Evaluación del marco NIST SSDF para la seguridad del ciclo de desarrollo de software en Cajas de Ahorro de Refider

Abstract

Este estudio aborda la seguridad en el desarrollo de software dentro de las instituciones financieras socias de REFIDER. La fase diagnóstica reveló un nivel de madurez incipiente (0.95/5) caracterizado por procesos empíricos y la ausencia de políticas formales. Ante los riesgos críticos detectados, como la inyección de código y fallos criptográficos en sistemas legados, el objetivo de la investigación fue establecer un proceso de desarrollo seguro mediante la implementación y evaluación del marco NIST SSDF. El enfoque metodológico adoptado fue de carácter cualitativo y cuantitativo. Se adaptaron las prácticas del marco NIST a las necesidades locales y se desarrolló un prototipo funcional de un módulo financiero aplicando principios de "seguridad por diseño". Los controles técnicos implementados incluyeron la gestión de identidades mediante tokens JWT, el cifrado de credenciales con BCrypt, transacciones ACID para asegurar la integridad de los datos y una validación estricta de entradas para mitigar ataques OWASP. Los resultados confirmaron una mejora significativa en cuanto a la seguridad en el desarrollo de software de la institución, logrando una reducción del 80% en las vulnerabilidades críticas y elevando el cumplimiento de las prácticas del marco del 17.75% al 71.5%. Asimismo, se optimizó la capacidad de respuesta ante incidentes, reduciendo el tiempo medio de reparación (MTTR) de 96 a 24 horas. En conclusión, la adopción del NIST SSDF no solo minimiza los riesgos operativos y protege los activos financieros de los socios, sino que profesionaliza el ciclo de vida del software, asegurando la sostenibilidad tecnológica y el cumplimiento normativo exigido por los organismos de control.