By Elvira Khusainova, Senior Test Automation Engineer at Deutsche Telekom ITTC Hungary "La seguridad ya no es un departamento, es una mentalidad y la prueba es donde empieza." - Elvira Khusainova En 2025, ya no es una sorpresa cuando tu aplicación móvil es hackeada. Si las personas correctas habían hecho las preguntas correctas (destructivas). how early in the process those breaches could’ve been stopped Cada vez más, son ingenieros de QA. Y más de nosotros estamos abrazando una new identity: part tester, part ethical hacker. Personas que piensan como atacantes El QA tradicional consistía en confirmar los comportamientos esperados.Pero eso es sólo la mitad de la historia.¿Y si el usuario no es sólo un usuario, sino un adversario? Una prueba que sólo demuestra algo es incompleto. una prueba real también debe tratar de demostrarlo “Dice Elvira. trabajos Se puede romper En su papel actual en Deutsche Telekom, Elvira combina la automatización de la interfaz de usuario basada en Selenium con OWASP ZAP, Burp Suite, Postman e incluso herramientas como Metasploit. sus scripts de prueba no solo validan botones, sino que simulan ataques de fuerza bruta, comprueban JWTs mal configurados y confunden APIs para detectar riesgos de XSS y CSRF. Las herramientas QA se convierten en herramientas de seguridad Estamos viendo una tendencia acelerada: los marcos de prueba y las plataformas de QA están siendo infundidos con características que una vez fueron exclusivas para los testadores de penetración. Así es como se ve ese cambio en la práctica: Selenium WebDriver sigue siendo la opción para las pruebas de interfaz de usuario, pero ahora se utiliza a menudo junto con OWASP ZAP o Playwright para análisis más profundos. Postman, una parte básica de las pruebas de API, se asocia cada vez más con Hoppscotch o Burp Suite para simular intentos de acceso no autorizado o inyección. Jenkins y GitLab CI ya no son sólo para la automatización de pruebas - ahora ejecutan verificaciones de seguridad incorporadas como OWASP Dependency Check como parte del proceso de construcción. Los equipos de Elvira complementan BDD con modelado de amenazas, convirtiendo historias de usuarios en árboles de ataque potenciales antes de que se escriba la primera línea de código. Aceleran el cambio En la última iniciativa de su equipo, Elvira lideró el uso de Identificar vulnerabilidades potenciales en la lógica empresarial: no se trataba sólo de la cobertura de pruebas, sino de la detección de amenazas. LLMs to generate attack simulations “Hemos entrenado a un agente local de GPT en los datos de explotación pasados. comenzó a surgir escenarios marginales que nuestra suite de regresión perdió durante años”. Aquí está cómo AI está redefiniendo su estrategia de QA: Generación automática de flujos de usuarios maliciosos Conversión automática de requisitos en árboles de ataque Comportamiento de usuario simulado bajo dureza (carga + intrusión) La brecha de cultura de seguridad A pesar de los beneficios, todavía hay una brecha.Muchas organizaciones silo la seguridad en equipos de auditoría aislados.Elvira sostiene que esto es obsoleto: "En el momento en que se produzca una revisión de seguridad, ya es demasiado tarde. QA debe poseer la seguridad desde el primer día". Ella aboga por la formación cruzada, dando a los testers junior exposición a herramientas como Kali Linux o OWASP Juice Shop, e incorporando . basic threat modeling into agile sprint planning ¿Qué viene después? Elvira ve un futuro donde: Cada empleado de QA sabe cómo ejecutar una verificación de vulnerabilidad Los tuberías CI fallan no solo en características rotas, sino en puertos abiertos o en autopistas débiles. La seguridad se convierte en un lenguaje compartido, no un handoff Su próximo proyecto? incorporación , de , y En los ciclos de liberación empresarial. accessibility testing performance under exploit secure-by-default test frameworks El pensamiento final Los testers siempre han sido defensores de la experiencia del usuario.En 2025, también son defensores de la confianza, los datos y el tiempo de funcionamiento. No se trata sólo de “¿Funciona?” ya. Se trata de “¿Puede rompernos?” Y eso es una pregunta QA should be asking first.

This story contains new, firsthand information uncovered by the writer.

Este audio es producido en el idioma original de la historia!

Demasiado Largo; Para Leer

Download free Tech Leaders Productivity Report!

QA es el nuevo equipo rojo: por qué el hacking ético comienza en la fase de pruebas

About Author

COMENTARIOS

ETIQUETAS

ESTE ARTÍCULO FUE PRESENTADO EN

Related Stories

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

Valhalla de Floki se une como patrocinador asociado de la gira de la India por Sri Lanka

Telegram: el puente de Crypto Island hacia el continente

Una guía del arquitecto para crear una arquitectura de referencia para un lago de datos de IA/ML

Crecimiento de las criptomonedas: creación de perfiles de usuarios eficaces

Valhalla de Floki se une como patrocinador asociado de la gira de la India por Sri Lanka

Telegram: el puente de Crypto Island hacia el continente

Una guía del arquitecto para crear una arquitectura de referencia para un lago de datos de IA/ML

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps