Sunteți pe pagina 1din 3

SERVICIO NACIONAL DE APRENDIZAJE – SENA

PROGRAMA DE FORMACION
GESTION DE LA SEGURIDAD INFORMATICA

NOMBRE DEL APRENDI

SOGAMOSO-BOYACA 2019

INYECCION SQL

Es una vulnerabilidad que permite al atacante enviar o “inyectar” instrucciones SQL de


forma maliciosa y malintencionada dentro del código SQL programado para la
manipulación de bases de datos, de esta forma todos los datos almacenados estarían
en peligro.
La finalidad de este ataque es poder modificar del comportamiento de nuestras
consultas a través de parámetros no deseados, pudiendo así falsificar identidades,
obtener y divulgar información de la base de datos (contraseñas, correos, información
relevante, entre otros), borrar la base de datos, cambiar el nombre a las tablas, anular
transacciones, el atacante puede convertirse en administrador de la misma.

Esto ocurre normalmente a la mala filtración de las variables en un programa que tiene
o crea SQL, generalmente cuando solicitas a un usuario entradas de cualquier tipo y
no se encuentran validadas, como por ejemplo su nombre y contraseña, pero a cambio
de esta información el atacante envía una sentencia SQL invasora que se ejecutará
en la base de datos.

PRINCIPALES PROBLEMAS QUE CAUSAN LOS ATAQUES SQL

 Confidencialidad. De forma habitual, las bases de datos almacenan información


sensible, por lo que la pérdida de confiabilidad es un problema muy frecuente en
aquellos sitios que son vulnerables a este tipo de ataques.

 Autenticación. Si el sistema de logueo que se utiliza para acceder a una zona


restringida de una web es débil, por medio de este tipo de ataques se podría
acceder sin la necesidad de conocer ni el usuario ni la contraseña.

 Integridad. Al igual que un ataque por inyección SQL permite leer información
relevante almacenada en la base de datos, también es posible realizar cambios o
incluso borrar toda información mediante este tipo de vulnerabilidad.

COMO CORREGIR EL PROBLEMA

1. Una solución definitiva seria trabajar con procedimientos almacenados. El modo


en el que se pasan los parámetros a los procedimientos almacenados evita que la
inyección SQL pueda ser usada.
2. Validar los datos que introduce el usuario teniendo en cuenta por ejemplo la
longitud de los campos y los tipos de datos aceptados.

MALWARE
El malware o software malicioso es un tipo de software que tiene como objetivo
infiltrarse o dañar un sistema de información sin el consentimiento de su propietario.
El término se utiliza para hablar de todo tipo de amenazas informáticas o software
hostil, y existen distintos tipos de malware en función de su origen y
consecuencias. Entre ellos nos encontramos con los virus, gusanos, troyanos,
keyloggers, botnets, spyware, adware, ransomware y sacareware.
Para que un software malicioso pueda completar sus objetivos, es esencial que
permanezca oculto al usuario. Por ejemplo, si un internauta experimentado detecta
un programa malicioso, terminaría el proceso y borraría el malware antes de que
éste pudiera dañar o cifrar los archivos de su dispositivo.

¿CÓMO EVITAR SER VÍCTIMA DE UN MALWARE?

El punto esencial es adoptar un comportamiento seguro y precavido. Evite


descargar e instalar programas desconocidos, no siga enlaces provenientes de
correos y mensajes para acceder a servicios bancarios, dude de cualquier email
sospechoso.

Es importante, también, que mantenga protegido el sistema con soluciones de


seguridad como: cortafuegos, filtros antispam, etc. "En este sentido, es muy
importante mantener actualizado el sistema operativo y todos los programas
instalados", explica André Goujon.

COMO CORREGIR EL PROBLEMA

La primera de ellas es el correo electrónico, pero también podemos contraer


software malicioso a través de programas para compartir archivos P2P, navegando
con versiones obsoletas de nuestro sistema operativo o el propio navegador, así
como abriendo archivos de apariencia extraña sin antes pasarles un antivirus.