Estudio de Ciberseguridad: Ataques SQL y Entornos Industriales

Guía de Estudio

Este material cubre conceptos fundamentales de seguridad informática, centrándose

en los ataques de inyección, con especial énfasis en la inyección SQL. También
explora la gestión de riesgos en entornos de TI y OT, la convergencia de ambos y la
importancia de la madurez en ciberseguridad.

Secciones Clave:

Principios Fundamentales de Seguridad Informática:Confidencialidad: Garantizar que

la información solo sea accesible por personal autorizado.
Integridad: Asegurar que la información sea precisa y no haya sido modificada sin
autorización.
Disponibilidad: Asegurar que los sistemas y la información estén accesibles cuando
se necesiten.
Tipos de Ataques de Inyección:Inyección de Código: Introducir código arbitrario en
la aplicación para ser ejecutado por el intérprete (ej. PHP, JS, Python).
Inyección de Comandos: Corromper comandos enviados al sistema operativo a través de
llamadas del aplicativo (ej. Shell Exec).
Inyección SQL: Introducir código malicioso en el motor de la base de datos a través
de puntos de entrada de la aplicación.
Vulnerabilidades Comunes que Facilitan Ataques de Inyección:Falta de validación de
entrada de datos del usuario (tipo y tamaño).
Inclusión directa de cadenas de texto no confiables en consultas a bases de datos o
llamadas al sistema operativo.
Uso de funciones que llaman a subshells con datos provenientes de usuarios.
Mal manejo de errores, exponiendo información sensible (ej. stack traces).
Ataques de Inyección SQL en Detalle:Cómo se construye una query vulnerable
(concatenación directa de entrada del usuario).
Uso de caracteres especiales (comillas, numeral, doble guion) para modificar el
comportamiento de la query.
Ejemplos de ataques para acceder a todos los usuarios (OR 1=1), comentar código
(--, #), o inyectar sentencias adicionales (LIMIT, OFFSET).
Impacto: Acceso no autorizado, extracción de datos sensibles (dumping de bases de
datos), modificación de información, denegación de servicio (dropear tablas).
Mitigación: Validación de entrada, uso de consultas parametrizadas (ej. PDO en
PHP), evitar concatenación directa.
Actores de Amenaza y sus Motivaciones:Estados (geopolítica), cibercriminales
(lucro), activistas (ideología, reclamo), terroristas (ideología, religión),
amaters (diversión, reconocimiento), empleados/contratistas (descontento).
Gestión de Riesgos en Ciberseguridad:Contextualización del riesgo (actor de
amenaza, amenaza, vulnerabilidad, impacto).
Flujo conceptual del riesgo (existencia de vulnerabilidad, riesgo actual,
respuesta, aceptación, transferencia).
Riesgo inherente vs. riesgo residual (aplicación de controles).
Gestión proactiva (riesgos) vs. gestión reactiva (incidentes).
Importancia de planes de respuesta a incidentes, gestión de crisis, BCP (Business
Continuity Plan) y DRP (Disaster Recovery Plan) para reducir tiempos de impacto.
Convergencia IT (Information Technology) y OT (Operational Technology):Diferencias
de enfoque: IT prioriza confidencialidad, integridad, disponibilidad; OT prioriza
disponibilidad, integridad, confidencialidad (Safety first).
Consecuencias en OT: Pérdida de vidas, pérdida de material/ambiente, pérdida
económica, pérdida de imagen/reputación.
Marcos normativos (ISO 27001, NIST Framework, ISA 62443) para la convergencia.
Niveles de Purdue (niveles de segmentación en entornos OT).
Capacidades del Framework NIST: Identificar, Proteger, Detectar, Responder,
Recuperar, Gobernar.
Desafíos en la convergencia: Inventario de activos actualizado (especialmente con
la nube y IoT), automatización de controles en OT.
Cultura de Ciberseguridad:Importancia del factor humano (personas, procesos,
tecnologías).
Concientización (Awareness) como clave.
Control por Oposición:Función de un área de ciberseguridad independiente para
verificar y controlar las operaciones de TI y OT, priorizando la seguridad.
Distinción de la auditoría (control continuo vs. foto del momento).
Niveles de Madurez en Ciberseguridad:Escala de madurez (inicial, reactivo,
proactivo, medido, automatizado).
Preguntas de Corta Respuesta (10 preguntas, 2-3 oraciones cada una):

