Cómo escribir código seguro

Android es una plataforma abierta para dispositivos móviles como teléfonos inteligentes y tabletas. Cuenta con una amplia variedad de características de seguridad que facilitan el desarrollo de software seguro; sin embargo, también carece de ciertos aspectos de seguridad presentes en otras plataformas de dispositivos móviles. Este curso ofrece una visión general exhaustiva de estas características y señala las deficiencias más críticas que es necesario conocer, relacionadas con el sistema Linux subyacente, el sistema de archivos y el entorno en general, así como con el uso de permisos y otros componentes de desarrollo de software en Android.

Se describen errores de seguridad y vulnerabilidades típicos tanto para código nativo como para aplicaciones en Java, junto con recomendaciones y mejores prácticas para evitarlos y mitigarlos. En muchos de los casos analizados, los problemas se ilustran con ejemplos de la vida real y estudios de caso. Por último, se ofrece una breve introducción sobre cómo utilizar herramientas de prueba de seguridad para detectar errores de programación con impacto en la seguridad.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura.
• Aprenderán sobre las soluciones de seguridad en Android.
• Sabrán cómo utilizar diversas características de seguridad de la plataforma Android.
• Obtendrán información sobre vulnerabilidades recientes en Java para Android.
• Conocerán los errores de programación típicos y cómo evitarlos.
• Comprenderán las vulnerabilidades en código nativo en Android.
• Serán conscientes de las graves consecuencias de un manejo inseguro de búferes en código nativo.
• Entenderán las técnicas de protección arquitectónica y sus debilidades.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura.

Público objetivo

Profesionales

Implementar una aplicación en red segura puede ser difícil, incluso para desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estas primitivas criptográficas, primero se establece una base sólida sobre los requisitos principales de la comunicación segura: confirmación segura, integridad, confidencialidad, identificación remota y anonimato. Además, se presentan los problemas típicos que pueden comprometer estos requisitos, junto con soluciones del mundo real.

La criptografía es un aspecto crítico de la seguridad de red; por ello, también se discuten los algoritmos criptográficos más importantes en criptografía simétrica, funciones hash, criptografía asimétrica y acuerdo de claves. En lugar de profundizar en el fundamento matemático, estos elementos se abordan desde la perspectiva de un desarrollador, mostrando ejemplos de casos de uso típicos y consideraciones prácticas relacionadas con el uso de criptografía, como las infraestructuras de clave pública. Se introducen protocolos de seguridad en diversas áreas de la comunicación segura, con un análisis detallado de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se discuten las vulnerabilidades criptográficas típicas, tanto relacionadas con ciertos algoritmos criptográficos como con protocolos criptográficos, tales como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y otros similares, así como el ataque de temporización RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, nuevamente sin profundizar en detalles matemáticos complejos.

Finalmente, dado que la tecnología XML es fundamental para el intercambio de datos en aplicaciones en red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML en servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como las debilidades de dichas medidas y problemas específicos de seguridad de XML, como inyección XML, ataques de entidad externa XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso podrán:

• Comprender los conceptos básicos de seguridad, seguridad TI y programación segura
• Entender los requisitos de la comunicación segura
• Aprender sobre ataques y defensas de red en diferentes capas del modelo OSI
• Adquirir una comprensión práctica de la criptografía
• Entender los protocolos de seguridad esenciales
• Comprender algunos ataques recientes contra sistemas criptográficos
• Obtener información sobre vulnerabilidades relacionadas recientes
• Entender los conceptos de seguridad de los servicios web
• Obtener fuentes y lecturas adicionales sobre prácticas de programación segura

Público objetivo

Desarrolladores, profesionales

Este curso de tres días cubre los fundamentos de la seguridad del código C/C++ frente a usuarios malintencionados que podrían explotar múltiples vulnerabilidades relacionadas con la gestión de memoria y el manejo de entradas. El curso aborda los principios de la escritura de código seguro.

