Una queja común que escucho de las personas que trabajan en seguridad de aplicaciones es que la empresa para la que trabajan realmente no sabe qué es la seguridad de las aplicaciones o escucho otra queja que una vez que consiguen un trabajo como especialista en seguridad de aplicaciones, dicen que el trabajo no es realmente lo que pensaban que sería. En este artículo te explicaré qué es realmente la seguridad de las aplicaciones, cómo pueden ser las tareas diarias y qué tipo de formación y certificaciones puedes obtener para adquirir conocimientos en el campo de la seguridad de las aplicaciones o incluso convertirte en un ingeniero de seguridad de aplicaciones o especialista en seguridad de aplicaciones. Puedes llamarme el próximo experto en ciberseguridad. Llevo trabajando en ciberseguridad casi dos décadas. Cuando empecé mi trabajo en ciberseguridad, no tenía mentores ni nadie que me ayudara, así que cometí muchos errores, lo que me llevó a decidir crear este artículo para ayudarte a evitar cometer los mismos errores que cometí y ser el mentor que nunca tuve. Sin duda, hay una gran demanda de especialistas en seguridad de aplicaciones y de habilidades en seguridad de aplicaciones, por lo que las empresas tienen dificultades para encontrar personas que puedan trabajar como ingenieros de seguridad de aplicaciones a tiempo completo o como especialistas en seguridad de aplicaciones o incluso como consultores en ciberseguridad. Como consultor en ciberseguridad, siempre se espera que conozcas la seguridad de las aplicaciones, por lo que es muy común que seas un consultor en ciberseguridad que trabaje con firewalls y incidentes de seguridad y de repente te asignen un proyecto y te den una aplicación y te digan que realices una evaluación de seguridad de la aplicación. Es una habilidad muy solicitada y los salarios para los ingenieros de seguridad de aplicaciones pueden ser bastante altos, además pueden conseguir cosas como trabajar completamente a distancia y tener salarios altos, según lo que he visto en la industria. Conocer la seguridad de las aplicaciones me ha permitido hacer mucho más de lo que hubiera hecho de lo contrario si solo me hubiera especializado en un área. Por ejemplo, estuve asesorando a una compañía y me pidieron trabajar con su equipo de marketing. Su equipo de marketing había implementado una plataforma de análisis de datos que se encuentra en la nube de Adobe. Tuve que realizar una evaluación de seguridad para esa aplicación y esa plataforma de análisis de datos, así que durante esa evaluación aprendí mucho sobre cómo funciona la plataforma, cómo trabaja el equipo de marketing y cómo la empresa utiliza esa aplicación para obtener información valiosa. Pero fue mi habilidad en seguridad de aplicaciones lo que me llevó a ese proyecto. Trabajé con una compañía externa que hizo una prueba de penetración en la aplicación y realizaron una revisión de código seguro más adelante. Fue un proyecto enorme de 18 meses, así que puedes imaginar que tuvimos diferentes fases de pruebas de penetración realizadas en la aplicación y diferentes revisiones de seguridad de código, y mi tarea como consultor era analizar los resultados de esas pruebas y ayudar a los equipos internos a solucionar esas vulnerabilidades y hallazgos, ya sea a través de cambios en el código o implementando un firewall de aplicaciones web o lo que también llamamos «waf». Fue un proyecto muy interesante y personalmente aprendí mucho, por eso decidí crear este artículo para explicarte cómo adquirir esas habilidades y cuál es la forma más rápida de adquirirlas y tal vez conseguir un trabajo como ingeniero de seguridad de aplicaciones a tiempo completo o arquitecto de seguridad de aplicaciones. El principal problema con la seguridad de aplicaciones es que dos personas pueden tener el título de ingeniero de seguridad de aplicaciones y pueden tener el mismo salario, pero estar trabajando para dos empresas diferentes y realizar tareas completamente diferentes. Por ejemplo, las tareas diarias de una persona pueden ser realizar revisiones seguras de código, leer y analizar código de diferentes aplicaciones y buscar vulnerabilidades y debilidades en ese código, y ese sería su trabajo a tiempo completo, tal vez también informando sobre eso, dependiendo de la empresa. En otra empresa, otra persona con el mismo título y salario puede ser alguien que solo se encargue de revisar informes de pruebas de penetración y asesorar a los desarrolladores sobre las correcciones necesarias, o tal vez haga algo como devsecops o simplemente trabajar con el ciclo de vida del desarrollo de software y ayudar con las pruebas sin leer código en sí. Otros pueden tener el título de especialista en seguridad de aplicaciones, pero en realidad se dedican a la seguridad en la nube. Creo que esto lleva a que algunas personas tengan una ilusión sobre el trabajo, piensan que el trabajo no es lo que debería ser o tienen una idea errónea de lo que debería ser un especialista en seguridad de aplicaciones. También descubrí que algunas personas pueden sentirse abrumadas. Por ejemplo, un día están trabajando con un firewall de aplicaciones web y están volviéndose muy buenos en ello, y luego alguien les entrega una