VULNERABILIDADES DE APLICACIONES WEB: ALMACENAMIENTO CRIPTOGRÁFICO INSEGURO

Cuando hablamos de almacenamiento criptográfico inseguro más que de una vulnerabilidad hablamos de una categoría de vulnerabilidades que engrupa toda una serie de ellas. La falta de encriptamiento de información sensible, el uso de un método criptográfico débil o inadecuado, el uso de un algoritmo criptográfico riesgoso y la falta de uso de sal o semilla (salt) para la generación de hashes son algunas de las vulnerabilidades puntuales englobadas en esta categoría.

 

Todos los años millones y millones de combinaciones de usuario/contraseña, grandes cantidades de información financiera, médica y de otro tipo son robados de diferentes bases de datos y sorprendentemente muchas veces todo eso está guardado en texto plano o débilmente encriptado. Los datos de tarjetas de crédito se venden en los circuitos criminales a valores irrisoriamente bajos. No obstante los hechos descriptos, al año siguiente la historia se repite.

 

Si almacenamos información sensible en nuestro servidor web debemos hacernos algunas preguntas:

 

- ¿Es necesario almacenar esa información?

- ¿Es necesario almacenarla en el servidor?

- ¿Es necesario almacenarla en el servidor en un directorio accesible a todos los que usan la aplicación? (con eso también nos referimos a información guardada bajo la protección de contraseñas. La más de las veces será sólo cuestión de tiempo para el hacker burlar esa protección).

- ¿Está encriptada?

- ¿Está encriptada con un algoritmo criptográfico seguro?

- Si hemos convertido datos en hashes, ¿hemos agregado la sal antes de encriptar? 

- ¿La sal agregada es la misma para cada dato encriptado?

- Aún cuando la sal agregada no fuera la misma, ¿se puede deducir o averiguar con qué patrón varía? Lo ideal es que sea generada "al azar", con una entropía tal que no permita deducirla con facilidad. 

 

Hemos hecho sólo algunas de las preguntas más elementales que hay que hacerse, de acuerdo al tipo de información almacenada y al lugar y forma de almacenamiento cada uno deberá hacerse otras más. La seguridad física del lugar de almacenamiento no puede ser una cuestión anecdótica. Protegemos nuestras casa con cerraduras, rejas metálicas, alarmas, perros, cámaras de seguridad, etc. ¿Por qué no protegemos mejor los datos? Hace tiempo que proteger la información, propia o ajena, dejó de ser un lujo, se ha convertido en una necesidad imperiosa.