Seguridad de aplicaciones para desarrolladores

Implementar una aplicación en red segura puede ser difícil, incluso para desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estas primitivas criptográficas, primero se establece una base sólida sobre los requisitos principales de la comunicación segura: confirmación segura, integridad, confidencialidad, identificación remota y anonimato. Además, se presentan los problemas típicos que pueden comprometer estos requisitos, junto con soluciones del mundo real.

La criptografía es un aspecto crítico de la seguridad de red; por ello, también se discuten los algoritmos criptográficos más importantes en criptografía simétrica, funciones hash, criptografía asimétrica y acuerdo de claves. En lugar de profundizar en el fundamento matemático, estos elementos se abordan desde la perspectiva de un desarrollador, mostrando ejemplos de casos de uso típicos y consideraciones prácticas relacionadas con el uso de criptografía, como las infraestructuras de clave pública. Se introducen protocolos de seguridad en diversas áreas de la comunicación segura, con un análisis detallado de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades criptográficas típicas, tanto relacionadas con ciertos algoritmos criptográficos como con protocolos criptográficos, tales como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y otros similares, así como el ataque de temporización RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, nuevamente sin profundizar en detalles matemáticos complejos.

Finalmente, dado que la tecnología XML es fundamental para el intercambio de datos en aplicaciones en red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML en servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades de dichas medidas y problemas específicos de seguridad de XML, como inyección XML, ataques de entidad externa XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso podrán:

• Comprender los conceptos básicos de seguridad, seguridad TI y programación segura
• Entender los requisitos de la comunicación segura
• Aprender sobre ataques y defensas de red en diferentes capas del modelo OSI
• Adquirir una comprensión práctica de la criptografía
• Entender los protocolos de seguridad esenciales
• Comprender algunos ataques recientes contra sistemas criptográficos
• Obtener información sobre vulnerabilidades relacionadas recientes
• Entender los conceptos de seguridad de los servicios web
• Obtener fuentes y lecturas adicionales sobre prácticas de programación segura

Público objetivo

Desarrolladores, profesionales

La adopción de la nube transforma la forma en que se construyen, despliegan y operan las aplicaciones, desplazando la responsabilidad entre el proveedor y el cliente, al tiempo que introduce plataformas nativas de la nube (contenedores, funciones sin servidor, servicios gestionados) que requieren controles de seguridad adaptados. Por lo tanto, la seguridad debe abordar el endurecimiento de la infraestructura, la gestión de identidades y accesos, la protección de datos, las prácticas de desarrollo seguro y los vectores de amenaza específicos de la nube.

Este entrenamiento en vivo, impartido por un instructor (en línea o presencial), está dirigido a desarrolladores de nivel intermedio, ingenieros de seguridad y gerentes de TI que deseen adquirir habilidades prácticas para proteger aplicaciones en la nube y su infraestructura de soporte, mientras aprenden controles repetibles y técnicas de evaluación que se alinean con los marcos de la industria actuales y las directrices de los proveedores de servicios en la nube.

Al finalizar este entrenamiento, los participantes podrán:

• Explicar el modelo de responsabilidad compartida en la nube y aplicarlo a las decisiones de seguridad de las aplicaciones.
• Endurecer la infraestructura en la nube (IaaS), asegurar los servicios de plataforma (PaaS) y evaluar las configuraciones de SaaS.
• Aplicar patrones de mitigación basados en OWASP y prácticas de codificación segura a las aplicaciones alojadas en la nube.
• Integrar herramientas de seguridad en las tuberías de CI/CD (SAST/DAST/IAST/RASP) y adoptar prácticas de "shift-left" (desplazamiento hacia la izquierda).

Formato del Curso

• Conferencia interactiva y discusión vinculadas a demostraciones en vivo.
• Laboratorios prácticos utilizando consolas de la nube, contenedores, funciones sin servidor y tuberías de CI/CD.
• Ejercicios prácticos: configuración segura, escaneo de vulnerabilidades, simulación de ataques y planificación de remediación.

Opciones de Personalización del Curso

• Para solicitar una formación personalizada para este curso, por favor contáctenos para organizarlo.

