En el mundo online hay cada vez más ataques de ciberdelincuentes, muchos de los cuales no salen a luz porque las víctimas ni siquiera se enteran. Y es que hay amenazas como las vulnerabilidades de sitios cruzados o CSRF (del inglés Cross Site Request Forgery), tan difíciles de prevenir y detectar que hay que utilizar software avanzados para evitar mayores problemas.
Un ataque CSRF es una técnica maliciosa que obliga al navegador web de una víctima, autenticada previamente en algún servicio como correo electrónico o banca online, a enviar una petición HTTP falsa a una aplicación web vulnerable.
Así el ciberdelincuente es capaz de realizar una acción a través de su víctima, ya que la actividad maliciosa será procesada en nombre del usuario conectado, por lo que la aplicación pensará que se trata de una petición legítima.
Las vulnerabilidades CSRF explotan la confianza del usuario,y se llevan a cabo solo cuando este ha validado sus datos en una aplicación o sitio web. Al introducir solicitudes que parecen válidas, pero que son falsificadas, el atacante podrá modificar el comportamiento de la aplicación a su favor.
Al ejecutar este tipo de ataques, un ciberdelincuente podría publicar comentarios en redes sociales, enviar correos o mensajes en nombre del usuario, mover fondos, hacer transferencias o realizar pagos, cambiar la contraseña u otros parámetros del usuario en la aplicación vulnerada y realizar básicamente cualquier acción que permita la web.
Cómo prevenir las vulnerabilidades de sitios cruzados o CSRF
Toda empresa que cuente con aplicaciones o sitios web debe poner en marcha algunos sistemas de seguridad para prevenir vulnerabilidades CSRF. Existen diversos mecanismos que ayudan a evitar estos problemas; aunque hay algunos más usados que otros porque ofrecen mejores resultados.
Validación del token secreto
El mecanismo más usado para prevenir vulnerabilidades de sitios cruzados es solicitar información adicional en cada petición HTTP para determinar si en realidad viene de una fuente confiable. Este proceso consiste en la inclusión de un token secreto o valor aleatorio; que se genera y se informa al navegador del usuario en el momento que inicie sesión.
Este código de validación debe ser difícil de adivinar y si una solicitud no incluye dicho código o este no coincide con el valor esperado, el servidor rechazará la petición.
Envío doble de cookies
Otra acción que puede ayudar a prevenir la falsificación de solicitudes en sitios cruzados es el envío doble de cookies. Se trata de una variante del mecanismo del token; ya que en este caso el código debe corresponderse con el identificador de sesión en la cookie.
El servidor debe comprobar que ambas sean iguales en cada solicitud. Pero como el sitio de donde proviene el ataque no es el mismo que el de la víctima; no se podrá realizar esta verificación y por ende, se rechazará la petición.
Comprobación de la cabecera HTTP Referer
También es posible prevenir vulnerabilidades de sitios cruzados comprobando la cabecera HTTP Referer. Cuando realizas una petición en una aplicación web el navegador emite una solicitud HTTP en la que se incluye una cabecera llamada ‘Referer’ que indica la URL que inició la petición.
Gracias a esta información, la cabecera puede saber si la segunda solicitud fue hecha desde el mismo sitio que la primera. Si el dominio no coincide entonces se evitará el ataque. Sin embargo, este mecanismo no suele usarse mucho; ya que la cabecera Referer muestra información sensible que afecta la privacidad de los usuarios como el contenido de la búsqueda hecha por el usuario.
Otras opciones
Además de los mecanismos anteriores, las empresas también pueden aplicar otras acciones como solicitar al usuario credenciales o un CAPTCHA. Asimismo, muchos sitios suelen limitar el tiempo de vida las sesiones, aunque es importante hacerlo de una manera que no afecte la usabilidad de la web.
Hábitos recomendados que ayudan a evitar vulnerabilidades de sitios cruzados
A través de la validación del token secreto, del envío doble de cookies, de la comprobación de la cabecera HTTP Referer; y otras acciones las empresas pueden prevenir vulnerabilidades CSRF en sus sistemas.
Sin embargo, como medida extra de seguridad se recomienda aconsejar a los usuarios para que sigan algunas prácticas que podrían ayudar a minimizar los riesgos.
● Configurar el navegador para que no guarde nombres de usuarios ni contraseñas; ya que el código malicioso en los ataques CSRF, por lo general, se escribe para aprovechar esta información.
● Desconectarse de forma inmediata al terminar una transacción bancaria o financiera en un sitio web. Nunca se debe minimizar o cerrar el navegador sin este paso previo.
● Utilizar diferentes navegadores. Elegir uno para la información sensible y otro para la navegación en general. Utilizar el modo incógnito es una buena alternativa también.
● Desactivar los scripts en el navegador o utilizar un complemento que los bloquee.
Cómo protegerte de las vulnerabilidades de sitios cruzados con Acunetix
Hoy día se considera que el 70% de los sitios web son hackeables. Y aunque hayas implementado medidas para prevenir vulnerabilidades CSRF; debes saber que las técnicas de los atacantes evolucionan rápido, por lo que siempre debes estar atento. Recuerda además que después de una actualización o un cambio en el código de tu sitio; algunos controles podrían eliminarse y dejar el sitio vulnerable.
Para anticiparte a este tipo de situaciones es esencial que sigas acciones preventivas y una de ellas es utilizar Acunetix. Una herramienta automatizada para la seguridad, cuyo trabajo es escanear los sitios web para detectar amenazas. Para hacerlo utiliza sus rastreadores, con los que analiza los directorios de tu web para identificar anomalías.
Acunetix, además, se destaca frente a otras soluciones para prevenir vulnerabilidades CSRF
porque:
- Escanea cualquier sitio web accesible a través de Http o Https. Además, está en capacidad de analizar aplicaciones que usan bibliotecas complejas como las basadas en HTML 5, PHP y Javascript.
- Ofrece seguridad de los datos.
- Proporciona informes detallados y permite el acceso a estadísticas y reportes bien estructurados.
- Cuenta con una interfaz amigable e intuitiva.
Prevenir vulnerabilidades CSRF es muy sencillo con Acunetix. Recuerda que la seguridad de tus usuarios es fundamental para el éxito de tu empresa.
Si quieres aprovechar las ventajas de esta solución de seguridad, no dudes en contactarnos. En GB Advisors contamos con especialistas en el área que te ofrecerán toda la información que necesitas.