Lecciones aprendidas en DevSecOps

Mon, 20 Oct 2025 00:00:00 +0000

DevSecOps se usa mucho en ofertas de trabajo y charlas. Pero detrás del buzzword hay lecciones reales que solo vienen de hacer el trabajo. De construir pipelines que se rompen cuando añades seguridad, de ver equipos ignorar herramientas que pasaste meses desplegando, hasta finalmente encontrar qué funciona.

Estas son lecciones que aprendimos a base de golpes. Son opiniones fundamentadas, prácticas, moldeadas por experiencia real.

La seguridad es responsabilidad de todos

Suena a póster, pero es la lección más importante. Si la seguridad es solo del equipo de seguridad, ya perdiste.

Los desarrolladores toman decisiones de seguridad cada vez que escriben código, lo sepan o no. Cómo validan entrada. Cómo manejan secretos. Cómo configuran acceso de red. Cada PR es un evento de seguridad.

Lo que funciona: haz seguridad parte del flujo de desarrollo normal, no una puerta al final. Los desarrolladores aprenden cuando reciben feedback rápido sobre problemas de seguridad en su PR. Lo resientan cuando se enteran tres semanas después de un auditor.

Lo hemos visto repetidamente: equipos que tratan seguridad como responsabilidad compartida encuentran menos vulnerabilidades críticas. Los que la aíslan las encuentran en las noticias.

Automatiza todo lo que puedas

Los procesos de seguridad manuales no escalan. Punto. Si tu revisión de seguridad es un humano leyendo una checklist, se saltará bajo presión de plazos, se aplicará de forma inconsistente y será odiada por todos los involucrados.

Automatiza las cosas que se pueden automatizar:

Escaneo de dependencias en cada build de CI (Dependabot, Snyk, Trivy)
Análisis estático en cada pull request (Semgrep, SonarQube)
Detección de secretos como pre-commit hook y check de CI (gitleaks, detect-secrets)
Escaneo de imágenes de contenedores antes del despliegue (Trivy, Grype)
Escaneo de Infrastructure as Code (tfsec, Checkov, KICS)
Compliance as Code para cumplimiento de políticas en runtime (OPA, Kyverno)

El objetivo no es capturarlo todo automáticamente. El objetivo es capturar lo fácil automáticamente para que los revisores humanos puedan centrarse en lo difícil: fallos en la lógica de negocio, problemas de seguridad a nivel de diseño, modelado de amenazas.

Empieza pequeño

Uno de los mayores errores que hemos cometido es intentar asegurar todo de golpe. Despliegas SAST, DAST, SCA, escaneo de contenedores, escaneo de IaC y protección en runtime en un trimestre. El resultado: fatiga de alertas, rebelión de los desarrolladores y un muro de hallazgos sin resolver que nadie mira.

Empieza con una herramienta, un pipeline, un equipo. Haz que funcione bien. Que los desarrolladores se sientan cómodos con ello. Resuelve los falsos positivos. Ajusta las reglas. Después expande.

Una progresión práctica:

Mes 1: Detección de secretos en pre-commit hooks y CI. Esto es poco controvertido y captura problemas reales.
Mes 2: Escaneo de dependencias con creación automatizada de PRs para actualizaciones. Los desarrolladores ven el valor inmediatamente.
Mes 3: Escaneo de imágenes de contenedores bloqueando despliegues con vulnerabilidades críticas/altas.
Mes 4+: Análisis estático, expandiendo conjuntos de reglas gradualmente.

Cada paso debe ser estable antes de pasar al siguiente. Ir con prisas crea ruido, y el ruido enseña a la gente a ignorar alertas.

La cultura blameless importa

Cuando ocurre un incidente de seguridad porque alguien subió un secreto a un repo público, o porque una vulnerabilidad no se parcheó a tiempo, la respuesta importa más que el propio incidente.

Si se culpa a la gente, ocultan cosas. No reportan casi-incidentes. Tapan errores. Y el siguiente incidente será peor porque nadie compartió las lecciones del anterior.

