Prácticamente a nadie le gusta ver anuncios cuando navega, pero la realidad es que hemos ido asumiendo que son un mal necesario. Otra cosa son los anuncios intersitiales o los banners que saltan de un sitio para otro, que tapan el contenido o que, en definitiva, acaban produciendo una mala experiencia de usuario.
Sin embargo, ojalá eso fuese todo lo malo que pueden traernos, ya que, en ocasiones, los banners más frecuentes que vemos en nuestro día a día acaban convirtiéndose en un verdadero problema de ciberseguridad y en un reclamo para el cibercrimen, sobre todo en el ámbito empresarial.
Un atractivo para ataques XSS
El investigador Randy Westergren ha encontrado uno de esos fallos de seguridad. Según ha podido demostrar, hay un tipo de anuncios especialmente vulnerables: los ejecutados gracias al llamado iFrame Buster, que hace que en un banner expanda su tamaño cuando pasamos el puntero sobre él.
Tal y como asegura Westergren, una parte muy significativa (pero no cuantificada) de estos anuncios sirven para que el iFrame Buster desencadene un ataque XSS que pueda acceder a las cookies de la web en cuestión, así como al DOM (la estructura jerarquizada de elementos que genera el navegador cuando carga una web) y a varios servicios de identificación más. Si esto se produce mientras el empleado de una compañía está navegando por internet, este malware podría obtener información y accesos que pondrían en severo riesgo la ciberseguridad empresarial de toda la entidad.
Un problema más global de lo que parece
Ante este tipo de amenazas siempre cabe pensar que los ataques solo tienen lugar en webs extrañas, marginales o en las que nadie en su sano juicio confiaría. Sin embargo, nada más lejos de la realidad: Randy Westergren asegura que ha afectado incluso a anuncios gestionados por Double Click, el servicio de anuncios del propio Google.
Y es que, como dice el experto, en realidad el problema de origen no está necesariamente en los anuncios como tal ni en los navegadores, sino en las agencias de publicidad, que a menudo suelen apostar por desarrollar sus propios iFrame Buster con un desarrollo deficiente que da lugar a la apertura de estas puertas de entrada.
Así pues, el peligro no se circunscribe solo a webs puntuales o marginales, sino a grandes portales, muchos de los cuales pueden ser visitados por cualquier empleado de una empresa incluso en una navegación motivada por intereses puramente profesionales. No se trata, por tanto, de que un trabajador dedique parte de su jornada a hacer una navegación personal y ponga en peligro la ciberseguridad de su compañía, sino que el peligro puede llegar incluso trabajando de manera efectiva.
Así pues, los ciberdelincuentes que recurran a estas tácticas lo tendrían más fácil que nunca, ya que no hará falta que entretengan a los empleados con webs ni actividades sospechosas, sino que podrán cazarlos en una navegación normal y corriente.
¿Cómo evitar estos ataques?
Los ataques XSS pueden suponer un grave problema de ciberseguridad empresarial, de modo que todo tipo de compañías deben estar alerta para evitar que el cibercrimen llegue a su puerta. Pueden hacerlo, básicamente, de dos formas:
1.- Concienciación. Lo hemos dicho en numerosas ocasiones: en la mayoría de ocasiones, los empleados son el elemento más frágil de la cadena de los ciberataques, convirtiéndose en las víctimas perfectas por su falta de conocimientos sobre los riesgos potenciales a los que se están exponiendo. Por ello es necesario que todas las empresas aseguren en su plantilla una mínima concienciación en ciberseguridad, llamando a desconfiar de webs sospechosas, de banners extensibles, de portales que solicitan más permisos de los esperados, etc. En cualquier caso, cualquiera puede ser una potencial víctima, con lo que, ante la más mínima duda, el trabajador deberá remitir cualquier sospecha al equipo de ciberseguridad para evitar que, en caso de intrusión, el ataque se expanda al resto de la compañía.
2.- Soluciones de ciberseguridad. La ciberseguridad nunca puede depender solo de la concienciación de los empleados, con lo que es esencial que las empresas cuenten con servicios y soluciones de ciberseguridad como Panda Adaptive Defense, que no solo actúa en caso de incidente, sino que también trabaja de manera preventiva, analizando los posibles riesgos y actualizando de manera constante los protocolos de seguridad ante el surgimiento de nuevas amenazas. En el caso de vulnerabilidades en aplicaciones de terceros, como sería este caso, también es crucial contar con una solución específica que además gestione automáticamente las actualizaciones y parches necesarios, como Panda Patch Management.
Los problemas de ciberseguridad empresarial no tienen por qué llegar a través de ciberataques organizados ni de archivos adjuntos en un email, sino que pueden producirse incluso en una navegación normal y corriente, así que las compañías deben estar alerta para evitar que el cibercrimen llegue a su organización.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
