{"id":6882,"date":"2019-01-25T09:52:12","date_gmt":"2019-01-25T15:52:12","guid":{"rendered":"http:\/\/ltam.newsroom.fb.com\/?p=6882"},"modified":"2019-11-04T13:14:53","modified_gmt":"2019-11-04T19:14:53","slug":"disenando-la-seguridad-para-miles-de-millones","status":"publish","type":"post","link":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/","title":{"rendered":"Dise\u00f1ando la seguridad para miles de millones"},"content":{"rendered":"

Por Collin Greene, Director de Seguridad de Productos<\/span><\/i><\/p>\n

Miles de millones de personas utilizan Facebook para conectarse con la gente que les importa. Y es nuestra responsabilidad dise\u00f1ar servicios que mantengan protegidas a las personas.<\/span><\/p>\n

En Facebook, adoptamos un enfoque para la seguridad llamado \u201cdefensa-en-profundidad\u201d, que consiste en agregar capas de protecci\u00f3n para prevenir y atender las vulnerabilidades en nuestra programaci\u00f3n desde m\u00faltiples \u00e1ngulos. Se trata de un esfuerzo masivo y constante que involucra a distintos equipos, \u00e1reas y husos horarios. Tanto los ingenieros como las pr\u00e1cticas de seguridad se encuentran integradas en todas las \u00e1reas de la compa\u00f1\u00eda para poder garantizar que la protecci\u00f3n de datos sea incluida en nuestro c\u00f3digo de programaci\u00f3n y en el dise\u00f1o desde el inicio, en lugar de agregarlas al final.<\/span><\/p>\n

Dado que resulta pr\u00e1cticamente imposible escribir un c\u00f3digo de programaci\u00f3n infalible, es com\u00fan que un software enfrente problemas. Si bien la mayor\u00eda de esos incidentes no tienen consecuencias importantes, algunos pueden generar vulnerabilidades de seguridad que potencialmente podr\u00edan ser aprovechados para acceder a datos o a cuentas de usuarios. Por esta raz\u00f3n, Facebook est\u00e1 comprometido a encontrar, arreglar y prevenir esos problemas. Trabajamos continuamente para mejorar nuestras defensas de modo que podamos responder a amenazas emergentes y anticiparnos a nuestros adversarios, lo cual implica que el trabajo nunca puede considerarse terminado.<\/span><\/p>\n

En el gr\u00e1fico publicado m\u00e1s adelante en este texto, pueden ver c\u00f3mo nuestro enfoque de \u201cdefensa-en-profundidad\u201d se basa en una combinaci\u00f3n de tecnolog\u00eda y equipos de expertos en seguridad que trabajan junto a la gran comunidad de seguridad para proteger nuestra plataforma. En el siguiente art\u00edculo, vamos a analizar cinco componentes: infraestructura de seguridad, herramientas automatizadas de prueba, revisiones internas de pares y dise\u00f1o, ejercicios del \u201cRed Team\u201d y programa de recompensa para <\/span>bugs<\/span><\/i> en mayor profundidad.<\/span><\/p>\n

\"\"<\/p>\n

Infraestructura de seguridad: <\/b>Reducir errores de programaci\u00f3n<\/i><\/b><\/span><\/h5>\n

Todos los ingenieros que se suman a Facebook atraviesan un entrenamiento integral de seis semanas en el que aprenden los procesos de seguridad fundamentales que describimos en este art\u00edculo. Esto asegura que todo nuestro personal de ingenier\u00eda recibe entrenamiento en seguridad de la informaci\u00f3n.<\/span><\/p>\n

Tambi\u00e9n invertimos mucho en construir infraestructura que ayude a los ingenieros a prevenir y eliminar conjuntos completos de problemas cuando escriben un c\u00f3digo de programaci\u00f3n. La infraestructura equivale a los ladrillos de una construcci\u00f3n, como por ejemplo los lenguajes de programaci\u00f3n personalizados y bibliotecas de bits de c\u00f3digo comunes, que dan salvaguardas a los ingenieros cuando est\u00e1n programando.<\/span><\/p>\n

Un ejemplo de un marco que construimos se llama<\/span> Hack<\/span><\/a>, una actualizaci\u00f3n del popular lenguaje de programaci\u00f3n PHP. Hack le permite a los desarrolladores evitar la introducci\u00f3n de errores solicitando que definan expl\u00edcitamente y escriban ciertas variables y par\u00e1metros en su c\u00f3digo. Agregar esta informaci\u00f3n le permite al software de desarrollo identificar potenciales errores mientras el desarrollador codifica. Se puede pensar en estos requerimientos como topes inflables en una pista de bowling: canalizan y orientan las acciones que un programador puede realizar, limitando la cantidad de errores que podr\u00edan introducirse. Como beneficio extra, la informaci\u00f3n adicional que los desarrolladores de Hack deben agregar al c\u00f3digo que escriben puede hacer que el an\u00e1lisis posterior resulte m\u00e1s f\u00e1cil, y nos ayuda a desarrollar las herramientas de an\u00e1lisis que describiremos en la siguiente secci\u00f3n. (Los programadores pueden leer, en el<\/span> blog para desarrolladores, nuestro art\u00edculo sobre Hack<\/span><\/a>, el cual es de c\u00f3digo abierto, para saber m\u00e1s detalles t\u00e9cnicos).<\/span><\/p>\n

Tambi\u00e9n hemos creado<\/span> XHP<\/span><\/a>, una mejora para PHP\/Hack de c\u00f3digo abierto que ayuda a ingenieros a integrar c\u00f3digos PHP y HTML de una forma m\u00e1s invisible, reduciendo la probabilidad de que se introduzcan errores en el c\u00f3digo. Esto ayuda a prevenir un tipo de problema com\u00fan conocido como vulnerabilidad \u201c<\/span>cross-site scripting<\/span><\/a>\u201d.<\/span><\/p>\n

Hack y XHP son ejemplos de infraestructura de seguridad que ayuda a que nuestros ingenieros construyan tecnolog\u00eda m\u00e1s segura desde el inicio, en lugar de que escriban l\u00edneas de c\u00f3digo adicionales.<\/span><\/p>\n

Herramientas automatizadas de prueba: <\/b>An\u00e1lisis constante de c\u00f3digos de programaci\u00f3n, autom\u00e1ticamente y a gran escala<\/i><\/b><\/span><\/h5>\n

Dado que la infraestructura de seguridad por s\u00ed sola no pueden anticipar y prevenir todos los problemas, tambi\u00e9n invertimos en crear herramientas de an\u00e1lisis que puedan inspeccionar c\u00f3digos y descubrir errores de seguridad a gran escala y lo m\u00e1s r\u00e1pido posible.<\/span><\/p>\n

Estamos aprendiendo continuamente a partir de incidentes de seguridad que afectan tanto a Facebook como a otras compa\u00f1\u00edas tecnol\u00f3gicas, descubriendo nuevos tipos de vulnerabilidades en el software y utilizando luego este aprendizaje para prevenir incidentes similares en el futuro. Aqu\u00ed es donde entran en juego nuestras herramientas preventivas y de detecci\u00f3n.<\/span><\/p>\n

Existen muchos<\/span> tipos<\/span><\/a> diferentes de<\/span> herramientas<\/span><\/a> que<\/span> utilizamos<\/span><\/a> en Facebook, incluidas las de an\u00e1lisis est\u00e1tico, que analizan c\u00f3digos abiertos escritos, y las de an\u00e1lisis din\u00e1mico, que ejecutan el c\u00f3digo para observar errores mientras el programa est\u00e1 actuando. Estas herramientas buscan problemas potenciales para que puedan corregirse o se\u00f1alarse para su an\u00e1lisis posterior.<\/span><\/p>\n

