«Espía en la base de datos»: las nuevas funciones de IA de SQL Server 2025 facilitan el robo de datos empresariales
Microsoft explicó por qué SQL Server 2025 puede filtrar datos a ciberdelincuentes y se negó a solucionarlo.
La base de datos dejó de ser simplemente un almacén de tablas hace tiempo, pero las nuevas funciones de SQL Server 2025 mostraron cuán peligroso puede ser esa transición. Expertos de SpecterOps descubrieron que las capacidades integradas para trabajar con IA pueden usarse no solo para su propósito previsto, sino también para extraer datos de la red corporativa y comunicarse con el servidor de mando de los atacantes.
El riesgo principal está relacionado con que SQL Server 2025 recibió herramientas integradas para conectarse a direcciones web externas y a modelos de IA. Entre ellas están la procedimiento sp_invoke_external_rest_endpoint, el comando CREATE EXTERNAL MODEL y la función AI_GENERATE_EMBEDDINGS. En un escenario normal, tales mecanismos ayudan a construir sistemas donde la base de datos interactúa con modelos externos, genera representaciones vectoriales del texto y participa en búsquedas sobre el conocimiento interno de la empresa.
El problema es que esos mismos mecanismos abren un canal cómodo hacia afuera. Si un atacante ya ha obtenido acceso a una cuenta con privilegios elevados en SQL Server, puede obligar a la base a enviar datos a un servidor externo vía HTTPS. Para transmitir datos de esta forma no hacen falta herramientas externas ni comandos visibles del sistema operativo. El propio servidor de la base realiza la solicitud, y el tamaño de los datos enviados puede alcanzar 100 MB de una sola vez.
En los ejemplos de demostración se enviaron mediante el nuevo mecanismo contenidos de tablas, archivos del disco y actualizaciones desde la base tras activarse un desencadenador. La última variante es especialmente peligrosa, porque permite no volcar la tabla completa, sino reenviar automáticamente los registros nuevos cada vez que se modifica algo. Para los sistemas de defensa ese tráfico puede parecer una petición habitual de SQL Server a un servicio de IA externo.
Otro escenario está relacionado con modelos externos ONNX. SQL Server permite especificar rutas de red, lo que puede forzar al sistema a autenticarse mediante el protocolo NTLM a través de SMB. Tal técnica permite interceptar hash o intentar retransmitir credenciales más adelante dentro del dominio. Microsoft recibió un informe sobre este comportamiento, pero lo consideró fuera del umbral de una vulnerabilidad.
La conclusión más alarmante está vinculada con el canal de mando. Las nuevas funciones se pueden combinar con capacidades ya existentes de SQL Server para obtener un método completo de comunicación con un servidor de control. En una variante, los comandos se ejecutaban mediante xp_cmdshell, y en otra más compleja, mediante un ensamblado .NET CLR cargado directamente en la memoria de SQL Server. Ese enfoque ayuda a camuflar el tráfico como si fuera trabajo con representaciones vectoriales para IA.
Para protegerse, los administradores deben revisar los privilegios de las cuentas de SQL Server y retirar el rol sysadmin donde no sea necesario. También hay que vigilar cuándo se habilita sp_invoke_external_rest_endpoint, cuándo se crean o modifican modelos externos, cuándo se ejecuta xp_cmdshell, cuándo se programan tareas del SQL Server Agent y cuándo se cargan ensamblados CLR. Los registros habituales de SQL Server suelen ser insuficientes para esa visibilidad, por lo que habrá que configurar auditoría o eventos avanzados para registrar el texto de las consultas.
Una medida adicional es prohibir las conexiones HTTPS salientes desde los servidores de bases de datos hacia direcciones desconocidas. Si las empresas usan realmente las funciones de IA, es mejor alojar los modelos dentro de su propia red y restringir estrictamente el tráfico externo. De lo contrario, el indicador habitual de un ataque —cuando la base de datos empieza de repente a conectarse a Internet— puede convertirse en un comportamiento "normal" que será más difícil distinguir de un abuso.
SQL Server 2025 evidencia un problema más amplio: las funciones de IA en productos corporativos amplían no solo las capacidades de los desarrolladores, sino también las herramientas de los atacantes. Cuando la base de datos obtiene un modo integrado de comunicarse con servicios externos, los defensores deben comprobar no solo la conexión en sí, sino el contenido de las peticiones, los roles de los usuarios y toda la cadena de acciones dentro del sistema.