Los programadores conquistan la infraestructura de seguridad como serie de códigos: criptografía insegura
Las organizaciones inteligentes están adoptando el concepto de infraestructura como código, y son los desarrolladores como usted los que pueden hacer importantes contribuciones a la creación de código seguro, incluso fuera de la creación de una aplicación. Al principio puede parecer un largo camino por recorrer, pero vale la pena hacerlo para destacar entre tus compañeros.
Antes de comenzar con el siguiente capítulo de nuestra última serie Coders Conquer Security, me gustaría invitarlos a jugar un desafío gamificado sobre la vulnerabilidad del almacenamiento de datos confidenciales; juegue ahora y elija entre Kubernetes, Terraform, Ansible, Docker o CloudFormation:
¿Cómo fue eso? Si tus conocimientos necesitan algo de trabajo, sigue leyendo:
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad. En muchos sentidos, actúa como última línea de defensa y también como uno de los mejores tipos de protección. Esto se debe a que, aunque un atacante sea capaz de romper otras defensas y obtener archivos críticos, siempre y cuando estén codificados y almacenados correctamente, no le servirá de mucho.
Esto también actúa como una sólida protección secundaria contra los intrusos malintencionados, ya que los archivos cifrados pueden tener claves o contraseñas independientes del resto de la red. En ese caso, alguien, como un administrador del sistema o un pirata informático, que haya puesto en peligro las credenciales de un administrador podría navegar hasta un directorio protegido, pero aun así no poder desbloquear los archivos cifrados que encuentre allí si la clave de cifrado se encuentra en otro lugar.
Por supuesto, todos los métodos de protección de cifrado se basan en tener estándares de cifrado sólidos que ni siquiera los ordenadores más potentes puedan romper.
¿Por qué es peligrosa la criptografía insegura?
En lo que respecta a la tecnología informática, la capacidad de crear algoritmos de cifrado sólidos y la capacidad de descifrarlos han estado en competencia durante mucho tiempo. En 1977, el gobierno federal de los Estados Unidos desarrolló el Estándar de Cifrado de Datos (DES), un algoritmo de 56 bits que en aquella época se consideraba seguro dada la relativa potencia de los ordenadores.
Sin embargo, las computadoras evolucionaron y las personas encontraron formas de conectarlas en red de forma colaborativa para aumentar aún más su potencia. En 1999, la Electronic Frontier Foundation y Distributed.net colaboraron para descifrar públicamente el cifrado de un documento protegido por el DES en tan solo 22 horas. De repente, cualquier documento protegido mediante el cifrado DES dejó de ser seguro.
Aunque no lo crea, algunas organizaciones siguen protegiendo sus archivos críticos con el algoritmo DES o con una protección de cifrado igualmente débil. Y si bien en 1999 se necesitó una red distribuida para romper el cifrado de 56 bits, hoy en día casi cualquier ordenador independiente lo suficientemente potente puede hacerlo con un mínimo de tiempo. Los piratas informáticos también han creado máquinas de descifrado especializadas construidas a partir de bancos de unidades de procesamiento gráfico (GPU). Esas GPU son excepcionalmente buenas para esa tarea y son relativamente baratas de obtener y de conectar en red localmente.
Si hoy decides proteger tus archivos críticos con un algoritmo criptográfico débil o inseguro, no pasará mucho tiempo antes de que la mayoría de los piratas informáticos puedan desglosar esos archivos y hacerlos legibles. Si sufre una violación de datos, debe asumir que los archivos eventualmente se verán comprometidos si no están suficientemente protegidos.
Por ejemplo, el siguiente fragmento de código de Kubernetes utiliza un algoritmo de cifrado débil para proteger la información en el nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: DES-CBC3-SHA
protocolos SSL: «TLSv1.2»
En ese ejemplo, el conjunto de cifrado DES se ha utilizado para proteger la información. Sin embargo, un atacante podría descifrarla fácilmente y acceder a información confidencial.
Se recomienda utilizar algoritmos de cifrado seguros. En el siguiente ejemplo de Kubernetes, se han utilizado conjuntos de cifrado seguros para proteger la información a nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: |
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
protocolos SSL: «TLSv1.2»
En ese ejemplo, se ha utilizado un conjunto sólido de sistemas de cifrado para evitar que los atacantes tengan acceso potencial a información confidencial.
