Introduccion

Este documento intentar describir un ataque de seguridad en Internet que podra poner en peligro
la privacidad de los usuarios de la Web, y la integridad de sus datos. El engao se puede comenter
sobre la mayoria de los navegadores, incluyendo el Nestscape Navigator, y Microsoft Internet
Eplorer,incluido el !.!.
Web Spoofing
El Web "poofing permite a un atacante la creacion de una #s$ado% copy# &E '(&)" *)"
+,-IN)" &E *) WE.. *os accesos a este sitio estan dirigidos a traves de la maquina del
atacante, permitiendole monitorear todas las actividades que reali/a la victima, desde los datos que
se pueda escribir en un simple formulario, $asta sus pass%ords, su numero de tar0eta, etc...
El m1todo consiste en que el atacante crea un falso 2pero convincente3 mundo alrededor de la
victima, y la victima $ace algo que le podria ser apropiado. El falso %eb se parece al verdadero,
tiene las mismas paginas, lin4s... En definitiva, el atacante es quien controla el falso %eb, asi pues,
todo el trafico entre el navegador de la victima y el verdadero %eb pasa a traves del programa filtro
que program5 el atacante. &esafortunadamente, las actividades que parecen ser ra/onables en el
mundo imaginario suelen ser desastrosas en el mundo real.
*as personas que usan internet a menudo toman decisiones relevantes basadas en las seales del
conteto que perciben. +or e0emplo, se podria decidir el teclear los datos bancarios porque se cree
que se esta visitiando el sitio del banco. Esta creencia se podria producir porque la pagina tiene un
parecido importante, sale su url en la barra de navegacion, y por alguna que otra ra/5n mas.
6omo el atacante tiene el control de la coneion, puede observar, e incluso modificar cualquier dato
que vaya entre la victima y el verdadero %eb, tiene muc$as posibilidades de salirse con la suya.
Esto incluye 7igilancia y Manipulacion.
Vigiliancia
El atacante puede mirar el trafico de una manera pasiva grabando las paginas que visita la victima,
y su contenido, como por e0emplo todos los datos que apare/can en los formularios cuando la
respuesta es enviada de vuelta por el servidor. 6omo la mayoria del comercio electronico se $ace a
traves de formularios, significa que el atacante puede observar cualquier numero de cuenta o
pass%ords que la victima introduce.
Manipulacion
El atacante tambien es libre de modificar cualquiera de los datos que se estan transmitiendo entre
el servidor y la victima en cualquier direcci5n. +or e0emplo, si la victima esta comprando un
1
producto on8line, el atacante puede cambiar el numero, la cantidad, la direccion del remitente ...
tambien le podria engaar a la victima enviandole informacion erronea, por parte del servidor para
causar antagonismo entre ellos. 9n e0emplo grafico es el siguiente:
Nombre: ;uan
)rticulo: 6ompact &isc
&ireccion: 6< 7ictima, n = >
Num. 'ar0:

Nombre: +epe
)rticulo: 6ompact &isc
&ireccion: 6< )tacante, n = >?
Num. 'ar0:

7ictima @AAAAAAAAAAAAAAAB )tacante @AAAAAAAAAAAAAAB "ervidor
(.C. 'e envio el 0amon, ;uan (.C. 'e envio el 0amon, +epe
Como ataca?
*a clave es que el atacante se situe en medio de la coneion entre la victima y el servidor.
a3 Describe la 9D*:
*o primero que se $ace es grabar todo el %ebsite dentro del servidor del atacante para que asi se
apunte al servidor de la victima, en ve/ de la verdadera. (tro m1todo sera instalar un soft%are que
actEe como filtro. +or e0emplo, si la 9D* del atacante es $ttp:<<%%%.atacante.org y la del servidor
verdadero es $ttp:<<%%%.servidor.com, quedaria: $ttp:<<%%%.atacante.org<$ttp:<<%%%.servidor.com
>3 El navegador de la victima reclama una pagina de %%%.atacante.org
?3 %%%.atacante.org se la reclama a %%%.servidor.com.
F3 %%%.servidor.com se la entrega a %%%.atacante.org
G3 %%%.atacante.org la reescribe o modifica
!3%%%.atacante.org le entrega la version de la pagina que $a $ec$o al navegador de la victima.

b3 Hue pasa con los IormulariosJ:
"i la victima llena un formulario de una pagina %eb falsa, el atacante tambien puede leer los datos,
ya que van encerrados dentro de los protocolos %eb basicos. Es decir, que si cualquier 9D* puede
ser spoofeada, los formularios tambien.

