Casos prácticos DevOps vs DevSecOps

DevOpsSec: Una Guía completa
15 de diciembre de 2025 / Por

Hablar de DevSecOps en abstracto sirve para construir el marco mental, pero donde realmente se entienden las diferencias con DevOps es en los casos prácticos.

Es en el detalle del día a día, en los incidentes reales y en las decisiones de diseño, donde se ve si la seguridad está integrada o si sigue siendo un añadido tardío.

En este capítulo se analizan situaciones muy habituales en equipos de desarrollo modernos y se contrasta, en cada una, cómo se aborda el problema desde un enfoque DevOps tradicional y cómo cambia el resultado cuando se aplica DevSecOps de forma madura.

Caso 1: Vulnerabilidad crítica justo antes del despliegue

Escenario

Un equipo lanza una nueva versión de su aplicación web principal. Han trabajado durante semanas en una funcionalidad clave que debe estar en producción antes de una fecha concreta (una campaña comercial, un lanzamiento de producto, cierre de trimestre…). El código ya ha pasado por las pruebas funcionales y el despliegue está planificado para esa misma noche.

Horas antes del “go-live”, el equipo de seguridad ejecuta un escaneo manual y detecta una vulnerabilidad crítica de inyección en uno de los endpoints más usados.

Enfoque DevOps tradicional

En un entorno DevOps sin seguridad integrada:

  • El descubrimiento de la vulnerabilidad se produce muy tarde: el código ya está listo para producir y los plazos de negocio presionan.
  • La decisión se convierte en un conflicto entre negocio y seguridad:
    • O bien se retrasa el despliegue, con impacto en objetivos comerciales.
    • O bien se acepta el riesgo “temporalmente” y se promete parchear “lo antes posible”.
  • La corrección implica:
    • Reabrir código y pruebas en el último momento.
    • Replanificar el despliegue.
    • Generar fricción entre equipos (“seguridad siempre llega a bloquear al final”).

El resultado habitual es o bien una salida a producción con una ventana de exposición peligrosa, o bien un retraso costoso que mina la confianza en los procesos.

Enfoque DevSecOps

En un entorno DevSecOps maduro:

  • La detección de la vulnerabilidad se produce mucho antes:
    • Los escáneres SAST y las reglas de codificación segura habrían avisado en cuanto se introdujo el patrón vulnerable.
    • Las pruebas automatizadas de seguridad forman parte del pipeline CI/CD.
  • El pipeline habría rechazado el build desde el primer momento en que apareció esa vulnerabilidad crítica, cuando aún no había presión de fecha ni dependencias bloqueadas.
  • El desarrollador habría corregido el problema en el mismo contexto en el que lo creó, sin necesidad de reabrir trabajo ya “cerrado”.
  • El rol de seguridad pasa de “parar en la meta” a “poner guardarraíles durante el camino”.

El resultado es un despliegue puntual, sin vulnerabilidad crítica y sin conflicto entre negocio y seguridad. La diferencia no es una herramienta concreta, sino cuando y cómo se integra la seguridad en el flujo.

Caso 2: Dependencia vulnerable en una librería open source

Escenario

La aplicación se basa en varias librerías de terceros. Meses después de desplegar una versión estable, aparece un aviso público: una de esas librerías tiene una vulnerabilidad grave (por ejemplo, ejecución remota de código). La noticia se propaga en cuestión de horas y los atacantes comienzan a explotarla activamente.

Enfoque DevOps tradicional

En un entorno DevOps sin SCA (Software Composition Analysis) ni procesos de seguridad automatizados:

  • El equipo se entera por canales externos (noticias, redes sociales, avisos genéricos del proveedor).
  • Localizar dónde se usa la librería vulnerable requiere búsquedas manuales en el código, repositorios y servicios.
  • No existe una visión clara y centralizada de:
    • Qué versiones exactas están en producción.
    • Qué servicios se ven afectados.
  • La priorización es reactiva:
    • Reuniones de emergencia.
    • Búsqueda acelerada de parches.
    • Prisas para probar y desplegar versiones corregidas.

El tiempo entre la publicación de la vulnerabilidad y la corrección efectiva puede ser de días o semanas, con la organización “desnuda” frente a ataques conocidos.

Enfoque DevSecOps

En un entorno DevSecOps:

  • El análisis de composición de software (SCA) se ejecuta continuamente y mantiene un inventario actualizado de librerías y versiones.
  • Al publicarse la vulnerabilidad:
    • El sistema identifica automáticamente qué proyectos y servicios están afectados.
    • Se generan tickets o alertas específicas por cada componente en riesgo.
  • El pipeline de CI/CD ya está preparado para:
    • Probar versiones parcheadas de la librería.
    • Ejecutar tests de regresión y de seguridad adicionales.
  • La priorización es basada en riesgo:
    • Servicios expuestos a Internet primero.
    • Componentes internos con menos prioridad, pero igualmente planificados.

El tiempo de reacción se reduce drásticamente porque la organización ya sabe qué tiene y dónde lo tiene. La gestión de la cadena de suministro de software deja de ser una tarea artesanal para convertirse en un proceso controlado.

Caso 3: Fuga de credenciales en un repositorio

Escenario

Un desarrollador, en un momento de prisa, copia y pega una clave API o una contraseña de base de datos directamente en el código. El cambio se sube al repositorio sin que nadie lo note. El repositorio interno acaba sincronizado con un mirror o se comparte accidentalmente, y las credenciales quedan expuestas.

Enfoque DevOps tradicional

Sin mecanismos específicos de detección de secretos:

  • El error pasa desapercibido hasta que alguien revisa el código, un auditor lo detecta o, en el peor de los casos, alguien externo lo descubre.
  • Aunque el repositorio sea privado, la existencia de credenciales en código viola buenas prácticas y puede derivar en:
    • Abuso de cuentas de servicio.
    • Accesos no controlados a bases de datos o APIs.
  • La remediación implica:
    • Rotar credenciales en todos los sistemas afectados.
    • Limpiar el historial del repositorio (no solo el último commit).
    • Revisar logs en busca de accesos sospechosos.

El coste de corregir aumenta exponencialmente con el tiempo que pasa hasta que se detecta el problema.

Enfoque DevSecOps

Con DevSecOps:

  • Existe, desde el principio, una política clara de gestión de secretos (vault centralizado, servicios de secretos en cloud, etc.).
  • Se utilizan herramientas automáticas de detección de secretos integradas en:
    • Hooks de pre-commit (evitan subir secretos localmente).
    • Pipelines de CI (bloquean builds que contengan patrones sospechosos).
  • Si alguien intenta subir un secreto:
    • El proceso falla inmediatamente.
    • El desarrollador recibe un aviso claro con el fichero y la línea.
  • En el caso de que, aun así, algo llegue al repositorio:
    • Las alertas se activan rápido.
    • La rotación de credenciales forma parte de un procedimiento ya documentado.

La diferencia no es solo técnica: es también cultural. Nadie considera aceptable “dejarlo pasar para luego” cuando la propia canalización se niega a avanzar si detecta un secreto expuesto.

Caso 4: Microservicios y APIs expuestas

Escenario

La organización migra de una arquitectura monolítica a microservicios. Cada equipo es responsable de un servicio, expone APIs internas y externas, y despliega de forma independiente. La velocidad de cambio aumenta, pero también la complejidad.

Enfoque DevOps tradicional

Con DevOps “puro”:

  • Cada equipo se centra en que su servicio:
    • Funcione.
    • Escale.
    • Se despliegue sin fricciones.
  • La seguridad de las APIs se confía a:
    • Una puerta de enlace (API gateway) configurada por otro equipo.
    • Políticas generales de firewall.
  • No siempre existe:
    • Validación sistemática de autenticación y autorización.
    • Pruebas automatizadas de seguridad específicas para las APIs.
    • Visibilidad completa sobre qué expone cada microservicio.

Los errores típicos son:

  • Endpoints internos expuestos públicamente por error.
  • Falta de validación de entrada en servicios considerados “de confianza”.
  • Lógica de autorización dispersa y difícil de auditar.

Enfoque DevSecOps

En una aproximación DevSecOps:

  • La seguridad de las APIs se convierte en parte del contrato de cada microservicio, no solo del gateway.
  • Cada equipo incorpora en su pipeline:
    • Tests de seguridad para los endpoints (por ejemplo, verificando que no se elevan privilegios, que no se exponen datos de más, etc.).
    • Escáneres DAST específicos para APIs, a partir de especificaciones OpenAPI/Swagger.
  • Se definen patrones estándar:
    • Modelos comunes de autenticación y autorización (OAuth2, JWT bien configurados, etc.).
    • Librerías internas aprobadas para gestionar identidades y permisos.
  • El gateway sigue siendo importante, pero no es la única línea de defensa.

