Gracias al avance de las técnicas de big data y data analytics, las bases de datos se han convertido en el corazón de cualquier organización, en torno a las cuales se defina toda la estrategia de negocio. Pero esta creciente importancia para las empresas también ha hecho que los datos sean el objetivo prioritario para las amenazas de hackers e insiders maliciosos y ciberdelincuentes. ¿Cuáles son las 10 amenazas a bases de datos más importantes?
Índice de temas
A qué llamamos riesgo o amenaza en una base de datos
Un riesgo o amenaza a una base de datos es el potencial peligro de que sufra una alteración, filtración, robo o pérdida de datos debido al acceso a la información por parte de los ciberdelincuentes a través de técnicas como el malware.
Además, las nuevas tecnologías, como la inteligencia artificial, han propiciado la evolución hacia una protección de los datos más madura, pero también han ayudado a los ciberdelincuentes a estar cada vez más preparados y desarrollar técnicas de ataque más sofisticadas.
Las 10 amenazas a bases de datos más importantes
Gestión de permisos inadecuada
Cuando a alguien se le otorgan privilegios de base de datos que exceden los requerimientos de su puesto de trabajo, se crea un riesgo innecesario. Esto ocurre cuando los mecanismos de control de privilegios de los roles de trabajo no han sido bien definidos o mantenidos, no aplicándose el deseable principio de Zero Trust.
Abuso de privilegios y accesos no autorizados
Los usuarios pueden llegar a abusar de los privilegios legítimos de bases de datos para fines no autorizados como la substracción de información confidencial. Una vez que los registros de información alcanzan una máquina cliente, los datos se exponen a diversos escenarios de violación.
Ataques de inyección de base de datos por SQL
El éxito de un ataque de inyección SQL puede dar a alguien acceso sin restricciones a una base de datos completa. Si las secuencias inyectadas son ejecutadas a través de la base de datos, almacenes de datos críticos pueden ser visualizados, copiados o modificados.
Malware
Los cibercriminales, hackers patrocinados por estados o espías utilizan ataques avanzados que combinan múltiples tácticas, tales como el phishing y el malware para penetrar en las organizaciones y robar sus datos confidenciales.
Auditorías débiles
La grabación automática de las transacciones de bases de datos que implican datos sensibles debería ser parte de cualquier implementación de base de datos. No recopilar registros de auditoría detallados de esta actividad puede llegar a representar un riesgo muy serio para la organización en muchos niveles.
Exposición de los medios de almacenamiento
Los medios de almacenamiento para backup están a menudo desprotegidos, por lo que numerosas violaciones de seguridad han conllevado el robo de discos y de cintas. Por otra parte, el hecho de no auditar y monitorizar las actividades de acceso de bajo nivel por parte de los administradores sobre la información confidencial puede poner en riesgo los datos.
Explotación de vulnerabilidades y bases de datos mal configuradas
Es común encontrar bases de datos vulnerables y sin parches, o descubrir otras que poseen cuentas y parámetros de configuración por defecto. Los atacantes saben cómo explotar estas vulnerabilidades para lanzar ataques contra las empresas.
Datos sensibles mal gestionados
Muchas empresas luchan por mantener un inventario preciso de sus bases de datos y de los datos críticos contenidos en su interior. Los datos sensibles en estas bases de datos estarán expuestos a amenazas si no se aplican los controles y permisos necesarios.
Ataques de denegación de servicio
Denegación de Servicio (DDoS) es una categoría de ataque en la que se le niega el acceso a las aplicaciones de red o datos a los usuarios previstos. Las motivaciones a menudo están vinculadas a fraudes de extorsión en el que un atacante remoto repetidamente atacará los servidores hasta que la víctima cumpla con sus exigencias.
Formación y concienciación en seguridad insuficiente
Los controles internos de seguridad no están a la par con el crecimiento del volumen de los datos y muchas firmas están mal equipadas para lidiar con una brecha de seguridad, por la falta de conocimientos técnicos para poner en práctica controles de seguridad, políticas y capacitación.
Medidas y prácticas de seguridad para las bases de datos
Puesto que las bases de datos son casi siempre accesibles desde la red, cualquier amenaza de seguridad a cualquier componente interno o que forme parte de la infraestructura de red también es una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede ser una amenaza para la base de datos. Por lo tanto, la seguridad de la base de datos se debe ampliar más allá de los límites de la propia base de datos siguiendo, por ejemplo, estas prácticas:
- Identificar los datos sensibles.
- Monitorizar el acceso a las bases de datos.
- Utilizar técnicas de encriptación de la información.
- Administrar los derechos de acceso de los usuarios y eliminar los privilegios excesivos y los usuarios inactivos.
- Capacitar a los empleados en técnicas de mitigación de riesgos con las mejores prácticas en torno al uso de Internet y del correo electrónico, y la gestión de contraseñas.
- Evaluar las vulnerabilidades de la base de datos, identificando los puntos finales comprometidos y clasificando los datos confidenciales.
- Supervisar toda la actividad de acceso a la base de datos y los patrones de uso en tiempo real para detectar ataques y fugas de datos.
- Automatizar la auditoría con una plataforma de auditoría y protección de bases de datos.
- Bloquear las solicitudes web maliciosas.
- Archivar datos externos, cifrar bases de datos y enmascarar los campos de la base de datos para ocultar información confidencial.
- Realizar backups o copias de seguridad de la información.
Legislación para la protección de bases de datos
La evolución del análisis de datos ha propiciado a que estos sean cada vez más importantes para la empresa, pero que también estén más expuestos a los ciberataques debido a su continuo examen y utilización.
Para garantizar la seguridad de los datos a nivel legal, la Unión Europea ha desarrollado una normativa específica para la protección de datos personales conocida como el Reglamento General de Protección de Datos (RGPD). Este reglamento establece una serie de medidas para garantizar que los datos personales sean tratados de manera justa y transparente. Además, el RGPD establece la obligación de obtener el consentimiento explícito de los individuos antes de procesar sus datos personales.
En relación al big data, el RGPD establece que el tratamiento de datos personales debe ser “adecuado, relevante y limitado a lo necesario en relación con los fines para los que son tratados”. También establece que los individuos tienen derecho a ser informados sobre el procesamiento de sus datos personales y a solicitar su eliminación.