Las bases de datos siguen siendo uno de los principales objetivos de los ciberataques. En ellas se concentra la información más sensible de cualquier organización: datos de pacientes, fórmulas, historiales de producción, información financiera o datos personales de clientes. En la economía digital, la información es poder, y protegerla ya no es opcional.

En este artículo buscamos explorar cuáles fueron los incidentes más comunes de los últimos años y cómo evolucionó la protección de bases de datos en 2025, para ayudarte a reducir riesgos y tomar mejores decisiones en cuanto a ciberseguridad en el 2026.

Incidentes de seguridad recientes

Cada año se registran cientos de incidentes de ransomware y fugas de información que tienen como objetivo directo o indirecto las bases de datos corporativas, con impactos económicos, regulatorios y reputacionales difíciles de asumir. Recientemente hemos detectado importantes ciberataques que vale la pena resumir:

  • Snowflake (2024)
    En 2024 salió a la luz el ataque a entornos de clientes de la plataforma de datos en la nube Snowflake, que afectó a afectó a más de un centenar de organizaciones, entre ellas Ticketmaster, AT&T o Santander, y expuso información sensible tras el uso de credenciales robadas y cuentas sin autenticación multifactor. (Fuentes: CSA, Wired y The Hacker News)
  • Banco Santander (2024)
    Ese mismo año, Banco Santander reconoció un acceso no autorizado a una base de datos alojada en un proveedor externo que contenía datos de clientes y empleados en varios países. Este hecho obligó a la entidad a reforzar controles y notificar públicamente el incidente. (Fuente: Santander)
  • El Corte Inglés (2025)
    Y en marzo de 2025, El Corte Inglés informó de un ciberataque a uno de sus proveedores externos que permitió acceder a datos personales y números de tarjeta de compra de algunos clientes, recordando que incluso grandes compañías con importantes inversiones en tecnología son vulnerables cuando la cadena de suministro falla. (Fuente: Cinco Días)

Con la entrada en vigor de la Directiva NIS 2 en la Unión Europea, muchas empresas, incluidas pymes proveedoras de sectores críticos, se enfrentan además a nuevas obligaciones de ciberseguridad, plazos estrictos de notificación y sanciones relevantes en caso de incumplimiento. En este contexto, contar con una estrategia de seguridad en bases de datos coherente, actualizada y alineada con la normativa es clave para reducir riesgos y asegurar la continuidad del negocio.

La importancia vital de la seguridad en las bases de datos

La información sensible de la mayoría de compañías se almacena en sistemas gestores de bases de datos: SQL Server, Oracle, MySQL, PostgreSQL, bases de datos en la nube (Snowflake, Azure SQL, AWS RDS, BigQuery, etc.). Los atacantes buscan precisamente estos repositorios porque allí encuentran todo lo necesario para extorsionar, robar propiedad intelectual o cometer fraude.

Para lograrlo, explotan principalmente:

  • Contraseñas débiles o reutilizadas.
  • Configuraciones inseguras o por defecto.
  • Falta de parches y actualizaciones.
  • Ausencia de cifrado o de segmentación de la red.
  • Errores en aplicaciones que acceden a la base (inyecciones SQL, fallos de validación, etc.).

Durante años, la estrategia se basó en levantar un “castillo” alrededor de los sistemas: firewalls, IDS/IPS, antivirus, pero en 2025 el perímetro es difuso: trabajamos en remoto, usamos SaaS, multi cloud y proveedores externos que también tocan nuestros datos.

Casos recientes como los de Snowflake, Santander o El Corte Inglés demuestran que ya no basta con proteger la red interna: hay que asumir que los datos pueden estar repartidos entre múltiples plataformas y terceros.

Por eso, la seguridad de las bases de datos debe pasar de “proteger la muralla” a proteger los datos e identidades allá donde estén, bajo un enfoque Zero Trust.

Nuevos riesgos para las bases de datos en 2025

Además de las vulnerabilidades clásicas, hoy debemos tener en cuenta:

 

1. Entornos cloud y multi cloud mal configurados

Muchas organizaciones han llevado sus bases de datos a la nube por flexibilidad y escalabilidad. Sin embargo, configuraciones incorrectas, falta de MFA (autenticación multifactor) o claves de acceso expuestas en repositorios de código pueden abrir la puerta a fugas masivas de información.

