¿Son las fugas de código fuente la nueva amenaza que deberían preocupar los proveedores de software?


Hace menos de un mes, Twitter reconoció indirectamente que parte de su código fuente se había filtrado en la plataforma de código compartido GitHub al enviar un aviso de infracción de derechos de autor para eliminar el repositorio incriminado. Este último ahora es inaccesible, pero según los medios, estuvo accesible al público durante varios meses. Un usuario con el nombre FreeSpeechEnthousiast comprometió miles de documentos pertenecientes a la plataforma de redes sociales durante varios meses.

Si bien no hay pruebas concretas que respalden esta hipótesis, el momento de la filtración y el irónico nombre de usuario utilizado por el perpetrador sugieren que la filtración fue un acto deliberado destinado a causar daño a la empresa.

Aunque todavía es demasiado pronto para medir el impacto de esta filtración en la salud de Twitter, este incidente debería ser una oportunidad para que todos los proveedores de software hagan una pregunta simple: ¿y si esto nos pasara a nosotros?

La protección de la información confidencial en la industria del software se está volviendo cada vez más crítica a medida que la frecuencia y el impacto de las filtraciones y filtraciones de datos continúan aumentando. Con la creciente dependencia del software, la cantidad de información confidencial almacenada en formato digital crece constantemente.

Hace aproximadamente un año, la pandilla de hackers Lapsus$ fue noticia por filtrar públicamente el código fuente de algunos de los nombres más importantes de la tecnología. Los trofeos del grupo incluyeron casi 200 GB de código fuente de Samsung, el código fuente de la tecnología DLSS de Nvidia y 250 proyectos internos de Microsoft. Varias otras compañías de software también han sido atacadas, y sus bases de código han caído en las manos equivocadas: LastPass, Dropbox, Okta y Slack han revelado que parte de su código estaba comprometido.

Un tesoro de información confidencial

El código fuente contiene una gran cantidad de información confidencial y eso incluye, la mayoría de las veces, secretos codificados como contraseñas, claves API y claves privadas de certificados. Esta información a menudo se almacena en texto sin formato dentro del código fuente, lo que la convierte en un objetivo atractivo para los atacantes.

Hay muchos riesgos potenciales asociados con el código fuente privado filtrado, pero los secretos expuestos son quizás los más preocupantes: en el Expansión del estado de los secretos en 2023, el análisis individual más grande de la actividad pública de GitHub, GitGuardian informó 10 millones de secretos recientemente expuestos solo en 2022, una cifra asombrosa que creció un 67 % año tras año. El fenómeno se explica en gran parte por el hecho de que es muy fácil usar el control de versiones como Git para publicar por error secretos codificados enterrados en el historial de confirmaciones. Pero las intenciones maliciosas también pueden ser la causa de la divulgación de información confidencial.

Cuando un fuga de código fuente sucede, estos secretos pueden quedar expuestos, proporcionando a los atacantes acceso a sistemas y datos. Secrets-in-code es un problema particularmente significativo. Permiten que un atacante se mueva rápidamente para explotar una serie de sistemas, lo que dificulta que las organizaciones contengan el daño. Desafortunadamente, el código fuente interno es un activo con muchas fugas. Es ampliamente accesible para los desarrolladores de toda la empresa, se realiza una copia de seguridad en diferentes servidores e incluso se almacena en las máquinas locales de los desarrolladores. Esa es una de las razones por las que asegurarse de que no se expongan secretos en primer lugar es tan crucial.

Además del riesgo de actividad maliciosa, los errores cometidos por los desarrolladores también pueden poner en riesgo a las empresas. Por ejemplo, pueden ocurrir fugas accidentales de código debido a la forma en que GitHub ha diseñado su oferta empresarial/organizacional. Esto hace que sea engorroso para las organizaciones evitar fugas accidentales y, por el contrario, demasiado fácil para que los desarrolladores cometan errores.

Los defectos lógicos expuestos también son una preocupación. Puede haber vulnerabilidades en la forma en que las aplicaciones de software manejan funciones y datos que podrían estar presentes en el código fuente. Cuando se expone el código fuente, los atacantes pueden analizarlo en busca de estas vulnerabilidades y explotarlas para obtener acceso no autorizado. Lo mismo ocurre con la arquitectura de la aplicación. A menudo, las organizaciones esperan que la arquitectura de sus aplicaciones esté oculta, un concepto llamado seguridad por oscuridad. Cuando se expone el código fuente, puede llevar a los atacantes a un mapa de cómo funcionan las aplicaciones, dándoles la oportunidad de encontrar activos ocultos.

Hora de actuar: proteja su código fuente

El problema no es nuevo, y muchos en la industria de la seguridad han estado haciendo sonar la alarma durante algún tiempo. Sin embargo, las iniciativas recientes de la administración Biden para fortalecer la resiliencia cibernética de las infraestructuras y las pymes han aumentado el enfoque en la responsabilidad de los proveedores de software. A medida que la seguridad cibernética se convierta en una prioridad nacional, habrá una mayor presión para promover prácticas de desarrollo seguras y dar forma a las fuerzas del mercado para priorizar la protección de la información confidencial.

Entonces, ¿qué pueden hacer los proveedores de software para proteger su código fuente y su información confidencial? En primer lugar, deben reconocer los riesgos potenciales y tomar las medidas adecuadas para mitigarlos. Esto incluye implementar medidas de seguridad para proteger contra actividades maliciosas y garantizar que los secretos codificados no se almacenen como texto sin formato dentro del código fuente.

Sin embargo, se necesita más de un único enfoque para proteger la información confidencial en la industria del software. El uso de una combinación de soluciones de gestión de secretos, prácticas de codificación segura y detección automática de secretos puede proporcionar una estrategia de seguridad integral.

La detección de secretos implica escanear el código fuente y otros activos digitales en busca de secretos codificados, alertando a los desarrolladores sobre posibles vulnerabilidades que los atacantes podrían explotar. Con este enfoque proactivo, las organizaciones pueden proteger mejor su información confidencial e identificar posibles riesgos de seguridad antes en el ciclo de vida del desarrollo de software.

La combinación de una solución de detección de secretos junto con la gestión de secretos y las prácticas de codificación segura proporciona un enfoque de seguridad en capas que puede ayudar a mitigar los riesgos asociados con el código fuente filtrado y otras vulnerabilidades potenciales.

Además de estas medidas técnicas, también es importante asegurarse de que los empleados estén capacitados y educados en las mejores prácticas de ciberseguridad. Esto incluye programas regulares de capacitación y concientización para garantizar que los empleados sean conscientes de los riesgos y sepan cómo proteger la información confidencial.

Seguridad Continua

En general, proteger el código fuente y la información confidencial es un tema crítico para los proveedores de software. A medida que aumenta la frecuencia de actividades maliciosas y filtraciones accidentales, es esencial que los proveedores tomen medidas para mitigar los riesgos y proteger los datos de sus clientes. Mediante la implementación de prácticas de codificación seguras, el uso de soluciones de administración de secretos y la provisión de programas de capacitación y concientización para los empleados, los proveedores pueden ayudar a impulsar una mejora continua de las prácticas de desarrollo de software a largo plazo.

Es importante tener en cuenta que proteger el código fuente y la información confidencial no es un evento de una sola vez. Es un proceso continuo que requiere atención y vigilancia constantes. Los proveedores de software deben monitorear continuamente sus sistemas en busca de posibles vulnerabilidades y asegurarse de que sus medidas de seguridad estén actualizadas.

Si está interesado en mejorar las prácticas de gestión de secretos de su organización, lo alentamos a tomar nuestra cuestionario de gestión de secretos (anónimo) para evaluar su situación específica. Solo toma cinco minutos obtener una descripción general rápida de las fortalezas y debilidades de su organización y comenzar el camino hacia una mejor seguridad.

Asegúrese de que su información confidencial esté protegida y se mantenga la confianza de sus clientes.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.



ttn-es-57