## ¿Qué significa seguridad de las bases de datos? La seguridad de las bases de datos se refiere a las medidas colectivas utilizadas para proteger y asegurar una base de datos o un software de gestión de bases de datos frente a usos ilegítimos y ciberamenazas y ataques malintencionados. Los procedimientos de seguridad de las bases de datos tienen por objeto proteger no sólo los datos contenidos en ellas, sino también el sistema de gestión de bases de datos y todas las aplicaciones que acceden a ellas frente a intrusiones, uso indebido de los datos y daños. Es un término amplio que incluye multitud de procesos, herramientas y metodologías que garantizan la seguridad dentro de un entorno de base de datos. ## Definición de la seguridad de las bases de datos La seguridad de las bases de datos abarca y aplica la seguridad en todos los aspectos y componentes de las bases de datos. Esto incluye: * Los datos almacenados en la base de datos. * Servidor de base de datos. * Sistema de gestión de bases de datos (SGBD). * Otras aplicaciones de flujo de trabajo de la base de datos. La seguridad de las bases de datos suele planificarla, aplicarla y mantenerla un administrador de bases de datos y/u otro profesional de la seguridad de la información. Algunas de las formas en que se analiza e implementa la seguridad de las bases de datos son: * **Restringir el acceso y uso no autorizados** mediante la aplicación de controles de acceso y gestión de datos sólidos y multifactoriales. * **Pruebas de carga/estrés** y pruebas de capacidad de una base de datos para garantizar que no se bloquea en caso de ataque de denegación de servicio distribuido (DDoS) o sobrecarga de usuarios. * **Seguridad física del servidor de la base de datos** y del equipo de copia de seguridad frente a robos y catástrofes naturales. Pueden planificarse copias de seguridad periódicas de los datos como parte de un protocolo de seguridad de la base de datos, y pueden almacenarse varias copias fuera de las instalaciones para proporcionar redundancia y recuperación de emergencia. * **Revisar el sistema** existente para detectar cualquier vulnerabilidad conocida o desconocida y definir y aplicar una hoja de ruta/plan para mitigarla. * **El cifrado de datos** puede proporcionar una capa adicional de seguridad para proteger la integridad y confidencialidad de los datos. Implantar prácticas adecuadas de seguridad de las bases de datos es vital para cualquier organización por diversas razones. Entre ellas están * **Garantizar la continuidad del negocio**: Muchas empresas no pueden operar hasta que se resuelva la brecha. * **Minimizar los daños financieros**: Una vez que se produce una violación, una organización debe soportar importantes costes financieros para comunicar la violación a todos sus clientes, gestionar la crisis, reparar o actualizar los sistemas y el hardware afectados, pagar las actividades de investigación, etc. * **Pérdida de propiedad intelectual**: Si se accede a una base de datos, existe la posibilidad de que se roben o queden expuestos los secretos comerciales, los procedimientos patentados y otras formas de propiedad intelectual de una empresa. En algunos casos, esto supone la pérdida total de cualquier ventaja competitiva que mantenga esa organización. * **Daño a la reputación de la marca**: Una vez que se notifica una violación a la base de clientes, los socios y clientes pueden perder la fe en la capacidad de la organización para proteger sus datos. La reputación de la marca se resentirá, y muchos podrían decidir no volver a comprar los productos o servicios de esa organización. * **Sanciones y multas**: Las organizaciones deben cumplir un gran número de normativas, como las del Reglamento General de Protección de Datos (RGPD), la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA), etc. Si se produce una violación de datos porque la organización no ha cumplido estas normativas, las multas y sanciones pueden ser muy severas, llegando en algunos casos a superar varios millones de dólares por violación. ## **La importancia de la seguridad de datos** Los datos constituyen uno de los activos más importantes de las organizaciones. Por lo tanto, resulta fundamental proteger los datos frente a todos y cada uno de los accesos no autorizados. Las filtraciones de datos, las auditorías deficientes o el incumplimiento de los requisitos normativos pueden dañar la reputación, provocar la amortización del valor de marca, poner en riesgo la propiedad intelectual y redundar en multas por incumplimiento. *Según el Reglamento general de protección de datos (RGPD) de la Unión Europea, las filtraciones de datos pueden desembocar en multas hasta del 4 % de los ingresos anuales globales de una organización, con lo que a menudo se traduce en una pérdida financiera significativa.