A medida que los usuarios almacenan más datos en línea, los piratas cibernéticos encuentran maneras de penetrar los sitios de los nuevos servicios. Dicen los expertos que los problemas son profundos.
Samy Kamkar sólo trataba de impresionar a las chicas. En lugar de eso, sin embargo, su nombre pasó a la historia de la piratería en la Web.
Kamkar creó lo que se considera el primer gusano de la Web 2.0, una amenaza virulenta que ningún cortafuego podía bloquear y que finalmente forzó a MySpace.com a cerrar temporalmente. El gusano Samy (que lleva el nombre de Kamkar) estaba entre los más destacados de una nueva generación de ataques en la Web que algunos expertos de seguridad temen pueda demorar la rápida evolución del modelo de colaboración para el desarrollo de Internet conocido como la Web 2.0.
Kamkar buscaba una manera de sortear las restricciones de contenido de MySpace para adornar más su perfil cuando encontró un error que esencialmente le permitía controlar el navegador de cualquiera que visitara su página de MySpace. “Un burrito de chipotle y unos pulsos más tarde”, dice Kamkar, había creado el gusano de la Web con la propagación más veloz de todos los tiempos.
En menos de 20 horas, el gusano se había propagado a casi 1 millón de usuarios de MySpace y los había forzado a seleccionar a Kamkar como su “héroe” en las páginas de sus perfiles. News Corporation, el propietario del sitio, tuvo que desactivar a MySpace para solucionar el problema y Kamkar luego recibió tres años de probatoria en el tribunal superior de Los Angeles.
Como gusano de la Web 2.0, Samy señaló el comienzo de un cambio en los problemas de seguridad de la Web. Los gusanos anteriores como MyDoom y Sobig afectaban los sistemas y causaban problemas técnicos que duraban varios días para los administradores de sistemas. El gusano de Kamkar no hacía nada que dañara las computadoras de los usuarios de MySpace, pero amenazaba sus datos en línea. Y aunque los usuarios afectados de MySpace no pudieron aplicar un parche ni actualizar su software antivirus para corregir el problema, tan pronto MySpace arregló el problema en sus servidores, quedó arreglado en todas partes.
Consecuencias inesperadas
Para los expertos de seguridad como Robert Hansen, CEO de la firma consultora de seguridad de la Web Sectheory.com, el gusano Samy es un ejemplo del tipo de consecuencias inesperadas que pueden surgir cuando los operadores de sitios de la Web permiten a los usuarios contribuir a sus propiedades de la Web. Hansen y otros investigadores de la misma opinión creen que estamos viendo el principio de lo que puede salir mal cuando se empieza a probar la seguridad de los programas de la Web 2.0.
Si no se produce un cambio radical en la manera en que los navegadores interactúan con la Web, dicen estos expertos, los problemas de seguridad de la Web 2.0 van a empeorar. Y con más y más de nuestros datos críticos almacenados por aplicaciones de la Web 2.0 como Google Calendar y Zoho Office Suite, los agujeros de seguridad podrían causar estragos.
Actualmente, dos tipos importantes de ataque en la Web tienen preocupados a los investigadores de seguridad: los ataques llamados de “cross-site scripting” (XSS o guiones) y “cross-site request forgeries” (XSRF o peticiones falsificadas).
Los ataques de cross-site scripting vienen en distintas variedades, pero el resultado es el mismo: el atacante encuentra una manera de hacer que un código no autorizado se ejecute dentro del navegador de una víctima.
Los sitios de la Web que permiten a los visitantes publicar su propio contenido usando programas de filtro para evitar que los usuarios publiquen códigos inseguros en sus perfiles de MySpace o en las subastas de eBay, por ejemplo. Pero en el caso del gusano de Samy, Kamkar encontró una manera de escabullir su JavaScript a través de los filtros de MySpace.com.
En otro tipo de ataques de cross-site scripting, el sitio de la Web es engañado para que ejecute código de JavaScript incluido en el URL de una página de la Web. Normalmente, los diseñadores de la Web hacen que estos ataques sean imposibles, pero los errores de programación pueden abrir una brecha para los ataques.
A medida que los sitios de la Web integran nuevos componentes generados por socios y por usuarios, los administradores deben preocuparse por la seguridad de esos pedazos interconectados además de la seguridad de sus propios sitios, dice Seth Bromberger, gerente de seguridad de información de la compañía Pacific Gas & Electric, basada en San Francisco.
“Ahora tenemos varias puertas que defender”, explica él.
A Bromberger le preocupa que muchos de los servicios basados en la Web están siendo construidos antes de que se entiendan totalmente sus riesgos de seguridad. Es ahora que se están empezando a examinar los riesgos de los ataques de cross-site request forgeries en redes locales, asegura él.
En una petición falsificada, el criminal burla a un sitio de la Web para que crea que está enviando y recibiendo datos de un usuario conectado al sitio. Estos tipos de ataques podrían usarse para dar a un atacante acceso total a cualquier sitio de la Web que todavía no haya desconectado a la víctima.
Muchos sitios se protegen contra este tipo de ataque desconectando automáticamente a los visitantes después de unos minutos de inactividad; pero si el atacante pudiera burlar a una víctima para que visite un sitio malicioso a los pocos minutos de conectarse, por ejemplo, al sitio Web del Bank of America, el malhechor podría limpiar la cuenta de banco de la víctima.
Los ataques de cross-site request forgeries son difíciles de perpetrar de una manera generalizada, pero en un ataque dirigido, son eficaces contra un número notablemente grande de sitios de la Web, según Jeremiah Grossman, funcionario principal de tecnología de WhiteHat Security. “Las cross-site request forgeries van a ser el problema más grave en los próximos diez años”, pronostica él.
Defectos fundamentales
Los servidores de la Web y las computadoras personales simplemente no están diseñados para trabajar juntos de una manera segura. Y como la Web 2.0 empuja a estas máquinas a hacer cosas cada vez más innovadoras, las grietas se están empezando a ver, según Hansen de Sectheory.com, que también mantiene un sitio Web con un foro de discusión sobre los últimos ataques en la Web.
“Así es fundamentalmente como funcionan los navegadores”, dice él.
Google Desktop, en particular, le preocupa a Hansen, porque con este tipo de servicio las vulnerabilidades de la Web pueden afectar finalmente al escritorio. “Si usted permite que un sitio de la Web tenga acceso a su unidad de disco –para modificar, para cambiar cosas, para integrar, o para lo que sea– está confiando en que ese sitio de la Web es seguro”.
Los sitios como MySpace y eBay se enfrentan a estos problemas todos los días, pero si la visión de Google de una rica integración entre la Web y el escritorio se hace realidad, la seguridad de la Web 2.0 también tendrá importancia para los usuarios corporativos. “Históricamente, Google no ha comprendido muy bien estos problemas”, dice Hansen.
Y aunque algunos investigadores disienten con Hansen y dicen que Google ha hecho una labor admirable de mantener su sitio libre de defectos, en gran medida el verdadero problema de seguridad de la Web está fuera del control de sitios como Google.
“No existe un modelo de seguridad para el navegador”, dice Alex Stamos, un socio fundador de la firma de consultoría de seguridad Information Security Partners. “El problema es que Google juega siguiendo las reglas que Netscape estableció hace una década”.
Stamos llama al modelo de la Web 2.0 donde se comparten pequeños programas generados por el usuario, o widgets, “una gran locura” desde el punto de vista de la seguridad.