¿Es seguro el código de mis aplicaciones?

Líneas de código.
Líneas de código.

Las aplicaciones son en la actualidad uno de los elementos más responsables del éxito de un dispositivo o de un sistema operativo. Hemos visto desaparecer propuestas tecnológicas excelentes simplemente porque no existían suficientes aplicaciones que se ejecutaran sobre ellas. En el recuerdo quedan BlackBerry, Windows Mobile, Symbian OS…

Las aplicaciones normalmente se pueden adquirir en los marketplace de turno, o bien es necesario desarrollarlas para casos de uso más específicos, como portales de comercio electrónico o para soportar servicios ofrecidos por una compañía. En ambos casos, desde el punto de vista de seguridad tendemos a pensar que las aplicaciones son invulnerables, porque un tercero de confianza debería asegurar que lo que pone en el mercado es seguro, o porque el equipo de desarrolladores que hemos contratado tiene que saber hacer bien su trabajo. 

Pero nada más lejos de la realidad. Escribir código, como todo, está expuesto a peligros. Además, la seguridad del software no siempre tiene que ver con la competencia técnica o la ética de las personas que escriben el código, sino con la complejidad del mismo. Por ejemplo, suele ser habitual que los programadores utilicen librerías de terceros, en muchas ocasiones del dominio público, que contienen vulnerabilidades que los ciberdelincuentes pueden aprovechar.

La seguridad del software no siempre tiene que ver con la competencia técnica o la ética de las personas que escriben el código, si con la complejidad del mismo

Y aunque algunas de estas vulnerabilidades se pueden corregir, es casi seguro que otras nuevas aparecerán. Otras veces las prisas por sacar nuevas versiones de las aplicaciones (basadas sobre todo en metodologías DevOps) hace que el criterio tiempo prevalezca sobre el de la seguridad. También las aplicaciones heredadas, tanto las de tipo monolítico como web, pueden contener brechas de seguridad explotables. Y es costoso testearlas si no se cuenta con herramientas automatizadas de prueba. 

Hay soluciones en el mercado

Pero hay soluciones a estos problemas. En este sentido, existen proveedores tecnológicos que ayudan a los desarrolladores y a las empresas que construyen aplicaciones a ofrecer apps y líneas de código realmente fiables. Una de ellas es Veracode, compañía estadounidense fundada en 2006. Veracode cuenta con una plataforma para crear software seguro, reducir el riesgo de brechas y aumentar al mismo tiempo la productividad de los equipos de desarrollo. Es una plataforma que ya ha evaluado más de 14.000 millones de líneas de código y ha ayudado a corregir más de 46 millones de fallos de seguridad.

Veracode es capaz de gestionar el riesgo en todo el portfolio de aplicaciones de una organización. Y eso lo consigue aplicando análisis estáticos, dinámicos, interactivos o de librerías de código abierto. Y todos ellos los hace visible a través de una única vista centralizada. Veracode permite mantener la seguridad en el ciclo de vida de las aplicaciones sin que por ello haya retrasos en su implantación o se interrumpan las mejoras y la innovación.  

 Veracode ya ha evaluado más de 14.000 millones de líneas de código y ha ayudado a corregir más de 46 millones de fallos de seguridad

“Incorporar la seguridad a la estrategia de DevOps de las empresas suele suponer un auténtico desafío para muchas organizaciones. Ya no es suficiente con los controles habituales en la última fase del desarrollo del software y las aplicaciones. Ahora es necesario disponer de unas herramientas adecuadas, como las que ofrece Veracode, para identificar aquellas prácticas inadecuadas lo antes posible, desde los primeros pasos, y de una manera automática”, explica Santiago Méndez, director general de Tech Data Advanced Solutions Iberia.

¿Necesitas un experto en Ciberseguridad?