El caso Snowflake mostró cómo la combinación de credenciales robadas por malware y entornos sin autenticación multifactor ni controles adicionales permite a un atacante pivotar entre múltiples bases de datos alojadas en la misma plataforma, con impacto en decenas o cientos de organizaciones a la vez.

Es habitual que una misma organización tenga datos repartidos entre varios proveedores (IaaS, PaaS, SaaS) y regiones, lo que complica el gobierno y la protección del dato si no se dispone de políticas y herramientas unificadas.

2. Ataques a la cadena de suministro

Cada vez más incidentes llegan a la empresa a través de sus proveedores. Un fallo en la seguridad de un tercero con acceso a nuestras bases de datos o sistemas puede convertirse en el “eslabón débil” que abre la puerta al atacante.

El incidente de Santander en 2024, donde se accedió de forma no autorizada a una base de datos de clientes y empleados alojada en un proveedor externo, o el ataque a un proveedor de El Corte Inglés en 2025, que expuso datos personales y números de tarjeta de compra de clientes, son ejemplos claros de cómo un tercero puede convertirse en la puerta de entrada a información crítica.

Esto afecta tanto a integradores, como a proveedores de software, hosting, servicios cloud o empresas que procesan información en nuestro nombre.

3. Robo de identidades y acceso privilegiado

Los atacantes roban credenciales mediante phishing, malware o infostealers y las utilizan para entrar como si fueran usuarios legítimos, a veces con privilegios elevados.

Si no hay autenticación multifactor, revisiones periódicas de permisos o monitorización de actividad, el ataque puede pasar desapercibido durante semanas y provocar fuga, destrucción o cifrado de grandes volúmenes de datos.

4. IA: herramienta para defender ¡y para atacar!

La inteligencia artificial se utiliza ya para detectar anomalías y patrones sospechosos en tiempo real, tanto en redes como en bases de datos. Modelos de machine learning permiten identificar comportamientos atípicos de usuarios, aplicaciones o servicios con acceso a información crítica.

Pero también aparece una nueva superficie de ataque: los modelos de IA generativa y sus integraciones con aplicaciones y bases de datos. Los ataques de prompt injection manipulan las instrucciones de los modelos para obtener datos o ejecutar acciones no autorizadas, y ya han sido objeto de advertencias específicas por parte de distintas agencias de ciberseguridad.

Vulnerabilidades más frecuentes en las bases de datos (que siguen vigentes)

Aunque el contexto haya cambiado, muchas debilidades clásicas siguen siendo las puertas de entrada en 2025:

Contraseñas débiles o sin MFA

Usuarios que utilizan combinaciones sencillas o repetidas en distintos sistemas, o accesos a bases de datos sin autenticación multifactor, facilitan el trabajo a cualquier atacante que haya conseguido credenciales filtradas o robadas.

Usuarios con más privilegios de los necesarios

Cuentas de aplicación y usuarios humanos con permisos de lectura, escritura y administración cuando solo necesitan consultar datos. Cualquier compromiso de estas cuentas puede derivar en borrado, cifrado (ransomware) o exfiltración masiva de información.

Funcionalidades innecesarias habilitadas

Módulos, servicios y paquetes instalados por defecto en el motor de base de datos, que no se usan, no se parchean y acaban siendo una puerta abierta a vulnerabilidades conocidas.

Bases de datos desactualizadas y sin cifrar

No aplicar parches críticos a tiempo supone dejar vulnerabilidades aprovechables de forma casi industrial por atacantes automatizados. Y si además la base de datos no está cifrada, cualquier acceso no autorizado permite leer los datos en claro.

Inyecciones SQL y validación insuficiente

La inyección SQL sigue siendo uno de los ataques más frecuentes contra aplicaciones web y APIs que acceden a bases de datos. La falta de validación de entrada, el uso de consultas dinámicas sin parámetros y la ausencia de pruebas de seguridad lo convierten en un clásico que todavía funciona demasiado bien.

Recomendaciones para proteger una base de datos en 2026

Basándonos en las buenas prácticas tradicionales, las actualizamos con una visión alineada a Zero Trust, cloud y NIS2 para que tengas una guía para comenzar el 2026 con el pie derecho en cuanto a ciberseguridad:

1. Identificar vulnerabilidades y superficie de exposición

  • Inventariar todas las bases de datos (on-premise, cloud, SaaS, entornos de laboratorio).
  • Analizar la configuración, parches, cifrado, roles y permisos.
  • Utilizar herramientas específicas de gestión de vulnerabilidades para bases de datos (scanners especializados, revisores de configuración, etc.) que automaticen esta tarea y generen informes claros de riesgo.

El objetivo es pasar de “creo que está seguro” a “sé exactamente dónde están mis debilidades”.

2. Adoptar principios Zero Trust en el acceso a datos

  • Aplicar principio de mínimo privilegio: cada usuario y cada aplicación solo ve y hace lo estrictamente necesario.
  • Implementar MFA obligatorio para accesos administrativos y a bases de datos críticas.
  • Segmentar la red y/o utilizar microsegmentación para evitar movimientos laterales en caso de compromiso.
  • Revisar periódicamente los permisos y desactivar cuentas huérfanas o no utilizadas.

3. Mantener el software siempre actualizado (y simplificar cómo se gestiona)

  • Establecer un proceso de gestión de parches para motores de base de datos, sistemas operativos y librerías de acceso (drivers, frameworks, etc.).
  • Donde no sea posible actualizar de inmediato (por requisitos regulatorios o de validación), valorar soluciones de virtual patching o controles compensatorios.
  • Priorizar la simplicidad a la hora de gestionar: menos productos, mejor integrados, con visibilidad centralizada.

4. Monitorizar y auditar la actividad de la base de datos

  • Implementar soluciones de Database Activity Monitoring (DAM) o funcionalidades equivalentes en la nube para registrar accesos, consultas sensibles y cambios críticos.
  • Generar alertas ante comportamientos anómalos:
    • Accesos fuera de horario.
    • Grandes volúmenes de lectura de datos sensibles.
    • Consultas ejecutadas por cuentas que no suelen hacerlo.
  • Integrar estos registros con herramientas de SIEM o SOC para disponer de correlación y respuesta centralizada.

5. Cifrado y protección del dato

  • Cifrar datos en reposo (en la base de datos y en copias de seguridad).
  • Cifrar datos en tránsito entre aplicaciones, servicios y usuarios.
  • Gestionar de forma segura las claves y secretos (HSM, gestores de secretos, rotación periódica, etc.).

6. Cumplimiento normativo continuo (GDPR, NIS2 y sectorial)

  • Definir un marco de controles alineado con GDPR, NIS2 y normativa específica del sector (farma, sanitario, industria, etc.).
  • Automatizar en la medida de lo posible las evidencias de auditoría, los informes de accesos y la trazabilidad de cambios.
  • Preparar procedimientos claros para la notificación de incidentes dentro de los plazos que exige la normativa.

7. Concienciación y gobierno

La tecnología sin gobierno y sin cultura de seguridad se queda corta:

  • Formar a equipos de TI, desarrollo y negocio en buenas prácticas de seguridad en bases de datos.
  • Establecer políticas de contraseñas, MFA y uso de cuentas privilegiadas.
  • Incluir la seguridad de bases de datos en el gobierno global de ciberseguridad y en los comités de riesgo.

Mejora tu estrategia de seguridad con Ambit Iberia

En Ambit Iberia ayudamos a empresas de sectores regulados y críticos a proteger sus datos más sensibles, tanto en entornos on-premise como en la nube. Acompañamos a nuestros clientes en todo el ciclo:

  • Evaluación de riesgos y diagnóstico de la situación de tus bases de datos.
  • Diseño de una estrategia de seguridad alineada con NIS2, GDPR y la normativa sectorial.
  • Implantación de soluciones de monitorización, gestión de vulnerabilidades, cifrado y control de accesos.
  • Soporte continuo para mantener y mejorar el nivel de seguridad en el tiempo.

Si quieres revisar la seguridad de tus bases de datos o adaptarte a las nuevas obligaciones regulatorias, podemos ayudarte a definir la estrategia adecuada para tu organización. Contáctanos.