El Paisaje de Codificación Segura

Android es una plataforma abierta para dispositivos móviles, como teléfonos inteligentes y tabletas. Ofrece una amplia gama de características de seguridad que facilitan el desarrollo de software seguro; no obstante, también carece de ciertos aspectos de seguridad presentes en otras plataformas móviles. Este curso proporciona una visión general de estas características y destaca las deficiencias más críticas a considerar, especialmente en relación con Linux, el sistema de archivos y el entorno en general, así como el uso de permisos y otros componentes de desarrollo de software de Android.

Se describen los peligros y vulnerabilidades de seguridad típicos tanto para código nativo como para aplicaciones Java, junto con recomendaciones y prácticas recomendadas para evitar y mitigar dichas amenazas. En muchos casos, estos temas se ilustran con ejemplos reales y estudios de caso. Finalmente, ofrecemos un resumen breve sobre cómo utilizar las herramientas de prueba de seguridad para identificar cualquier error de programación relevante en términos de seguridad.

Los participantes que asistan a este curso

• Entenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán las soluciones de seguridad implementadas en Android
• Conocerán cómo utilizar diversas funciones de seguridad de la plataforma Android
• Obtendrán información sobre algunas vulnerabilidades recientes en Java en el contexto de Android
• Aprenderán acerca de errores típicos de codificación y cómo evitarlos
• Tendrán un entendimiento sobre las vulnerabilidades de código nativo en Android
• Comprenderán las graves consecuencias que puede tener la manipulación insegura de búferes en el código nativo
• Aprenderán sobre técnicas de protección arquitectónica y sus debilidades
• Obtendrán fuentes adicionales y lecturas recomendadas sobre prácticas de codificación segura

Audiencia

Profesionales

Implementar una aplicación en red segura puede resultar complicado, incluso para desarrolladores que ya hayan utilizado diversos elementos criptográficos (como cifrado y firmas digitales) con anterioridad. Para que los participantes comprendan el papel y el uso de estas primitivas criptográficas, se les proporciona primero una base sólida sobre los principales requisitos de la comunicación segura, como el reconocimiento seguro, la integridad, la confidencialidad, la identificación remota y el anonimato. Además, se abordan los problemas típicos que pueden comprometer estos requisitos junto con soluciones prácticas del mundo real.

Dado que la criptografía es un componente crítico de la seguridad en redes, también se analizan los algoritmos criptográficos más importantes en criptografía simétrica, hashing, criptografía asimétrica y concordancia de claves. En lugar de profundizar en una base matemática compleja, estos elementos se presentan desde la perspectiva de un desarrollador, mostrando ejemplos de casos de uso comunes y consideraciones prácticas relacionadas con el uso de criptomonedas, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en diversas áreas de la comunicación segura, con un análisis detallado de las familias de protocolos más utilizados, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades típicas de las criptomonedas, tanto relacionadas con ciertos algoritmos de criptografía como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y similares, así como el ataque de sincronización RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, evitando entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es fundamental para el intercambio de datos por parte de aplicaciones en red, se abordan los aspectos de seguridad de XML. Esto incluye el uso de XML en servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades en estas medidas y problemas de seguridad específicos de XML, como la inyección XML, los ataques de entidad externa (XXE), las bombas XML y la inyección XPath.

Los participantes que asistan a este curso podrán:

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura.
• Entender los requisitos de la comunicación segura.
• Aprender más sobre ataques y defensas de red en diferentes capas del modelo OSI.
• Tener una comprensión práctica de la criptografía.
• Comprender los protocolos de seguridad esenciales.
• Entender algunos de los ataques recientes contra criptosistemas.
• Obtener información sobre algunas vulnerabilidades relacionadas recientes.
• Comprender los conceptos de seguridad en servicios web.
• Acceder a fuentes y lecturas adicionales sobre prácticas de codificación segura.

