Los fallos de redireccionamiento abierto son cada vez más explotados por ciberatacantes


Imagen: Zdzisław Beksiński




Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.





Los ataques de phishing que utilizan fallas de redireccionamiento abiertas están aumentando nuevamente, lo que significa que las organizaciones deberían considerar actualizar la conciencia y el conocimiento de los empleados sobre cómo detectarlos.




Las vulnerabilidades de Open Redirect (redirección abierta) son un tipo de fallo de seguridad que ocurre cuando una aplicación web permite que un atacante pueda redirigir a los usuarios a cualquier URL externa, incluso aquellas que podrían ser maliciosas. Esto podría ser explotado por un atacante para engañar a los usuarios y llevarlos a sitios web falsos, engañosos o maliciosos.




La forma en que funciona esta vulnerabilidad es que un sitio web legítimo y confiable acepta un parámetro en una URL que se utiliza para redirigir al usuario a una nueva ubicación después de algún proceso. Si esta entrada no se valida adecuadamente, un atacante podría manipular el valor del parámetro para redirigir al usuario a un sitio controlado por el atacante en lugar de una ubicación legítima.




Por ejemplo:

https://sitio-legitimo.com/redirigir?destino=https://sitio-malicioso.com




En este caso, el sitio legítimo acepta la URL de destino como un parámetro y redirige al usuario a esa ubicación. Si el sitio no valida adecuadamente el valor del parámetro, un atacante podría cambiarlo para apuntar a un sitio malicioso.




Las consecuencias de esta vulnerabilidad pueden ser graves. Un atacante podría engañar a los usuarios para que revelen información confidencial, como credenciales de inicio de sesión, en un sitio falso que se asemeje al legítimo. También podría utilizarse en ataques de phishing para robar información personal o realizar otro tipo de actividades maliciosas.




Para prevenir las vulnerabilidades de Open Redirect, es importante que los desarrolladores validen y saniticen adecuadamente las entradas de los usuarios antes de utilizarlas para redirigir a los usuarios a otras ubicaciones. Las soluciones incluyen la validación estricta de las URLs de destino, el uso de listas blancas de dominios permitidos y la implementación de mecanismos de autenticación y autorización adecuados para asegurarse de que solo se redirige a destinos confiables y legítimos.




La redirección de enlaces web no es inherentemente una táctica maligna. Por ejemplo, en muchas ocasiones, las organizaciones emplean enlaces web acortados a través de servicios de acortamiento para lograr que los enlaces sean más representativos de su marca y más sencillos de compartir, direccionando a páginas web que son legítimas e inofensivas.




No obstante, es lamentable que en casos de correos electrónicos de phishing y mensajes directos, los enlaces acortados tiendan a dirigir a páginas web maliciosas. (La reducción de la longitud de los enlaces es solo una de las múltiples artimañas empleadas por los atacantes para redirigir enlaces web).




Aprovechando los kits de phishing para crear plataformas que aparentan ser legítimas y haciendo uso de las debilidades del redireccionamiento abierto, los phishers pueden lograr engañar de manera exitosa a las víctimas, llevándolas a hacer clic en los enlaces URL incorporados en los mensajes de correo electrónico fraudulentos.




Aunque se ha podido identificar el correo electrónico como canal de ataque, la táctica del redireccionamiento abierto tiene la flexibilidad de ser empleada para distribuir enlaces que aparentan ser legítimos a través de redes sociales, publicaciones en foros, mensajes de texto, mensajería instantánea o herramientas corporativas. De esta manera, es menos probable que los usuarios se muestren cautelosos frente a estos enlaces.




Para evitar ser víctima de un ataque de Open Redirect (redirección abierta), se recomienda:




Validación exhaustiva de entradas: Antes de redirigir a los usuarios a una nueva URL, asegúrate de que la entrada proporcionada por el usuario sea válida y segura. Esto implica verificar que la URL de destino sea una dirección legítima y permitida.




Listas blancas de dominios: Crea una lista blanca de dominios confiables a los que se les permite redirigir. Solo permite redirecciones a estos dominios aprobados y rechaza cualquier intento de redirigir a dominios no autorizados.




Validación de protocolo: Asegúrate de que la URL de destino utilice un protocolo seguro (como HTTPS). Esto ayudará a prevenir redirecciones a sitios web inseguros o maliciosos.




Evitar parámetros abiertos: No utilices parámetros proporcionados por los usuarios directamente en las URL de redirección. En su lugar, utiliza identificadores internos o mecanismos de referencia seguros para redirigir a los usuarios.




Limitar redirecciones: Limita la cantidad de redirecciones en cadena. Cuantas más redirecciones haya, mayor será la posibilidad de que un atacante abuse de la cadena para ocultar la dirección final.




Educación de usuarios: Brinda a los usuarios información sobre cómo verificar la autenticidad de las URL antes de hacer clic en ellas. Enséñales a inspeccionar las direcciones web y a evitar hacer clic en enlaces sospechosos o inesperados.




Capacitación en seguridad: Proporciona capacitación regular a los desarrolladores y al personal sobre las amenazas de seguridad, incluidos los ataques de redirección abierta. Esto ayudará a mantenerlos conscientes y preparados para identificar y abordar estas vulnerabilidades.




Implementación de políticas de seguridad: Establece políticas de seguridad sólidas en tu organización que aborden la validación de entradas, el manejo de redirecciones y otras prácticas de desarrollo seguro.




Actualización y parcheo: Mantén todas las aplicaciones y sistemas actualizados con los últimos parches de seguridad para evitar que los atacantes aprovechen vulnerabilidades conocidas.




Monitoreo y detección: Implementa soluciones de monitoreo y detección de amenazas que puedan identificar patrones de actividad sospechosa y redirecciones no autorizadas.




Para más información, visite: https://www.silikn.com/