Seguridad por oscuridad
¿Qué es Seguridad por oscuridad?
Seguridad por oscuridadEnfoque que confia en mantener en secreto el diseno, la implementacion o la ubicacion de un sistema como defensa principal, en lugar de en su solidez intrinseca.
La seguridad por oscuridad asume que un atacante no triunfara porque no conoce como funciona el sistema, donde esta o que algoritmo usa. El principio de Kerckhoffs (1883) lo rechaza: un criptosistema debe seguir siendo seguro aunque todo, salvo la clave, sea publico. URLs de admin ocultas, cripto propietaria, puertos no publicados o rebranding caen frente a scanners, fugas, ingenieria inversa o insiders. NIST e ISO la consideran como mucho un componente de defensa en profundidad: un pequeno coste extra para el atacante, nunca sustituto de autenticacion fuerte, cifrado autenticado, endurecimiento, monitorizacion y parches.
● Ejemplos
- 01
Ocultar el panel de admin en /supersecret-admin y dejar autenticacion debil.
- 02
Inventar un "cifrado propio" en lugar de usar AES-GCM.
● Preguntas frecuentes
¿Qué es Seguridad por oscuridad?
Enfoque que confia en mantener en secreto el diseno, la implementacion o la ubicacion de un sistema como defensa principal, en lugar de en su solidez intrinseca. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Seguridad por oscuridad?
Enfoque que confia en mantener en secreto el diseno, la implementacion o la ubicacion de un sistema como defensa principal, en lugar de en su solidez intrinseca.
¿Cómo funciona Seguridad por oscuridad?
La seguridad por oscuridad asume que un atacante no triunfara porque no conoce como funciona el sistema, donde esta o que algoritmo usa. El principio de Kerckhoffs (1883) lo rechaza: un criptosistema debe seguir siendo seguro aunque todo, salvo la clave, sea publico. URLs de admin ocultas, cripto propietaria, puertos no publicados o rebranding caen frente a scanners, fugas, ingenieria inversa o insiders. NIST e ISO la consideran como mucho un componente de defensa en profundidad: un pequeno coste extra para el atacante, nunca sustituto de autenticacion fuerte, cifrado autenticado, endurecimiento, monitorizacion y parches.
¿Cómo defenderse de Seguridad por oscuridad?
Las defensas contra Seguridad por oscuridad combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- compliance№ 299
Defensa en profundidad
Estrategia de seguridad que apila controles independientes para que, si uno falla, otros sigan previniendo, detectando o conteniendo el ataque.
- cryptography№ 249
Criptografía
Ciencia que protege la información mediante técnicas matemáticas que garantizan confidencialidad, integridad, autenticidad y no repudio frente a adversarios.
- appsec№ 982
Programación segura
Práctica de escribir código fuente minimizando los defectos de seguridad, siguiendo patrones defensivos, reglas específicas del lenguaje y guías reconocidas.
- appsec№ 1150
Modelado de amenazas
Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.
- identity-access№ 854
Principio de mínimo privilegio
Principio de seguridad que otorga a cada usuario, proceso o servicio sólo los privilegios mínimos imprescindibles para cumplir su función.