Aumentan los ataques SQL para robar información personal y financiera

Los asaltos SQL (Structured Query Language) a bases de datos están alcanzando números record. En ellos, los atacantes intentan conseguir información de índole personal y financiera almacenada en ellas, según el suministrador de servicios gestionados de seguridad SecureWorks.


Esta compañía, con sede en Atlanta, está detectando una media de 8.000 ataques por día a las bases de datos de sus clientes, frente a los entre 100 y 200 ataques diarios que de media que se produjeron durante los tres primeros meses de este año.

Las estadísticas están extraídas del análisis de sus 1.300 clientes, entre los que se incluyen instituciones financieras y empresas utilities, la mayoría de las cuales están localizadas en Estados Unidos.

Muchos de los hackers trabajan desde ordenadores ubicados en Rusia, China, Brasil, Hungría y Corea y utilizan un método conocido como ataque de inyección SQL (SQL injection attack). Comienzan utilizando el motor de búsqueda de Google para encontrar páginas Web con formularios que incluyan contenido activo, indicio de que transmiten información a una base de datos.

Una cantidad importante de aplicaciones Web no validan la información en los formularios, permitiendo al atacante “inyectar” comandos SQL maliciosos que se ejecutan en la base de datos. A continuación el hacker puede utilizar herramientas automatizadas para recopilar información de determinadas tablas y columnas dentro de la base de datos.

El siguiente paso consiste en comprometer al servidor de base de datos mediante la introducción de más código, llegando potencialmente a provocar que el servidor descargue otros programas de Internet que darán al hacker un mayor control.

Este tipo de ataques SQL se dirigen a objetivos muy específicos y no es probable que lleguen a atraer la atención general, como ocurre con los virus o gusanos capaces de auto-replicarse. Sin embargo, pueden producirse en una página Web con un simple formulario como un simulador/calculador de cuotas hipotecarias, según indica Jon Ramsey, CTO de Secureworks.

Ataques de nueva generación
“Ya no estamos en la era de los gusanos, ni volveremos a ella. Estamos en la era de los ataques de día cero, y, muy especialmente, de aquellos dirigidos a instituciones muy específicas”, asegura Ramsey.

De hecho, las empresas están comenzando a prestar una mayor atención a securizar sus bases de datos. Visa International y MasterCard, pro ejemplo, están redefiniendo sus reglas de seguridad para comercios que aceptan pagos por tarjeta de crédito para proteger mejor sus datos de ataques del tipo de los descritos.

Un ataque “SQL injection” de alto nivel ha sido el dirigido contra CardSystems Solutions, firma que procesa los datos de pago para suministradores de tarjetas de crédito. El atacante utilizó este sistema para instalar un programa que transfería datos de tarjetas de una base de datos cada cuatro días a un ordenador remoto. Los bancos reportaron ventas fraudulentas por valor de millones de dólares como resultado. Se cree que el hacker tuvo acceso a los números de 40 millones de tarjetas de crédito.



Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital