Una inyección de SQL es un tipo de ciberataque en el que un hacker usa un trozo de código SQL (Lenguaje de consulta estructurado) para manipular una base de datos y acceder a información potencialmente valiosa.

Es uno de los tipos de ataques más frecuentes y amenazadores, ya que puede atacar prácticamente cualquier sitio o aplicación web que use una base de datos basada en SQL.

Algunos ejemplos destacados son los ataques contra Sony Pictures y Microsoft, entre otros.

¿Cómo funciona una inyección de SQL?

En la práctica de software estándar, una consulta de SQL es esencialmente una solicitud enviada a una base de datos (un repositorio computarizado de información) por algún tipo de actividad o función, como consultas de datos o una ejecución de código SQL que se debe realizar.

Un ejemplo es cuando la información de inicio de sesión se envía a través de un formulario web antes de que el usuario pueda acceder al sitio.

Normalmente, este tipo de formulario web está diseñado para aceptar solo tipos muy específicos de datos, como un nombre o una contraseña. Cuando se agrega esa información, esta se coteja contra una base de datos y, si coincide, se otorga acceso al usuario. De lo contrario, se deniega el acceso.

Los posibles problemas surgen porque la mayoría de los formularios web no tienen forma de detener el ingreso de información adicional. Así, los hackers pueden aprovechar esta debilidad y utilizar los cuadros de entrada del formulario para enviar sus propias solicitudes a la base de datos. Esto podría permitirles llevar a cabo una amplia gama de actividades maliciosas, desde el robo de datos confidenciales hasta la manipulación de la información de la base de datos para sus propios fines.

Un problema en aumento

Debido a la prevalencia de sitios web y servidores que utilizan bases de datos, el método de ataque de inyección de SQL es uno de los tipos de ciberataques más antiguos y generalizados.

Varios avances en la comunidad hacker han aumentado el riesgo de este tipo de ataques; en especial, la llegada de programas de inyecciones de SQL automatizadas.

Disponibles de forma gratuita en desarrolladores de código abierto, los programas de inyecciones de SQL automatizados les permiten a los cibercriminales realizar ataques automáticamente en tan solo minutos, ya que les permiten acceder a cualquier tabla o columna de la base de datos con tan solo un clic y un proceso de ataque.

Prevención

Hay varias formas de evitar estos tipos de ataques, incluido el uso de un firewall de aplicaciones web, como los firewalls disponibles en las soluciones de seguridad de Kaspersky. Otra medida preventiva es crear varias cuentas de usuario de base de datos, de manera que solo personas específicas y de confianza puedan acceder a dichas bases.

Artículos relacionados:

Productos relacionados: