Como parte de su campaña 'Secure by Design', el FBI y CISA, la agencia de ciberseguridad estadounidense, han publicado directrices para que los desarrolladores aborden las vulnerabilidades de inyección SQL.
Este programa, iniciado por CISA y el FBI, tiene como objetivo informar y advertir a los desarrolladores de software sobre el potencial de los ataques de inyección SQL y proporcionar técnicas de mitigación.
La "Alerta Secure by Design" se lanzó en respuesta a las fallas de Moveit Transfer que afectaron a miles de usuarios. La gravedad y la frecuencia de estos problemas de seguridad se destacan en una guía llamada "Eliminación de vulnerabilidades de inyección SQL en el software".
Durante más de 20 años, las vulnerabilidades de inyección SQL se han documentado minuciosamente y existen formas probadas de evitarlas. A pesar de ello, los desarrolladores de software han seguido lanzando productos con estas vulnerabilidades, poniendo en peligro a un gran número de usuarios. Las inyecciones de SQL fueron categorizadas como vulnerabilidades importantes por MITRE Corporation ya en 2007, pero siguen siendo un problema de seguridad frecuente.
El manual de CISA y FBI describe las vulnerabilidades de SQL en detalle y sugiere contramedidas, como el uso de "declaraciones preparadas", que MySQL lanzó en 2004. Estas declaraciones proporcionan un método más seguro que la desinfección de entradas, que con frecuencia es menos eficiente y más difícil de implementar ampliamente. Ayudan a separar el código SQL de los datos del usuario.
Las directrices recomiendan además que los líderes de las empresas de software se hagan cargo de la seguridad del cliente, posiblemente mediante revisiones formales de código, informes transparentes de vulnerabilidades de seguridad conocidas, creación de CVE y reorganizaciones organizativas centradas en la seguridad.
La campaña 'Secure by Design' promueve la integración de medidas de seguridad en cada etapa del ciclo de vida del desarrollo de software, con el respaldo de CISA y socios globales. Además de abordar la inyección SQL, proporciona una guía sobre la prevención del phishing y enfatiza los riesgos asociados con el uso de contraseñas predeterminadas, todo con el objetivo de promover un entorno en línea más seguro.
Code Labs Academy Bootcamp de ciberseguridad: aprenda ciberseguridad en línea con financiación