¿Cuáles son las tres vertientes fundamentales de la seguridad informática

mencionadas en la Clase 2?
Define brevemente qué es un ataque de inyección de código.
¿En qué consiste un ataque de inyección de comandos y a qué nivel del stack web
impacta?
Explica la diferencia entre un código arbitrario y un código malicioso según la
explicación de Demian.
¿Por qué la falta de validación de entrada de datos del usuario es una
vulnerabilidad clave para los ataques de inyección?
En el contexto de inyección SQL, ¿cómo puede un atacante utilizar una comilla para
modificar la consulta original?
¿Qué propósito tiene el uso de caracteres como el doble guion (--) o el numeral (#)
al final de una cadena inyectada en SQL?
Según Leandro de la Colina, ¿cuál es la principal diferencia en la priorización de
la triada de seguridad (Confidencialidad, Integridad, Disponibilidad) entre IT y
OT?
¿Por qué es fundamental un inventario de activos actualizado en un entorno de
ciberseguridad, especialmente en la convergencia IT/OT?
Describe brevemente la función de un control por oposición en una estructura de
ciberseguridad organizacional.
Clave de Respuestas (Preguntas de Corta Respuesta):

Las tres vertientes fundamentales de la seguridad informática son Confidencialidad,

Integridad y Disponibilidad. Estas propiedades buscan asegurar que la información
sea accesible solo para personal autorizado, que sea precisa y no modificada sin
permiso, y que los sistemas estén operativos cuando se requieran.
Un ataque de inyección de código implica introducir fragmentos de código arbitrario
a través de la entrada de una aplicación. Este código es ejecutado por el
intérprete del lenguaje de programación utilizado por la aplicación (como PHP o
Python), permitiendo al atacante realizar acciones no deseadas.
Un ataque de inyección de comandos ocurre cuando una aplicación interactúa con el
sistema operativo y un atacante logra corromper los comandos enviados. Esto permite
la ejecución de acciones a nivel del sistema operativo subyacente, impactando en
este nivel del stack web.
Un código arbitrario es un fragmento de código que no forma parte del
funcionamiento normal o contemplado de una aplicación. Un código malicioso es un
tipo de código arbitrario que está específicamente diseñado para causar daño o
realizar acciones perjudiciales.
La falta de validación de entrada permite que una aplicación confíe ciegamente en
los datos proporcionados por el usuario sin verificar su tipo, tamaño o formato.
Esto abre la puerta a que un atacante introduzca datos maliciosos o comandos que la
aplicación procesará sin sospechar.
Un atacante puede usar una comilla (simple o doble, dependiendo del contexto) para
cerrar prematuramente una cadena de texto que la aplicación está construyendo para
una consulta SQL. Esto hace que el motor de la base de datos interprete el texto
posterior a la comilla como parte del código SQL a ejecutar, en lugar de seguir
considerándolo parte del dato.
El doble guion (--) o el numeral (#) se utilizan al final de una cadena inyectada
en SQL para comentar o anular el resto de la consulta original después del código
inyectado. Esto evita errores de sintaxis causados por comillas o paréntesis
sobrantes y asegura que solo se ejecute la parte maliciosa deseada.
Según Leandro de la Colina, IT prioriza la triada como Confidencialidad >
Integridad > Disponibilidad, ya que una interrupción del servicio a menudo tiene
consecuencias manejables. En contraste, OT prioriza Disponibilidad > Integridad >
Confidencialidad, porque la interrupción de procesos industriales puede llevar a
pérdidas graves, incluyendo seguridad física y ambiental ("Safety first").
Un inventario de activos actualizado es crucial porque no se puede proteger lo que
no se conoce. En la convergencia IT/OT, donde hay una mezcla de tecnologías
tradicionales, nube, IoT y sistemas legados, mantener un registro preciso de todos
los activos y su estado es esencial para identificar vulnerabilidades y aplicar
controles de seguridad efectivos.
Un control por oposición es un mecanismo donde un área de ciberseguridad, ideamente
independiente, supervisa y verifica las operaciones de TI y OT para asegurar que la
seguridad tenga prioridad. A diferencia de una auditoría que es una "foto" de un
momento, el control por oposición busca ser un control continuo.
Posibles Preguntas de Formato Ensayo:

Analice en profundidad los tres pilares fundamentales de la seguridad informática

