5 consejos para mantener seguras tus bases de datos

Cuando damos consejos de privacidad y seguridad solemos hablar de contraseñas fuertes, recomendamos hacer copias de respaldo, contar con soluciones de seguridad, mantener los sistemas actualizados y evitar las configuraciones por defecto. En general, suelen ser los cuidados básicos y esenciales que cualquier administrador de infraestructura debe considerar. Sin embargo, según el sistema que esté queriendo proteger, hay algunas cuestiones adicionales a tener en cuenta.

Teniendo en cuenta la alarmante frecuencia con la que llegan a los titulares los robos y filtraciones de información, presentamos cinco consejos clave para mantener bases de datos seguras, especialmente cuando están alojadas en la nube o en servicios tercerizados.

#1 Limita el acceso a la base de datos

Resulta que este viejo refrán es ideal para aplicar a la seguridad de la información: cuando muchas personas tienen injerencia en un tema, el resultado no puede ser positivo.“Muchas manos en un plato hacen mucho garabato”, repetía mi abuela cada vez que todos los nietos queríamos ayudarla a cocinar.

Algo similar ocurre con los accesos a las bases de datos: cuanto más acotados los permisos y privilegios, mejor.

Un riguroso control de acceso es el primer paso para mantener a los atacantes lejos de tu información. Además de los permisos básicos como en cualquier sistema, en este caso también se debe considerar:

• Limitar el acceso a los datos sensibles tanto por parte de los usuarios como de los procedimientos, es decir, que solo determinados usuarios y procedimientos estén autorizados a realizar consultas en información sensible.
• Limitar el uso de los procedimientos importantes solo a usuarios específicos.
• Siempre que sea posible, evitar las concurrencias y acceso fuera del horario laboral o habitual.

Por otro lado, resulta una buena práctica deshabilitar todos los servicios y procedimientos que no se utilicen, para evitar que sean atacados. Además, siempre que sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente desde internet, para evitar que la información quede expuesta a atacantes remotos.

#2 Identifica los datos sensibles y los datos críticos

El primer paso, antes de pensar en las técnicas y herramientas de protección, es analizar e identificar cuál es la información importante que se debe proteger. Para esto, es importante entender la lógica y arquitectura de la base de datos, para poder determinar con facilidad dónde y cómo se almacenan los datos sensibles.

No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no tiene sentido gastar tiempo y recursos en esta información.

También es recomendable llevar un inventario de las bases de datos de la compañía, teniendo en cuenta todas las áreas. La única forma de tener una administración prolija y no perder información es tener conocimiento y registro de todas las instancias y bases de datos de la compañía.

Además, el inventario resulta especialmente útil al momento de hacer un respaldo de la información, para evitar que datos críticos queden fuera del esquema.

#3 Cifra la información

Una vez identificados los datos sensibles y la información confidencial, una buena práctica es utilizar algoritmos robustos para cifrar estos datos.

Cuando un atacante explota una vulnerabilidad y logra tener acceso a un servidor o un sistema, lo primero que intentará robar son las bases de datos. Son un tesoro codiciado, ya que normalmente incluyen muchos gigas de valiosa información; la mejor manera de preservarla es volverla ilegible para cualquier persona que llegue a ella sin autorización.

#4 Anonimiza las bases de datos de que no son productivas

Muchas empresas invierten tiempo y recursos en proteger sus bases de datos productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas, simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes mucho menos controlados, exponiendo de esta manera toda la información sensible.

El enmascaramiento o anonimización es un proceso mediante el cual se crea una versión similar, manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los valores respetando el formato.

Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos, mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe garantizar que el proceso sea irreversible; es decir, que no se pueda hacer ingeniería reversa para volver a obtener los datos originales.

Esta técnica es especialmente utilizada (y recomendada) para las bases de datos que forman parte de entornos de pruebas y desarrollo, ya que permite mantener la estructura lógica de los datos mientras garantiza que la información sensible del cliente no está disponible fuera del entorno de producción.

#5 Monitorea la actividad de tu base de datos

Estar atento, auditar y registrar las acciones y movimientos sobre los datos permite saber quién, qué, cuándo y cómo ha manipulado la información. Tener un historial completo de las transacciones permite comprender patrones en el acceso y modificación de los datos y así evitar fugas de información, controlar cambios fraudulentos y detectar acciones sospechosas en tiempo real.

Recuerda seguir estos consejos y ser muy precavido a la hora de administrar y proteger tus bases de datos. La información que estas alojan es muy valiosa para la empresa y un botín codiciado para los atacantes, por lo que sin dudas merece toda tu atención.

La mala gestión de los datos por parte de las empresas y sus consecuencias

La noticia sobre la exposición de datos privados de más de 20 millones de personas en Ecuador a raíz de una base de datos mal configurada generó revuelo en el país, pero debería servir a muchas empresas y organizaciones para reflexionar acerca de qué posibilidades existen de que algo semejante pueda ocurrirles y qué aspectos de seguridad deberían mejorar para evitar un escenario similar.