Incluso los programadores de Java con experiencia no dominan por completo los diversos servicios de seguridad que ofrece Java, y tampoco están al tanto de las diferentes vulnerabilidades relevantes para las aplicaciones web desarrolladas en este lenguaje.

El curso, además de presentar los componentes de seguridad de la Edición Estándar de Java, aborda los problemas de seguridad de la Edición Empresarial de Java (JEE) y los servicios web. Antes de discutir servicios específicos, se establecen las bases de la criptografía y la comunicación segura. Diversos ejercicios permiten practicar técnicas de seguridad declarativas y programáticas en JEE, mientras que se analiza tanto la seguridad en la capa de transporte como la seguridad de extremo a extremo en los servicios web. El uso de todos los componentes se presenta a través de múltiples ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs y herramientas discutidas.

El curso también recorre y explica las fallas de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad presentadas abordan tanto problemas específicos del lenguaje como aquellos que surgen del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran mediante ejercicios fáciles de comprender, seguidos de las pautas de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso lograrán:

• Comprender los conceptos básicos de seguridad, seguridad informática y codificación segura
• Aprender sobre vulnerabilidades web más allá de las OWASP Top Ten y saber cómo evitarlas
• Entender los conceptos de seguridad de los servicios web
• Aprender a utilizar diversas características de seguridad del entorno de desarrollo de Java
• Alcanzar una comprensión práctica de la criptografía
• Conocer las soluciones de seguridad de Java EE
• Aprender sobre errores comunes de codificación y cómo evitarlos
• Obtener información sobre vulnerabilidades recientes en el framework de Java
• Adquirir conocimientos prácticos en el uso de herramientas de pruebas de seguridad
• Obtener fuentes y lecturas adicionales sobre buenas prácticas de codificación segura

Público objetivo

Desarrolladores

Descripción

El lenguaje Java y el Entorno de Ejecución (JRE) fueron diseñados para estar libres de las vulnerabilidades de seguridad más problemáticas que suelen presentarse en otros lenguajes, como C/C++. Sin embargo, los desarrolladores y arquitectos de software no solo deben saber cómo utilizar las diversas funciones de seguridad del entorno Java (seguridad positiva), sino también estar conscientes de las numerosas vulnerabilidades que siguen siendo relevantes en el desarrollo con Java (seguridad negativa).

Antes de introducir los servicios de seguridad, se ofrece una breve visión general de los fundamentos de la criptografía, estableciendo una base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos en los que los participantes pueden probar por sí mismos las API discutidas.

El curso también examina y explica los errores de programación más frecuentes y graves en el lenguaje y la plataforma Java, cubriendo tanto los fallos típicos cometidos por los desarrolladores de Java como los problemas específicos del lenguaje y del entorno. Todas las vulnerabilidades y los ataques relevantes se demuestran mediante ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asistan a este curso podrán

• Comprender los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprender sobre vulnerabilidades web más allá de las incluidas en OWASP Top Ten y saber cómo evitarlas
• Aprender a utilizar diversas funciones de seguridad del entorno de desarrollo Java
• Alcanzar una comprensión práctica de la criptografía
• Conocer los errores de codificación típicos y cómo evitarlos
• Obtener información sobre algunas vulnerabilidades recientes en el framework de Java
• Acceder a fuentes y lecturas adicionales sobre buenas prácticas de codificación segura

Público objetivo

Desarrolladores

Actualmente, existen varios lenguajes de programación que permiten compilar código para los frameworks .NET y ASP.NET. Aunque este entorno ofrece herramientas potentes para el desarrollo seguro, los desarrolladores deben saber aplicar técnicas de programación a nivel de arquitectura y de código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, mediante numerosos ejercicios prácticos, cómo evitar que el código no confiable ejecute acciones privilegiadas, proteger recursos mediante autenticación y autorización robustas, gestionar llamadas a procedimientos remotos, administrar sesiones, implementar diferentes soluciones para ciertas funcionalidades, entre otros aspectos.

