Un ataque a la web de la Generalitat de Catalunya expone miles de registros

  • Actualidad

Un fallo de seguridad SQL Injection en al menos cuatro subdominios de la Generalitat ha dejado al descubierto más de 5.500 registros con cuentas de correo y contraseñas. Fue un investigador de seguridad quien encontró el problema, sobre el que se está llevando a cabo una investigación.

Recomendados: 

Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

La página web de la Generalitat de Catalunya ha sufrido un ataque de inyección SQL que ha expuesto más de 5.500 correos electrónicos y contraseñas. La inyección de código malicioso ha aprovechado una vulnerabilidad que afectaba a cuatro subdominios de la Generalitat pertenecientes a diferentes herramientas de educación y cultura (login.regsega.cat; http://culturaeducacio.gencat.cat; aplicacions.ensenyament.gencat.cat y https://jocdelsdrets.gencat.cat/).

“Los ataques de inyección SQL son bastante comunes, y han sido utilizados en muchos ataques a lo largo de los años”, asegura Luis Corrons, Security Evangelist de Avast Empresas. “Para prevenirlos, además de tomar medidas de seguridad, al configurar y programar las bases de datos, es fundamental realizar auditorías periódicas de la seguridad de los sistemas informáticos (y eso incluye sitios web, bases de datos, etc.) De esta forma, se pueden encontrar -y arreglar- los focos de fallos y debilidades antes de que se produzca un ataque real”.

La vulnerabilidad fue descubierta la semana pasada, cuando se informó a la Generalitat, y desde entonces las páginas se encuentran en mantenimiento la institución actualmente lo investiga y trabaja para solucionar el error.

“Un ataque de inyección SQL puede sólo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos. Lo bueno del caso de la Generalitat es que fue un investigador de seguridad quien encontró el problema e informó sobre el asunto”, concluye Corrons.