Eymoutiers, Francia, 11 de febrero de 2026

Dalibo publica PostgreSQL Anonymizer 3.0, una nueva versión principal de su extensión orientada a la privacidad por diseño.

Mejor Protección de la Privacidad para los Datos

PostgreSQL Anonymizer es una extensión que oculta o reemplaza información de identificación personal (PII) o datos sensibles de carácter comercial en una base de datos PostgreSQL.

La extensión ofrece 6 estrategias distintas de enmascaramiento:

• Enmascaramiento Dinámico – Protección de datos en tiempo real
• Enmascaramiento Estático – Transformación permanente de datos
• Enmascaramiento de réplicas – Replicación lógica anonimizada
• Enmascaramiento de respaldos – Exportación de bases de datos con protección de privacidad
• Vistas de Enmascaramiento – Visibilidad de datos controlada
• Conectores de Datos Enmascarados – Protección extendida entre sistemas

Cada estrategia se complementa con un conjunto mejorado de Funciones de Enmascaramiento, que incluyen técnicas avanzadas como: Sustitución, Aleatorización, Falsificación, Pseudonimización, Revuelto parcial, Barajado, Adición de ruido y Generalización.

La extensión puede instalarse mediante paquetes Debian y RPM, un rol de Ansible, una imagen de Docker, entre otros métodos. También está disponible en los principales proveedores de DBaaS, incluyendo: Alibaba Cloud, Crunchy Bridge, Google Cloud SQL, Microsoft Azure Database, Neon, Yandex.

También está disponible en forks de PostgreSQL como EDB Advanced Postgres, Greenplum y Yugabyte.

Consulte la sección INSTALACIÓN de la documentación para más detalles.
<

Enmascaramiento estático en paralelo

En bases de datos de gran tamaño, el enmascaramiento estático puede ser una operación costosa en tiempo. Para mejorar el rendimiento, la extensión soporta enmascaramiento estático en paralelo utilizando workers en segundo plano de PostgreSQL.

En lugar de usar anon.anonymize_database(), es posible usar la versión paralela:

sql SELECT anon.anonymize_database_parallel(4);

El parámetro especifica el número de workers paralelos. La función:

1. Analiza las relaciones de claves foráneas entre tablas
2. Agrupa tablas para evitar violaciones de restricciones
3. Distribuye el trabajo entre múltiples workers
4. Procesa tablas en paralelo cuando es posible

Esta característica fue añadida por Pierre-Marie Petit.

Importación / exportación JSON

Cuando una política de enmascaramiento contiene muchas reglas, mantenerlas como etiquetas de seguridad puede resultar complejo. Para facilitar la automatización y la gestión, las reglas ahora pueden importarse y exportarse en formato JSON mediante las funciones:

• anon.export_current_database_rules(policy text DEFAULT 'anon')
• anon.export_roles_rules(policy text DEFAULT 'anon')
• anon.import_database_rules(database_rules jsonb, policy text DEFAULT 'anon')
• anon.import_roles_rules(role_rules jsonb, policy text DEFAULT 'anon'

Dado que los roles son objetos a nivel de instancia, deben gestionarse por separado.

Esta característica fue aportada por Benoit Lobréau.

Actualizaciones de seguridad importantes

La versión 3.0 incluye correcciones para dos vulnerabilidades críticas que permitían a los usuarios obtener privilegios de superusuario en determinadas circunstancias. El riesgo es muy alto en PostgreSQL 14 y en instancias actualizadas desde PostgreSQL 14 o versiones anteriores.

Todos los usuarios deberían actualizar a la versión 3.0 lo antes posible.

Si no es posible una actualización inmediata, se recomienda aplicar la siguiente mitigación:

REVOKE CREATE ON SCHEMA public FROM PUBLIC;
DROP FUNCTION anon.get_tablesample_ratio(OID);

Para más detalles, consulte los issue 616 (CVE-2026-2360) y 617 (CVE-2026-2361).

Deprecaciones y funciones eliminadas

Esta versión principal incluye una serie de cambios importantes, sobre todo:

• PostgreSQL 13 ya no está soportado 
• El enmascaramiento estático heredado quedó obsoleto desde la versión 2.0 y ahora se ha eliminado por completo.
• La vista anon.pg_masking_rules ha sido reemplazada por anon.{all|sys|user}_rules
• El soporte para RHEL 8 está obsoleto y se eliminará completamente en la versión 4.0 (2027)

Para consultar las instrucciones de actualización, consulten la sección ACTUALIZACIÓN de la documentación.

Agradecimientos

Esta versión también incluye código, correcciones de errores, documentación, revisiones de código e ideas aportadas por Pierre-Marie Petit, Benoit Lobréau, Robin Portigliatti, Ludovic Gilbon y otros contribuidores.

Agradecemos al equipo de Efluid por sus ideas, comentarios y pruebas

Un agradecimiento especial también al equipo de PGRX por su increíble trabajo

¡Únanse a nuestra comunidad para mejorar la privacidad de los datos!

PostgreSQL Anonymizer forma parte de la iniciativa de Dalibo Labs. Está desarrollado principalmente por Damien Clochard.

Este es un proyecto abierto y las contribuciones son bienvenidas. ¡Necesitamos sus comentarios e ideas! Hágannos saber qué les parece esta herramienta, cómo se adapta a sus necesidades y qué características consideran que faltan.

Si desean colaborar, pueden consultar aquí una lista de trabajos menores.