Las postmortems blameless no consisten en librar a la gente de responsabilidad. Consisten en entender fallos sistémicos. Por qué fue posible subir un secreto? Por qué no había escaneo? Por qué el proceso de parcheo era lento? Arregla el sistema, no a la persona.

Hemos comprobado que los equipos con culturas genuinamente blameless tienen posturas de seguridad significativamente mejores. La gente reporta cosas sospechosas. Piden ayuda pronto. Señalan riesgos antes de que se conviertan en incidentes.

Las herramientas no bastan sin cambio cultural

Una vez desplegamos un pipeline de escaneo de seguridad completo con dashboards bonitos, notificaciones de Slack, creación de tickets en Jira, todo el paquete. Seis meses después, había 3.000 hallazgos sin resolver y el canal de Slack estaba silenciado por todos los desarrolladores.

Las herramientas estaban bien. La cultura no estaba preparada.

Antes de desplegar herramientas, invierte en:

Formación: Los desarrolladores necesitan entender por qué existe la herramienta y cómo actuar sobre sus hallazgos.
Ownership: Alguien necesita ser dueño del backlog de hallazgos y hacer triaje. Si nadie es dueño, nadie lo hace.
SLAs: Define plazos claros para remediar hallazgos por severidad. Críticos en 48 horas. Altos en una semana. Medios en un sprint. Bajos en un trimestre.
Bucles de feedback: Cuando una herramienta produce un falso positivo, debe haber una forma fácil de reportarlo y que se ajuste la regla. De lo contrario, los desarrolladores aprenden a ignorar todo.

Invierte en la experiencia de desarrollador de las herramientas de seguridad

Si tu herramienta de seguridad hace la vida de los desarrolladores más difícil, encontrarán la forma de esquivarla. Esto no es un defecto de carácter. Es naturaleza humana y buen instinto de ingeniería: eliminar obstáculos para entregar.

Las herramientas de seguridad que se adoptan son las que:

Ejecutan rápido: Un escaneo SAST que tarda 20 minutos será esquivado. Uno que tarda 30 segundos será tolerado.
Se integran nativamente: Muestra resultados en la PR, no en un portal separado. Nadie quiere hacer login en otro dashboard.
Tienen baja tasa de falsos positivos: Cada falso positivo erosiona la confianza. Invierte tiempo en el ajuste.
Proporcionan guía accionable: “Vulnerabilidad de SQL injection en la línea 42” es inútil sin “así es como se arregla.”
Fallan de forma elegante: Si el escáner está caído, el pipeline debe avisar, no bloquear. La disponibilidad del pipeline de desarrollo no es negociable.

Lo pensamos así: si un desarrollador tiene que cambiar su flujo de trabajo para acomodar una herramienta de seguridad, la herramienta ha fallado. Las mejores herramientas de seguridad son invisibles.

Monitorización y observabilidad no son negociables

No puedes asegurar lo que no puedes ver. La monitorización de seguridad no es opcional, y no es algo que se añade después.

Qué significa esto en la práctica:

Logging centralizado: Todos los logs de aplicación, infraestructura y herramientas de seguridad en un solo lugar. Si tienes que hacer SSH a una máquina para leer logs, ya vas por detrás.
Audit trails: Quién hizo qué, cuándo y desde dónde. Cada despliegue, cada cambio de configuración, cada solicitud de acceso.
Alertas sobre anomalías: No solo “está el servicio arriba?” sino “es este patrón de acceso normal?” Volúmenes inusuales de llamadas a API, accesos desde nuevas ubicaciones, escalaciones de privilegios.
Seguridad en runtime: Herramientas como Falco para monitorización de runtime de contenedores. Saber cuándo algo inesperado ocurre en producción.

La monitorización también es cómo demuestras a auditores y clientes que tus controles de seguridad funcionan. “Confía en nosotros” no es una estrategia de cumplimiento.

El open source es tu aliado

Algunas de las mejores herramientas de seguridad disponibles son open source. Trivy, Falco, OPA, Semgrep, gitleaks, cosign, KICS, Checkov. El ecosistema es rico y madura rápidamente.