El desarrollo de código seguro en C y C++ exige una defensa rigurosa frente a la explotación maliciosa, la corrupción de memoria y las omisiones en la validación de entradas. Este programa analiza patrones de vulnerabilidades como desbordamientos de búfer, uso después de la liberación (use-after-free), desbordamientos enteros y confusión de tipos. Los participantes aplicarán guías de programación segura, herramientas de análisis estático y técnicas de programación defensiva para eliminar puntos débiles, garantizar la sanitización de las entradas y entregar software endurecido, resistente a ciberataques.

Incluso los programadores de Java con experiencia no siempre dominan todos los servicios de seguridad que ofrece Java ni son conscientes de las vulnerabilidades diferentes que afectan a las aplicaciones web escritas en este lenguaje.

Además de introducir los componentes de seguridad de la Plataforma Java SE, el curso aborda temas de seguridad de Java EE (Plataforma Empresarial de Java) y de servicios web. Antes de discutir servicios específicos, se cubren los fundamentos de la criptografía y la comunicación segura. Diversos ejercicios tratan técnicas de seguridad declarativa y programática en Java EE, mientras que se analizan tanto la seguridad en la capa de transporte como la seguridad de extremo a extremo en servicios web. El uso de todos estos componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y herramientas mencionadas.

El curso también recorre y explica las fallas de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por programadores de Java, las vulnerabilidades de seguridad introducidas abarcan tanto problemas específicos del lenguaje como aquellos derivados del entorno de tiempo de ejecución. Todas las vulnerabilidades y los ataques correspondientes se demuestran mediante ejercicios fáciles de entender, seguidos de las directrices recomendadas de codificación y las técnicas posibles de mitigación.

Los participantes que cursen este programa:

• Comprenderán los conceptos básicos de seguridad, ciberseguridad y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá del Top Ten de OWASP y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Entenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre errores comunes de codificación y cómo evitarlos.
• Recibirán información sobre algunas vulnerabilidades recientes en el marco de trabajo de Java.
• Obtendrán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Incluso los programadores experimentados no dominan necesariamente los diversos servicios de seguridad que ofrecen sus plataformas de desarrollo, y a menudo desconocen las vulnerabilidades relevantes para sus proyectos. Este curso está dirigido a desarrolladores que utilizan tanto Java como PHP, brindándoles las habilidades esenciales necesarias para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos a través de Internet.

Se exploran los niveles de la arquitectura de seguridad de Java abordando el control de acceso, la autenticación y la autorización, la comunicación segura y diversas funciones criptográficas. Además, se presentan varias API que pueden utilizarse para proteger su código en PHP, como OpenSSL para criptografía o HTML Purifier para la validación de entradas. En el lado del servidor, se ofrecen las mejores prácticas para reforzar y configurar el sistema operativo, el contenedor web, el sistema de archivos, el servidor SQL y el propio PHP, mientras que se presta especial atención a la seguridad del lado del cliente, abordando problemas de seguridad relacionados con JavaScript, Ajax y HTML5.

Se discuten vulnerabilidades web generales mediante ejemplos alineados con las diez principales vulnerabilidades del OWASP, mostrando diversos tipos de ataques de inyección, inyecciones de scripts, ataques contra la gestión de sesiones, referencias directas inseguras a objetos, problemas relacionados con la carga de archivos, entre otros. Asimismo, se introducen los problemas y vulnerabilidades específicos de los lenguajes Java y PHP derivados del entorno de ejecución, agrupados en los tipos estándar de vulnerabilidades: validación de entrada ausente o incorrecta, uso inadecuado de características de seguridad, manejo erróneo de errores y excepciones, problemas relacionados con el tiempo y el estado, problemas de calidad del código y vulnerabilidades asociadas a código móvil.

