En las últimas entradas hemos visto algunas de las técnicas utilizadas por los atacantes para sus actos delictivos mediante la explotación de vulnerabilidades en algún sitio web. Hoy veremos una funcionalidad web que, de no contar con los controles adecuados, puede ser utilizada por un atacante para robar información, realizar ataques de denegación de servicio (DDoS) o inclusive propagar malware.

¿Qué es un Iframe?

Un Iframe es una línea de código de programación que permite colocar un elemento HTML dentro de otro objeto HTML principal. Si bien la etiqueta Iframe fue introducida por Internet Explorer allá por el año 1997, actualmente es soportada y utilizada por todos los navegadores, e incluso fue aceptada por la W3 (World Wide Web, regulador de estándares web).

En resumidas palabras, un Iframe es una etiqueta dentro del código de programación para mostrar otro sitio web de forma más pequeña. Se muestra al usuario como una ventana dentro de la ventana principal. Para ponerlo de manera gráfica y citando alguna analogía, es exactamente lo mismo que el sistema PIP (Picture In Picture o imagen sobre imagen) en las TVs de última generación. Esta funcionalidad le permite al usuario ver en el fondo el programa principal, mientras que en un recuadro inferior pequeño puede ver otro canal, la reproducción desde el DVD o la cámara, entre otros.

Seguramente les habrá pasado ingresar en algún sitio, por ejemplo un blog de noticias, donde al cargar completamente el contenido se muestra un mensaje (publicidad, propuesta de suscripción a newsletter, etc.) oscureciendo la página principal en el fondo. En lugar de mostrar los conocidos pop-up, la publicidad se muestra en el mismo sitio principal en una versión reducida, y así es precisamente como se ve un Iframe.

¿Cómo puede ser esto aprovechado por un atacante?

Un sitio web sin las medidas de control necesarias, tales como permisos o usuarios por defecto, puede ser el escenario para que un atacante modifique su código de forma que cargue un Iframe. Este puede llamar a un sitio de phishing que simula ser el original, como fue el caso de un clon de PayPal alojado en Colombia. Como vemos, este tipo de técnicas son aprovechadas por los cibercriminales para todo tipo de actividades delictivas.

¿Qué puedes hacer para protegerte?

En líneas generales, un usuario no puede hacer mucho para evitar que el contenido web sea modificado e insertado un Iframe, porque eso corre por cuenta del administrador. Es él quien debe implementar los controles necesarios para que nadie pueda modificar su contenido, actualizando el software y aplicando parches para corregir fallas en forma regular.

Sin embargo, hay buenas prácticas que puedes implementar para protegerte contra la explotación de vulnerabilidades en el navegador o algún complemento como Java o Flash, el robo de información, la ejecución de aplicaciones indeseadas desde la web y demás.

Teniendo en cuenta que un Iframe legítimo del sitio tiene como finalidad mostrar un mensaje al usuario, el comportamiento sospechoso trataría de pasar lo más desapercibido al usuario, como por ejemplo, que en lugar de cargar un sitio web, cargue un sitio malicioso esperando para explotar una vulnerabilidad en su navegador.

En base a esto se recomienda:

  • Analizar el equipo en busca de amenazas con una solución de seguridad instalada y actualizada. Esto permitirá saber si se ha instalado alguna aplicación indeseada, y prevendrá proactivamente le ejecución de exploits que aprovechen alguna vulnerabilidad del sistema.
  • Como siempre mencionamos, se recomienda cambiar periódicamente las contraseñas. Ante un comportamiento sospechoso de un Iframe, es una buena idea cambiarlas rápidamente teniendo en cuenta usar contraseñas largas y seguras.
  • También se recomienda la instalación de algunos complementos que permitan bloquear la ejecución de instrucciones o scripts, desde el navegador. Existen varios que se pueden descargar de forma gratuita y libre, uno de ellos es NoScript.

En resumen, vemos que un cibercriminal buscara todas las maneras posibles a la hora de robar información y comprometer equipos, haciendo uso incluso de funcionalidades propias de los sitios web una vez vulnerados. Con estas herramientas instaladas y buenas practicas incorporadas, se reducirá notablemente el riesgo de infecciones de malware y el robo de información, entre otros. En cuanto a seguridad informática refiere, la proactividad, en conjunto con el sentido común y la atención, fortalecerán la seguridad en nuestros dispositivos y perfiles.

En una próxima entrada mostraremos en un entorno controlado virtualizado cómo se presenta un Iframe, y cómo puede ser manipulado por un atacante para explotar alguna vulnerabilidad en un sistema o robar información. La explotación de vulnerabilidades mediante esta técnica se hace posible gracias a la confianza que existe entre el usuario y el sitio web vulnerado, la cual es aprovechada con fines maliciosos y delictivos. Por eso, ¡tengan a bien no ser usuarios