c3 *as 6oneiones "eguras no ayudan:
9na propiedad angustiosa de este ataque es que tambien funciona cuandoel navegador de la
victima solicita una pagina via coneion segura. "i la victima accede a un %eb #seguro# 2usando
"ecure "oc4ets *ayer, ""*3 en un %eb falso, todo sigue ocurriendo con normalidad, la pagina sera
entregada, y el indicador de coneion segura, se encendera 2generalmente suele ser un candado3.
El navegador de la victima dice que $ay una coneion segura, porque tiene una, pero
desgraciadamente esa coneion es con %%%.atacante.org, y no con el sitio que piensa la victima.
El indicador de coneion segura solo le da a la victima una falsa sensacion de seguridad.
2
Empezando el Ataque
El atacante debe, de alguna manera colocar un cebo a la victima, para que visite la %eb falsa del
atacante. Kay varias maneras para $acer esto, poner un lin4 en cualquier pagina que visite la
victima, engaar a los motores de busqueda, o incluso, si se sabe su direccion de mail, enviarle
uno para que visite la pagina, ...
Completando la Ilusion
Este ataque es bastante efectivo, pero no perfecto. 'odavia $ay detalles que pueden $acer
sospec$ar a la victima que el ataque ya esta en marc$a. En Eltima instancia, el atacante puede
llegar a eliminar cualquier rastro del ataque.
a3 *a *inea de Estado:
Es una simple linea de teto aba0o del navegador que informa de varios mensa0es, como a que
servidor trata de locali/ar, si se conecta, o el tiempo que falta todavia para recibir la totalidad de la
pagina.
Este ataque de0a dos tipos de evidencias en la barra de estado. *a primera, cuando se pasa el
mouse por encima de un enlace, informa la 9D* a la que apunta. )si pues, la victima podria darse
cuenta de que la 9D* se $a modificado. *a segunda es que por un breve instante de tiempo, se
informa cual es la direccion del servidor que esta intentando visitar. *a victima podria darse cuenta
que el servidor es %%%.atacante.org, y no el servidor verdadero.
El atacante puede tapar estas $uellas aadiendo codigo ;ava"cript en cada pagina reescrita para
ocultar el teto en la linea de estado o $acer que cuando $aya un enlace a
$ttp:<<%%%.atacante.org<$ttp:<<%%%.servidor.com, en la linea de estado salga
$ttp:<<%%%.servidor.com, que se $aria de la manera siguiente:
@a $refA#$ttp:<<%%%.atacante.org<$ttp:<<%%%.servidor.com#
(nMouse(verA#%indo%.statusAL$ttp:<<%%%.servidor.comLM return
trueM#B$ttp:<<%%%.servidor.com@<aB
Este detalle $ace mas convincente el ataque.
b3 *a *inea de Navegacion:
Es la encargada de informar qu1 9D* se esta visitando. )si pues, el ataque causa que las paginas
reescritas en %%%.atacante.org salgan en la linea de navegacion. Este detalle puede $acer
sospec$ar a la victima que el ataque est en marc$a.
Esta $uella puede ser ocultada ayudandose de un poco de ;ava"cript, de esta manera:
function )bre7entana23
N
open2#$ttp:<<%%%.atacante.org<$ttp:<<%%%.servidor.com<#,#&isplayWindo%#,#toolbarAyes,directoriesA
no,menubarAno, statusAyes#3M
O
3
'ambien se puede $acer un programa que reemplace a la linea de navegacion verdadera, que
pare/ca que sea la correcta, colocandola en el mismo sitio, ... "i esta bien $ec$o se puede $acer
que escriba la 9D* que espera ver la victima, incluso que se puedan producir entradas por teclado,
para que la victima no se de cuenta.
c3 7er &ocumento Iuente:
*os navegadores mas populares ofrecen la posibilidad de eaminar el codigo fuente $tml de la
pagina actual. 9n usuario podria buscar 9D*s reescritas, mirando su codigo fuente, para darse
cuenta del ataque.
Este ataque tambi1n puede prevenir esto ayudandose de un programa en ;ava"cript que oculte la
barra de menEs, o que $aga una barra identica, con la salvedad que si la victima mira el codigo
fuente, en ve/ de ensear el que esta viendo, apunte a la direccion verdadera.
d3 7er Informacion del &ocumento:
Esta $uella se puede eliminar siguiendo las indicaciones arriba mencionadas.
Remedios
Web "poofing es un ataque peligroso, y dificilmente detectable, que $oy por $oy se puede llevar a
cabo en Internet. )fortunadamente $ay algunas medidas preventivas que se pueden practicar:
a3 "oluciones a corto pla/o:
>.8 &esactivar la opcion de ;ava"cript en el navegador.
?.8 )segurarse en todo momento que la barra de navegacion est activa.
F.8 E"') E" *) M," IM+(D')N'E: +oner atencion a las 9D* que se ensean en la barra de
estado, asegurandote que siempre apuntan al sitio que quieras entrar.
Ho en dia tanto !a"aScript# como Acti"e$%# como !a"a tienden a facilitar las tecnicas de
spoofing# asi que desde aqui recomendamos al lector que las desacti"e de su na"egador# al
menos en los momentos que "aa a transferir informacion critica como login# pass&ord#
numeros de tar'eta de cr(dito o cuenta bancaria# )))
b3 "oluciones a largo pla/o:
'odavia no se $a descubierto ningun metodo para evitar este ataque.
.

4