Beneficios de las herramientas de seguridad open source:

Transparencia: Puedes leer las reglas y entender exactamente qué se está comprobando.
Comunidad: Miles de contribuidores encontrando casos límite y añadiendo reglas de detección.
Sin vendor lock-in: Puedes cambiar de herramienta sin renegociar un contrato.
Coste: Empieza gratis, escala según necesites.

Esto no significa que las herramientas comerciales no tengan su lugar. Algunas proporcionan agregación, gestión y soporte valiosos. Pero puedes construir un pipeline de seguridad muy sólido solo con herramientas open source, y creemos que todos los equipos deberían empezar por ahí.

El aprendizaje continuo es esencial

El panorama de amenazas cambia constantemente. Las herramientas cambian. Las mejores prácticas evolucionan. Lo que se consideraba seguro hace dos años puede tener un CVE hoy.

Lo que hacemos para mantenernos al día:

Dedicar tiempo al aprendizaje: Al menos unas horas por sprint para que el equipo lea sobre nuevas vulnerabilidades, herramientas y técnicas. Esto no es un nice-to-have. Es un requisito profesional.
Organizar CTFs internos y ejercicios de mesa: Nada enseña seguridad como intentar romper cosas. Los ejercicios regulares mantienen las habilidades afiladas y revelan brechas en tus defensas.
Participar en la comunidad: Asistir a meetups, contribuir a open source, leer advisories. La comunidad de seguridad es generosa con el conocimiento. Aprovéchalo.
Revisar y actualizar: Revisiones trimestrales de tu tooling de seguridad, políticas y procedimientos de respuesta a incidentes. Lo que funcionó el trimestre pasado puede no funcionar el próximo.

Reflexiones finales

DevSecOps no es un destino. No hay un punto donde digas “terminamos, somos seguros.” Es una práctica continua de reducir riesgo, mejorar visibilidad, construir una cultura donde seguridad sea tan natural como escribir tests.

La lección más importante: lo perfecto es enemigo de lo bueno. Un pipeline básico que los desarrolladores usan de verdad vale infinitamente más que uno completo que esquivan. Empieza donde estás, mejora iterativamente, nunca pares.

Modelo de madurez de DevSecOps

Sun, 08 Oct 2023 10:00:00 +0100

Por qué un modelo de madurez ayuda

La mayoría de los equipos saben que deberían “desplazar la seguridad a la izquierda”, pero saber por dónde empezar es la parte difícil. Un modelo de madurez proporciona una forma estructurada de evaluar el estado actual, identificar brechas y planificar una hoja de ruta realista para mejorar.

Sin un modelo, las mejoras de seguridad tienden a ser reactivas (desencadenadas por incidentes o hallazgos de auditoría en lugar de por una planificación deliberada). Un modelo de madurez convierte la seguridad de un simulacro de incendio en una disciplina de ingeniería con progreso medible.

El modelo descrito aquí tiene cinco niveles. El objetivo no es correr al nivel más alto, sino hacer un progreso constante y sostenible. Cada nivel se construye sobre el anterior.

Los cinco niveles de madurez

Nivel 1: Ad-Hoc

En este nivel, la seguridad es algo secundario. No existen procesos formales y las actividades de seguridad ocurren de forma esporádica, si es que ocurren.

Cómo se ve:

Sin pruebas de seguridad en los pipelines de CI/CD.
Las vulnerabilidades se descubren en producción o por terceros.
Sin herramientas de seguridad dedicadas.
Los desarrolladores tienen poca o ninguna formación en seguridad.
La respuesta a incidentes es improvisada.
El cumplimiento normativo se aborda manualmente antes de las auditorías.

Herramientas típicas: Ninguna específica de seguridad. Quizás un firewall y un antivirus.

Nivel 2: Reactivo

La seguridad se reconoce como importante, pero el enfoque es reactivo. El equipo responde a vulnerabilidades e incidentes pero no los previene de manera proactiva.

