¿OWASP en la Universidad?

Open Web Application Security Project es un proyecto nacido en 2001 con la finalidad de aunar todo el conocimiento recabado por las Universidades, empresas y particulares sobre seguridad informática, especialmente todo aquello referente a aplicaciones web. Entre sus proyectos más relevantes está la Guía OWASP que se ocupa de las cuestiones de seguridad para construir aplicaciones y servicios web seguros, desde las más antiguas como la inyección SQL a las más modernas como la suplantación de identidad, en esta guía encontraremos multitud de ejemplos y recomendaciones para desarrollar aplicaciones web con un alto grado de seguridad. Otro proyecto interesante es el Top 10 OWASP sobre vulnerabilidades en aplicaciones web, un año más vemos como la principal vulnerabilidad es la inyección SQL y LDAP, que ocurre introduciendo datos no confiables en el intérprete de comandos de la base de datos alterando las consultas y obteniendo resultados inesperados por el programador. Por último quiero destacar el proyecto WebGoat que es un entorno de formación donde podremos probar y entender los problemas de seguridad, aprovechando vulnerabilidades web como SQL Injection o XSS en un entorno de pruebas.

Es una lástima que proyectos como OWASP no se enseñen en las Ingenierías Informáticas de la Universidad, en mi carrera universitaria tuve muchas asignaturas relacionadas con las matemáticas como Álgebra, Cálculo, Cálculo Numérico, Matemática Discreta o Estadística, también tuve asignaturas relacionadas con el desarrollo como Elementos de Programación, Laboratorio de Programación I y II, Estructuras de Datos y Algoritmos, Análisis y Diseño de Sistemas, Programación Concurrente o Ingeniería del Software, pero en ninguna de ellas se hacía hincapié en el desarrollo seguro de aplicaciones, así que creo que el principal motivo por el que la mayoría de aplicaciones presentan agujeros de seguridad es porque desde nuestros inicios no se nos ha mostrado la importancia que tiene la seguridad en el desarrollo de aplicaciones. Aún recuerdo la única asignatura relacionada con la seguridad, llamada Seguridad y Protección de la Información, que al ser optativa muy pocos alumnos se decidían por ella, en esta asignatura se nos presentaba la problemática de la seguridad informática, se nos mostraban políticas de seguridad y se profundizaba en la criptografía, que obviamente en cuatro meses era imposible verlo todo en detalle.

Vemos que cada día la informática y las telecomunicaciones están más extendidas en la sociedad y eso se ha notado en los títulos de grado, ya que han dividido la Ingeniería Informática en dos itinerarios: Ingeniería de Computadores e Ingeniería del Software, pero analizando las asignaturas de ambos itinerarios veo que el número de asignaturas relacionadas con la seguridad tiende a cero, y por tanto los alumnos continuarán abandonando la Universidad sin conocer la metodología OWASP, el Esquema Nacional de Seguridad, las Estrategias de Ciberseguridad o el Estándar de Seguridad de Datos PCI-DSS, así que si quieren adentrarse en el mundo de la seguridad de la información deberán realizar un máster en seguridad tras el grado.