La introducción a las diversas vulnerabilidades comienza con la presentación de problemas de programación típicos al usar .NET, mientras que el análisis de las vulnerabilidades de ASP.NET también abarca la configuración del entorno y sus efectos. Finalmente, el tema de las vulnerabilidades específicas de ASP.NET no solo trata desafíos generales de seguridad en aplicaciones web, sino también problemas especiales y métodos de ataque, como el ataque al ViewState o los ataques de terminación de cadenas.

Los participantes de este curso podrán

• Comprender los conceptos básicos de seguridad, seguridad de TI y programación segura
• Aprender sobre vulnerabilidades web más allá de las OWASP Top Ten y saber cómo evitarlas
• Descubrir cómo utilizar las diversas características de seguridad del entorno de desarrollo .NET
• Adquirir conocimientos prácticos en el uso de herramientas de pruebas de seguridad
• Conocer los errores de codificación típicos y cómo evitarlos
• Obtener información sobre vulnerabilidades recientes en .NET y ASP.NET
• Acceder a fuentes y lecturas adicionales sobre buenas prácticas de programación segura

Público objetivo

Desarrolladores

Este curso introduce conceptos fundamentales de seguridad, ofrece una visión general sobre la naturaleza de las vulnerabilidades independientemente de los lenguajes de programación y plataformas utilizados, y explica cómo gestionar los riesgos relacionados con la seguridad del software en las diversas fases del ciclo de vida del desarrollo de software. Sin profundizar en detalles técnicos, se destacan algunas de las vulnerabilidades más interesantes y críticas en diversas tecnologías de desarrollo de software, y se presentan los desafíos de las pruebas de seguridad, junto con algunas técnicas y herramientas que pueden aplicarse para detectar problemas existentes en el código.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad informática y codificación segura
• Entenderán las vulnerabilidades web tanto del lado del servidor como del cliente
• Se darán cuenta de las graves consecuencias de un manejo inseguro de búferes
• Estarán informados sobre algunas vulnerabilidades recientes en entornos de desarrollo y frameworks
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Comprenderán los enfoques y metodologías de las pruebas de seguridad

Público objetivo

Gerentes

Este curso brinda las habilidades esenciales que los desarrolladores de PHP necesitan para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos realizados a través de Internet. Se analizan vulnerabilidades web mediante ejemplos basados en PHP que van más allá de las principales amenazas del OWASP Top Ten, abordando diversos tipos de inyección, inyecciones de scripts, ataques contra la gestión de sesiones de PHP, referencias directas inseguras a objetos, problemas relacionados con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se presentan agrupadas en los tipos estándar de fallos: validación de entrada ausente o incorrecta, manejo inadecuado de errores y excepciones, uso indebido de características de seguridad, y problemas relacionados con el tiempo y el estado. En este último caso, se discuten ataques como la evasión de open_basedir, denegación de servicio mediante floats mágicos o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes para mitigar los riesgos enumerados.

Se presta especial atención a la seguridad del lado del cliente, abordando problemas de seguridad en JavaScript, Ajax y HTML5. Se presentan diversas extensiones de seguridad para PHP, como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para la validación de entrada. Se exponen las mejores prácticas de endurecimiento en relación con la configuración de PHP (archivo php.ini), Apache y el servidor en general. Por último, se ofrece una visión general de diversas herramientas y técnicas de pruebas de seguridad que desarrolladores y testers pueden utilizar, incluyendo escáneres de seguridad, pruebas de penetración y packs de exploits, analizadores de tráfico, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de las vulnerabilidades como las prácticas de configuración se respaldan con numerosos ejercicios prácticos que demuestran las consecuencias de ataques exitosos, muestran cómo aplicar técnicas de mitigación e introducen el uso de diversas extensiones y herramientas.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de programación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar diversas características de seguridad de PHP
• Conocerán errores típicos de codificación y cómo evitarlos
• Se mantendrán informados sobre las vulnerabilidades recientes del framework PHP
• Adquirirán conocimientos prácticos sobre el uso de herramientas de pruebas de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura

Público objetivo

Desarrolladores

La formación combinada sobre el núcleo de SDL ofrece una visión profunda del diseño, desarrollo y pruebas de software seguro a través del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft. Ofrece una introducción de nivel 100 de los bloques fundamentales del SDL, seguida de técnicas de diseño para detectar y corregir fallos en las etapas iniciales del proceso de desarrollo.