Audiencia

Desarrolladores, Profesionales

Este curso de tres días se centra en los fundamentos necesarios para proteger el código C/C++ contra usuarios malintencionados que pueden explotar diversas vulnerabilidades, principalmente relacionadas con la gestión de memoria y el manejo de entradas. El programa del curso incluye una revisión exhaustiva de los principios para escribir código seguro.

Incluso los programadores Java experimentados no necesariamente dominan todos los servicios de seguridad que ofrece Java, ni están del todo familiarizados con las diversas vulnerabilidades relevantes para las aplicaciones web desarrolladas en Java.

Este curso, además de presentar los componentes de seguridad de la Edición Estándar de Java, aborda los problemas de seguridad asociados a la Edición Enterprise de Java (JEE) y a los servicios web. Antes de discutir servicios específicos, se cubren los fundamentos de la criptografía y la comunicación segura. Varios ejercicios se centran en técnicas de seguridad declarativa y programática en JEE, mientras que se analiza tanto la seguridad del transporte como la seguridad de extremo a extremo de los servicios web. El uso de todos estos componentes se ilustra mediante ejercicios prácticos, donde los participantes pueden experimentar con las APIs y herramientas discutidas.

El curso también examina y explica los errores de programación más comunes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la Web. Además de abordar los errores típicos que suelen cometer los programadores Java, se cubren tanto los problemas específicos del idioma como aquellos derivados del entorno de ejecución. Todas las vulnerabilidades y ataques relevantes se demuestran a través de ejercicios comprensibles, seguidos por directrices de codificación recomendadas y técnicas de mitigación posibles.

Los participantes que asistan a este curso

• Comprenderán conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y cómo evitarlas
• Entenderán los principios de seguridad en servicios web
• Aprenderán a utilizar diversas funciones de seguridad del entorno de desarrollo Java
• Tendrán una comprensión práctica de la criptografía
• Comprenderán las soluciones de seguridad de Java EE
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de Java
• Adquirirán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores

Descripción

El lenguaje Java y el Entorno de Ejecución (JRE) fueron creados con la intención de evitar las vulnerabilidades de seguridad más críticas que se han encontrado en otros lenguajes, como C/C++. No obstante, los desarrolladores de software y arquitectos deben no solo dominar cómo utilizar las diversas características de seguridad del entorno Java (seguridad positiva), sino también estar alertas a las numerosas vulnerabilidades que siguen siendo relevantes en el desarrollo con Java (seguridad negativa).

La introducción de servicios de seguridad se complementa con un breve resumen de los fundamentos de la criptografía, proporcionando una base sólida para comprender el propósito y funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de diversos ejercicios prácticos, donde los participantes pueden experimentar directamente con las API discutidas.

El curso también revisa y explica los errores de programación más frecuentes y graves del lenguaje Java y la plataforma, abarcando tanto los fallos típicos cometidos por los desarrolladores de Java como los problemas específicos del lenguaje y el entorno. Todas las vulnerabilidades y ataques relevantes se demuestran a través de ejercicios sencillos y comprensibles, seguidos por pautas de codificación recomendadas y técnicas de mitigación.

Los participantes que asistan a este curso

• Entenderán los conceptos fundamentales de seguridad, seguridad informática y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y cómo prevenirlas
• Aprenderán a aprovechar diversas características de seguridad del entorno de desarrollo Java
• Tendrán una comprensión práctica de la criptografía
• Aprenderán sobre errores de codificación comunes y cómo evitarlos
• Obtendrán información sobre vulnerabilidades recientes en el marco de Java
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia

Desarrolladores

En la actualidad, se disponen de diversos lenguajes de programación que permiten compilar código a los frameworks .NET y ASP.NET. Aunque el entorno ofrece herramientas robustas para el desarrollo seguro, es crucial que los desarrolladores conozcan cómo aplicar técnicas de arquitectura y codificación para implementar la funcionalidad de seguridad deseada y prevenir o limitar vulnerabilidades.

