PC World Digital: primera revista online de informática doméstica y electrónica de consumo en castellano

	PC	Portátil	PDA	DVD/TV/Cine	Foto/Vídeo digital	Música	Impresoras	Discos/Memorias	Móviles


VÍDEOS

Informativo IDG TV (25 de mayo de 2012) [+]


CONTENIDOS

Home Noticias Artículos MWC 2012 Nokia Lumia iPad 2 CeBIT 2011 Mobile World Congress Especial Office 2010 Trucos Descargas PCWorld Guía Internet Vídeos Galería de fotos


Galería de imágenes

Un monitor VALCD de I-O Data


SERVICIOS

Empleo Tienda Foro Blog Publicidad Contactar Newsletter


Compras

Ver Más Ofertas

¿Interesado en TI? Descargue gratis: Continuidad de negocio y resiliencia, ¿está su negocio preparado?

INTERNET/SEGURIDAD

Advierten de un serio fallo en algunas de las webs más importantes

Versión para imprimir

Dos académicos de la Universidad de Princeton han descubierto un fallo de código en algunas de las páginas web más importantes a nivel mundial. Un agujero que puede poner en peligro datos personales e, incluso, hacerse con cuentas bancarias.

Este tipo de agujero se denomina Cross-Site Request Forgery (CSRF) y permite a un atacante hacer determinadas acciones en una página web comportándose como si fuera la víctima cuando ésta ha accedido con su nombre y contraseña.

Según William Zeller y Edward Felten, autores de la investigación, estos fallos CSRF han sido en su mayoría ignorados por los desarrolladores web debido a una falta de conocimiento de los mismos.

El error se ha podido localizar en las páginas web de The New York Times, ING Direct, una entidad bancaria estadounidense, en YouTube y en MetaFilter, entre otros.

Para sacar partido de este problema, un atacante tiene que crear una web especial y engañar a la víctima para que acceda a la página. La maligna está diseñada para enviar una “petición” por la que el usuario de una página irá a la otra desde su propio navegador.

Según los autores de esta investigación, el lenguaje de programación de Internet, HTML, hace que sea muy sencillo llevar a cabo este tipo de “peticiones”. Algunas web establecen una sesión de identificación, en las que parte de la información se guarda en una cookie o en un archivo de datos en el navegador. Esta sesión es contrastada cuando, por ejemplo, se hace una transacción on-line, con el fin de verificar que el navegador que se está conectando para hacer la operación.

Durante un ataque CSRF, la petición del hacker pasa a través del navegador de la victima. Aunque la web realice la sesión de identificación, no puede asegurarse de que la petición proviene de la persona correcta.

Así, según denuncian estos expertos, este error permite en la página del diario The New York Times obtener la dirección de correo electrónico de un usuario cuando se conecta. Una dirección de e-mail que puede ser objeto de spam, por ejemplo.

Evidentemente, las consecuencias en la web del banco ING podrían ser más alarmantes, según Zeller y Felten, ya que, según describen en el mencionado artículo, el fallo CSRF puede permitir crear una cuenta adicional, a la que transferir el dinero de la víctima al atacante. No obstante, los autores aseguran que ING ha solucionado el problema.

Arantxa Herranz - 01/10/2008

Más sobre:

web

Internet Seguridad
Votar esta noticia (69 votos)
¿Te ha gustado esta noticia? Suscríbete a nuestro RSS

También le puede interesar :

Foro Seguridad en Twitter

| Más

Noticias Relacionadas

Solidaridad digital: el diario online para los discapacitados

Interdelicatessen.com inaugura su portal de alta gastronomía

Arteinversion.com pone en marcha un escaparate virtual para que pintores expongan sus obras

Equipos de segunda mano en SubastasPC.com

Empleo para discapacitados en mercadis.com

Artículos Relacionados

Cómo explotar el Timeline de Facebook para promover tu negocio

Cómo gestionar una cuenta de Twitter en equipo

Cómo configurar el Timeline de Facebook (I)

Email, mensajes instantáneos o SMS: ¿con cuál te quedas?

Cómo comprar en Internet de manera segura y no morir en el intento

últimas noticias

D-Link presenta su Router Cloud con tecnología 5G WiFi
La nueva tecnología inalámbrica 802.11ac ofrece velocidad, cobertura y versatilidad.   [25/05/2012]

Windows 8 fuerza la migración de XP a Windows 7
Microsoft está empujando a las empresas a abandonar el sistema operativo más longevo de todos los tiempos y sustituirlo por Windows 7.   [25/05/2012]

Los smartphones de Android e iOS aglutinan el 55 por ciento del mercado
Según IDC, Android sigue liderando el mercado de smartphones, con Samsung como principal contribuyente, mientras que iOS ha experimentado una fuerte subida impulsada por la demanda del iPhone 4S, en detrimento de Symbian, BlackBerry, Linux y Windows Phone.   [25/05/2012]

'The Cave', el nuevo juego de aventuras de Double Fine
La nueva aventura del creador de Maniac Mansion permite adentrarse en los misterios de la espeleología y será publicado por Sega.   [25/05/2012]

Noticias anteriores >>>

Vídeos relacionados

Lo mejor de 2011: redes sociales	MWC: Canciones a 50 céntimos con Vodafone
Acuerdo de La Policia Nacional y Microsoft por la protección de los niños en Internet	Flickr y sus servicios
Inauguración FICOD 2009	Tableta táctil multimedia Toshiba JournE

Guía Internet

Últimas Webs	Webs más votadas
Precios de combustible de El País MRW Nature Sounds Otro Bache ¿Por qué nosotros no?	Mundofotos Cine Ieti Underground Film Antonio Vega Web La Ópera

Descargas

Últimas descargas publicadas

6 Series SATA Check
Publicada el:10/2/2011
Descargado: 392 veces.
Categoría: Utilidades
Tipo: demo comercial
Idioma: Inglés

Spotify Control 0.6
Publicada el:7/9/2010
Descargado: 513 veces.
Categoría: Utilidades
Tipo: freeware
Idioma: sin especificar

NOTICIAS
MÁS VOTADAS
Mozilla informa de la mejora de Firefox
Cinco empresas tecnológicas celebrarán el Día Mundial de la Tierra
El nuevo iPad adelanta al Tablet Pack
[+]

ARTÍCULOS
MÁS VOTADOS
Cómo explotar el Timeline de Facebook para promover tu negocio
Cómo convertirse en un hacker ético
Dispositivos a base de energía solar
[+]

©2012 IDG COMMUNICATIONS, S. A. U. Prohibida la reproducción total o parcial en cualquier medio (escrito o electrónico) sin autorización expresa por escrito de la editorial. En particular, IDG COMMUNICATIONS, S.A.U., se opone de manera expresa, salvo consentimiento por escrito, a la reproducción, recopilación, distribución, comunicación pública o puesta a disposición por parte de terceros de los contenidos publicados en los medios de su titularidad (ya se editen éstos en papel, a través de Internet o cualquier otro soporte), de conformidad con lo establecido en el artículo 32 de la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. En caso de estar interesado en una autorización para reproducir, distribuir, comunicar, almacenar o utilizar en cualquier forma los contenidos titularidad de IDG COMMUNICATIONS, S.A.U. debe dirigir su petición a la siguiente dirección de correo electrónico : idg_nt@idg.es

INTERNET/SEGURIDAD var so = new FlashObject("http://www.idg.es/videos/enviarAmigoNot.swf", "Enviar_Amigo", "300", "220", "8", "#ffffff"); so.addVariable("quality","high"); so.addVariable("FlashVars","&id=71999") so.write("envioflash");