Menú
ASUS
QNAP
AVM
Aruba
Métodos de ataque al entrar en una web y que te pueden infectar
  1. Portada
  2. Tutoriales
  3. Seguridad
  4. Métodos de ataque al entrar en una web y que te pueden infectar
Seguridad

Métodos de ataque al entrar en una web y que te pueden infectar

Javier Jiménez

Existen muchos métodos que pueden usar los piratas informáticos para robar información, contraseñas, infectar sistemas y, en definitiva, provocar problemas cibernéticos. Normalmente el malware llega por algún error que comete el usuario. Puede que descargue un archivo, instale un programa peligroso, entre en un link… En este artículo vamos a explicar de qué manera puede infectarse un sistema simplemente con entrar en una página web. También daremos consejos para estar protegidos.

Índice
 

Por qué una web puede ser peligrosa

Un sitio web puede llegar a infectar nuestro ordenador o móvil simplemente por acceder a ella. Hay determinados elementos, archivos e incluso enlaces que pueden contener malware y estar diseñados para robar información. A veces incluso sin tener que hacer nada podemos sufrir algún ataque cibernético. Es interesante conocer cuáles son las principales amenazas para una web tanto si tenemos una página nuestra como también para los visitantes. De esta forma conoceremos los riesgos para poder mejorar la seguridad y evitar problemas. Podríamos sufrir el robo de información, malware que ponga en riesgo nuestros equipos y, en definitiva, complicaciones a la hora de navegar por la red.

 

La web redirecciona a sitios maliciosos

Sin duda es uno de los problemas más importantes que afecta a las páginas web. Esto puede poner en riesgo los usuarios que entran en un sitio y es algo que deben tener en cuenta aquellos que sean propietarios de un sitio web. ¿En qué consiste esto? Básicamente podemos decir que esto ocurre cuando un usuario entra en una página y hace clic en algún enlace que haya y le redirecciona a un sitio inesperado. Por ejemplo, si estamos en una página de noticias y queremos acceder a un determinado artículo pero al entrar en ese link hemos ido a parar a una web que nada tiene que ver.

Los piratas informáticos pueden inyectar código malicioso que lo que hace es cambiar los enlaces de ese sitio. De esta forma cuando la víctima entra en la web y hace clic en un enlace, en realidad van a ir a parar a otra página que nada tiene que ver. Una manera de enviarnos directamente a un sitio cargado de malware, de descargar software malicioso, ataque Phishing, etc.

 

Recopilación de datos

Por supuesto otro problema muy importante, otra amenaza que afecta a las páginas web, es la recopilación de datos. Un atacante puede una vez más inyectar código malicioso en un sitio con el objetivo de recopilar datos de los visitantes.

Incluso una página puede estar diseñada de forma maliciosa para ello. Por tanto, hay que tener siempre presente este problema y evitar sitios que puedan ser una amenaza. Tanto por parte de los webmasters como de los visitantes es vital tomar precauciones en este sentido y evitar así que se puedan filtrar los datos.

 

Ataques a la base de datos

Algunos de los ataques más comunes a sitios web están orientados en robar la base de datos. Aquí pueden obtener información muy variada de ese sitio, recopilar datos también de los usuarios como el correo electrónico, nombres, números de teléfono y otra información en caso de haber registros. La forma más frecuente de realizar estos ataques es mediante inyección SQL, normalmente consiste en insertar una consulta SQL en campos de formulario de línea estándar como cuadros de inicio de sesión en el sitio web que se pasan a la base de datos SQL de la aplicación.

Los ataques de inyección SQL son bastante conocidos por explotar vulnerabilidades en las bases del código compartidas, como por ejemplo los complementos de WordPress. Una vulnerabilidad en el código puede provocar que cientos de miles de sitios web que utilizan dicho código sean pirateados o hackeados. Normalmente, este tipo de ataques suele utilizarse con el propósito principal de robar datos corporativos como archivos de clientes o información financiera.