aplicación móvil y les dice que realicen una revisión segura de código, y el problema es que esta es una especialidad en sí misma. No todos pueden simplemente mirar un código escrito para un iPhone o Android y decirte exactamente cuáles son los problemas, así que puede ser estresante y a veces, para ser honestos, algunas empresas pueden tener expectativas poco realistas sobre las habilidades que esperan que sus ingenieros tengan. Así que déjame compartirte lo que personalmente hice para, en primer lugar, adquirir conocimientos en seguridad de aplicaciones, pero no solo eso, también para destacar y ser realmente bueno en la seguridad de aplicaciones. Nunca trabajé como especialista en seguridad de aplicaciones a tiempo completo, como te dije, fui consultor de ciberseguridad y más tarde, cuando era gerente, de vez en cuando me asignaban alguna tarea específica de seguridad de aplicaciones. Tenía que trabajar con ciertos equipos que querían crear una aplicación móvil para algo y yo debía asegurarme de que la aplicación fuera lo suficientemente segura para el negocio o que la aplicación web pública que tenían estuviera suficientemente segura para los propósitos comerciales. Básicamente, lo que hice para adquirir mis habilidades en seguridad de aplicaciones es exactamente lo mismo que hice para el resto de mis habilidades en ciberseguridad. Empecé construyendo cosas desde cero, utilizando formación y certificaciones con un gran enfoque en certificaciones que incluyen una parte práctica en laboratorio, así como cursos de formación centrados en habilidades prácticas y con un enfoque en la práctica. También aprendí mucho al estar involucrado en proyectos y ofreciéndome voluntario cuando había una oportunidad de trabajar en algo nuevo o algo que nadie quería tocar. Hablé de ello en este artículo aquí. Fue uno de los mejores consejos que recibí y me di cuenta de que realmente me ayudó a desarrollar mis habilidades en seguridad de aplicaciones. Así que compartiré contigo algunos de mis recursos favoritos y recomendaciones de formación y certificaciones que creo que te ayudarán a desarrollar tus habilidades en seguridad de aplicaciones. El primero es «Sportswigger.net». Sportswigger es el proveedor de Burp Suite, si alguna vez has hecho alguna prueba de penetración o algún curso de pruebas de penetración, probablemente hayas aprendido cómo usar Burp Suite o «Burp Suite Proxy», como se llama ahora. Portswigger mantiene Burp Suite y también tiene muchos recursos gratuitos, como cursos de formación gratuitos y componentes prácticos en laboratorio que puedes seguir y aprender. Si le dedicas suficiente tiempo, te guiará a través de cada uno de los ataques famosos y populares en aplicaciones y cómo explotarlos y remediarlos, así que es realmente un recurso valioso y es gratis. Lo segundo que debes conocer es familiarizarte con el «OWASP Top 10». Está el OWASP Top 10 para aplicaciones web y el OWASP Top 10 para aplicaciones móviles. El OWASP Top 10 es simplemente una lista de las 10 vulnerabilidades más comunes que se explotan en las aplicaciones web en cualquier momento que realices una evaluación de seguridad de la aplicación. Una de las primeras cosas que hacemos durante una evaluación de seguridad de aplicaciones es asegurarnos de que ninguna de las vulnerabilidades del OWASP Top 10 esté presente en el código fuente o en la aplicación web. Te sorprendería la cantidad de veces que la mayoría de los hallazgos son una combinación de una o más de estas vulnerabilidades del OWASP Top 10, así que es realmente valioso familiarizarte con ellas, y si encuentras que algunas de ellas son difíciles o complejas, o tiendes a olvidarlas, lo mejor que puedes hacer es realizar algún tipo de formación y certificación en pruebas de penetración. No es lo mismo decir que quieres que la aplicación sea segura contra un ataque de cross-site scripting o inyección SQL que haber realizado cursos prácticos de pruebas de penetración y haber explotado técnicamente estas vulnerabilidades. Te dará mucha más confianza y tus recomendaciones serán mucho más prácticas, y de repente, el OWASP Top 10 te parecerá realmente fácil de entender y completo. Otro aspecto importante en seguridad de aplicaciones es conocer qué es un «web application firewall» o WAF. No tiene que ser un experto en WAF, pero es útil saber que se utiliza un WAF frente a las aplicaciones web y que filtra el tráfico específicamente en aplicaciones web. En algunos de los trabajos que tuve, tuve que aprender a configurar un WAF. No es realmente difícil, generalmente se coloca en modo de monitorización y se analizan ciertos ataques y cómo se están produciendo, y luego se empiezan a bloquear ciertos ataques. Es realmente interesante y es importante conocerlo en el contexto de la seguridad de aplicaciones, porque no importa cuán segura sea la aplicación, siempre es útil tener esa capa adicional de seguridad al tener un WAF frente a las aplicaciones. Cualquier empresa seria no tendría aplicaciones en producción sin un WAF delante de ellas. Ahora, la recomendación final, que mencioné antes, es realizar algún tipo de formación en pruebas de penetración. No tienes que ser un probador de penetración completo o hacer el curso de OSCP, que