El propósito de este curso es capacitar a los desarrolladores mediante ejercicios prácticos extensos, en cómo evitar que el código no confiable realice acciones privilegiadas, proteger recursos con autenticación y autorización sólidas, proporcionar llamadas de procedimiento remoto, gestionar sesiones, implementar diferentes soluciones para ciertas funcionalidades, entre otros aspectos.

La introducción a las vulnerabilidades comienza abordando algunos errores típicos en la programación con .NET. La discusión sobre las vulnerabilidades de ASP.NET también examina distintas configuraciones del entorno y sus impactos. Además, el tema de las vulnerabilidades específicas de ASP.NET no solo cubre desafíos generales de seguridad en aplicaciones web, sino también problemas particulares como los ataques al ViewState o los ataques de terminación de cadena.

Los asistentes a este curso

• Comprenderán conceptos fundamentales de seguridad, ciberseguridad y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y cómo mitigarlas
• Adquirirán habilidades para utilizar las diversas funciones de seguridad ofrecidas por el entorno de desarrollo .NET
• Obtendrán experiencia práctica en el uso de herramientas de prueba de seguridad
• Aprenderán a identificar y evitar errores comunes de codificación
• Recibirán información sobre vulnerabilidades recientes en .NET y ASP.NET
• Accederán a fuentes adicionales y lecturas sobre prácticas de codificación segura

Público objetivo

Desarrolladores

El curso ofrece habilidades fundamentales para desarrolladores de PHP, necesarias para proteger sus aplicaciones contra ataques contemporáneos a través de Internet. Se exploran las vulnerabilidades web mediante ejemplos prácticos en PHP, cubriendo el Top Ten de OWASP y abordando diversos tipos de inyecciones, inyecciones de scripts, ataques a la gestión de sesiones de PHP, referencias directas a objetos no seguras, problemas con el cargue de archivos y otros. Las vulnerabilidades relacionadas con PHP se agrupan en categorías estándar como falta o uso incorrecto de validación de entrada, manejo inadecuado de errores y excepciones, uso incorrecto de características de seguridad y problemas de tiempo y estado. En este último caso, se discuten ataques específicos como la evasión de open_basedir, denegación de servicio a través del float mágico o el ataque por colisión en la tabla hash. Los participantes aprenderán las técnicas y funciones más relevantes para mitigar estos riesgos.

Se presta especial atención a la seguridad del lado del cliente, abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan una serie de extensiones de seguridad para PHP, como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Se revisan las mejores prácticas de fortalecimiento relacionadas con la configuración de PHP (ajuste de php.ini), Apache y el servidor en general. Además, se proporciona un panorama de diversas herramientas y técnicas de pruebas de seguridad que los desarrolladores y probadores pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración, paquetes de explotación, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción a las vulnerabilidades como las prácticas de configuración se complementan con ejercicios prácticos que demuestran las consecuencias de los ataques exitosos, mostrando cómo aplicar técnicas de mitigación y cómo utilizar diversas extensiones y herramientas.

Los participantes que asistan a este curso podrán

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura
• Aprender sobre vulnerabilidades web más allá del Top Ten de OWASP y cómo evitarlas
• Aprender sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tener un entendimiento práctico de la criptografía
• Aprender a utilizar diversas características de seguridad de PHP
• Saber sobre errores típicos de codificación y cómo evitarlos
• Estar al tanto de vulnerabilidades recientes del marco de trabajo PHP
• Tener conocimientos prácticos en el uso de herramientas de pruebas de seguridad
• Obtener fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores

El entrenamiento combinado de SDL core ofrece una visión general del diseño, desarrollo y prueba seguros del software a través del Microsoft Secure Development Lifecycle (SDL). Proporciona un resumen detallado de los componentes fundamentales del SDL, seguido por técnicas de diseño destinadas a detectar y corregir fallos en las etapas iniciales del proceso de desarrollo.