Protección de la información crítica con un cifrado sólido
Hoy en día existe un cifrado seguro que es casi irrompible. En 2001, el Instituto Nacional de Estándares y Tecnología (NIST) creó una nueva tecnología de cifrado para reemplazar al DES. Denominado estándar de cifrado avanzado (AES), utiliza tres longitudes de clave diferentes: 128, 192 o 256 bits. El cifrado AES de 256 bits es el más seguro, aunque los tres se consideran casi completamente irrompibles dada la tecnología actual. Las pruebas realizadas con superordenadores han demostrado que se necesitarían miles de años de trabajo constante para descifrar la mayoría de los documentos protegidos por AES.
Para proteger adecuadamente los archivos críticos, los desarrolladores deben identificarlos primero. No es necesario cifrar todo lo que hay en una red, ya que esto podría ralentizar las operaciones debido al constante proceso de cifrado y descifrado. Sin embargo, los archivos críticos, como los registros de personal, los datos de los clientes y la información financiera, necesitan una protección adecuada. Básicamente, se trata de lograr un equilibrio entre la seguridad y tener un sistema que funcione.
Y esos datos deben cifrarse según uno de los estándares AES, incluso con un cifrado de 256 bits para obtener información verdaderamente crítica que nunca debería caer en malas manos.
Otra cosa a tener en cuenta es el hecho de que agregar cifrado es como agregar más contraseñas a un sitio. Esto significa que los usuarios autorizados deberán realizar un seguimiento de las claves de cifrado. Para evitar que esto se convierta en un obstáculo en el flujo de trabajo, considere la posibilidad de implementar una plataforma de administración de claves para realizar un seguimiento de esas claves y mantenerlas seguras. Y aunque no acabes utilizando una administración de claves centralizada, asegúrate de que todas las claves y contraseñas estén protegidas para garantizar que los usuarios no autorizados se mantengan alejados de tus bóvedas de datos más seguras.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demostración de un desafío de iAC dentro de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Las organizaciones inteligentes están adoptando el concepto de infraestructura como código, y son los desarrolladores como usted los que pueden hacer importantes contribuciones a la creación de código seguro, incluso fuera de la creación de una aplicación. Al principio puede parecer un largo camino por recorrer, pero vale la pena hacerlo para destacar entre tus compañeros.
Antes de comenzar con el siguiente capítulo de nuestra última serie Coders Conquer Security, me gustaría invitarlos a jugar un desafío gamificado sobre la vulnerabilidad del almacenamiento de datos confidenciales; juegue ahora y elija entre Kubernetes, Terraform, Ansible, Docker o CloudFormation:
¿Cómo fue eso? Si tus conocimientos necesitan algo de trabajo, sigue leyendo:
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad. En muchos sentidos, actúa como última línea de defensa y también como uno de los mejores tipos de protección. Esto se debe a que, aunque un atacante sea capaz de romper otras defensas y obtener archivos críticos, siempre y cuando estén codificados y almacenados correctamente, no le servirá de mucho.
Esto también actúa como una sólida protección secundaria contra los intrusos malintencionados, ya que los archivos cifrados pueden tener claves o contraseñas independientes del resto de la red. En ese caso, alguien, como un administrador del sistema o un pirata informático, que haya puesto en peligro las credenciales de un administrador podría navegar hasta un directorio protegido, pero aun así no poder desbloquear los archivos cifrados que encuentre allí si la clave de cifrado se encuentra en otro lugar.
Por supuesto, todos los métodos de protección de cifrado se basan en tener estándares de cifrado sólidos que ni siquiera los ordenadores más potentes puedan romper.
¿Por qué es peligrosa la criptografía insegura?
En lo que respecta a la tecnología informática, la capacidad de crear algoritmos de cifrado sólidos y la capacidad de descifrarlos han estado en competencia durante mucho tiempo. En 1977, el gobierno federal de los Estados Unidos desarrolló el Estándar de Cifrado de Datos (DES), un algoritmo de 56 bits que en aquella época se consideraba seguro dada la relativa potencia de los ordenadores.
Sin embargo, las computadoras evolucionaron y las personas encontraron formas de conectarlas en red de forma colaborativa para aumentar aún más su potencia. En 1999, la Electronic Frontier Foundation y Distributed.net colaboraron para descifrar públicamente el cifrado de un documento protegido por el DES en tan solo 22 horas. De repente, cualquier documento protegido mediante el cifrado DES dejó de ser seguro.
