TOP 10 OWASP 2021 español con ejemplos - A2 Fallas Criptográficas

#Aprendiendo sobre Ciberseguridad

17 Nov 202215:06

Summary

TLDREn este video, se aborda la vulnerabilidad número 2 del top 10 de OWASP 2021: las fallas criptográficas. El presentador destaca la importancia de una correcta implementación de criptografía para proteger datos sensibles, como contraseñas y sesiones. Se mencionan errores comunes, como configuraciones inseguras en encabezados HTTP, el uso de protocolos obsoletos y funciones de hash no recomendadas. Además, se muestran herramientas prácticas como SSL Scan y SSL Labs para evaluar configuraciones de seguridad en aplicaciones, resaltando la necesidad de configuraciones seguras y una adecuada gestión de llaves criptográficas para evitar vulnerabilidades.

Takeaways

🔐 La vulnerabilidad número 2 del top 10 está relacionada con fallas en la criptografía dentro del entorno de trabajo.
🗝️ Existen múltiples fallas criptográficas, no una sola, que afectan la seguridad de las aplicaciones, como el mal manejo de contraseñas y configuraciones.
⚠️ Ejemplos de la vida real incluyen el robo de 1.4 millones de contraseñas en texto claro en diciembre de 2017.
🔒 Es crucial cifrar contraseñas y cualquier dato sensible dentro de una aplicación para protegerlo contra ciberataques.
📑 Los requerimientos de seguridad deben ajustarse a la sensibilidad de los datos, cumpliendo con normativas como PCI DSS en entornos bancarios.
📉 Malas configuraciones criptográficas comunes incluyen el uso de protocolos inseguros como SSL 3.0 y TLS 1.0/1.1, que aún están presentes en portales.
🔍 La mala gestión de llaves criptográficas, el uso de algoritmos débiles y funciones hash inseguras como SHA-1 siguen siendo fallos recurrentes.
🚫 Es un error pensar que lo que está detrás de un firewall es completamente seguro; la seguridad debe aplicarse en todos los entornos.
🔧 Herramientas como SSL Scan en Kali Linux permiten evaluar configuraciones de seguridad y encontrar vulnerabilidades en servidores.
✅ Mantener una auditoría y realizar validaciones constantes es clave para evitar malas configuraciones criptográficas y aumentar la seguridad.

Q & A

¿Cuál es el enfoque principal de la vulnerabilidad discutida en el video?
-La vulnerabilidad principal trata sobre el mal uso de la criptografía en aplicaciones, lo que puede generar diversas fallas criptográficas en el entorno de trabajo.
¿Por qué es importante cifrar contraseñas en un entorno de aplicación?
-Cifrar contraseñas es crucial porque evita que ciberdelincuentes accedan a información sensible, como en el caso de la brecha de 2017, donde más de 1.4 millones de contraseñas circulaban en texto claro.
¿Cuáles son algunas de las configuraciones criptográficas incorrectas mencionadas?
-Algunas configuraciones incorrectas incluyen el uso de encabezados inseguros HTTP, el soporte de protocolos antiguos como SSL 3.0, TLS 1.0 y 1.1, y la falta de implementación de cookies seguras o algoritmos de cifrado válidos.
¿Qué ejemplos de protocolos inseguros se mencionan en el video?
-Se mencionan SSL versión 3.0, TLS 1.0 y 1.1 como ejemplos de protocolos inseguros que no deberían ser utilizados en entornos actuales.
¿Qué medidas se deben tomar para asegurar la información en tránsito y en reposo?
-Para asegurar la información en tránsito y en reposo, se deben cifrar los datos sensibles, aplicar protocolos seguros como TLS 1.2 o 1.3 y seguir normativas como PCI DSS para proteger la información de los usuarios.
¿Cómo afecta la mala gestión de llaves criptográficas a la seguridad?
-Una mala gestión de llaves criptográficas puede facilitar que atacantes accedan a información sensible, ya que no se protegen adecuadamente las claves que garantizan la seguridad de los datos cifrados.
¿Qué herramientas se mencionan para evaluar configuraciones de seguridad criptográficas?
-Se mencionan herramientas como 'ssl scan' en Kali Linux y 'SSL Labs' de Qualys, que permiten evaluar configuraciones de seguridad, como los protocolos y cifrados utilizados en los servidores.
¿Qué recomendaciones se dan para prevenir fallas criptográficas?
-Se recomienda utilizar algoritmos criptográficos válidos, configurar correctamente los encabezados de seguridad, gestionar adecuadamente las llaves criptográficas y realizar auditorías constantes para detectar configuraciones erróneas.
¿Qué tipo de vulnerabilidades puede detectar la herramienta 'ssl scan'?
-La herramienta 'ssl scan' puede detectar vulnerabilidades como el soporte de protocolos obsoletos (SSL 3.0, TLS 1.0), el uso de cifrados débiles y la mala gestión de certificados SSL expirados o no válidos.
¿Qué importancia tienen las evaluaciones de seguridad periódicas en entornos productivos?
-Las evaluaciones de seguridad periódicas son esenciales para identificar configuraciones criptográficas débiles o incorrectas, lo que ayuda a prevenir vulnerabilidades que puedan ser explotadas por atacantes.