09. Testing de Seguridad

Los problemas de seguridad suelen ser los más notorios de todos, ya que suelen implicar pérdidas económicas, sustracción de tarjetas de crédito, divulgación de datos privados, etc., lo que genera una reputación negativa y devastadoras consecuencias empresariales.

Un ejemplo muy conocido del mundo real es la vulneración masiva de datos de Equifax en julio de 2017 en la que se expusieron los números de seguridad social del 99% de sus clientes (146 millones de personas). La compañía reveló que sabía sobre el agujero de seguridad desde marzo del mismo año, pero no protegió la información personal altamente confidencial de sus clientes. Como consecuencia, en septiembre de 2017, la empresa perdió $4 mil millones.

Y las infracciones no solo ocurren dentro de empresas gigantes como Equifax o el sector financiero, sino también en otros sectores como salud, retail, educación y gobierno, entre otros.

La ciberseguridad es considerada como uno de "los riesgos que más empeoraron desde el inicio de la pandemia" según el Informe de Riesgos Globales 2022 del Foro Económico Mundial. De acuerdo al mismo, el malware aumentó un 358% en 2020, mientras que el ransomware se incrementó en un 435%.

Entonces, ¿por qué es tan importante considerar las pruebas de seguridad?

La fundación OWASP facilita algunas guías y herramientas para verificar los problemas típicos de seguridad, tales como cross-site scripting, injection, known vulnerabilities, etc.

Los riesgos de seguridad de cada empresa serán diferentes. Es importante determinar el potencial impacto de una brecha de seguridad en tu organización, para evaluar cuánto tiempo y recursos deben dedicarse a esta importante área de calidad. Cuanto más crítica sea la seguridad de tu aplicación, más maduras serán tus pruebas si tomas las medidas adecuadas para prepararte con anticipación para una posible infracción.

Incorporar algunos checks básicos de seguridad que se ejecuten periódicamente, permite a los equipos considerar este aspecto clave de la calidad y a largo plazo, mejorar el set de validaciones.