¿Qué es el cross-site scripting (XSS)?

Lo que ocurre a continuación es el robo de la información de los usuarios de este sitio web. Este script malicioso suele infectar los campos de acceso para poder robar los datos de acceso y las cookies instaladas en los navegadores de los usuarios. De esta forma, el software registrará estos datos y los transmitirá a un hacker, que luego utilizará esa información para hacerse con el control de las cuentas de los usuarios afectados.

Un ataque de cross-site scripting es el acto de inyectar programación maliciosa de una web “agresora” en una web amigable y sin pretensiones. Así es como surgió el término cross-site scripting, es decir, la secuencia de comandos en sitios cruzados.

El término original se refería exclusivamente al lenguaje de programación JavaScript. Sin embargo, décadas después de que se acuñara este nombre original, ahora el término XSS abarca también a vectores que no son de JavaScript, como por ejemplo ActiveX, Flash, HTML y muchos otros.

Para terminar de comprender qué son los ataques xss, te presentamos varios ejemplos. Compara sus características y la forma en la que actúan.

Se trata del tipo de ataque de cross site scripting más común. El XSS reflejado se produce cuando un usuario envía una solicitud al servidor de una web. Entonces, el script malicioso inyectado por el hacker se refleja en el servidor, con lo que en la pantalla de la víctima puede aparecer como un mensaje de error, o incluso como resultados de búsqueda.

Cuando esto tiene lugar, la víctima hará clic en un botón o enlace que se le indique, ejecutando así el código infeccioso y descargando el malware en su dispositivo. Esto tiene lugar porque el navegador de la víctima acaba de ser engañado para que piense que el código anterior procede de un servidor de confianza, cuando, en realidad, procede de un hacker. Por esto, toda la información introducida en la web comprometida será enviada al hacker.

Un ataque XSS directo o XSS persistente es el segundo tipo de ciberataque de cross site scripting más extendido. En este caso, este ciberataque tiene lugar cuando una aplicación o una web se encuentra afectada por un software de código malicioso que ha infectado todas sus respuestas HTTP.

Por ejemplo, el software malicioso podría estar almacenado en el campo de comentarios de una web, donde puede activarse si se hace clic sobre él. El peligro del XSS persistente es que el hacker ya ha tendido la trampa y no necesita atraer a una víctima potencial para que siga un enlace. Todo lo que tiene que hacer es poner el cebo y esperar, de manera que el hackeo se puede producir de forma pasiva.

Finalmente tenemos el tercer tipo de ciberataque mediante XSS, conocido como XSS basado en DOM. El DOM –Modelo de Objetos del Documento– que se crea cuando alguien abre una página web es lo que permite a un usuario acceder a todo el contenido de una página sin tener que interactuar con el servidor.

En los ataques XSS reflexivos y persistentes, las señales de peligro pueden ser evidentes en el HTML de la página de respuesta. En cambio, la principal amenaza del DOM XSS radica en que resulta imposible darse cuenta de la vulnerabilidad sin profundizar en el código de la web. Por esto, salvo que se tenga conocimientos muy avanzados de tecnología y se realice un análisis manual exhaustivo de cada web que se visita, es muy difícil detectar este tipo de ciberataque.

Los ataques de este tipo pueden permitir el robo de contraseñas o credenciales de acceso en tu dispositivo, aprovechar los datos de tu tarjeta de crédito en beneficio de los hackers, o infectar tu dispositivo con todo tipo de malware, incluyendo keyloggers –capaces de registrar tus contraseñas cuando las escribes con el teclado– o ransomwares. Por esto resulta esencial adoptar las medidas necesarias para protegerte al navegar online.

Por desgracia, es muy difícil defenderse de los ataques XSS, porque en este tipo de ciberataques el malware se dirige a las webs que visitas, y no a tu dispositivo personal.

Como ocurre con muchos otros tipos de malware, la mejor manera de evitar ser víctima de ellos es el conocimiento. Educarse para reconocer las señales antes de activar accidentalmente cualquier código malicioso debería ser una prioridad para cualquiera que quiera asegurar su actividad online.

• Acostúmbrate a vigilar tu URL regularmente. Si detectas que algo parece fuera de lo normal, desconfía de cualquier acción futura que puedas o no realizar en esa web.
• Para quienes tengan más conocimientos técnicos, siempre puedes profundizar en el código de cada página web que abras para comprobar si hay algún script que no corresponda.
• Chrome, Safari, Internet Explorer y la mayoría de los navegadores robustos tienen funciones de seguridad integradas que ayudan a detectar y bloquear el XSS reflejado. Los navegadores más antiguos pueden no tener esta función.
• La función Protección contra amenazas de NordVPN proporciona una capa adicional de kevlar digital: nuestra lista negra de webs maliciosas, que se actualiza continuamente, te detendrá antes de que actives una infección por accidente.