TÓPICOS 1

Nombre: Karina Benavides

Introducción

El mundo de la informática es vulnerable de sufrir algún tipo de ataque por terceras personas,
con la intención de propagar algún tipo de malware o robar información importante de la
víctima.
La gran mayoría de esta información se encuentran almacenados en sistemas gestores de bases
de datos comerciales tales como Oracle, Microsoft SQL Server entre otros, y atacar una bases
de datos es uno de los objetivos favoritos para los criminales
Por todo esto, es fundamental tomar las medidas que sean necesarias para mantener a buen
recaudo la información.
Para acceder a ella, los hackers buscan cualquier tipo de vulnerabilidad que no haya sido
controlada para acceder al sistema y hacerse con aquello que les sea de interés.
Hasta este momento, gran parte del esfuerzo para mejorar la seguridad de cualquier servicio
informático se centraba en asegurar los perímetros de las redes por medio de firewalls, IDS / IPS
y antivirus, pero cada vez las organizaciones están poniendo más esfuerzos en la protección de
la seguridad de las bases de datos protegiéndolos de intrusiones y cambios no autorizados.

Base de datos (BD)

Una base de datos es una entidad en la cual se pueden almacenar datos de manera
estructurada, con la menor redundancia posible. Diferentes programas y diferentes usuarios
deben poder utilizar estos datos. Por lo tanto, el concepto de base de datos generalmente está
relacionado con el de red, ya que se debe poder compartir esta información. Generalmente se
habla de un "Sistema de información" para designar a la estructura global que incluye todos los
mecanismos para compartir datos.
Administración de bases de datos
La admiración se dedica al control tanto de los datos como los usuarios. La administración de
bases de datos se realiza con un Sistema de Gestión de Bases de Datos (SGBD) también llamado
DBMS (Database Management System). El DBMS es un conjunto de servicios (aplicaciones de
software) que permite a los distintos usuarios un fácil acceso a la información y proporciona las
herramientas para la manipulación de los datos encontrados en la base (insertar, eliminar,
editar).

El DBMS puede dividirse en tres subsistemas: el sistema de administración de archivos, cuya

función es almacenar la información en un medio físico; el DBMS interno, que sirve para ubicar
la información en orden; y el DBMS externo, que representa a la interfaz de usuario.
Entre los DBMS más utilizados tenemos:
 Borland Paradox
 Filemaker
 IBM DB2
 Ingres
 Interbase
 Microsoft SQL server
 Microsoft Access
 Microsoft FoxPro
 Oracle
 Sybase
 MySQL
 PostgreSQL
 mSQL
 SQL Server

Vulnerabilidades de base de datos

1.- Nombre de usuario/password en blanco o bien hacer uso de uno débil

Esta es la primera línea de defensa de entrada a la información y se debe optar por el uso de
algo más complejo que sea complicado de conseguir por parte de cualquier atacante.
2. Preferencia de privilegios de usuario por privilegios de grupo
En ocasiones muchos usuarios reciben más privilegios sobre la base de datos de los que
realmente necesitan, lo que a la larga se puede convertir en un importante problema. Es
recomendable modificar los privilegios otorgados a los usuarios que estarán en contacto con la
información con el fin de que no puedan realizar modificaciones más allá de las autorizadas. Si
por ejemplo un usuario sólo realizará consultas a la base de datos pero no podrá modificar
ningún registro ni insertar nada nuevo, no tiene sentido ofrecer esos privilegios, ya que lo que
se le esta abriendo una puerta para un eventual ataque.
3. Características de bases de datos innecesariamente habilitadas
Cada instalación de base de datos viene con una serie de paquetes o módulos adicionales de
distintas formas y tamaños que en muy pocas ocasiones todos ellos son utilizadas por las
compañías, lo que las convierten en una posible puerta de entrada para sufrir algún tipo de
ataque si en esos paquetes se descubre cualquier problema de seguridad. Para reducir riesgos,
es recomendable que los usuarios detecten esos paquetes que no se utilizan y se desactiven del
servidor donde estén instalados.
4.- Desbordamiento de búfer
Se trata de otro de los medios favoritos utilizados por los piratas y que se dan por el exceso de
información que se puede llegar a enviar por medio del ingreso de información mediante el uso
de formularios, es decir, se recibe mucha más información de lo que la aplicación espera. Por
poner un ejemplo, si se espera la entrada de una cuenta bancaria que puede ocupar unos 25
caracteres y se permite la entrada de muchos más caracteres desde ese campo, se podría dar
este problema.
5.- Bases de datos sin actualizar
Como ocurre con cualquier tipo de aplicación que tengamos instalada en nuestra máquina, es
necesario ir actualizando la versión de nuestra base de datos con las últimas versiones lanzadas
al mercado, ya que en ellas se solucionan aquellos problemas de seguridad detectados, por lo
que pondremos más barreras a los posibles atacantes. Para ello es muy importante estar
informados de todos las noticias relacionadas con la base de datos que se esten utilizando para
saber en todo momento si algo nuevo ha sido lanzado al mercado que pueda solucionar
cualquier brecha de seguridad.
6.- Datos sensibles sin cifrar
Aunque pueda ser algo obvio, a la hora de la verdad no todo el mundo cifra la información más
importante que se almacena en base de datos. Esto es una buena práctica para que en caso de
hackeo, sea complicado para el atacante poder recuperar esa información. Por poner un
ejemplo, las contraseñas de acceso a un sitio por parte de los usuarios podrían ser cifradas
utilizando el algoritmo MD5. De esta forma una contraseña del tipo “YUghd73j%” en base de
datos se almacenaría con el siguiente valor “993e65b24451e0241617d6810849c824”. Como se
puede ver, se trata de un valor que poco o nada tiene que ver con el original.
7. Inyecciones SQL
Un ataque de este tipo puede dar acceso a alguien a una base de datos completa sin ningún tipo
de restricción, pudiendo llegar incluso a copiar y modificar los datos.
El funcionamiento de este tipo de vulnerabilidades es similar al que puede ocurrir en los portales
web, donde una mala limpieza de los datos de entrada puede hace que ejecuten código no
deseado en la base de datos, pudiendo coger el control de la plataforma. Muchos proveedores
ofrecen soluciones para este tipo de situaciones, pero para que surjan efecto es necesario
realizar la actualización de la aplicación a la última versión estable disponible que exista en cada
momento.

