Tanto si enseñas informática, ingeniería de software o ciberseguridad, Aikido proporciona a tus alumnos herramientas de seguridad de nivel empresarial sin coste alguno.
Aikido for Education lleva al aula la misma plataforma en la que confían los equipos profesionales, ayudando a los estudiantes a aprender mediante la práctica. Los profesores pueden integrarla en sus cursos para ofrecer a los estudiantes experiencia práctica con retos de seguridad del mundo real, sin añadir complejidad ni costes.
¿Tienes curiosidad por saber el «porqué» de este programa? Lee nuestra historia aquí → Por qué lanzamos Aikido para la educación.
Por qué los profesores utilizan el aikido
Aikido ayuda a los profesores a dar vida a la teoría mostrando vulnerabilidades reales en lugar de diapositivas estáticas. Les permite diseñar tareas prácticas en las que los estudiantes trabajan con código real, configuraciones en la nube y seguridad en tiempo de ejecución. También permite realizar un seguimiento de los resultados y el progreso del aprendizaje, al tiempo que prepara a los estudiantes con experiencia práctica y les prepara para el mundo laboral.
Para educadores
Paso 1: configura un espacio de trabajo y equipos
Empieza por crear un espacio de trabajo y agrupar a los alumnos en equipos, tal y como hacen los equipos de seguridad en la industria. Por ejemplo, una clase de cincuenta alumnos se puede dividir en cinco equipos de diez o diez equipos de cinco. Conecta repositorios como aplicaciones del curso, bifurcaciones de proyectos de código abierto o repositorios dedicados a la enseñanza para proporcionar a los alumnos un entorno de pruebas en el que puedan descubrir y solucionar problemas.
Captura de pantalla: pantalla de registro con un solo clic que muestra cómo los profesores pueden crear una cuenta y conectar repositorios de forma segura con acceso de solo lectura.
Paso 2: Invitar a los alumnos
Invite a los alumnos al espacio de trabajo y asígneles roles que definan a qué pueden acceder. Esto les permite familiarizarse con los controles de acceso y las prácticas de responsabilidad que se utilizan en entornos profesionales, al tiempo que se mantiene el orden en el aula.
Captura de pantalla: flujo de invitación de usuarios que muestra cómo los profesores pueden asignar a los alumnos a equipos específicos y responsabilidades en repositorios, nubes y contenedores.
Paso 3: ejecuta el primer análisis
Una vez conectados los repositorios, Aikido los analiza automáticamente y rellena el feed principal en cuestión de minutos. Utiliza esto en clase para mostrar a los alumnos un panel de control de seguridad profesional y repasar juntos las categorías de resultados, convirtiendo conceptos abstractos en resultados visibles.
Captura de pantalla: el feed principal de Aikido tras el primer análisis, que muestra una serie de problemas en diferentes categorías con niveles de gravedad, estimaciones de tiempo de reparación y filtros de estado.
Paso 4: explorar las dependencias de código abierto
Las dependencias de código abierto constituyen la columna vertebral de la mayoría del software moderno, pero también introducen riesgos inherentes. Los alumnos aprenden cómo afectan las CVE a las cadenas de suministro y por qué es importante aplicar parches. Un ejercicio sencillo consiste en asignar a cada equipo un paquete vulnerable, pedirles que le apliquen un parche y volver a ejecutar el análisis para confirmar la corrección.
Captura de pantalla: dependencias de código abierto vulnerables resaltadas en el panel de control, con información detallada sobre CVE.
Reducir los falsos positivos
Las alertas de seguridad pueden resultar abrumadoras, y muchas son falsos positivos. Los alumnos aprenden a centrarse en los problemas que requieren acción comparando la vista «Todos los resultados» con los resultados «Aikido Refined».
Captura de pantalla: comparación entre todos los hallazgos y los resultados refinados de Aikido, que muestra cómo se reducen los falsos positivos en un 71 % para destacar las vulnerabilidades que requieren medidas.
análisis de alcanzabilidad
No todas las vulnerabilidades son explotables. Al revisar las rutas de dependencia, los alumnos ven qué CVE son realmente alcanzables en su código y aprenden a priorizar las correcciones en función del riesgo real.
Captura de pantalla: análisis de alcanzabilidad que muestra las cadenas de dependencia para CVE-2019-10746 y si el paquete vulnerable se utiliza realmente en producción.
Paso 5: analizar las configuraciones de la nube y el cumplimiento
Las configuraciones incorrectas de la nube, como los buckets abiertos o las funciones de IAM excesivamente permisivas, se encuentran entre las causas más comunes de las infracciones. Los alumnos aprenden cómo los errores técnicos se relacionan directamente con marcos como SOC2, ISO 27001 y Top 10 OWASP. Utilice un entorno de nube de demostración para mostrar las configuraciones incorrectas y, a continuación, deje que los alumnos solucionen los problemas hasta que mejoren las puntuaciones de cumplimiento.
Captura de pantalla: resultados de la configuración incorrecta de la nube que muestran las cuentas conectadas en AWS, Azure, GCP y DigitalOcean, con conclusiones detalladas para un entorno de demostración de Azure, incluyendo el registro de seguridad desactivado y las instrucciones de corrección.
Gráfico de activos + Búsqueda en la nube
Al poder ver cómo se conectan entre sí las configuraciones erróneas, los alumnos pueden comprender mejor cómo una mayor visibilidad y contexto pueden ayudar a mitigar los riesgos. Aikido permite realizar consultas en lenguaje natural en todo el inventario de la nube, de modo que los alumnos pueden simplemente describir lo que quieren encontrar y el sistema lo traduce en una serie de pasos lógicos. Por ejemplo, si un estudiante pregunta «muéstrame las instancias EC2 con acceso a los buckets S3», Aikido traza las relaciones entre las instancias, las funciones de IAM, las políticas de buckets y los permisos, y luego presenta los resultados paso a paso.
