Elementos filtrados por fecha: Jueves, 04 Noviembre 2021

TODO SOBRE LOS ATAQUES DE INYECCIÓN SQL: QUÉ SON Y CÓMO EVITARLOS 

Hoy en día, las infraestructuras web se han convertido en la piedra angular sobre la giran la mayoría de empresas. Sus funcionalidades abarcan los cimientos de cualquier actividad empresarial ya que sirven tanto para alojar webs utilizadas como carta de presentación, como para ofrecer servicios e información a los usuarios y clientes.

Los ciberdelincuentes son conscientes de todas estas cualidades y del potencial que tienen todos los datos almacenados. En las infraestructuras webs se acumulan millones de datos que no son accesibles para todo el mundo, está información es la que despierta el interés de los ciberdelincuentes ya que puede ser vendida en el mercado negro o “dark web”, y también puede servir para extorsionar a la empresa, desprestigiar su reputación o ser analizada y utilizada para cualquier otro objetivo que permita acabar obteniendo un beneficio.

Debido a esto, la importancia de tener una infraestructura web segura y capaz de frenar ataques es muy importante, sobre todo si lo que se ofrecen con esa infraestructura son servicios o almacenamiento de información. 

Uno de los ataques que van destinados a las infraestructuras web son los de inyección SQL, en inglés “SQL injection”. Mediante este tipo de ofensivas los ciberdelincuentes lo que pretenden es acceder a las bases de datos para extraer la información que contienen o en algunas ocasiones alterar y destruir la información que guardan en su interior. 

Las siglas SQL, vienen del inglés y significan: Structured Query Language. Se trata de un lenguaje de programación diseñado para gestionar y administrar la información que se almacena en las bases de datos relacionales, que son las que almacenan y proporcionan acceso a puntos de datos relacionados entre sí a través de tablas.

Mediante dicho lenguaje se pueden generar bases de datos utilizadas por numerosos programas y plataformas web, pero también se pueden realizar consultas a las propias bases de datos para obtener la información que estas contienen. En el caso de las páginas web, este tipo de consultas se generan a través de los datos que se introducen en los distintos formularios como pueden ser los de registro, inicio de sesión o realizaciones de pagos. 

Este tipo de ataques se lanzan comúnmente sobre formularios que se encuentran dentro de las páginas web, los cuales realizan consultas a la base de datos con el fin de obtener los resultados. Si este tipo de formularios no están configurados de manera correcta y no validan las consultas debidamente, podrían facilitar y permitir que se inyectasen comandos SQL en la base de datos. 

Para evitar este tipo de ataques, desde el Instituto Nacionales de Ciberseguridad (INCIBE) proponen distintos mecanismos:

·      Escapar los comandos. Se trata de evitar que el formulario sea capaz de procesar ciertos caracteres o códigos específicos de la sintaxis propia del lenguaje SQL. Lo que se hace es aplicar un filtro sobre los campos del formulario que impide que los caracteres o palabras no permitidos sean capaces de llegar a la base de datos en forma de consulta.

·      Verificar los datos. Con este mecanismo se pretende verificar que los datos e información que solicitan los usuarios van acorde con lo esperado. Si un usuario solicita, por ejemplo, una dirección de correo, la verificación debe constatar que el tipo de dato que se le va a facilitar es el que se espera por una dirección de correo y no otro tipo de dato, como podrían ser el número de teléfono o la contraseña.

·      Evitar la exposición. Muchas veces el problema reside en dejar accesibles a Internet bases de datos internas. Este tipo de errores puede facilitar a los ciberdelincuentes tener acceso a información confidencial y crítica de la empresa. Por ello, lo mejor es mantener estas bases de datos aisladas en la red interna de la empresa.

·      Uso de herramientas de análisis. Actualmente, existen herramientas automatizadas de análisis gracias las cuales se puede comprobar la seguridad de los formularios que se realizan en la página web, de esta manera encontrar posibles fallos de seguridad es mucho más fácil.