* Los datos confidenciales incluyen información personal, financiera, sanitaria y propiedad intelectual. Los datos deben protegerse para evitar filtraciones y garantizar el debido cumplimiento de las normativas. ## Seguridad de datos y el RGPD El enmascaramiento de datos, la agrupación de datos en subconjuntos y la ocultación de datos son técnicas dirigidas a reducir la exposición de los datos confidenciales en las aplicaciones. Estas tecnologías desempeñan un papel fundamental a la hora de abordar los requisitos de anonimización y seudonimización asociados con reglamentos como el RGPD de la UE. El RGPD de la Unión Europea se basó en principios de privacidad establecidos y ampliamente aceptados, como limitación de la finalidad, legalidad, transparencia, integridad y confidencialidad. Refuerza los requisitos de privacidad y seguridad existentes, incluidos los requisitos de notificación y consentimiento, las medidas de seguridad técnicas y operativas y los mecanismos de flujos transfronterizos de datos. Para adaptarse a la nueva economía digital, global y basada en datos, el RGPD también formaliza nuevos principios de privacidad, como la responsabilidad y la minimización de datos. En virtud del Reglamento General de Protección de Datos (RGPD), las violaciones de datos pueden redundar en multas de hasta el cuatro por ciento del volumen de negocio anual global de una empresa o de 20 millones de euros, si este importe es mayor. Las empresas que recopilen y gestionen datos en la UE deberán considerar y gestionar sus prácticas de tratamiento de datos, incluidos los siguientes requisitos: * **Seguridad de los datos**. Las empresas deben implantar un nivel de seguridad adecuado, que incluya controles de seguridad técnicos y organizativos, para evitar la pérdida de datos, filtraciones de información u otras operaciones de procesamiento de datos no autorizadas. El RGPD anima a las empresas a incorporar los requisitos de cifrado, gestión de incidentes e integridad, disponibilidad y resiliencia de las redes y los sistemas en su programa de seguridad. * **Ampliación de los derechos de las personas**. Las personas tienen mayor control sobre sus datos y, en última instancia, mayor responsabilidad. También disponen de un amplio conjunto de derechos de protección de datos, incluido el derecho a la portabilidad de los datos y el derecho al olvido. * **Notificación de filtración de datos**. Las empresas deben informar a sus reguladores o a las personas afectadas sin incurrir en demoras indebidas una vez que se percaten de que sus datos han sido objeto de violación. * **Auditorías de seguridad**. Se espera que las empresas documenten y mantengan registros de sus prácticas de seguridad, auditen la eficacia de su programa de seguridad y tomen las medidas correctivas siempre que proceda. ## ¿Qué desafíos presenta la seguridad de las bases de datos?  Las bases de datos son valiosos repositorios de información confidencial, lo que las convierte en el objetivo principal de los ladrones de datos. Normalmente, los hackers de datos se pueden dividir en dos grupos: internos y externos. Los externos incluyen a cualquier persona, desde hackers que actúan en solitario hasta ciberdelincuentes que tratan de interrumpir las operaciones de negocio u obtener un beneficio económico, u organizaciones criminales y patrocinadas por estados nación que buscan cometer fraudes para crear interrupciones a escala nacional o global. Los internos pueden comprender empleados actuales o antiguos, curiosos y clientes o socios que se aprovechen de su posición de confianza para robar datos, o que cometan un error que resulte en un incidente de seguridad no deseado. Tanto los externos como los internos generan riesgos para la seguridad de los datos personales, la información financiera, los secretos comerciales y los datos regulados.  