es realmente difícil. Un curso como «eLearnSecurity Junior Penetration Tester» es muy bueno, muy rápido y directo, y te permitirá comenzar en las pruebas de penetración y hacer que la seguridad de aplicaciones sea mucho más fácil. He hablado de pruebas de penetración y cómo convertirse en un probador de penetración en dos de mis videos, pondré los enlaces al final de este artículo. Antes de terminar, quiero mencionar que en algunas empresas, lo que están buscando para el profesional en seguridad de aplicaciones es un desarrollador de software que pueda escribir código, que entienda el ciclo de vida del desarrollo de software y que también tenga habilidades de seguridad para revisar el código, pero, en última instancia, quieren que sean programadores, que escriban scripts todo el día, que automatizen tareas y que implementen código en producción. Es realmente extraño. Así que si eres un desarrollador de software y quieres ampliar tus habilidades en seguridad, creo que las recomendaciones anteriores son sólidas para ti, y tal vez también agregar algo como la certificación CompTIA Security + o cualquier otra certificación que te brinde los fundamentos básicos de la seguridad. Pero, además de eso, las habilidades de pruebas de penetración son clave para cualquier probador de aplicaciones exitoso. Como dije, hablé sobre pruebas de penetración en dos de mis videos, uno de ellos donde ayudé a un graduado a obtener su primer trabajo en pruebas de penetración sin experiencia previa y en el otro simplemente hablé sobre dos cursos de formación disponibles en este momento, que son muy fáciles de seguir y comprender. Te recomiendo encarecidamente que revises estos dos videos porque contienen todo lo que necesitas saber sobre pruebas de penetración.
Resumen de contenido:
Sección | Temas |
---|---|
Introducción | Comentarios sobre quejas comunes en seguridad de aplicaciones |
Mi experiencia | Experiencia personal en ciberseguridad y falta de mentoría |
Demanda y oportunidades | La demanda de especialistas en seguridad de aplicaciones y sus beneficios |
Ampliar habilidades | Importancia de adquirir habilidades en seguridad de aplicaciones y oportunidades de aprendizaje |
Tareas y expectativas | Diferencias en las tareas diarias de los especialistas en seguridad de aplicaciones y las expectativas laborales |
Mitos y desafíos | Mitos comunes y desafíos en la seguridad de aplicaciones |
Consejos para el aprendizaje | Recomendaciones de recursos, formación y certificaciones para desarrollar habilidades en seguridad de aplicaciones |
Conclusiones | Resumen de los beneficios y oportunidades de ser un especialista en seguridad de aplicaciones |
Preguntas frecuentes:
1. ¿Cuál es la diferencia entre un ingeniero de seguridad de aplicaciones y un especialista en seguridad de aplicaciones?
Un ingeniero de seguridad de aplicaciones se enfoca más en realizar revisiones de código seguro y encontrar vulnerabilidades en las aplicaciones, mientras que un especialista en seguridad de aplicaciones puede tener una variedad de tareas, incluyendo pruebas de penetración, configuración de firewalls de aplicaciones web, asesoramiento a desarrolladores y más.
2. ¿Cómo puedo adquirir habilidades en seguridad de aplicaciones sin experiencia previa?
Una forma de adquirir habilidades en seguridad de aplicaciones es realizar formaciones y certificaciones en pruebas de penetración y seguridad web. También puedes obtener experiencia práctica participando en proyectos y realizando pruebas en aplicaciones de práctica. Además, familiarizarte con los conceptos y las vulnerabilidades del OWASP Top 10 es esencial.
3. ¿Qué certificaciones recomendarías para alguien interesado en la seguridad de aplicaciones?
Recomiendo certificaciones como la OSCP, CEH, eLearnSecurity Junior Penetration Tester y CompTIA Security + como un buen punto de partida. Estas certificaciones te brindarán conocimientos prácticos en pruebas de penetración y seguridad de aplicaciones.
4. ¿Es posible trabajar como especialista en seguridad de aplicaciones a tiempo completo?
Sí, es posible trabajar como especialista en seguridad de aplicaciones a tiempo completo. Existe una alta demanda de profesionales en este campo y las empresas están dispuestas a ofrecer salarios altos y beneficios adicionales para atraer a especialistas en seguridad de aplicaciones.
5. ¿Cuánto tiempo lleva adquirir habilidades sólidas en seguridad de aplicaciones?
El tiempo que lleva adquirir habilidades sólidas en seguridad de aplicaciones puede variar según el nivel de dedicación y estudios que se realicen. Sin embargo, con una buena formación y práctica constante, se pueden adquirir habilidades sólidas en unos pocos meses a un año.
Espero que este artículo te haya proporcionado una visión clara de lo que implica la seguridad de aplicaciones y cómo puedes desarrollar tus habilidades en este campo. Recuerda que la demanda de especialistas en seguridad de aplicaciones continúa en aumento y hay muchas oportunidades disponibles en esta área emocionante y en constante evolución. Si deseas obtener más información, te animo a que consultes los artículos relacionados que hemos publicado en todoforti.net. ¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!