Los participantes podrán probar por sí mismos las API, herramientas y los efectos de las configuraciones discutidas, mientras que la introducción de las vulnerabilidades se respalda con numerosos ejercicios prácticos que demuestran las consecuencias de ataques exitosos, mostrando cómo corregir los errores, aplicar técnicas de mitigación e introducir el uso de diversas extensiones y herramientas.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de la tecnología de la información y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de las diez principales del OWASP y sabrán cómo evitarlas.
• Conocerán las vulnerabilidades del lado del cliente y las prácticas de codificación segura.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Obtendrán una comprensión práctica de la criptografía.
• Aprenderán a utilizar diversas características de seguridad de PHP.
• Comprenderán los conceptos de seguridad de los servicios web.
• Adquirirán conocimientos prácticos sobre el uso de herramientas de pruebas de seguridad.
• Aprenderán sobre errores típicos de codificación y cómo evitarlos.
• Se mantendrán informados sobre las vulnerabilidades recientes en los marcos de trabajo y bibliotecas de Java y PHP.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Descripción

El lenguaje Java y el Entorno de Tiempo de Ejecución (JRE) fueron diseñados para estar libres de las vulnerabilidades de seguridad más problemáticas que se experimentan en otros lenguajes, como C/C++. Sin embargo, los desarrolladores y arquitectos de software no solo deben saber cómo utilizar las diversas características de seguridad del entorno de Java (seguridad positiva), sino que también deben ser conscientes de las numerosas vulnerabilidades que siguen siendo relevantes para el desarrollo en Java (seguridad negativa).

La introducción de los servicios de seguridad va precedida de un breve resumen de los fundamentos de la criptografía, proporcionando una base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs discutidas.

El curso también analiza y explica los errores de programación más frecuentes y graves del lenguaje Java y su plataforma, cubriendo tanto los errores típicos cometidos por los programadores de Java como los problemas específicos del lenguaje y el entorno. Todas las vulnerabilidades y los ataques relacionados se demuestran a través de ejercicios fáciles de entender, seguidos de las pautas de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de la TI y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Aprenderán sobre errores de codificación típicos y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo de Java.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Audiencia objetivo

Desarrolladores

Actualmente, existen varios lenguajes de programación disponibles para compilar código en los marcos de trabajo .NET y ASP.NET. Este entorno ofrece potentes herramientas para el desarrollo de seguridad; sin embargo, los desarrolladores deben saber cómo aplicar técnicas de programación a nivel de arquitectura y de código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, mediante numerosos ejercicios prácticos, cómo evitar que código no confiable ejecute acciones privilegiadas, proteger recursos mediante autenticación y autorización robustas, proporcionar llamadas a procedimientos remotos, gestionar sesiones, introducir diferentes implementaciones para ciertas funcionalidades y mucho más.

La introducción a diversas vulnerabilidades comienza presentando algunos problemas de programación típicos que se cometen al utilizar .NET, mientras que la discusión sobre las vulnerabilidades de ASP.NET también aborda diversas configuraciones del entorno y sus efectos. Finalmente, el tema de las vulnerabilidades específicas de ASP.NET no solo trata algunos desafíos generales de seguridad en aplicaciones web, sino también problemas especiales y métodos de ataque, como los ataques al ViewState o los ataques de terminación de cadenas.

Los participantes que asisten a este curso aprenderán a

• Comprender los conceptos básicos de seguridad, seguridad de la información y codificación segura.
• Conocer vulnerabilidades web más allá del OWASP Top Ten y saber cómo evitarlas.
• Aprender a utilizar diversas características de seguridad del entorno de desarrollo .NET.
• Adquirir conocimiento práctico sobre el uso de herramientas de prueba de seguridad.
• Conocer los errores de codificación típicos y cómo evitarlos.
• Obtener información sobre algunas vulnerabilidades recientes en .NET y ASP.NET.
• Acceder a fuentes y lecturas complementarias sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Este curso brinda las habilidades esenciales que los desarrolladores de PHP necesitan para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos realizados a través de Internet. Se analizan vulnerabilidades web mediante ejemplos basados en PHP que van más allá de las principales amenazas del OWASP Top Ten, abordando diversos tipos de inyección, inyecciones de scripts, ataques contra la gestión de sesiones de PHP, referencias directas inseguras a objetos, problemas relacionados con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se presentan agrupadas en los tipos estándar de fallos: validación de entrada ausente o incorrecta, manejo inadecuado de errores y excepciones, uso indebido de características de seguridad, y problemas relacionados con el tiempo y el estado. En este último caso, se discuten ataques como la evasión de open_basedir, denegación de servicio mediante floats mágicos o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes para mitigar los riesgos enumerados.