(Confidencialidad, Integridad, Disponibilidad) en el contexto de los ataques de
inyección SQL. Explique cómo un ataque exitoso de inyección SQL puede impactar cada
uno de estos pilares, utilizando ejemplos específicos de las fuentes
proporcionadas.
Compare y contraste los diferentes tipos de ataques de inyección (Código, Comando,
SQL) discutidos en el material. Describa el mecanismo de cada uno, los niveles del
stack tecnológico que afectan, las vulnerabilidades comunes que los facilitan y el
impacto potencial que pueden tener en un sistema, basándose en los ejemplos y
explicaciones de Demian.
Discuta el concepto de gestión de riesgos en ciberseguridad como se presenta en las
fuentes, diferenciando entre la gestión proactiva y reactiva. Explique el flujo
conceptual del riesgo y la importancia de planes como el BCP y DRP en la mitigación
del impacto de un incidente, relacionándolo con la necesidad de evidencia para
justificar inversiones en seguridad.
Explore los desafíos y consideraciones clave en la convergencia de los entornos IT
(Tecnologías de la Información) y OT (Tecnologías de la Operación), según la
perspectiva de Leandro de la Colina. Detalle las diferencias fundamentales en las
prioridades de seguridad, las consecuencias de los incidentes en cada entorno y
cómo marcos normativos y las capacidades del Framework NIST buscan abordar esta
convergencia.
Evalúe la importancia del factor humano y la cultura de ciberseguridad (Awareness)
en la prevención de ataques, particularmente aquellos que explotan vulnerabilidades
comunes como la falta de validación de entrada. Relacione este aspecto con la
función del control por oposición y cómo una organización puede trabajar para
mejorar su madurez en ciberseguridad, abordando tanto los aspectos técnicos como
los organizacionales y culturales.
Glosario de Términos Clave:

