¿Qué es el scripting entre sitios (XSS)?

Los ataques de scripting entre sitios (XSS) inyectan scripts maliciosos en sitios web de confianza para dirigir a los visitantes e influir en futuras interacciones. Aunque los ataques XSS existen desde hace mucho tiempo (identificados por primera vez en 1999), siguen siendo una forma popular de ciberataque. De hecho, XSS fue la vulnerabilidad de nube más descubierta en el Reporte de Amenazas de Amenazas de IBM de 2024.

Los ataques XSS emplean desajustes de seguridad dentro de aplicación sitio web para inyectar el código malicioso, que suele ser un código JavaScript del lado del cliente, sin que el propietario del sitio o el visitante lo sepan. Los sitios de confianza con las credenciales adecuadas, comprobados por el navegador de la víctima, actúan sin saberlo como mecanismo de entrega de scripts maliciosos procedentes de fuentes no confiables.

Estos scripts se ejecutan entonces en los navegadores de las víctimas, comprometiendo cómo interactúan con el sitio web de la aplicación. Esto puede ocurrir de múltiples métodos, incluyendo vandalizar el sitio web, secuestrar su sesión, inyectar malware y hacer phishing.

Read 2025 WAF Comparison Results Obtenga el Reporte

¿Qué es el scripting entre sitios (XSS)?

Cómo funcionan los ataques XSS

Un proceso simplificado de ataque XSS de 3 pasos se ve así:

  1. El atacante identifica sitios web vulnerables para atacar e inyectar código malicioso. Por ejemplo, si un sitio no valida todas sus entradas.
  2. Una vez que el código malicioso está en el sitio web, el atacante espera pasivamente a que los visitantes desprevenidos lo ejecuten o envía proactivamente el enlace comprometido a posibles víctimas. Esto se puede hacer mediante mensajes en redes sociales o emails, engañándoles para que visiten la página.
  3. Finalmente, una vez que los visitantes ejecutan el código y se convierten en víctimas, el atacante puede manipular futuras interacciones de varias maneras según su objetivo.

Los ataques XSS eluden la política de origen del navegador y ocultan sus scripts maliciosos dentro de un sitio web de confianza. Los navegadores comprueban si los sitios web son seguros y cuentan con las credenciales adecuadas. Sin embargo, no pueden verificar ningún guion adicional que pudiera haber inyectado en el sitio. Por lo tanto, una mala seguridad sitio web en las aplicaciones puede exponer a los usuarios a scripts maliciosos con consecuencias graves.

El impacto de los ataques XSS

Dependiendo del tipo de ataque y de los objetivos del hacker, XSS puede causar un serial de consecuencias tanto para el sitio web de aplicaciones como para sus usuarios. Para las personas que visitan el sitio web o usan el sitio web de la aplicación, los ataques XSS pueden llevar a:

  • Desvandalismo en el sitio web: Manipular la imagen del sitio web o agregar nuevos elementos mediante modificaciones HTML o CSS para cambiar lo que ve el visitante. Los atacantes podrían mostrarles algo completamente diferente al sitio web original para hacer que hagan algo que normalmente no harían.
  • Secuestro de Sesión: Con su código malicioso ejecutar en el navegador de la víctima, el atacante podría acceder a cookies para secuestrar la sesión. Esto les permite tomar el control de su cuenta en el sitio web de la aplicación, realizar acciones no autorizadas y acceder a información sensible almacenada en el navegador.
  • Inyección de malware: Los scripts maliciosos del atacante inyectan malware en el navegador del visitante, que luego puede escapar para ejecutar nativamente en su sistema. Este malware puede tener varios objetivos diferentes, incluyendo keyloggers que capturan credenciales de acceso, software de minería de criptomonedas o tomar el control del sistema como parte de una botnet más amplia para su uso en un ataque DDoS diferente.
  • Phishing: Redirigir a los visitantes a sitio de phishing con campos de entrada falsos para capturar las credenciales de los usuarios y tomar el control de sus cuentas.

Aunque los visitantes suelen ser el principal objetivo de los ataques XSS, también afectan al sitio web de aplicaciones. Las brechas de datos generan problemas de cumplimiento que pueden conllevar multas, consecuencias legales y daños reputacionales. La vandalización de sitios web puede llevar a que los atacantes muestren contenido ofensivo o malicioso, causando también daños reputacionales.

Además, si el ataque XSS compromete a víctimas con acceso privilegiado, puede llevar a que los hackers controlen la funcionalidad sitio web de las aplicaciones y a filtraciones de datos más significativas.

