Almacenamiento criptográfico inseguro y seguridad | Secure Code Warrior
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]


En esta sociedad digital, los desarrolladores son responsables de mantener la información y los negocios a salvo del almacenamiento criptográfico inseguro. Aprenda de Secure Code Warrior.
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.


Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]

Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]

Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónJaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.
Los datos son la savia de las empresas. Es la información fundamental que necesitan para sobrevivir, para ganar dinero y para ofrecer servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una inmensa responsabilidad como administradores de esta preciosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa es presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar los datos de forma segura y lo que puede ocurrir si no se hace.
Comprender el almacenamiento criptográfico inseguro
Cuando los atacantes acceden a un sistema, suelen ir a la caza de datos de valor. Ya sabes, el tipo de datos que pueden utilizarse para hacerse con la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se vende en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única como la inyección SQL o el XSS. Es una consecuencia de no proteger los datos que deberías proteger, de la manera que necesitas protegerlos.
La información sensible debe estar protegida. Cuando almacena contraseñas e información de tarjetas de crédito en texto plano, está jugando a la ruleta rusa con su negocio.
Si un pirata informático entra en tu base de datos y roba datos mediante inyección SQL, inyección XML o cualquier otro ataque, lo tendrá todo. Sin embargo, si encriptas tus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las brechas no siempre son el resultado de un extraño malicioso. Una persona ajena a la empresa también puede robar datos con facilidad si no están encriptados. Los empleados de su empresa no tienen por qué ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o los datos sensibles expuestos pueden dar lugar a un auténtico robo.
Recuerda también que no todo el cifrado es igual. Utilizar los algoritmos criptográficos equivocados es tan peligroso como no utilizarlos. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes astutos.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas se ven comprometidas por otra vulnerabilidad (como la inyección SQL) y acaban siendo incapaces de ocultar los datos robados. Esto hace que una situación terrible sea aún peor.
- Adult Friend Finder fue vulnerado, filtrando 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo hash SHA-1. Los atacantes las descifraron fácilmente en un mes.
- Uber fue violado, filtrando 57 millones de registros de usuarios y 600.000 registros de conductores. Se perdió información personal. Sucedió porque la cuenta de GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta de AWS de Uber a la vista... no es una buena idea. La valoración de Uber cayó en 20.000 millones de dólares, en gran parte debido a esta brecha.
- La red PlayStation Network de Sony fue vulnerada, filtrando 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito sin cifrar. Más tarde, Sony llegó a un acuerdo en una demanda colectiva de 15 millones de dólares por la filtración.
Está claro que hay consecuencias graves por no almacenar adecuadamente los datos sensibles.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, incluso si no te demandan, el daño a la reputación y a la normativa puede ser catastrófico para una empresa.
Derrotar el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan violaciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifique sus datos y, a continuación, utilice el cifrado cuando proceda.
En general, hay que proteger la información personal, como los números de la seguridad social, las contraseñas y los datos de las tarjetas de crédito. Dependiendo de la naturaleza de su negocio, es posible que tenga que proteger los registros de salud u otra información que se considere privada.
Una vez que sepas qué datos hay que proteger, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a los algoritmos criptográficos que han superado la prueba del tiempo y se consideran fuertes.
Pase lo que pase, no escribas tus propias funciones criptográficas. Es probable que contengan fallos que los atacantes puedan utilizar para romper el cifrado.
Para encriptar datos como los números de la seguridad social o los datos de las tarjetas de crédito, utilice AES. Hay diferentes modos de funcionamiento para AES, un modo muy recomendado en el momento de escribir este artículo es el modo Galois/Contador (GCM). Otro consejo es asegurarse de que no se utiliza ningún tipo de relleno en las bibliotecas que le piden que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo de hash para las contraseñas porque los hashes no pueden ser revertidos. Dado un valor fuertemente hash, un atacante no puede recuperar el texto original que creó el valor. Argon2 y Bcryptse consideran opciones sólidas para el hash de contraseñas. Recuerda siempre "poner sal" a la contraseña con un valor aleatorio antes de hacer el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulta la documentación de tu lenguaje o framework específico para obtener información sobre cómo utilizarlas de forma eficaz.
La generación, el almacenamiento y la gestión de claves son componentes importantes de la criptografía. Las claves mal gestionadas pueden ser expuestas y utilizadas para descifrar sus datos. Algunos marcos de trabajo ayudan a la gestión de claves, como la API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales de gestión de claves, consulte la hoja de trucos de OWASP.
El almacenamiento seguro de sus datos es la forma de evitar costosas y embarazosas violaciones de datos. En el peor de los casos, si un atacante es capaz de robar tus datos, le será mucho más difícil verlos o utilizarlos para cualquier propósito nefasto.
Oculte sus datos a la vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué requiere protección
- Utilizar algoritmos fuertes y probados por la industria para encriptar datos sensibles
- Almacena tus contraseñas utilizando hashes unidireccionales fuertes
Para profundizar en el tema, consulte nuestros recursos de aprendizaje. Cuando esté listo para profundizar y practicar, pruebe nuestra plataforma en su idioma preferido. Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y dañe su reputación.
¿Listo para encontrar y arreglar el almacenamiento criptográfico inseguro ahora mismo? Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Índice
Jaap Karan Singh es un evangelista de la codificación segura, jefe Singh y cofundador de Secure Code Warrior.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Kit de motivación para el liderazgo en ingeniería
¿Necesita ayuda para conseguir la aprobación de los responsables de ingeniería para su programa SCW? Este folleto proporciona las principales ventajas que le ayudarán a comunicar la importancia de su programa de codificación segura.
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Recursos para empezar
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
OWASP Top 10 para aplicaciones LLM: Novedades, cambios y cómo mantenerse seguro
Manténgase a la vanguardia de la seguridad de las aplicaciones LLM con las últimas actualizaciones del Top 10 de OWASP. Descubra qué hay de nuevo, qué ha cambiado y cómo Secure Code Warrior le equipa con recursos de aprendizaje actualizados para mitigar los riesgos en la IA Generativa.
La puntuación de confianza revela el valor de las iniciativas de mejora de la seguridad mediante el diseño
Nuestra investigación ha demostrado que la formación en código seguro funciona. Trust Score, que utiliza un algoritmo basado en más de 20 millones de puntos de datos de aprendizaje procedentes del trabajo de más de 250 000 alumnos en más de 600 organizaciones, revela su eficacia a la hora de reducir las vulnerabilidades y cómo hacer que la iniciativa sea aún más eficaz.