Una de las características más deseadas por los programas que utilizan quienes se dedican a la ciberdelincuencia, y que causan pérdidas millonarias, a las empresas y también a los particulares, es que el ataque que pongan en práctica se pueda completar sin que la víctima se pueda dar cuenta y sin que los programas de seguridad que tengan instalados pueda detectar que algo no deseable está sucediendo.
Uno de esos peligros nos llega a través de algo tan simple como iniciar sesión en la web de nuestro banco, o en una aplicación webmail, o en cualquier sitio web en el que tengamos información valiosa, sin que nos percatemos que en otra de las pestañas de nuestro navegador se puede iniciar una acción que ponga en marcha el inicio de una transferencia de dinero, o la creación de una redirección de nuestro correo, o aquello en lo que determinadas personas tengan interés para aprovecharse de lo que solo conocemos, o tenemos, nosotros.
Qué es la técnica Cross Site Request Forgery (CSRF)
Para sacar provecho de esas sesiones que hemos abierto en nuestro navegador, se utiliza la técnica CSRF que consiste en lo siguiente:
El delincuente logra hackear un determinado sitio web que puede ser visitado por cientos o miles de personas. Esto, en la actualidad, es lamentablemente frecuente pues al mismo tiempo que resulta muy fácil poner en marcha una nueva web, los propietarios se desentienden de las cuestiones de seguridad.
Su intención es pasar desapercibido, así que en apariencia el sitio web sigue funcionando con normalidad, pero inserta en algún enlace, o en el formulario de contacto, o en algún botón para suscribirse a un boletín, el código que desencadenará la acción que le interesa, ajena por completo a la funcionalidad propia de esas páginas.
Entonces, si un usuario está utilizando una aplicación de correo web, o está realizando consultas en la web de su banco, o se ha logueado en cualquier zona de administración, y al mismo tiempo sin cerrar sesión abre otra pestaña de una web que ha sido hackeada y en la que se ha insertado código malicioso para desencadenar una acción, ni siquiera se dará cuenta de que, por ejemplo, se ha creado una redirección de su correo, o se ha solicitado un cambio de sus datos de acceso en otra web, o cualquier acción nada deseable pero de interés para el hacker.
Debemos de ser conscientes de que la web hackeada puede que no tenga nada que ver con la web de nuestro banco o de nuestro correo electrónico. El sentido de los ataques CSRF es que los usuarios suelen abrir sesión y luego no la cierran, sino que creen que cerrar la pestaña del navegador ya es suficiente. Pero no lo es, por eso en ocasiones hemos cerrado cualquier web donde estábamos logueados, y al volver a abrirla seguíamos logueados.
Si un usuario abre en su navegador un blog de noticias hackeado que esconde código para interferir con determinadas aplicaciones de webmail, y al usuario se le ocurre abrir en ese mismo navegador otra pestaña con dicha aplicación de webmail, existirá un riesgo real de que el código insertado en el blog se ejecute, por ejemplo al pulsar en un enlace de últimas novedades, y modifique de alguna manera la configuración de nuestro webmail.
Cómo podemos protegernos de los ataques Cross Site Request Forgery (CSRF)
Con dos recomendaciones que no son nada complicadas de poner en práctica:
- Para conectarnos a webs que consideramos que tienen mayor importancia y con ellas no queremos asumir riesgos innecesarios, deberíamos de tener un navegador en exclusiva para ellas. Por ejemplo, si utilizamos Chrome para la mayoría de consultas en Internet, podemos dedicar Edge para el banco, o Firefox.
- Una vez que terminemos de utilizar un sito web en el que nos hemos logueado, debemos de salir de él finalizando la sesión. Por lo general encontraremos algún botón, o enlace, de Cerrar sesión. No sirve cerrar la pestaña del navegador para cerrar sesión.
De manera adicional son buenas prácticas:
- No almacenar contraseñas de sitios web de mayor importancia en el navegador.
- La utilización del modo incógnito o el uso de protección de los navegadores con antivirus como Kaspersky.
- Desechar la costumbre de abrir decenas de pestañas para luego olvidarnos de que la web del banco lleva horas abierta (aunque es frecuente que a los pocos minutos se cierre sesión de manera automática si el usuario no interactúa con ella)
Asesoría fiscal, laboral, contable y jurídica, que ofrece un servicio integral y avanzado a empresas de todo el territorio nacional. Gestión fiscal, outsourcing de nóminas, auditorías fiscales, inspecciones de trabajo, grupos de sociedades, inspecciones de Hacienda…
