• Tweet

Ocho de cada diez sitios contienen fallas comunes que podrían permitir a un intruso robar datos de los clientes, crear sitios Web falsos, o diseñar una variedad de otro tipos de ataques, reportó una firma de seguridad.

WhiteHat Security regularmente analiza cientos de sitios populares que cuentan con tráfico excesivo, comento Jeremiah Grossman, fundador de la compañía. “Probablemente, ustedes han comprado en estos sitios o utilizado estos bancos”, comentó Jeremiah. El treinta por ciento de los sitios analizados contienen vulnerabilidades urgentes, tal como una que permite el acceso directo a la base de datos de la compañía con información del cliente, comento Jeremiah.

Dos de los tres sitios analizados tiene más de una falla del tipo Cross-site scripting (XSS), la cual toma ventajas de problemas de los sitios en la programación y se esta incrementando su uso en ataques phishing. Un reciente sitios falso de eBay utilizaba una falla no corregida del tipo XSS en el sitio de subastas, para direccionar a cualquiera que accedía a una liga o a un falso carro de subastas a un sitio phishing.

Cerca de la tercera parta de los sitios analizados están en riesgo de fugas de información, la cuales a menudo significan el proporcionar datos de programación del sitio, lo cual facilita los ataques. Y aproximadamente uno cada cuatro de los sitios permite falsificar el contenido, otro riesgo potencial del phishing, de acuerdo al reporte de vulnerabilidades de WhiteHat.

Un tipo de vulnerabilidades de base de datos permite ataques de inyección de código SQL, uno de los ataques más odiados, el cual es menos común, comento Jeremiah. Menos de uno de cada cinco sitios cuenta con este problema, pero un ataque exitoso podría darle al intruso acceso a cualquier cosa en la base de datos de la compañía.

Como cualquier tipo de software, con el crecimiento de la programación se vuelve más sofisticado y complejo, el permitir aplicaciones con Web 2.0, el sitio se vuelve más vulnerable.

Las buenas noticias es que los sitios vulnerables pueden ser corregidos de manera central, en contraste con las fallas en software de escritorio, las cuales persisten hasta que estos actualizan el software. Las compañías se están volviendo más ágiles en identificar y reparar los riesgos que podrían costarle clientes, comento Grossman.