Académique Documents
Professionnel Documents
Culture Documents
(Autor)
JULIAN DAVID MILLAN VARELA
((Autor)
JULIAN DAVID MILLAN VARELA
Presentado a:
JAVIER PEREZ CAMPO
Las bases de datos son el “corazón” del negocio. Es el activo más importante: Almacenan
registros de los clientes de la empresa y datos financieros confidenciales. Por lo tanto,
constituyen uno de los objetivos más codiciados para los hackers o para cualquier
intruso. ¿Por qué son tan vulnerables las bases de datos? Las empresas no invierten en
la protección de éstas. Los piratas informáticos acceden a datos sensibles y pueden
extraer valores, causar daños o afectar las operaciones comerciales causando pérdidas
financieras. En el año 2015, la OTA (Online Trust Alliance) menciona que más del 97%
de estos ataques podrían haberse evitado si se aplicaban medidas simples, siguiendo
“mejores prácticas” y controles internos.
Ranking Amenaza
OBJETIVO GENERAL
Usted como representante de la organización, debe dar a conocer al menos dos de las
amenazas que se muestran en la tabla y sus posibles controles o la disminución de estos
riesgos.
DESARROLLO DE ACTIVIDAD
Malware
Malware es un término que se utiliza para describir software malintencionado que se ha
diseñado para ocasionar daños o realizar acciones no deseadas en un sistema
informático. Algunos ejemplos de malware incluyen lo siguiente:
Virus
Gusanos
Caballos de Troya
Spyware
Software de seguridad Rogue
En la actualidad y dado que los antiguos llamados Virus informáticos ahora comparten
funciones con sus otras familias, se denomina directamente a cualquier código malicioso
(parásito/infección), directamente como un “Malware”.
Realizando un análisis completo del equipo con el fin de eliminar códigos maliciosos que
pudieran ser encontrados.
Cambiando todas las contraseñas de servicios como bancos, correo electrónico, redes
sociales, etc., con el fin de evitar que el cibercriminal pueda ingresar a estos sitios en
caso que el malware haya robado dicha información.
¿Qué controles implementaría para disminuir los riesgos ocasionados por las
posibles amenazas?
El punto esencial es adoptar un comportamiento seguro y precavido. Evite descargar e
instalar programas desconocidos, no siga enlaces provenientes de correos y mensajes
para acceder a servicios bancarios, dude de cualquier email sospechoso.
Inyección SQL
Es un método de infiltración de código intruso que se vale de una vulnerabilidad
informática presente en una aplicación en el nivel de validación de las entradas para
realizar operaciones sobre una base de datos.
Un ataque de este tipo puede dar acceso a alguien y sin ningún tipo de restricción a una
base de datos completa e incluso copiar o modificar la información.
SQLiHelper 2.7 SQL Injection: Se trata de una aplicación cuyo objetivo es facilitar la
extracción de información procedente de bases de datos utilizando para ello técnicas de
inyección SQL. Una vez indicada la url que queremos analizar, la aplicación realizará
peticiones inyectando código SQL con el fin de comprobar si es realmente vulnerable.
Pangolin: Se trata de una herramienta de pago que ofrece más posibilidades que la vista
en el punto anterior y que está destinada a descubrir vulnerabilidades tanto del tipo
inyección SQL como inyección SQL ciego.
¿Qué controles implementaría para disminuir los riesgos ocasionados por las
posibles amenazas?
A la hora de desarrollar una aplicación, es muy complicado crear una herramienta
totalmente segura a las primeras de cambio. La falta de tiempo y la intervención de varios
programadores para su desarrollo, son factores que juegan en contra de la seguridad. A
pesar de estos inconvenientes, siempre se pueden tomar medidas de seguridad que nos
ayuden a desarrollar aplicaciones más robustas, ajenas a este tipo de problemas.