Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Ransomfeed 320x100 1
2nd Edition GlitchZone RHC 970x120 1 Scaled
Ciberseguridad: CISA y NSA recomiendan lenguajes de programación seguros

Ciberseguridad: CISA y NSA recomiendan lenguajes de programación seguros

Redazione RHC : 28 junio 2025 20:21

Las principales agencias de ciberseguridad de EE. UU., CISA y NSA, han publicado un documento conjunto que recomienda a los desarrolladores de software optar por lenguajes de programación considerados «seguros para la memoria». Estos lenguajes están diseñados para brindar protección contra fallos críticos causados por errores de gestión de memoria, que constituyen una de las vulnerabilidades más peligrosas y frecuentes.

El documento destaca que los errores de acceso no autorizado a la memoria siguen siendo una gran amenaza tanto para los usuarios habituales como para los sistemas de información críticos. Sin embargo, lenguajes como Rust, Go, C#, Java, Swift, Python y JavaScript mitigan este riesgo mediante comprobaciones estáticas de la asignación de memoria durante la compilación, lo que reduce significativamente la probabilidad de vulnerabilidades.

Los sistemas más utilizados, como C y C++, no incluyen estas funciones de protección por defecto. En teoría, los desarrolladores pueden minimizar los riesgos mediante el análisis estático de código y el estricto cumplimiento de los estándares de programación segura. Sin embargo, en la práctica, no todos los desarrolladores prestan suficiente atención a este aspecto.

Aunque el programa principal cumpla con los estándares actuales, la integración de bibliotecas de C o C++ a través de la Interfaz de Función Externa (FFI) puede suponer un riesgo de seguridad. Este tipo de vulnerabilidad es particularmente alarmante, ya que podría afectar proyectos que inicialmente parecen completamente seguros.

La magnitud del problema ha sido confirmada por las principales empresas de TI. Según Google, en 2018, el 90 % de las fallas de seguridad críticas en Android estaban relacionadas con el uso incorrecto de la memoria. En el navegador Chromium, según datos de 2021, se registraron más del 70 % de estas vulnerabilidades. Esta categoría incluía el infame fallo Heartbleed en la biblioteca criptográfica OpenSSL, que permitía a los atacantes acceder a datos fuera del área asignada.

La relativamente reciente interrupción de Google Cloud, ocurrida en junio de este año, también resultó estar relacionada con un problema clásico: la falta de comprobación de punteros nulos. Esta falla, en la práctica, provoca fallos o crea puntos de entrada para ataques en sistemas donde los controles de almacenamiento no son lo suficientemente rigurosos.

Por lo tanto, ahora los gigantes, con razón, están apoyando cada vez más la implementación de lenguajes seguros. En 2022, Microsoft recomendó oficialmente desarrollar nuevas aplicaciones en Rust o tecnologías similares. En 2023, las agencias gubernamentales también se unieron a estas iniciativas. La directora de CISA, Jen Easterly, declaró públicamente la necesidad de que la industria adopte soluciones más seguras.

Sin embargo, el proceso de adaptación no es fácil. Durante el último año, la comunidad del kernel de Linux ha estado llena de debates sobre la integración de los controladores Rust. Los defensores de C y C++ también han propuesto alternativas: han surgido TrapC, FilC, Mini-C y Safe C, todas ellas destinadas a mejorar la seguridad del código sin abandonar las tecnologías conocidas. Al mismo tiempo, Google está mejorando la protección de la memoria en C sin sacrificar el rendimiento.

Un informe reciente publicado conjuntamente por CISA y NSA destaca que la adopción total de lenguajes de programación seguros es un proceso que requiere una inversión considerable, recursos humanos y tiempo. Las organizaciones con una gran base de código heredado o que operan dentro de una infraestructura crítica pueden encontrar esta transición particularmente desafiante. A pesar de los desafíos, los beneficios asociados con la adopción de estos lenguajes, incluyendo la reducción de posibles vulnerabilidades y la mejora de la confiabilidad general del software, hacen que este cambio no solo sea deseable, sino inevitable.

El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.

El gobierno, como enfatizan la CISA y la NSA, no depende únicamente de sus propios programas, sino también de la colaboración con empresas privadas. Una de las estrategias contempladas incluye incentivar la creación de empleos que requieran habilidades en el uso de lenguajes de programación seguros, con el objetivo de aumentar el número de especialistas altamente cualificados y acelerar la adopción de nuevos estándares.

El gobierno de EE. UU. también está impulsando sus propias iniciativas para acelerar el proceso. El programa DARPA TRACTOR (Traduciendo Todo C a Rust) está diseñado para crear herramientas automatizadas para convertir proyectos de C existentes a Rust, minimizando el trabajo manual. Investigadores de Princeton, UC Berkeley y UC San Diego están desarrollando el proyecto Omniglot, que garantizará que el código Rust pueda interactuar de forma segura con bibliotecas de terceros a través de FFI.

Immagine del sitoRedazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

Immagine del sito
¡ChatGPT me da dinero! Atlas, el navegador inteligente para macOS, ya está aquí.
Di Redazione RHC - 22/10/2025

OpenAI ha lanzado el navegador ChatGPT Atlas para macOS. Integra inteligencia artificial directamente en la interfaz y permite realizar tareas en páginas web sin tener que cambiar de pestaña. Atlas ...

Immagine del sito
HackerHood de RHC revela dos nuevos días cero en productos Zyxel
Di Redazione RHC - 21/10/2025

El investigador de seguridad Alessandro Sgreccia , miembro del equipo HackerHood de Red Hot Cyber, ha informado de dos nuevas vulnerabilidades en Zyxel que afectan a varios dispositivos de la familia ...

Immagine del sito
Vulnerabilidad F5 BIG-IP: ¡266.000 dispositivos en riesgo en todo el mundo! 2.500 en Italia
Di Redazione RHC - 20/10/2025

La Agencia de Seguridad Cibernética y de Infraestructura (CISA) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) están emitiendo este Aviso Conjunto de Ciberseguridad (C...

Immagine del sito
El procesador Intel 386 cumple 40 años: comienza la era de los 32 bits
Di Redazione RHC - 20/10/2025

El 20 de octubre de 2025 marca un aniversario significativo en la historia de la informática: el procesador Intel 80386 , también conocido como i386 , celebra su 40.º aniversario . ¡Y es un cumple...

Immagine del sito
Intel lanza parches urgentes para la nueva variante de Spectre
Di Redazione RHC - 19/10/2025

Investigadores de VUSec han presentado un artículo titulado «Entrenamiento en solitario», que cuestiona los principios fundamentales de la protección contra ataques Spectre-v2 . Anteriormente , se...