Seguridad en sitios web

 

Scripts

A través de un script es uno de los métodos por los que podemos infectar nuestro sistema simplemente con visitar una página web. Ese script puede contener código malicioso que han creado con el objetivo de aprovechar posibles vulnerabilidades que haya en un equipo o en el propio navegador y atacar.

De esta forma, un pirata informático podría tener la oportunidad de colar virus o de robar información. Esto puede ocurrir si tenemos el sistema operativo o el navegador desactualizados y hay fallos que pueden ser explotados.

 

Descarga de archivos

Otra opción es que entremos en una página web y automáticamente descargue un archivo. Esto suele pasar cuando nos llegan links maliciosos por correo electrónico, hemos entrado desde una página de un tercero o incluso una web legítima que ha sido atacada y la han configurado de tal forma que, solo con entrar en ella, descarga automáticamente archivos.

Estos archivos pueden ser malware de todo tipo. Podemos estar ante un keylogger que registre las contraseñas, un virus que afecte al funcionamiento del navegador, spyware, ransomware… Igualmente, en muchos casos van a aprovecharse de vulnerabilidades en el sistema para ejecutarse.

 

Enlaces falsos

También podemos ver cómo sufrimos un ataque simplemente con visitar una página cuando accedemos a enlaces falsos. Por ejemplo, si entramos en una página web para iniciar sesión en Facebook o hacer una compra en Amazon, puede que ese link no sea original y, al pagar o poner la contraseña, esos datos terminan en un servidor controlado por los atacantes.

Es muy común en ataques Phishing. Básicamente son enlaces que simulan ser verdaderos, pero en realidad son una copia muy bien creada. Esto también podría derivar en la descarga de archivos maliciosos o colar actualizaciones falsas.

Ataques Phishing MitM

 

Envío de formularios

A través del envío de formularios también podemos tener problemas de seguridad. Simplemente con hacer clic, con enviar nuestros datos, pueden terminar en malas manos y ser la opción que buscan para enviar posteriormente ataques Phishing o intentar estafarnos de alguna manera.

Estos formularios, como en el caso de los enlaces falsos, son una copia de lo que realmente creemos que es. Ahí podemos poner información personal, contraseñas, métodos de pago… Todo eso va a terminar en manos del atacante.

 

Autenticación fraudulenta

Por supuesto los ataques hacia los inicios de sesión están muy presentes. Los piratas informáticos buscan robar las credenciales y contraseñas de la víctima. Así pueden suplantar su identidad, por ejemplo. También incluso provocar un efecto dominó y robar cuentas en otros servicios y plataformas, siempre y cuando la víctima utilice la misma clave de acceso.

Es importante que a la hora de iniciar sesión nos aseguremos de que estamos en una web segura, cifrada y que hemos accedido realmente a la legítima. Hay que evitar fallos que puedan afectar a nuestra privacidad.

 

Ataques DDoS

Por último, algo que está muy presente entre los ataques a páginas web son los ataques DDoS. Como sabemos este problema ha ganado peso en los últimos tiempos. Los piratas informáticos buscan la denegación de servicios de un sitio. Básicamente consiste en enviar miles de solicitudes al mismo tiempo para provocar problemas cuando se conectan usuarios legítimos.

De esta forma la página web no puede gestionar todas las solicitudes. Podría quedarse sin dar servicio a los visitantes o dar un servicio muy limitado. Puede afectar a todo tipo de sitios e incluso podría provocar pérdidas económicas importantes. Pensemos por ejemplo en una tienda online que esté toda una tarde sin funcionar, sin poder vender productos. Este es uno de los riesgos de los ataques DDoS.

