Vulnerabilidad de los sitios cruzados: qué es y cómo evitarlos

Katia Hernández
Tiempo de lectura: 4 min
Publicación: 03 mar, 2021

Hoy en día, en el mundo online suceden más ataques de ciberdelincuentes o hackers, existen casos donde las víctimas ni siquiera se enteran y esto sucede porque hay amenazas como las vulnerabilidades de sitios cruzados (CSRF), tan complicadas de prevenir si tu empresa no posee un software avanzado que los evite.

Esta vulnerabilidad permite que los atacantes puedan colocar secuencias de comandos maliciosas en páginas web y aplicaciones de confianza, instalando malware en los navegadores web. 

Un ataque CSRF atenta al navegador web de una víctima, explotando la confianza del usuario, sacando información previamente de algún servicio como el correo electrónico o tu cuenta bancaria online, enviando más tarde alguna petición HTTP falsa para que valides tus datos, como tal no daña directamente a los usuarios, sino que distribuye libremente un malware a miles de personas.

Así, el ciberdelincuente es capaz de realizar una acción a través de una víctima, ya que la actividad maliciosa será procesada en nombre del usuario conectado, la aplicación pensará que se trata de una petición legítima.

Cuando un ciberdelincuente realiza este tipo de ataques, puede publicar comentarios en redes sociales, enviar correos o mensajes en nombre del usuario, mover fondos, hacer transferencias, realizar pagos, cambiar la contraseña, entre otras actividades que le permita la web.

¿Qué-son-los-sitios-cruzados?

¿Cuáles son las secuencias de comandos en sitios cruzados?

Una secuencia de comandos en sitios cruzados (XSS) tienen como objetivo el código o la secuencia de comandos de una página web que se ejecuta en el navegador del usuario, no en el servidor del sitio web. 

En el momento en que el usuario es atacado, se introducen las secuencias de comandos maliciosas en tu navegador que intentarán dañar tu equipo. 

La variedad de ataques XSS es muy limitada, pero los más comunes suelen ser la recopilación de datos personales, el redireccionamiento de las víctimas a sitios controlados por hackers o el control del equipo por parte de estos.

Secuencias-de-comandos-en-sitios-cruzados

¿Cómo prevenir las vulnerabilidades de sitios cruzados para los usuarios?

Los usuarios finales, tienen dos maneras de evitar los ataques de XSS. 

Una, es no entrando a todos los vínculos que los sitios te muestran y otro método es no usar los lenguajes de secuencias de comandos dentro de tu navegador.  

Si tu empresa cuenta con aplicaciones o sitios web, debe poner en marcha algunos sistemas de seguridad para prevenir vulnerabilidades, para esto, existen diversos mecanismos que ayudan a evitar estos problemas.

  • Instalar un software antivirus de primera clase en tu equipo.
  • Configurar el software para que se actualice de forma automática.
  • Descargar un analizador para que se compruebe si el código de un sitio web es vulnerable.

Es tarea del propietario del sitio web localizar y solucionar las vulnerabilidades, ya que ahí se esconde el código malicioso que infecta a los usuarios; el hecho de advertir a tus usuarios que eviten sitios web sospechosos no es suficiente, sin embargo, existen herramientas online para detectar vulnerabilidades de XXS en los sitios web. 

A continuación te presentaremos algunas:

Validación del token secreto

El mecanismo que más se usa para prevenir estas vulnerabilidades, es solicitar información adicional en cada petición HTTP, es decir, emplear métodos de petición para indicar la acción que se desea realizar, determinando si viene de una fuente confiable. 

Este proceso consiste en la inclusión de un token secreto o valor aleatorio, este se genera e informa al navegador del usuario en el momento que inicie sesión.

Este código de validación no debe ser fácil de adivinar, incluso si una solicitud no incluye dicho código o este no coincide, el servidor rechazará la petición.

Envío doble de cookies

Consiste en una variante del mecanismo del token, aquí el código debe corresponder con el identificador de sesión en la cookie.

El servidor debe comprobar que ambas sean iguales en cada solicitud, pero como el sitio de donde proviene el ataque no es el mismo que el de la víctima, no se podrá realizar esta verificación, rechazando la petición.

Comprobación de la cabecera HTTP Referer

Cuando realizas una petición en una aplicación web el navegador emite una solicitud HTTP en la que se incluye una cabecera llamada referer, que indica la URL que inició la petición.

Con esta información, la cabecera puede saber si la segunda solicitud fue hecha desde el mismo sitio que la primera. Si el dominio no coincide entonces se evitará el ataque. 

Otro método que las empresas también emplean es la solicitud de credenciales o un CAPTCHA. 

