Un fallo de ciberseguridad en Quirón dejó al descubierto datos de 134.004 usuarios

Quirón sufrió un fallo de ciberseguridad que dejó desprotegidas contraseñas y direcciones de correo electrónico de al menos 134.004 usuarios de su página web e-quironsalud.es. Desde ese site comercializa sus servicios de medicina online, pruebas de coronavirus, análisis genéticos, chequeos médicos y servicios de cirugía estética. El fallo ya ha sido solucionado sin que se haya registrado el robo de datos.

Este tipo de vulnerabilidades permite a terceros acceder a datos de usuarios. Una circunstancia que no implica necesariamente el robo de información. El equivalente en el mundo físico sería dejarse la puerta de casa abierta. No supone el robo de enseres, pero da facilidades a los amigos de lo ajeno.

El socio tecnológico con el que Quirón ha desarrollado la web e-quironsalud.es ha sido Babel. Esta empresa ha construido el site sobre PrestaShop, un sistema de gestión de contenidos pensado para crear tiendas de comercio electrónico. Su código es abierto, gratuito.

Las soluciones para minimizar los riesgos de este tipo de ciberataques pasa por instalar sistemas de seguridad específicas para amenazas de tipo SQL Injection

El fallo de seguridad permitía ejecutar ataques de tipo SQL Injection. SQL, por sus siglas en inglés, responde a las palabras Structured Query Language, un lenguaje de programación diseñado para acceder a información almacenada en bases de datos (BBDD). A través de SQL es posible inyectar código malicioso en programas informáticos para robar información accediendo a las BBDD. Este proceso es más o menos sencillo si el programa que se ataca no ha sido construido con garantías de seguridad o el sistema operativo no ha sido debidamente actualizado. La vulnerabilidad en el caso de Quirón ha sido descubierta por el experto en ciberseguridad y bug hunter -cazador de bugs- Touseef Gul.

Este diario se ha puesto en contacto con Quirón, desde donde han asegurado que se trata de "un problema menor que ya ha sido solucionado". El fallo de ciberseguridad fue comunicado en el mes de mayo y se arregló poco después.

Ataques SQL

"SQL es un lenguaje de consulta sobre base de datos que permite leer, escribir y borrar información almacenada en una BBDD. El ataque SQL Injection consiste en crear instrucciones en este lenguaje con el fin de lanzarlas sobre sitios web y conseguir el acceso o generar perjuicios en los datos a los que tiene acceso esa web. Este tipo prácticas tienen éxito cuando el sistema es vulnerable, y esto sucede si hay deficiencias en el site porque el programador no ha tomado las precauciones adecuadas en la ejecución de instrucciones SQL que pueden generar daños o permitir el acceso no deseado", explica Jorge Pages, ingeniero preventa de WatchGuard Technologies.

"Un ataque de SQL Injection consiste en obtener información privada de una BBDD que normalmente sólo debería estar disponible para usuarios con privilegios (ej.: Administradores de la BBDD). Dicha  información puede ser utilizada para conseguir acceso privilegiado a aplicaciones o para el robo de información confidencial. Estos ataques se producen normalmente aprovechando una vulnerabilidad en una aplicación pública (ej.: Formulario web) que, a su vez, dispone de acceso a la BBDD", explica José de la Cruz, director técnico de Trend Micro Iberia, quien añade que las vulnerabilidades pueden provenir de "una aplicación que no implemente controles de seguridad para este tipo de ataques. Por ejemplo que permita introducir sentencias en lenguaje SQL en un campo de texto destinado a escribir el nombre de un cliente, o bien una vulnerabilidad existente en alguno de los componentes utilizados, como puede ser un servidor web, una librería, etcétera".

Las claves para minimizar los riesgos de sufrir esta clase de ciberataques pasan por instalar soluciones de seguridad específicas para las amenazas de tipo SQL Injection, y también por actualizar los sistemas operativos.