Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INSTITUTO IACC
06 ENERO 2020
Desarrollo
Con frecuencia se oye hablar de ataques a sitios web, incluso de entidades de renombre o
infecciones del sistema por virus descargados en la navegación, sistemas bloqueados, páginas de
inicio alteradas, etc. La seguridad de un sitio web es un aspecto fundamental del desarrollo tanto del
lado del cliente como del lado del servidor. En definitiva, la seguridad web es la protección del
sistema de cualquier acceso, mal uso, modificación, destrucción o interrupción del servicio de forma
no autorizada. Aunque la seguridad puede ser dañada por fallas de hardware o de software, la
mayor parte de las veces es puesta en cuestión por ataques de hackers o intrusos. La seguridad
forma pues parte del diseño, del análisis y de la programación del sitio. Se puede afirmar que la
mayoría de los accesos no permitidos o las violaciones de sitios web proviene de un exceso de
confianza del programador frente a lo que permite hacer el navegador a los usuarios maliciosos. Casi
aprovechado por el atacante: tal el caso de permitir texto no modificado en lugares de grupos de
mensajes, mensajería o foros donde cualquier atacante pude depositar código que se ejecute cada
Para que la información de un sitio sea operativa, íntegra y privada es necesario poner en juego una
1. Encriptar los datos. Es conveniente usar un servidor seguro que encripte, es decir enmascare
mediante una clave, los datos entre el servidor y el navegador. No obstante, siempre existe un
2. Uso de la firma digital que usa la técnica de encriptación de clave pública: se encriptan los datos
mediante una clave privada que sólo puede ser desencriptada por la clave pública.
3. Uso de firewals, wrappers y proxies que servirían para canalizar o filtrar el acceso a los
contenidos. Con los firewals se protegen los puertos y permiten el acceso sólo a nombres de
dominio confiables. Los wrappers son un software que se ejecuta previamente para habilitar o no el
acceso a la petición realizada por el cliente. El proxy oculta los datos mediante reenrutamiento: el
navegador proporciona una dirección que puede ser filtrada por el software, restringiendo o
modificando el contenido, a la que el servidor dirige la respuesta. Los servidores proxy también
puedes ser redirigidos a otros servidores proxies permitiendo un ocultamiento más efectivo de la
información.
4. Diseño preventivo de la seguridad del sitio de forma que se garantice el acceso correcto a los
datos, especialmente a las contraseñas, direcciones de mail, tarjetas de crédito, o facturación, pero
también a los archivos del sistema, a las herramientas administrativas, etc. Para ello resultan
dispositivo), etc.
c. Usar herramientas DAST (Dynamic Application Security Testing) que sirven para escanear las
Se puede afirmar que los problemas de seguridad suelen provenir de un exceso de confianza
respecto al navegador, o mejor dicho, de lo que su usuario haga con él. Es el caso de las
vulnerabilidades XSS en las que el atacante puede introducir scripts maliciosos como parte de la
interacción con el servidor (colocados como respuesta a un campo o entre el texto de un mensaje).
interacción con el usuario: eliminar o deshabilitar de la entrada el texto que pueda ser sospechoso,
por ejemplo, etiquetas HTML como <script>, <object>, <embed>, y <link>… Se trata de desinfectar
las entradas del usuario de forma que se eliminen los contenidos peligrosos. La mayoría de los
frameworks web lo realizan automáticamente. De la misma manera se pueden filtrar los datos que
puede introducir maliciosamente un usuario añadiendo por código, es decir transformando el texto
introducido por el usuario evitando los caracteres peligrosos mediante un carácter de escape (\, por
ejemplo). Es el caso de las cláusulas SQL para las que el uso de la comilla forma parte del lenguaje y
que puede ser utilizada por un conocedor para alterar la cadena que se pase al servidor añadiendo
código malicioso. Otro tipo de ataque son las CSRF. El desarrollador web no imagina que un usuario
malicioso pueda camuflar su página dentro de otra y enviarla a miles de usuarios por mail, por
ejemplo, de forma que cuando alguien interactúa con ella el servidor realiza las acciones previstas,
pero son redirigidas hacia otro destino: es el caso de innumerables correos falsos de bancos
pidiendo alguna acción al destinatario, generalmente iniciar sesión o transferir dinero. Para ello el
desarrollador web debe prever la mala fe por ejemplo requiriendo una palabra clave, sea enviada a
través del formulario o sea a través de otro dispositivo (teléfono móvil, por ejemplo). Igual ocurre
con otro tipo de ataques: los conocidos como “secuestro de clic” donde el usuario cree pinchar
sobre algo pero realmente es direccionado a otro proceso o botón, las acciones sobre archivos
En todos estos casos el problema real es un abuso de confianza del navegador. La solución es un
https://youtu.be/f0W2QoKZlnk
Bibliografía