A medida que aumenta el número de empresas que aprovechan los beneficios de hacer negocios a través de internet, también lo hacen las aplicaciones web y otras tecnologías necesarias (muchas veces imprescindibles) para el procesamiento, el almacenamiento seguro y la transmisión de los datos confidenciales de los clientes.
Características como el correo electrónico, las páginas de inicio de sesión, los formularios de solicitud de soporte, los típicos carritos de la compra y los diversos sistemas de administración de contenidos, son necesarias para que los sitios web modernos puedan brindar a las empresas los medios necesarios para comunicarse e interactuar con las personas que utilizan sus servicios.
Y en este sentido, tanto las propias páginas web como las diferentes aplicaciones que utilizan, en un momento dado, pueden presentar vulnerabilidades susceptibles de ser explotadas por los villanos.
Si bien no son nuevos, estos ataques continúan siendo los primeros de la lista. Intentaremos explicar de la forma más breve posible los conceptos básicos de cada uno de ellos.
Secuencias de comandos entre sitios
Mediante los ataques de secuencias de comandos en sitios (Cross-Site Scripting) los delincuentes engañan al navegador de la víctima para que ejecute código malicioso.
- Una persona visita una página web o utiliza una aplicación como por ejemplo un formulario implementado en el sitio.
- Esta página web o aplicación se convierte en el vehículo para entregar el script malicioso al navegador del usuario.
- El navegador no tiene forma de saber que no se debe confiar en el script y lo ejecuta.
Tipos principales de ataque.
- XSS reflejado: el script malicioso hace que el usuario entre en un sitio web manipulado por el atacante y lo considere confiable. Muy útil para los ataques de phishing.
- XSS almacenado: el script malicioso aprovecha un agujero de seguridad en el servidor que aloja la página web.
- XSS basado en DOM: no requiere de ninguna vulnerabilidad en un servidor web. El código malicioso se envía directamente al usuario y se ejecuta en el navegador.
El código malicioso puede filtrar datos, instalar malware o redirigir al usuario a un sitio de phishing que por ejemplo imite perfectamente la pantalla de inicio de sesión de la banca en línea.
Podemos protegernos contra la mayoría de ataques de secuencias de comandos entre sitios, prohibiendo que el navegador web ejecute secuencias de comandos como JavaScript, pero muchas veces esto deshabilitará algunas funciones de las páginas web.
También hay complementos para los principales navegadores web como Script Blocker y NoScript, que impiden la ejecución arbitraria de scripts.
Ataques de inyección SQL
Básicamente, los delincuentes utilizan código SQL malicioso para manipular la base de datos de un servidor web con el objetivo de acceder a información que en principio no estaba destinada a mostrarse públicamente.
SQL es un lenguaje estándar para almacenar, manipular y recuperar información almacenada en una base de datos estructurada.
Esta información puede incluir datos confidenciales de una empresa como por ejemplo listas de clientes, direcciones postales, nombres de usuario y contraseñas, direcciones de facturación, correos electrónicos, datos bancarios, etc.
Para prevenir este tipo de ataques, los servidores suelen emplear un firewall de aplicaciones web (WAF) para filtrar y detener SQLI, y otras amenazas en línea.
Por lo tanto, es muy importante elegir un proveedor de alojamiento web de confianza y huir del hosting gratuito.
Broken Authentication (Autenticación rota)
La autenticación rota generalmente es causada por funciones de administración de inicio de sesión y autenticación de usuarios mal implementadas.
Este tipo de ataques tienen como objetivo apoderarse de una o más cuentas, otorgando al atacante los mismos privilegios que el usuario legítimo, en el peor de los casos los del administrador.
Se puede ejecutar de varias maneras: por ejemplo, mediante ataques de fuerza bruta, relleno de credenciales, o ataques de diccionario.
Prevenir los ataques de autenticación rota puede ser tan fácil como ocultar el formulario de inicio de sesión del administrador, crear una contraseña segura, y sobre todo implementar la autenticación multifactor (MFA) para todos los usuarios del sitio.
Drive-by download (Descargas automáticas)
Mediante este tipo de ataque basta con entrar en una página web comprometida para que se descargue en segundo plano código malicioso en un dispositivo.
Para ello, los villanos aprovechan (o explotan) los navegadores web, las aplicaciones y los sistemas operativos desactualizados o que presentan vulnerabilidades de seguridad.
Generalmente utilizando kits de exploits.
El código malicioso puede ocultarse en sitios web perfectamente legítimos que visitamos todos los días, sin el conocimiento de sus propietarios.
Mientras disfrutamos tranquilamente de sus contenidos, la descarga se está ejecutando en nuestro dispositivo.
Los delincuentes suelen utilizar esta técnica para la difusión de adware, ransomware, keyloggers, puertas traseras y también para el minado de criptomonedas.
Para evitar estos imponderables es imperativo tener el sistema operativo actualizado y las últimas versiones de los navegadores web y sus extensiones.
MiTM (hombre en el medio)
Los ataques man-in-the-middle son comunes en los sitios que no cifran los datos a medida que viajan desde los navegadores de los usuarios hasta el servidor donde se aloja la página web (sitios que usan HTTP en lugar de HTTPS).
El perpetrador intercepta los datos mientras se transfieren entre las dos partes.
Si los datos no están cifrados, el atacante puede leer fácilmente los datos confidenciales que viajan entre dos ubicaciones en Internet.
Una forma sencilla de mitigar el ataque de intermediario es instalar un certificado de capa de conexión segura (SSL) en el sitio web.
Este certificado encripta toda la información, por lo que el atacante, aunque logre interceptarla, no podrá ver que contiene.
Por lo general, la mayoría de los proveedores de alojamiento ya cuentan con un certificado SSL gratuito incluido en sus paquetes de alojamiento.
Por nuestra parte, los usuarios tenemos que evitar registrarnos, o facilitar ningún tipo de información sensible en sitios que no utilicen un certificado de seguridad.
