La Vicerrectoría más joven de la UChile celebra su cuarto aniversario
02/09/2024
OPINIÓN- La necesidad de una educación tecnológica innovadora y crítica: un enfoque sociotécnico en la era de la IA
03/09/2024-
El diseño de las aplicaciones debe considerar a la seguridad como un fundamento y no como un insumo en el desarrollo.
La jerga de los informáticos es, la mayoría de las veces ininteligible. Por ejemplo la “ Vulnerabilidad de inyección sql” es uno de esos conceptos que necesitan de conocimientos técnicos para ser entendidos, “pero en la práctica significan que hay una puerta abierta por dónde puede ingresar un ciberdelincuente y alterar o robar las bases de datos”, comenta el ingeniero Jaime Fuentes, Oficial de Seguridad de Información, OSI, de la Universidad de Chile.
Para los no iniciados en las ciencias de la cibernética, la palabra vulnerabilidad es la única clara en toda la frase. SQL (Lenguaje de consulta estructurada por Structured Query Language) es un lenguaje de consultas utilizado para procesar y almacenar información en una base de datos y proporciona acceso a datos relacionados entre sí.
Esto se habilita a través de un lenguaje intermedio, que toma información del navegador y construye mandatos SQL para luego ser procesados por el servidor y transformados en este lenguaje de consultas SQL. La inyección SQL es un ataque contra esta capa intermedia en una aplicación o un sitio web.
Para ejemplificar, dice Fuentes “podemos ingresar un carácter fuera de orden, como una comilla simple (‘) en una ventana del navegador que nos dice ‘ingrese rut/run’ y luego de darle enter y luego algunos segundos vemos un feo error ’Sql Bad Syntax’”.
“Aunque ese signo parece inocuo y rebuscado, el mensaje de error da señales de que la aplicación tiene oportunidades de mejora y que este error puede facilitar el acceso a lo más profundo de la base de datos”, agrega Fuentes.
La frase “el parche antes de la herida” tiene mucho sentido en el desarrollo de programas, comenta el Oficial de Seguridad de la Universidad de Chile. “Entre otras medidas es conveniente establecer filtros en este tipo de formularios” .
Además es conveniente establecer pruebas de ciberseguridad estándar, además de “las más creativas posibles” antes de poner un sistema en funcionamiento público. “Nosotros en la Vicerrectoría podemos entregar asesoría en ciberseguridad antes del paso a producción de cada uno de los programas o aplicaciones que se diseñen y desarrollen en las unidades académicas”, comentó el Oficial de Seguridad.
Por Rodrigo Mundaca
Ciberseguridad: Los signos que provocan dolores de cabeza