 

Cross-site scripting o Secuencias de comando entre sitios (XSS)

Este tipo de ataque viene dado mediante la ejecución de scripts maliciosos en sitios web que tienen buena reputación y son confiables, en un ataque XSS, las aplicaciones o páginas web utilizadas para enviar código malicioso y comprometer las interacciones de los usuarios para posteriormente poder apoderarse de la identidad de uno o varios de los mismos y así llevar a cabo actividades maliciosas e incluso delictivas obteniendo acceso “autorizado” a información corporativa o simplemente robar sus datos.

Normalmente el script utilizado en los ataques XSS evita que los navegadores de los usuarios puedan identificar dicho ataque o dicha actividad maliciosa por lo que los atacantes tienen libertad de explorar las cookies, los datos confidenciales almacenados y los tokens de sesión del usuario guardados en su propio navegador sin que este los sepa o se dé cuenta, por lo que los administradores de dichas web deben mantenerse siempre a la vanguardia, ya que si los usuarios identifican que han sido atacados mediante su web, lo más probable es que en primer lugar nunca vuelvan a ella y en el caso más grave, puede que se tomen incluso acciones legales.

En definitiva, estos problemas que hemos mencionado son algunos de los que podemos encontrarnos al navegar por Internet. Siempre debemos tomar precauciones, mantener nuestros equipos seguros, actualizados y no cometer errores básicos. Pero, además, en caso de tener una web en propiedad debemos asegurarnos de que funciona correctamente, de que no tenemos ningún plugin desactualizado que pueda ser explotado o cualquier otro problema que llegue a afectar no solo al rendimiento, sino a la seguridad de esa página web y de los visitantes que lleguen a nuestro sitio.

 

Ataques que pueden afectar a los servidores Web

Un servidor web es el encargado de gestionar todo el contenido de un sitio y permitir que los usuarios finales puedan ver el contenido. Si no funciona bien, el visitante no podría entrar en la página o no vería correctamente todo. En caso de que ese servidor haya sufrido algún ataque de seguridad, no solo no funcionaría bien, sino que podría incluso ser un riesgo para los visitantes. Podrían ser utilizados para robar datos, romper contraseñas, ataques de denegación de servicios…

 

Cross-Site Request

Lo podemos traducir al español como falsificación de solicitudes entre sitios, también conocida como ataque con un solo clic o sesión y abreviado como CSRF («sea-surf») o XSRF. Se trata de un tipo de exploit malicioso de un sitio web a través del cual se transmiten comandos no autorizados de un usuario en el que el sitio web confía. A diferencia de los scripts de sitios cruzados (XSS), que explota la confianza que un usuario tiene para de un sitio en particular, CSRF explota la confianza que un sitio tiene en el navegador de un usuario. De esta forma, el atacante es capaz de realizar una acción en nombre de la víctima. Es, básicamente, como si lo estuviera ejecutando ese usuario. Es uno de los ataques más peligrosos por las consecuencias que podría tener para la víctima.

Más que nunca, no hay excusas a la hora de encontrarse con herramientas de hacking que sean fáciles de instalar y que sean útiles de verdad. Además, si utilizas Linux como sistema operativo principal, o si lo usas cada cierto tiempo, te encontrarás con muchísimas opciones. En esta ocasión, os vamos a mostrar un tutorial rápido y sencillo para instalar una solución denominada FinDOM-XSS. Esta herramienta solamente requiere de unos cuantos comandos y te ayudará a detectar vulnerabilidades de tipo XSS, es decir, Cross-Site Scripting. Sobre todo, se enfoca en las vulnerabilidades XSS basadas en DOM.

 

¿Qué es DOM?

Sus siglas significan Document Object Model. En español, se refiere a Modelo de Objetos del Documento. Consiste en una API que se desenvuelve en documentos de formato HTML y XML. Pero, ¿qué es lo que hace exactamente? Se encarga de construir la lógica de los documentos de los formatos citados, de manera que los mismos puedan ser accesibles y manipulables. Podemos entender mejor el concepto gracias a los documentos de formato HTML.

