“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
¿Necesito hacer una revisión del código fuente?
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
La página web que estás leyendo está compuesta por código fuente. Toda la información que tu navegador descarga y traduce es creada por estos códigos y puede ser vista por cualquier navegador (desde cualquier dispositivo) sin la necesidad de un software adicional.
Sin embargo, muy seguido, el aspecto de la seguridad se ve comprometido o se deja de lado a la hora de codificar. Las lagunas en el código facilitan el acceso a cualquier virus informático y permite que atacantes maliciosos ingresen al sistema, comprometan los datos y afecten la disponibilidad o el rendimiento de la aplicación.
Las auditorías de seguridad para aplicaciones pueden ser pruebas de seguridad de aplicación dinámica (DAST) o pruebas estáticas de seguridad de aplicaciones (SAST). Ambas son enfoques complementarios, implementados en diferentes momentos del ciclo de vida del desarrollo de software e identificando diferentes vulnerabilidades. DAST, también conocido como prueba de caja negra, identifica vulnerabilidades mientras se ejecuta una aplicación. SAST se implementa durante la fase de desarrollo o en DevSecOps, lo que facilita que los desarrolladores identifiquen y solucionen problemas mientras codifican. Realizar un análisis de seguridad del código fuente o una revisión del código fuente ayuda a identificar las vulnerabilidades en las primeras etapas del ciclo de vida de las pruebas de software.
¿Qué es la revisión del código fuente en ciberseguridad?
Una revisión de código seguro es un análisis exhaustivo del código fuente de una aplicación, generalmente realizado para encontrar cualquier error relacionado con la seguridad que se haya pasado por alto durante la fase de desarrollo. Estas vulnerabilidades de seguridad pueden haber pasado por alto las pruebas de penetración. Este examen sistemático puede ser un proceso automático o manual que identifica vulnerabilidades y lagunas de seguridad ocultas, y verifica si se han implementado controles de seguridad.
Las revisiones del código fuente no solo involucran la seguridad, sino que también analizan los aspectos del rendimiento, los problemas de nivel funcional, etc. Además, durante la fase de desarrollo, muchas organizaciones también están implementando esto hoy en día para cumplir con los requisitos normativos o de cumplimiento de la seguridad.
¿Cuándo hacer una revisión externa del código fuente?
En Delta Protect, recomendamos revisiones externas del código fuente si:
- Se opera un negocio muy sensible y se ocupa de áreas críticas.
- Debe cumplir con algunos requisitos reglamentarios o de cumplimiento, en los que es obligatoria una revisión del código fuente de un tercero.
Las mejores prácticas de seguridad implican adherirse a los estándares de seguridad internamente, tener conjuntos de herramientas de seguridad, realizar revisiones de código entre pares (una persona que realiza una revisión de código en el código fuente de un compañero de trabajo para identificar debilidades o fallas). Esto ayudará a la organización a crear aplicaciones seguras y mejores productos, no solo en términos de funcionalidad sino también en el lado de la seguridad.
Estándares de seguridad seguidos durante la revisión del código
Los estándares de seguridad que se utilizan como parte de SAST están definidos por Open Web Application Security Project u OWASP, el punto de referencia mundialmente reconocido para la seguridad del software. OWASP publica pautas de codificación segura y mejores prácticas que pueden ayudar a evitar cualquier problema de seguridad. La seguridad, en general, está definida por OWASP, pero para cada lenguaje de programación, hay una entidad específica involucrada que define sus propios estándares de seguridad. Las empresas que desarrollan pilas de programación también comparten prácticas de codificación seguras. Microsoft proporciona estándares de codificación para .NET y Google para Android. Para lenguajes de programación como Java, PHP y C, C++, CERT mantiene estos estándares. Apple define estándares de seguridad para Objective-C o Swift.
Revisión de código fuente: metodología
Cómo Delta Protect puede ayudar con SAST 🔐
Como proveedor de seguridad, entendemos el stack de programación por la que opta el cliente. Dependiendo de la etapa de desarrollo o lanzamiento, entregamos SAST y DAST utilizando herramientas automatizadas y experiencia manual.
Los escaneos automatizados se realizan utilizando herramientas comerciales o de código abierto, como Fortify de HP, Micro Focus Fortify, la herramienta de código abierto SonarQube, Veracode (líder del mercado para SAST) y Checkmarx.
Una vez que se completan los escaneos automatizados, una revisión manual ayuda a identificar falsos positivos y también a detectar vulnerabilidades no identificadas por la herramienta. Como las herramientas se construyen en base a patrones, a veces se agregan nuevos cambios al stack de programación. Un revisor manual tendrá acceso a esta documentación. Puede evaluar los cambios de código en el documento actualizado y examinar el código. Por el contrario, una herramienta SAST tarda mucho tiempo en incluir estos nuevos cambios en el sistema porque tiene que determinar algunos patrones; cierta lógica para identificar una vulnerabilidad.
Esta es la propuesta de valor de Delta Protect, que contamos con hackers éticos altamente calificados y certificados que pueden realizar estas evaluaciones utilizando herramientas automatizadas y también revisiones manuales del código basadas en los estándares más recientes, las últimas amenazas y patrones en cualquier lenguaje de programación.
Conclusiones
Egresada de Diseño de la Universidad Iberoamericana, especializada en mercadotecnia por ESNE Madrid e ilustración digital en 2D y animación por Parsons School of Design. Con 7 años de experiencia en creación de contenido, marketing digital y social media.