Enfocándose en la fase de desarrollo, el curso presenta una visión general de los errores de programación típicos relacionados con la seguridad, tanto en código gestionado como nativo. Se exponen métodos de ataque para las vulnerabilidades discutidas, junto con las técnicas de mitigación correspondientes, todo ello explicado mediante numerosos ejercicios prácticos que brindan a los participantes la oportunidad de experimentar con hacking en tiempo real. Tras la introducción de diferentes métodos de pruebas de seguridad, se demuestra la eficacia de diversas herramientas de prueba. Los participantes comprenderán el funcionamiento de estas herramientas a través de ejercicios prácticos aplicándolas al código vulnerable ya discutido.

Los participantes que asistan a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura.

Conocerán los pasos esenciales del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft.

Aprenderán prácticas de diseño y desarrollo seguro.

Obtendrán conocimientos sobre los principios de implementación segura.

Entenderán la metodología de pruebas de seguridad.

• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura.

Público objetivo

Desarrolladores y gerentes.

Después de familiarizarse con las vulnerabilidades y los métodos de ataque, los participantes aprenden sobre el enfoque general y la metodología para realizar pruebas de seguridad, así como las técnicas que pueden aplicarse para revelar vulnerabilidades específicas. Las pruebas de seguridad deben comenzar con la recopilación de información sobre el sistema (ToC, es decir, el Objetivo de Evaluación); luego, un modelado de amenazas exhaustivo debe identificar y clasificar todas las amenazas, culminando en un plan de pruebas basado en el análisis de riesgos más adecuado.

Las evaluaciones de seguridad pueden llevarse a cabo en diversas etapas del ciclo de vida de desarrollo de software (SDLC), por lo que analizaremos la revisión de diseño, la revisión de código, el reconocimiento y la recopilación de información sobre el sistema, la prueba de la implementación y la prueba y endurecimiento del entorno para un despliegue seguro. Se presentan en detalle numerosas técnicas de pruebas de seguridad, como el análisis de taint, la revisión de código basada en heurísticas, el análisis estático de código, las pruebas dinámicas de vulnerabilidades web o el fuzzing. También se introducen diversos tipos de herramientas que pueden utilizarse para automatizar la evaluación de seguridad de productos de software, lo cual se respalda con varios ejercicios en los que ejecutamos estas herramientas para analizar el código vulnerable previamente discutido. Además, muchos casos de estudio de la vida real facilitan una mejor comprensión de las diversas vulnerabilidades.

Este curso prepara a los equipos de pruebas y al personal de control de calidad para planificar adecuadamente y ejecutar con precisión las pruebas de seguridad, seleccionar y utilizar las herramientas y técnicas más apropiadas para detectar incluso fallos de seguridad ocultos, proporcionando así habilidades prácticas esenciales que pueden aplicarse desde el día siguiente en el entorno laboral.

Los participantes que asistan a este curso:

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y programación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Conocerán las vulnerabilidades del lado del cliente y las prácticas de programación segura.
• Entenderán los enfoques y metodologías para las pruebas de seguridad.
• Adquirirán conocimientos prácticos sobre el uso de técnicas y herramientas de pruebas de seguridad.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de programación segura.

Público objetivo

Desarrolladores y Probadores

Proteger aplicaciones accesibles a través de la web requiere profesionales de seguridad bien preparados, que estén siempre al tanto de los métodos y tendencias actuales de ataque. Existe una amplia variedad de tecnologías y entornos que permiten el desarrollo cómodo de aplicaciones web. No solo es necesario estar consciente de los problemas de seguridad específicos de estas plataformas, sino también de todas las vulnerabilidades generales que aplican independientemente de las herramientas de desarrollo utilizadas.

