Almacenamiento criptográfico inseguro y seguridad | Secure Code Warrior
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
En esta sociedad digital, los desarrolladores son responsables de mantener la información y los negocios a salvo del almacenamiento criptográfico inseguro. Aprenda de Secure Code Warrior.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Panorama de la gestión de riesgos de los promotores
La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Servicios profesionales - Acelerar con experiencia
El equipo de servicios de estrategia de programas (PSS) de Secure Code Warriorle ayuda a crear, mejorar y optimizar su programa de codificación segura. Tanto si empieza de cero como si está perfeccionando su enfoque, nuestros expertos le proporcionarán orientación personalizada.
Recursos para empezar
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