La consecuencia es que la seguridad no depende de un “anillo exterior” (firewall o API gateway), sino que está embebida en cada servicio, coherente con la idea de Zero Trust.

Caso 5: Kubernetes y contenedores en producción

Escenario

La organización adopta contenedores y Kubernetes para mejorar portabilidad y escalabilidad. Se definen pipelines para construir imágenes, subirlas a un registro interno y desplegarlas en clusters compartidos.

Enfoque DevOps tradicional

En un entorno DevOps sin controles de seguridad específicos:

  • La prioridad está en:
    • Que los contenedores se construyan rápido.
    • Que desplieguen sin errores.
    • Que el cluster se mantenga estable.
  • Suele haber poca atención a:
    • Qué base de imagen se usa (imágenes enormes, desactualizadas).
    • Permisos del contenedor (ejecución como root).
    • Configuración de pods (montaje de volúmenes, privilegios, capacidades).
  • Los riesgos incluyen:
    • Contenedores con vulnerabilidades de sistema operativo sin parches.
    • Superficies de ataque ampliadas por permisos excesivos.
    • Saltos de contenedor a nodo si se combina una vulnerabilidad con mala configuración.

Enfoque DevSecOps

Con DevSecOps:

  • El pipeline de construcción incluye:
    • Escaneo de imágenes (container scanning) antes de subirlas al registro.
    • Políticas que bloquean imágenes con vulnerabilidades críticas no mitigadas.
  • La infraestructura como código (YAMLs de Kubernetes, Terraform, etc.) se analiza con reglas de seguridad:
    • No se permite ejecutar como root.
    • Se valida el uso de namespaces, network policies, límites de recursos, etc.
  • El cluster se gestiona con:
    • Políticas de admisión (admission controllers) que impiden desplegar cargas que no cumplan requisitos mínimos de seguridad.
    • Monitorización de comportamiento para detectar actividades anómalas en runtime.

El resultado práctico es que los errores de configuración y las vulnerabilidades de base se frenan en el pipeline, no se descubren meses después por un incidente.

Caso 6: Presión extrema de negocio y “atajo rápido”

Escenario

Un cliente estratégico exige una nueva funcionalidad en un plazo muy corto. El equipo de producto promete la entrega y el equipo de desarrollo se ve sometido a presión. Aparece la tentación del “atajo”: saltarse controles para llegar a tiempo.

Enfoque DevOps tradicional

En un DevOps sin seguridad integrada:

  • Los controles de seguridad son en gran parte manuales o tardíos.
  • Bajo presión, es relativamente sencillo “saltarse” pasos:
    • No hacer determinadas pruebas.
    • Dejar para “más adelante” un refactor o una revisión.
  • El argumento es siempre el mismo: “ya lo arreglaremos después del lanzamiento”.

Muchas brechas famosas empiezan así: con un compromiso de “luego lo vemos” que nunca llega.

Enfoque DevSecOps

En un DevSecOps bien diseñado:

  • Gran parte de los controles son inevitables porque:
    • Están integrados en la propia canalización.
    • Si fallan, el build simplemente no progresa.
  • Para saltarse un control habría que:
    • Modificar el pipeline.
    • Justificar excepciones de forma explícita.
  • La cultura cambia la conversación:
    • En lugar de “saltarnos seguridad para llegar a tiempo”, se discute qué parte del alcance funcional se puede recortar sin comprometer la seguridad básica.

DevSecOps introduce una clase de “fricción saludable”: hace que los atajos peligrosos sean difíciles, visibles y deliberados, no decisiones rápidas tomadas en silencio.

Qué aprender de estos casos antes de entrar en OWASP

Todos estos casos prácticos muestran el mismo patrón:

  • DevOps se centra en cómo llegar antes.
  • DevSecOps se centra en cómo llegar antes sin dejar puertas abiertas.

En los siguientes capítulos, veremos detalladamente las prácticas OWASP:

  • Inyecciones, XSS y exposición de datos sensibles en los casos de vulnerabilidades en despliegues urgentes.
  • Controles de acceso rotos en los escenarios de microservicios y APIs.
  • Configuraciones inseguras en Kubernetes y contenedores.
  • Problemas de seguridad en la cadena de suministro cuando se usan librerías vulnerables.

Publicaciones no relacionadas.