La Generalitat de Catalunya ha sufrido un fallo de ciberseguridad en al menos tres de sus páginas webs, tal y como adelantó este jueves VozPópuli y confirmó el Govern catalán a 20 minutos.
Según su información, la vulnerabilidad fue detectada la semana pasada y ha dejado expuestos hasta 5.000 correos electrónicos y contraseñas de usuarios que se habían dado de alta en aplicaciones del Govern. El tiempo que esta información ha estado al descubierto es indeterminado, pero podría haber sido durante meses e incluso años.
El servicio de tecnologías de la información de la Generalitat ha abierto una investigación para descubrir si se ha producido un robo de datos y ya se han tomado medidas para corregir el fallo de ciberseguridad.
"Se ha procedido a despublicar todas las webs afectadas durante el jueves 19 de noviembre con el fin de corregir las vulnerabilidades. Ninguna de las webs reportadas figura como un sistema crítico y, por lo tanto, no contenían datos críticos o sensibles (datos personales, médicos, etcétera). Se ha abierto una investigación para determinar si ha habido o no una explotación de dicha vulnerabilidad que pudiera haber provocado una explotación de dichos datos por terceros. A fecha de hoy no podemos concluir si la existencia de dicha vulnerabilidad ha comportado un incidente de ciberseguridad o no", han informado desde la Generalitat de Catalunya a VozPópuli.
Además, este medio indica que las páginas webs de la Generalitat que se han visto afectadas por estas vulnerabilidades han sido el portal del Departamento de Infraestructruras del Govern (http://login.regsega.cat/), (de Infraestructuras), el de servicios territoriales del Departamento de Educación catalán (https://aplicacions.ensenyament.gencat.cat/e13_bor/editLoginGeco.do) y la web del Departamento de Cultura (http://culturaeducacio.gencat.cat/).
La Generalitat ha sufrido una vulnerabilidad SQL Injection
El fallo de seguridad informática que ha sufrido la Generalitat es de tipo SQL Injection. Estos ataques se basan en vulnerabilidades existentes en páginas o aplicaciones web que permiten a los ciberdelincuentes "inyectar" código de lenguaje de consulta estructurado (SQL) de forma maliciosa y malintencionada dentro del código SQL programado para la manipulación de bases de datos.
"De esta forma todos los datos almacenados estarían en peligro. La finalidad de este ataque es poder modificar del comportamiento de nuestras consultas a través de parámetros no deseados, pudiendo así falsificar identidades, obtener y divulgar información de la base de datos (contraseñas, correos, información relevante, entre otros), borrar la base de datos, cambiar el nombre a las tablas, anular transacciones, el atacante puede convertirse en administrador de la misma", explica el portal Open Webinars.
Según ha señalado Luis Corrons, Security Evangelist de la compañía de ciberseguridad Avast, los ataques de inyección SQL "son bastante comunes y han sido utilizados en muchos ataques a lo largo de los años. Empresas como Sony, Yahoo o LinkedIn han sido víctimas de este tipo de ataques".
"Un ataque de inyección SQL puede sólo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos. Lo bueno del caso de la Generalitat es que fue un investigador de seguridad quien encontró el problema e informó sobre el asunto".
¿Dónde van a parar los datos robados?
Tal y como señala VozPópuli, los datos robados de contraseñas o correos electrónicos suelen ir a parar a los "mercados negros" de internet, donde se ponen a la venta. "En función de la sensibilidad de los datos robados, estos tienen un precio u otro. Algunos de los más cotizados son los relacionados con información bancaria o de tarjetas de crédito", agrega.
Según el INCIBE (Instituto Nacional de Ciberseguridad), los datos robados "se pueden vender en el mercado negro como parte de enormes bases de datos de correos electrónicos (previamente verificados) para el envío de correos no deseados, el spam".
Cómo evitar los ataques de inyección SQL
Corrons también ha señalado que para prevenir este tipo de ataques no solo hay que tomar medidas de seguridad al configurar y programar bases de datos. Para él, también es esencial realizar auditorías periódicas de la seguridad de los sistemas informáticos (incluidas páginas web y bases de datos) ya que así "se pueden encontrar –y arreglar– los focos de fallos y debilidades antes de que se produzca un ataque real".