Secuencias de comandos en sitios cruzados (XSS)

Las secuencias de comandos en sitios cruzados o XXS (del inglés,

cross-site scripting) son un tipo de vulnerabilidad de los sitios
web, que permite que los atacantes coloquen secuencias de
comandos maliciosas en páginas web y aplicaciones de
confianza, que a su vez, instalan malware en los navegadores
web de los usuarios. Mediante el uso de secuencias de comandos
en sitios cruzados, los hackers no atacan directamente a los
usuarios ni les dirigen engañosamente a otros sitios, sino que
distribuyen libremente su malware.

¿Qué son las secuencias de comandos en sitios cruzados?

Los ataques XSS tienen como objetivo el código de una página
web, que se ejecuta en el navegador del usuario, no en el
servidor del sitio web. Cuando el usuario es atacado, se
introducen secuencias de comandos maliciosas en su
navegador que intentarán dañar su equipo.
La variedad de ataques XXS es prácticamente ilimitada, pero los más comunes suelen ser:

 Recopilación de datos personales.

 Redireccionamiento de las víctimas a sitios controlados por hackers.
 Control del equipo por parte de estos.

¿Cómo se producen los ataques XXS?

Los sitios web guardan datos y envían información a tu navegador continuamente, los ataques XXS se
producen cuando fuentes que no son de confianza envían al navegador de los usuarios contenido
malicioso a través de las vulnerabilidades de los sitios web, con ello, el contenido malicioso puede robar
datos de tú equipo o dañar tu sistema. Por ejemplo, cuando un usuario busca algo en línea, el sitio web
envía información al navegador en forma de resultados de búsqueda. En un ataque XXS, la información
que se recibe puede contener malware que podría robar tús datos,
dado que prácticamente todos los sitios web necesitan guardar y
enviar datos a los navegadores, las XSS son la brecha de seguridad
más habitual hoy en día en el software.

¿Cómo se reconoce un ataque XXS?

Desgraciadamente, tu navegador no tiene forma de saber si una
secuencia de comandos no es de confianza, por lo que la ejecutará
automáticamente cuando la reciba, esto significa que las
secuencias de comandos maliciosas pueden acceder a cualquier
tipo de información confidencial que se haya guardado en el
navegador o en la página web, esto hace que los ataques XXS sean

1
prácticamente imposibles de reconocer.

¿Cómo puedo solucionar las vulnerabilidades de las XXS?

Es tarea del propietario del sitio web localizar y solucionar las vulnerabilidades de XXS, ya que es ahí
donde se esconde el código malicioso que infecta a los usuarios. El simple hecho de advertir a los
usuarios que eviten sitios web sospechosos no es suficiente en este caso, ya que las vulnerabilidades
afectan a todos los sitios web, incluidos los de confianza. Afortunadamente, existen herramientas en
línea que se pueden descargar para detectar vulnerabilidades de XXS en los sitios web.

¿Cómo evitar ataques de secuencias de comandos en sitios cruzados?

1. Ten instalado en tú equipo un software antivirus.
2. Configura tu sistema operativo y software para que se actualice automáticamente.
3. Descarga un analizador para que compruebes si el código de un sitio web es vulnerable.

Protéjete frente a los ataques de secuencias de comandos en sitios cruzados

Para protegerse de un ataque XXS, no es suficiente con evitar páginas que no sean de confianza, para
impedir que tú equipo se infecte y se ocasionen daños en tu sistema o se robe información personal,
se recomienda tener instalado un antivirus.