Un secreto en ciberseguridad cualquier información confidencial utilizada para autenticar, autorizar o proteger el acceso a sistemas, datos o servicios. La información confidencial comprometida supone un riesgo directo para la seguridad, que puede dar lugar a accesos no autorizados, fugas de datos o interrupciones operativas.
Ejemplos comunes
- 🔑 Contraseñas y frases secretas (frases de contraseñafrases de contraseña en inglés)
- 🔐 Claves criptográficas (privado o simétrico)
- 🪪 Fichas de acceso (Tokens APItokens OAuth)
- 📇 Certificados digitales y Claves SSH
- 🔏 Claves para codificación bases de datos
Características
- Confidencialidad Nunca debe exhibirse a la vista.
- Integridad Debe protegerse contra modificaciones no autorizadas.
- Trazabilidad El acceso debe estar registrado y controlado.
- Ciclo de vida Rotación periódica y revocación en caso de compromiso.
Buenas prácticas
- ✅ Uso cajas fuertes de secretos (Hashicorp Vault, AWS Secrets Manager, Azure Key Vault).
- ✅ Nunca almacenamiento no cifrado en código, archivos de configuración o correos electrónicos.
- ✅ Aplicar el principio del menor privilegio para acceder.
- ✅ Implantación de un rotación automática (por ejemplo, cada 90 días)
Riesgos asociados
- � Fuga debida a un error humano (comisión accidental en un depósito público)
- ⚠️ Ataques de fuerza bruta o ingeniería social
- ⛔ Uso de secretos por defecto o débiles.
Normas de referencia
- NIST SP 800-63B (Gestión de la autenticación)
- ISO/IEC 27001 (Control A.9.4.1 en el gestión de acceso)
