El mito de la seguridad perfecta en software adquirido

El mito: El software de proveedores top es seguro por arte de magia y no necesitas mirarlo más.

¡Ojo! Eso es un error garrafal. Muchos de nosotros, con el CISSP en la mano, a veces nos relajamos y pensamos que el software comercial es infalible solo porque viene de una empresa conocida. Es como asumir que un coche deportivo nunca se estropea, ¡y no es así! Incluso los mejores tienen sus fallos.

La realidad: Todo software que traes a casa necesita una revisión de seguridad, sin excepciones.

El software comprado viene con riesgos serios que hay que analizar. Los proveedores, por muy buenos que sean, pueden tener fallos conocidos (y algunos que ni ellos saben). Además, a menudo usan código abierto con sus propios problemas ocultos o vienen con configuraciones por defecto que son un desastre para la seguridad.

Instalar software sin revisarlo es como dejar la puerta de tu casa abierta. Te expones a:

• Que te aprovechen los fallos que ya se conocen.
• Configuraciones predefinidas que son un regalo envenenado para los atacantes.
• Componentes de terceros con agujeros que nadie ha visto.
• No recibir las actualizaciones de seguridad necesarias (¡un clásico!).

Como profesionales de la seguridad, tenemos que aplicar el principio de mínimo privilegio y revisar a fondo todo software. Esto incluye mirar el código si podemos, evaluar los riesgos y comprobar qué medidas de seguridad ha puesto el proveedor. Es vital para mantener una buena defensa y, por supuesto, cumplir con el dominio D8 - Seguridad de aplicaciones y desarrollo seguro. ¡No seas confiado, sé seguro!