Sin importar c\u00f3mo es que descubrimos un problema de seguridad, respondemos haciendo una clasificaci\u00f3n del asunto y luego un an\u00e1lisis de sus causas principales, lo cual nos permite aprender de cada problema para prevenir que lo mismo \u2013o errores similares\u2013 vuelvan a ocurrir en el futuro. Este an\u00e1lisis luego vuelve a nutrir las otras etapas de nuestro enfoque de defensa en profundidad. Por ejemplo, puede llevarnos a crear nuevos marcos de programaci\u00f3n, herramientas, o capacitaciones.<\/span><\/p>\n

Como ejemplo, creamos una herramienta \u00fanica que actualizamos regularmente para detectar nuevas clases de problemas. Ese dispositivo analiza continuamente la base de c\u00f3digo completa de Facebook \u2013actualmente consiste en m\u00e1s de 100 millones de l\u00edneas de c\u00f3digo<\/span> Hack<\/span><\/a>\u2013 para identificar vulnerabilidades. Realizar an\u00e1lisis manuales para monitorear constantemente tantas l\u00edneas de c\u00f3digo que cambian miles de veces por d\u00eda consumir\u00eda una incre\u00edble cantidad de tiempo y recursos. Esta herramienta nos permite auditar autom\u00e1ticamente nuestro c\u00f3digo para ciertos tipos de problemas de manera constante.<\/span><\/p>\n

Revisi\u00f3n de pares, revisiones dise\u00f1adas, ejercicios con el \u201cRed Team\u201d: <\/b>utilizar expertos humanos para descubrir fallas que la tecnolog\u00eda no encuentra.<\/i><\/b><\/span><\/h5>\n

Todos los cambios en la programaci\u00f3n atraviesan una revisi\u00f3n obligatoria realizada por pares adem\u00e1s de los an\u00e1lisis autom\u00e1ticos descritos en la secci\u00f3n anterior. Algunas opciones nuevas tambi\u00e9n atravesar\u00e1n revisiones dise\u00f1adas, en las cuales los expertos en seguridad de Facebook brindan informaci\u00f3n para ayudar a los ingenieros a detectar cualquier deficiencia que pueda generar problemas de seguridad. Estas revisiones internas ofrecen otra capa de escrutinio para asegurarnos de que estamos cumpliendo con las pr\u00e1cticas industriales recomendadas.<\/span><\/p>\n

Para imaginar formas en que se puede abusar de o atacar a nuestros productos, tambi\u00e9n llevamos a cabo ejercicios de modelos de amenazas en los que intentamos anticipar c\u00f3mo actores malintencionados podr\u00edan abusar de nuestros sistemas o hacer un uso indebido de nuestra plataforma. Corregimos los problemas que aparecen en estos ejercicios y este aprendizaje nos ayuda a dise\u00f1ar nuevos marcos de programaci\u00f3n y herramientas de an\u00e1lisis.<\/span><\/p>\n

La siguiente capa de nuestro enfoque de defensa en profundidad es poner regularmente a prueba nuestras protecciones para verificar que el c\u00f3digo y los mecanismos de defensa est\u00e9n funcionando como se espera, y que nuestros equipos de respuesta est\u00e9n listos y preparados para detectar e investigar ataques. Para hacerlo, tenemos lo que se llama un \u201cRed Team\u201d o Equipo Rojo de expertos en seguridad interna que planean y ejecutan \u201cataques\u201d fingidos a nuestros sistemas. Estos ejercicios sorpresa nos ayudan a tener una imagen realista de cu\u00e1n preparados estamos, poniendo intensamente a prueba nuestros sistemas y procesos.<\/span><\/p>\n

Luego tomamos los resultados del equipo rojo y, junto con otros equipos asociados en toda la compa\u00f1\u00eda, trazamos un mapa de respuesta a un incidente de seguridad similar en algo llamado \u201cejercicio de tablero\u201d. Esto nos ayuda a mejorar la coordinaci\u00f3n entre nuestros equipos que trabajan en seguridad, privacidad, pol\u00edticas p\u00fablicas, comunicaciones, productos, y asuntos legales, y tambi\u00e9n nos ayuda a ejercitar los m\u00fasculos organizacionales que necesitar\u00edamos durante un incidente real.<\/span><\/p>\n

Programa de recompensa de <\/b>Bugs<\/i><\/b>: <\/b>Involucrar a la comunidad global de seguridad<\/i><\/b><\/span><\/h5>\n

Dado que nos enfrentamos a muchos de los mismos desaf\u00edos que el resto de la industria de la tecnolog\u00eda, hemos invertido mucho en compartir nuestras herramientas y conocimiento para poder mejorar la defensa colectiva de nuestra comunidad. A cambio, expertos en seguridad externos nos brindan su experiencia a trav\u00e9s del programa <\/span>\u201cbug bounty\u201d<\/span><\/i> de Facebook, uno de los m\u00e1s longevos de la industria.<\/span><\/p>\n

Desde 2011, hemos<\/span> alentado<\/span><\/a> a investigadores de seguridad a que revelen responsablemente potenciales problemas para que podamos arreglarlos, que reconozcan p\u00fablicamente su trabajo, y les pagamos una recompensa por esa tarea. Nuestro programa <\/span>bug bounty<\/span><\/i> ha sido determinante para que podamos detectar problemas r\u00e1pidamente, descubrir tendencias, e involucrar a los mejores talentos del \u00e1rea de seguridad fuera de Facebook para que nos ayuden a que la plataforma sea m\u00e1s segura. Las lecciones aprendidas de cada reporte nutren nuestro esfuerzo m\u00e1s amplio en el \u00e1rea de la seguridad, volvi\u00e9ndonos mejores y m\u00e1s r\u00e1pidos en descubrir, arreglar y prevenir problemas. Al d\u00eda de la fecha, hemos pagado m\u00e1s de<\/span> $7,5 millones en recompensas<\/span><\/a> a investigadores de m\u00e1s de 100 pa\u00edses. Continuamos innovando en este rubro expandiendo el programa de recompensa para que incluya problemas que pueden generar<\/span> abuso de datos<\/span><\/a> y poner en riesgo<\/span> aplicaciones de terceros<\/span><\/a> en la plataforma.<\/span><\/p>\n

Una misi\u00f3n \u00fanica de proteger a m\u00e1s de 2.000 millones de personas en Facebook<\/b><\/span><\/h5>\n

Asistir a nuestra comunidad global es una gran responsabilidad que nos ha llevado a realizar mejoras e inversiones en tecnolog\u00eda y talento en el \u00e1rea de seguridad. Nuestro enfoque en descubrir, arreglar y prevenir problemas de seguridad nos ha permitido expandir nuestras defensas a medida que Facebook fue creciendo hasta asistir a miles de millones de personas que se conectan unas con otras. A veces esto ha significado adaptar nuestras estrategias para proteger a nuestra comunidad global en expansi\u00f3n, reescribir nuestros ampliamente utilizados marcos de programaci\u00f3n y abrir el c\u00f3digo de herramientas de seguridad originales. Y dado que sabemos que los esfuerzos de seguridad nunca est\u00e1n 100% terminados, nuestro equipo de seguridad continuar\u00e1 innovando a medida que la comunidad de Facebook siga creciendo. \u00a0\u00a0<\/span><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"Por Collin Greene, Director de Seguridad de Productos Miles de millones de personas utilizan Facebook para conectarse con la gente que les importa. Y es nuestra responsabilidad dise\u00f1ar servicios que mantengan protegidas a las personas. En Facebook, adoptamos un enfoque para la seguridad llamado \u201cdefensa-en-profundidad\u201d, que consiste en agregar capas de protecci\u00f3n para prevenir y atender las vulnerabilidades en nuestra programaci\u00f3n desde m\u00faltiples \u00e1ngulos. Se trata de un esfuerzo masivo y constante que involucra a distintos equipos, \u00e1reas y husos horarios. Tanto los ingenieros como las pr\u00e1cticas de seguridad se encuentran integradas en todas las \u00e1reas de la compa\u00f1\u00eda para poder garantizar que la protecci\u00f3n de datos sea incluida en nuestro c\u00f3digo de programaci\u00f3n y en el dise\u00f1o desde el inicio, en lugar de agregarlas al final. Dado que resulta pr\u00e1cticamente imposible escribir un c\u00f3digo de programaci\u00f3n infalible, es com\u00fan que un software enfrente problemas. Si bien la mayor\u00eda de esos incidentes no tienen consecuencias importantes, algunos pueden generar vulnerabilidades de seguridad que potencialmente podr\u00edan ser aprovechados para acceder a datos o a cuentas de usuarios. Por esta raz\u00f3n, Facebook est\u00e1 comprometido a encontrar, arreglar y prevenir esos problemas. Trabajamos continuamente para mejorar nuestras defensas de modo que podamos responder a amenazas emergentes y anticiparnos a nuestros adversarios, lo cual implica que el trabajo nunca puede considerarse terminado. En el gr\u00e1fico publicado m\u00e1s adelante en este texto, pueden ver c\u00f3mo nuestro enfoque de \u201cdefensa-en-profundidad\u201d se basa en una combinaci\u00f3n de tecnolog\u00eda y equipos de expertos en seguridad que trabajan junto a la gran comunidad de seguridad para proteger nuestra plataforma. En el siguiente art\u00edculo, vamos a analizar cinco componentes: infraestructura de seguridad, herramientas automatizadas de prueba, revisiones internas de pares y dise\u00f1o, ejercicios del \u201cRed Team\u201d y programa de recompensa para bugs en mayor profundidad. Infraestructura de seguridad: Reducir errores de programaci\u00f3n Todos los ingenieros que se suman a Facebook atraviesan un entrenamiento integral de seis semanas en el que aprenden los procesos de seguridad fundamentales que describimos en este art\u00edculo. Esto asegura que todo nuestro personal de ingenier\u00eda recibe entrenamiento en seguridad de la informaci\u00f3n. Tambi\u00e9n invertimos mucho en construir infraestructura que ayude a los ingenieros a prevenir y eliminar conjuntos completos de problemas cuando escriben un c\u00f3digo de programaci\u00f3n. La infraestructura equivale a los ladrillos de una construcci\u00f3n, como por ejemplo los lenguajes de programaci\u00f3n personalizados y bibliotecas de bits de c\u00f3digo comunes, que dan salvaguardas a los ingenieros cuando est\u00e1n programando. Un ejemplo de un marco que construimos se llama Hack, una actualizaci\u00f3n del popular lenguaje de programaci\u00f3n PHP. Hack le permite a los desarrolladores evitar la introducci\u00f3n de errores solicitando que definan expl\u00edcitamente y escriban ciertas variables y par\u00e1metros en su c\u00f3digo. Agregar esta informaci\u00f3n le permite al software de desarrollo identificar potenciales errores mientras el desarrollador codifica. Se puede pensar en estos requerimientos como topes inflables en una pista de bowling: canalizan y orientan las acciones que un programador puede realizar, limitando la cantidad de errores que podr\u00edan introducirse. Como beneficio extra, la informaci\u00f3n adicional que los desarrolladores de Hack deben agregar al c\u00f3digo que escriben puede hacer que el an\u00e1lisis posterior resulte m\u00e1s f\u00e1cil, y nos ayuda a desarrollar las herramientas de an\u00e1lisis que describiremos en la siguiente secci\u00f3n. (Los programadores pueden leer, en el blog para desarrolladores, nuestro art\u00edculo sobre Hack, el cual es de c\u00f3digo abierto, para saber m\u00e1s detalles t\u00e9cnicos). Tambi\u00e9n hemos creado XHP, una mejora para PHP\/Hack de c\u00f3digo abierto que ayuda a ingenieros a integrar c\u00f3digos PHP y HTML de una forma m\u00e1s invisible, reduciendo la probabilidad de que se introduzcan errores en el c\u00f3digo. Esto ayuda a prevenir un tipo de problema com\u00fan conocido como vulnerabilidad \u201ccross-site scripting\u201d. Hack y XHP son ejemplos de infraestructura de seguridad que ayuda a que nuestros ingenieros construyan tecnolog\u00eda m\u00e1s segura desde el inicio, en lugar de que escriban l\u00edneas de c\u00f3digo adicionales. Herramientas automatizadas de prueba: An\u00e1lisis constante de c\u00f3digos de programaci\u00f3n, autom\u00e1ticamente y a gran escala Dado que la infraestructura de seguridad por s\u00ed sola no pueden anticipar y prevenir todos los problemas, tambi\u00e9n invertimos en crear herramientas de an\u00e1lisis que puedan inspeccionar c\u00f3digos y descubrir errores de seguridad a gran escala y lo m\u00e1s r\u00e1pido posible. Estamos aprendiendo continuamente a partir de incidentes de seguridad que afectan tanto a Facebook como a otras compa\u00f1\u00edas tecnol\u00f3gicas, descubriendo nuevos tipos de vulnerabilidades en el software y utilizando luego este aprendizaje para prevenir incidentes similares en el futuro. Aqu\u00ed es donde entran en juego nuestras herramientas preventivas y de detecci\u00f3n. Existen muchos tipos diferentes de herramientas que utilizamos en Facebook, incluidas las de an\u00e1lisis est\u00e1tico, que analizan c\u00f3digos abiertos escritos, y las de an\u00e1lisis din\u00e1mico, que ejecutan el c\u00f3digo para observar errores mientras el programa est\u00e1 actuando. Estas herramientas buscan problemas potenciales para que puedan corregirse o se\u00f1alarse para su an\u00e1lisis posterior. Sin importar c\u00f3mo es que descubrimos un problema de seguridad, respondemos haciendo una clasificaci\u00f3n del asunto y luego un an\u00e1lisis de sus causas principales, lo cual nos permite aprender de cada problema para prevenir que lo mismo \u2013o errores similares\u2013 vuelvan a ocurrir en el futuro. Este an\u00e1lisis luego vuelve a nutrir las otras etapas de nuestro enfoque de defensa en profundidad. Por ejemplo, puede llevarnos a crear nuevos marcos de programaci\u00f3n, herramientas, o capacitaciones. Como ejemplo, creamos una