Cómo se ve:

El análisis estático básico (SAST) se ejecuta ocasionalmente, pero los hallazgos no siempre se abordan.
El escaneo de dependencias se hace de forma manual o ad-hoc.
Hay documentación de seguridad, pero está desactualizada.
La respuesta a incidentes existe como un proceso documentado, aunque se practica raramente.
Las revisiones de seguridad ocurren tarde en el ciclo de desarrollo (justo antes del lanzamiento).

Herramientas típicas: SonarQube (reglas básicas), OWASP Dependency-Check, pruebas de penetración manuales.

Nivel 3: Proactivo

La seguridad está integrada en el flujo de trabajo de desarrollo. El equipo busca activamente prevenir vulnerabilidades en lugar de solo reaccionar ante ellas.

Cómo se ve:

SAST y DAST se ejecutan automáticamente en los pipelines de CI/CD.
Escaneo de dependencias con alertas automáticas para vulnerabilidades conocidas.
Escaneo de imágenes de contenedores antes del despliegue (Trivy, Grype).
La Infrastructure as Code se escanea en busca de configuraciones incorrectas (Checkov, tfsec).
Se realiza threat modeling para nuevas funcionalidades y cambios de arquitectura.
Existen security champions dentro de los equipos de desarrollo.
Se realizan postmortems sin culpa después de incidentes de seguridad.
Formación regular en seguridad para desarrolladores.

Herramientas típicas: Semgrep, Trivy, Checkov, OWASP ZAP, HashiCorp Vault, Falco.

Nivel 4: Optimizado

La seguridad está profundamente integrada en cada etapa del ciclo de vida del software. Las métricas guían las decisiones y el equipo mejora continuamente basándose en datos.

Cómo se ve:

Puertas de seguridad en los pipelines que bloquean el despliegue si se encuentran problemas críticos.
El tiempo medio de remediación (MTTR) se rastrea y se reduce continuamente.
Se genera un Software Bill of Materials (SBOM) para cada release.
Artefactos firmados y cadena de suministro verificada.
Comprobaciones de cumplimiento automatizadas mapeadas a frameworks (SOC2, ISO 27001, PCI-DSS).
Monitorización de seguridad en runtime con respuesta automatizada (Falco + reglas personalizadas).
Ejercicios regulares de red team y chaos engineering para seguridad.
Las métricas de seguridad forman parte de los dashboards de ingeniería.

Herramientas típicas: Sigstore/cosign, OPA/Gatekeeper, Kyverno, integración con SIEM, plataformas de cumplimiento automatizado.

Nivel 5: Innovador

La seguridad es una ventaja competitiva. El equipo contribuye a la comunidad de seguridad en general y empuja el estado del arte.

Cómo se ve:

Programas de bug bounty gestionados activamente.
Herramientas de seguridad personalizadas desarrolladas para riesgos específicos de la organización.
Machine learning aplicado a detección de anomalías y threat hunting.
La seguridad es una característica que se vende a los clientes (certificaciones, informes de transparencia).
Participación activa en proyectos de seguridad open-source.
Arquitectura zero-trust completamente implementada.
Policy as code gobierna toda la seguridad de infraestructura y aplicaciones.

Herramientas típicas: Plataformas construidas a medida, herramientas de seguridad basadas en eBPF, SIEM avanzado con ML, service mesh zero-trust.

Dimensiones clave

Un modelo de madurez no es unidimensional. Evalúa tu organización en estas dimensiones, ya que el progreso rara vez es parejo:

Seguridad del código

Nivel	Prácticas
Ad-Hoc	Sin escaneo de código
Reactivo	SAST ocasional, revisiones de código manuales orientadas a seguridad
Proactivo	SAST/DAST automatizado en CI, directrices de revisión de código enfocadas en seguridad
Optimizado	Reglas personalizadas para patrones específicos de la organización, MTTR rastreado
Innovador	Revisión de código asistida por IA, sugerencias automáticas de corrección

Seguridad de la infraestructura

Nivel	Prácticas
Ad-Hoc	Configuración manual de servidores, sin estándares de hardening
Reactivo	Checklists básicas de hardening, auditorías ocasionales
Proactivo	Escaneo de IaC, hardening automatizado, CIS benchmarks
Optimizado	Policy as code (OPA), detección de drift, remediación automatizada
Innovador	Infraestructura auto-reparable, redes zero-trust

Monitorización y detección

Nivel	Prácticas
Ad-Hoc	Sin monitorización de seguridad
Reactivo	Recopilación básica de logs, revisión manual después de incidentes
Proactivo	Logging centralizado, alertas sobre patrones conocidos, monitorización en runtime
Optimizado	SIEM con reglas de correlación, playbooks de respuesta automatizada
Innovador	Detección de anomalías basada en ML, programas de threat hunting

Respuesta a incidentes

Nivel	Prácticas
Ad-Hoc	Sin proceso, respuesta improvisada
Reactivo	Runbooks documentados, raramente probados
Proactivo	Ejercicios regulares de simulación, postmortems sin culpa, rotación de guardia
Optimizado	Clasificación automatizada de incidentes, tiempos de respuesta basados en SLA
Innovador	Chaos engineering para seguridad, contención automatizada

Cumplimiento normativo

Nivel	Prácticas
Ad-Hoc	Recopilación manual de evidencias antes de auditorías
Reactivo	Seguimiento en hojas de cálculo, revisiones periódicas
Proactivo	Recopilación automatizada de evidencias, monitorización continua
Optimizado	Compliance as code, dashboards en tiempo real, informes automatizados
Innovador	Certificación continua, informes públicos de transparencia

Checklist de autoevaluación

Califica tu organización en cada punto (Sí / Parcial / No):

Fase de build:

SAST se ejecuta automáticamente en cada pull request.
El escaneo de dependencias alerta sobre CVEs conocidos.
Las imágenes de contenedores se escanean antes de publicarse en un registry.
Las plantillas de IaC se escanean en busca de configuraciones incorrectas.
La detección de secretos impide que se hagan commit de credenciales.

Fase de despliegue:

Las puertas de seguridad pueden bloquear el despliegue por hallazgos críticos.
Los artefactos están firmados y las firmas se verifican.
Se genera un SBOM para cada release.
Los cambios de infraestructura pasan por validación de policy-as-code.

Fase de ejecución:

La monitorización de seguridad en runtime está activa (Falco, Sysdig, etc.).
Logging centralizado con alertas relevantes para seguridad.
La segmentación de red limita el radio de impacto.
Los secretos se gestionan a través de un vault dedicado.

Cultura y procesos:

Los desarrolladores reciben formación regular en seguridad.
Hay security champions integrados en los equipos de desarrollo.
Se realizan postmortems sin culpa después de los incidentes.
El threat modeling es parte del proceso de diseño de nuevas funcionalidades.
Las métricas de seguridad se rastrean y revisan regularmente.

Hoja de ruta para la progresión

Subir de nivel de madurez no ocurre de la noche a la mañana. Aquí tienes una hoja de ruta práctica:

De Ad-Hoc a Reactivo (3-6 meses)

Añade una herramienta SAST a tu pipeline de CI (empieza con Semgrep, tiene buenos valores por defecto y es rápido).
Habilita el escaneo de dependencias (GitHub Dependabot, o trivy fs en CI).
Documenta tu proceso de respuesta a incidentes, aunque sea básico.
Realiza una sesión de formación en seguridad para el equipo.

De Reactivo a Proactivo (6-12 meses)

Añade escaneo de imágenes de contenedores y escaneo de IaC a los pipelines.
Implementa detección de secretos en pre-commit hooks (gitleaks, detect-secrets).
Nombra security champions en cada equipo.
Comienza a hacer threat modeling para funcionalidades importantes.
Realiza tu primer postmortem sin culpa después de un incidente.
Despliega monitorización en runtime (Falco).

De Proactivo a Optimizado (12-18 meses)

Implementa puertas de seguridad que puedan bloquear despliegues.
Rastrea el MTTR y establece objetivos de reducción.
Genera SBOMs y firma los artefactos.
Implementa policy-as-code para infraestructura (OPA/Gatekeeper).
Mapea las comprobaciones automatizadas a frameworks de cumplimiento.
Integra las métricas de seguridad en los dashboards de ingeniería.

De Optimizado a Innovador (18+ meses)

Lanza un programa de bug bounty.
Construye herramientas de seguridad personalizadas para riesgos específicos de la organización.
Implementa arquitectura zero-trust.
Realiza ejercicios regulares de red team.
Contribuye a proyectos de seguridad open-source.

Aspectos culturales

Las herramientas y los procesos son necesarios pero insuficientes. La cultura determina si las prácticas de seguridad realmente se mantienen.

Postmortems sin culpa

Cuando ocurre un incidente de seguridad, el instinto suele ser buscar a alguien a quien culpar. Esto lleva a la gente a ocultar errores y encubrir casi-incidentes. Los postmortems sin culpa le dan la vuelta a esto: se centran en los fallos sistémicos y las mejoras de procesos en lugar de la responsabilidad individual. La pregunta cambia de “quién cometió este error” a “qué permitió que este error ocurriera y cómo lo prevenimos”.

Security Champions

Un security champion es un desarrollador que asume responsabilidad adicional en materia de seguridad dentro de su equipo. No son ingenieros de seguridad a tiempo completo — son desarrolladores que actúan como puente entre el equipo de seguridad y el equipo de desarrollo. Su papel incluye:

Revisar pull requests relevantes para seguridad.
Mantenerse al día en temas de seguridad y compartir conocimiento.
Participar en sesiones de threat modeling.
Ser el primer punto de contacto para preguntas de seguridad.

Este modelo escala mucho mejor que tener un equipo central de seguridad revisando todo.

Hacer la seguridad fácil

Si las prácticas de seguridad son dolorosas, la gente buscará atajos. El objetivo es hacer que la seguridad sea el camino más fácil:

Proporciona plantillas seguras y proyectos de inicio.
Automatiza tanto como sea posible para que los desarrolladores no tengan que recordar pasos manuales.
Da feedback rápido. Un escaneo SAST que tarda 30 minutos será ignorado; uno que tarda 30 segundos será utilizado.
Celebra las mejoras de seguridad igual que celebras la entrega de funcionalidades.

Conclusión

Un modelo de madurez DevSecOps es una brújula, no un destino. El valor viene de una autoevaluación honesta, establecer objetivos realistas y hacer un progreso constante. Empieza donde estás, elige la dimensión donde la mejora tendrá mayor impacto y construye a partir de ahí. La seguridad es un deporte de equipo. Las mejores culturas de seguridad se construyen de forma incremental, una práctica a la vez.

Cultura on Adur

Lecciones aprendidas en DevSecOps

La seguridad es responsabilidad de todos

Automatiza todo lo que puedas

Empieza pequeño

La cultura blameless importa

Las herramientas no bastan sin cambio cultural

Invierte en la experiencia de desarrollador de las herramientas de seguridad

Monitorización y observabilidad no son negociables

El open source es tu aliado

El aprendizaje continuo es esencial

Reflexiones finales

Modelo de madurez de DevSecOps

Por qué un modelo de madurez ayuda

Los cinco niveles de madurez

Nivel 1: Ad-Hoc

Nivel 2: Reactivo

Nivel 3: Proactivo

Nivel 4: Optimizado

Nivel 5: Innovador

Dimensiones clave

Seguridad del código

Seguridad de la infraestructura

Monitorización y detección

Respuesta a incidentes

Cumplimiento normativo

Checklist de autoevaluación

Hoja de ruta para la progresión

De Ad-Hoc a Reactivo (3-6 meses)

De Reactivo a Proactivo (6-12 meses)

De Proactivo a Optimizado (12-18 meses)

De Optimizado a Innovador (18+ meses)

Aspectos culturales

Postmortems sin culpa

Security Champions

Hacer la seguridad fácil

Conclusión