Crece el formjacking: ¿qué es y cómo evitar que los clientes online sean víctimas?

Según el Application Protection Report 2019, que acaba de publicar por F5 Labs, los formularios online que los usuarios rellenan para registrarse, iniciar sesión en un sitio web o a la hora de realizar una compra, se han convertido en una buena vía para que los hackers consigan acceder a nuestros datos personales y financieros. De hecho, después de analizar 760 casos de robo de datos, la división de ciberseguridad de F5 Networks concluyó que la técnica de formjacking, mediante la que el hacker es capaz de mover los datos desde el navegador del usuario hasta otro sitio controlado por él, se está convirtiendo en uno de los métodos preferidos por los ciberdelincuentes, llegando a suponer el 71% de todos los casos analizados por este especialista durante 2018.

En sus investigaciones, ya ha detectado durante 2019 un total de 83 incidentes de formjacking, que en su conjunto afectaron a un total de 1,4 millones de tarjetas de crédito. Se estima que actualmente el 60% de todos los robos relacionados con tarjetas de crédito utilizan esta técnica. Los sectores más afectados son retail, transporte e industria.

En opinión de sus expertos, Las aplicaciones web están incorporando cada vez más componentes de terceros a su código, como pueden ser carros de compra o sistemas de pago con tarjeta, lo que incrementa su vulnerabilidad. Como explica David Warburton, senior threat evangelist en F5 Networks, “los desarrolladores web utilizan librerías de código importadas o, en algunos casos, enlazan sus aplicaciones directamente a los comandos de terceros alojados en la web. Como consecuencia, la vulnerabilidad de las organizaciones se incrementa, ya que su código se compila a partir de múltiples fuentes de distinta procedencia, casi todas situadas fuera de los límites de los controles normales de seguridad empresarial. Dado que muchos sitios web hacen uso de los mismos recursos de esas terceras partes, los hackers saben que con lograr comprometer un solo componente pueden llegar a los datos de un gran número de usuarios, clientes de múltiples empresas“.

F5 Labs ha emitido una serie de recomendaciones para que las compañías puedan evitar que sus clientes online sean víctimas de esta técnica:

- Crear de un inventario de aplicaciones web, que debe incluir una auditoría exhaustiva del contenido de terceros. Es un proceso complicado, ya que normalmente estos contenidos están vinculados a otros sitios web con controles de seguridad poco fiables.

- Parchear el entorno. Aunque el parcheo no necesariamente va a corregir los defectos de los contenidos de terceros, sí conseguirá dificultar el compromiso de los datos. La técnica de inyección web es muy versátil, por lo que resulta crítico parchear las aplicaciones propias a fin de prevenir daños que puedan provocar los activos de terceros que hayan sido comprometidos.

- Escanear vulnerabilidades. Durante años, los CISO han reconocido la importancia de llevar a cabo escaneos externos con el objetivo de obtener una visión de la actividad de los hackers.

- Monitorizar cambios de código. Con independencia de dónde se encuentre alojado el código, es importante conseguir una mayor visibilidad, independientemente de si surgen nuevas vulnerabilidades o no. Esto significa monitorizar los depósitos GitHub y AWS S3, así como los repositorios de código nativo.

- Autenticación multifactorial. Que debe ser implementada en cualquier sistema conectando activos de alto impacto, ya que la inyección se utiliza a menudo para evitar la autenticación a la hora de acceder al código del servidor web. Idealmente, el cifrado de la capa de aplicación también puede complementar TLS/SSL para mantener la confidencialidad a nivel del navegador. Muchos firewalls de aplicaciones web (WAF) tienen esta capacidad. Sin embargo, un WAF avanzado puede ofrecer un mayor nivel de visibilidad y control de la capa de aplicación para ayudar a mitigar los riesgos de inyección distribuidos y polimórficos.

- Explorar el potencial de las herramientas de software de servidor. Por ejemplo, es posible establecer una Política de Seguridad de Contenidos (CSP) para bloquear inyecciones de código no autorizado en un sitio web o en una aplicación. Además, los métodos web SubResource Integrity (SRI) pueden verificar que las aplicaciones de terceros no han sido alteradas. Ambas herramientas requieren trabajo para adaptarlas adecuadamente a una aplicación web. Aquí es donde entra en juego un WAF robusto y flexible.

- Monitorizar certificados y dominios registrados recientemente. Se usan a menudo para alojar scripts maliciosos con apariencia de auténticos para los usuarios.