TOP 10 OWASP 2021 español con ejemplos - A2 Fallas Criptográficas

#Aprendiendo sobre Ciberseguridad
17 Nov 202215:06

Summary

TLDREn este video, se aborda la vulnerabilidad número 2 del top 10 de OWASP 2021: las fallas criptográficas. El presentador destaca la importancia de una correcta implementación de criptografía para proteger datos sensibles, como contraseñas y sesiones. Se mencionan errores comunes, como configuraciones inseguras en encabezados HTTP, el uso de protocolos obsoletos y funciones de hash no recomendadas. Además, se muestran herramientas prácticas como SSL Scan y SSL Labs para evaluar configuraciones de seguridad en aplicaciones, resaltando la necesidad de configuraciones seguras y una adecuada gestión de llaves criptográficas para evitar vulnerabilidades.

Takeaways

  • 🔐 La vulnerabilidad número 2 del top 10 está relacionada con fallas en la criptografía dentro del entorno de trabajo.
  • 🗝️ Existen múltiples fallas criptográficas, no una sola, que afectan la seguridad de las aplicaciones, como el mal manejo de contraseñas y configuraciones.
  • ⚠️ Ejemplos de la vida real incluyen el robo de 1.4 millones de contraseñas en texto claro en diciembre de 2017.
  • 🔒 Es crucial cifrar contraseñas y cualquier dato sensible dentro de una aplicación para protegerlo contra ciberataques.
  • 📑 Los requerimientos de seguridad deben ajustarse a la sensibilidad de los datos, cumpliendo con normativas como PCI DSS en entornos bancarios.
  • 📉 Malas configuraciones criptográficas comunes incluyen el uso de protocolos inseguros como SSL 3.0 y TLS 1.0/1.1, que aún están presentes en portales.
  • 🔍 La mala gestión de llaves criptográficas, el uso de algoritmos débiles y funciones hash inseguras como SHA-1 siguen siendo fallos recurrentes.
  • 🚫 Es un error pensar que lo que está detrás de un firewall es completamente seguro; la seguridad debe aplicarse en todos los entornos.
  • 🔧 Herramientas como SSL Scan en Kali Linux permiten evaluar configuraciones de seguridad y encontrar vulnerabilidades en servidores.
  • ✅ Mantener una auditoría y realizar validaciones constantes es clave para evitar malas configuraciones criptográficas y aumentar la seguridad.

Q & A

  • ¿Cuál es el enfoque principal de la vulnerabilidad discutida en el video?

    -La vulnerabilidad principal trata sobre el mal uso de la criptografía en aplicaciones, lo que puede generar diversas fallas criptográficas en el entorno de trabajo.

  • ¿Por qué es importante cifrar contraseñas en un entorno de aplicación?

    -Cifrar contraseñas es crucial porque evita que ciberdelincuentes accedan a información sensible, como en el caso de la brecha de 2017, donde más de 1.4 millones de contraseñas circulaban en texto claro.

  • ¿Cuáles son algunas de las configuraciones criptográficas incorrectas mencionadas?

    -Algunas configuraciones incorrectas incluyen el uso de encabezados inseguros HTTP, el soporte de protocolos antiguos como SSL 3.0, TLS 1.0 y 1.1, y la falta de implementación de cookies seguras o algoritmos de cifrado válidos.

  • ¿Qué ejemplos de protocolos inseguros se mencionan en el video?

    -Se mencionan SSL versión 3.0, TLS 1.0 y 1.1 como ejemplos de protocolos inseguros que no deberían ser utilizados en entornos actuales.

  • ¿Qué medidas se deben tomar para asegurar la información en tránsito y en reposo?

    -Para asegurar la información en tránsito y en reposo, se deben cifrar los datos sensibles, aplicar protocolos seguros como TLS 1.2 o 1.3 y seguir normativas como PCI DSS para proteger la información de los usuarios.

  • ¿Cómo afecta la mala gestión de llaves criptográficas a la seguridad?

    -Una mala gestión de llaves criptográficas puede facilitar que atacantes accedan a información sensible, ya que no se protegen adecuadamente las claves que garantizan la seguridad de los datos cifrados.

  • ¿Qué herramientas se mencionan para evaluar configuraciones de seguridad criptográficas?

    -Se mencionan herramientas como 'ssl scan' en Kali Linux y 'SSL Labs' de Qualys, que permiten evaluar configuraciones de seguridad, como los protocolos y cifrados utilizados en los servidores.

  • ¿Qué recomendaciones se dan para prevenir fallas criptográficas?

    -Se recomienda utilizar algoritmos criptográficos válidos, configurar correctamente los encabezados de seguridad, gestionar adecuadamente las llaves criptográficas y realizar auditorías constantes para detectar configuraciones erróneas.

  • ¿Qué tipo de vulnerabilidades puede detectar la herramienta 'ssl scan'?

    -La herramienta 'ssl scan' puede detectar vulnerabilidades como el soporte de protocolos obsoletos (SSL 3.0, TLS 1.0), el uso de cifrados débiles y la mala gestión de certificados SSL expirados o no válidos.

  • ¿Qué importancia tienen las evaluaciones de seguridad periódicas en entornos productivos?

    -Las evaluaciones de seguridad periódicas son esenciales para identificar configuraciones criptográficas débiles o incorrectas, lo que ayuda a prevenir vulnerabilidades que puedan ser explotadas por atacantes.

Outlines

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Mindmap

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Keywords

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Highlights

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora

Transcripts

plate

Esta sección está disponible solo para usuarios con suscripción. Por favor, mejora tu plan para acceder a esta parte.

Mejorar ahora
Rate This

5.0 / 5 (0 votes)

Etiquetas Relacionadas
CiberseguridadCriptografíaFallas comunesSeguridad webProtocolo TLSSSL scanConfiguraciones insegurasContraseñasProtección de datosOWASP