{"id":803556,"date":"2023-06-13T18:37:40","date_gmt":"2023-06-13T18:37:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/mas-de-la-mitad-de-los-lideres-de-seguridad-no-confian-en-proteger-los-secretos-de-las-aplicaciones-revela-un-estudio\/"},"modified":"2023-06-13T18:37:48","modified_gmt":"2023-06-13T18:37:48","slug":"mas-de-la-mitad-de-los-lideres-de-seguridad-no-confian-en-proteger-los-secretos-de-las-aplicaciones-revela-un-estudio","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/mas-de-la-mitad-de-los-lideres-de-seguridad-no-confian-en-proteger-los-secretos-de-las-aplicaciones-revela-un-estudio\/","title":{"rendered":"M\u00e1s de la mitad de los l\u00edderes de seguridad no conf\u00edan en proteger los secretos de las aplicaciones, revela un estudio"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Puede ser una sorpresa, pero la gesti\u00f3n de secretos se ha convertido en el elefante en la sala de AppSec.  Si bien las vulnerabilidades de seguridad como las vulnerabilidades y exposiciones comunes (CVE) a menudo aparecen en los titulares en el mundo de la ciberseguridad, la gesti\u00f3n de secretos sigue siendo un problema que se pasa por alto y que puede tener consecuencias inmediatas e impactantes para la seguridad corporativa. <\/p>\n<p>Un estudio reciente de GitGuardian encontr\u00f3 que el 75 % de los responsables de la toma de decisiones de TI en los EE. UU. y el Reino Unido informaron que se filtr\u00f3 al menos un secreto de una aplicaci\u00f3n, y el 60 % caus\u00f3 problemas para la empresa o los empleados.  Sorprendentemente, menos de la mitad de los encuestados (48 %) confiaba en su capacidad para proteger los secretos de las aplicaciones &#8220;en gran medida&#8221;.<\/p>\n<p>El estudio, denominado <strong>Voice of Practitioners: El estado de los secretos en AppSec<\/strong> (disponible para descarga gratuita <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/files\/voice-of-practitioners-the-state-of-secrets-in-appsec\" target=\"_blank\">aqu\u00ed<\/a>), proporciona una nueva perspectiva sobre la gesti\u00f3n de secretos, que a menudo se reduce a clich\u00e9s que no reflejan la realidad operativa en los departamentos de ingenier\u00eda. <\/p>\n<p>A pesar de su ubicuidad en las operaciones modernas de nube y desarrollo, los secretos siguen siendo un tema espinoso incluso para las organizaciones m\u00e1s maduras.  La multiplicaci\u00f3n de la cantidad de secretos que se usan simult\u00e1neamente dentro del ciclo de desarrollo hace que sea demasiado f\u00e1cil perder el control de las medidas de seguridad s\u00f3lidas y &#8220;filtrarse&#8221;.<\/p>\n<h2>Protecci\u00f3n de los secretos de las aplicaciones<\/h2>\n<p>Cuando un secreto se ha filtrado, deja de ser un secreto y es accesible a personas o sistemas no autorizados durante un tiempo determinado.  Las filtraciones ocurren principalmente internamente porque los secretos se copian y pegan en archivos de configuraci\u00f3n, archivos de c\u00f3digo fuente, correos electr\u00f3nicos, aplicaciones de mensajer\u00eda y m\u00e1s.  Fundamentalmente, si un desarrollador codifica secretos en su c\u00f3digo o archivos de configuraci\u00f3n y el c\u00f3digo se env\u00eda a un repositorio de GitHub, esos secretos tambi\u00e9n se env\u00edan.  Otro escenario en el peor de los casos surge cuando un actor malicioso logra poner sus manos en las credenciales filtradas internamente despu\u00e9s del acceso inicial, similar a lo que sucedi\u00f3 el a\u00f1o pasado con <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/uber-breach-2022\/\" target=\"_blank\">Uber<\/a>.<\/p>\n<p>El estudio Voice of Practioners evidencia que el peligro de los secretos expuestos es reconocido por la gran mayor\u00eda de los encuestados.  El setenta y cinco por ciento de los encuestados dijo que ocurri\u00f3 una filtraci\u00f3n secreta en su organizaci\u00f3n en el pasado, y el 60 % reconoci\u00f3 que caus\u00f3 problemas graves para la empresa, los empleados o ambos.