Los ciberdelincuentes cuentan con diversos métodos para tratar de robar datos de las bases de datos: * Comprometer o robar las credenciales de un administrador con privilegios o una aplicación. Estas acciones suelen producirse a través de **phishing** en correos electrónicos, otras formas de ingeniería social, o utilizando **malware** para descubrir las credenciales y, en última instancia, los datos. * Aprovechamiento de puntos débiles en aplicaciones con técnicas como la inyección SQL o elusión de la seguridad de la capa de la aplicación incrustando un código SQL en datos introducidos por el usuario final aparentemente inocuos. * Escalado de los privilegios de tiempo de ejecución aprovechando aplicaciones vulnerables. * Acceso a los archivos de la base de datos no cifrados en el disco. * Explotación de sistemas no actualizados o bases de datos mal configuradas para eludir los controles de acceso. * Robo de cintas de archivo y soportes que contengan copias de seguridad de la base de datos. * Robo de datos de entornos que no sean de producción, como DevTest, donde es posible que los datos no estén tan protegidos como en los entornos de producción. * Visualización de datos confidenciales mediante aplicaciones que los expongan involuntariamente excediendo la capacidad de acceso que deberían tener los usuarios o la propia aplicación. * Errores humanos, accidentes, uso compartido de contraseñas, errores de configuración y otros comportamientos irresponsables de los usuarios, que siguen suponiendo casi el 90 % de las vulneraciones de seguridad. ## **Mejores prácticas de seguridad de bases de datos**  Una estrategia de seguridad de bases de datos bien estructurada debe incluir controles para mitigar múltiples vectores de amenazas. El mejor método es un marco integrado de controles de seguridad que se pueda desplegar fácilmente para aplicar los niveles de seguridad adecuados. Estos son algunos de los controles más utilizados para proteger las bases de datos: * **Los controles de evaluación** ayudan a analizar la postura de seguridad de una base de datos y también deben ofrecer la capacidad de identificar cambios de configuración. Las organizaciones pueden definir un punto de referencia y posteriormente identificar el cambio. Los controles de evaluación también ayudan a las organizaciones a identificar datos confidenciales en el sistema, incluido el tipo de datos y dónde residen. Los controles de evaluación tratan de dar respuesta a las siguientes preguntas: * ¿Está configurado correctamente el sistema de la base de datos ? * ¿Los parches están actualizados y se aplican con regularidad? * ¿Cómo se gestionan los privilegios de los usuarios? * ¿Qué datos confidenciales existen en el sistema de la base de datos? ¿Cuántos? ¿Dónde residen? * **Los controles descriptivos** supervisan el acceso de los usuarios y las aplicaciones a los datos, identifican comportamientos anómalos, detectan y bloquean amenazas y auditan la actividad de la base de datos para generar informes en materia de cumplimiento. * **Los controles preventivos** deniegan el acceso no autorizado a los datos mediante el cifrado, la ocultación, el enmascaramiento y la agrupación de datos en subconjuntos, en función del caso de uso previsto. El objetivo final de los controles preventivos es evitar el acceso no autorizado a los datos. * **Los controles específicos de datos** aplican políticas de acceso de nivel de aplicación en la base de datos, lo que proporciona un modelo de autorización coherente en múltiples aplicaciones, herramientas de presentación de información y clientes de base de datos. * **Los controles específicos de usuario** aplican políticas adecuadas de autenticación y autorización de usuarios, lo que garantiza que solo los usuarios autenticados y autorizados tengan acceso a los datos. ## **Amenazas y dificultades habituales** Son muchas las configuraciones erróneas de software, vulnerabilidades o patrones de descuido