Se presta especial atención a la seguridad del lado del cliente, abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan diversas extensiones de seguridad para PHP, como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para la validación de entrada. Se exponen las mejores prácticas de endurecimiento en relación con la configuración de PHP (archivo php.ini), Apache y el servidor en general. Por último, se ofrece una visión general de diversas herramientas y técnicas de pruebas de seguridad que desarrolladores y testers pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración y packs de exploits, analizadores de tráfico, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de las vulnerabilidades como las prácticas de configuración se respaldan con numerosos ejercicios prácticos que demuestran las consecuencias de ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de diversas extensiones y herramientas.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de programación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar diversas características de seguridad de PHP
• Conocerán errores típicos de codificación y cómo evitarlos
• Se mantendrán informados sobre las vulnerabilidades recientes del framework PHP
• Adquirirán conocimientos prácticos sobre el uso de herramientas de pruebas de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura

Público objetivo

Desarrolladores

La formación combinada sobre el núcleo de SDL ofrece una visión profunda del diseño, desarrollo y pruebas de software seguro a través del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft. Ofrece una introducción de nivel 100 de los bloques fundamentales del SDL, seguida de técnicas de diseño para detectar y corregir fallos en las etapas iniciales del proceso de desarrollo.

Enfocándose en la fase de desarrollo, el curso presenta una visión general de los errores de programación típicos relacionados con la seguridad, tanto en código gestionado como nativo. Se exponen métodos de ataque para las vulnerabilidades discutidas, junto con las técnicas de mitigación correspondientes, todo ello explicado mediante numerosos ejercicios prácticos que brindan a los participantes la oportunidad de experimentar con hacking en tiempo real. Tras la introducción de diferentes métodos de pruebas de seguridad, se demuestra la eficacia de diversas herramientas de prueba. Los participantes comprenderán el funcionamiento de estas herramientas a través de ejercicios prácticos aplicándolas al código vulnerable ya discutido.

Los participantes que asistan a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura.

Conocerán los pasos esenciales del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft.

Aprenderán prácticas de diseño y desarrollo seguro.

Obtendrán conocimientos sobre los principios de implementación segura.

Entenderán la metodología de pruebas de seguridad.

• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura.

Público objetivo

Desarrolladores y gerentes.

En este curso en vivo impartido por un instructor en Colombia, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad en DevOps.

El curso Ingeniero Certificado en DevSecOps de EC-Council (ECDE) es una formación práctica diseñada para dotar a los profesionales de las habilidades necesarias para integrar la seguridad en todo el ciclo de vida de DevOps, garantizando un desarrollo de software seguro desde la planificación hasta la implementación.

Esta formación impartida por un instructor, en vivo (en línea o presencial), está dirigida a profesionales de software y DevOps de nivel intermedio que deseen integrar prácticas de seguridad en las tuberías de CI/CD, asegurando la entrega de código seguro y conforme.

Al finalizar esta formación, los participantes serán capaces de:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería de CI/CD mediante el uso de herramientas automatizadas.
• Implementar prácticas de codificación segura y análisis de vulnerabilidades.
• Prepararse para la certificación ECDE con laboratorios prácticos y repasos.

Formato del curso

• Clases interactivas y debates.
• Uso práctico de herramientas de DevSecOps en tuberías simuladas.
• Ejercicios guiados centrados en el desarrollo y la implementación seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, contáctenos para coordinarlo.

Este curso en Colombia tiene como objetivo ayudar en los siguientes aspectos:

1. Ayudar a los desarrolladores a dominar las técnicas de escritura de código seguro
2. Ayudar a los probadores de software a evaluar la seguridad de la aplicación antes de su publicación en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos que rodean a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las bases de seguridad para los desarrolladores
5. Ayudar a los administradores web a configurar los servidores y evitar errores de configuración

Este curso abarca los conceptos y principios de codificación segura en Java mediante la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Proyecto de Seguridad de Aplicaciones Web Abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de acceso gratuito en el campo de la seguridad de aplicaciones web.

Este curso aborda los conceptos y principios de codificación segura con ASP.NET mediante la metodología de pruebas del Open Web Application Security Project (OWASP). OWASP es una comunidad en línea que genera artículos, metodologías, documentación, herramientas y tecnologías de acceso gratuito en el ámbito de la seguridad de aplicaciones web. 

Este curso explora las características de seguridad del marco .NET y cómo proteger aplicaciones web.