<\/p>\n<p>Cuando se les pregunt\u00f3 acerca de los puntos de riesgo clave dentro de sus cadenas de suministro de software, el 58 % encontr\u00f3 &#8220;c\u00f3digo fuente y repositorios&#8221; como el \u00e1rea de riesgo central, con un 53 % para &#8220;dependencias de c\u00f3digo abierto&#8221; y un 47 % para &#8220;secretos codificados&#8221;.<\/p>\n<p>Sin embargo, las respuestas indican una brecha significativa en la madurez.  Espec\u00edficamente, menos de la mitad de los encuestados (48 %) conf\u00eda en gran medida en su capacidad para proteger los secretos de las aplicaciones:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1686681460_703_Mas-de-la-mitad-de-los-lideres-de-seguridad-no.jpg\" alt=\"Protecci\u00f3n de los secretos de las aplicaciones\" border=\"0\" data-original-height=\"327\" data-original-width=\"728\" title=\"Protecci\u00f3n de los secretos de las aplicaciones\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">De Voice of Practitioners: El estado de los secretos en AppSec<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Adem\u00e1s, m\u00e1s de una cuarta parte (27 %) de los encuestados admiti\u00f3 confiar en las revisiones manuales del c\u00f3digo para evitar filtraciones secretas, que son notablemente <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/secrets-credentials-api-git\/\" target=\"_blank\">ineficaz para detectar secretos codificados<\/a>. <\/p>\n<p>Finalmente, el estudio tambi\u00e9n encontr\u00f3 que el 53 % de la alta gerencia (como CSO, CISO y vicepresidentes de seguridad cibern\u00e9tica) cree que los secretos se comparten en texto claro a trav\u00e9s de aplicaciones de mensajer\u00eda.<\/p>\n<p>A pesar de los desaf\u00edos, hay esperanza de mejora.  El estudio revel\u00f3 que el 94% de los encuestados planea mejorar sus pr\u00e1cticas de secretos en los pr\u00f3ximos 12 a 18 meses, lo que es un paso positivo hacia una mejor gesti\u00f3n de secretos y seguridad corporativa.  Sin embargo, vale la pena se\u00f1alar que la detecci\u00f3n y correcci\u00f3n de secretos, as\u00ed como la gesti\u00f3n de secretos, deben priorizarse en t\u00e9rminos de inversi\u00f3n en comparaci\u00f3n con otras herramientas, como las herramientas de protecci\u00f3n en tiempo de ejecuci\u00f3n.  Mientras que el 38 % de los encuestados planea invertir en herramientas de protecci\u00f3n de aplicaciones en tiempo de ejecuci\u00f3n, solo el 26 % y el 25 %, respectivamente, planean asignar fondos para la detecci\u00f3n y reparaci\u00f3n de secretos y la gesti\u00f3n de secretos.<\/p>\n<h2>Un programa integral de gesti\u00f3n de secretos<\/h2>\n<p>Cada a\u00f1o se filtran m\u00e1s y m\u00e1s secretos.  GitGuardian monitorea el n\u00famero anual de fugas en la plataforma de c\u00f3digo compartido n\u00famero uno, GitHub, y publica los resultados en su informe anual. <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/files\/the-state-of-secrets-sprawl-report-2023\" target=\"_blank\">Informe sobre la dispersi\u00f3n del estado de los secretos<\/a>.  Una vez m\u00e1s, las cifras son motivo de alarma: de 3 millones de secretos detectados en 2021, la cifra salt\u00f3 un 67 % a 10 millones en 2022. Y esto es solo la punta del iceberg.  La mayor\u00eda de las filtraciones ocurren dentro del per\u00edmetro corporativo, lo que hace muy dif\u00edcil estimar una cifra global.<\/p>\n<p>Para abordar este riesgo creciente, las empresas deben fortalecer su gesti\u00f3n de secretos como una prioridad para fortalecer sus defensas.<\/p>\n<p>en un <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/lessons-from-lapsus-building-a-comprehensive-secrets-management-program\/\" target=\"_blank\">entrevista reciente<\/a> con GitGuardian, el ex CISO de Ubisoft, Jason Haddix, describi\u00f3 c\u00f3mo la importancia de la gesti\u00f3n de secretos se hizo evidente despu\u00e9s de que la compa\u00f1\u00eda fuera atacada por la pandilla de hackers Laspsus$ en marzo de 2022. Despu\u00e9s de hablar con otros 40 CISO afectados, se le ocurri\u00f3 un programa de cuatro ejes para desarrollar un programa integral de gesti\u00f3n de secretos: <\/p>\n<ul>\n<li><strong>Detectar<\/strong>: ser capaz de encontrar todas las fugas pasadas requiere una herramienta automatizada y es un paso fundamental para obtener visibilidad sobre la postura de seguridad real de una empresa.