herramienta \u00fanica que actualizamos regularmente para detectar nuevas clases de problemas. Ese dispositivo analiza continuamente la base de c\u00f3digo completa de Facebook \u2013actualmente consiste en m\u00e1s de 100 millones de l\u00edneas de c\u00f3digo Hack\u2013 para identificar vulnerabilidades. Realizar an\u00e1lisis manuales para monitorear constantemente tantas l\u00edneas de c\u00f3digo que cambian miles de veces por d\u00eda consumir\u00eda una incre\u00edble cantidad de tiempo y recursos. Esta herramienta nos permite auditar autom\u00e1ticamente nuestro c\u00f3digo para ciertos tipos de problemas de manera constante. Revisi\u00f3n de pares, revisiones dise\u00f1adas, ejercicios con el \u201cRed Team\u201d: utilizar expertos humanos para descubrir fallas que la tecnolog\u00eda no encuentra. Todos los cambios en la programaci\u00f3n atraviesan una revisi\u00f3n obligatoria realizada por pares adem\u00e1s de los an\u00e1lisis autom\u00e1ticos descritos en la secci\u00f3n anterior. Algunas opciones nuevas tambi\u00e9n atravesar\u00e1n revisiones dise\u00f1adas, en las cuales los expertos en seguridad de Facebook brindan informaci\u00f3n para ayudar a los ingenieros a detectar cualquier deficiencia que pueda generar problemas de seguridad. Estas revisiones internas ofrecen otra capa de escrutinio para asegurarnos de que estamos cumpliendo con las pr\u00e1cticas industriales recomendadas. Para imaginar formas en que se puede abusar de o atacar a nuestros productos, tambi\u00e9n llevamos a cabo ejercicios de modelos de amenazas en los que intentamos anticipar c\u00f3mo actores malintencionados podr\u00edan abusar de nuestros sistemas o hacer un uso indebido de nuestra plataforma. Corregimos los problemas que aparecen en estos ejercicios y este aprendizaje nos ayuda a dise\u00f1ar nuevos marcos de programaci\u00f3n y herramientas de an\u00e1lisis. La siguiente capa de nuestro enfoque de defensa en profundidad es poner regularmente a prueba nuestras protecciones para verificar que el c\u00f3digo y los mecanismos de defensa est\u00e9n funcionando como se espera, y que nuestros equipos de respuesta est\u00e9n listos y preparados para detectar e investigar ataques. Para hacerlo, tenemos lo que se llama un \u201cRed Team\u201d o Equipo Rojo de expertos en seguridad interna que planean y ejecutan \u201cataques\u201d fingidos a nuestros sistemas. Estos ejercicios sorpresa nos ayudan a tener una imagen realista de cu\u00e1n preparados estamos, poniendo intensamente a prueba nuestros sistemas y procesos. Luego tomamos los resultados del equipo rojo y, junto con otros equipos asociados en toda la compa\u00f1\u00eda, trazamos un mapa de respuesta a un incidente de seguridad similar en algo llamado \u201cejercicio de tablero\u201d. Esto nos ayuda a mejorar la coordinaci\u00f3n entre nuestros equipos que trabajan en seguridad, privacidad, pol\u00edticas p\u00fablicas, comunicaciones, productos, y asuntos legales, y tambi\u00e9n nos ayuda a ejercitar los m\u00fasculos organizacionales que necesitar\u00edamos durante un incidente real. Programa de recompensa de Bugs: Involucrar a la comunidad global de seguridad Dado que nos enfrentamos a muchos de los mismos desaf\u00edos que el resto de la industria de la tecnolog\u00eda, hemos invertido mucho en compartir nuestras herramientas y conocimiento para poder mejorar la defensa colectiva de nuestra comunidad. A cambio, expertos en seguridad externos nos brindan su experiencia a trav\u00e9s del programa \u201cbug bounty\u201d de Facebook, uno de los m\u00e1s longevos de la industria. Desde 2011, hemos alentado a investigadores de seguridad a que revelen responsablemente potenciales problemas para que podamos arreglarlos, que reconozcan p\u00fablicamente su trabajo, y les pagamos una recompensa por esa tarea. Nuestro programa bug bounty ha sido determinante para que podamos detectar problemas r\u00e1pidamente, descubrir tendencias, e involucrar a los mejores talentos del \u00e1rea de seguridad fuera de Facebook para que nos ayuden a que la plataforma sea m\u00e1s segura. Las lecciones aprendidas de cada reporte nutren nuestro esfuerzo m\u00e1s amplio en el \u00e1rea de la seguridad, volvi\u00e9ndonos mejores y m\u00e1s r\u00e1pidos en descubrir, arreglar y prevenir problemas. Al d\u00eda de la fecha, hemos pagado m\u00e1s de $7,5 millones en recompensas a investigadores de m\u00e1s de 100 pa\u00edses. Continuamos innovando en este rubro expandiendo el programa de recompensa para que incluya problemas que pueden generar abuso de datos y poner en riesgo aplicaciones de terceros en la plataforma. Una misi\u00f3n \u00fanica de proteger a m\u00e1s de 2.000 millones de personas en Facebook Asistir a nuestra comunidad global es una gran responsabilidad que nos ha llevado a realizar mejoras e inversiones en tecnolog\u00eda y talento en el \u00e1rea de seguridad. Nuestro enfoque en descubrir, arreglar y prevenir problemas de seguridad nos ha permitido expandir nuestras defensas a medida que Facebook fue creciendo hasta asistir a miles de millones de personas que se conectan unas con otras. A veces esto ha significado adaptar nuestras estrategias para proteger a nuestra comunidad global en expansi\u00f3n, reescribir nuestros ampliamente utilizados marcos de programaci\u00f3n y abrir el c\u00f3digo de herramientas de seguridad originales. Y dado que sabemos que los esfuerzos de seguridad nunca est\u00e1n 100% terminados, nuestro equipo de seguridad continuar\u00e1 innovando a medida que la comunidad de Facebook siga creciendo. \u00a0\u00a0  ","protected":false},"author":95829248,"featured_media":6884,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[243947987],"tags":[243930626],"class_list":["post-6882","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-integridad-y-seguridad","tag-seguridad"],"yoast_head":"\nDise\u00f1ando la seguridad para miles de millones | Acerca de Meta<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Dise\u00f1ando la seguridad para miles de millones | Acerca de Meta\" \/>\n<meta property=\"og:description\" content=\"Por Collin Greene, Director de Seguridad de Productos Miles de millones de personas utilizan Facebook para conectarse con la gente que les importa. Y es nuestra responsabilidad dise\u00f1ar servicios que mantengan protegidas a las personas. En Facebook, adoptamos un enfoque para la seguridad llamado \u201cdefensa-en-profundidad\u201d, que consiste en agregar capas de protecci\u00f3n para prevenir y atender las vulnerabilidades en nuestra programaci\u00f3n desde m\u00faltiples \u00e1ngulos. Se trata de un esfuerzo masivo y constante que involucra a distintos equipos, \u00e1reas y husos horarios. Tanto los ingenieros como las pr\u00e1cticas de seguridad se encuentran integradas en todas las \u00e1reas de la compa\u00f1\u00eda para poder garantizar que la protecci\u00f3n de datos sea incluida en nuestro c\u00f3digo de programaci\u00f3n y en el dise\u00f1o desde el inicio, en lugar de agregarlas al final. Dado que resulta pr\u00e1cticamente imposible escribir un c\u00f3digo de programaci\u00f3n infalible, es com\u00fan que un software enfrente problemas. Si bien la mayor\u00eda de esos incidentes no tienen consecuencias importantes, algunos pueden generar vulnerabilidades de seguridad que potencialmente podr\u00edan ser aprovechados para acceder a datos o a cuentas de usuarios. Por esta raz\u00f3n, Facebook est\u00e1 comprometido a encontrar, arreglar