1.1 Capa 1 - La capa física: la amenaza tangible#

• La visión del ingeniero de redes: Esta capa es el mundo de los cables, la fibra óptica, los conmutadores y los concentradores. La principal preocupación es la conectividad física, la integridad de la señal y el aprovisionamiento de hardware. Es la base sobre la que se construye todo.
• La visión del hacker: La capa física es el vector de ataque definitivo si es accesible. Los ataques suelen ser descarados pero muy eficaces:
• Escuchas telefónicas: Conexión directa a cables de red para interceptar el tráfico no cifrado[2].
• Implantes de hardware: Colocar dispositivos maliciosos (por ejemplo, una Raspberry Pi) detrás de un firewall, dentro de una red segura, para establecer un canal C2 (comando y control) persistente.
• Acceso al puerto: Simplemente conecte una computadora portátil a un conector de red activo y no seguro en una sala de conferencias o vestíbulo.
• La visión del defensor: La seguridad física es la seguridad de la red. Las defensas son físicas y de procedimiento: salas de servidores cerradas, puertos de pared no utilizados desactivados, políticas estrictas de control de acceso y sellos de hardware a prueba de manipulaciones. Desde un punto de vista técnico, Control de acceso a la red (NAC) IEEE 802.1X se puede implementar para requerir autenticación desde cualquier dispositivo que se conecte físicamente a la red.[3].

1.2 Capa 2: La capa de enlace de datos: el campo de batalla de la red local#

• La visión del ingeniero de redes: Este es el ámbito de las direcciones MAC, los conmutadores y las redes de área local (LAN). Los protocolos principales son Ethernet y ARP (Protocolo de resolución de direcciones), que asigna direcciones IP (Capa 3) a direcciones MAC (Capa 2).[4]. Esta capa es responsable de enviar tramas al dispositivo correcto en el mismo segmento de red local.
• La visión del hacker: La capa 2 es un entorno rico para ataques porque fue diseñada con un modelo de confianza implícito.
• Suplantación/envenenamiento de ARP: El atacante envía mensajes ARP falsificados a la LAN. Pueden decirle a la puerta de enlace de la red que la dirección MAC del atacante pertenece a la IP de la víctima y decirle a la víctima que la dirección MAC del atacante pertenece a la IP de la puerta de enlace. Esto coloca al atacante en medio de la conversación (Man-in-the-Middle, MitM), lo que le permite interceptar o modificar todo el tráfico de la víctima.[5].
• MAC Flooding: Un ataque contra un conmutador de red. El atacante envía una avalancha de tramas Ethernet con diferentes direcciones MAC de origen, llenando la tabla CAM (Memoria direccionable de contenido) del conmutador. Cuando la tabla está llena, el conmutador ya no puede reenviar tramas de manera inteligente a puertos específicos y entra en un modo de “apertura fallida” en el que actúa como un concentrador, transmitiendo todas las tramas a todos los puertos. Esto permite al atacante rastrear todo el tráfico en la red conmutada.[6].
• Salto de VLAN: ​​Un ataque en el que el atacante, conectado a una VLAN, obtiene acceso al tráfico de otra VLAN a la que no debería poder acceder. Esto a menudo se hace explotando puertos troncales mal configurados.[7].
• La visión del defensor: Los conmutadores ofrecen una serie de características de seguridad para combatir estos ataques:
• Seguridad de puerto: Limita la cantidad de direcciones MAC que se pueden usar en un único puerto de switch y se puede configurar para permitir solo direcciones MAC específicas.[8].
• DHCP Snooping: Evita que servidores DHCP no autorizados se introduzcan en la red.
• Inspección dinámica de ARP (DAI): Valida los paquetes ARP en una red, evitando la suplantación de ARP al comparar las solicitudes/respuestas de ARP con la tabla de vinculación de espionaje DHCP.