Otros sitios suelen limitar el tiempo de vida de las sesiones, aunque es importante hacerlo de una manera que no afecte la usabilidad de la web para no perder a un potencial cliente.

Prevenir-a-tu-empresa-de-sitios-cruzados

Recomendaciones que pueden seguir los usuarios de tu sitio web

Además de las herramientas que te mencionamos anteriormente, tus usuarios pueden tomar otras medidas extras de seguridad.

Siempre aconseja a tus empleados y usuarios para que sigan algunas prácticas que minimicen los riesgos.

  • Deben configurar el navegador para que no se guarden nombres de usuarios ni contraseñas, recuerda que el código malicioso en los ataques CSRF aprovecha esta información.
  • Deben desconectarse de forma inmediata al terminar una transacción bancaria o financiera en un sitio web, nunca se debe minimizar o cerrar el navegador sin este paso previo.
  • Pueden emplear diversos navegadores, deben seleccionar uno para la información sensible y otro para la navegación en general. 
  • Usar el modo incógnito, también es una buena alternativa.
  • Desactivar los scripts o secuencia de comandos y guiones en el navegador, usar un complemento que los bloquee.

Recomendaciones-para-usuarios-para-evitar-los-sitios-cruzados

¿Los sitios cruzados son lo mismo que el phishing?

A pesar de que ambas son estafas antiguas y conocidas en Internet, el phishing es un tipo de fraude en las telecomunicaciones que emplea trucos de ingeniería social para obtener datos privados de sus víctimas.

Tiene tres componentes:

  1. El ataque es realizado mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
  2. El atacante se hace pasar por una persona u organización de confianza.
  3. El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.

Como su nombre lo dice, el ciberdelincuente sale de “pesca” para ver si alguna víctima cae. 

Algunos ciberdelincuentes incluso crean perfiles falsos en redes sociales, invierten un tiempo en desarrollar una relación con las posibles víctimas y esperan a que exista confianza para hacer saltar la trampa.

Spam vs phishing

Si pudieras elegir la menos dañina, definitivamente sería el spam. 

La principal diferencia entre ambos es que los spammers no tratan de perjudicar al destinatario. El spam es correo basura, solo son un montón de anuncios no deseados. Por otro lado, quien recurre al phishing desea robar tus datos y utilizarlos en tu contra.

Phishing-vs-sitios-cruzados

¿Cómo proteger a tu empresa de las vulnerabilidades de sitios cruzados con Servnet?

Actualmente se considera que el 70% de los sitios web son hackeables. 

Y aunque hayas implementado medidas para prevenir vulnerabilidades CSRF, debes conocer algunas de las técnicas que usan los atacantes, ya que estas evolucionan rápido.

Ten en mente, que después de una actualización o un cambio en el código de tu sitio, algunos controles pueden eliminarse y dejar el sitio vulnerable.

Para anticiparte a este tipo de situaciones es esencial que sigas acciones preventivas.

Servnet, se destaca frente a otras soluciones para prevenir vulnerabilidades CSRF, ofreciéndote:

  • Protección anti-DDoS. Te brindamos máxima seguridad en tu infraestructura a nivel de DNS para tus sitios web, aplicaciones móviles, tiendas de comercio electrónico, funcionamiento de APIs y productos SaaS.
  • Privacidad y seguridad. Tus datos y aplicaciones quedarán totalmente aislados y a tu disposición. Te ofrecemos los mejores niveles de seguridad para el cumplimiento de normas y protección de datos. 
  • Informes detallados. Estos te permitirán el acceso a estadísticas y reportes bien estructurados, poniéndote al tanto de cualquier incidencia que pueda surgir.

¿Cómo-proteger-a-tu-empresa-de-las-vulnerabilidades-de-los-sitios-cruzados-con-Servnet?

Conclusión

La próxima vez que tus usuarios y empleados entren a un sitio web, pídeles que comprueben cómo actúa el servidor, cuando tengan caché del navegador vacío, las cookies también se eliminarán durante este proceso.

Tendrán mucho menos trabajo si dejan que una herramienta confiable se ocupe de la mayor parte de la carga. 

La detección de amenazas inteligente con la que contamos, puede detectar y notificar los enlaces maliciosos y los archivos adjuntos infectados que los hackers podrían emplear contra tus usuarios.

Se actualiza automáticamente cada vez que se descubre un nuevo ataque, por lo que siempre estarás protegido en tiempo real ante las constantes amenazas que se producen todos los días en Internet.

Recuerda que prevenir vulnerabilidades CSRF es muy sencillo con Servnet, la seguridad de tus usuarios es fundamental para el éxito de tu empresa.

employe-img
NEWSLETTER

Suscríbete para conocer las noticias más relevantes de la industria.

Comparte tus comentarios