Twitter lanza nueva funcionalidad de FollowMe diseñada en HTML5. ¿Cuáles son los riesgos asociados?

Twitter lanzó una nueva funcionalidad bajo el nombre de #FollowMe que permite crear un video con los mejores momentos de un usuario en la red de microblogging. Para llevar a cabo esto, Twitter se asoció con vizify, una compañía que impulsa el lema “visualizar, realizar y clarificar” en un mismo sitio.

La nueva aplicación llamada #FollowMe permite resumir en un video los mejores momentos de los usuarios sobre la red social. Este video puede incluír fotografías, videos e incluso información de las mejores interacciones con otros usuarios. Otro aspecto interesante es que permite incluir, mediante un gráfico dinámico, las horas donde más tweets realiza el usuario:

FollowMe horario

El objetivo de esta nueva funcionalidad es la de atraer nuevos seguidores, por lo que se espera que en un futuro los usuarios la utilicen ampliamente.

¿Que consideraciones debemos tener?

Estas animaciones son logradas mediante el uso de HTML5. Esta tecnología está comenzando a utilizarse ampliamente en Internet y ofrece funcionalidades y características muy superiores al lenguaje HTML clásico ya conocido. Sin embargo, se deben considerar algunos aspectos para no ser víctima de ataques por parte de ciberdelincuentes. Dada esta ocasión, vale la pena aclarar los riesgos a considerar.

La incorporación de nuevas funcionalidades en HTML5, en caso de no ser usada adecuadamente, puede contraer algunos problemas de seguridad para el usuario. Posiblemente, uno de los más importantes es la utilización de HTML5 para llevar a cabo campañas de Ingeniería Social más complejas. Este lenguaje ofrece la posibilidad de mayor interacción por parte del usuario mejorando, además, la estética en comparación con HTML clásico.

El clickjacking para engañar a los usuarios es otro de los grandes riesgos. Tal como hablamos anteriormente, este tipo de ataques consiste en el robo de clics del usuario para luego ser redirigidos a otros sitios web especificados por el ciberdelincuente detrás del ataque. Existe una defensa utilizada desde el lado del servidor que permite implementar un “Framekiller”. Específicamente, se trata de un snippet en JavaScript que impide la inclusión de iframes pertenecientes a otra fuente distinta del sitio en cuestión. HTML5 agrega un sandbox a la ejecución de iframes por lo que, de alguna manera, impide la ejecución del framekiller, abriendo la posibilidad de que el ataque resulte exitoso. Por eso, es recomendable estar atentos a estas configuraciones del lado del servidor a la hora de implementar estas tecnologías.

Finalmente, les recordamos la utilización de alguna solución de seguridad para estar protegidos frente a las diferentes amenazas que pueden propagarse por este medio. También ofrecemos la lectura de consejos de navegación segura para adoptar buenas prácticas a la hora de navegar por Internet.

Fernando Catoira
Analista de Seguridad

Autor , ESET

Síguenos