1.3 Capa 3: La capa de red: el tablero de ajedrez de enrutamiento#

• La visión del ingeniero de redes: Esta es la capa de direcciones IP y enrutamiento. Se trata de mover paquetes entre diferentes redes. Los enrutadores operan en esta capa y toman decisiones basadas en las direcciones IP de destino para reenviar paquetes hacia su destino final. Aquí existen protocolos como ICMP (para ping y traceroute) e IGMP.[9].
• La visión del hacker: Los ataques de capa 3 se centran en interrumpir el enrutamiento y falsificar la identidad.
• Suplantación de IP: Un atacante crea paquetes IP con una dirección IP de origen falsificada. Esta es una técnica principal utilizada en ataques de denegación de servicio (DoS). En un ataque Smurf, el atacante envía una gran cantidad de solicitudes de eco ICMP (pings) a la dirección de transmisión de la red, falsificando la IP de origen para que sea la IP de la víctima. Todos los hosts de la red responden a la víctima, abrumándola.[10].
• Secuestro de ruta (secuestro de BGP): Un ataque sofisticado en el que un atacante toma de forma ilegítima el control de grupos de direcciones IP corrompiendo las tablas de enrutamiento de Internet, específicamente aquellas mantenidas por el Protocolo de puerta de enlace fronteriza (BGP). Esto se puede utilizar para redirigir el tráfico, lo que lo convierte en una poderosa herramienta para espionaje o ataques MitM a gran escala.[11].
• La vista del defensor: La defensa en esta capa se trata de filtrado y validación.
• Filtrado de entrada/salida: Los firewalls deben configurarse para descartar paquetes entrantes de Internet que tengan una dirección IP de origen dentro de la red interna (filtrado de entrada). También deben configurarse para descartar paquetes salientes que no tengan una IP de origen desde dentro de la red interna (filtrado de salida). Esto ayuda a prevenir la suplantación de IP, como se documenta en BCP 38/RFC 2827.[12].
• Listas de control de acceso (ACL): Los enrutadores y firewalls utilizan ACL para permitir o denegar el tráfico según la IP, el puerto y el protocolo de origen/destino. Este es el componente fundamental del control de acceso a la red.

1.4 Capa 4 - La capa de transporte: el contrato de conexión#

• La visión del ingeniero de redes: Esta capa proporciona servicios de comunicación de host a host. Los dos protocolos más importantes son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagramas de usuario)[13].
• TCP: Entrega orientada a la conexión, confiable y ordenada. Establece una conexión mediante un protocolo de enlace de tres vías (SYN, SYN-ACK, ACK) y garantiza que todos los datos lleguen correctamente. Utilizado para HTTP, FTP, SMTP.
• UDP: Sin conexión, poco confiable y desordenado. Es un protocolo de “disparar y olvidar” que es mucho más rápido pero no ofrece garantías de entrega. Utilizado para DNS, VoIP y juegos en línea.
• La visión del hacker: Los ataques en esta capa a menudo se centran en el agotamiento de los recursos y el reconocimiento.
• TCP SYN Flood: Un ataque DoS clásico. El atacante envía un gran volumen de paquetes TCP SYN al servidor víctima, falsificando la dirección IP de origen. El servidor responde con un SYN-ACK y asigna recursos para la nueva conexión, esperando el ACK final que nunca llega (porque la IP de origen era falsa). Esto deja una gran cantidad de conexiones entreabiertas, agotando la tabla de conexiones del servidor e impidiendo que los usuarios legítimos se conecten.[14].
• Escaneo de puertos: un atacante utiliza herramientas como nmap para enviar sondas a una variedad de puertos en un host de destino para descubrir qué servicios se están ejecutando. Un puerto “abierto” indica un servicio de escucha que podría ser un objetivo potencial de explotación.[15].
• La visión del defensor: Las defensas se centran en la gestión del estado y la detección de escaneo.
• Firewalls con estado: Estos firewalls rastrean el estado de las conexiones TCP. Solo permitirán el paso de un paquete SYN-ACK si han visto un paquete SYN correspondiente, y solo permitirán un ACK si han visto un SYN-ACK. Esto los hace mucho más seguros que los filtros de paquetes sin estado.
• Cookies SYN: Una técnica para mitigar las inundaciones SYN. En lugar de asignar recursos al recibir un SYN, el servidor codifica información sobre la conexión en el número de secuencia del paquete SYN-ACK y lo envía de vuelta. Solo asigna recursos cuando el cliente envía el ACK final que contiene la “cookie”, lo que demuestra que es una fuente legítima.[16].
• Sistemas de detección de intrusiones (IDS): Se puede configurar un IDS para detectar y alertar sobre la actividad de escaneo de puertos, brindando a los defensores una advertencia temprana de un posible ataque.

