Amenazas a las bases de datos

Nombre: Juan Sebastin Bolaos Benitez

Las bases de datos son el corazn del negocio. Es el activo ms importante:

Almacenan registros de los clientes de la empresa y datos financieros confidenciales.

Por lo tanto, constituyen uno de los objetivos ms codiciados para los hackers o para
cualquier intruso.

Por qu son tan vulnerables las bases de datos? Las empresas no invierten en la
proteccin de stas. Los piratas informticos acceden a datos sensibles y pueden extraer
valores, causar daos o afectar las operaciones comerciales causando prdidas
financieras.

En el ao 2015, la OTA (Online Trust Alliance) menciona que ms del 97% de estos
ataques podran haberse evitado si se aplicaban medidas simples, siguiendo mejores
prcticas y controles internos.

La OTA menciona un top 10 de principales amenazas a las bases de datos (ver la

siguiente tabla):

Ranking Amenaza

1 Privilegios excesivos y privilegios no utilizados

2 Abuso de privilegios legtimos
3 Inyeccin SQL
4 Malware
5 Proceso de auditora dbil
6 Exposicin de los medios de almacenamiento
7 Explotacin de vulnerabilidades y bases de datos mal
configuradas
8 Datos sensibles no administrados
9 Negacin o denegacin de servicios
10 Educacin y experiencia limitada en seguridad

Usted como representante de la organizacin, debe dar a conocer al menos dos de las
amenazas que se muestran en la tabla y sus posibles controles o la disminucin de estos
riesgos.

Malware
Malware es un trmino que se utiliza para describir software malintencionado que se ha
diseado para ocasionar daos o realizar acciones no deseadas en un sistema
informtico. Algunos ejemplos de malware incluyen lo siguiente:

Virus
Gusanos
 Caballos de Troya
Spyware
Software de seguridad Rogue

En la actualidad y dado que los antiguos llamados Virus informticos ahora comparten
funciones con sus otras familias, se denomina directamente a cualquier cdigo malicioso
(parsito/infeccin), directamente como un Malware.

Cmo les dara solucin a estas amenazas?

Manteniendo los equipos actualizados y el uso de herramientas de eliminacin de
software malintencionado

Realizando un anlisis completo del equipo con el fin de eliminar cdigos maliciosos que
pudieran ser encontrados.

Cambiando todas las contraseas de servicios como bancos, correo electrnico, redes
sociales, etc., con el fin de evitar que el cibercriminal pueda ingresar a estos sitios en
caso que el malware haya robado dicha informacin.
Qu controles implementara para disminuir los riesgos ocasionados por las
posibles amenazas?
El punto esencial es adoptar un comportamiento seguro y precavido. Evite descargar e
instalar programas desconocidos, no siga enlaces provenientes de correos y mensajes
para acceder a servicios bancarios, dude de cualquier email sospechoso.

Es importante, tambin, que mantenga protegido el sistema con soluciones de seguridad

como: cortafuegos, filtros antispam, etc. "En este sentido, es muy importante mantener
actualizado el sistema operativo y todos los programas instalados

Inyeccin SQL
Es un mtodo de infiltracin de cdigo intruso que se vale de una vulnerabilidad
informtica presente en una aplicacin en el nivel de validacin de las entradas para
realizar operaciones sobre una base de datos.

La inyeccin de cdigo SQL es un ataque en el cual se inserta cdigo malicioso en las

cadenas que posteriormente se pasan a una instancia de SQL Server para su anlisis y
ejecucin. Todos los procedimientos que generan instrucciones SQL deben revisarse en
busca de vulnerabilidades de inyeccin de cdigo, ya que SQL Server ejecutar todas
las consultas recibidas que sean vlidas desde el punto de vista sintctico. Un atacante
cualificado y con determinacin puede manipular incluso os datos con parmetros.

Un ataque de este tipo puede dar acceso a alguien y sin ningn tipo de restriccin a una
base de datos completa e incluso copiar o modificar la informacin.

Cmo le dara solucin a estas amenazas?

Podemos realizar un anlisis de nuestro cdigo con el uso de herramientas que testen
nuestras aplicaciones en busca de vulnerabilidades por inyeccin SQL. Algunas de estas
herramientas son:

SQLiHelper 2.7 SQL Injection: Se trata de una aplicacin cuyo objetivo es facilitar la
extraccin de informacin procedente de bases de datos utilizando para ello tcnicas de
inyeccin SQL. Una vez indicada la url que queremos analizar, la aplicacin realizar
peticiones inyectando cdigo SQL con el fin de comprobar si es realmente vulnerable.

Pangolin: Se trata de una herramienta de pago que ofrece ms posibilidades que la vista
en el punto anterior y que est destinada a descubrir vulnerabilidades tanto del tipo
inyeccin SQL como inyeccin SQL ciego.

SQLMap: Se trata de una herramienta de pruebas de cdigo abierto que automatiza el

proceso de detectar y explorar los errores de inyeccin SQL

Qu controles implementara para disminuir los riesgos ocasionados por las

posibles amenazas?
A la hora de desarrollar una aplicacin, es muy complicado crear una herramienta
totalmente segura a las primeras de cambio. La falta de tiempo y la intervencin de varios
programadores para su desarrollo, son factores que juegan en contra de la seguridad. A
pesar de estos inconvenientes, siempre se pueden tomar medidas de seguridad que nos
ayuden a desarrollar aplicaciones ms robustas, ajenas a este tipo de problemas.

Medidas para evitar sufrir el ataque por inyeccin de cdigo SQL

Escapar los caracteres especiales utilizados en las consultas SQL

Delimitar los valores de las consultas
Verificar siempre los datos que introduce el usuario
Asignar mnimos privilegios al usuario que conectar con la base de datos
Programar bien