Cómo escribir código seguro

Implementar una aplicación de red segura puede ser un desafío, incluso para los desarrolladores que hayan utilizado previamente diversos componentes criptográficos (como cifrado y firmas digitales). Para que los participantes comprendan el papel y el uso de estos elementos criptográficos, primero se proporciona una base sólida sobre los requisitos principales de la comunicación segura: acuse de recibo seguro, integridad, confidencialidad, identificación remota y anonimato. Además, se presentan los problemas típicos que pueden afectar a estos requisitos junto con soluciones del mundo real.

Dado que la criptografía es un aspecto crítico de la seguridad de las redes, también se discuten los algoritmos criptográficos más importantes en el cifrado simétrico, las funciones hash, el cifrado asimétrico y el acuerdo de claves. En lugar de presentar un fondo matemático profundo, estos elementos se abordan desde la perspectiva de un desarrollador, mostrando ejemplos típicos de casos de uso y consideraciones prácticas relacionadas con el uso de la criptografía, como las infraestructuras de clave pública. Se introducen los protocolos de seguridad en muchas áreas de la comunicación segura, con un análisis en profundidad de las familias de protocolos más utilizadas, como IPSEC y SSL/TLS.

Se analizan las vulnerabilidades criptográficas típicas tanto en relación con ciertos algoritmos criptográficos como con protocolos criptográficos, como BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE y otros similares, así como el ataque de tiempo contra RSA. En cada caso, se describen las consideraciones prácticas y las posibles consecuencias de cada problema, nuevamente, sin entrar en detalles matemáticos profundos.

Finalmente, dado que la tecnología XML es central para el intercambio de datos en las aplicaciones de red, se describen los aspectos de seguridad de XML. Esto incluye el uso de XML dentro de servicios web y mensajes SOAP, junto con medidas de protección como la firma XML y el cifrado XML, así como debilidades en estas medidas de protección e issue específicos de seguridad XML como la inyección XML, ataques de entidades externas XML (XXE), bombas XML e inyección XPath.

Los participantes que asistan a este curso comprenderán

• Los conceptos básicos de seguridad, seguridad de la información y codificación segura
• Los requisitos de la comunicación segura
• Los ataques y defensas de red en diferentes capas OSI
• Una comprensión práctica de la criptografía
• Los protocolos de seguridad esenciales
• Algunos ataques recientes contra sistemas criptográficos
• Información sobre algunas vulnerabilidades recientes relacionadas
• Los conceptos de seguridad de los servicios web
• Fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, profesionales

Escribir código seguro en C y C++ exige una defensa rigurosa contra la explotación maliciosa, la corrupción de memoria y eludir la validación de entrada. Este programa examina patrones de vulnerabilidad, incluidos desbordamientos de búfer, uso después de liberar (use-after-free), desbordamientos enteros y confusión de tipos. Los participantes aplican directrices de codificación segura, herramientas de análisis estático y técnicas de programación defensiva para eliminar debilidades, imponer la sanitización de la entrada y entregar un software endurecido resistente a los ciberataques.

Incluso los programadores de Java con experiencia no siempre dominan todos los servicios de seguridad que ofrece Java, ni están al tanto de las distintas vulnerabilidades relevantes para las aplicaciones web escritas en Java.

El curso, además de presentar los componentes de seguridad de Standard Java Edition, aborda los temas de seguridad de Java Enterprise Edition (JEE) y de los servicios web. Antes de discutir los servicios específicos, se presentan los fundamentos de la criptografía y la comunicación segura. Los distintos ejercicios tratan sobre las técnicas de seguridad declarativa y programática en JEE, mientras que se analizan tanto la seguridad a nivel de la capa de transporte como la seguridad de extremo a extremo en los servicios web. El uso de todos los componentes se presenta mediante varios ejercicios prácticos, donde los participantes pueden probar por sí mismos las API y las herramientas discutidas.

El curso también revisa y explica los fallos de programación más frecuentes y graves del lenguaje y la plataforma Java, así como las vulnerabilidades relacionadas con la web. Además de los errores típicos cometidos por los programadores de Java, las vulnerabilidades de seguridad introducidas cubren tanto problemas específicos del lenguaje como problemas derivados del entorno de ejecución. Todas las vulnerabilidades y los ataques relevantes se demuestran mediante ejercicios fáciles de entender, seguidos de las directrices de codificación recomendadas y las posibles técnicas de mitigación.

Los participantes que asisten a este curso

• Comprenderán los conceptos básicos de seguridad, la seguridad informática y la codificación segura.
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas.
• Comprenderán los conceptos de seguridad de los servicios web.
• Aprenderán a utilizar diversas funciones de seguridad del entorno de desarrollo de Java.
• Tendrán una comprensión práctica de la criptografía.
• Comprenderán las soluciones de seguridad de Java EE.
• Aprenderán sobre los errores de codificación típicos y cómo evitarlos.
• Obtendrán información sobre algunas vulnerabilidades recientes en el marco de trabajo Java.
• Adquirirán conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

En la actualidad, existen varios lenguajes de programación que permiten compilar código para los marcos de trabajo .NET y ASP.NET. El entorno ofrece medios poderosos para el desarrollo de seguridad, pero los desarrolladores deben saber cómo aplicar las técnicas de programación a nivel de arquitectura y código para implementar la funcionalidad de seguridad deseada, evitar vulnerabilidades o limitar su explotación.

