Cómo programar con seguridad

Artículo publicado en 2021 y revisado en 2023

Después de aprender en qué consiste la programación informática o sus fundamentos y antes de elegir un lenguaje y probar, parece esencial tener claro cómo se construye un programa seguro.

Candado sobre código fuente escrito para simbolizar seguridad informática aplicada a la programación

Mientras los responsables de sistemas, redes y diseño de software se encargan de que no haya debilidades a otros niveles, los programadores se centran en elaborar un código sólido, que si es necesario se pueda corregir rápido y sin alteraciones derivadas.

Qué es la ciberseguridad (resumen)

La ciberseguridad busca proteger de amenazas internas y externas la información almacenada en un sistema informático. Para ello se identifican y eliminan vulnerabilidades en el acceso físico a los equipos (cortafuegos, servidores proxy, detección de intrusos…) y entrada a su sistema operativo (antimalware, gestión de permisos, criptografía, personalización que no se pueda suplantar...).

Seguridad informática aplicada a la programación

En primer lugar, se debe tener actualizado y protegido el ordenador donde se va a programar, así como su conexión.

Luego, por lo que he leído, habría que asegurarse de que al escribir un programa, aplicación o web se consideran los siguientes elementos:

Por trazabilidad de incidencias, disponer de un registro con cada evento y su fecha (log).

Seguir o establecer unos estándares al redactar el código y otros componentes relacionados (nomenclaturas, comentarios).

Si hace falta, reutilizar código ajeno cuyo buen funcionamiento esté probado o pueda comprobarse.

Aspirar a un código simple y la menor cantidad de errores (bugs) posible. En este sentido, téngase en cuenta que hay lenguajes que implican más complejidad.

Los datos entrantes han de ser verificados a tiempo.

No dar pistas sobre el funcionamiento del programa.

Auditar el código (incluso a medida que se escribe) con herramientas o la revisión de otro programador.

Testear el programa ante usos esperados e inesperados.

Algún software habitual con el que trabajan los programadores incluye o permite importar alguna de estas opciones, por ejemplo, en los IDE se pueden integrar plugins para analizar determinadas bibliotecas.

Para más información, el proyecto OWASP divulga en guías y rankings cómo lograr un desarrollo de código seguro.