Skip to content

Tienes inyección SQL en una aplicación en producción y podrías volcar toda la base de datos de clientes para probar el impacto. ¿Cuál es la prueba responsable?

Respuesta breve

Demuestra la vulnerabilidad sin perjudicar al cliente ni acumular sus datos: muestra que puedes leer datos arbitrarios mediante la versión de la base, el esquema o una sola muestra anonimizada, y detente ahí. Volcar todo el conjunto de datos personales genera responsabilidad de notificación de brecha y de tratamiento para ambas partes. Eliminar una tabla es destructivo y va mucho más allá de una prueba de concepto. Cifrar la base y exigir una recompensa es extorsión, no una prueba: es un delito, no un hallazgo.

El objetivo de una prueba de penetración es demostrar el riesgo para que se corrija, no materializar ese riesgo contra el cliente. Con una inyección SQL puedes probar la vulnerabilidad de forma concluyente sin tocar jamás datos reales de clientes.

Por qué la demostración mínima es lo correcto

Extrae algo que pruebe acceso de lectura arbitrario pero sea inofensivo: la cadena de versión de la base, el usuario actual, el esquema, un COUNT(*) de una tabla sensible o un único registro con los campos sensibles ocultos. Esa evidencia es inequívoca —muestra que puedes leer datos que no deberías— y a la vez no deja datos personales en tus manos ni crea una nueva brecha. Es la minimización de datos aplicada al trabajo ofensivo, y es exactamente lo que hace un tester maduro.

Por qué las demás opciones están mal

  • Volcar toda la base de datos de clientes. En el instante en que exfiltras datos personales reales, probablemente has causado tú mismo una brecha notificable, activando deberes de notificación bajo el RGPD/CCPA y creando una responsabilidad de custodia y eliminación para ti y para el cliente. Un volcado más grande no prueba el fallo mejor que un recuento de filas.
  • Eliminar una tabla. Es destructivo y queda muy fuera de una prueba de concepto. Probar el acceso de escritura nunca exige dañar datos de producción: puede demostrarse de forma más segura (por ejemplo, un marcador benigno y reversible en un campo no crítico, solo si está autorizado).
  • Cifrar la base y exigir una recompensa. Eso es ransomware y extorsión. Es un delito, sin más, y lo contrario de la relación de confianza de la que depende una prueba.

Qué evalúa un entrevistador

Quiere moderación y comprensión de la responsabilidad. Un candidato débil equipara un volcado espectacular con un impacto impresionante. Uno fuerte sabe que la prueba más profesional es la más pequeña que zanja la cuestión, porque cada byte adicional de datos de clientes que tocas es un riesgo que importas sobre ti mismo y sobre tu cliente.

Posibles preguntas de seguimiento

  • ¿Cómo pruebas que existe acceso de escritura sin modificar ni destruir datos realmente?
  • ¿Qué obligaciones de protección de datos surgen en el momento en que exfiltras datos personales reales?
  • ¿Cómo evidenciarías el hallazgo de forma segura para el informe?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.