• Tweet

Google ha reparado una falla de seguridad sobre su sitio Web que podría permitir realizar phishing scams, secuestro de cuentas y otro tipo de ataques, de acuerdo con lo declarado éste lunes por investigadores de seguridad.

La falla, conocida como cross-site scripting, existió sobre el sitio Web de Google AdWords, un sitio de publicidad para sus clientes, de acuerdo con la compañía de seguridad Finjan Software que descubrió el problema.

Los intrusos podían explotar el error de seguridad atacando las cuentas de Google, lanzando phishing scams o ejecutando código malicioso sobre los equipos de los usuarios, de acuerdo con Finjan, Los phishing scams están diseñados para obtener información sensitiva de la gente como nombres de usuario, contraseñas, números de cuentas bancarias, etc.

Finjan informó a Google del error el último mes y el problema fue reparado en un plazo de 30 horas, dijo Limor Elbaz el vicepresidenta de Finjan, que encabeza la jefatura en San José California "La respuesta de Google fue muy buena" afirmó.

Google confirmó que esto fue alertado "en cuanto antes" y fue reparado el error. "Los datos de los usuarios no fueron comprometidos, y aplauden a Finjan por su contribución en las mejores prácticas de discusión de vulnerabilidades", comunicó un representante de Google por medio de correo electrónico.

El problema de seguridad existió debido a que los formularios de los sitios de Google no validaban ni filtraban datos de ciertos campos. Esto permitió que los intrusos introdujeran contenido extra y scripts que podían ejecutarse en los equipos de los usuarios, de acuerdo con Finjan. Para que el intruso tomara ventaja del error debía crear una liga a un sitio Web especial que dirigía al usuario hasta allí.

"El peligro de esto es en el caso en que la liga se vea igual al sitio de Google y un usuario inocente crea que es el sitio verdadero" dijo Elbaz.

Los ataques de cross-site scripting han sido frecuentes en el último año, Finjan observó un error similar en el sitio Web de Xbox 360 de Microsoft. La compañía identificó últimamente huecos de seguridad en el servicio de correo a través del Web en Yahoo.

Finjan vende productos para proteger los sistemas de las organizaciones contra los ataques a los sitios Web, cuenta con herramientas para escanear las vulnerabilidades de los sitios.

La compañía regularmente hace pruebas con sitios Web que establece. "Realizamos esto para que los vendedores se animen a mejorar sus productos" dijo Elbaz.

Con la falla de cross-site scripting encontrado, el sitio Web de Google esta ahora asegurado por Finjan. "Hemos encontrado que el resto de los sitios Web de Google no son vulnerables a este error" dijo Elbaz. "y estaremos al pendiente del sitio".

En este año un error en el servicio de correo de Google, Gmail, fue identificado. El error permitía a los intrusos atacar las bandejas de correo de los usuarios de Gmail.