·    

PRÓXIMAS JORNADAS Y ACTIVIDADES PARA ESTUDIANTES EN LA URJC

La URJC presenta nuevas jornadas y actividades de gran interés para todos aquellos estudiantes que deseen participar. Los eventos serán presenciales u online, realizándose en una determinada fecha y horario. Además, varios talleres serán convalidados con diferentes créditos ECTS. Las actividades propuestas para las próximas semanas son las siguientes:

TALLER ‘EMPRENDIMIENTO EN PERIODISMO: DE IDEA AL PROYECTO’

La actividad se encuentra dirigida a todos los alumnos y alumnas de la Facultad de Ciencias de la Comunicación y tiene el objetivo de exponer las distintas ideas sobre emprendimiento en los proyectos de comunicación, y especialmente en los que se encuentren relacionados con la actividad ‘freelance’. Asimismo, el taller está organizado por la ‘XV Convocatoria de Fomento para la Organización de actividades académicas de la FCCOM en la Universidad Rey Juan Carlos’. La actividad será realizada el próximo 10 de noviembre de 18.00h a 20.00h en la sede de Madrid-Quintana. Por otro lado, las inscripciones estarán disponibles hasta el mismo día de la actividad, y para asistir es necesario rellenar el siguiente formulario.

JORNADA ‘DESDE UN PRESENTE RESPONSABLE HACIA UN FUTURO SOSTENIBLE’

En la jornada se llevarán a cabo distintos debates sobre la eficiencia energética en movilidad, digitalización o sostenibilidad. Varias empresas importantes como BMW, Renfe o Naturgy presentarán sus nuevas propuestas de fututo y sus diferentes casos de éxito actuales. Además, la Cátedra Smart E2 de la Universidad Rey Juan Carlos, mostrará su actividad realizada en el diseño de edificaciones inteligentes, junto con la ponencia de Motorsport España sobre la idea de sostenibilidad en el mundo del motor. La actividad tendrá lugar de forma presencial y gratuita el 10 de noviembre en el salón de actos del edificio Departamental II del campus de Móstoles. Por otro lado, la asistencia será reconocida con 0,25 créditos ECTS, y las inscripciones estarán disponibles hasta el 9 de noviembre. Para asistir a la actividad es necesario completar el siguiente formulario.

JORNADA DE INTRODUCCIÓN AL PROGRAMA DE DOCTORADO EN TURISMO

El objetivo de esta jornada es informar a los alumnos que estén realizando el doctorado sobre todos los aspectos que se encuentren relacionados con el título de Turismo. En la actividad se llevarán a cabo distintas actividades para desarrollar las competencias necesarias. Por otro lado, la jornada se realizará el próximo 8 de noviembre a las 16.00h en el campus localizado en Manuel Becerra, y el evento es totalmente gratuito. La actividad está dirigida a los alumnos del Programa de Doctorado Interuniversitario, y el número de plazas es limitado. Para inscribirse a la actividad es necesario completar el siguiente formulario.

JORNADAS DEL ARTE COMO ESPACIO DE ENCUENTRO: ‘MUJERES ARTISTAS ESPAÑOLAS - HISTORIA, ARTE Y SOCIEDAD’

La actividad pretende visibilizar las obras de las mujeres artistas españolas para conocer su historia y sus características artísticas y sociales. Las jornadas del ‘Arte como espacio de encuentro’ están divididas en tres eventos, donde se presentarán las diferentes religiones y mitos en la historia, las mujeres artistas españolas olvidadas, y las características de las Vanguardias y el Informalismo. Asimismo, las jornadas tendrán lugar el 17 de noviembre y el 17 de diciembre de 11.00h a 13.00h, a través de la plataforma de Microsoft Teams. Por otro lado, las inscripciones para la primera jornada estarán disponibles hasta el mismo día. La actividad, organizada por el grupo HIEART, concederá distintos créditos ECTS por asistencia. Para inscribirse al evento, es necesario completar el siguiente formulario.

V JORNADA CYTA CON LA SEGURIDAD ALIMENTARIA EN LA URJC

El evento tiene el objetivo de visibilizar el Día Nacional de la Seguridad Alimentaria, y así explicar de forma amena y coloquial los distintos aspectos importantes relacionados con este tipo de seguridad. La actividad tendrá lugar el próximo 19 de noviembre de 10.00h a 14.00h, y se llevará a cabo de forma gratuita desde la plataforma de Microsoft Teams. Por otro lado, las inscripciones se encontrarán disponibles hasta el 17 de noviembre. Para llevar a cabo la inscripción a la actividad es necesario completar el siguiente formulario.