El desarrollo sin código está reescribiendo, sin ánimo de ofender, la forma en que se crean las aplicaciones empresariales. Con interfaces visuales de arrastrar y soltar, plantillas prediseñadas y componentes reutilizables, los desarrolladores ciudadanos de todos los ámbitos de la empresa ahora pueden crear aplicaciones sin experiencia en programación e implementarlas en días o incluso horas, en lugar de semanas o meses.

Desde profesionales de RR.HH. que automatizan las solicitudes de tarjetas de comida de los empleados hasta equipos de ventas que optimizan los paneles de control de flujo de trabajo y acuerdos, la democratización del desarrollo es real e irreversible.

Pero si bien las plataformas de desarrollo sin código están acelerando los proyectos de ingeniería en la sombra, ¿se mantiene la seguridad al día?.

Barreras para la formación de desarrolladores ciudadanos.

En la mayoría de las organizaciones, la formación en seguridad es un componente fundamental de los marcos de ciberseguridad y, a menudo, un requisito de cumplimiento. Ayudar a los empleados a reconocer y responder a las ciberamenazas reduce significativamente el error humano, la principal causa de las brechas de seguridad.

Dicho esto, la formación tradicional en seguridad para el personal de TI y los equipos de desarrollo con inclinaciones técnicas ya supone un reto formidable. Implementar la capacitación para desarrolladores ciudadanos (empleados con poca o ninguna experiencia formal en TI o seguridad) es exponencialmente más difícil por varias razones:

Diversidad de orígenes: Los desarrolladores ciudadanos son, ante todo, usuarios empresariales. Suelen tener poco o ningún conocimiento sobre cumplimiento normativo o codificación segura. Muchos desconocen los riesgos inherentes al desarrollo de aplicaciones web ni las implicaciones de seguridad de la integración de conectores y fuentes de datos de terceros.

Presencia global: Las organizaciones multinacionales deben impartir capacitación en múltiples idiomas y contextos culturales, adaptando el contenido para que se ajuste a las normas y requisitos regulatorios locales.

Proliferación de plataformas: Con múltiples plataformas sin código, cada una con características, vulnerabilidades y ciclos de actualización únicos, mantener la capacitación actualizada es una pesadilla logística.

Escala: Las empresas pueden tener miles de desarrolladores ciudadanos dispersos en sus unidades de negocio, lo que dificulta enormemente la supervisión centralizada y la implementación de la capacitación.

Plazo de entrega: Las nuevas aplicaciones se pueden crear e implementar en días o incluso horas, lo que deja poco tiempo para que los ciclos de capacitación tradicionales se actualicen, lo que crea brechas de riesgo antes de que se puedan implementar las medidas de mitigación.

Por qué la capacitación en seguridad no es suficiente.

Es bien sabido: la capacitación en seguridad siempre ha tenido dificultades para generar cambios de comportamiento duraderos. Durante dos décadas, se ha dicho a los empleados: «No hagan clic en enlaces sospechosos en correos electrónicos». Sin embargo, las tasas de clics en correos electrónicos de phishing siguen siendo muy altas. ¿Por qué? El error humano es persistente, por lo que la capacitación por sí sola no es suficiente.

En respuesta, las empresas están implementando tecnologías en capas (puertas de enlace de correo electrónico avanzadas, sandboxing, Detección y Respuesta de Endpoints (EDR) y escaneo de URL en tiempo real) para compensar sus inevitables errores de juicio.

Considere la capacitación en seguridad para desarrolladores profesionales. Según un informe de la Fundación de Seguridad de Código Abierto (OpenSSF) de Linux Foundation, el 28% de los desarrolladores no están familiarizados con las prácticas de codificación segura y el 53% nunca ha realizado un curso sobre el tema.

Además, existe una insatisfacción generalizada con la capacitación teórica y poco práctica. La industria respondió con diversos métodos de pruebas de seguridad, como las Pruebas de Seguridad de Aplicaciones Estáticas (SAST), las Pruebas de Seguridad de Aplicaciones Dinámicas (DAST), el Ciclo de Vida de Desarrollo de Software Seguro (SSDLC), las Revisiones de Código entre Pares, entre otros.