Sabemos que HTML es uno de los formatos esenciales de la web, así como lo conocemos. Un archivo HTML puede tener contenido como el que mostraremos a continuación:

<!DOCTYPE html>
<html>
<head>
<title>Página HTML</title>
<style>
body {
background-color: red;
text-align: center;
color: white;
}
</style>
</head>
<body>
<h1>Este es un encabezado</h1>
<p>Este es un párrafo.</p>
<img src="avatar.png" alt="Avatar" style="width:200px">
</body>
</html>

Si nos fijamos, el archivo HTML que compartimos se divide en varias partes:

  • El encabezado (head) que es donde realizamos algunas definiciones esenciales antes de ir al contenido de la página en cuestión:
    • El título principal en la página que aparece en la pestaña de nuestro navegador (title).
    • El apartado en donde personalizamos el layout de la página, es decir, el formato general que tendrá. Es como elegir un tema de WordPress o Blogger que más nos guste.
  • El cuerpo de la página que es donde se almacena el contenido (body):
    • Colocamos un encabezado.
    • Ponemos el texto que queremos.
    • Insertamos una imagen de nuestra preferencia en el cual podemos personalizar el ancho y/o el alto de la misma.

Por supuesto, todo esto puede extenderse a mucho más. Tan sólo con un documento HTML podemos sacar bastante provecho del contenido multimedia. Sin embargo, este ejemplo nos demuestra que, gracias a DOM, es posible que logremos manejar de manera práctica, sencilla y sobre todo estandarizada. El modelo DOM no se reserva HTML, se encuentra abierto a otros lenguajes de programación populares como JavaScript.

 

Vulnerabilidades y ataques XSS basadas en DOM

Los ataques XSS basados en DOM se llevan a cabo mediante la modificación del entorno DOM que se despliega en el navegador del usuario cuando visita una determinada página web. Básicamente, cuando un usuario visita una página web, el navegador interpreta el código de una forma tal, que el mismo pueda visualizar lo que desea. Es decir, imágenes, texto, vídeo, audio y mucho más. Sin embargo, esta peligrosa variante de ataque XSS tiene la capacidad de alterar lo que el usuario puede visualizar en el navegador. Lo hace de una forma tal que desemboque en perjuicios como instalación de malware, varios tipos de virus, scripts que consumen tus recursos del ordenador por minado de criptomonedas y mucho más.

Vamos a basarnos en un ejemplo compartido por OWASP para ilustrar cómo este ataque se pone en acción. Vamos a suponer que quieres visitar la siguiente página web la cual te habilita un formulario para que selecciones tu idioma preferido:

La URL, es decir, el enlace de la página original es el siguiente:

http://www.some.site/page.html?default=French

Muy fácilmente, un cibercriminal puede alterar dicha URL y queda así:

http://www.some.site/page.html?default=<script>alert(document.cookie)</script>

Como vemos, lo que distingue a la segunda URL de la primera es lo siguiente:

default=<script>alert(document.cookie)

En lugar de decir «French«, el cibercriminal logra alterar la URL para que se despliegue en el navegador del usuario un «document.cookie» que puede ser cualquier pieza de código malicioso.

El ataque XSS basado en DOM es posible en este caso gracias a que el código Javascript original de la página web no acepta código HTML. En consecuencia, el navegador interpreta directamente lo que indica la URL de la página. Esto último, sin importar que el script al que hace referencia la URL sea malicioso. Desgraciadamente, esto es algo difícil de controlar por parte del usuario. De todas formas, más adelante daremos consejo para protegernos de este tipo de ataques.

 

Cómo instalar y usar FIN-DOM XSS

Esta solución es un poderoso escáner de vulnerabilidades que podrían dar paso a los ataques XSS basados en DOM. Es sumamente sencillo de instalar, sólo precisas de contar con Linux mediante la distribución de tu preferencia. Recuerda que no es necesario contar con un ordenador independiente con este sistema operativo. ¡Siempre tienes la opción de virtualizar! Lo primero que debemos tener presente es que la instalación es mediante línea de comando y obtendremos todo lo necesario mediante su portal oficial en GitHub.