o mal uso que pueden dar lugar a una infracción. Los siguientes son los tipos o causas más habituales de los ataques de seguridad de base de datos y sus causas. ### Amenazas internas Las amenazas internas son amenazas de seguridad de una de las tres fuentes que tienen acceso con privilegios a la base de datos: * Un usuario interno malicioso que tiene la intención de hacer daño. * Un usuario interno negligente que comete errores que provocan que la base de datos sea vulnerable a los ataques. * Un infiltrado —un usuario externo— que, de alguna manera, obtiene las credenciales a través de una estrategia de phishing u obtiene acceso a la propia base de datos de credenciales. * Las amenazas internas se encuentran entre las causas más comunes de las infracciones de seguridad de base de datos y, a menudo, son el resultado de permitir que demasiados empleados tengan credenciales de acceso de usuario con privilegios. ### Error humano Los accidentes, las contraseñas débiles, el uso compartido de contraseñas y otros comportamientos de usuario imprudentes o desinformados continúan siendo la causa de casi la mitad (49 %) de todas las infracciones de datos notificadas. ### Explotación de las vulnerabilidades de software de base de datos Los hackers se ganan la vida detectando y atacando vulnerabilidades en todo tipo de software, incluido el software de gestión de bases de datos. Todos los principales proveedores de software comercial de bases de datos y plataformas de gestión de bases de datos de código abierto publican parches de seguridad periódicos para resolver estas vulnerabilidades, y no aplicar estos parches en su debido momento puede aumentar la exposición. ### Ataques por inyección SQL/NoSQL Se trata de una amenaza específica de base de datos que implica la inserción de series de ataque SQL o no SQL arbitrarias en consultas de base de datos servidas por aplicaciones web o cabeceras HTTP. Las organizaciones que no siguen prácticas seguras de codificación de aplicaciones web ni realizan pruebas periódicas de vulnerabilidad habituales están expuestas a estos ataques. ### Explotación de desbordamiento de almacenamiento intermedio El desbordamiento de almacenamiento intermedio se produce cuando un proceso intenta grabar más datos en un bloque de memoria de longitud fija de lo que se permite mantener. Los atacantes pueden utilizar el exceso de datos, almacenado en direcciones de memoria adyacentes, como una base desde la que lanzar ataques. ### Programas maliciosos El malware es software escrito específicamente para explotar las vulnerabilidades o causar daños a la base de datos. El malware puede llegar a través de cualquier dispositivo de punto final que se conecte a la red de la base de datos. ### Ataques a copias de seguridad Las organizaciones que no son capaces de proteger los datos de copia de seguridad con los mismos controles estrictos que se utilizan para proteger la propia base de datos pueden ser vulnerables a los ataques a las copias de seguridad. Estas amenazas se ven exacerbadas por lo siguiente: * Volúmenes crecientes de datos: la captura, el almacenamiento y el procesamiento de datos continúa creciendo exponencialmente en casi todas las organizaciones. Las herramientas o prácticas de seguridad de datos deben ser altamente escalables para satisfacer las necesidades futuras más inmediatas y las más lejanas. * Dispersión de infraestructuras: los entornos de red son cada vez más complejos, especialmente a medida que las empresas trasladan las cargas de trabajo a arquitecturas multicloud o de cloud híbrido, de modo que se complica la elección, el despliegue y la gestión de soluciones de seguridad. * Requisitos normativos cada vez más estrictos: la complejidad del panorama mundial de conformidad con la normativa sigue aumentando, y se complica la adhesión a todas las exigencias. * Escasez de conocimientos en ciberseguridad: los expertos prevén que en 2022 se puede llegar a los 8 millones de puestos de ciberseguridad sin cubrir. ### Ataques de denegación de servicio (DoS/DDoS) En un ataque de denegación de servicio (DoS), el atacante inunda el servidor de destino —en este caso, el servidor de la base de datos— con tantas