保護DataHogo
Enciclopedia de Seguridad/Seguridad en Cloud Providers
lowCWE-324

Clave KMS Cloud Sin Rotar

Tus claves de cifrado KMS no tienen rotación automática habilitada, lo que significa que el mismo material de clave se usa indefinidamente — aumentando el riesgo si la clave alguna vez es comprometida.

Cómo Funciona

Las claves KMS cifran tus datos más sensibles en reposo. Si una clave es comprometida (vía amenaza interna, política IAM mal configurada o exportación del material de clave), todos los datos cifrados con esa clave están en riesgo. La rotación de claves limita la exposición: incluso si una clave antigua es comprometida, solo los datos cifrados en esa ventana de rotación están en riesgo. AWS KMS soporta rotación automática anual sin costo adicional.

Código Vulnerable
// MAL: clave KMS sin rotación automática (Terraform)
resource "aws_kms_key" "app_key" {
  description             = "Clave de cifrado de app"
  enable_key_rotation     = false  // la clave nunca rota — riesgoso
  deletion_window_in_days = 30
}
Código Seguro
// BIEN: habilita rotación automática anual de clave
resource "aws_kms_key" "app_key" {
  description             = "Clave de cifrado de app"
  enable_key_rotation     = true   // AWS rota el material de clave anualmente
  deletion_window_in_days = 30
}

Ejemplo Real

Aunque no hay grandes brechas públicas atribuidas únicamente a la no rotación de claves KMS, los auditores de PCI-DSS, HIPAA y SOC 2 regularmente señalan claves de cifrado no rotadas como un hallazgo de cumplimiento. Es una configuración de bajo esfuerzo que satisface múltiples requisitos regulatorios a la vez.

Cómo Prevenirlo

  • Habilita enable_key_rotation: true en todas las claves administradas por el cliente de AWS KMS — es gratuito y automático
  • Para GCP Cloud KMS, configura rotationPeriod en la configuración de tu key ring
  • Usa la regla de AWS Config cmk-backing-key-rotation-enabled para detectar claves que no rotan
  • Documenta las políticas de rotación de claves como parte de tu runbook de seguridad
  • Para material de claves importado, rota manualmente según tu política de gestión de claves

Tecnologías Afectadas

Node.jsPython

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Bucket S3 con Acceso Público

critical

Tu bucket de S3 es públicamente legible debido a un ACL público, configuración de Block Public Access deshabilitada o una política de bucket con wildcard — cualquiera en internet puede listar y descargar tus archivos.

CWE-284OWASP A05:2021

SSRF a Metadata de Cloud

critical

Tu app hace fetch de URLs proporcionadas por el usuario sin bloquear endpoints de metadata de cloud como 169.254.169.254, dejando a los atacantes robar tus credenciales cloud vía SSRF.

CWE-918OWASP A10:2021

Credenciales AWS Hardcodeadas

critical

Las claves de acceso de AWS (que empiezan con AKIA) o las claves de acceso secretas están hardcodeadas en tu código fuente, dando a cualquiera que lea el código acceso completo a tu cuenta de AWS.

CWE-798OWASP A02:2021

Política IAM Excesivamente Permisiva

high

Tu política IAM usa Action: '*' o Resource: '*', otorgando muchos más permisos de los necesarios y convirtiendo cualquier fuga de credenciales en una toma de control completa de la cuenta.

CWE-269OWASP A01:2021