2.1 El principio de segmentación: construcción de muros internos#

• La visión del ingeniero de redes: La segmentación es la práctica de dividir una red en subredes más pequeñas y aisladas. Esto se logra usando:
• Subredes: Dividir un bloque grande de direcciones IP en bloques más pequeños. Se requieren enrutadores para que el tráfico se mueva entre subredes.
• VLAN (LAN virtuales): Una forma de crear redes lógicamente separadas en la misma infraestructura de conmutación física. Se puede configurar un conmutador para que los puertos de la VLAN 10 solo puedan comunicarse con otros puertos de la VLAN 10, incluso si están en conmutadores físicos diferentes.[18].
• Arquitectura por niveles: Un patrón de diseño clásico que separa la red según la función de la aplicación, creando a menudo una DMZ (Zona Desmilitarizada) para servicios orientados a Internet.[19].
• Nivel web (DMZ): El nivel más externo, al que se puede acceder desde Internet. Contiene servidores web y proxies inversos.
• Nivel de aplicación: El nivel medio, al que se puede acceder únicamente desde el nivel web. Contiene los servidores de aplicaciones y la lógica empresarial.
• Nivel de datos: El nivel más interno y protegido, al que solo se puede acceder desde el nivel de aplicación. Contiene las bases de datos.
• La visión del defensor: La segmentación es la piedra angular de la Defensa en profundidad. Respalda directamente el principio de privilegio mínimo a nivel de red. Un servidor web no necesita comunicarse directamente con un controlador de dominio, por lo que las reglas del firewall deberían bloquear esa ruta de comunicación. Si el servidor web se ve comprometido, la capacidad del atacante para moverse lateralmente queda severamente restringida. El objetivo es hacer que cada paso para el atacante (desde la DMZ hasta el nivel de la aplicación, desde el nivel de la aplicación hasta el nivel de datos) sea un punto de estrangulamiento difícil y fuertemente monitoreado.

2.2 Microsegmentación y Confianza Cero#

• La visión del ingeniero de redes: La microsegmentación es una evolución más granular de la segmentación. En lugar de segmentar por zonas grandes (VLAN), puede crear límites de seguridad alrededor de cargas de trabajo o aplicaciones individuales. En un entorno virtualizado o en la nube, esto a menudo se implementa con redes definidas por software (SDN) y firewalls virtuales.
• La visión del profesional de la ciberseguridad: La microsegmentación es la máxima expresión de una arquitectura de red Zero Trust. El principio fundamental de Zero Trust es “nunca confiar, siempre verificar”. Se supone que los atacantes ya están dentro de la red.[20]. Por lo tanto, la comunicación entre dos máquinas virtuales, incluso si están en la misma subred, no es implícitamente confiable. Debe estar permitido explícitamente por una política de seguridad. Esto hace que el movimiento lateral sea extremadamente difícil para un atacante.
• La opinión del ingeniero de software: Esto tiene implicaciones para los desarrolladores. Las aplicaciones deben diseñarse asumiendo que la conectividad de la red no está garantizada. Deben ser resistentes a los fallos de conexión y estar configurados con los mecanismos correctos de descubrimiento de servicios. Las Políticas de red de Kubernetes son un excelente ejemplo de cómo los desarrolladores definen reglas de microsegmentación en el código (YAML), especificando qué pods pueden comunicarse con qué otros pods.[21].