solicitudes que el servidor ya no puede realizar las solicitudes legítimas de los usuarios reales y, en muchos casos, el servidor se vuelve inestable o se bloquea. En un ataque de denegación de servicio distribuida (DDoS), la inundación procede de varios servidores, de modo que es más difícil detener el ataque. ## **Prácticas recomendadas** Puesto que las bases de datos son casi siempre accesibles desde la red, cualquier amenaza de seguridad a cualquier componente interno o que forme parte de la infraestructura de red también es una amenaza para la base de datos, y cualquier ataque que afecte al dispositivo o estación de trabajo de un usuario puede ser una amenaza para la base de datos. Por lo tanto, la seguridad de la base de datos se debe ampliar más allá de los límites de la propia base de datos. Al evaluar la seguridad de la base de datos en su entorno para decidir las prioridades principales de su equipo, debe tener en cuenta todas las áreas siguientes: * **Seguridad física**: si el servidor de bases de datos es local o se encuentra en un centro de datos en cloud, debe estar ubicado dentro de un entorno seguro y con control de la climatización (si el servidor de bases de datos está en un centro de datos en cloud, el proveedor de cloud será el encargado de ello). * **Controles de acceso administrativo y de red**: un número mínimo práctico de usuarios debe tener acceso a la base de datos, y sus permisos se deben limitar a los niveles mínimos necesarios para que puedan realizar su trabajo. Asimismo, el acceso a la red debe limitarse al nivel mínimo de permisos necesarios. * **Seguridad de cuentas/dispositivos de usuario final**: debe tener en cuenta siempre quién accede a la base de datos y cuándo, y cómo se utilizan los datos. Las soluciones de supervisión de datos pueden mostrarle alertas si las actividades de datos son inusuales o parecen arriesgadas. Todos los dispositivos de usuario que se conectan a la red que aloja la base de datos deben ser físicamente seguros (y solo debe gestionarlos el usuario adecuado) y estar sujetos a controles de seguridad en todo momento. * **Cifrado**: TODOS los datos, incluidos los datos de la base de datos y los datos de credenciales, deben protegerse con el mejor cifrado mientras estén en reposo y en tránsito. Todas las claves de cifrado deben manejarse de acuerdo con las directrices de prácticas recomendadas. * **Seguridad de software de base de datos**: utilice siempre la última versión del software de gestión de bases de datos y aplique todos los parches en cuanto se publiquen. * **Seguridad del servidor web/de aplicaciones**: cualquier aplicación o servidor web que interactúe con la base de datos puede ser un canal para el ataque y debe estar sujeto a pruebas de seguridad constantes y contar con prácticas recomendadas de gestión. * **Seguridad de copia de seguridad**: todas las copias de seguridad, copias o imágenes de la base de datos deben estar sujetas a los mismos controles de seguridad (o igual de estrictos) que la propia base de datos. * **Auditoría**: registre todos los inicios de sesión en el servidor de bases de datos y el sistema operativo, además de todas las operaciones realizadas con datos confidenciales. Las auditorías estándar de seguridad de base de datos se deben realizar de forma periódica. ## **7 herramientas de seguridad para proteger las bases de datos** Para poder mitigar las distintas amenazas que pueden presentar un riesgo para las bases de datos, también debemos implementar en conjunto ciertas herramientas: ### 1. Software antimalware El software antimalware es una herramienta esencial para proteger las bases de datos contra amenazas cibernéticas como virus, troyanos, ransomware y otras formas de malware. Estos programas escanean los sistemas en busca de *software* malicioso y lo eliminan o lo ponen en cuarentena para evitar que cause daños. Este tipo de herramienta utiliza técnicas como la detección de comportamientos sospechosos en tiempo real, la prevención de la ejecución de código malicioso, la capacidad de escanear y proteger archivos de registro, archivos de datos y archivos de copia de seguridad, entre otros. ### 2. Servidores proxy Los servidores *proxy* actúan