y prevenir esos problemas. Trabajamos continuamente para mejorar nuestras defensas de modo que podamos responder a amenazas emergentes y anticiparnos a nuestros adversarios, lo cual implica que el trabajo nunca puede considerarse terminado. En el gr\u00e1fico publicado m\u00e1s adelante en este texto, pueden ver c\u00f3mo nuestro enfoque de \u201cdefensa-en-profundidad\u201d se basa en una combinaci\u00f3n de tecnolog\u00eda y equipos de expertos en seguridad que trabajan junto a la gran comunidad de seguridad para proteger nuestra plataforma. En el siguiente art\u00edculo, vamos a analizar cinco componentes: infraestructura de seguridad, herramientas automatizadas de prueba, revisiones internas de pares y dise\u00f1o, ejercicios del \u201cRed Team\u201d y programa de recompensa para bugs en mayor profundidad. Infraestructura de seguridad: Reducir errores de programaci\u00f3n Todos los ingenieros que se suman a Facebook atraviesan un entrenamiento integral de seis semanas en el que aprenden los procesos de seguridad fundamentales que describimos en este art\u00edculo. Esto asegura que todo nuestro personal de ingenier\u00eda recibe entrenamiento en seguridad de la informaci\u00f3n. Tambi\u00e9n invertimos mucho en construir infraestructura que ayude a los ingenieros a prevenir y eliminar conjuntos completos de problemas cuando escriben un c\u00f3digo de programaci\u00f3n. La infraestructura equivale a los ladrillos de una construcci\u00f3n, como por ejemplo los lenguajes de programaci\u00f3n personalizados y bibliotecas de bits de c\u00f3digo comunes, que dan salvaguardas a los ingenieros cuando est\u00e1n programando. Un ejemplo de un marco que construimos se llama Hack, una actualizaci\u00f3n del popular lenguaje de programaci\u00f3n PHP. Hack le permite a los desarrolladores evitar la introducci\u00f3n de errores solicitando que definan expl\u00edcitamente y escriban ciertas variables y par\u00e1metros en su c\u00f3digo. Agregar esta informaci\u00f3n le permite al software de desarrollo identificar potenciales errores mientras el desarrollador codifica. Se puede pensar en estos requerimientos como topes inflables en una pista de bowling: canalizan y orientan las acciones que un programador puede realizar, limitando la cantidad de errores que podr\u00edan introducirse. Como beneficio extra, la informaci\u00f3n adicional que los desarrolladores de Hack deben agregar al c\u00f3digo que escriben puede hacer que el an\u00e1lisis posterior resulte m\u00e1s f\u00e1cil, y nos ayuda a desarrollar las herramientas de an\u00e1lisis que describiremos en la siguiente secci\u00f3n. (Los programadores pueden leer, en el blog para desarrolladores, nuestro art\u00edculo sobre Hack, el cual es de c\u00f3digo abierto, para saber m\u00e1s detalles t\u00e9cnicos). Tambi\u00e9n hemos creado XHP, una mejora para PHP\/Hack de c\u00f3digo abierto que ayuda a ingenieros a integrar c\u00f3digos PHP y HTML de una forma m\u00e1s invisible, reduciendo la probabilidad de que se introduzcan errores en el c\u00f3digo. Esto ayuda a prevenir un tipo de problema com\u00fan conocido como vulnerabilidad \u201ccross-site scripting\u201d. Hack y XHP son ejemplos de infraestructura de seguridad que ayuda a que nuestros ingenieros construyan tecnolog\u00eda m\u00e1s segura desde el inicio, en lugar de que escriban l\u00edneas de c\u00f3digo adicionales. Herramientas automatizadas de prueba: An\u00e1lisis constante de c\u00f3digos de programaci\u00f3n, autom\u00e1ticamente y a gran escala Dado que la infraestructura de seguridad por s\u00ed sola no pueden anticipar y prevenir todos los problemas, tambi\u00e9n invertimos en crear herramientas de an\u00e1lisis que puedan inspeccionar c\u00f3digos y descubrir errores de seguridad a gran escala y lo m\u00e1s r\u00e1pido posible. Estamos aprendiendo continuamente a partir de incidentes de seguridad que afectan tanto a Facebook como a otras compa\u00f1\u00edas tecnol\u00f3gicas, descubriendo nuevos tipos de vulnerabilidades en el software y utilizando luego este aprendizaje para prevenir incidentes similares en el futuro. Aqu\u00ed es donde entran en juego nuestras herramientas preventivas y de detecci\u00f3n. Existen muchos tipos diferentes de herramientas que utilizamos en Facebook, incluidas las de an\u00e1lisis est\u00e1tico, que analizan c\u00f3digos abiertos escritos, y las de an\u00e1lisis din\u00e1mico, que ejecutan el c\u00f3digo para observar errores mientras el programa est\u00e1 actuando. Estas herramientas buscan problemas potenciales para que puedan corregirse o se\u00f1alarse para su an\u00e1lisis posterior. Sin importar c\u00f3mo es que descubrimos un problema de seguridad, respondemos haciendo una clasificaci\u00f3n del asunto y luego un an\u00e1lisis de sus causas principales, lo cual nos permite aprender de cada problema para prevenir que lo mismo \u2013o errores similares\u2013 vuelvan a ocurrir en el futuro. Este an\u00e1lisis luego vuelve a nutrir las otras etapas de nuestro enfoque de defensa en profundidad. Por ejemplo, puede llevarnos a crear nuevos marcos de programaci\u00f3n, herramientas, o capacitaciones. Como ejemplo, creamos una herramienta \u00fanica que actualizamos regularmente para detectar nuevas clases de problemas. Ese dispositivo analiza continuamente la base de c\u00f3digo completa de Facebook \u2013actualmente consiste en m\u00e1s de 100 millones de l\u00edneas de c\u00f3digo Hack\u2013 para identificar vulnerabilidades. Realizar an\u00e1lisis manuales para monitorear constantemente tantas l\u00edneas de c\u00f3digo que cambian miles de veces por d\u00eda consumir\u00eda una incre\u00edble cantidad de tiempo y recursos. Esta herramienta nos permite auditar autom\u00e1ticamente nuestro c\u00f3digo para ciertos tipos de problemas de manera constante. Revisi\u00f3n de pares, revisiones dise\u00f1adas, ejercicios con el \u201cRed Team\u201d: utilizar expertos humanos para descubrir fallas que la tecnolog\u00eda no encuentra. Todos los cambios en la programaci\u00f3n atraviesan una revisi\u00f3n obligatoria realizada por pares adem\u00e1s de los an\u00e1lisis autom\u00e1ticos descritos en la secci\u00f3n anterior. Algunas opciones nuevas tambi\u00e9n atravesar\u00e1n revisiones dise\u00f1adas, en las cuales los expertos en seguridad de Facebook brindan informaci\u00f3n para ayudar a los ingenieros a detectar cualquier deficiencia que pueda generar problemas de seguridad. Estas revisiones internas ofrecen otra capa de escrutinio para asegurarnos de que estamos cumpliendo con las pr\u00e1cticas industriales recomendadas. Para imaginar formas en que se puede abusar de o atacar a nuestros productos, tambi\u00e9n llevamos a cabo ejercicios de modelos de amenazas en los que intentamos anticipar c\u00f3mo actores malintencionados podr\u00edan abusar de nuestros sistemas o hacer un uso indebido de nuestra plataforma. Corregimos los problemas que aparecen en estos ejercicios y este aprendizaje nos ayuda a dise\u00f1ar nuevos marcos de programaci\u00f3n y herramientas de an\u00e1lisis. La siguiente capa de nuestro enfoque de defensa en profundidad es poner regularmente a prueba nuestras protecciones para verificar que el c\u00f3digo y los mecanismos de defensa est\u00e9n funcionando como se espera, y que nuestros equipos de respuesta est\u00e9n listos y preparados para detectar e investigar ataques. Para hacerlo, tenemos lo que se llama un \u201cRed Team\u201d o Equipo Rojo de expertos