En la fase de desarrollo, el curso ofrece una revisión de los errores de programación típicamente relevantes para la seguridad tanto en código administrado como nativo. Se explican métodos de ataque asociados a las vulnerabilidades discutidas, junto con técnicas de mitigación. Todo esto se presenta a través de una serie de ejercicios prácticos que brindan a los participantes experiencias divertidas de hacking en vivo. Además, se introducen diferentes métodos de prueba de seguridad y se demuestra la efectividad de diversas herramientas de prueba. Los participantes podrán entender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos aplicados al código vulnerable ya discutido.

Los participantes que asistan a este curso

Comprenderán los conceptos básicos de seguridad, IT security y codificación segura.

Conocerán los pasos esenciales del Microsoft Secure Development Lifecycle.

Aprenderán prácticas de diseño y desarrollo seguros.

Adquirirán principios de implementación segura.

Entenderán la metodología de prueba de seguridad.

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores, Gerentes.

Luego de familiarizarse con las vulnerabilidades y los métodos de ataque, los participantes adquirirán conocimientos sobre el enfoque general y la metodología para realizar pruebas de seguridad, así como las técnicas que pueden aplicar para descubrir vulnerabilidades específicas. Las pruebas de seguridad deben iniciarse con la recolección de información sobre el sistema (ToC, es decir, Objetivo de Evaluación), seguida por un exhaustivo modelo de amenazas que revele y califique todas las amenazas, culminando en un plan de prueba dirigido por el análisis de riesgos más adecuado.

Las evaluaciones de seguridad pueden llevarse a cabo en diferentes etapas del ciclo de vida del desarrollo de software (SDLC), por lo que se discuten la revisión de diseño, la revisión de código, la exploración y recolección de información sobre el sistema, las pruebas de implementación y el fortalecimiento del entorno para una implementación segura. Se detallan numerosas técnicas de prueba de seguridad, como el análisis de taint, la revisión de código basada en heurísticas, el análisis estático de código, la prueba dinámica de vulnerabilidades web o fuzzing. Se presentan varios tipos de herramientas que pueden utilizarse para automatizar la evaluación de seguridad de productos de software, lo cual se complementa con una serie de ejercicios donde ejecutamos estas herramientas para analizar el código vulnerable ya discutido. Muchos estudios de casos reales respaldan una mejor comprensión de diversas vulnerabilidades.

Este curso prepara a los testers y personal de QA para planificar adecuadamente y ejecutar con precisión pruebas de seguridad, seleccionar y usar las herramientas y técnicas más apropiadas para detectar incluso fallos de seguridad ocultos, proporcionando así habilidades prácticas esenciales que pueden aplicarse en el siguiente día laboral.

Los participantes en este curso aprenderán a

• Entender los conceptos básicos de la seguridad, la seguridad de TI y la codificación segura
• Aprender sobre vulnerabilidades web que van más allá del OWASP Top Ten y saber cómo evitarlas
• Conocer las vulnerabilidades del lado del cliente y las prácticas de codificación segura
• Entender los enfoques y metodologías para pruebas de seguridad
• Adquirir conocimientos prácticos en el uso de técnicas y herramientas de prueba de seguridad
• Tener acceso a fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Testers

Proteger las aplicaciones que se acceden a través de la web exige profesionales de seguridad bien capacitados y siempre actualizados sobre los métodos y tendencias de ataque actuales. Existen diversas tecnologías y entornos que facilitan el desarrollo de aplicaciones web. No solo es necesario estar conscientes de los problemas de seguridad específicos para estas plataformas, sino también de las vulnerabilidades generales que se presentan independientemente de las herramientas de desarrollo utilizadas.

El curso ofrece una visión general de las soluciones de seguridad aplicables a las aplicaciones web, con un enfoque especial en la comprensión y aplicación de las criptografías más importantes. Se exploran distintas vulnerabilidades de aplicaciones web, tanto del lado del servidor (siguiendo el OWASP Top Ten) como del cliente, ilustradas mediante ataques relevantes, y se presentan técnicas de codificación recomendadas y métodos de mitigación para evitar los problemas asociados. La discusión sobre la codificación segura concluye con un análisis de errores típicos en programación relacionados con la validación de entradas, el uso inadecuado de características de seguridad y la calidad del código.

