Una consulta SQL es una petición de algún tipo de acción sobre una base de datos. La más habitual es la petición de un nombre de usuario y una contraseña en una página web. Dado que muchos sitios web solo supervisan la introducción de nombres de usuario y contraseñas, un hacker puede utilizar los cuadros de introducción de datos para enviar sus propias peticiones, es decir, inyectar SQL en la base de datos. De esta forma, los hackers pueden crear, leer, actualizar, modificar o eliminar los datos guardados en la base de datos back-end, normalmente para acceder a información confidencial, como los números de la seguridad social, los datos de las tarjetas de crédito u otra información financiera.
Dado que un ataque de inyección SQL puede afectar a cualquier sitio o aplicación web que utilice una base de datos basada en SQL, es una de las formas de ciberataque más peligrosas y más antiguas, pero también más frecuentes. Lo que es todavía más preocupante: las inyecciones SQL están más vigentes que nunca, ya que ahora existen programas de inyección SQL automatizada, lo que significa que los hackers pueden atacar y robar con más facilidad que nunca.
Desgraciadamente, si el atacante es bueno, no es posible detectar un ataque de inyección SQL hasta que sus datos ya estén publicados o se haya cometido el robo. Esto es especialmente cierto para la mayor parte de los usuarios, que desconocen si la base de datos en la que están iniciando sesión ha sido atacada.
Dado que un ataque de inyección SQL afecta más a los sitios web que a los equipos o dispositivos de los usuarios, la eliminación de una inyección SQL es responsabilidad de los sitios o aplicaciones web. Lo único que pueden hacer los usuarios es estar atentos a las noticias para saber si una empresa anuncia que su seguridad se ha visto comprometida. De esta forma, podrán actuar rápidamente para cambiar su información de inicio de sesión antes de que su cuenta sea hackeada.