Uno de los temas más populares en los mensajes que recibo todos los días es el pirateo. Al entrar en más detalles, a muchas personas les gustaría aprender como hackear un sitio pero, como puede imaginar fácilmente, no puedo proporcionar información demasiado detallada sobre un tema tan delicado y complejo.

A la luz de esto, por lo tanto, decidí crear un artículo en el que enumeraré algunas de las técnicas más utilizadas por los piratas informáticos para «pinchar» los sitios de Internet. No existen procedimientos paso a paso que puedan ser utilizados por los atacantes para violar los sitios de otras personas, pero al leerlos también puede hacerse una idea de cómo los piratas informáticos ellos hacen su «trabajo» y, por lo tanto, cómo protegerte, si administras un sitio web. ¡Feliz lectura!

Comencemos este excursus en como hackear un sitio hablando de SQL, un lenguaje de consulta de base de datos utilizado por muchos sitios de Internet y aplicaciones web. Algunos sitios usan una versión desactualizada de bases de datos SQL sujetas a una vulnerabilidad llamada Inyección SQL a través del cual es posible «perforar» la base de datos y acceder fácilmente a los datos de acceso del administrador.

Para averiguar si el sitio que se va a hackear tiene una base de datos vulnerable, este último primero debe tener una estructura de direcciones del tipo http://www.sito.com/pagina?id=numero (Ej. http://www.sitodahackerare.com/news/detail.php?id=201 ), por lo que debe conectarse y buscar enlaces con estas funciones. Una vez que se ha identificado la dirección correcta, se debe agregar una cotización antes del número de identificación (p. Ej. http://www.sitodahackerare.com/news/detail.php?id=’201 ) y presione el botón presentar teclado en la PC. Si se devuelve el mensaje de error Tiene un error en su sintaxis SQL, tiene que ver con un sitio «punzable».

Luego volvemos a la cantidad de tablas contenidas en la base de datos, agregando la cadena ordenar por 1–, ordenar por 2–, ordenar por 3– etcétera a la dirección del sitio (hasta que aparezca un mensaje de error), sus tablas se unen y vuelve a la versión de la base de datos SQL con otra cadena que se agregará a la URL del sitio. Una vez que se detecta la versión de la base de datos en uso, se convierte en un juego de niños ver las tablas a partir de las cuales está formada y extrapolar los datos de acceso del administrador del sitio, que se guardan en la sección privilegios.

Lo que acabo de mostrar es una de las técnicas más utilizadas para hackear un sitio PHP basado en la base de datos SQL, pero también hay otras técnicas de piratería que los atacantes utilizan para tomar posesión de los sitios de otras personas.

Por ejemplo, en sitios ASP vulnerable es posible obtener privilegios de administrador simplemente insertando cadenas de código dentro del formulario de inicio de sesión, así como para sitios en JPortal agregar una línea de código al final de la dirección en la barra del navegador puede ser suficiente para poder realizar un hack. Por otro lado, los sitios son más seguros. HTML incluso si pueden ser «perforados» por hackers expertos explotando agujeros de seguridad FTP o vulnerabilidades similares a XSS.

Para acciones de demostración contra instituciones o sitios de compañías importantes, el ataque a menudo se adopta DDoS. Acrónimo de Denegación de servicio distribuida, este tipo de piratería informática consiste en sobrecargar los servidores de un sitio con una cantidad anormal de solicitudes de acceso (ejercidas por miles de Pcs distribuidas en todo el mundo) con el fin de «colapsar» y hacer que sea inaccesible para Horas o días enteros. En resumen, no se puede decir que ningún sitio sea realmente seguro cuando se trata de ataques de piratas informáticos, pero si mantiene actualizada la estructura en la que se basan, los riesgos disminuyen considerablemente.