| Noticias | 01 OCT 2008

Advierten de un serio fallo en algunas de las webs más importantes

Tags: Seguridad
Dos académicos de la Universidad de Princeton han descubierto un fallo de código en algunas de las páginas web más importantes a nivel mundial. Un agujero que puede poner en peligro datos personales e, incluso, hacerse con cuentas bancarias.
Arantxa Herranz

Este tipo de agujero se denomina Cross-Site Request Forgery (CSRF) y permite a un atacante hacer determinadas acciones en una página web comportándose como si fuera la víctima cuando ésta ha accedido con su nombre y contraseña.

Según William Zeller y Edward Felten, autores de la investigación, estos fallos CSRF han sido en su mayoría ignorados por los desarrolladores web debido a una falta de conocimiento de los mismos.

El error se ha podido localizar en las páginas web de The New York Times, ING Direct, una entidad bancaria estadounidense, en YouTube y en MetaFilter, entre otros.

Para sacar partido de este problema, un atacante tiene que crear una web especial y engañar a la víctima para que acceda a la página. La maligna está diseñada para enviar una “petición” por la que el usuario de una página irá a la otra desde su propio navegador.

Según los autores de esta investigación, el lenguaje de programación de Internet, HTML, hace que sea muy sencillo llevar a cabo este tipo de “peticiones”. Algunas web establecen una sesión de identificación, en las que parte de la información se guarda en una cookie o en un archivo de datos en el navegador. Esta sesión es contrastada cuando, por ejemplo, se hace una transacción on-line, con el fin de verificar que el navegador que se está conectando para hacer la operación.

Durante un ataque CSRF, la petición del hacker pasa a través del navegador de la victima. Aunque la web realice la sesión de identificación, no puede asegurarse de que la petición proviene de la persona correcta.

Así, según denuncian estos expertos, este error permite en la página del diario The New York Times obtener la dirección de correo electrónico de un usuario cuando se conecta. Una dirección de e-mail que puede ser objeto de spam, por ejemplo.

Evidentemente, las consecuencias en la web del banco ING podrían ser más alarmantes, según Zeller y Felten, ya que, según describen en el mencionado artículo, el fallo CSRF puede permitir crear una cuenta adicional, a la que transferir el dinero de la víctima al atacante. No obstante, los autores aseguran que ING ha solucionado el problema.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información