El objetivo de este curso es enseñar a los desarrolladores, a través de numerosos ejercicios prácticos, cómo prevenir que el código no confiable realice acciones privilegiadas, proteger los recursos mediante una autenticación y autorización robustas, proporcionar llamadas a procedimientos remotos, gestionar sesiones, implementar distintas variantes para cierta funcionalidad, entre muchos otros aspectos.

La introducción a diversas vulnerabilidades comienza presentando algunos problemas de programación típicos que se cometen al utilizar .NET, mientras que la discusión sobre las vulnerabilidades de ASP.NET también aborda diversas configuraciones del entorno y sus efectos. Por último, el tema de las vulnerabilidades específicas de ASP.NET no solo trata algunos desafíos generales de seguridad en aplicaciones web, sino también problemas especiales y métodos de ataque, como los ataques al ViewState o los ataques de terminación de cadenas.

Los participantes que cursen este curso aprenderán a:

• Comprender los conceptos básicos de seguridad, seguridad de la información y codificación segura.
• Conocer vulnerabilidades web más allá del listado OWASP Top Ten y saber cómo evitarlas.
• Aprender a utilizar diversas características de seguridad del entorno de desarrollo .NET.
• Adquirir conocimientos prácticos en el uso de herramientas de prueba de seguridad.
• Conocer errores de codificación típicos y cómo evitarlos.
• Obtener información sobre algunas vulnerabilidades recientes en .NET y ASP.NET.
• Acceder a fuentes y lecturas complementarias sobre prácticas de codificación segura.

Público objetivo

Desarrolladores

El curso proporciona las habilidades esenciales para desarrolladores de PHP necesarias para hacer sus aplicaciones resistentes a ataques contemporáneos a través de Internet. Las vulnerabilidades web se discuten a través de ejemplos basados en PHP, yendo más allá del OWASP top ten, abordando varios tipos de ataques de inyección, inyección de scripts, ataques contra el manejo de sesiones en PHP, referencias directas a objetos inseguras, problemas con la carga de archivos, entre muchos otros. Las vulnerabilidades relacionadas con PHP se introducen agrupadas en los tipos estándar de vulnerabilidades: validación faltante o impropia de la entrada, manejo incorrecto de errores y excepciones, uso inadecuado de características de seguridad y problemas relacionados con el tiempo y el estado. Para esto último, discutimos ataques como la evasión de open_basedir, denegación de servicio mediante float mágico o el ataque de colisión de tablas hash. En todos los casos, los participantes se familiarizarán con las técnicas y funciones más importantes a utilizar para mitigar los riesgos enlistados.

Se da un enfoque especial a la seguridad del lado del cliente, abordando problemas de seguridad de JavaScript, Ajax y HTML5. Se presentan varias extensiones relacionadas con la seguridad para PHP como hash, mcrypt y OpenSSL para criptografía, o Ctype, ext/filter y HTML Purifier para validación de entrada. Las mejores prácticas de endurecimiento se dan en relación con la configuración de PHP (ajustar php.ini), Apache y el servidor en general. Finalmente, se ofrece una visión general de varias herramientas y técnicas de prueba de seguridad que desarrolladores y probadores pueden usar, incluyendo escáneres de seguridad, pruebas de penetración y paquetes de explotación, sniffers, servidores proxy, herramientas de fuzzing y analizadores estáticos de código fuente.

Tanto la introducción de vulnerabilidades como las prácticas de configuración se apoyan en una serie de ejercicios prácticos que demuestran las consecuencias de ataques exitosos, mostrando cómo aplicar técnicas de mitigación y presentando el uso de varias extensiones y herramientas.

Los participantes que asisten a este curso

• Entenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura
• Aprenderán sobre vulnerabilidades web más allá del OWASP Top Ten y sabrán cómo evitarlas
• Aprenderán sobre vulnerabilidades del lado del cliente y prácticas de codificación segura
• Tendrán una comprensión práctica de la criptografía
• Aprenderán a utilizar varias características de seguridad de PHP
• Aprenderán sobre errores típicos de codificación y cómo evitarlos
• Serán informados sobre vulnerabilidades recientes del marco de trabajo PHP
• Obtendrán conocimientos prácticos sobre el uso de herramientas de prueba de seguridad
• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Audiencia objetivo

Desarrolladores

El entrenamiento integral de SDL Core ofrece una visión general sobre el diseño, desarrollo y prueba de software seguro a través del Ciclo de Vida de Desarrollo Seguro (SDL) de Microsoft. Proporciona una introducción básica a los bloques fundamentales de SDL, seguida de técnicas de diseño para aplicar en las etapas tempranas del proceso de desarrollo con el fin de detectar y corregir vulnerabilidades.

