Almacenamiento y seguridad criptográficos inseguros | Secure Code Warrior
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
En esta sociedad digital, los desarrolladores son responsables de mantener la información y las empresas a salvo del almacenamiento criptográfico inseguro. Aprenda de Secure Code Warrior.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Los datos son el elemento vital de las empresas. Son la información fundamental necesaria para sobrevivir, ganar dinero y prestar servicios a sus clientes. En esta sociedad cada vez más centrada en lo digital, los desarrolladores tienen una enorme responsabilidad como administradores de esta valiosa información. Cuando los desarrolladores no protegen los datos confidenciales, la empresa cae presa de un almacenamiento criptográfico inseguro.
Veamos cómo almacenar datos de forma segura y qué puede suceder cuando no lo haces.
Comprenda el almacenamiento criptográfico inseguro
Cuando los atacantes obtienen acceso a un sistema, por lo general buscan datos valiosos. Ya sabes, el tipo de datos que se pueden usar para apoderarse de la cuenta de alguien o para ejecutar otro ataque. A veces, este tipo de datos simplemente se venden en el mercado negro para obtener dinero rápido.
El almacenamiento criptográfico inseguro no es una vulnerabilidad única, como la inyección SQL o XSS. Es una consecuencia de no proteger los datos que debería proteger de la forma en que necesita protegerlos.
La información confidencial debe protegerse. Cuando guardas contraseñas e información de tarjetas de crédito en texto plano, estás jugando Ruleta rusa con tu negocio.
Si un pirata informático irrumpe en su base de datos y roba datos mediante Inyección SQL, Inyección de XML o cualquier otro ataque, lo tendrán todo. Sin embargo, si cifra sus datos, les será mucho más difícil hacer un uso real de ellos.
Es importante tener en cuenta que las infracciones no siempre son el resultado de un intruso malintencionado. Un intruso con información privilegiada también puede robar datos con facilidad si no están cifrados. Los empleados de su empresa no necesitan ver todo lo que hay en la base de datos, y los controles de acceso inadecuados o la exposición de datos confidenciales pueden provocar un robo total.
Recuerde también que no todos los cifrados son iguales. Usar algoritmos criptográficos incorrectos es tan peligroso como no usarlos en absoluto. Los algoritmos débiles conocidos ofrecerán poca resistencia a los atacantes inteligentes.
Por qué es peligroso el almacenamiento criptográfico inseguro
Muchas empresas están comprometidas por otra vulnerabilidad (como una inyección de SQL) y terminan siendo incapaces de ocultar los datos robados. Esto empeora aún más una situación terrible.
- Adult Friend Finder fue violado y filtró 412 millones de cuentas. Las contraseñas de las cuentas estaban protegidas con el débil algoritmo de hash SHA-1. Los atacantes las descifraban fácilmente en un mes.
- Uber fue violado y filtró 57 millones de registros de usuarios y 600 000 registros de conductores. Se perdió información personal. Ocurrió porque la cuenta GitHub de Uber tenía un repositorio que contenía el nombre de usuario y la contraseña de la cuenta AWS de Uber a la vista, lo que no es una buena idea. La valoración de Uber se redujo en 20 000 millones de dólares, en gran parte debido a esta violación.
- La PlayStation Network de Sony fue violada y se filtraron 77 millones de cuentas. 12 millones de las cuentas contenían información de tarjetas de crédito no cifrada. Posteriormente, Sony resolvió una demanda colectiva de 15 millones de dólares por la violación.
Es evidente que el hecho de no almacenar los datos confidenciales de forma adecuada tiene consecuencias graves.
Sony fue demandada, lo que supone una sanción importante. Sin embargo, aunque no te demanden, el daño a la reputación y a la normativa podría ser catastrófico para una empresa.
Derrote el almacenamiento criptográfico inseguro
¿Cómo pueden los desarrolladores evitar que se produzcan filtraciones de datos como las anteriores?
El primer paso es identificar qué datos requieren encriptación en primer lugar. Después de todo, no todos los datos son iguales. Clasifica tus datosy, a continuación, utilice el cifrado cuando proceda.
En general, la información personal, como los números de seguro social, las contraseñas y los detalles de las tarjetas de crédito, debe estar protegida. Según la naturaleza de su empresa, es posible que deba proteger los registros médicos u otra información que se considere privada.
Una vez que sepa qué datos deben protegerse, el siguiente paso es utilizar las herramientas adecuadas para garantizar su seguridad. En general, es bueno ceñirse a algoritmos criptográficos que hayan resistido el paso del tiempo y se consideren sólidos.
Pase lo que pase, no escriba sus propias funciones criptográficas. Es probable que contengan defectos que los atacantes puedan utilizar para romper el cifrado.
Para cifrar datos como números de seguridad social o datos de tarjetas de crédito, utilice AS. Existen diferentes modos de funcionamiento para AES, un modo muy recomendable en el momento de escribir este artículo es Modo Galois/Counter (GCM). Otro consejo es asegurarse de que no se utilice ningún relleno en las bibliotecas que le pidan que elija un tipo de relleno.
En el caso de las contraseñas, utilice un algoritmo hash para crear hash, ya que los hashes no se pueden revertir. Si un valor está fuertemente codificado, un atacante no puede recuperar el texto original que creó el valor. Argón 2y Cripta Bse consideran opciones sólidas para el hashing de contraseñas. Recuerda añadir siempre un valor aleatorio a la contraseña antes de usar el hash para que no haya dos hashes iguales para la misma contraseña.
Estas funciones tendrán implementaciones para todos los principales lenguajes/marcos de programación. Consulte la documentación de su lenguaje o marco específico para obtener información sobre cómo usarlos de manera efectiva.
La generación, el almacenamiento y la administración de claves son componentes importantes de la criptografía. Las claves mal administradas pueden quedar expuestas y usarse para descifrar los datos. Algunos marcos ayudan a administrar las claves, como API de protección de datos de ASP.NET. Para conocer las mejores prácticas generales para la administración de claves, consulte Hoja de trucos de OWASP.
Almacenar sus datos de forma segura es la forma de evitar violaciones de datos costosas y embarazosas. En el peor de los casos, si un atacante logra robar sus datos, tendrá muchas más dificultades para verlos o usarlos para cualquier propósito nefasto.
Oculte sus datos a plena vista
Repasemos rápidamente cómo proteger sus datos:
- Clasifique sus datos para saber qué es lo que requiere protección
- Utilice algoritmos sólidos y comprobados por la industria para cifrar datos confidenciales
- Almacene sus contraseñas mediante hashes unidireccionales seguros
Para seguir estudiando el tema, consulte nuestra Recursos de aprendizaje. Cuando estés listo para profundizar y practicar, prueba nuestra plataforma en el idioma que prefieras. ¡Cubrimos mucho!
Con estas herramientas, puede evitar que le roben sus datos y evitar que su empresa pierda dinero y perjudique su reputación.
¿Está listo para encontrar y corregir el almacenamiento criptográfico inseguro ahora mismo? ¡Dirígete a la arena y pon a prueba tus habilidades [empieza aquí]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