Aunque no lo crea, algunas organizaciones siguen protegiendo sus archivos críticos con el algoritmo DES o con una protección de cifrado igualmente débil. Y si bien en 1999 se necesitó una red distribuida para romper el cifrado de 56 bits, hoy en día casi cualquier ordenador independiente lo suficientemente potente puede hacerlo con un mínimo de tiempo. Los piratas informáticos también han creado máquinas de descifrado especializadas construidas a partir de bancos de unidades de procesamiento gráfico (GPU). Esas GPU son excepcionalmente buenas para esa tarea y son relativamente baratas de obtener y de conectar en red localmente.
Si hoy decides proteger tus archivos críticos con un algoritmo criptográfico débil o inseguro, no pasará mucho tiempo antes de que la mayoría de los piratas informáticos puedan desglosar esos archivos y hacerlos legibles. Si sufre una violación de datos, debe asumir que los archivos eventualmente se verán comprometidos si no están suficientemente protegidos.
Por ejemplo, el siguiente fragmento de código de Kubernetes utiliza un algoritmo de cifrado débil para proteger la información en el nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: DES-CBC3-SHA
protocolos SSL: «TLSv1.2»
En ese ejemplo, el conjunto de cifrado DES se ha utilizado para proteger la información. Sin embargo, un atacante podría descifrarla fácilmente y acceder a información confidencial.
Se recomienda utilizar algoritmos de cifrado seguros. En el siguiente ejemplo de Kubernetes, se han utilizado conjuntos de cifrado seguros para proteger la información a nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: |
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
protocolos SSL: «TLSv1.2»
En ese ejemplo, se ha utilizado un conjunto sólido de sistemas de cifrado para evitar que los atacantes tengan acceso potencial a información confidencial.
Protección de la información crítica con un cifrado sólido
Hoy en día existe un cifrado seguro que es casi irrompible. En 2001, el Instituto Nacional de Estándares y Tecnología (NIST) creó una nueva tecnología de cifrado para reemplazar al DES. Denominado estándar de cifrado avanzado (AES), utiliza tres longitudes de clave diferentes: 128, 192 o 256 bits. El cifrado AES de 256 bits es el más seguro, aunque los tres se consideran casi completamente irrompibles dada la tecnología actual. Las pruebas realizadas con superordenadores han demostrado que se necesitarían miles de años de trabajo constante para descifrar la mayoría de los documentos protegidos por AES.
Para proteger adecuadamente los archivos críticos, los desarrolladores deben identificarlos primero. No es necesario cifrar todo lo que hay en una red, ya que esto podría ralentizar las operaciones debido al constante proceso de cifrado y descifrado. Sin embargo, los archivos críticos, como los registros de personal, los datos de los clientes y la información financiera, necesitan una protección adecuada. Básicamente, se trata de lograr un equilibrio entre la seguridad y tener un sistema que funcione.
Y esos datos deben cifrarse según uno de los estándares AES, incluso con un cifrado de 256 bits para obtener información verdaderamente crítica que nunca debería caer en malas manos.
Otra cosa a tener en cuenta es el hecho de que agregar cifrado es como agregar más contraseñas a un sitio. Esto significa que los usuarios autorizados deberán realizar un seguimiento de las claves de cifrado. Para evitar que esto se convierta en un obstáculo en el flujo de trabajo, considere la posibilidad de implementar una plataforma de administración de claves para realizar un seguimiento de esas claves y mantenerlas seguras. Y aunque no acabes utilizando una administración de claves centralizada, asegúrate de que todas las claves y contraseñas estén protegidas para garantizar que los usuarios no autorizados se mantengan alejados de tus bóvedas de datos más seguras.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demostración de un desafío de iAC dentro de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Las organizaciones inteligentes están adoptando el concepto de infraestructura como código, y son los desarrolladores como usted los que pueden hacer importantes contribuciones a la creación de código seguro, incluso fuera de la creación de una aplicación. Al principio puede parecer un largo camino por recorrer, pero vale la pena hacerlo para destacar entre tus compañeros.
Antes de comenzar con el siguiente capítulo de nuestra última serie Coders Conquer Security, me gustaría invitarlos a jugar un desafío gamificado sobre la vulnerabilidad del almacenamiento de datos confidenciales; juegue ahora y elija entre Kubernetes, Terraform, Ansible, Docker o CloudFormation:
¿Cómo fue eso? Si tus conocimientos necesitan algo de trabajo, sigue leyendo:
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad. En muchos sentidos, actúa como última línea de defensa y también como uno de los mejores tipos de protección. Esto se debe a que, aunque un atacante sea capaz de romper otras defensas y obtener archivos críticos, siempre y cuando estén codificados y almacenados correctamente, no le servirá de mucho.