Tipos de ataques XSS

Guion Reflejado entre Sitios

El XSS reflejado ocurre cuando el sitio web de la aplicación "refleja" código malicioso al usuario, la mayoría de las veces a través de campos de entrada vulnerables. Por ejemplo, si un sitio web no limpia las entradas proporcionadas por el parámetro de URL, los atacantes pueden inyectar scripts maliciosos incrustándolos en el enlace. Los usuarios que hacen clic en este enlace ejecutan el script sin querer, exponiendo su navegador al atacante. El XSS reflejado solo ocurre cuando se hace clic en el enlace. Es una forma no persistente de scripting entre sitios.

Scripting Cross-Site Almacenado

El XSS almacenado es una forma persistente de scripting multisitio que continúa infectando a nuevos usuarios hasta que el propietario del sitio web detecta y responde a la amenaza. En estos ataques, fuentes no confiables ocultan su código en el sitio web usando campos de entrada almacenados permanentemente, como secciones de comentarios. Si el sitio no valida las entradas de la sección de comentarios, los atacantes pueden incrustar etiquetas HTML que se ejecutan cuando nuevos visitantes cargan la página.

Scripting Cross-Site basado en DOM

El XSS basado en DOM modifica e inyecta código en el modelo de objetos de dominio (DOM) del navegador del visitante. Solo afectando al lado del cliente, la respuesta en el servidor sigue siendo la misma. Ejemplos incluyen sitios web que escriben datos no estructurados desde la URL en el sitio web.

Mejores prácticas para identificar vulnerabilidades XSS y prevenir ataques

Siguiendo las mejores prácticas de seguridad sitio web en aplicaciones, puedes mantener protegidos a los visitantes de tu sitio web y mantener intacta tu reputación.

Identificar aplicación sitio web vulnerabilidad

El primer paso es revisar tu sitio web de aplicaciones para detectar cualquier vulnerabilidad ante ataques XSS. Puedes hacerlo manualmente o a través de herramientas dedicadas:

  • Revisión manual de código: Realiza un análisis de código para identificar puntos débiles donde actores maliciosos podrían inyectar scripts maliciosos en tu sitio. Además, puedes usar cargas útiles de ataque de prueba para determinar si es posible ejecutar scripts benignos en los navegadores que visitan tu sitio.
  • Escáneres automáticos de vulnerabilidad sitio web: Existen herramientas disponibles para escanear aplicaciones sitio web e identificar vulnerabilidades XSS. Estos suelen emplear análisis JavaScript estático y dinámico.

Validar la entrada

Tu sitio web de aplicaciones requiere procedimientos robustos de validación de entradas para desinfectar toda la entrada del usuario. Ejemplos incluyen:

  • La URL de validación tiene un protocolo seguro.
  • Comprueba que los valores numéricos suministrados por el usuario solo contengan enteros.
  • Cerciorando que las entradas tengan el conjunto esperado de caracteres.

Al bloquear entradas inválidas, se ayuda mucho a evitar que fuentes no confiables inyecten código en tu sitio web.

Codificar salida

El siguiente paso es codificar todos los datos controlados por el usuario escritos en el sitio web. La codificación requerida depende del contexto y puede requerir múltiples combinaciones, como las capas de codificación Javascript y HTML.

Hacer cumplir la política de seguridad de contenidos

Si ambas técnicas preventivas fallan, las políticas de seguridad de contenido (CSP) ayudan a mitigar el impacto de un ataque XSS. Limitan si los scripts externos cargan, permitiéndote especificar que solo cargan desde el mismo origen. Con una aplicación adecuada de CSP, puedes reducir el éxito de los ataques XSS incluso si el atacante consiguió inyectar el código malicioso.

Configurar cookies solo HTTP

Al marcar cookies solo HTTP, las cookies de sesión solo pueden ser capturadas por scripts del lado del cliente. Esto bloquea el acceso al código JavaScript, reduciendo significativamente las posibilidades de secuestro de sesión por parte de XSS.

Implementa un firewall de aplicaciones sitio web

Por último, implementar un firewall de aplicaciones sitio web (WAF) monitoriza y filtra el tráfico, permitiéndote desarrollar y aplicar políticas de seguridad que ataquen ataques XSS. Esto incluye escanear URL y otros campos de entrada para identificar y bloquear código malicioso reflejado a los usuarios. Muchos WAF ahora también incluyen tecnología de IA y aprendizaje automático para analizar información contextual y detectar intentos de eludir políticas de seguridad usando variantes desconocidas de ataques XSS.

Protege tu aplicación sitio web con Check Point WAF de Check Point

Check Point WAF de Check Point es el principal firewall de aplicaciones sitio web que incorpora interfaces internas contextuales para proteger tus aplicaciones contra amenazas conocidas y desconocidas. Aprende más sobre Check Point WAF, incluyendo cómo desplegarlo en minutos con WAF como Servicio (WAFaaS).