Por Javier Jiménez
Cuando navegamos por Internet podemos toparnos con riesgos de seguridad muy variados. Los piratas informáticos pueden utilizar diferentes técnicas para comprometer nuestros equipos. Muchos tipos de ataques, pero también muchas herramientas y métodos para protegernos. Hoy nos hacemos eco de qué es una inyección HTML. Vamos a explicar cómo puede afectar a nuestra seguridad. Un problema que puede poner en riesgo nuestra privacidad y comprometer los equipos.
Qué es la inyección HTML
Una página web está compuesta por código HTML. Es todo aquello que hace que podamos ver un diseño determinado, unos textos, complementos, imágenes… El problema es que ese código puede no ser siempre legítimo y seguro. Podría contener código malicioso que busque la manera de robar información o infectar a los usuarios.
Con inyección HTML básicamente nos referimos a ese código malicioso que un posible atacante puede introducir en un sitio web legítimo. Un ciberdelincuente puede mantener la manera en la que aparece una página web pero ha incluido código malicioso. Podría, en definitiva, hacer que un sitio web pase a ser un riesgo para la seguridad de los visitantes.
Una inyección HTML puede no alterar el contenido que hay en el servidor, pero sí lo que se muestra en el navegador. Es decir, un visitante de esa página puede ver contenido diferente a lo que previamente habían configurado. Podrían introducir enlaces maliciosos que lleven a páginas propiedad del atacante o a la descarga de software que pueda comprometer el equipo.
Lo más común es la inyección HTML del lado del servidor. Esto envía material, como un comentario de blog, a un sitio e incluye HTML. Algunos HTML pueden ser legítimos, pero pueden tener objetivos maliciosos. La inyección HTML es la forma más común de realizar scripts de sitios cruzados (XSS).
Dentro de las fuentes de inyección HTML podemos incluir publicaciones en un foro, comentarios, anuncios de terceros y vistas previas de páginas de otros sitios. Cualquier sitio que acepte y muestre información de partes no confiables podría estar en riesgo.
Los usuarios confían en los sitios
Uno de los mayores problemas es que los usuarios confían en los sitios que visitan. Normalmente una persona que entra en una página que visita frecuentemente, que no cuenta con ningún tipo de riesgo de seguridad a priori, va a fiarse de todo lo que allí ve. No va a ver peligroso acceder a un link que muestran, por ejemplo.
Un atacante podría inyectar metaetiquetas, algo que pone en riesgo a los usuarios. Puede configurar cookies, redirigir a otra página y cambiar la política de seguridad. La especificación HTML permite metaetiquetas solo en el encabezado HTML, que es difícil de atacar, pero no todos los navegadores son estrictos al respecto. Un intruso podría obtener metaetiquetas en el cuerpo HTML.
El usuario podría encontrarse con un enlace, un texto que indica que entre. Al hacerlo puede ir a un sitio controlado por el atacante y poner en riesgo su seguridad. Un problema que, como podemos imaginar, puede afectar a la privacidad y al buen funcionamiento del sistema.
Los responsables de la página pueden prevenir la inyección HTML restringiendo el contenido de terceros al sitio. También podrían protegerse frente a cookies y URL modificadas. Además es interesante tener cuidado con los comentarios de usuarios y la manera en la que se gestionan.
Por supuesto será vital tener el sitio actualizado, así como todos los complementos que agreguemos. En ocasiones surgen problemas de seguridad debido a fallos que son aprovechados por los ciberdelincuentes. Es necesario que tengamos actualizados nuestros sistemas, dispositivos y, en este caso, cualquier complemento instalado en la web. Así podremos obtener las últimas mejoras pero sobre todo proteger el sitio.
En definitiva, la inyección HTML es otro problema más de seguridad que nos podemos topar en la red. Puede hacer que un sitio web pase a ser un peligro que ponga en riesgo el buen funcionamiento de los sistemas.