Amenaza: Un peligro potencial que podría explotar una vulnerabilidad para causar
daño a un activo o sistema.
Ataque de Inyección: Un tipo de ataque donde un atacante introduce datos maliciosos
en un aplicativo que son interpretados como parte de un comando o consulta,
alterando el comportamiento deseado.
Ataque de Inyección de Código: Inyección de fragmentos de código que son ejecutados
por el intérprete de la aplicación.
Ataque de Inyección de Comandos: Inyección de datos que corrompen comandos enviados
al sistema operativo a través de la aplicación.
Ataque de Inyección SQL (SQLi): Inyección de código malicioso en consultas
dirigidas a una base de datos SQL.
Awareness (Concientización): El proceso de educar al personal sobre las amenazas de
ciberseguridad y las mejores prácticas para proteger los sistemas y la información.
Backend: La parte del sistema o aplicación que se ejecuta en el servidor, manejando
la lógica de negocio y la interacción con la base de datos.
BCP (Business Continuity Plan): Un plan para asegurar que las funciones esenciales
del negocio puedan continuar operando durante y después de una interrupción del
servicio.
Broken Access Control (Control de Acceso Roto): Una vulnerabilidad donde los
controles de acceso no se implementan correctamente, permitiendo a los usuarios
acceder a funcionalidades o datos a los que no deberían tener permiso.
Código Arbitrario: Un fragmento de código que no está contemplado dentro del
funcionamiento normal de una aplicación.
Código Malicioso: Código arbitrario diseñado específicamente para causar daño o
realizar acciones perjudiciales.
Confidencialidad: Principio de seguridad informática que garantiza que la
información sea accesible solo para personal autorizado.
Convergencia IT/OT: La integración de los sistemas de Tecnologías de la Información
(IT) con los sistemas de Tecnologías de la Operación (OT) en entornos industriales.
Control por Oposición: Una función de seguridad (a menudo un área independiente)
que verifica y controla las operaciones de TI y OT para asegurar que se priorice la
seguridad.
Dumping de Base de Datos: El proceso de extraer la totalidad o una parte
significativa del contenido de una base de datos.
Disponibilidad: Principio de seguridad informática que asegura que los sistemas y
la información estén accesibles y operativos cuando se necesiten.
Dropear (una base de datos/tabla): Eliminar o borrar una base de datos o una tabla
dentro de una base de datos.
DRP (Disaster Recovery Plan): Un plan para recuperar los sistemas y la
infraestructura de TI después de un desastre.
Framework NIST: Un marco de ciberseguridad desarrollado por el Instituto Nacional
de Estándares y Tecnología de EE. UU. que proporciona un conjunto de estándares,
pautas y mejores prácticas para gestionar el riesgo de ciberseguridad.
HTP (Hypertext Transfer Protocol): El protocolo utilizado para la comunicación de
datos en la World Wide Web.
Integridad: Principio de seguridad informática que asegura que la información sea
precisa, completa y no haya sido modificada sin autorización.
Intérprete (de código): Un programa que ejecuta instrucciones escritas en un
lenguaje de programación.
IoT (Internet of Things): La red de objetos físicos ("cosas") que están incrustados
con sensores, software y otras tecnologías con el fin de conectarse e intercambiar
datos con otros dispositivos y sistemas a través de Internet.
IP (Internet Protocol): El conjunto de reglas para formatear datos enviados a
través de Internet o una red local.
ISA 62443: Una serie de estándares internacionales que abordan la ciberseguridad
para sistemas de automatización y control industrial (IACS).
ISO 27001: Un estándar internacional para sistemas de gestión de seguridad de la
información (SGSI).
IT (Information Technology): El uso de computadoras, almacenamiento, redes y otros
dispositivos, procesos y software para crear, procesar, almacenar, asegurar e
intercambiar todo tipo de datos electrónicos.
Legacy Systems: Sistemas informáticos o software anticuados que todavía están en
uso debido a su funcionalidad crítica o al alto costo de reemplazo.
LIMIT/OFFSET (en SQL): Cláusulas utilizadas en SQL para controlar el número de
filas devueltas por una consulta y la posición inicial desde la que se devuelven
las filas.
MD5 (Message-Digest Algorithm 5): Un algoritmo de hash criptográfico comúnmente
utilizado para verificar la integridad de los datos, aunque no se considera seguro
para el almacenamiento de contraseñas debido a su vulnerabilidad a colisiones.
Motor de Base de Datos: El software que interactúa con la base de datos subyacente,
gestionando el acceso, la manipulación y la organización de los datos.
Numeral (#) / Doble Guion (--) (en SQL): Caracteres utilizados para indicar el
inicio de un comentario en SQL, haciendo que el motor de la base de datos ignore el
texto posterior en esa línea.
OT (Operational Technology): Hardware y software que detectan o causan un cambio a
través de la supervisión y/o el control directo de dispositivos, procesos y eventos
físicos en entornos industriales.
Parametrización de Consultas: Una técnica para construir consultas de base de datos
donde la lógica de la consulta se separa de los valores de los datos de entrada,
mitigando los ataques de inyección SQL.
PDO (PHP Data Objects): Una extensión de PHP que proporciona una interfaz ligera y
consistente para acceder a bases de datos.
Perl (Niveles de Purdue): Un modelo de referencia para segmentar y organizar los
sistemas de control industrial (OT) en diferentes niveles jerárquicos, desde los
dispositivos de campo (Nivel 0) hasta la red corporativa (Nivel 5).
PHP: Un lenguaje de scripting de propósito general, de código abierto,
especialmente adecuado para el desarrollo web y que se puede incrustar en HTML.
Query (Consulta): Una solicitud de información o una acción para ser realizada en
una base de datos.
Riesgo: La probabilidad de que una amenaza explote una vulnerabilidad y el impacto
resultante en un activo o sistema.
Riesgo Inherente: El nivel de riesgo antes de aplicar cualquier control de
seguridad.
Riesgo Residual: El nivel de riesgo que queda después de aplicar los controles de
seguridad.
Sanitización (de entrada): El proceso de limpiar o filtrar la entrada del usuario
para eliminar o neutralizar caracteres o código potencialmente malicioso.
Scandir: Una función en PHP que lista los archivos y directorios dentro de una ruta
especificada.
Shell Exec: Una función en PHP que ejecuta un comando externo a través del shell
del sistema y devuelve la salida completa como una cadena.
Stack Trace: Un informe detallado que muestra la secuencia de llamadas a funciones
o métodos que llevaron a un error, a menudo exponiendo información interna de la
aplicación.
Subshell: Un intérprete de comandos que se ejecuta como un proceso secundario desde
otro proceso principal.
Triada de Seguridad: La combinación de Confidencialidad, Integridad y
Disponibilidad, considerada los principios fundamentales de la seguridad de la
información.
Validación de Entrada: El proceso de verificar que los datos proporcionados por el
usuario cumplen con las expectativas en términos de tipo, formato, tamaño y
contenido.
Vulnerabilidad: Una debilidad o falla en un sistema, software o proceso que puede
ser explotada por una amenaza.
NotebookLM can be inaccurate; please double check its responses.