Principios básicos de seguridad de bases de datos

Identifique su sensibilidad
Automatice el proceso de identificación, ya que estos datos y su correspondiente ubicación
pueden estar en constante cambio debido a nuevas aplicaciones o cambios producto de
fusiones y adquisiciones.

Evaluación de la vulnerabilidad y la configuración

Realizar la comprobación privilegios de grupos de archivo -lectura, escritura y ejecución- de
base de datos y bitácoras de transacciones
Es necesario verificar que no se está ejecutando la base de datos con versiones que incluyen
vulnerabilidades conocidas; así como impedir consultas SQL desde las aplicaciones o capa de
usuarios. Para ello se pueden considerar (como administrador):

 Limitar el acceso a los procedimientos a ciertos usuarios.

 Delimitar el acceso a los datos para ciertos usuarios, procedimientos y/o datos.
 Declinar la coincidencia de horarios entre usuarios que coincidan.

Endurecimiento
Como resultado de una evaluación de la vulnerabilidad a menudo se dan una serie de
recomendaciones específicas. Este es el primer paso en el endurecimiento de la base de datos.

Audite
Una vez que haya creado una configuración y controles de endurecimiento, realice auto
evaluaciones y seguimiento a las recomendaciones de auditoría para asegurar que no se desvíe
de su objetivo (la seguridad).
Automatice el control de la configuración de tal forma que se registre cualquier cambio en la
misma. Implemente alertas sobre cambios en la configuración. Cada vez que un cambio se
realice, este podría afectar a la seguridad de la base de datos.

Monitoreo
Monitoreo en tiempo real de la actividad de base de datos es clave para limitar su exposición,
aplique o adquiera agentes inteligentes [5] de monitoreo, detección de intrusiones y uso
indebido.
Recuerde que el monitoreo usuarios privilegiados, es requisito para la gobernabilidad de datos
y cumplimiento de regulaciones como SOX y regulaciones de privacidad.

Vulnerabilidad MongoDB

MongoDB es un sistema de base de datos de código abierto orientado a documentos. Se basa

en colecciones de documentos Json1 , lo que le otorga una gran flexibilidad en cuanto a la
naturaleza de la información que almacena, puesto que puede haber documentos con diferente
esquema dentro de una misma colección. De MongoDB se destaca su gran velocidad y
escalabilidad, porque puede manejar sin esfuerzo volúmenes de datos del orden de gigabytes.
Bibliografía

[1] Carlos Vialfa. (2017). Introducción A Las Bases De Datos. 5 de mayo de 2018, de CCM Sitio
web: https://es.ccm.net/contents/66-introduccion-a-las-bases-de-datos

[2] Aguilera L “Seguridad Informática” 2010, Madrid, Editorial Editex, S.A.