El cross-site scripting (XSS), también conocido en español como secuencia de comandos en sitios cruzados, es un tipo de ataque mediante malware que puede volver contra ti webs aparentemente fiables. Mediante este tipo de ciberataque, un hacker inyectará un script malicioso en una web que por lo demás puede parecer confiable y segura, de manera que cualquier víctima desafortunada que lo active puede ser vulnerable.
Laura Klusaite
Nov 28, 2021 · 4 minuto de lectura
Tabla de contenidos
Lo que ocurre a continuación es el robo de la información de los usuarios de este sitio web. Este script malicioso suele infectar los campos de acceso para poder robar los datos de acceso y las cookies instaladas en los navegadores de los usuarios. De esta forma, el software registrará estos datos y los transmitirá a un hacker, que luego utilizará esa información para hacerse con el control de las cuentas de los usuarios afectados.
Un ataque de cross-site scripting es el acto de inyectar programación maliciosa de una web “agresora” en una web amigable y sin pretensiones. Así es como surgió el término cross-site scripting, es decir, la secuencia de comandos en sitios cruzados.
El término original se refería exclusivamente al lenguaje de programación JavaScript. Sin embargo, décadas después de que se acuñara este nombre original, ahora el término XSS abarca también a vectores que no son de JavaScript, como por ejemplo ActiveX, Flash, HTML y muchos otros.
Se trata del tipo de ataque de cross site scripting más común. El XSS reflejado se produce cuando un usuario envía una solicitud al servidor de una web. Entonces, el script malicioso inyectado por el hacker se refleja en el servidor, con lo que en la pantalla de la víctima puede aparecer como un mensaje de error, o incluso como resultados de búsqueda.
Cuando esto tiene lugar, la víctima hará clic en un botón o enlace que se le indique, ejecutando así el código infeccioso y descargando el malware en su dispositivo. Esto tiene lugar porque el navegador de la víctima acaba de ser engañado para que piense que el código anterior procede de un servidor de confianza, cuando, en realidad, procede de un hacker. Por esto, toda la información introducida en la web comprometida será enviada al hacker.
Un ataque XSS directo o XSS persistente es el segundo tipo de ciberataque de cross site scripting más extendido. En este caso, este ciberataque tiene lugar cuando una aplicación o una web se encuentra afectada por un software de código malicioso que ha infectado todas sus respuestas HTTP.
Por ejemplo, el software malicioso podría estar almacenado en el campo de comentarios de una web, donde puede activarse si se hace clic sobre él. El peligro del XSS persistente es que el hacker ya ha tendido la trampa y no necesita atraer a una víctima potencial para que siga un enlace. Todo lo que tiene que hacer es poner el cebo y esperar, de manera que el hackeo se puede producir de forma pasiva.
Finalmente tenemos el tercer tipo de ciberataque mediante XSS, conocido como XSS basado en DOM. El DOM –Modelo de Objetos del Documento– que se crea cuando alguien abre una página web es lo que permite a un usuario acceder a todo el contenido de una página sin tener que interactuar con el servidor.
En los ataques XSS reflexivos y persistentes, las señales de peligro pueden ser evidentes en el HTML de la página de respuesta. En cambio, la principal amenaza del DOM XSS radica en que resulta imposible darse cuenta de la vulnerabilidad sin profundizar en el código de la web. Por esto, salvo que se tenga conocimientos muy avanzados de tecnología y se realice un análisis manual exhaustivo de cada web que se visita, es muy difícil detectar este tipo de ciberataque.
Los ataques de este tipo pueden permitir el robo de contraseñas o credenciales de acceso en tu dispositivo, aprovechar los datos de tu tarjeta de crédito en beneficio de los hackers, o infectar tu dispositivo con todo tipo de malware, incluyendo keyloggers –capaces de registrar tus contraseñas cuando las escribes con el teclado– o ransomwares. Por esto resulta esencial adoptar las medidas necesarias para protegerte al navegar online.
Por desgracia, es muy difícil defenderse de los ataques XSS, porque en este tipo de ciberataques el malware se dirige a las webs que visitas, y no a tu dispositivo personal.
Como ocurre con muchos otros tipos de malware, la mejor manera de evitar ser víctima de ellos es el conocimiento. Educarse para reconocer las señales antes de activar accidentalmente cualquier código malicioso debería ser una prioridad para cualquiera que quiera asegurar su actividad online.
La seguridad online empieza con un clic.
Máxima seguridad con la VPN líder del mundo