3.1 El cortafuegos: el guardián de la red#

• Sin estado versus con estado: Como se analizó en el Capítulo 1, un firewall con estado es muy superior ya que comprende el contexto de una conexión.
• Firewall de próxima generación (NGFW): Un NGFW es un firewall de “inspección profunda de paquetes” que va más allá de la simple inspección de puerto/protocolo. Incluye características como:
• Conocimiento de la aplicación: Puede identificar y controlar el tráfico según la aplicación (por ejemplo, bloquear Facebook pero permitir Salesforce), no solo el número de puerto (ya que muchas aplicaciones se ejecutan en el puerto 443).[22].
• Prevención de intrusiones integrada (IPS): Puede bloquear activamente el tráfico que coincida con firmas de ataques conocidas.
• Fuentes de inteligencia de amenazas: Puede integrarse con servicios de inteligencia de amenazas basados ​​en la nube para bloquear el tráfico de direcciones IP o dominios maliciosos conocidos.
• Firewall de aplicaciones web (WAF): Un WAF es un firewall especializado que opera en la Capa 7 (la Capa de Aplicación). Está diseñado para proteger aplicaciones web de ataques web comunes, como los que figuran en el Top 10 de OWASP.[23].
• La opinión del desarrollador: Un WAF es una capa crucial de defensa, pero no sustituye a la codificación segura. Es una red de seguridad. Un WAF podría bloquear un ataque básico de inyección SQL comoOR 1=1, pero un atacante experto a menudo puede encontrar formas de eludir las reglas WAF mediante codificación, ofuscación o consultas más complejas. La defensa principal debe estar en el código mismo (mediante consultas parametrizadas).
• La visión del hacker: La evasión WAF es una disciplina bien establecida. Los atacantes utilizan herramientas para sondear los WAF, identificar el proveedor y los conjuntos de reglas, y crear cargas útiles que sean sintácticamente válidas pero que no activen las firmas del WAF.[24].

3.2 IDS/IPS: La Atalaya de la Red#

• Sistema de detección de intrusiones (IDS): Un dispositivo de monitoreo pasivo. Analiza una copia del tráfico de la red y envía una alerta si detecta actividad sospechosa. No bloquea el tráfico.
• Sistema de prevención de intrusiones (IPS): Un dispositivo activo en línea. Analiza el tráfico y puede bloquear o descartar activamente paquetes que coincidan con firmas maliciosas antes de que lleguen a su objetivo.
• Metodologías de detección:
• Basado en firmas: Funciona como software antivirus. Dispone de una base de datos de patrones de ataque conocidos (“firmas”). Esto es muy eficaz contra amenazas conocidas, pero no puede detectar nuevos ataques de “día cero”.
• Basado en anomalías: El sistema primero crea una línea base de cómo se ve el tráfico de red “normal”. Luego alerta sobre cualquier actividad que se desvíe significativamente de esta línea de base. Esto puede detectar nuevos ataques, pero a menudo es propenso a una alta tasa de falsos positivos.[25].
• La visión del hacker: Las técnicas de evasión incluyen la fragmentación de paquetes, el uso de cifrado (un IDS/IPS no puede inspeccionar el tráfico cifrado a menos que realice un descifrado SSL/TLS, que es computacionalmente costoso) y la modificación de cargas útiles de ataque para evitar coincidencias con firmas conocidas.

4.1 Las capas de la ciudadela#

El castillo medieval ofrece una analogía perfecta:

1. El Foso (Seguridad Perimetral): Esta es la primera línea de defensa. Corresponde a enrutadores fronterizos y cortafuegos perimetrales. Su trabajo es mantener alejados a los atacantes oportunistas y poco sofisticados.
2. El muro exterior (seguridad de la red): Una barrera más fuerte. Esto corresponde a la segmentación interna, IDS/IPS y listas de control de acceso sólidas. Está diseñado para contener amenazas que superan el perímetro.
3. Los arqueros en el muro (monitoreo y detección): Estos son los centinelas. Esto corresponde al Centro de Operaciones de Seguridad (SOC), los sistemas SIEM y el análisis de registros. Están buscando activamente señales de un ataque.
4. The Inner Keep (Host & Endpoint Security): Una fortaleza fuertemente fortificada. Esto corresponde a los controles de seguridad en los propios servidores y estaciones de trabajo: Detección y respuesta de endpoints (EDR), firewalls basados ​​en host, antivirus y monitoreo de la integridad de los archivos.
5. Las joyas de la corona (seguridad de datos y aplicaciones): El premio máximo, protegido por los controles más estrictos. Esto corresponde a un código de aplicación seguro, autenticación y autorización sólidas y cifrado de datos en reposo y en tránsito.
6. Los guardias (personas, procesos y políticas): El elemento humano. Esto incluye capacitación en concientización sobre seguridad, planes de respuesta a incidentes y sólidos procedimientos de seguridad operativa.

