Almacenamiento y seguridad criptográficos inseguros | Secure Code Warrior
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
En esta sociedad digital, los desarrolladores son responsables de mantener la información y las empresas a salvo del almacenamiento criptográfico inseguro. Aprenda de Secure Code Warrior.
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Klicken Sie auf den untenstehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenEine Vorführung buchen
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Inhaltsverzeichnis
Jaap Karan Singh ist ein Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior hier, um Ihrem Unternehmen dabei zu helfen, den Code während des gesamten Lebenszyklus der Softwareentwicklung zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie AppSec-Administrator, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Vorführung buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Schulung zum Thema sicherer Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Landschaft der Softwareentwicklung anzupassen und dabei Ihre Rolle zu berücksichtigen. Es werden Themen angeboten, die von KI bis hin zu XQuery-Injektion reichen und sich an verschiedene Positionen richten, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätskontrolleuren. Verschaffen Sie sich einen Überblick über unser Angebot an Inhalten nach Thema und Funktion.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Missionen von Beat the Boss sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Implementieren Sie fortschrittliche KI- und LLM-Sicherheitsherausforderungen, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet es für die Entwicklung sicherer Software?
Entdecken Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams mit sicheren Designpraktiken, der Vermeidung von Schwachstellen und der Entwicklung von Fähigkeiten für Entwickler darauf vorbereiten können.
SCW feiert sein 11-jähriges Bestehen: eine Lektion in Echtzeit über Anpassungsfähigkeit und kontinuierliche Verbesserung
2025 war ein großartiges Jahr für KI, Cybersicherheit und SCW. Ich gehe mit ruhiger Zuversicht und dem Optimismus, den nur harte und lohnende Arbeit mit sich bringen kann, auf das Jahr 2026 zu.