Hace menos de un mes, Twitter reconoci\u00f3 indirectamente que parte de su c\u00f3digo fuente se hab\u00eda filtrado en la plataforma de c\u00f3digo compartido GitHub al enviar un aviso de infracci\u00f3n de derechos de autor para eliminar el repositorio incriminado. Este \u00faltimo ahora es inaccesible, pero seg\u00fan los medios, estuvo accesible al p\u00fablico durante varios meses. Un usuario con el nombre FreeSpeechEnthousiast comprometi\u00f3 miles de documentos pertenecientes a la plataforma de redes sociales durante varios meses. <\/p>\n
Si bien no hay pruebas concretas que respalden esta hip\u00f3tesis, el momento de la filtraci\u00f3n y el ir\u00f3nico nombre de usuario utilizado por el perpetrador sugieren que la filtraci\u00f3n fue un acto deliberado destinado a causar da\u00f1o a la empresa.<\/p>\n
Aunque todav\u00eda es demasiado pronto para medir el impacto de esta filtraci\u00f3n en la salud de Twitter, este incidente deber\u00eda ser una oportunidad para que todos los proveedores de software hagan una pregunta simple: \u00bfy si esto nos pasara a nosotros?<\/strong><\/p>\n La protecci\u00f3n de la informaci\u00f3n confidencial en la industria del software se est\u00e1 volviendo cada vez m\u00e1s cr\u00edtica a medida que la frecuencia y el impacto de las filtraciones y filtraciones de datos contin\u00faan aumentando. Con la creciente dependencia del software, la cantidad de informaci\u00f3n confidencial almacenada en formato digital crece constantemente.<\/p>\n Hace aproximadamente un a\u00f1o, la pandilla de hackers Lapsus$ fue noticia por filtrar p\u00fablicamente el c\u00f3digo fuente de algunos de los nombres m\u00e1s importantes de la tecnolog\u00eda. Los trofeos del grupo incluyeron casi 200 GB de c\u00f3digo fuente de Samsung, el c\u00f3digo fuente de la tecnolog\u00eda DLSS de Nvidia y 250 proyectos internos de Microsoft. Varias otras compa\u00f1\u00edas de software tambi\u00e9n han sido atacadas, y sus bases de c\u00f3digo han ca\u00eddo en las manos equivocadas: LastPass, Dropbox, Okta y Slack han revelado que parte de su c\u00f3digo estaba comprometido.<\/p>\n El c\u00f3digo fuente contiene una gran cantidad de informaci\u00f3n confidencial y eso incluye, la mayor\u00eda de las veces, secretos codificados como contrase\u00f1as, claves API y claves privadas de certificados. Esta informaci\u00f3n a menudo se almacena en texto sin formato dentro del c\u00f3digo fuente, lo que la convierte en un objetivo atractivo para los atacantes.<\/p>\n Hay muchos riesgos potenciales asociados con el c\u00f3digo fuente privado filtrado, pero los secretos expuestos son quiz\u00e1s los m\u00e1s preocupantes: en el Expansi\u00f3n del estado de los secretos en 2023<\/a>, el an\u00e1lisis individual m\u00e1s grande de la actividad p\u00fablica de GitHub, GitGuardian inform\u00f3 10 millones de secretos recientemente expuestos solo en 2022, una cifra asombrosa que creci\u00f3 un 67 % a\u00f1o tras a\u00f1o. El fen\u00f3meno se explica en gran parte por el hecho de que es muy f\u00e1cil usar el control de versiones como Git para publicar por error secretos codificados enterrados en el historial de confirmaciones. Pero las intenciones maliciosas tambi\u00e9n pueden ser la causa de la divulgaci\u00f3n de informaci\u00f3n confidencial.<\/p>\n Cuando un fuga de c\u00f3digo fuente<\/a> sucede, estos secretos pueden quedar expuestos, proporcionando a los atacantes acceso a sistemas y datos. Secrets-in-code es un problema particularmente significativo. Permiten que un atacante se mueva r\u00e1pidamente para explotar una serie de sistemas, lo que dificulta que las organizaciones contengan el da\u00f1o. Desafortunadamente, el c\u00f3digo fuente interno es un activo con muchas fugas. Es ampliamente accesible para los desarrolladores de toda la empresa, se realiza una copia de seguridad en diferentes servidores e incluso se almacena en las m\u00e1quinas locales de los desarrolladores. Esa es una de las razones por las que asegurarse de que no se expongan secretos en primer lugar es tan crucial.<\/p>\n Adem\u00e1s del riesgo de actividad maliciosa, los errores cometidos por los desarrolladores tambi\u00e9n pueden poner en riesgo a las empresas. Por ejemplo, pueden ocurrir fugas accidentales de c\u00f3digo debido a la forma en que GitHub ha dise\u00f1ado su oferta empresarial\/organizacional. Esto hace que sea engorroso para las organizaciones evitar fugas accidentales y, por el contrario, demasiado f\u00e1cil para que los desarrolladores cometan errores.