Proteger los datos confidenciales de las aplicaciones de la exposición
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Enumerar las ventajas de la protección y el cifrado de datos.
- Describir los métodos de ataque que pueden conducir a la exposición de datos confidenciales.
Protección y cifrado de datos
Cuando se trata de proteger datos confidenciales de la exposición, los ingenieros de seguridad de aplicaciones implementan una poderosa herramienta llamada cifrado. El cifrado es un método por el cual el texto plano (como las palabras que lee) u otros tipos de datos, como imágenes, se convierten de una forma legible a una versión codificada que solo se puede descifrar si la otra persona tiene acceso a la clave de descifrado. En esta unidad, repasamos algunas de las potentes funciones de cifrado y protección de datos que utilizan los ingenieros de seguridad de aplicaciones.
Los ingenieros de seguridad de aplicaciones desempeñan una función especialmente importante en la protección de datos compartidos (como el envío de un email), la protección de secretos (como las contraseñas) y la protección del almacenamiento criptográfico (como los datos en un servidor). Protegen los datos confidenciales, ya sean financieros, de atención médica o de identificación personal (PII), como el número de la seguridad social de una persona. Los ingenieros trabajan para asegurar todas las transmisiones de datos, cifrar los datos en reposo y en tránsito, y utilizar algoritmos potentes y una gestión adecuada de las claves al aplicar el cifrado.
Los ingenieros de seguridad de aplicaciones utilizan el cifrado para proteger los datos en reposo y en tránsito frente a robos o modificaciones, especialmente cuando se intercambian entre un usuario, una aplicación y el navegador. Los ingenieros implementan el cifrado a nivel de almacenamiento en un servidor; a nivel de base de datos en tablas, columnas y filas; sobre protocolos de transporte como el Protocolo seguro de transporte de hipertexto (HTTPS) o la Seguridad de la capa de transporte (TLS) y en el cliente (lado del navegador).
La implementación del cifrado mediante estos protocolos garantiza la privacidad, la autenticación y la integridad de los datos en las comunicaciones por Internet. El uso del cifrado en estas distintas capas impide que agentes maliciosos escuchen a escondidas las comunicaciones, manipulen los datos o falsifiquen los mensajes.
Protección contra la exposición de datos confidenciales
La exposición de datos confidenciales se produce cuando los atacantes pueden acceder a datos no cifrados en reposo o en tránsito. En función del dominio de una aplicación, esto podría exponer datos confidenciales como PII, registros de salud, credenciales o números de tarjetas de crédito, y tener un gran impacto negativo en una organización y sus clientes.
Hay diferentes maneras en que un atacante puede tratar de exponer datos confidenciales. Puede intentar robar claves de cifrado; robar datos en texto sin formato de un servidor o mientras están en tránsito desde el cliente del usuario (navegador); o mientras están en reposo en otra ubicación, como un disco duro. También pueden intentar ejecutar un ataque de intermediario (MITM). Este tipo de ataque se puede producir si un usuario se comunica con otra persona a través de un punto de acceso inalámbrico no cifrado. El atacante es capaz de interponerse entre las dos partes y espiar su plática interceptando sus mensajes. El atacante puede incluso inyectar nuevos mensajes, todo ello mientras las víctimas piensan que están hablando directamente entre ellas a través de una conexión privada.
Sin duda, los ingenieros de seguridad de aplicaciones se deben preocupar por la exposición de datos confidenciales. Se trata de un riesgo común e impactante del que los atacantes tratan de aprovecharse. Sin embargo, hay muchas cosas que un ingeniero de seguridad de aplicaciones puede hacer para evaluar las aplicaciones en busca de vulnerabilidades a la exposición de datos confidenciales y mejorar sus protecciones.
Los ingenieros empiezan por asegurarse de que comprenden los tipos de datos almacenados y transmitidos a través de la aplicación, el nivel de sensibilidad de esos datos y cómo deben protegerse desde una perspectiva tanto de riesgo como normativa.
A continuación, el ingeniero evalúa si algún dato se transmite en texto claro e implementa TLS para proteger los datos en tránsito. A continuación, el ingeniero evalúa si algún dato se transmite en texto claro e implementa TLS para proteger los datos en tránsito, en lugar de HTTP que no lo hace. Una vez que el ingeniero se ha asegurado de que los datos en tránsito están cifrados, también evalúa cómo almacena la pila tecnológica los datos confidenciales, incluidas las copias de seguridad, y se asegura de que todos los datos confidenciales en reposo están cifrados.
El uso y la comprensión del cifrado es un tema muy complejo, por lo que el ingeniero de seguridad de aplicaciones consulta a un experto en criptografía de su organización para que le ayude a evaluar el uso del cifrado para proteger los datos confidenciales de la organización. Hacen preguntas sobre la solidez de los algoritmos utilizados para cifrar los datos y sobre cómo se utilizan, gestionan y rotan las claves de los datos. Para obtener más información sobre cómo garantizar un cifrado seguro, consulte el recurso de OWASP sobre pruebas de criptografía débil.
Resumen
Ya conoce cómo los ingenieros de seguridad de aplicaciones utilizan el cifrado para proteger los datos confidenciales. Ahora es el momento de profundizar en cómo los ingenieros de seguridad de aplicaciones implementan el registro y el monitoreo para detectar intrusiones en las aplicaciones.
