a los modelos más antiguos en los principales objetivos de los actores de amenazas que buscan puntos de acceso fáciles. 


Se ha progresado en la seguridad de IoT, pero aún queda mucho por cubrir.


Todavía tendremos mucho terreno que cubrir con la seguridad de IoT en 2021.  Hasta que los consumidores ejerzan una presión real sobre los gobiernos y los fabricantes para que mejoren la seguridad de los dispositivos de IoT, o hasta que los fabricantes pongan un gran énfasis en la seguridad de IoT, esto seguirá siendo motivo de preocupación.