<\/li>\n<li><strong>Prevenir<\/strong>: ahorre tiempo para el futuro evitando las fugas tanto como sea posible, con barandas seguras como <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/ggshield?ref=blog.gitguardian.com\" target=\"_blank\">ganchos de compromiso previo<\/a>.<\/li>\n<li><strong>Responder<\/strong>: los secretos se filtran porque necesitan ser compartidos.  Tambi\u00e9n es fundamental contar con herramientas para almacenar, compartir y rotar estos secretos junto con controles de acceso detallados.<\/li>\n<li><strong>Educar: <\/strong>tener sesiones de aprendizaje continuas sobre secretos, no solo para desarrolladores sino para todos los empleados, garantiza que se comprendan los riesgos asociados con la codificaci\u00f3n de secretos y contrase\u00f1as, as\u00ed como las mejores pr\u00e1cticas.<\/li>\n<\/ul>\n<h2>Conclusi\u00f3n <\/h2>\n<p>El estudio Voice of Practitioners destaca la importancia de una estrategia hol\u00edstica de secretos en AppSec y brinda informaci\u00f3n valiosa sobre las mejores pr\u00e1cticas para reducir los riesgos asociados con la proliferaci\u00f3n de secretos.  La gesti\u00f3n de secretos parece una deuda que se agrava con el tiempo.  Si espera demasiado, el elefante en la habitaci\u00f3n eventualmente se volver\u00e1 demasiado grande para ignorarlo, poniendo a su organizaci\u00f3n en riesgo de sufrir graves consecuencias. <\/p>\n<p>Si est\u00e1 buscando mejorar su programa de administraci\u00f3n de secretos, un paso simple que puede tomar ahora mismo es <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/complimentary-audit-secrets-leaks-public-github?ref=thehackernews\" target=\"_blank\">solicita una auditor\u00eda gratuita de las filtraciones de secretos de tu empresa<\/a> en GitHub de GitGuardian.  El informe autom\u00e1tico que recibir\u00e1 le mostrar\u00e1 la cantidad de desarrolladores activos en GitHub, la cantidad de secretos encontrados expuestos en los repositorios de GitHub a lo largo del tiempo (categorizados) y el porcentaje de secretos v\u00e1lidos entre ellos. <\/p>\n<p>Esto lo ayudar\u00e1 a determinar con precisi\u00f3n su per\u00edmetro de desarrollador en GitHub, evaluar el orden de magnitud del riesgo al que se enfrenta su empresa y dar el primer paso hacia un programa integral de gesti\u00f3n de secretos.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/over-half-of-security-leaders-lack.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Puede ser una sorpresa, pero la gesti\u00f3n de secretos se ha convertido en el elefante en la sala<\/p>\n","protected":false},"author":1,"featured_media":803557,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,8343,4661,4664,4290,774,4662,4668,246,4667,2486,36,16,265,4654,4658,4659,4653,4655,4663,2692,3793,6628,42,4666,4665,4660],"class_list":["post-803556","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aplicaciones","tag-ataques-ciberneticos","tag-como-hackear","tag-confian","tag-estudio","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-lideres","tag-los","tag-mas","tag-mitad","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-proteger","tag-revela","tag-secretos","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/803556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=803556"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/803556\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/803557"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=803556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=803556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=803556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}