Blog de Página Web Leon

Tipos de ataques a sitios web

Los ataques en internet son específicamente elaborados para robar información personal para cometer fraudes. Hace unos meses sonó la noticia que violaron los filtros de seguridad de iCloud y robaron fotografías en poses comprometedoras de Jennifer Lawrence, y al paso de los días más actrices de Hollywood fueron víctimas de esto a lo que se le conoce como el CelebGate. Aquí te dejamos información acerca de este tipo de ataques.

Para darte una idea como está estructurado el modelo cliente servidor te recomendamos que leas primero éste post: http://paginawebleon.mx/wp/modelo-cliente-servidor/ antes de seguir con la lectura.

Los ataques se clasifican en dos: los que se hacen directo a servidor y los que pueden lograrse desde el cliente. Regularmente los servidores encrpitan las contraseñas y otros datos del usuario por si hubiese un ataque que dejara al descubierto la información, ésta no sea entendible. Digamos que tu contraseña es: mariposa_feliz21 y cuando te registras en el sitio la usas junto con tu cuenta de correo electrónico para tener acceso a tus correos, sin embargo, por seguridad, el servidor de tu proveedor no almacenará en su base de datos tu contraseña en texto plano, usará algún algoritmo para cuidar tu integridad. Digamos que dicho algoritmo convierte los caracteres en algo como esto: ab2315a5a4a5a4f4f5ff4a5a5a4ff45c4a5f4d6e54c5e6c54c4c5c6c8c7c4a5a5aa676a4ff4a6fdefacdadff31a31f3a1fa31e58f45a4f5a4f54 lo que hará imposible de entenderla.

Los ataques que se hacen por medio del cliente regularmente son por fuerza bruta, una técnica vieja que usa un diccionario de datos y prueba aleatoriamente cada palabra como posible contraseña, entre más larga sea la contraseña mayor será el tiempo de prueba. Es por esto que los sitios de internet cuentan con filtros de seguridad como bloqueo de la cuenta al 3er intento.

Entre los ataques más comunes que se hacen desde el cliente está:

  • Ingeniería social: Es obtener información por medio de engaños usando un software que se filtra a través de la manipulación de productos establecidos. Ejemplos: Spywares
  • Suplantación de identidad (Phishing): Es un fraude donde un sitio en internet se hace pasar por otro robando datos personales. También se usa el correo electrónico donde se direcciona hacia un sitio fraudulento.
  • Pharming: Se hace por internet y es el redireccionamiento a un sitio que no se ha solicitado, se alteran los DNS del sitio original aprovechando las vulnerabilidades del software.
  • Secuestro de navegadores: Por medio de software, se altera la página de inicio del navegador abriendo sitios que no se solicitaron y mostrando excesivamente publicidad incluso en páginas bien identificadas. El redireccionamiento constante es un factor frecuente en éste tipo de ataques.
  • XSS: Es la inyección de código javascript, VBScript, SQL o algún otro lenguaje de programación para internet por medio de las cajas de texto con el fin de alterar el funcionamiento original del sitio o recuperación de información.

En complemento con los fraudes para otros propósitos también existe:

  • Spam: Es la recepción exagerada de correos basura donde no se ha solicitado información ni se conoce el remitente. Se usa para publicitar algún producto o servicio.
  • Hoax: Se refiere a la propagación de contenido engañoso o falso a través del correo electrónico o redes sociales. Su propósito es hacer creer sobre noticias falsas de forma masiva

Existe una organización que estipula cada año el top ten de las prácticas más comunes en internet para las debilidades de los sitios y el robo de datos. Tal organización se llama: OWASP.

Si eres desarrollador para sitios web o simplemente consumes los servicios que la red te ofrece, toma tus precauciones y evita que tu información se filtre en la red sin tu autorización.

 

1 Comentario

  1. Rapid Advance

    Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance Rapid Advance

Dejar un comentario