En lo que respecta a la fase de desarrollo, el curso presenta una visión general de los errores de programación comunes relevantes para la seguridad, tanto en código administrado como nativo. Se presentan métodos de ataque para las vulnerabilidades discutidas, junto con las técnicas de mitigación asociadas, todo ello explicado a través de una serie de ejercicios prácticos que brindan a los participantes la oportunidad de experimentar la diversión del hacking en tiempo real. Se introducen diferentes métodos de pruebas de seguridad, seguidos de la demostración de la efectividad de varias herramientas de prueba. Los participantes pueden comprender el funcionamiento de estas herramientas mediante una serie de ejercicios prácticos que aplican las herramientas al código vulnerable ya discutido.

Los participantes que asisten a este curso

Comprenderán los conceptos básicos de seguridad, seguridad de TI y codificación segura

Conocerán los pasos esenciales del Ciclo de Vida de Desarrollo Seguro de Microsoft

Aprenderán prácticas de diseño y desarrollo seguros

Se familiarizarán con los principios de implementación segura

Comprenderán la metodología de pruebas de seguridad

• Obtendrán fuentes y lecturas adicionales sobre prácticas de codificación segura

Público objetivo

Desarrolladores, Gerentes

En este curso en vivo dirigido por un instructor en Costa Rica, los participantes aprenderán a formular la estrategia de seguridad adecuada para abordar el desafío de la seguridad en DevOps.

Este taller de clase mundial, vanguardista y práctico sumerge a los participantes en las realidades críticas de la seguridad en los pipelines modernos de CI/CD. Diseñado para profesionales de la seguridad, ingenieros de DevOps y desarrolladores ansiosos por dominar la defensa avanzada contra brechas en pipelines, la formación combina simulaciones de ataques en vivo con herramientas líderes en la industria y técnicas de defensa prácticas.

El curso práctico EC-Council Certified DevSecOps Engineer (ECDE) está diseñado para proporcionar a los profesionales las competencias necesarias para integrar la seguridad a lo largo de todo el ciclo de vida de DevOps, permitiendo un desarrollo de software seguro desde la planificación hasta la implementación.

Esta formación en vivo y con instructores (en línea o en las instalaciones) está dirigida a profesionales de software y DevOps de nivel intermedio que deseen incorporar prácticas de seguridad en las tuberías de CI/CD, garantizando la entrega de código seguro y conforme a las normativas.

Al finalizar esta formación, los participantes serán capaces de:

• Comprender los principios y prácticas de DevSecOps.
• Asegurar cada etapa de la tubería CI/CD utilizando herramientas automatizadas.
• Implementar prácticas de codificación segura y escaneo de vulnerabilidades.
• Prepararse para la certificación ECDE mediante laboratorios prácticos y revisiones.

Formato del curso

• Conferencias interactivas y discusión.
• Uso práctico de herramientas DevSecOps en tuberías simuladas.
• Ejercicios guiados centrados en el desarrollo y la implementación seguros.

Opciones de personalización del curso

• Para solicitar una formación personalizada para este curso basada en los flujos de trabajo o la cadena de herramientas de su equipo, por favor contáctenos para coordinar.

Basada en las últimas directrices del Proyecto de Seguridad de OWASP GenAI, los participantes aprenderán a identificar, evaluar y mitigar amenazas específicas de la IA a través de ejercicios prácticos y escenarios del mundo real.

Esta formación en vivo, impartida por un instructor en Costa Rica (en línea o en las instalaciones), está dirigida a desarrolladores web y líderes que deseen explorar e implementar la norma de referencia OWASP Top 10 para asegurar sus aplicaciones web.

Al finalizar esta formación, los participantes podrán diseñar estrategias, implementar, asegurar y monitorear sus aplicaciones web y servicios utilizando el documento OWASP Top 10.

Esta capacitación en vivo, impartida por un instructor, en Costa Rica (en línea o presencial), está dirigida a desarrolladores, ingenieros y arquitectos que desean aplicar el marco de pruebas, los principios y las técnicas de la WSTG para proteger sus aplicaciones y servicios web.

Al finalizar esta capacitación, los participantes serán capaces de:

• Utilizar la WSTG para implementar procesos y técnicas de prueba en el ciclo de vida del desarrollo web.
• Explorar diferentes técnicas de prueba para personalizar el marco de la WSTG según las necesidades del negocio.
• Realizar diversos métodos de pruebas de seguridad para proteger las aplicaciones web contra riesgos y ataques.
• Elaborar un informe de evaluación para documentar los hallazgos y resultados de las pruebas de seguridad.

Este curso abarca los conceptos y principios de codificación segura con Java a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP). El Proyecto de Seguridad de Aplicaciones Web Abiertas es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías de acceso libre en el campo de la seguridad de aplicaciones web.

Este curso cubre los conceptos y principios de codificación segura con ASP.NET a través de la metodología de pruebas del Proyecto de Seguridad de Aplicaciones Web de Código Abierto (OWASP). OWASP es una comunidad en línea que crea artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente en el campo de la seguridad de aplicaciones web.

Este curso explora las características de seguridad del Framework de .NET y cómo proteger aplicaciones web.