FORO Hacking database y SQL-Injection

1. Publicar un mensaje donde socialice con sus compañeros la respuesta a las

preguntas:
¿Qué es ser un hacker ético?
En Colombia, en los últimos años se han presentado situaciones muy
renombradas relacionadas con el Hacking. ¿Qué opina al respecto?
¿Qué es SQL-Injection?
¿Qué mecanismos pueden establecerse para prevenir la inyección de SQL?

2. Revisar los mensajes de al menos dos de sus compañeros y opinar

complementando las respuestas.

Buenas compañeros,

Podemos empezar por decir que,

El hacker ético es quien permite conocer qué vulnerabilidades presentan los sistemas de
una empresa, qué tan críticas son estas vulnerabilidades, y cómo pueden explotarse. Es
un experto en computación y redes que cuenta con el consentimiento de una empresa
para realizar pruebas de seguridad que simulan ataques reales, permitiendo encontrar
vulnerabilidades que un hacker malicioso podría eventualmente hallar. Es necesaria su
presencia en la empresa porque protege software y redes, también porque con el uso del
Internet en las empresas que manejan capturas de datos o transacciones se necesitan
hacer pruebas de penetración, los hackers maliciosos están siempre acechando porque
el mundo se está digitalizando cada día más. Los costos que puede generar un entorno
informático afectado por sujetos malintencionados, van más allá del impacto financiero, y
pueden involucrar destrucción y pérdida de datos, y afectación en la reputación de la
empresa.

En Colombia, según la ley 1273 de 2009, ingresar a un sitio o a una base de datos de
internet sin autorización es un delito e involucra una pena de 48 a 96 meses de cárcel y
una multa de cien a mil salarios mínimos legales vigentes (entre 66 y 660 millones de
pesos), castigando también a quiénes obstaculicen el funcionamiento de un sitio web.

Pero aquí, la justica no funciona como se debería, y cuando se presentan casos de

hackeo, las condenas son bajas o les dan el beneficio de casa por cárcel. Hay jueces que
archivan investigaciones que pueden darles hasta más tiempo de cárcel o simplemente
los implicados firman preacuerdos con la Fiscalía.

Se tiene varios casos, entre los que se encuentra el de Sepúlveda y sus hombres, quien
chuzó correos electrónicos de líderes políticos para obtener información privilegiada y
reservada de los negociadores de las Farc en La Habana y así crear una campaña de
desprestigio contra el proceso de paz. Andrés Sepúlveda fue condenado a 10 años de
cárcel por los delitos de violación ilícita de comunicaciones, uso de software malicioso,
espionaje, concierto para delinquir agravado y violación de datos personales Otro de sus
hombres, de uno de los pocos condenados por las interceptaciones, fue condenado en
2014 a tres años y cuatro meses de prisión por los delitos de acceso abusivo a sistema
informático y uso de software malicioso. Desde el 2015 tenía el beneficio de libertad
condicional.

Tenemos Anonymous que se ha encargado de bloquear o manipular y alterar páginas

web de instituciones de gobiernos y de entidades privadas. Estos sitios de gobiernos son
blancos predilectos y acostumbrados de hackers; Tenemos la Registraduría Nacional del
Estado Civil que ha sido víctimas en temporadas de elecciones. También se puede decir
que no todos los casos de hacking son denunciados y que la Policía recibe a diario
denuncias por estafas y hurtos cometidos mediante maniobras en internet. Por eso en
internet nadie está a salvo de los hackers, pero si se usa el conocimiento informático para
beneficio social se pueden obtener buenos resultados.

Otro aspecto a socializar es el referente a inyección SQL

SQL Injection es una vulnerabilidad de seguridad web que permite a un atacante interferir
con las consultas que una aplicación realiza a su base de datos. Se ejecutan sentencias
SQL maliciosas Permite a un atacante:

 Ver datos que normalmente no puede recuperar (datos pertenecientes a otros

usuarios, o cualquier otro dato al que la propia aplicación pueda acceder)
 Modificar o eliminar datos, generando inconvenientes
 En algunas situaciones, comprometer el servidor subyacente u otra infraestructura
back-end, o realizar un ataque de denegación de servicio

Esta vulnerabilidad es una de las más antiguas, más prevalentes y más peligrosas de las
vulnerabilidades de las aplicaciones web. Las inyecciones SQL están más vigentes que
nunca, ya que ahora existen programas de inyección SQL automatizada, lo que significa
que los hackers pueden atacar y robar con más facilidad que nunca.

Si el atacante es bueno, no es posible detectar un ataque de inyección SQL hasta que sus
datos ya estén publicados o se haya cometido el robo. La eliminación de una inyección
SQL es responsabilidad de los sitios o aplicaciones web, por lo que los usuarios deben
estar atentos a las noticias para saber si una empresa anuncia que su seguridad se ha
visto comprometida, para poder cambiar su información de inicio de sesión antes de que
su cuenta sea hackeada.

A continuación podemos mencionar algunos mecanismos para evitar sufrir el ataque por
inyección de código SQL:

 Parametrizar las consultas SQL: Sentencias preparadas. Especificar de esta

manera el tipo que estamos esperando para cada parámetro.
 Usar una cuenta con permisos restringidos a la base de datos: Tener los permisos
necesarios para poder acceder y/o modificar datos y que sea lo suficiente
restrictiva.
 No mostrar al usuario la información de error generada por la base de datos
 Rechazar las peticiones con caracteres sospechosos
Ya la mayor parte de los sitios y aplicaciones web han tomado las medidas necesarias
para proteger a los usuarios. En caso de proteger el equipo, se manejan los antivirus y así
se puede navegar con tranquilidad.