como intermediarios entre los clientes y los servidores de bases de datos, proporcionando una capa adicional de seguridad al filtrar y controlar el tráfico de red. Estos servidores pueden actuar como *firewalls* de aplicación, inspeccionando y filtrando el tráfico entrante y saliente para detectar y prevenir ciberataques. Los servidores *proxy* pueden configurarse para bloquear ciertos tipos de tráfico, como solicitudes maliciosas o intentos de acceso no autorizado a la base de datos. ### 3. Capacitación del personal La capacitación del personal es una herramienta crucial en cuanto a ciberseguridad se refiere. El eslabón más débil en la seguridad de la base de datos es a menudo el factor humano, ya que los errores humanos pueden llevar a brechas de seguridad. La capacitación del personal puede incluir temas como la identificación de correos electrónicos y sitios *web* maliciosos, la gestión segura de contraseñas y la concienciación sobre la importancia de mantener actualizado el *software* de seguridad ### 4. Escáner de vulnerabilidades Los escáneres de vulnerabilidades son herramientas diseñadas para identificar y detectar posibles puntos débiles en la seguridad de una base de datos. Estos programas realizan un análisis exhaustivo del sistema en busca de vulnerabilidades conocidas, como puertos abiertos, configuraciones incorrectas, fallos de *software* y otros problemas que podrían ser explotados por atacantes. Una vez que se identifican las vulnerabilidades, los escáneres de vulnerabilidades generan informes detallados que incluyen recomendaciones para corregir los problemas encontrados. ### 5. Cifrado de punto final El cifrado de punto final es una técnica que se utiliza para proteger los datos almacenados en dispositivos finales y de uso compartido, como computadoras portátiles, teléfonos móviles y dispositivos de almacenamiento, así como los datos en tránsito entre estos dispositivos y la base de datos. El cifrado de punto final asegura que los datos estén protegidos incluso si el dispositivo es robado, perdido por culminar su ciclo de vida o comprometido. ### 6. Prevención de pérdida de datos La prevención de pérdida de datos o DLP (*Data Loss Prevention*) es un conjunto de tecnologías y procesos diseñados para evitar la fuga de información confidencial fuera de una organización. Existen herramientas específicas para la DLP, las cuales se centran en proteger los datos sensibles almacenados y procesados por el sistema en las bases de datos. Para lograr esto, utilizan varias técnicas, como el monitoreo de la actividad de los usuarios, la clasificación de datos, y la aplicación de políticas de seguridad. ### 7 Políticas de autenticación Las políticas de autenticación son reglas y procedimientos que determinan cómo se verifica la identidad de los usuarios que intentan acceder a la base de datos. Estas políticas aseguran que solo los usuarios autorizados puedan acceder a la información confidencial y que se utilicen métodos seguros para verificar su identidad. Las políticas de autenticación pueden incluir medidas como el doble factor de autenticación, contraseñas, *tokens* de seguridad o biometría, para acceder a la base de datos. En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa para disminuir las vulnerabilidades o puntos débiles de los sistemas informáticos. Si quieres saber de qué otras maneras podemos ayudarte a proteger las bases de datos de tu empresa, agenda una demo de Apolo con nuestros expertos. # **Enlaces de interés** * Seguridad de las bases de datos, Techopedia, [https://www.techopedia.com/es/definicion/seguridad-bases-datos](https://www.techopedia.com/es/definicion/seguridad-bases-datos) * What is data security, Oracle, [https://www.oracle.com/mx/security/database-security/what-is-data-security/](https://www.oracle.com/mx/security/database-security/what-is-data-security/) * Database security, IBM, [https://www.ibm.com/es-es/topics/database-security](https://www.ibm.com/es-es/topics/database-security) * Seguridad de la base de datos: qué es y cómo protegerla, Delta Protect, [https://www.deltaprotect.com/blog/seguridad-para-base-de-datos](https://www.deltaprotect.com/blog/seguridad-para-base-de-datos)