En el marco de su campaña "Secure by Design", el FBI y CISA, la agencia estadounidense de ciberseguridad, han publicado unas directrices para que los desarrolladores solucionen las vulnerabilidades de inyección SQL.
Este programa, iniciado por CISA y el FBI, tiene como objetivo informar y advertir a los desarrolladores de software sobre el potencial de los ataques de inyección SQL y proporcionar técnicas de mitigación.
La "Alerta de seguridad por diseño" se publicó en respuesta a los fallos de Moveit Transfer que afectaron a miles de usuarios. La gravedad y frecuencia de estos problemas de seguridad se han puesto de relieve en una guía titulada["Eliminación de vulnerabilidades de inyección SQL en el software](https://www.cisa.gov/sites/default/files/2024-03/SbD Alert - Eliminating SQL Injection Vulnerabilities in Software_508c.pdf)".
Durante más de 20 años, las vulnerabilidades de inyección SQL se han documentado exhaustivamente, y existen formas probadas de evitarlas. A pesar de ello, los desarrolladores de software han seguido publicando productos con estas vulnerabilidades, poniendo en peligro a un gran número de usuarios. Las inyecciones SQL fueron clasificadas como vulnerabilidades importantes por la MITRE Corporation ya en 2007, pero siguen siendo un problema de seguridad frecuente.
El manual de CISA y el FBI describe las vulnerabilidades SQL en detalle y sugiere contramedidas, como el uso de "sentencias preparadas", que MySQL lanzó en 2004. Estas sentencias proporcionan un método más seguro que el saneamiento de entradas, que suele ser menos eficaz y más difícil de desplegar ampliamente. Ayudan a separar el código SQL de los datos del usuario.
Las directrices recomiendan además que la dirección de las empresas de software asuma la responsabilidad de la seguridad del cliente, posiblemente mediante revisiones formales del código, la notificación transparente de las vulnerabilidades de seguridad conocidas, la creación de CVE y reorganizaciones organizativas centradas en la seguridad.
La campaña "Secure by Design" promueve la integración de medidas de seguridad en todas las fases del ciclo de vida del desarrollo de software, con el respaldo de CISA y sus socios mundiales. Además de abordar la inyección SQL, ofrece una guía sobre la prevención del phishing y hace hincapié en los riesgos asociados al uso de contraseñas predeterminadas, todo ello con el objetivo de promover un entorno en línea más seguro.