Tema 3

3. Arquitectura de bases de datos, superficies de ataque y vectores de riesgo

La seguridad de una base de datos no depende solo de contraseñas y permisos. Depende también de cómo está diseñada la arquitectura, qué componentes la rodean, por dónde puede ser alcanzada y qué caminos podrían usar atacantes o errores operativos para comprometerla.

Objetivo Entender cómo la arquitectura condiciona el riesgo
Enfoque Componentes, accesos y exposición
Resultado Identificar por dónde puede ser atacada una plataforma

3.1 Introducción

Una base de datos rara vez existe aislada. Forma parte de una arquitectura compuesta por aplicaciones, APIs, servicios de autenticación, sistemas operativos, redes, herramientas de administración, procesos de integración, respaldos y, en muchos casos, componentes en la nube. Cada uno de esos elementos agrega funcionalidad, pero también expone nuevas rutas de acceso y nuevas posibilidades de falla.

Por eso, para proteger correctamente una plataforma de datos no basta con revisar el motor. Hay que comprender su arquitectura completa. Una base puede estar bien configurada internamente y aun así quedar expuesta por una aplicación vulnerable, una consola administrativa mal publicada, una réplica abierta o un flujo de exportación sin controles.

Analizar la arquitectura permite responder preguntas fundamentales: desde dónde se conectan los usuarios, cómo llegan las aplicaciones, qué servicios hablan con la base, qué relaciones de confianza existen, qué dependencias críticas sostienen la operación y dónde aparecen puntos de exposición innecesarios.

3.2 Qué entendemos por arquitectura de bases de datos

La arquitectura de bases de datos es la forma en que se organizan los componentes técnicos y lógicos que almacenan, procesan, replican, respaldan y exponen datos. Incluye tanto la estructura interna del motor como el ecosistema en el que opera.

En términos prácticos, la arquitectura abarca:

  • El motor o instancia principal de base de datos.
  • Las aplicaciones y servicios que se conectan a ella.
  • Los mecanismos de autenticación y autorización.
  • La red y segmentación donde reside.
  • Las réplicas, backups, exportaciones y herramientas auxiliares.
La seguridad de una base de datos es el resultado de cómo interactúan sus componentes. Un solo eslabón débil en la arquitectura puede anular controles bien implementados en el resto.

3.3 Arquitecturas comunes en entornos de datos

No todas las plataformas exponen el mismo nivel de riesgo. La arquitectura elegida influye directamente en la superficie de ataque y en la complejidad de los controles.

Arquitectura Características Riesgos típicos
Monolítica local Aplicación y base en un entorno reducido o mismo servidor Poca separación de funciones, dependencia de un único host
Cliente-servidor tradicional Usuarios o aplicaciones se conectan a un servidor central Exposición de puertos, credenciales en clientes, acceso amplio
Tres capas Presentación, lógica de negocio y base separadas Errores en APIs, abuso entre capas, cuentas técnicas excesivas
Distribuida o replicada Múltiples nodos, replicación, alta disponibilidad Exposición de réplicas, sincronización insegura, complejidad operativa
Cloud administrada Servicio gestionado por proveedor con accesos remotos y automatización Mala configuración de red, secretos expuestos, dependencia del plano de control

3.4 Componentes que forman la superficie de ataque

La superficie de ataque es el conjunto de puntos desde los cuales un actor podría intentar acceder, alterar, extraer o interrumpir la base de datos. Identificarla es esencial porque muchas brechas no entran por el punto más obvio.

En una plataforma de datos típica, esa superficie puede incluir:

  • Puertos del motor expuestos en redes internas o externas.
  • Aplicaciones web, móviles o de escritorio que ejecutan consultas.
  • APIs e integraciones entre sistemas.
  • Consolas administrativas, shells y herramientas de soporte.
  • Jobs programados, ETL, scripts y procesos batch.
  • Réplicas, backups, exports y datasets de análisis.

Cuantos más caminos de acceso existan y menos control haya sobre ellos, más amplia será la superficie de ataque y más difícil será defenderla con consistencia.

3.5 Accesos directos e indirectos a la base de datos

No todos los riesgos nacen de conexiones directas al motor. De hecho, en muchas organizaciones la base no es accesible al usuario final, pero sí es alcanzable a través de componentes intermedios.

  • Acceso directo: conexión al motor mediante cliente SQL, consola, túnel o herramienta administrativa.
  • Acceso indirecto: interacción a través de una aplicación, servicio web, API o proceso automatizado.

Los accesos indirectos son especialmente relevantes porque una aplicación insegura puede transformar una base internamente aislada en un objetivo alcanzable. Si la lógica de negocio no valida entradas, usa cuentas con privilegios excesivos o expone funciones administrativas, la protección perimetral pierde efectividad.

3.6 Zonas de confianza y segmentación

Una arquitectura madura no ubica todos sus componentes en el mismo nivel de confianza. Separar zonas reduce el alcance de un incidente y obliga a controlar mejor las comunicaciones entre capas.

En un diseño razonable suelen existir zonas como:

  • Usuarios o clientes externos.
  • Capa de presentación o front-end.
  • Capa de servicios y lógica de negocio.
  • Capa de datos y almacenamiento.
  • Segmento administrativo o de operación.

Si la base de datos comparte red o nivel de confianza con aplicaciones expuestas, estaciones de trabajo o herramientas de terceros, la arquitectura se vuelve mucho más frágil. La segmentación no elimina el riesgo, pero limita la propagación y mejora la capacidad de control.

3.7 Vectores de riesgo ligados a la aplicación

Uno de los caminos más frecuentes hacia la base de datos es la propia aplicación. El usuario no necesita hablar con el motor si puede abusar del software que sí tiene permiso para hacerlo.

Entre los vectores más comunes se encuentran:

  • Entradas no validadas que permiten SQL Injection.
  • Cuentas de aplicación con privilegios innecesarios.
  • Errores de autorización que exponen registros de otros usuarios.
  • Funciones administrativas accesibles sin controles sólidos.
  • Consultas masivas o exportaciones sin límites ni auditoría.
Una base bien endurecida puede seguir siendo vulnerable si la aplicación que la usa actúa como un canal de acceso sin suficiente validación, autorización y trazabilidad.

3.8 Vectores de riesgo ligados a la infraestructura

La infraestructura también introduce riesgo. No alcanza con revisar tablas y roles si el servidor, la red o los servicios de soporte presentan debilidades evidentes.

  1. Puertos de base de datos expuestos a segmentos amplios o a internet.
  2. Sistemas operativos desactualizados o sin hardening.
  3. Credenciales almacenadas en archivos, scripts o variables poco protegidas.
  4. Accesos administrativos sin MFA, sin segmentación o sin registro.
  5. Servicios auxiliares innecesarios corriendo en el mismo host.

Muchas intrusiones no comienzan en la base, sino en el host o en la cuenta del operador. Una vez que el atacante obtiene posición sobre la infraestructura, la base de datos se convierte en un objetivo natural.

3.9 Réplicas, backups y activos derivados como puntos de exposición

Una plataforma de datos suele tener copias. Réplicas de lectura, snapshots, backups, exportaciones para análisis y dumps para desarrollo son útiles operativamente, pero también multiplican el número de lugares donde existe la información.

Estos activos derivados presentan riesgos característicos:

  • Réplicas accesibles desde entornos con menos controles.
  • Backups almacenados sin cifrado o en ubicaciones compartidas.
  • Exports descargados por usuarios sin seguimiento posterior.
  • Datasets de prueba con datos reales o parcialmente anonimizados.
  • Snapshots olvidados que siguen conteniendo secretos o datos históricos.

Desde el punto de vista del atacante, una copia menos protegida puede ser más atractiva que la base principal. Desde el punto de vista defensivo, el contenido conserva su sensibilidad aunque cambie el formato o el lugar donde reside.

3.10 Dependencias externas y terceros

La arquitectura moderna de datos rara vez termina en el perímetro de la organización. Intervienen proveedores cloud, servicios SaaS, plataformas de integración, herramientas de observabilidad, sistemas de ticketing, conectores ETL y consultores externos.

Dependencia Uso habitual Riesgo asociado
Proveedor cloud Hosting, backups, replicación, gestión Errores de configuración, exposición por IAM o red
Herramientas ETL Movimientos y transformaciones de datos Credenciales embebidas, exceso de permisos
BI y analítica Consultas, dashboards, exportaciones Extracción masiva o acceso indirecto no controlado
Soporte externo Mantenimiento o administración puntual Accesos temporales mal retirados o poco auditados
APIs de terceros Integración funcional con otros sistemas Intercambio inseguro de datos o validación débil

3.11 Riesgo por complejidad arquitectónica

Agregar componentes puede mejorar escalabilidad, disponibilidad y flexibilidad, pero también aumenta la complejidad. Y la complejidad, si no se gobierna bien, suele convertirse en riesgo.