Esto también actúa como una sólida protección secundaria contra los intrusos malintencionados, ya que los archivos cifrados pueden tener claves o contraseñas independientes del resto de la red. En ese caso, alguien, como un administrador del sistema o un pirata informático, que haya puesto en peligro las credenciales de un administrador podría navegar hasta un directorio protegido, pero aun así no poder desbloquear los archivos cifrados que encuentre allí si la clave de cifrado se encuentra en otro lugar.
Por supuesto, todos los métodos de protección de cifrado se basan en tener estándares de cifrado sólidos que ni siquiera los ordenadores más potentes puedan romper.
¿Por qué es peligrosa la criptografía insegura?
En lo que respecta a la tecnología informática, la capacidad de crear algoritmos de cifrado sólidos y la capacidad de descifrarlos han estado en competencia durante mucho tiempo. En 1977, el gobierno federal de los Estados Unidos desarrolló el Estándar de Cifrado de Datos (DES), un algoritmo de 56 bits que en aquella época se consideraba seguro dada la relativa potencia de los ordenadores.
Sin embargo, las computadoras evolucionaron y las personas encontraron formas de conectarlas en red de forma colaborativa para aumentar aún más su potencia. En 1999, la Electronic Frontier Foundation y Distributed.net colaboraron para descifrar públicamente el cifrado de un documento protegido por el DES en tan solo 22 horas. De repente, cualquier documento protegido mediante el cifrado DES dejó de ser seguro.
Aunque no lo crea, algunas organizaciones siguen protegiendo sus archivos críticos con el algoritmo DES o con una protección de cifrado igualmente débil. Y si bien en 1999 se necesitó una red distribuida para romper el cifrado de 56 bits, hoy en día casi cualquier ordenador independiente lo suficientemente potente puede hacerlo con un mínimo de tiempo. Los piratas informáticos también han creado máquinas de descifrado especializadas construidas a partir de bancos de unidades de procesamiento gráfico (GPU). Esas GPU son excepcionalmente buenas para esa tarea y son relativamente baratas de obtener y de conectar en red localmente.
Si hoy decides proteger tus archivos críticos con un algoritmo criptográfico débil o inseguro, no pasará mucho tiempo antes de que la mayoría de los piratas informáticos puedan desglosar esos archivos y hacerlos legibles. Si sufre una violación de datos, debe asumir que los archivos eventualmente se verán comprometidos si no están suficientemente protegidos.
Por ejemplo, el siguiente fragmento de código de Kubernetes utiliza un algoritmo de cifrado débil para proteger la información en el nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: DES-CBC3-SHA
protocolos SSL: «TLSv1.2»
En ese ejemplo, el conjunto de cifrado DES se ha utilizado para proteger la información. Sin embargo, un atacante podría descifrarla fácilmente y acceder a información confidencial.
Se recomienda utilizar algoritmos de cifrado seguros. En el siguiente ejemplo de Kubernetes, se han utilizado conjuntos de cifrado seguros para proteger la información a nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: |
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
protocolos SSL: «TLSv1.2»
En ese ejemplo, se ha utilizado un conjunto sólido de sistemas de cifrado para evitar que los atacantes tengan acceso potencial a información confidencial.
Protección de la información crítica con un cifrado sólido
Hoy en día existe un cifrado seguro que es casi irrompible. En 2001, el Instituto Nacional de Estándares y Tecnología (NIST) creó una nueva tecnología de cifrado para reemplazar al DES. Denominado estándar de cifrado avanzado (AES), utiliza tres longitudes de clave diferentes: 128, 192 o 256 bits. El cifrado AES de 256 bits es el más seguro, aunque los tres se consideran casi completamente irrompibles dada la tecnología actual. Las pruebas realizadas con superordenadores han demostrado que se necesitarían miles de años de trabajo constante para descifrar la mayoría de los documentos protegidos por AES.
Para proteger adecuadamente los archivos críticos, los desarrolladores deben identificarlos primero. No es necesario cifrar todo lo que hay en una red, ya que esto podría ralentizar las operaciones debido al constante proceso de cifrado y descifrado. Sin embargo, los archivos críticos, como los registros de personal, los datos de los clientes y la información financiera, necesitan una protección adecuada. Básicamente, se trata de lograr un equilibrio entre la seguridad y tener un sistema que funcione.
Y esos datos deben cifrarse según uno de los estándares AES, incluso con un cifrado de 256 bits para obtener información verdaderamente crítica que nunca debería caer en malas manos.