En el caso de Novaestrat –empresa propietaria del servidor que expuso la información-, tengamos presente que el incidente de seguridad que afectó aparentemente a casi la totalidad de la población de Ecuador, se produjo como consecuencia de la mala configuración de una base de datos. Es decir, un error humano.  Es importante que las empresa y organización no solo dediquen tiempo y recursos a los aspectos tecnológicos de la seguridad, como pueden ser las soluciones de cifrado o las soluciones de prevención de fugas de información, sino también a la elaboración de procesos y políticas de seguridad que incluyan los debidos controles y contribuyan a que la gestión de la seguridad sea la adecuada.

Si bien cifras del ESET Security Report 2019 comprueban que el 61% de las empresas en América Latina manifestó que sus tres principales preocupaciones de seguridad son: el acceso indebido, el robo de información y la privacidad de la información; en países como Ecuador y Perú, menos de la mitad de las empresas cuenta con una política de seguridad.

En la edición 2017 de este mismo informe, 1 de cada 10 empresas de Latinoamérica afirmó haber sufrido una brecha o fuga de información, y en ese entonces apenas el 30% de las organizaciones dijo contar con un plan de continuidad del negocio o de respuesta a incidente, algo que permitía ver que era muy factible que este tipo de incidentes siguiera ocurriendo, predijo hace dos años el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez cuando explicó las consecuencias de una fuga de datos.

Si bien para analizar por qué siguen surgiendo nuevos casos de exposición y/o brecha de datos es necesario considerar múltiples factores, sin dudas que el responsable de un alto porcentaje de las brechas que se dan anualmente es el error humano es. En este sentido, la exposición de datos como consecuencia de la mala configuración de una base de datos no es una novedad. En 2018 solamente, publicamos al menos tres casos de exposición de datos privados que involucraron a millones de individuos en distintas partes del mundo como consecuencia de bases de datos mal configuradas, uno de ellos en Brasil y otro en México.

Es importante recordar que una brecha de información puede provocar graves consecuencias para la compañía que sufre el incidente, además de las que afectan a los usuarios. Una de estas consecuencias es de índole económica, ya que muchas empresas están obligadas a resarcir económicamente a los usuarios cuya información se filtró o deberán pagar multas según la legislación local. Asimismo, puede suceder que la información que se filtra afecte a la competitividad de la empresa o que interrumpa el negocio alterando la dinámica productiva, lo cual también generaría consecuencias económicas.

Según datos de la edición 2019 del reporte global “El costo de las brechas de datos” que realiza IBM junto al Instituto Ponemon, el costo promedio de una brecha de datos en países como Brasil es de $1.35 millones de dólares, siendo el países con el costo promedio más bajo en el estudio, mientras que en Estados Unidos esta cifra asciende a $8.19 millones. Además, el costo promedio por cada registro a nivel global es de $150 dólares y el tiempo promedio estimado para identificar y contener una brecha de datos es de 279 días.

El daño a la imagen y a la confianza que se tienen de la marca puede tener consecuencias importantes. Facebook, por ejemplo, tras el caso de Cambridge Analytica en 2018 perdió en proporciones enormes la confianza que tenían los usuarios en la red social y le significó un daño importante a la imagen que se tenía de la compañía.

Está claro que el incidente que acaba de ocurrir esta semana en Ecuador pone en evidencia la necesidad de seguir trabajando en concientización y educación, tanto con las empresas como con los usuarios. 

Función “Eliminar para todos” de WhatsApp no elimina archivos enviados a usuarios de iPhone

La opción que ofrece WhatsApp y que permite eliminar mensajes enviados para que el destinatario no pueda verlos no funciona como muchos esperan. Al parecer, los archivos multimedia (fotos, videos, etc) que son enviados a usuarios de iPhone que tengan la configuración por defecto de la app no son eliminados del dispositivo cuando quien envía el mensaje decide borrarlos para que el destinatario no los vea, lo cual genera una falsa sensación de privacidad.

En este sentido, a pesar de que la persona que envía el mensaje quiera eliminarlo y la aplicación despliegue el mensaje “el mensaje ha sido eliminado”, el mismo aún está disponible en el dispositivo iOS al cual se envió, explica en un artículo TheHackerNews.

Este inconveniente no está presente en dispositivos Android, donde la función de volver para atrás y eliminar un archivo que se envió funciona correctamente y el contenido se eliminará del dispositivo del remitente o de los remitentes; en caso de ser enviado a un grupo.

Según publicó el medio, el hallazgo de este problema de privacidad es obra del consultor en seguridad Shitesh Sachan, quien explicó que la funcionalidad de WhatsApp para iOS no ha sido diseñada para eliminar mensajes multimedia recibidos que fueron guardados en Camera Roll de los dispositivos iPhone, mientras que en dispositivos Android los archivos enviados sí se eliminarán desde la galería en la cual son guardados por defecto.

En su configuración por defecto, la app de mensajería automáticamente guarda todas las imágenes y videos que se reciben a través de WhatsApp en Camera Roll de los dispositivos iPhone y la galería de imágenes de Android; una opción que puede desactivarse desde la configuración de WhatsApp.

Una vez que la compañía recibió el reporte por parte de Sachan acerca de este inconveniente, la misma aseguró que no realizará cambios para intentar resolverlo, alegando que la función “Eliminar para todos” fue pensada para eliminar mensajes dentro de WhatsApp y que no ofrece garantías de que un archivo será eliminado de manera permanente, aunque dijo que en el futuro podría hacer cambios en esta funcionalidad y en cómo está implementada, publicó el medio.