Como usuarios de Internet, muchas veces solo nos interesa lo que estamos buscando y en algunas ocasiones nos llama la atención lo que llegamos a encontrar mientras navegamos pero, ¡cuidado! existen varios tipos de ataques y fallas sobre aplicaciones Web que podrían causar que nuestra navegación por Internet no sea tan agradable y segura como quisiéramos, en donde personas malintencionadas se aprovechan de ciertas vulnerabilidades de la aplicación o descuidos del usuario para explotar y obtener información a la que se supone no deberían de tener acceso.
El fallo de aplicación Web se puede ver reflejado en un comportamiento inesperado de la misma, como la devolución de datos incorrectos, páginas en blanco y un conjunto de errores que provocan que los visitantes abandonen la aplicación ya que no saben qué hacer o cómo reaccionar ante el evento, éste tipo de errores resultan molestos y pueden llegar a “permitir” (mediante el uso de técnicas de ataque o intrusión) el acceso a personas maliciosas para ver información privada referente a los usuarios o también acceder a información importante de la aplicación Web en cuestión. Por ejemplo, si la aplicación Web de uso de banca en línea de nuestro banco no toma las medidas preventivas correspondientes (como utilizar cifrado en la transmisión de la información), un usuario malintencionado puede obtener información sensible (como número de cuentas bancarias o contraseñas).
Entre las fallas que podemos llegar a encontrar, están los mensajes de error, esto ocurre cuando la aplicación no permite visitar cierta parte de la aplicación (por ejemplo, una galería de fotos) que debería ser posible ver y entonces muestra mensajes como “404 Archivo no encontrado” o “500 Error interno del servidor” (ver Figura 1). Estos mensajes conllevan a que los usuarios dejen de visitar la página o servicio y así la compañía vaya perdiendo clientes.
Figura 1. Mensaje de error en una aplicación Web
Una mala práctica recurrente es ocultar valores o funciones de una aplicación Web que se saben no es seguras, para tratar de evitar el riesgo de comprometer al sistema (por ejemplo, tratar de ocultar la parte de nuestra aplicación donde se administren los datos que normalmente debería estar protegida con credenciales de usuario). Ocultar los errores en la aplicación ciertamente no los elimina y un usuario con conocimientos especializados puede encontrarlos con relativa facilidad empleando software y técnicas maliciosas.
Ejemplo de esto es un ataque llamado XSS (Cross Site Scripting) en el cual se puede esconder de varias maneras algún programa malicioso (virus, caballo de Troya, gusano, etc.) en una liga, de modo que al darle clic se instalan programas indeseables sin que nos percatemos de ello. Estos programas permiten posteriormente el acceso a la información que tenemos almacenada en nuestra computadora, nombres de usuario, contraseñas, datos personales, preferencias y cuentas bancarias que se ven expuestas al atacante poniéndonos en serios problemas.
A veces el XSS se puede ejecutar automáticamente cuando se abre un correo electrónico, archivos adjuntos del correo, al leer un artículo, o en un post. Por ello hay que ser cuidadosos al realizar alguna de éstas acciones. Una forma de evitar caer en este tipo de ataque es instalando alguna herramienta de software de seguridad (como antivirus o antispyware) que impida ejecutar el código script en nuestro navegador de Internet.
Otro problema es que nos podemos encontrar con enlaces o redireccionamientos a páginas no válidas pero que “parecen” ser legítimas, llevándonos a una copia de la página que solicitamos originalmente y en la cual se intenta instalar un programa malicioso en nuestra computadora o incluso engañar a la usuario para revelar información confidencial. Lo que podemos hacer en este caso es ser precavidos e ir solo a sitios Web en los que confiemos no utilizar ligas alternas o que estén dentro de un correo electrónico del cual dudemos de su procedencia.
Un ataque menos común, se lleva cabo cuando un atacante usurpa nuestra sesión autenticada, por ejemplo, en una aplicación Web de nuestra empresa ejecutándose a través de nuestro navegador para ingresar o realizar acciones en la aplicación a la que tenemos acceso. Este tipo de ataques se deben a la falta de verificación de las credenciales de usuarios en las aplicaciones por parte de los desarrolladores, por ejemplo, con el uso de cookies o variables de sesión de manera no segura. La aplicación Web no tiene manera de detectarlo (pues para ella, es un acceso válido) y el atacante realiza acciones o peticiones en nombre de un usuario sin su consentimiento. Lo que podemos hacer en este caso para disminuir el riesgo es:
- No mantener una sesión abierta en aplicaciones Web que no estemos usando.
- Configurar nuestro navegador para no permitir que guarde nombres de usuario ni contraseñas.
- No utilizar el mismo navegador para acceder a aplicaciones sensibles y para navegar por Internet libremente.
Un ataque directo a la aplicación Web es el que ocurre cuando un intruso intenta modificar la aplicación y obtener con ello información confidencial ya sea de la misma aplicación o bien dejarla fuera de servicio (tanto la aplicación como la computadora del usuario en algunos casos) logrando bloquear o detener el servicio, a esto se le conoce como Denegación de Servicio. La denegación de servicio ocasiona que uno como usuario no pueda tener acceso a cierta información, servicio o cuenta provocando en algunos casos, que no podamos realizar cierta tarea o trabajo.
Es importante que tanto los usuarios de aplicaciones Web como los desarrolladores de las mismas, tomen conciencia de los problemas de seguridad que se pueden presentar. Un reporte de la firma de seguridad Cenizc indica que en la primera mitad del año 2009, el 78% del total de la vulnerabilidades reportadas eran de aplicaciones Web, en la siguiente figura (Figura 2), se muestran los tipos de vulnerabilidades Web reportadas. Es por ello que debemos ser muy cuidadosos a la hora de navegar.
Figura 2. Vulnerabilidades reportadas de software comercial y libre.
Más información
Es importante señalar que estas no son las únicas amenazas al usar aplicaciones Web. Te invitamos a consultar más información que te ayudará a mantenerte protegido mientras navegas.