La prueba desempeña un papel crucial para garantizar la seguridad y robustez de las aplicaciones web. Se pueden emplear diversos enfoques, desde auditorías de alto nivel hasta pruebas de penetración y hacking ético, para identificar vulnerabilidades de diferentes tipos. Sin embargo, para ir más allá de los errores fáciles de detectar, la prueba de seguridad debe estar bien planificada y ejecutada adecuadamente. Es importante recordar que los probadores de seguridad deberían encontrar idealmente todos los fallos para proteger un sistema, mientras que para los adversarios es suficiente con encontrar una vulnerabilidad explotable para penetrarlo.

Los ejercicios prácticos ayudarán a comprender las vulnerabilidades de aplicaciones web, los errores de programación y, lo más importante, las técnicas de mitigación. Además, incluyen pruebas prácticas con diversas herramientas de seguridad, desde escáneres y sniffers hasta servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente. Este curso proporciona habilidades prácticas esenciales que se pueden aplicar inmediatamente en el lugar de trabajo.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, IT y codificación segura
• Aprenderán vulnerabilidades web más allá del OWASP Top Ten y cómo evitarlas
• Aprenderán vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Comprenderán los enfoques y metodologías de pruebas de seguridad
• Obtendrán conocimientos prácticos en el uso de técnicas y herramientas de prueba de seguridad
• Estarán informados sobre vulnerabilidades recientes en diversas plataformas, marcos y bibliotecas
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público

Desarrolladores, probadores

En este curso dirigido por un instructor y en vivo en Colombia, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad DevOps.

El curso EC-Council Certified DevSecOps Engineer (ECDE) es una formación práctica diseñada para dotar a los profesionales con las habilidades necesarias para integrar la seguridad en todo el ciclo de vida de DevOps, permitiendo un desarrollo seguro del software desde la etapa de planificación hasta la de despliegue.

Esta capacitación dirigida por un instructor (en línea o presencial) está orientada a profesionales intermedios de software y DevOps que buscan incorporar prácticas de seguridad en las pipelines CI/CD, asegurando así la entrega segura y conforme del código.

Al concluir esta capacitación, los participantes podrán:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de las pipelines CI/CD mediante el uso de herramientas automatizadas.
• Implementar técnicas de codificación segura y escaneo de vulnerabilidades.
• Prepararse para la certificación ECDE con laboratorios prácticos y repaso.

Formato del Curso

• Sesiones interactivas de conferencia y discusión.
• Uso práctico de herramientas DevSecOps en pipelines simuladas.
• Ejercicios guiados enfocados en el desarrollo y despliegue seguro.

Opciones de Personalización del Curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para organizarlo.

Este curso en Colombia tiene como objetivo ayudar en lo siguiente:

1. Ayuda a los desarrolladores a dominar las técnicas de escritura Secure Code
2. Ayude a los probadores de software a probar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos que rodean a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayude a los Web Masters a configurar los servidores para evitar errores de configuración

Este curso explora los conceptos y principios de codificación segura con Java mediante la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). OWASP es una comunidad en línea dedicada a crear artículos, metodologías, documentación, herramientas y tecnologías que se encuentran disponibles gratuitamente en el ámbito de la seguridad de aplicaciones web.

Este curso aborda los conceptos y principios de la codificación segura con ASP.net, utilizando la metodología de pruebas del Open Web Application Security Project (OWASP). OWASP es una comunidad en línea que desarrolla artículos, metodologías, documentación, herramientas y tecnologías, todas disponibles gratuitamente para mejorar la seguridad de las aplicaciones web.

El curso también explora las características de seguridad del Dot Net Framework y cómo implementar medidas efectivas para proteger las aplicaciones web.