en seguridad interna que planean y ejecutan \u201cataques\u201d fingidos a nuestros sistemas. Estos ejercicios sorpresa nos ayudan a tener una imagen realista de cu\u00e1n preparados estamos, poniendo intensamente a prueba nuestros sistemas y procesos. Luego tomamos los resultados del equipo rojo y, junto con otros equipos asociados en toda la compa\u00f1\u00eda, trazamos un mapa de respuesta a un incidente de seguridad similar en algo llamado \u201cejercicio de tablero\u201d. Esto nos ayuda a mejorar la coordinaci\u00f3n entre nuestros equipos que trabajan en seguridad, privacidad, pol\u00edticas p\u00fablicas, comunicaciones, productos, y asuntos legales, y tambi\u00e9n nos ayuda a ejercitar los m\u00fasculos organizacionales que necesitar\u00edamos durante un incidente real. Programa de recompensa de Bugs: Involucrar a la comunidad global de seguridad Dado que nos enfrentamos a muchos de los mismos desaf\u00edos que el resto de la industria de la tecnolog\u00eda, hemos invertido mucho en compartir nuestras herramientas y conocimiento para poder mejorar la defensa colectiva de nuestra comunidad. A cambio, expertos en seguridad externos nos brindan su experiencia a trav\u00e9s del programa \u201cbug bounty\u201d de Facebook, uno de los m\u00e1s longevos de la industria. Desde 2011, hemos alentado a investigadores de seguridad a que revelen responsablemente potenciales problemas para que podamos arreglarlos, que reconozcan p\u00fablicamente su trabajo, y les pagamos una recompensa por esa tarea. Nuestro programa bug bounty ha sido determinante para que podamos detectar problemas r\u00e1pidamente, descubrir tendencias, e involucrar a los mejores talentos del \u00e1rea de seguridad fuera de Facebook para que nos ayuden a que la plataforma sea m\u00e1s segura. Las lecciones aprendidas de cada reporte nutren nuestro esfuerzo m\u00e1s amplio en el \u00e1rea de la seguridad, volvi\u00e9ndonos mejores y m\u00e1s r\u00e1pidos en descubrir, arreglar y prevenir problemas. Al d\u00eda de la fecha, hemos pagado m\u00e1s de $7,5 millones en recompensas a investigadores de m\u00e1s de 100 pa\u00edses. Continuamos innovando en este rubro expandiendo el programa de recompensa para que incluya problemas que pueden generar abuso de datos y poner en riesgo aplicaciones de terceros en la plataforma. Una misi\u00f3n \u00fanica de proteger a m\u00e1s de 2.000 millones de personas en Facebook Asistir a nuestra comunidad global es una gran responsabilidad que nos ha llevado a realizar mejoras e inversiones en tecnolog\u00eda y talento en el \u00e1rea de seguridad. Nuestro enfoque en descubrir, arreglar y prevenir problemas de seguridad nos ha permitido expandir nuestras defensas a medida que Facebook fue creciendo hasta asistir a miles de millones de personas que se conectan unas con otras. A veces esto ha significado adaptar nuestras estrategias para proteger a nuestra comunidad global en expansi\u00f3n, reescribir nuestros ampliamente utilizados marcos de programaci\u00f3n y abrir el c\u00f3digo de herramientas de seguridad originales. Y dado que sabemos que los esfuerzos de seguridad nunca est\u00e1n 100% terminados, nuestro equipo de seguridad continuar\u00e1 innovando a medida que la comunidad de Facebook siga creciendo. \u00a0\u00a0  \" \/>\n<meta property=\"og:url\" content=\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\" \/>\n<meta property=\"og:site_name\" content=\"Acerca de Meta\" \/>\n<meta property=\"article:published_time\" content=\"2019-01-25T15:52:12+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2019-11-04T19:14:53+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?resize=1024,633\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"633\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"camilagfb\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Meta\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"9 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\"},\"author\":\"Facebook company\",\"headline\":\"Dise\u00f1ando la seguridad para miles de millones\",\"datePublished\":\"2019-01-25T15:52:12+00:00\",\"dateModified\":\"2019-11-04T19:14:53+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\"},\"wordCount\":1805,\"publisher\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099\",\"keywords\":[\"Seguridad\"],\"articleSection\":[\"Integridad & Seguridad\"],\"inLanguage\":\"es\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\",\"url\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\",\"name\":\"Dise\u00f1ando la seguridad para miles de millones | Acerca de Meta\",\"isPartOf\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099\",\"datePublished\":\"2019-01-25T15:52:12+00:00\",\"dateModified\":\"2019-11-04T19:14:53+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/\"]}],\"author\":\"Acerca de Meta\"},{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage\",\"url\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099\",\"contentUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099\",\"width\":1778,\"height\":1099},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/about.fb.com\/ltam\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Dise\u00f1ando la seguridad para miles de millones\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#website\",\"url\":\"https:\/\/about.fb.com\/news\/\",\"name\":\"Acerca de Meta\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/about.fb.com\/ltam\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"es\",\"alternateName\":[\"Meta Newsroom\",\"Meta\"]},{\"@type\":\"Organization\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#organization\",\"name\":\"Meta\",\"url\":\"https:\/\/about.fb.com\/ltam\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500\",\"contentUrl\":\"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500\",\"width\":8000,\"height\":4500,\"caption\":\"Meta\"},\"image\":{\"@id\":\"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Dise\u00f1ando la seguridad para miles de millones | Acerca de Meta","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/","og_locale":"es_ES","og_type":"article","og_title":"Dise\u00f1ando la seguridad para miles de millones | Acerca de Meta","og_description":"Por Collin Greene, Director de Seguridad de Productos Miles de millones de personas utilizan Facebook para conectarse con la gente que les importa. Y es nuestra responsabilidad dise\u00f1ar servicios que mantengan protegidas a las personas. En Facebook, adoptamos un enfoque para la seguridad llamado \u201cdefensa-en-profundidad\u201d, que consiste en agregar capas de protecci\u00f3n para prevenir y atender las vulnerabilidades en nuestra programaci\u00f3n desde m\u00faltiples \u00e1ngulos. Se trata de un esfuerzo masivo y constante que involucra a distintos equipos, \u00e1reas y husos horarios. Tanto los ingenieros como las pr\u00e1cticas de seguridad se encuentran integradas en todas las \u00e1reas de la compa\u00f1\u00eda para poder garantizar que la protecci\u00f3n de datos sea incluida en nuestro c\u00f3digo de programaci\u00f3n y en el dise\u00f1o desde el inicio, en lugar de agregarlas al final. Dado que resulta pr\u00e1cticamente imposible escribir un c\u00f3digo de programaci\u00f3n infalible, es com\u00fan que un software enfrente problemas. Si bien la mayor\u00eda de esos incidentes no tienen consecuencias importantes, algunos pueden generar vulnerabilidades de seguridad que potencialmente podr\u00edan