• La visión del hacker: Un atacante ve estas capas como una serie de obstáculos que debe superar. Su objetivo es encontrar el eslabón más débil de cada capa. Un firewall fuerte es inútil si un empleado hace clic en un enlace de phishing (sin pasar por el perímetro y las capas de red). Una aplicación segura es inútil si se ejecuta en un servidor sin parches que puede verse comprometido en la capa de host.

5.1 La metodología STRIDE#

Desarrollado por Microsoft, STRIDE es un mnemotécnico para categorizar amenazas[28]:

• Spoofing: Asumir ilegítimamente la identidad de otro usuario o componente.
• Defensa: Autenticación fuerte (MFA), firmas digitales.
• Tampering: Modificación no autorizada de datos, ya sea en tránsito o en reposo.
• Defensa: Hashing, controles de acceso, cifrado de datos.
• Rrepudio: Un usuario que niega haber realizado una acción cuando lo hizo.
• Defensa: Registros de auditoría seguros, firmas digitales.
• **Divulgación de información: exposición de información confidencial a personas no autorizadas.
• Defensa: Cifrado, controles de acceso.
• Ddenegación de servicio: Impedir que usuarios legítimos accedan al sistema.
• Defensa: Limitación de velocidad, equilibrio de carga, arquitectura resistente.
• Elevación de privilegios: un usuario o componente obtiene permisos a los que no tiene derecho.
• Defensa: Principio de privilegio mínimo, controles de autorización sólidos.

5.2 Un ejercicio práctico de modelado de amenazas#

• La opinión del ingeniero de software: Imagine un punto final API simple para actualizar el perfil de un usuario:PUT /api/users/{id}. El equipo de desarrollo, junto con un profesional de seguridad, realizaría un modelo de amenaza.

1. Descomponga la aplicación: Dibuje un diagrama de flujo de datos. El navegador del usuario envía una solicitud HTTPS a una puerta de enlace API, que la reenvía a un servicio de usuario, que luego actualiza una base de datos PostgreSQL.
2. Identificar amenazas usando STRIDE:

• (Spoofing): ¿Puede un usuario actualizar el perfil de otro usuario cambiando el{id}en la URL? (Este es un error de autorización clásico).
• (Manipulación): ¿Puede un atacante en una posición MitM modificar los datos del perfil en tránsito? (Defensa: HTTPS/TLS evita esto).
• (Divulgación de información): ¿La respuesta de la API filtra datos confidenciales, como el hash de la contraseña del usuario u otra PII?
• (Denegación de servicio): ¿Puede un atacante inundar este punto final con una gran cantidad de solicitudes para saturar el servicio o la base de datos? (Defensa: Limitación de tarifas).
• (Elevación de privilegios): ¿Existe una vulnerabilidad (por ejemplo, inyección SQL) en la lógica de actualización que permitiría a un atacante obtener privilegios de administrador?

Este proceso transforma la seguridad de un concepto abstracto a una lista concreta de tareas de ingeniería y casos de prueba.

6.1 El núcleo del SOC: SIEM#

• Gestión de eventos e información de seguridad (SIEM): Un SIEM es el sistema nervioso central de un SOC. Su trabajo es:

1. Registros agregados: Recopile datos de registro de cientos o miles de fuentes (firewalls, servidores, aplicaciones, servicios en la nube, etc.).
2. Normalizar datos: Analice estos formatos de registro dispares en un esquema común.
3. Correlacionar eventos: Esta es la función clave. SIEM utiliza reglas de correlación para conectar eventos individuales, aparentemente inofensivos, de diferentes fuentes en un incidente de seguridad significativo.
4. Alertas: Cuando se activa una regla de correlación, SIEM genera una alerta de alta fidelidad para que un analista de seguridad la investigue.[29].