<\/p>\n Los defectos l\u00f3gicos expuestos tambi\u00e9n son una preocupaci\u00f3n. Puede haber vulnerabilidades en la forma en que las aplicaciones de software manejan funciones y datos que podr\u00edan estar presentes en el c\u00f3digo fuente. Cuando se expone el c\u00f3digo fuente, los atacantes pueden analizarlo en busca de estas vulnerabilidades y explotarlas para obtener acceso no autorizado. Lo mismo ocurre con la arquitectura de la aplicaci\u00f3n. A menudo, las organizaciones esperan que la arquitectura de sus aplicaciones est\u00e9 oculta, un concepto llamado seguridad por oscuridad. Cuando se expone el c\u00f3digo fuente, puede llevar a los atacantes a un mapa de c\u00f3mo funcionan las aplicaciones, d\u00e1ndoles la oportunidad de encontrar activos ocultos.<\/p>\n El problema no es nuevo, y muchos en la industria de la seguridad han estado haciendo sonar la alarma durante alg\u00fan tiempo. Sin embargo, las iniciativas recientes de la administraci\u00f3n Biden para fortalecer la resiliencia cibern\u00e9tica de las infraestructuras y las pymes han aumentado el enfoque en la responsabilidad de los proveedores de software. A medida que la seguridad cibern\u00e9tica se convierta en una prioridad nacional, habr\u00e1 una mayor presi\u00f3n para promover pr\u00e1cticas de desarrollo seguras y dar forma a las fuerzas del mercado para priorizar la protecci\u00f3n de la informaci\u00f3n confidencial.<\/p>\n Entonces, \u00bfqu\u00e9 pueden hacer los proveedores de software para proteger su c\u00f3digo fuente y su informaci\u00f3n confidencial? En primer lugar, deben reconocer los riesgos potenciales y tomar las medidas adecuadas para mitigarlos. Esto incluye implementar medidas de seguridad para proteger contra actividades maliciosas y garantizar que los secretos codificados no se almacenen como texto sin formato dentro del c\u00f3digo fuente.<\/p>\n Sin embargo, se necesita m\u00e1s de un \u00fanico enfoque para proteger la informaci\u00f3n confidencial en la industria del software. El uso de una combinaci\u00f3n de soluciones de gesti\u00f3n de secretos, pr\u00e1cticas de codificaci\u00f3n segura y detecci\u00f3n autom\u00e1tica de secretos puede proporcionar una estrategia de seguridad integral.<\/p>\n La detecci\u00f3n de secretos implica escanear el c\u00f3digo fuente y otros activos digitales en busca de secretos codificados, alertando a los desarrolladores sobre posibles vulnerabilidades que los atacantes podr\u00edan explotar. Con este enfoque proactivo, las organizaciones pueden proteger mejor su informaci\u00f3n confidencial e identificar posibles riesgos de seguridad antes en el ciclo de vida del desarrollo de software.<\/p>\n La combinaci\u00f3n de una soluci\u00f3n de detecci\u00f3n de secretos junto con la gesti\u00f3n de secretos y las pr\u00e1cticas de codificaci\u00f3n segura proporciona un enfoque de seguridad en capas que puede ayudar a mitigar los riesgos asociados con el c\u00f3digo fuente filtrado y otras vulnerabilidades potenciales.<\/p>\n Adem\u00e1s de estas medidas t\u00e9cnicas, tambi\u00e9n es importante asegurarse de que los empleados est\u00e9n capacitados y educados en las mejores pr\u00e1cticas de ciberseguridad. Esto incluye programas regulares de capacitaci\u00f3n y concientizaci\u00f3n para garantizar que los empleados sean conscientes de los riesgos y sepan c\u00f3mo proteger la informaci\u00f3n confidencial.<\/p>\n En general, proteger el c\u00f3digo fuente y la informaci\u00f3n confidencial es un tema cr\u00edtico para los proveedores de software. A medida que aumenta la frecuencia de actividades maliciosas y filtraciones accidentales, es esencial que los proveedores tomen medidas para mitigar los riesgos y proteger los datos de sus clientes. Mediante la implementaci\u00f3n de pr\u00e1cticas de codificaci\u00f3n seguras, el uso de soluciones de administraci\u00f3n de secretos y la provisi\u00f3n de programas de capacitaci\u00f3n y concientizaci\u00f3n para los empleados, los proveedores pueden ayudar a impulsar una mejora continua de las pr\u00e1cticas de desarrollo de software a largo plazo.<\/p>\n Es importante tener en cuenta que proteger el c\u00f3digo fuente y la informaci\u00f3n confidencial no es un evento de una sola vez. Es un proceso continuo que requiere atenci\u00f3n y vigilancia constantes. Los proveedores de software deben monitorear continuamente sus sistemas en busca de posibles vulnerabilidades y asegurarse de que sus medidas de seguridad est\u00e9n actualizadas.<\/p>\n Si est\u00e1 interesado en mejorar las pr\u00e1cticas de gesti\u00f3n de secretos de su organizaci\u00f3n, lo alentamos a tomar nuestra cuestionario de gesti\u00f3n de secretos<\/a> (an\u00f3nimo) para evaluar su situaci\u00f3n espec\u00edfica. Solo toma cinco minutos obtener una descripci\u00f3n general r\u00e1pida de las fortalezas y debilidades de su organizaci\u00f3n y comenzar el camino hacia una mejor seguridad.<\/p>\n Aseg\u00farese de que su informaci\u00f3n confidencial est\u00e9 protegida y se mantenga la confianza de sus clientes.<\/p>\n <\/p>\nUn tesoro de informaci\u00f3n confidencial<\/h2>\n
Hora de actuar: proteja su c\u00f3digo fuente<\/h2>\n
Seguridad Continua<\/h2>\n