Informe de Veracode critica a los desarrolladores por fallas en la implementación de cifrado

cifrado

Si bien la causa más común de violaciones de datos que afectan al sector público y privado son a menudo las deficiencias por parte del usuario final, los desarrolladores también tienen una parte de responsabilidad por lo que provoca este ciberincidente.

Según un nuevo informe de Veracode, la mayoría de los desarrolladores no tienen la experiencia suficiente para implementar el cifrado en sus productos. Como resultado, las claves criptográficas suelen ser fáciles de decodificar para los atacantes.

cifrado

Para la mayoría de los incidentes de filtración de datos, los problemas de cifrado son una de las vulnerabilidades que tienen un impacto grave en las aplicaciones de varios sectores e industrias. En particular, las fallas criptográficas implican una validación incorrecta del certificado de seguridad de la capa de transporte, datos confidenciales almacenados como texto, información no cifrada y claves criptográficas codificadas, entre otros.

Tanto las aplicaciones móviles como las aplicaciones basadas en la web se vieron afectadas por esta deficiencia por parte de los desarrolladores, aunque existen bastante diferencias en cuanto al número de aplicaciones en cada plataforma afectada.

Aunque la mayoría de las aplicaciones utilizadas por muchas empresas y organizaciones necesitan tener cifrado integrado para cumplir con las leyes de seguridad de datos, algunos desarrolladores lo están poniendo en sus productos de manera poco estricta, según Veracode.

Parte del problema es la falta de formación en criptografía de muchos desarrolladores. Es por eso que tienen un conocimiento pobre sobre seguridad, dijo Veracode. No es un problema menor, por lo tanto, que se pueda confiar en muchas aplicaciones con componentes de cifrado para contrarrestar los ataques de manera eficaz.

Luego está la falta de estandarización, ya que algunos desarrolladores desarrollan sus propios algoritmos de cifrado, principalmente al no seguir las interfaces de programación de aplicaciones criptográficas estándar ofrecidas por Java o algunos otros lenguajes de programación ampliamente utilizados.

Se recomienda que los programadores primero revisen los certificados con mucho cuidado, aseguren las claves de cifrado e implementen generadores de números pseudoaleatorios difíciles de descifrar. Lo que se necesita aquí es una educación adecuada para los desarrolladores para ayudarlos a comprender las graves consecuencias de no implementar un cifrado sólido.

Desde el punto de vista de otros expertos en seguridad, las bibliotecas de cifrado complejas también son parte de la culpa de este problema de cifrado. Eso es así debido a la brecha en el idioma. Las bibliotecas de cifrado se desarrollan de forma nativa para criptógrafos, no para desarrolladores.

Por lo tanto, no solo se trata de educar a los desarrolladores, sino también de diseñar software criptográfico de una manera que sea fácil de entender para los desarrolladores. Entonces sería más sencillo implementar un cifrado robusto sin hacer un esfuerzo adicional para comprender los lenguajes criptográficos.

0 Shares