Seguridad de aplicaciones para desarrolladores

Implementar una aplicación de red segura puede ser un desafío, incluso para los desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estos elementos criptográficos, primero se proporciona una base sólida sobre los requisitos principales de la comunicación segura: acuse de recibo seguro, integridad, confidencialidad, identificación remota y anonimato. Además, se presentan los problemas típicos que pueden afectar a estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de las redes, también se discuten los algoritmos criptográficos más importantes en el cifrado simétrico, las funciones hash, el cifrado asimétrico y el acuerdo de claves. En lugar de presentar un fondo matemático profundo, estos elementos se abordan desde la perspectiva de un desarrollador, mostrando ejemplos típicos de casos de uso y consideraciones prácticas relacionadas con el uso de la criptografía, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en muchas áreas de la comunicación segura, con un análisis en profundidad de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se analizan las vulnerabilidades criptográficas típicas tanto en relación con ciertos algoritmos criptográficos como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y otros similares, así como el ataque de tiempo contra RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, nuevamente, sin entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es central para el intercambio de datos en las aplicaciones de red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML dentro de servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como debilidades en estas medidas de protección e issue específicos de seguridad XML como la inyección XML, ataques de entidades externas XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso comprenderán

• Los conceptos básicos de seguridad, seguridad de la información y codificación segura
• Los requisitos de la comunicación segura
• Los ataques y defensas de red en diferentes capas OSI
• Una comprensión práctica de la criptografía
• Los protocolos de seguridad esenciales
• Algunos ataques recientes contra sistemas criptográficos
• Información sobre algunas vulnerabilidades recientes relacionadas
• Los conceptos de seguridad de los servicios web
• Fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, profesionales

La adopción de la nube cambia la forma en que se crean, despliegan y operan las aplicaciones, lo que traslada la responsabilidad entre el proveedor y el cliente, al tiempo que introduce plataformas nativas de la nube (contenedores, serverless y servicios administrados) que requieren controles de seguridad adaptados. Por ello, la seguridad debe abordar el endurecimiento de la infraestructura, la gestión de identidades y accesos, la protección de datos, las prácticas de desarrollo seguro y los vectores de amenaza específicos de la nube.

Esta formación en vivo impartida por un instructor (en línea o presencial) está dirigida a desarrolladores de nivel intermedio, ingenieros de seguridad y gerentes de TI que desean adquirir habilidades prácticas para asegurar aplicaciones en la nube y su infraestructura subyacente, aprendiendo a la vez controles reutilizables y técnicas de evaluación que se alineen con los marcos de la industria y las guías de los proveedores de nube actuales.

Al finalizar esta formación, los participantes podrán:

• Explicar el modelo de responsabilidad compartida en la nube y aplicarlo a las decisiones de seguridad de aplicaciones.
• Endurecer la infraestructura en la nube (IaaS), asegurar los servicios de plataforma (PaaS) y evaluar las configuraciones de SaaS.
• Aplicar patrones de mitigación basados en OWASP y prácticas de codificación segura a las aplicaciones alojadas en la nube.
• Integrar herramientas de seguridad en los pipelines de CI/CD (SAST/DAST/IAST/RASP) y adoptar prácticas de «shift-left» (desplazamiento a la izquierda).

Formato del curso

• Conferencia interactiva y discusión vinculadas a demostraciones en vivo.
• Laboratorios prácticos que utilizan consolas de nube, contenedores, funciones serverless y pipelines de CI/CD.
• Ejercicios prácticos: configuración segura, escaneo de vulnerabilidades, simulación de ataques y planificación de remediación.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso, por favor contáctenos para coordinarlo.

Escribir código seguro en C y C++ exige una defensa rigurosa contra la explotación maliciosa, la corrupción de memoria y eludir la validación de entrada. Este programa examina patrones de vulnerabilidad, incluidos desbordamientos de búfer, uso después de liberar (use-after-free), desbordamientos enteros y confusión de tipos. Los participantes aplican directrices de codificación segura, herramientas de análisis estático y técnicas de programación defensiva para eliminar debilidades, imponer la sanitización de la entrada y entregar un software endurecido resistente a los ciberataques.

Incluso los programadores de Java con experiencia no siempre dominan todos los servicios de seguridad que ofrece Java, ni están al tanto de las distintas vulnerabilidades relevantes para las aplicaciones web escritas en Java.

El curso, además de presentar los componentes de seguridad de Standard Java Edition, aborda los temas de seguridad de Java Enterprise Edition (JEE) y de los servicios web. Antes de discutir los servicios específicos, se presentan los fundamentos de la criptografía y la comunicación segura. Los distintos ejercicios tratan sobre las técnicas de seguridad declarativa y programática en JEE, mientras que se analizan tanto la seguridad a nivel de la capa de transporte como la seguridad de extremo a extremo en los servicios web. El uso de todos los componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y las herramientas discutidas.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad introducidas cubren tanto problemas específicos del lenguaje como problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran mediante ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, la seguridad informática y la codificación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas funciones de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre los errores de codificación típicos y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java.
• Adquirirán conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Incluso los programadores experimentados no dominan necesariamente todos los servicios de seguridad ofrecidos por sus plataformas de desarrollo, ni son conscientes de las distintas vulnerabilidades relevantes para sus desarrollos. Este curso está dirigido a desarrolladores que utilizan tanto Java como PHP, proporcionándoles las habilidades esenciales necesarias para hacer que sus aplicaciones sean resistentes a los ataques contemporáneos a través de Internet.