Otra cosa a tener en cuenta es el hecho de que agregar cifrado es como agregar más contraseñas a un sitio. Esto significa que los usuarios autorizados deberán realizar un seguimiento de las claves de cifrado. Para evitar que esto se convierta en un obstáculo en el flujo de trabajo, considere la posibilidad de implementar una plataforma de administración de claves para realizar un seguimiento de esas claves y mantenerlas seguras. Y aunque no acabes utilizando una administración de claves centralizada, asegúrate de que todas las claves y contraseñas estén protegidas para garantizar que los usuarios no autorizados se mantengan alejados de tus bóvedas de datos más seguras.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demostración de un desafío de iAC dentro de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Ver informeReserva una demostración
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Las organizaciones inteligentes están adoptando el concepto de infraestructura como código, y son los desarrolladores como usted los que pueden hacer importantes contribuciones a la creación de código seguro, incluso fuera de la creación de una aplicación. Al principio puede parecer un largo camino por recorrer, pero vale la pena hacerlo para destacar entre tus compañeros.
Antes de comenzar con el siguiente capítulo de nuestra última serie Coders Conquer Security, me gustaría invitarlos a jugar un desafío gamificado sobre la vulnerabilidad del almacenamiento de datos confidenciales; juegue ahora y elija entre Kubernetes, Terraform, Ansible, Docker o CloudFormation:
¿Cómo fue eso? Si tus conocimientos necesitan algo de trabajo, sigue leyendo:
Hoy en día, tener datos críticos como contraseñas, información personal y registros financieros codificados mientras están en reposo es la piedra angular de cualquier defensa de ciberseguridad. En muchos sentidos, actúa como última línea de defensa y también como uno de los mejores tipos de protección. Esto se debe a que, aunque un atacante sea capaz de romper otras defensas y obtener archivos críticos, siempre y cuando estén codificados y almacenados correctamente, no le servirá de mucho.
Esto también actúa como una sólida protección secundaria contra los intrusos malintencionados, ya que los archivos cifrados pueden tener claves o contraseñas independientes del resto de la red. En ese caso, alguien, como un administrador del sistema o un pirata informático, que haya puesto en peligro las credenciales de un administrador podría navegar hasta un directorio protegido, pero aun así no poder desbloquear los archivos cifrados que encuentre allí si la clave de cifrado se encuentra en otro lugar.
Por supuesto, todos los métodos de protección de cifrado se basan en tener estándares de cifrado sólidos que ni siquiera los ordenadores más potentes puedan romper.
¿Por qué es peligrosa la criptografía insegura?
En lo que respecta a la tecnología informática, la capacidad de crear algoritmos de cifrado sólidos y la capacidad de descifrarlos han estado en competencia durante mucho tiempo. En 1977, el gobierno federal de los Estados Unidos desarrolló el Estándar de Cifrado de Datos (DES), un algoritmo de 56 bits que en aquella época se consideraba seguro dada la relativa potencia de los ordenadores.
Sin embargo, las computadoras evolucionaron y las personas encontraron formas de conectarlas en red de forma colaborativa para aumentar aún más su potencia. En 1999, la Electronic Frontier Foundation y Distributed.net colaboraron para descifrar públicamente el cifrado de un documento protegido por el DES en tan solo 22 horas. De repente, cualquier documento protegido mediante el cifrado DES dejó de ser seguro.
Aunque no lo crea, algunas organizaciones siguen protegiendo sus archivos críticos con el algoritmo DES o con una protección de cifrado igualmente débil. Y si bien en 1999 se necesitó una red distribuida para romper el cifrado de 56 bits, hoy en día casi cualquier ordenador independiente lo suficientemente potente puede hacerlo con un mínimo de tiempo. Los piratas informáticos también han creado máquinas de descifrado especializadas construidas a partir de bancos de unidades de procesamiento gráfico (GPU). Esas GPU son excepcionalmente buenas para esa tarea y son relativamente baratas de obtener y de conectar en red localmente.
Si hoy decides proteger tus archivos críticos con un algoritmo criptográfico débil o inseguro, no pasará mucho tiempo antes de que la mayoría de los piratas informáticos puedan desglosar esos archivos y hacerlos legibles. Si sufre una violación de datos, debe asumir que los archivos eventualmente se verán comprometidos si no están suficientemente protegidos.
Por ejemplo, el siguiente fragmento de código de Kubernetes utiliza un algoritmo de cifrado débil para proteger la información en el nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: DES-CBC3-SHA
protocolos SSL: «TLSv1.2»
En ese ejemplo, el conjunto de cifrado DES se ha utilizado para proteger la información. Sin embargo, un atacante podría descifrarla fácilmente y acceder a información confidencial.