ser aprovechados para acceder a datos o a cuentas de usuarios. Por esta raz\u00f3n, Facebook est\u00e1 comprometido a encontrar, arreglar y prevenir esos problemas. Trabajamos continuamente para mejorar nuestras defensas de modo que podamos responder a amenazas emergentes y anticiparnos a nuestros adversarios, lo cual implica que el trabajo nunca puede considerarse terminado. En el gr\u00e1fico publicado m\u00e1s adelante en este texto, pueden ver c\u00f3mo nuestro enfoque de \u201cdefensa-en-profundidad\u201d se basa en una combinaci\u00f3n de tecnolog\u00eda y equipos de expertos en seguridad que trabajan junto a la gran comunidad de seguridad para proteger nuestra plataforma. En el siguiente art\u00edculo, vamos a analizar cinco componentes: infraestructura de seguridad, herramientas automatizadas de prueba, revisiones internas de pares y dise\u00f1o, ejercicios del \u201cRed Team\u201d y programa de recompensa para bugs en mayor profundidad. Infraestructura de seguridad: Reducir errores de programaci\u00f3n Todos los ingenieros que se suman a Facebook atraviesan un entrenamiento integral de seis semanas en el que aprenden los procesos de seguridad fundamentales que describimos en este art\u00edculo. Esto asegura que todo nuestro personal de ingenier\u00eda recibe entrenamiento en seguridad de la informaci\u00f3n. Tambi\u00e9n invertimos mucho en construir infraestructura que ayude a los ingenieros a prevenir y eliminar conjuntos completos de problemas cuando escriben un c\u00f3digo de programaci\u00f3n. La infraestructura equivale a los ladrillos de una construcci\u00f3n, como por ejemplo los lenguajes de programaci\u00f3n personalizados y bibliotecas de bits de c\u00f3digo comunes, que dan salvaguardas a los ingenieros cuando est\u00e1n programando. Un ejemplo de un marco que construimos se llama Hack, una actualizaci\u00f3n del popular lenguaje de programaci\u00f3n PHP. Hack le permite a los desarrolladores evitar la introducci\u00f3n de errores solicitando que definan expl\u00edcitamente y escriban ciertas variables y par\u00e1metros en su c\u00f3digo. Agregar esta informaci\u00f3n le permite al software de desarrollo identificar potenciales errores mientras el desarrollador codifica. Se puede pensar en estos requerimientos como topes inflables en una pista de bowling: canalizan y orientan las acciones que un programador puede realizar, limitando la cantidad de errores que podr\u00edan introducirse. Como beneficio extra, la informaci\u00f3n adicional que los desarrolladores de Hack deben agregar al c\u00f3digo que escriben puede hacer que el an\u00e1lisis posterior resulte m\u00e1s f\u00e1cil, y nos ayuda a desarrollar las herramientas de an\u00e1lisis que describiremos en la siguiente secci\u00f3n. (Los programadores pueden leer, en el blog para desarrolladores, nuestro art\u00edculo sobre Hack, el cual es de c\u00f3digo abierto, para saber m\u00e1s detalles t\u00e9cnicos). Tambi\u00e9n hemos creado XHP, una mejora para PHP\/Hack de c\u00f3digo abierto que ayuda a ingenieros a integrar c\u00f3digos PHP y HTML de una forma m\u00e1s invisible, reduciendo la probabilidad de que se introduzcan errores en el c\u00f3digo. Esto ayuda a prevenir un tipo de problema com\u00fan conocido como vulnerabilidad \u201ccross-site scripting\u201d. Hack y XHP son ejemplos de infraestructura de seguridad que ayuda a que nuestros ingenieros construyan tecnolog\u00eda m\u00e1s segura desde el inicio, en lugar de que escriban l\u00edneas de c\u00f3digo adicionales. Herramientas automatizadas de prueba: An\u00e1lisis constante de c\u00f3digos de programaci\u00f3n, autom\u00e1ticamente y a gran escala Dado que la infraestructura de seguridad por s\u00ed sola no pueden anticipar y prevenir todos los problemas, tambi\u00e9n invertimos en crear herramientas de an\u00e1lisis que puedan inspeccionar c\u00f3digos y descubrir errores de seguridad a gran escala y lo m\u00e1s r\u00e1pido posible. Estamos aprendiendo continuamente a partir de incidentes de seguridad que afectan tanto a Facebook como a otras compa\u00f1\u00edas tecnol\u00f3gicas, descubriendo nuevos tipos de vulnerabilidades en el software y utilizando luego este aprendizaje para prevenir incidentes similares en el futuro. Aqu\u00ed es donde entran en juego nuestras herramientas preventivas y de detecci\u00f3n. Existen muchos tipos diferentes de herramientas que utilizamos en Facebook, incluidas las de an\u00e1lisis est\u00e1tico, que analizan c\u00f3digos abiertos escritos, y las de an\u00e1lisis din\u00e1mico, que ejecutan el c\u00f3digo para observar errores mientras el programa est\u00e1 actuando. Estas herramientas buscan problemas potenciales para que puedan corregirse o se\u00f1alarse para su an\u00e1lisis posterior. Sin importar c\u00f3mo es que descubrimos un problema de seguridad, respondemos haciendo una clasificaci\u00f3n del asunto y luego un an\u00e1lisis de sus causas principales, lo cual nos permite aprender de cada problema para prevenir que lo mismo \u2013o errores similares\u2013 vuelvan a ocurrir en el futuro. Este an\u00e1lisis luego vuelve a nutrir las otras etapas de nuestro enfoque de defensa en profundidad. Por ejemplo, puede llevarnos a crear nuevos marcos de programaci\u00f3n, herramientas, o capacitaciones. Como ejemplo, creamos una herramienta \u00fanica que actualizamos regularmente para detectar nuevas clases de problemas. Ese dispositivo analiza continuamente la base de c\u00f3digo completa de Facebook \u2013actualmente consiste en m\u00e1s de 100 millones de l\u00edneas de c\u00f3digo Hack\u2013 para identificar vulnerabilidades. Realizar an\u00e1lisis manuales para monitorear constantemente tantas l\u00edneas de c\u00f3digo que cambian miles de veces por d\u00eda consumir\u00eda una incre\u00edble cantidad de tiempo y recursos. Esta herramienta nos permite auditar autom\u00e1ticamente nuestro c\u00f3digo para ciertos tipos de problemas de manera constante. Revisi\u00f3n de pares, revisiones dise\u00f1adas, ejercicios con el \u201cRed Team\u201d: utilizar expertos humanos para descubrir fallas que la tecnolog\u00eda no encuentra. Todos los cambios en la programaci\u00f3n atraviesan una revisi\u00f3n obligatoria realizada por pares adem\u00e1s de los an\u00e1lisis autom\u00e1ticos descritos en la secci\u00f3n anterior. Algunas opciones nuevas tambi\u00e9n atravesar\u00e1n revisiones dise\u00f1adas, en las cuales los expertos en seguridad de Facebook brindan informaci\u00f3n para ayudar a los ingenieros a detectar cualquier deficiencia que pueda generar problemas de seguridad. Estas revisiones internas ofrecen otra capa de escrutinio para asegurarnos de que estamos cumpliendo con las pr\u00e1cticas industriales recomendadas. Para imaginar formas en que se puede abusar de o atacar a nuestros productos, tambi\u00e9n llevamos a cabo ejercicios de modelos de amenazas en los que intentamos anticipar c\u00f3mo actores malintencionados podr\u00edan abusar de nuestros sistemas o hacer un uso indebido de nuestra plataforma. Corregimos los problemas que aparecen en estos ejercicios y este aprendizaje nos ayuda a dise\u00f1ar nuevos marcos de programaci\u00f3n y herramientas de an\u00e1lisis. La siguiente capa de nuestro enfoque de defensa en profundidad es poner regularmente a prueba nuestras protecciones para verificar que el c\u00f3digo y los mecanismos de defensa est\u00e9n funcionando como se espera, y que nuestros equipos de respuesta est\u00e9n listos y preparados para detectar e investigar ataques. Para hacerlo, tenemos lo que se llama un \u201cRed Team\u201d o Equipo Rojo de expertos en seguridad interna que planean y ejecutan \u201cataques\u201d fingidos a nuestros sistemas. Estos ejercicios sorpresa nos ayudan a tener una imagen realista de cu\u00e1n preparados estamos, poniendo intensamente a prueba nuestros sistemas y procesos. Luego tomamos los resultados del equipo rojo y, junto con otros equipos asociados en toda la compa\u00f1\u00eda, trazamos un mapa de respuesta a un incidente de seguridad similar en algo llamado \u201cejercicio de tablero\u201d. Esto nos ayuda a mejorar la coordinaci\u00f3n entre nuestros equipos que trabajan en seguridad, privacidad, pol\u00edticas p\u00fablicas, comunicaciones, productos, y asuntos legales, y tambi\u00e9n nos ayuda a ejercitar los m\u00fasculos organizacionales que necesitar\u00edamos durante un incidente real. Programa de recompensa de Bugs: Involucrar a la comunidad global de seguridad Dado que nos enfrentamos a muchos de los mismos desaf\u00edos que el resto de la industria de la tecnolog\u00eda, hemos invertido mucho en compartir nuestras herramientas y conocimiento para poder mejorar la defensa colectiva de nuestra comunidad. A cambio, expertos en seguridad externos nos brindan su experiencia a trav\u00e9s del programa \u201cbug bounty\u201d de Facebook, uno de los m\u00e1s longevos de la industria. Desde 2011, hemos alentado a investigadores de seguridad a que revelen responsablemente potenciales problemas para que podamos arreglarlos, que reconozcan p\u00fablicamente su trabajo, y les pagamos una recompensa por esa tarea. Nuestro programa bug bounty ha sido determinante para que podamos detectar problemas r\u00e1pidamente, descubrir tendencias, e involucrar a los mejores talentos del \u00e1rea de seguridad fuera de Facebook para que nos ayuden a que la plataforma sea m\u00e1s segura. Las lecciones aprendidas de cada reporte nutren nuestro esfuerzo m\u00e1s amplio en el \u00e1rea de la seguridad, volvi\u00e9ndonos mejores y m\u00e1s r\u00e1pidos en descubrir, arreglar y prevenir problemas. Al d\u00eda de la fecha, hemos pagado m\u00e1s de $7,5 millones en recompensas a investigadores de m\u00e1s de 100 pa\u00edses. Continuamos innovando en este rubro expandiendo el programa de recompensa para que incluya problemas que pueden generar abuso de datos y poner en riesgo aplicaciones de terceros en la plataforma. Una misi\u00f3n \u00fanica de proteger a m\u00e1s de 2.000 millones de personas en Facebook Asistir a nuestra comunidad global es una gran responsabilidad que nos ha llevado a realizar mejoras e inversiones en tecnolog\u00eda y talento en el \u00e1rea de seguridad. Nuestro enfoque en descubrir, arreglar y prevenir problemas de seguridad nos ha permitido expandir nuestras defensas a medida que Facebook fue creciendo hasta asistir a miles de millones de personas que se conectan unas con otras. A veces esto ha significado adaptar nuestras estrategias para proteger a nuestra comunidad global en expansi\u00f3n, reescribir nuestros ampliamente utilizados marcos de programaci\u00f3n y abrir el c\u00f3digo de herramientas de seguridad originales. Y dado que sabemos que los esfuerzos de seguridad nunca est\u00e1n 100% terminados, nuestro equipo de seguridad continuar\u00e1 innovando a medida que la comunidad de Facebook siga creciendo. \u00a0\u00a0  ","og_url":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/","og_site_name":"Acerca de Meta","article_published_time":"2019-01-25T15:52:12+00:00","article_modified_time":"2019-11-04T19:14:53+00:00","og_image":[{"width":1024,"height":633,"url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?resize=1024,633","type":"image\/jpeg"}],"author":"camilagfb","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Meta","Est. reading time":"9 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#article","isPartOf":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/"},"author":"Facebook company","headline":"Dise\u00f1ando la seguridad para miles de millones","datePublished":"2019-01-25T15:52:12+00:00","dateModified":"2019-11-04T19:14:53+00:00","mainEntityOfPage":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/"},"wordCount":1805,"publisher":{"@id":"https:\/\/about.fb.com\/ltam\/#organization"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage"},"thumbnailUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099","keywords":["Seguridad"],"articleSection":["Integridad & Seguridad"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/","url":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/","name":"Dise\u00f1ando la seguridad para miles de millones | Acerca de Meta","isPartOf":{"@id":"https:\/\/about.fb.com\/ltam\/#website"},"primaryImageOfPage":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage"},"thumbnailUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099","datePublished":"2019-01-25T15:52:12+00:00","dateModified":"2019-11-04T19:14:53+00:00","breadcrumb":{"@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/"]}],"author":"Acerca de Meta"},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#primaryimage","url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099","contentUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099","width":1778,"height":1099},{"@type":"BreadcrumbList","@id":"https:\/\/about.fb.com\/ltam\/news\/2019\/01\/disenando-la-seguridad-para-miles-de-millones\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/about.fb.com\/ltam\/"},{"@type":"ListItem","position":2,"name":"Dise\u00f1ando la seguridad para miles de millones"}]},{"@type":"WebSite","@id":"https:\/\/about.fb.com\/ltam\/#website","url":"https:\/\/about.fb.com\/news\/","name":"Acerca de Meta","description":"","publisher":{"@id":"https:\/\/about.fb.com\/ltam\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/about.fb.com\/ltam\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es","alternateName":["Meta Newsroom","Meta"]},{"@type":"Organization","@id":"https:\/\/about.fb.com\/ltam\/#organization","name":"Meta","url":"https:\/\/about.fb.com\/ltam\/","logo":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/","url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500","contentUrl":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2021\/10\/meta-social-16x9-1.jpg?fit=8000%2C4500","width":8000,"height":4500,"caption":"Meta"},"image":{"@id":"https:\/\/about.fb.com\/ltam\/#\/schema\/logo\/image\/"}}]}},"jetpack_featured_media_url":"https:\/\/about.fb.com\/ltam\/wp-content\/uploads\/sites\/14\/2019\/04\/es_la-translation-designing-security-for-billions-cover-graphic.jpg?fit=1778%2C1099","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/users\/95829248"}],"replies":[{"embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/comments?post=6882"}],"version-history":[{"count":3,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6882\/revisions"}],"predecessor-version":[{"id":7591,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/posts\/6882\/revisions\/7591"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/media\/6884"}],"wp:attachment":[{"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/media?parent=6882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/categories?post=6882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/about.fb.com\/ltam\/wp-json\/wp\/v2\/tags?post=6882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}