Una arquitectura compleja presenta problemas como estos:

  • Más credenciales técnicas y más lugares donde protegerlas.
  • Más rutas de comunicación entre componentes.
  • Más configuraciones que revisar y mantener alineadas.
  • Más dificultad para saber qué depende de qué.
  • Más probabilidad de que existan activos olvidados o mal inventariados.

La complejidad no siempre es evitable, pero sí debe ser comprendida y administrada. Una arquitectura segura no es necesariamente la más simple, pero sí la más entendida y gobernada.

3.12 Ejemplos prácticos de superficie de ataque

Los conceptos anteriores se vuelven más claros cuando se los lleva a escenarios concretos.

  • Una API pública con una cuenta de base sobredimensionada amplía el impacto de cualquier falla de autorización.
  • Una consola de administración accesible por VPN sin MFA expone el control del motor a robo de credenciales.
  • Una réplica de lectura abierta a toda la red interna puede ser utilizada para exfiltrar datos sin tocar la primaria.
  • Un pipeline ETL con credenciales en texto plano transforma un proceso operativo en una puerta de entrada.
  • Un backup descargable desde un repositorio compartido convierte un archivo auxiliar en el punto más débil de toda la arquitectura.

3.13 Qué señales indican una arquitectura riesgosa

Existen patrones que suelen repetirse en plataformas con exposición elevada o controles poco maduros.

  • La base de datos acepta conexiones desde demasiados orígenes.
  • Las aplicaciones y operadores usan cuentas con privilegios altos por comodidad.
  • No está claro qué sistemas acceden realmente a cada instancia.
  • Existen copias de datos fuera del circuito oficial de respaldo y gobierno.
  • La administración se realiza desde estaciones comunes o segmentos poco confiables.
  • No hay trazabilidad suficiente sobre exportaciones, conexiones y cambios críticos.

Estas señales no implican necesariamente una brecha en curso, pero sí revelan una arquitectura que facilita errores, abuso de confianza y movimientos laterales.

3.14 Cómo reducir la superficie de ataque

Reducir la superficie de ataque no significa dejar la plataforma inutilizable. Significa exponer solo lo necesario y bajo condiciones estrictas.

  • Eliminar servicios, puertos, cuentas y herramientas que no se usan.
  • Restringir orígenes de conexión y segmentar capas funcionales.
  • Separar accesos administrativos de accesos operativos.
  • Limitar privilegios de aplicaciones, scripts y procesos batch.
  • Controlar y registrar exportaciones, réplicas y copias derivadas.
  • Revisar periódicamente arquitectura, dependencias y relaciones de confianza.
En seguridad, el mejor punto de exposición es el que no existe. El segundo mejor es el que está estrictamente controlado, segmentado y auditado.

3.15 Errores frecuentes al analizar la arquitectura

  • Revisar solo el motor y no los sistemas que llegan a él.
  • Ignorar réplicas, backups y entornos de prueba al mapear la superficie de ataque.
  • Asumir que la red interna es confiable por defecto.
  • No documentar flujos de datos entre aplicaciones, APIs y procesos automáticos.
  • Permitir accesos administrativos desde entornos generales de usuario.
  • No reevaluar la arquitectura después de cambios de negocio, nube o integraciones nuevas.

3.16 Qué debes recordar de este tema

  • La seguridad de una base de datos depende de toda su arquitectura, no solo del motor.
  • La superficie de ataque incluye aplicaciones, APIs, infraestructura, réplicas, backups y accesos administrativos.
  • Los accesos indirectos a través de software suelen ser tan o más peligrosos que los accesos directos al motor.
  • La segmentación y la reducción de exposición son claves para limitar el impacto de un incidente.
  • La complejidad arquitectónica aumenta el riesgo si no existe inventario, trazabilidad y gobierno técnico.

3.17 Conclusión

Comprender la arquitectura de una plataforma de datos es indispensable para defenderla. Solo cuando se identifican sus componentes, flujos y puntos de exposición es posible entender por dónde puede ser comprometida y qué controles tienen mayor prioridad.

En el próximo tema estudiaremos las amenazas más comunes sobre bases de datos, en especial SQL Injection, abuso de privilegios, fuga de información y manipulación maliciosa de datos.

Volver al índice