Cómo proteger la base de datos de su sitio web de los piratas informáticos

Una investigación reciente de NordPass y un hacker de sombrero blanco encontró más de 9000 bases de datos inseguras en línea que contenían más de 10 000 millones de entradas individuales.

Imagen: iStock/Vladimir_Timofeev

La base de datos del sitio web contiene una gran cantidad de información confidencial, incluidos nombres de usuario, direcciones de correo electrónico, números de teléfono y contraseñas (aunque sean contraseñas encriptadas… con suerte). Estas bases de datos son un objetivo atractivo para los ciberdelincuentes, que pueden piratearlas para robar dicha información y vendérsela fácilmente a los delincuentes en la dark web. Esta es la razón por la que las bases de datos de los sitios web deben ser lo más seguras y protegidas posible. Pero eso no tiene que ser la realidad.

Mirar: Zero Trust Security: una hoja de trucos (PDF gratuito) (República tecnológica)

Informes de seguridad de lectura obligada

Un informe publicado el miércoles por el administrador de contraseñas NordPass encontró 9.517 bases de datos inseguras que contenían más de 10.400 millones de entradas de datos para correos electrónicos, contraseñas y números de teléfono.

La investigación fue realizada por NordPass con la ayuda de un hacker de sombrero blanco que usó ciertas herramientas en línea para escanear bases de datos expuestas y desprotegidas entre junio de 2023 y junio de 2023. Una vez que se descubren dichas bases de datos, un pirata informático puede iniciar sesión en ellas para ver qué tipo de datos se pueden encontrar y luego compartir sus hallazgos con NordPass.

En 20 países, China encabeza la lista con más de 3700 bases de datos públicas y más de 2600 millones de entradas. Estados Unidos ocupó el segundo lugar con 2703 bases de datos desprotegidas y casi 2400 millones de entradas en línea. En tercer lugar está India, con 520 bases de datos inseguras y 4.800 millones de entradas personales.

Imagen: NordPass

Con una base de datos tan desprotegida, los ciberdelincuentes ni siquiera necesitan usar habilidades de piratería completas. Casi cualquier persona puede acceder a estas bases de datos a través de sitios web y herramientas disponibles públicamente. Usando un motor de búsqueda como Censys o Shodan, alguien podría escanear la web en busca de bases de datos abiertas. Los piratas informáticos contratados por NordPass escanearon los repositorios de Elasticsearch y mongoDB en busca de bases de datos expuestas y desprotegidas. Acceder a la base de datos será una tarea sencilla sin que el administrador de la base de datos deje de cambiar el inicio de sesión predeterminado.

«De hecho, con el equipo adecuado, usted mismo puede escanear fácilmente todo Internet en 40 minutos», dijo Chad Hammond, experto en seguridad de NordPass, en un comunicado de prensa.

Según NordPass, algunas de las bases de datos accesibles y los datos relacionados encontrados pueden existir solo con fines de prueba, en cuyo caso no serían de utilidad para los ciberdelincuentes. Pero suponiendo que al menos algunos de los datos provengan de clientes reales u otros usuarios, exponerlos sería perjudicial.

Citando un ejemplo del mundo real de una importante fuga de base de datos, NordPass señaló una instancia a principios de 2023 en la que millones de registros de Facebook quedaron expuestos en servidores públicos en la nube de Amazon.

En otro caso en 2023, una base de datos desprotegida almacenada en servidores en la nube de Microsoft expuso la información personal de 80 millones de hogares estadounidenses. Los datos filtrados incluían direcciones, ingresos y estado civil.

En un tercer incidente, una clínica de rehabilitación de EE. UU. sufrió una filtración de datos que expuso los datos personales de casi 150 000 pacientes. En esta brecha, los datos no se obtuvieron mediante ningún método sofisticado de piratería, sino que solo esperaban ser filtrados en una base de datos pública.

Solo este mes, las bases de datos inseguras fueron atacadas con un ataque de «miau» que borró datos de miles de bases de datos. En este tipo de incidentes, los atacantes suelen exigir un rescate, pero no Meow.

«Este tipo de ataques son muy frecuentes», dijo Hammond. «Por lo general, los atacantes exigen un rescate. Este ataque parece ser diferente, solo porque los piratas informáticos eliminaron los datos en lugar de exigir un rescate. Si bien algunas de las bases de datos afectadas contenían solo datos de prueba, el ataque Meow apuntó a algunas víctimas avanzadas. Esto incluye una de las plataformas de pago más grandes de África”.

Para ayudar a las organizaciones a proteger y asegurar mejor las bases de datos de sus sitios web, Hammond tiene varias ideas.

En primer lugar, la seguridad y protección de los datos debe ser una prioridad máxima. «Cada empresa, entidad o desarrollador debe asegurarse de nunca exponer ninguna base de datos, porque obviamente es una gran amenaza para los datos de los usuarios», dijo Hammond.

Los datos pueden estar en riesgo tanto en tránsito como en reposo, por lo que se requiere protección en ambos estados. Si bien hay diferentes métodos de seguridad disponibles, el cifrado es un método confiable y popular para proteger los datos en tránsito y en reposo. Hammond enfatizó que todos los datos deben cifrarse utilizando algoritmos confiables y sólidos, no métodos personalizados o aleatorios. Los administradores también deben elegir una longitud de clave de seguridad adecuada para proteger sus sistemas de ataques cibernéticos.

La gestión de identidades es otro factor importante, ya que garantiza que solo las personas adecuadas de la empresa puedan acceder a determinados recursos, como las bases de datos. Además, las empresas deben tener un equipo de seguridad responsable de la detección y gestión de vulnerabilidades, dijo Hammond.

«La protección adecuada debe incluir el cifrado de datos en reposo, el cifrado de datos por cable (en movimiento), la gestión de identidades y la gestión de vulnerabilidades», explicó Hammond.