Blog

Los codificadores conquistan la seguridad: serie Share & Learn: exposición de datos confidenciales

September 4, 2019
Jaap Karan Singh

La exposición de datos confidenciales ha sido responsable de algunas de las filtraciones de datos más publicitadas e impactantes de los últimos años, como la catastrófica violación de Marriott, en la que se robaron más de 300 millones de registros de clientes, y otros 150 millones cuando Equifax fue atacado. Se requiere un nivel medio de sofisticación y, a veces, un equipo especial por parte del atacante, pero no es demasiado difícil de lograr para un hacker en muchos casos, y existen herramientas para automatizar algunas de las funciones del ataque.

La exposición de datos confidenciales se produce cuando la información que solo está destinada a la visualización autorizada se expone a una persona no autorizada en un estado no cifrado, desprotegido o con una protección débil. La mayoría de las veces, se trata de datos que los piratas informáticos quieren robar, como números de tarjetas de crédito, identificación de usuario, secretos comerciales e información personal, que pueden estar protegidos por las leyes y los reglamentos del sector.

Los piratas informáticos pueden robar información confidencial si se almacena sin cifrar o atacando indirectamente el esquema de cifrado. En lugar de intentar descifrar directamente un cifrado seguro, roban claves criptográficas o atacan los datos cuando pasan a un estado no cifrado, por ejemplo, cuando están listos para su transporte.

En este episodio aprenderemos:

  • Cómo los atacantes pueden provocar la exposición de datos confidenciales
  • Por qué la exposición de datos confidenciales es tan peligrosa
  • Técnicas que pueden corregir esta vulnerabilidad.

¿Cómo aprovechan los atacantes la exposición de datos confidenciales?

La exposición de datos confidenciales normalmente ocurre cuando los sitios no emplean un cifrado sólido de extremo a extremo para proteger los datos o cuando hay fallas explotables en el esquema de protección. También puede ocurrir cuando el cifrado utilizado es particularmente débil o está desactualizado.

Los piratas informáticos suelen intentar encontrar formas de eludir el cifrado si no se extiende a todas partes. Por ejemplo, si una base de datos de identidades de usuario almacena información cifrada, pero la descifra automáticamente al recuperarla, un pirata informático podría utilizar uno de los ataques que hemos descrito anteriormente en estos blogs, como SQL o Inyección de XML, para ordenar a la base de datos que lleve a cabo el proceso de descifrado. A continuación, los datos se descifrarían para el pirata informático, sin necesidad de ningún esfuerzo adicional. ¿Por qué intentar derribar una puerta de acero cuando puedes robarte la llave sin más?

El cifrado débil también es un problema. Por ejemplo, si las tarjetas de crédito se almacenan con un esquema de cifrado anticuado, podría ser un problema que un pirata informático pudiera utilizar algo como un inclusión de archivos locales vulnerabilidad para transferir toda la base de datos a su computadora. Si los datos capturados estuvieran protegidos con algo fuerte, como el cifrado AES-256 bits, sería mucho más difícil descifrarlos si cayeran en poder de un hacker. Sin embargo, si se utiliza un cifrado más débil o anticuado, similar al antiguo estándar DES, un pirata informático con un equipo especial, como un conjunto de unidades de procesamiento gráfico (GPU), puede encargarle que rompa el cifrado en un período de tiempo relativamente corto.

¿Por qué es peligrosa la exposición de datos confidenciales?

La exposición de datos confidenciales es peligrosa porque permite a los usuarios no autorizados ver la información protegida. Si los datos no fueran importantes, no estarían protegidos, por lo que cualquier violación de esa protección provocará problemas. Nunca es una situación a la que una organización quiera enfrentarse.

La cantidad de problemas que puede causar la exposición de datos confidenciales depende del tipo de datos que se expongan. Si se roban datos de usuario o contraseña, podrían usarse para lanzar nuevos ataques contra el sistema. La exposición de la información personal podría someter a los usuarios a ataques secundarios, como el robo de identidad o la suplantación de identidad. Las organizaciones podrían incluso verse expuestas a fuertes multas y acciones gubernamentales si los datos expuestos están protegidos legalmente por leyes como la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) en los Estados Unidos o el Reglamento General de Protección de Datos (GDPR) en Europa.

Eliminar la exposición de datos confidenciales

Detener la exposición de datos confidenciales comienza por garantizar un cifrado sólido, actualizado y de extremo a extremo de los datos confidenciales en toda la empresa. Esto incluye tanto los datos en reposo como los que están en tránsito. No basta con cifrar los datos confidenciales mientras están almacenados. Si no se cifran antes de su uso o transporte, pueden quedar expuestos mediante un ataque secundario que engaña a un servidor para que los descifre.

Los datos en tránsito siempre deben protegerse mediante la seguridad de la capa de transporte (TLS) para evitar la exposición mediante la utilización de un intermediario u otros ataques contra los datos en movimiento. Además, los datos confidenciales nunca deben almacenarse en caché en ninguna parte de la red. Los datos confidenciales deben almacenarse con un cifrado sólido o enviarse mediante la protección TLS, de modo que los atacantes no tengan puntos débiles que puedan aprovechar.

Por último, haga un inventario de los tipos de datos confidenciales que protege su organización. Si su organización no tiene ningún motivo para almacenar dichos datos, deséchelos. ¿Por qué exponerse a posibles problemas sin obtener ningún beneficio posible? Los datos que no son mantenidos por una fuente no pueden ser robados de ella.

Más información sobre la exposición de datos confidenciales

Para leer más, puede echar un vistazo a lo que dice OWASP sobre exposición de datos sensibles. También puedes poner a prueba tus nuevos conocimientos defensivos con el demo gratuita de la plataforma Secure Code Warrior, que forma a los equipos de ciberseguridad para que se conviertan en los mejores ciberguerreros. Para obtener más información sobre cómo derrotar esta vulnerabilidad y la galería de otras amenazas de los delincuentes, visita la Blog de Secure Code Warrior.

Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo