codeseccon 2025 la nueva frontera de las vulnerabilidades en desarrollo de software

CodeSecCon 2025: La nueva frontera de las vulnerabilidades en desarrollo de software

PorCarlos Ribeiro

En el mundo del desarrollo de software, la velocidad ya no es una opción sino una necesidad. Y con este ritmo frenético, las vulnerabilidades también se multiplican a un paso que nos está poniendo a prueba como nunca antes. Desde ataques potenciados por IA hasta riesgos ocultos en la cadena de suministro de software, los equipos de seguridad y desarrollo se enfrentan a problemas que, francamente, nadie había anticipado.

¿Por qué CodeSecCon es relevante en el panorama actual de vulnerabilidades?

El próximo 12 y 13 de agosto se celebra CodeSecCon 2025, un evento virtual y gratuito que promete sacar a la luz estos problemas emergentes. Y no, no es «otro evento más» en el calendario. En un momento donde detectamos vulnerabilidades zero-day casi semanalmente, necesitamos espacios donde profesionales de distintos ámbitos puedan compartir estrategias reales.

La conferencia reunirá a líderes de seguridad, ingenieros y profesionales de DevOps para abordar los desafíos más urgentes y explorar avances que podrían redefinir cómo construimos y protegemos las aplicaciones modernas.

Problemas sin resolver y riesgos emergentes

El AppSec que conocíamos ya no es suficiente

Clinton Herget de Snyk abrirá el debate sobre algo que muchos pensamos pero pocos decimos en voz alta: ¿está la seguridad de aplicaciones realmente a la altura de la innovación o se está quedando atrás? Porque, seamos sinceros, seguimos arrastrando problemas como pruebas estáticas imprecisas y ese sueño aparentemente inalcanzable de priorizar vulnerabilidades según su riesgo real.

Y no es solo una cuestión teórica. En mi experiencia, muchos equipos siguen dependiendo de herramientas que generan falsos positivos a mansalva, lo que termina provocando fatiga y, en el peor de los casos, que se ignoren alertas críticas.

La vulnerabilidad silenciosa en la cadena de suministro

Adam La Morre de Chainguard expondrá un riesgo del que se habla poco: el desajuste entre paquetes publicados y su código fuente original. Es lo que yo llamo «la vulnerabilidad silenciosa» de la cadena de suministro. Suena técnico, pero el impacto es brutal: podría afectar a millones de aplicaciones.

Es como si compraras un medicamento cuya etiqueta dice una cosa, pero su contenido fuera ligeramente diferente. No necesariamente dañino, pero tampoco lo que esperas. Y en software, esa diferencia puede ser la puerta trasera que un atacante necesita.

Replanteando el cumplimiento, la formación y la confianza

SBOMs: De obligación regulatoria a activo de seguridad

Los Software Bill of Materials (SBOMs) han pasado por todas las fases: sobrevaloración, crítica y ahora regulación. Michael Lieberman de Kusari irá más allá del debate para mostrar cómo hacerlos útiles en la práctica, convirtiendo un requisito de cumplimiento en un verdadero activo de seguridad.

Los SBOMs bien implementados pueden ser cruciales para identificar componentes vulnerables después de que se revele una vulnerabilidad zero-day, reduciendo significativamente el tiempo de respuesta ante incidentes.

Seguridad duradera a través de la formación relevante

Desplazarse a la izquierda («shift left») en el ciclo de desarrollo es importante, pero Boomie Odumade argumentará que la seguridad duradera proviene de enseñar correctamente. Su sesión explorará cómo la formación relevante que modela el comportamiento puede integrar la seguridad en la mentalidad del desarrollador.

Y tiene toda la razón. He visto equipos enteros transformarse cuando la formación deja de ser un trámite burocrático y se convierte en algo práctico que realmente les ayuda a entender por qué una vulnerabilidad es peligrosa y cómo evitarla.

El olvidado problema de las identidades no humanas

Con las identidades no humanas ya superando a los humanos en sistemas empresariales, Dwayne McDaniel de GitGuardian explorará cómo proteger esta superficie de ataque en rápido crecimiento y fácilmente explotable.

Este tema me parece especialmente relevante porque muchas organizaciones siguen centradas en proteger cuentas de usuarios mientras descuidan tokens, credenciales de API y otras identidades de servicio que, en manos equivocadas, pueden causar daños devastadores.

IA: La oportunidad y la amenaza

La inteligencia artificial atraviesa gran parte de la agenda de este año, tanto como herramienta defensiva como nueva frontera para los atacantes:

Cuando los LLMs alucinan y crean vulnerabilidades

Anupam Chansarkar de Amazon mostrará cómo las alucinaciones de los modelos de lenguaje pueden crear vulnerabilidades explotables, y cómo la verificación cruzada puede ayudar. Este fenómeno es particularmente preocupante: ¿qué pasa cuando tu asistente de codificación «inventa» código que parece seguro pero contiene fallos sutiles?

Blueprint de DevSecOps para integrar IA sin exponer nuevos riesgos

Nikhil Kassetty presentará un modelo de DevSecOps para integrar IA en aplicaciones sin exponer nuevos riesgos. Esto es vital en un momento en que muchas organizaciones están añadiendo capacidades de IA a sus productos sin comprender completamente las implicaciones de seguridad.

Los desafíos de seguridad de los agentes de IA

David Burns de BrowserStack explorará el Protocolo de Contexto de Modelo (MCP) y los desafíos de seguridad de los agentes de IA que pueden actuar, navegar y automatizar tareas. Este tema me inquieta especialmente porque estamos dando cada vez más autonomía a sistemas que, en última instancia, pueden tomar decisiones con consecuencias imprevistas.

Construyendo seguridad a escala

Otras sesiones profundizarán en cómo escalar la seguridad para arquitecturas modernas:

Visibilidad del código a la nube

Hitesh Subnani de Amazon hablará sobre la visibilidad de código a nube para crear bucles de retroalimentación más ajustados. En mi experiencia, esta visibilidad continua es clave para detectar vulnerabilidades que surgen no del código en sí, sino de su interacción con la infraestructura.

Defensas de bases de datos impulsadas por ML

Manas Sharma de Google presentará defensas de bases de datos impulsadas por aprendizaje automático que se adaptan en milisegundos. Estas soluciones son especialmente importantes frente a ataques de inyección SQL cada vez más sofisticados.

Seguridad web potenciada por IA

Vaishnavi Gudur de Microsoft mostrará cómo la seguridad web potenciada por IA puede detectar y detener amenazas en tiempo real. En un entorno donde los parches para vulnerabilidades críticas pueden tardar semanas en implementarse, estas defensas adaptativas son cada vez más necesarias.

La conversación continúa

CodeSecCon no es solo un evento para escuchar pasivamente; es una conversación en vivo sobre hacia dónde se dirige la seguridad del software y cómo podemos llegar allí de manera segura. Si estás construyendo, defendiendo o gobernando aplicaciones modernas, este es el lugar donde encontrarás las estrategias, herramientas y colegas que te ayudarán a mantenerte al día.

Sinceramente, en tiempos donde las vulnerabilidades zero-day pueden poner en jaque a organizaciones ent

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *