Contraseñas y direcciones de correo electrónico de al menos 134.004 usuarios dejados al descubierto por un fallo de ciberseguridad que el Hospital Quirón sufrió en su página web. Mediante su página, Quirón comercializa sus servicios de medicina online, pruebas de coronavirus, análisis genéticos, chequeos médicos y servicios de cirugía estética. Afortunadamente, la compañía ha solucionado el problema y no hay constancia de que se haya robado dato alguno.
Este tipo de fallos permite a terceros el acceso a datos de usuarios, lo que no significa necesariamente el robo de información.
El fallo de seguridad permitía los ataques de tipo SQL Injection. SQL (Structured Query Language), que en castellano sería “lenguaje de consulta estructurado”, es un lenguaje de programación diseñado para acceder a información almacenada en bases de datos (BBDD). Para robar información accediendo a las bases de datos, se inyecta un código malicioso en programas informáticos a través de SQL. Si el programa atacado no ha sido construido con garantías de seguridad o el sistema operativo no ha sido debidamente actualizado, hay altas probabilidades de que el ataque triunfe.
En el caso de Quirón, el fallo ha sido descubierto por el experto en ciberseguridad y bug hunter -cazador de bugs-Touseef Gul.
Actualmente, se ha comunicado desde Quirón que se trata de “un problema menor que ya ha sido solucionado”. El fallo de ciberseguridad fue comunicado en el mes de mayo y se arregló poco después.
El ataque SQL explicado:
Un ataque de SQL Injection consiste en obtener información privada de una BBDD que normalmente sólo debería estar disponible para usuarios con privilegios (ej.: Administradores de la BBDD). Dicha información puede ser utilizada para conseguir acceso privilegiado a aplicaciones o para el robo de información confidencial. Estos ataques se producen normalmente aprovechando una vulnerabilidad en una aplicación pública (ej.: Formulario web) que, a su vez, dispone de acceso a la BBDD. Las vulnerabilidades pueden provenir de una aplicación que no implemente controles de seguridad para este tipo de ataques. Por ejemplo, que permita introducir sentencias en lenguaje SQL en un campo de texto destinado a escribir el nombre de un cliente, o bien una vulnerabilidad existente en alguno de los componentes utilizados, como puede ser un servidor web, una librería, etcétera.
Las claves para disminuir los riesgos de sufrir este tipo de ciberataques serían: instalar soluciones de seguridad específicas para las amenazas de tipo SQL Injection o bien, actualizar los sistemas operativos.
Fuente: https://www.vozpopuli.com/economia_y_finanzas/quiron-ciberseguridad.html
#ciberseguridad #SQL #soluciones
Comentarios recientes