• La vista del desarrollador: Los registros de su aplicación son una fuente de datos crítica para SIEM. Un buen registro es una característica de seguridad. Los registros deben estar estructurados (por ejemplo, JSON), contener contexto relevante (ID de usuario, IP de origen, ID de solicitud) y registrar eventos relevantes para la seguridad exitosos y fallidos (por ejemplo, inicios de sesión, cambios de contraseña, fallas de autorización).

6.2 El ciclo de vida de respuesta a incidentes#

Cuando se confirma que una alerta es un incidente real, el SOC sigue un plan estructurado de respuesta a incidentes (IR), a menudo basado en un marco como el del NIST.[30]:

1. Preparación: El trabajo realizado antes de que ocurra un incidente (contar con planes, herramientas y personal capacitado).
2. Identificación: Determinar si un evento es un incidente de seguridad.
3. Contención: La prioridad inmediata es detener el sangrado. Esto podría implicar aislar un host comprometido de la red o deshabilitar una cuenta de usuario comprometida.
4. Erradicación: Eliminar la amenaza del entorno (por ejemplo, eliminar malware, parchear la vulnerabilidad).
5. Recuperación: Restaurar los sistemas a su funcionamiento normal.
6. Lecciones aprendidas: Un análisis post mortem para determinar la causa raíz del incidente e identificar mejoras para evitar que vuelva a suceder.

8.1 Vulnerabilidades de aplicaciones web más allá de lo básico#

• Falsificación de solicitudes del lado del servidor (SSRF): Una vulnerabilidad en la que un atacante puede obligar a una aplicación del lado del servidor a realizar solicitudes HTTP a un dominio arbitrario. En entornos de nube, esto se puede utilizar para acceder al servicio de metadatos del proveedor de la nube, que puede filtrar credenciales de seguridad temporales.[32].
• La opinión del desarrollador: Las vulnerabilidades SSRF surgen cuando una aplicación toma una URL proporcionada por el usuario y obtiene contenido de ella sin la validación adecuada. La defensa es mantener una lista estricta de dominios y protocolos permitidos que la aplicación puede solicitar.
• Deserialización insegura: Esta vulnerabilidad se produce cuando una aplicación deserializa datos no confiables proporcionados por el usuario sin la validación adecuada. Un atacante puede crear un objeto serializado malicioso que, cuando se deserializa, puede conducir a la ejecución remota de código.[33].

8.2 El elemento humano: ingeniería social#

• La visión del hacker: El ser humano suele ser el eslabón más débil. La ingeniería social es el arte de manipular a las personas para que realicen acciones o divulguen información confidencial.
• Phishing: Envío de correos electrónicos fraudulentos que parecen provenir de una fuente legítima para engañar a las víctimas para que revelen información confidencial o implementen malware. Spear phishing es una forma muy específica de phishing dirigida a un individuo u organización específica.[34].
• Pretexto: Crear un escenario inventado (un pretexto) para ganarse la confianza de la víctima.
• La visión del defensor: La defensa contra la ingeniería social tiene varios niveles:
• Controles técnicos: Puertas de enlace de correo electrónico que analizan en busca de enlaces y archivos adjuntos maliciosos.
• Capacitación de usuarios: La defensa más crítica. Capacitación periódica en concientización sobre seguridad.
• Proceso: Requiere la aprobación de varias personas para acciones sensibles.

11.1 Autenticación y autorización en detalle#

• Autenticación (¿Quién eres?):
• Autenticación multifactor (MFA): El control más eficaz para proteger cuentas. Requiere dos o más factores de verificación de diferentes categorías: algo que sabes (contraseña), algo que tienes (teléfono) o algo que eres (biométrico)[40].
• Autorización (¿Qué puedes hacer?):
• La opinión del desarrollador: Aquí es donde ocurren muchos errores críticos. Un defecto común se llama Referencia directa a objetos inseguros (IDOR). Esto sucede cuando una aplicación utiliza un identificador proporcionado por el usuario para acceder a un recurso sin realizar una verificación de autorización.[41]. La solución es verificar siempre que el usuario actualmente autenticado tenga permiso para acceder al recurso solicitado.

