De acuerdo con un nuevo estudio realizado a un millón de dominios, 46% están corriendo software vulnerable, son sitios conocidos con phishing, o han tenido una brecha de seguridad en los últimos doce meses.

El gran problema es que incluso cuando un sitio es gestionado por una compañía cuidadosa, con frecuencia carga contenido de otros sitios, dijo Kowsik Guruswamy, CTO de Menlo Park, California basado en Menlo Security, quien patrocino el informe.

Por ejemplo, los sitios de noticias (50% de los cuales están en riesgo) suelen publicar anuncios de redes publicitarias de terceros.

Y estos no son sólo anuncios.

“The Economist, por ejemplo, tiene un complemento que muestra una ventana emergente si se está usando un bloqueador de anuncios”, dijo Guruswamy. “Y esa ventana contenía malware. Apuesto a que The Economist no tenía idea de que su sitio web fue atacado.”

De hecho, solicitudes no intencionales para contenido adicional superan numéricamente solicitudes intencionales de usuarios humanos reales en una relación de 25 a uno, de acuerdo con el reporte.

Así que una empresa que bloquea a sus usuarios de acceder a dominios por categoría, o solo permite ciertas categorías de dominios aprobados, no se daría cuenta del problema porque The Economist es un sitio de noticias de buena reputación y utilidad.

“Muchas empresas están utilizando productos de seguridad basado en la categorización del contenido que es entregado”, agregó Guruswamy. “Usted obtiene el enlace y hace clic en él, y esta es una página de phishing, pero la política de seguridad lo permite porque es un sitio de noticias.”

El sitio malicioso puede entregar una descarga de software malicioso, o puede mostrar una página de algún banco falsa y robar las credenciales de la cuenta, dijo él.

Los sitios de noticias y los medios de comunicación tienen más probabilidades de estar en riesgo, seguidos de sitios de entretenimiento en un 49% y los sitios de vajes en un 42%.

La mayor fuente de riesgo fue el software vulnerable. Cerca de 36% de todos los sitios web estaban ejecutando software vulnerable o recibiendo contenido de otras ubicaciones que ejecutan software vulnerable.

“Lo que diseñamos es un escaneo pasivo de la página que identificaría el tipo de software que el sitio estaba corriendo, y no solo el sitio principal, sino de todos los sitios que la página carga”, dijo Guruswamy. “Después buscamos la versión del software en la base de datos nacional y verificar por vulnerabilidades conocidas.”

El siguiente factor de riesgo más importante fue si el sitio web es conocido por ser malicioso, o por extraer contenido de un dominio malicioso. Cerca de 17% de los principales sitios web cayeron en esta categoría.

Por ejemplo, la categoría con más sitios web conocidos como maliciosos fue la pornografía, con casi 38 mil sitios web para ofrecer ataques de phishing u otros. Pero la pornografía ocupa el lugar más bajo en la lista cuando se trata de software vulnerable. En realidad, la categoría de negocios y economía tiene la mayoría de sitios con vulnerabilidades conocidas, con más de 82 mil, seguidas por la sociedad, sitios personales y blogs, compras, noticias y medios.

Finalmente, 3% de los sitios han experimentado recientemente un incidente de seguridad.

Guruswamy sugirió que las empresas deben buscar más allá de simples estrategias de categorización para proteger a sus usuarios de ataques phishing, ya que los ciberdelincuentes tienen, en efecto, la mitad de Internet a su disposición.

Las empresas que alojan sitios web deberían también establecer y hacer más para proteger sus visitantes, esto incluye asegurarse que todo su software esta actualizado, y los sitios de los que ellos embeben contenido también han sido actualizados.

Por ejemplo, cerca de 70 mil de los principales sitios web corren la versión vulnerable de Nginix 1.8.0. El software más peligroso es el servidor web Microsoft IIS 7.6, el cual fue desarrollado en 2009, PHP 5.3.29 está en tercer lugar, con cerca de 32 mil sitios web.