Se recomienda utilizar algoritmos de cifrado seguros. En el siguiente ejemplo de Kubernetes, se han utilizado conjuntos de cifrado seguros para proteger la información a nivel del controlador de ingreso de NGINX:
Versión de API: v1
tipo: ConfigMap
metadatos:
nombre: nginx-load-balancer-conf
espacio de nombres: kube-system
datos:
cifrados SSL: |
ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:
ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA256
protocolos SSL: «TLSv1.2»
En ese ejemplo, se ha utilizado un conjunto sólido de sistemas de cifrado para evitar que los atacantes tengan acceso potencial a información confidencial.
Protección de la información crítica con un cifrado sólido
Hoy en día existe un cifrado seguro que es casi irrompible. En 2001, el Instituto Nacional de Estándares y Tecnología (NIST) creó una nueva tecnología de cifrado para reemplazar al DES. Denominado estándar de cifrado avanzado (AES), utiliza tres longitudes de clave diferentes: 128, 192 o 256 bits. El cifrado AES de 256 bits es el más seguro, aunque los tres se consideran casi completamente irrompibles dada la tecnología actual. Las pruebas realizadas con superordenadores han demostrado que se necesitarían miles de años de trabajo constante para descifrar la mayoría de los documentos protegidos por AES.
Para proteger adecuadamente los archivos críticos, los desarrolladores deben identificarlos primero. No es necesario cifrar todo lo que hay en una red, ya que esto podría ralentizar las operaciones debido al constante proceso de cifrado y descifrado. Sin embargo, los archivos críticos, como los registros de personal, los datos de los clientes y la información financiera, necesitan una protección adecuada. Básicamente, se trata de lograr un equilibrio entre la seguridad y tener un sistema que funcione.
Y esos datos deben cifrarse según uno de los estándares AES, incluso con un cifrado de 256 bits para obtener información verdaderamente crítica que nunca debería caer en malas manos.
Otra cosa a tener en cuenta es el hecho de que agregar cifrado es como agregar más contraseñas a un sitio. Esto significa que los usuarios autorizados deberán realizar un seguimiento de las claves de cifrado. Para evitar que esto se convierta en un obstáculo en el flujo de trabajo, considere la posibilidad de implementar una plataforma de administración de claves para realizar un seguimiento de esas claves y mantenerlas seguras. Y aunque no acabes utilizando una administración de claves centralizada, asegúrate de que todas las claves y contraseñas estén protegidas para garantizar que los usuarios no autorizados se mantengan alejados de tus bóvedas de datos más seguras.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre esta vulnerabilidad y sobre cómo proteger a su organización y a sus clientes de los estragos de otras fallas de seguridad. También puedes prueba una demostración de un desafío de iAC dentro de la plataforma de formación Secure Code Warrior para mantener todas sus habilidades de ciberseguridad perfeccionadas y actualizadas.
Tabla de contenido
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior está aquí para que su organización le ayude a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura en la que la ciberseguridad sea una prioridad. Ya sea administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudar a su organización a reducir los riesgos asociados con el código inseguro.
Reserva una demostraciónDescargarRecursos para empezar
Temas y contenido de formación sobre código seguro
Nuestro contenido líder en la industria siempre está evolucionando para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Se ofrecen temas que abarcan desde la IA hasta la inyección de XQuery para distintos puestos, desde arquitectos e ingenieros hasta directores de productos y control de calidad. Obtenga un adelanto de lo que ofrece nuestro catálogo de contenido por tema y función.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Recursos para empezar
Cybermon está de vuelta: las misiones de IA de Beat the Boss ya están disponibles bajo demanda
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Implemente desafíos de seguridad avanzados de IA y LLM para fortalecer el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Ciberresiliencia: qué significa para el desarrollo de software seguro por diseño
Descubra qué exige la Ley de Ciberresiliencia (CRA) de la UE, a quién se aplica y cómo los equipos de ingeniería pueden prepararse con prácticas de diseño seguras, prevención de vulnerabilidades y desarrollo de capacidades para desarrolladores.
Habilitador 1: Criterios de éxito definidos y medibles
Enabler 1 da inicio a nuestra serie Enablers of Success, de 10 partes, mostrando cómo vincular la codificación segura con los resultados empresariales, como la reducción del riesgo y la velocidad para lograr la madurez del programa a largo plazo.