11.2 Criptografía para desarrolladores: las reglas cardinales#

• Regla 1: Nunca lances tu propia criptografía. La criptografía es increíblemente difícil de hacer bien. Utilice siempre bibliotecas estándar bien examinadas (por ejemplo, Tink de Google, Libsodium)[42].
• Regla 2: Utilice algoritmos estándar y potentes. Para el hash de contraseñas, utilice un algoritmo moderno y lento como Argon2[43]. Para cifrado simétrico, utilice AES-256-GCM. Para cifrado asimétrico, utilice RSA-4096 o criptografía de curva elíptica.
• Regla 3: La gestión de claves lo es todo. La seguridad de un sistema criptográfico depende enteramente del secreto de las claves. Utilice un sistema de administración de claves (KMS) dedicado o un módulo de seguridad de hardware (HSM) para almacenar y administrar claves criptográficas.[44].

11.3 Seguridad de la cadena de suministro: la nueva frontera#

• La visión del ingeniero de software: Las aplicaciones modernas se ensamblan a partir de cientos de dependencias de código abierto. Una vulnerabilidad en solo una de esas dependencias se convierte en una vulnerabilidad en su aplicación. Este es un ataque a la cadena de suministro.
• Log4Shell (Ejemplo): La vulnerabilidad Log4j fue un ejemplo catastrófico. Una biblioteca de registro única y ubicua tenía una vulnerabilidad crítica de ejecución remota de código, lo que hacía que millones de aplicaciones fueran instantáneamente vulnerables.[45].
• Defensas:
• Lista de materiales de software (SBoM): Mantenga un inventario completo de todas las dependencias en su aplicación.[46].
• Análisis de vulnerabilidades: Utilice herramientas como Snyk, Dependabot o Trivy para escanear continuamente sus dependencias en busca de vulnerabilidades conocidas.

12.1 Seguridad del contenedor#

• Imágenes base seguras: Comience con imágenes base mínimas y confiables (p. ej.,distrolessoalpine) para reducir la superficie de ataque[47].
• No ejecutar como raíz: De forma predeterminada, los contenedores se ejecutan como raíz.rootusuario. Utilice elUSERinstrucción en su Dockerfile para ejecutar la aplicación como usuario sin privilegios.
• Escaneo de imágenes: Integre herramientas como Trivy o Clair en su proceso de CI/CD para escanear las imágenes de su contenedor en busca de vulnerabilidades conocidas antes de enviarlas a un registro.

12.2 Seguridad de Kubernetes#

Kubernetes es un sistema potente pero complejo con una gran superficie de ataque.

• Control de acceso basado en roles (RBAC): Utilice RBAC para aplicar el principio de privilegio mínimo tanto para los usuarios como para las cuentas de servicio dentro del clúster.[48].
• Políticas de red: De forma predeterminada, todos los pods de un clúster pueden comunicarse con todos los demás pods. Debes implementarNetworkPolicyrecursos para restringir la comunicación basándose en una postura de “denegación por defecto”.
• Gestión de secretos: No almacene secretos como texto sin formato en ConfigMaps. Utilice el objeto Kubernetes Secrets integrado, pero para mayor seguridad, intégrelo con un administrador de secretos externo como HashiCorp Vault.[49].
• Estándares de seguridad de pods: Utilice los estándares de seguridad de pods para evitar que los pods se ejecuten con configuraciones peligrosas, como ejecutarse como root o acceder a la red del host.[50].

12.3 Seguridad de infraestructura como código (IaC)#

• La vista del desarrollador: Las herramientas de IaC como Terraform le permiten definir su infraestructura en código. Este código se puede escanear en busca de configuraciones incorrectas antes de implementarlo.
• Análisis estático para IaC: Utilice herramientas como Checkov o tfsec en su canal de CI/CD para escanear su código Terraform en busca de problemas de seguridad comunes, como la creación de un depósito S3 de acceso público o un grupo de seguridad que permita SSH desde todo Internet (0.0.0.0/0)[51].