Se recorre el nivel de arquitectura de seguridad de Java abordando el control de acceso, la autenticación y la autorización, la comunicación segura y varias funciones criptográficas. También se introducen varias APIs que pueden utilizarse para asegurar su código en PHP, como OpenSSL para la criptografía o HTML Purifier para la validación de entradas. En el lado del servidor, se ofrecen las mejores prácticas para endurecer y configurar el sistema operativo, el contenedor web, el sistema de archivos, el servidor SQL y el propio PHP, mientras se presta un enfoque especial a la seguridad del lado del cliente a través de los problemas de seguridad de JavaScript, Ajax y HTML5.

Se discuten las vulnerabilidades web generales mediante ejemplos alineados con las diez principales de OWASP, mostrando varios ataques de inyección, inyección de scripts, ataques contra el manejo de sesiones, referencias directas a objetos inseguras, problemas con cargas de archivos, y muchos otros. Se presentan los diversos problemas y cuestiones específicos del lenguaje de Java y PHP derivadas del entorno de tiempo de ejecución, agrupados en los tipos estándar de vulnerabilidades: falta o incorrecta validación de entradas, uso incorrecto de características de seguridad, manejo incorrecto de errores y excepciones, problemas relacionados con el tiempo y el estado, problemas de calidad del código y vulnerabilidades relacionadas con código móvil.

Los participantes pueden probar por sí mismos las APIs, herramientas y los efectos de las configuraciones discutidas, mientras que la introducción de vulnerabilidades está respaldada por una serie de ejercicios prácticos que demuestran las consecuencias de ataques exitosos, muestran cómo corregir los errores y aplicar técnicas de mitigación, e introducen el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de la información y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de las diez principales de OWASP y sabrán cómo evitarlas.
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Aprenderán a utilizar diversas características de seguridad de PHP.
• Comprenderán los conceptos de seguridad de los servicios web.
• Obtendrán conocimiento práctico en el uso de herramientas de prueba de seguridad.
• Aprenderán sobre errores de codificación típicos y cómo evitarlos.
• Se mantendrán informados sobre vulnerabilidades recientes en frameworks y bibliotecas de Java y PHP.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

Descripción

El lenguaje Java y el Entorno de Tiempo de Ejecución (JRE) fueron diseñados para estar libres de las vulnerabilidades de seguridad más problemáticas y comunes que se experimentan en otros lenguajes, como C y C++. Sin embargo, los desarrolladores de software y los arquitectos no solo deben saber cómo utilizar las diversas características de seguridad del entorno de Java (seguridad positiva), sino que también deben ser conscientes de las numerosas vulnerabilidades que aún son relevantes para el desarrollo en Java (seguridad negativa).

La introducción de los servicios de seguridad va precedida de un breve resumen de los fundamentos de la criptografía, proporcionando una línea de base común para comprender el propósito y el funcionamiento de los componentes aplicables. El uso de estos componentes se presenta a través de varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las APIs discutidas.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje Java y su plataforma, abarcando tanto los errores típicos cometidos por los programadores de Java como las problemas específicos del lenguaje y del entorno. Todas las vulnerabilidades y los ataques relevantes se demuestran a través de ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura.
• Aprenderán sobre vulnerabilidades web más allá de las OWASP Top Ten y sabrán cómo evitarlas.
• Aprenderán a utilizar diversas características de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Aprenderán sobre errores típicos de codificación y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java.
• Recibirán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público Objetivo

Desarrolladores

En la actualidad, existen varios lenguajes de programación que permiten compilar código para los marcos de trabajo .NET y ASP.NET. El entorno ofrece medios poderosos para el desarrollo de seguridad, pero los desarrolladores deben saber cómo aplicar las técnicas de programación a nivel de arquitectura y código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, a través de numerosos ejercicios prácticos, cómo prevenir que el código no confiable realice acciones privilegiadas, proteger los recursos mediante una autenticación y autorización robustas, proporcionar llamadas a procedimientos remotos, gestionar sesiones, implementar distintas variantes para cierta funcionalidad, entre muchos otros aspectos.

La introducción a diversas vulnerabilidades comienza presentando algunos problemas de programación típicos que se cometen al utilizar .NET, mientras que la discusión sobre las vulnerabilidades de ASP.NET también aborda diversas configuraciones del entorno y sus efectos. Por último, el tema de las vulnerabilidades específicas de ASP.NET no solo trata algunos desafíos generales de seguridad en aplicaciones web, sino también problemas especiales y métodos de ataque, como los ataques al ViewState o los ataques de terminación de cadenas.

Los participantes que cursen este curso aprenderán a:

• Comprender los conceptos básicos de seguridad, seguridad de la información y codificación segura.
• Conocer vulnerabilidades web más allá del listado OWASP Top Ten y saber cómo evitarlas.
• Aprender a utilizar diversas características de seguridad del entorno de desarrollo .NET.
• Adquirir conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Conocer errores de codificación típicos y cómo evitarlos.
• Obtener información sobre algunas vulnerabilidades recientes en .NET y ASP.NET.
• Acceder a fuentes y lecturas complementarias sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer sus aplicaciones resistentes a ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten a través de ejemplos basados en PHP, yendo más allá del OWASP top ten, abordando varios tipos de ataques de inyección, inyección de scripts, ataques contra el manejo de sesiones en PHP, referencias directas a objetos inseguras, problemas con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: validación faltante o impropia de la entrada, manejo incorrecto de errores y excepciones, uso inadecuado de características de seguridad y problemas relacionados con el tiempo y el estado. Para esto último, discutimos ataques como la evasión de open_basedir, denegación de servicio mediante float mágico o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes a utilizar para mitigar los riesgos enlistados.

Se da un enfoque especial a la seguridad del lado del cliente, abordando problemas de seguridad de JavaScript, Ajax y HTML5. Se presentan varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Las mejores prácticas de endurecimiento se dan en relación con la configuración de PHP (ajustar php.ini), Apache y el servidor en general. Finalmente, se ofrece una visión general de varias herramientas y técnicas de prueba de seguridad que desarrolladores y probadores pueden usar, incluyendo escáneres de seguridad, pruebas de penetración y paquetes de explotación, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración se apoyan en una serie de ejercicios prácticos que demuestran las consecuencias de ataques exitosos, mostrando cómo aplicar técnicas de mitigación y presentando el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Entenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar varias características de seguridad de PHP
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Serán informados sobre vulnerabilidades recientes del marco de trabajo PHP
• Obtendrán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia objetivo

Desarrolladores

El entrenamiento integral de SDL Core ofrece una visión general sobre el diseño, desarrollo y prueba de software seguro a través del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft. Proporciona una introducción básica a los bloques fundamentales de SDL, seguida de técnicas de diseño para aplicar en las etapas tempranas del proceso de desarrollo con el fin de detectar y corregir vulnerabilidades.

En lo que respecta a la fase de desarrollo, el curso presenta una visión general de los errores de programación comunes relevantes para la seguridad, tanto en código administrado como nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas, junto con las técnicas de mitigación asociadas, todo ello explicado a través de una serie de ejercicios prácticos que brindan a los participantes la oportunidad de experimentar la diversión del hacking en tiempo real. Se introducen diferentes métodos de pruebas de seguridad, seguidos de la demostración de la efectividad de varias herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos que aplican las herramientas al código vulnerable ya discutido.

Los participantes que asisten a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura

Conocerán los pasos esenciales del Ciclo de Vida de Desarrollo Seguro de Microsoft

Aprenderán prácticas de diseño y desarrollo seguros

Se familiarizarán con los principios de implementación segura

Comprenderán la metodología de pruebas de seguridad

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Gerentes

En este curso en vivo dirigido por un instructor en Costa Rica, los participantes aprenderán a formular la estrategia de seguridad adecuada para abordar el desafío de la seguridad en DevOps.

El curso práctico EC-Council Certified DevSecOps Engineer (ECDE) está diseñado para proporcionar a los profesionales las competencias necesarias para integrar la seguridad a lo largo de todo el ciclo de vida de DevOps, permitiendo un desarrollo de software seguro desde la planificación hasta la implementación.

Esta formación en vivo y con instructores (en línea o en las instalaciones) está dirigida a profesionales de software y DevOps de nivel intermedio que deseen incorporar prácticas de seguridad en las tuberías de CI/CD, garantizando la entrega de código seguro y conforme a las normativas.

Al finalizar esta formación, los participantes serán capaces de:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería CI/CD utilizando herramientas automatizadas.
• Implementar prácticas de codificación segura y escaneo de vulnerabilidades.
• Prepararse para la certificación ECDE mediante laboratorios prácticos y revisiones.

Formato del curso

• Conferencias interactivas y discusión.
• Uso práctico de herramientas DevSecOps en tuberías simuladas.
• Ejercicios guiados centrados en el desarrollo y la implementación seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para coordinar.

Este curso en Costa Rica tiene como objetivo ayudar en lo siguiente:

1. Ayudar a los desarrolladores a dominar las técnicas de escritura de código seguro
2. Ayudar a los testers de software a probar la seguridad de la aplicación antes de publicarla en el entorno de producción
3. Ayudar a los arquitectos de software a comprender los riesgos asociados a las aplicaciones
4. Ayudar a los líderes de equipo a establecer las líneas base de seguridad para los desarrolladores
5. Ayudar a los administradores web a configurar los servidores para evitar configuraciones incorrectas

Este curso abarca los conceptos y principios de codificación segura con Java a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Proyecto de Seguridad de Aplicaciones Web Abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de acceso libre en el campo de la seguridad de aplicaciones web.

Este curso cubre los conceptos y principios de codificación segura con ASP.NET a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web de Código Abierto (OWASP). OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web.

Este curso explora las características de seguridad del Framework de .NET y cómo proteger aplicaciones web.