El curso ofrece una visión general de las soluciones de seguridad aplicables en las aplicaciones web, con un enfoque especial en comprender las soluciones criptográficas más importantes que deben implementarse. Las diversas vulnerabilidades de las aplicaciones web se presentan tanto en el lado del servidor (siguiendo el OWASP Top Ten) como en el lado del cliente, demostradas mediante los ataques correspondientes, seguidas de las técnicas de codificación recomendadas y los métodos de mitigación para evitar los problemas asociados. El tema de la codificación segura se concluye discutiendo errores de programación típicos relevantes para la seguridad en el ámbito de la validación de entradas, el uso incorrecto de características de seguridad y la calidad del código.

Las pruebas desempeñan un papel muy importante para garantizar la seguridad y robustez de las aplicaciones web. Se pueden aplicar diversos enfoques, desde auditorías de alto nivel hasta pruebas de penetración y hacking ético, para identificar vulnerabilidades de diferentes tipos. Sin embargo, si se desea ir más allá de las vulnerabilidades fáciles de encontrar, las pruebas de seguridad deben planificarse cuidadosamente y ejecutarse correctamente. Recuerde: idealmente, los probadores de seguridad deben encontrar todos los errores para proteger un sistema, mientras que para los adversarios basta con encontrar una vulnerabilidad explotable para penetrar en él.

Los ejercicios prácticos ayudarán a comprender las vulnerabilidades de las aplicaciones web, los errores de programación y, lo más importante, las técnicas de mitigación, junto con pruebas prácticas de diversas herramientas de prueba, desde escáneres de seguridad, sniffers, servidores proxy y herramientas de fuzzing, hasta analizadores estáticos de código fuente. Este curso proporciona las habilidades prácticas esenciales que se pueden aplicar al día siguiente en el lugar de trabajo.

Los participantes que asistan a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Obtendrán una comprensión práctica de la criptografía
• Comprenderán los enfoques y metodologías de pruebas de seguridad
• Adquirirán conocimientos prácticos sobre el uso de técnicas y herramientas de pruebas de seguridad
• Se mantendrán informados sobre vulnerabilidades recientes en diversas plataformas, marcos de trabajo y bibliotecas
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Probadores

En este curso en vivo impartido por un instructor en Colombia, los participantes aprenderán cómo formular la estrategia de seguridad adecuada para enfrentar el desafío de la seguridad en DevOps.

El curso Ingeniero Certificado en DevSecOps de EC-Council (ECDE) es una formación práctica diseñada para dotar a los profesionales de las habilidades necesarias para integrar la seguridad en todo el ciclo de vida de DevOps, garantizando un desarrollo de software seguro desde la planificación hasta la implementación.

Esta formación impartida por un instructor, en vivo (en línea o presencial), está dirigida a profesionales de software y DevOps de nivel intermedio que deseen integrar prácticas de seguridad en las tuberías de CI/CD, asegurando la entrega de código seguro y conforme.

Al finalizar esta formación, los participantes serán capaces de:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería de CI/CD mediante el uso de herramientas automatizadas.
• Implementar prácticas de codificación segura y análisis de vulnerabilidades.
• Prepararse para la certificación ECDE con laboratorios prácticos y repasos.

Formato del curso

• Clases interactivas y debates.
• Uso práctico de herramientas de DevSecOps en tuberías simuladas.
• Ejercicios guiados centrados en el desarrollo y la implementación seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, contáctenos para coordinarlo.

Este curso abarca los conceptos y principios de codificación segura en Java mediante la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Proyecto de Seguridad de Aplicaciones Web Abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de acceso gratuito en el campo de la seguridad de aplicaciones web.

Este curso aborda los conceptos y principios de codificación segura con ASP.NET mediante la metodología de pruebas del Open Web Application Security Project (OWASP). OWASP es una comunidad en línea que genera artículos, metodologías, documentación, herramientas y tecnologías de acceso gratuito en el ámbito de la seguridad de aplicaciones web. 

Este curso explora las características de seguridad del marco .NET y cómo proteger aplicaciones web.