A04:2025 – Cryptographic Failures

Cryptographic Failures son fallas relacionadas con ausencia de cifrado, cifrado débil o mal aplicado, y errores de gestión de claves. El resultado es que información sensible puede quedar expuesta durante transmisión, almacenamiento o procesamiento.

Origen del problema

• Uso de protocolos o algoritmos antiguos o no adecuados para el caso.

• Gestión de claves deficiente (reutilización, rotación ausente, almacenamiento inseguro).

• Falta de cifrado donde corresponde (datos sensibles sin cifrar en tránsito o reposo).

• Implementaciones que usan aleatoriedad débil o predecible.

• Hashing de contraseñas mal hecho (sin sal, demasiado rápido, o método no adaptativo).

Ejemplo de escenario de ataque

Paso 1 – Contexto del sistema
Una aplicación transmite datos sensibles y mantiene sesiones activas de usuarios.

Paso 2 – Acción general del atacante
El atacante se posiciona en una red insegura y observa tráfico que no está protegido de forma adecuada.

Paso 3 – Resultado o impacto
Obtiene información sensible o captura elementos de sesión y accede a datos privados del usuario.

Impacto real si no se gestiona

• Exposición de datos personales, financieros o secretos de negocio.

• Secuestro de sesión y acceso no autorizado a cuentas.

• Incumplimiento normativo (privacidad, regulaciones, contratos).

• Fraude, suplantación y daño reputacional.

• Costos altos por notificación, remediación y pérdida de confianza.

Conclusión

Cuando la criptografía falla, no “pierdes un control”: pierdes la confidencialidad. Y sin confidencialidad, el negocio opera con la puerta abierta… aunque no lo vea.

¿Quieres dominar el nuevo OWASP Top 10 2025 de manera práctica?

Tengo disponible mi Taller: Practical OWASP Top 10:2025 (Actualizado), donde aprenderás desde cero a identificar, prevenir y probar con laboratorios prácticos los riesgos más críticos en aplicaciones web.

👉 Accede al taller aquí: Practical OWASP TOP 10 2025

Nos vemos en la siguiente entrada

Fernando Conislla