HTML5 permitirá a los diseñadores web poner en práctica trucos que antes eran sólo posibles con Adobe Flash o complicado JavaScript. Pero la tecnología, ya ampliamente soportada por navegadores web ofrece oportunidades para causar daño.

Durante una presentación en la Conferencia B-Sides el miércoles en Londres, Robert McArdle, investigador sénior de amenazas en Trend Micro, destacó la manera en que la versión renovada del lenguaje de etiquetas podría utilizarse para lanzar botnets de navegadores y otros ataques. Las nuevas características de HTML5, desde WebSockets hasta peticiones independientes del dominio de origen (cross-origin), podrían enviar ataques a través de la red y convertir a Chrome o Firefox en herramientas completas de crimen cibernético.

Muchos de los escenarios de ataque involucran el uso de JavaScript para crear "botnets en un navegador" residentes en memoria, advirtio McArdle, que pueden enviar spam, lanzar ataques de denegación de servicio o algo peor. Y debido a que es un ataque usando el navegador, cualquier cosa desde una máquina Mac OS X a un teléfono Android será capaz de ejecutar el código independiente de la plataforma, simplificando el desarrollo de malware.

La creación de botnets por atraer victimas para que visiten una página web maliciosa, en lugar de tener que abrir un archivo malicioso que explota un hueco de seguridad, ofrece muchas ventajas para los hackers.

Los documentos web maliciosos contenidos en la memoria son difíciles de detectar con las soluciones de escaneo antivirus tradicionales, que buscan contenido sospechoso almacenado en el disco. El código JavaScript es también muy fácil de ofuscar, y por eso los gateways de red buscan firmas de malware en el tráfico de paquetes son fáciles de eludir, y los ataques HTTP pasan fácilmente a través de la mayoría de los firewalls.

Peligros adicionales involucran la ingeniería social usando pop-ups de HTML5 personalizados que aparecen fuera del navegador para engañar a los usuarios haciéndolos creer en el cuadro de alerta. Usando esta técnica se pueden crear ataques de phishing más convincentes, advierte McArdle.

"Los beneficios de HTML5 superan sus riesgos", agregó. "No hemos visto usuarios malintencionados aprovecharse de HTML5, sin embargo, es bueno pensar en el futuro y desarrollar defensas".

Los desarrolladores web deben asegurarse de que sus sitios no son vulnerables a Cross-Origin Resource sharing, cross-domain messaging o ataques de almacenamiento local, recomienda McArdle. Utilidades como NoScript también pueden ayudar a los usuarios.

Más información en html5security.org.