Captura de pantalla: Resultados de Cloud Search que muestran la consulta en lenguaje natural «datos que tocan IP de EE. UU.» traducida en comprobaciones paso a paso en instancias EC2, equilibradores de carga, bases de datos RDS, buckets S3 y funciones Lambda.
Paso 6: Revisar dominios y API
Las aplicaciones y API externas suelen ser el primer objetivo de los atacantes. Los alumnos pueden aprender cómo las configuraciones erróneas de DNS, los encabezados débiles y los puntos finales expuestos crean riesgos. Realice un análisis en una pequeña aplicación web y, a continuación, pida a los alumnos que apliquen medidas de mitigación, como la autenticación o encabezados CSP más estrictos. Vuelva a realizar el análisis para comparar las mejoras.
Captura de pantalla: lista de dominios y API conectados, clasificados por tipo, con niveles de gravedad y problemas pendientes. Algunos ejemplos son las API REST sin autenticación, las aplicaciones front-end con riesgos altos o críticos y los dominios marcados como seguros con «Sin riesgo».
Paso 7: habilitar protección en tiempo de ejecución
Los análisis estáticos resaltan posibles problemas, pero protección en tiempo de ejecución lo que sucede cuando se intentan ataques en tiempo real. Con Zen Firewall habilitado, los estudiantes pueden ver cómo se bloquean al instante los intentos de inyección SQL o SSRF. Ejecutar el mismo ataque sin protección proporciona un contraste sorprendente.
Captura de pantalla: Panel de control de Zen Firewall que muestra registros en tiempo real de inyecciones SQL bloqueadas, inyecciones de shell e intentos de SSRF contra una aplicación Python vulnerable.
Paso 8: practique la corrección con corrección automática con IA
Corregir las vulnerabilidades es tan importante como encontrarlas. AutoFix genera solicitudes de extracción de IA en dependencias, SAST, IaC y contenedores. Los alumnos pueden intentar primero sus propias correcciones y luego compararlas con AutoFix para debatir las ventajas e inconvenientes y cuándo confiar en la automatización.
Captura de pantalla: Panel de control de AutoFix que muestra vulnerabilidades de dependencia con CVE, actualizaciones de versión recomendadas y solicitudes de extracción generadas automáticamente listas para su revisión.
Ejemplo: Imágenes Docker endurecidas
Captura de pantalla: AutoFix sustituye una imagen base vulnerable por una alternativa segura y reforzada, lo que reduce los problemas automáticamente.
Paso 9: supervisar el progreso
La seguridad se basa en patrones a largo plazo, no en soluciones puntuales. El informe «Tendencias a lo largo del tiempo» de Aikido muestra cómo se acumulan los problemas sin resolver, mientras que las comparaciones entre equipos destacan el rendimiento de los distintos grupos. Utilice estos informes para fomentar la competencia en el aula y los debates sobre la mejora continua.
Captura de pantalla: Informe de tendencias a lo largo del tiempo que muestra cómo fluctúan los problemas abiertos según los niveles de gravedad, lo que permite ver claramente cuándo se acumulan las vulnerabilidades y cuándo se corrigen.
Captura de pantalla: Informe comparativo de equipos que muestra los problemas resueltos frente a los introducidos en los distintos grupos, junto con las puntuaciones de alineación con el cumplimiento, lo que permite a los profesores evaluar el progreso y crear competiciones en el aula.
Paso 10: Módulos avanzados
PR Gating
En los equipos profesionales, el código inseguro se bloquea antes de que llegue a producción mediante el uso de PR gating. Los estudiantes pueden aprender a utilizar PR gating, evitando fusiones que introduzcan vulnerabilidades por encima de un umbral de gravedad determinado.
Captura de pantalla: Pantalla de configuración de PR gating que muestra cómo se pueden bloquear las solicitudes de extracción si introducen vulnerabilidades, con controles detallados para los tipos de análisis, los umbrales de gravedad y las integraciones de CI/CD.
Complementos IDE
La seguridad también se puede adelantar a la fase de codificación. Con los complementos IDE, los alumnos ven los problemas señalados directamente en su editor antes de confirmar el código. Una tarea podría consistir en activar una detección en VS Code, corregirla y confirmar la resolución en Aikido.
Captura de pantalla: complemento IDE que resalta un problema en VS Code.
Cómo puede ser el primer mes
- Durante la primera semana, conecta los repositorios y ejecuta el análisis inicial para introducir las categorías de resultados.
- En la segunda semana, explore las dependencias y reducción de ruido.
- En la tercera semana, enseñe a establecer prioridades con accesibilidad.
- En la cuarta semana, asigne ejercicios de recuperación utilizando comparaciones de AutoFix.
- En la quinta semana, revise el progreso con informes para destacar los patrones de riesgo a largo plazo.
Próximos pasos para los profesores
Conecta un repositorio de demostración, invita a los alumnos y ejecuta tu primer análisis. Utiliza lecciones básicas como reducción de ruido, accesibilidad, protección en tiempo de ejecución y AutoFix, y añade módulos avanzados como PR gating o complementos IDE para proyectos finales.
Con Aikido, los estudiantes adquieren habilidades de seguridad prácticas y útiles para el mundo laboral, sin coste alguno y sin complejidades añadidas.
Protege tu software ahora.
.avif)