La lección es clara: la capacitación es necesaria, pero insuficiente, y debe complementarse con controles tecnológicos.

Desarrollo Ciudadano: Nueva Frontera, el Mismo Problema de Siempre.

La misma dinámica se está desarrollando actualmente con el desarrollo sin código. Las empresas se enfrentan a riesgos como fallos de inyección, acceso no autorizado a datos y evasiones de seguridad, todos ellos introducidos por desarrolladores ciudadanos.

Desafortunadamente, las herramientas tradicionales de seguridad de aplicaciones (AppSec) no son suficientes para las aplicaciones sin código, que no se construyen línea por línea y se basan en una lógica propietaria inaccesible para los escaneos de código estándar. Incluso con acceso, interpretar sus riesgos requiere conocimientos especializados en ciberseguridad, lo que hace que las herramientas tradicionales de escaneo de código sean ineficaces. Además, las plataformas sin código suelen bloquear la integración en tiempo de ejecución, lo que hace que las herramientas DAST sean incompatibles con estos entornos.

A continuación, se presentan tres obstáculos específicos que a menudo impiden a las organizaciones mitigar los riesgos en el desarrollo de aplicaciones sin código:

• Falta de gobernanza y visibilidad: Los equipos de seguridad a menudo carecen de herramientas para supervisar o aplicar políticas en las plataformas sin código. Sin visibilidad, incluso los profesionales más experimentados en seguridad de aplicaciones (AppSec) actúan a ciegas y no pueden evaluar qué datos confidenciales podrían estar expuestos o en riesgo.

• Remediación y aprendizaje: Cuando se descubren problemas, la remediación suele ocurrir de forma aislada, con poca retroalimentación para los desarrolladores ciudadanos. Se pierde la oportunidad de aprender y mejorar.

• Riesgos específicos de la plataforma: Cada plataforma sin código presenta vulnerabilidades únicas. La capacitación debe ser personalizada, pero el ritmo de evolución de la plataforma lo hace casi imposible a gran escala.

Por qué el desarrollo sin código necesita seguridad de aplicaciones dedicada.

La capacitación siempre será insignificante en lo que respecta a la seguridad sin código. El desarrollo ciudadano es un cambio de paradigma que exige una seguridad de aplicaciones avanzada. Necesitamos controles de seguridad efectivos diseñados específicamente para entornos sin código.

A continuación, se presentan cuatro maneras en que las medidas de seguridad sin código dedicadas pueden mitigar los riesgos:

• Aplicación automatizada de políticas: Las soluciones de seguridad de aplicaciones sin código pueden monitorear el desarrollo de aplicaciones en tiempo real, detectando vulnerabilidades, configuraciones de riesgo, exposiciones de datos y fallas de integración antes de su lanzamiento.

• Educación y remediación en contexto: En lugar de la anticuada capacitación anual sobre cumplimiento, estas herramientas brindan orientación oportuna, alertando a los desarrolladores ciudadanos sobre los problemas a medida que desarrollan y explicando cómo solucionarlos.

• Visibilidad centralizada: Los equipos de seguridad obtienen una visión unificada de toda la actividad sin código en la empresa, lo que les permite priorizar riesgos, aplicar estándares y responder rápidamente a los incidentes.

• Adaptación continua: A medida que las plataformas y las amenazas evolucionan, las soluciones dedicadas actualizan las protecciones automáticamente, cubriendo la brecha que dejan los programas de capacitación lentos.

Si bien la capacitación sigue siendo esencial, no es suficiente por sí sola. La escala, la velocidad y la diversidad de la adopción del no código exigen un nuevo enfoque por capas para la gestión de riesgos, uno que lleve los controles técnicos más allá de la capacitación del usuario e integre la seguridad directamente en la experiencia de desarrollo. Al integrar la seguridad en la esencia de la innovación, podemos capacitar a los desarrolladores ciudadanos para que avancen con rapidez, sin dañar las cosas ni exponer datos empresariales críticos.