Es un script desarrollado en Python para detectar endpoints y sus parámetros en archivos de JavaScript. Es muy usado por pentesters y personas dedicadas a la cacería de bugs (bug hunters). Así como FIN-DOM XSS, vamos a instalar a partir de la línea de comando. Este es un prerrequisito o dependencia para el funcionamiento correcto del escáner.

Escribe los siguientes comandos para instalar LinkFinder:

$ git clone https://github.com/GerbenJavado/LinkFinder.git
$ cd LinkFinder
$ python setup.py install

Por último, agregamos un par de dependencias que son unos módulos en Python para que este script funcione adecuadamente mediante pip. Par más detalles respecto a LinkFinder, puedes referirte al portal oficial en Github.

$ pip3 install -r requirements.txt

Ya que has concluido con los prerrequisitos, puedes proceder a instalar el escáner en cuestión con el siguiente comando:

$ git clone https://github.com/dwisiswant0/findom-xss.git

Una vez concluida con la instalación, debes realizar un ajuste en la configuración. Es cambiar el valor de la variable LINKFINDER de la línea 3 con la ruta correspondiente a tu archivo principal de LinkFinder.

Para ejecutar FIN-DOM XSS sólo necesitas de ejecutar el siguiente comando:

$ ./findom-xss.sh https://target.host/about-us.html

La estructura es sencilla, el comando que llama a FIN-DOM XSS para ejecutarse es ./findom-xss-sh.

Por otro lado, está el enlace que sería nuestro target o blanco que queremos examinar en búsqueda de vulnerabilidades. Puede ser una página web cualquiera. Entonces, es posible traducir el comando más arriba a un ejemplo más concreto.

$ ./findom-xss.sh https://www.freecodecamp.org

Incluso, cuentas con la opción de agregar un parámetro más al comando para que los resultados se exporten automáticamente en un archivo de texto plano ubicado en donde prefieras.

$ ./findom-xss.sh https://www.freecodecamp.org /rutaejemplo/rutaejem/resultadosescaneo.txt

Sin embargo, aunque no coloques el tercer parámetro, el resultado de los escaneos se almacenan por defecto en la carpeta results y el nombre del archivo es target.host.txt.

Este es el resultado en pantalla que debes obtener al ejecutar exitosamente FIN-DOM XSS:

Esperamos que este tutorial os ayude a encontrar este tipo de vulnerabilidades.

 

Inyección SQL

Este ataque es uno de los más populares en las aplicaciones web. Los piratas informáticos van a basarse en una vulnerabilidad, como podría ocurrir en la capa de la base de datos de la aplicación web. Ese código podría comprometer a esa herramienta y llegar a filtrar datos confidenciales, información, etc.

Lógicamente esto va a provocar que el programa funcione incorrectamente. A fin de cuentas, lo que hace el atacante con la inyección SQL es modificar el código que ya previamente ha sido programado. Va a modificar la función principal que tiene.

 

Inyección HTML

Una página web está compuesta por código HTML. Es todo aquello que hace que podamos ver un diseño determinado, unos textos, complementos, imágenes… El problema es que ese código puede no ser siempre legítimo y seguro. Podría contener código malicioso que busque la manera de robar información o infectar a los usuarios. Con inyección HTML básicamente nos referimos a ese código malicioso que un posible atacante puede introducir en un sitio web legítimo. Un ciberdelincuente puede mantener la manera en la que aparece una página web pero ha incluido código malicioso. Podría, en definitiva, hacer que un sitio web pase a ser un riesgo para la seguridad de los visitantes.

Una inyección HTML puede no alterar el contenido que hay en el servidor, pero sí lo que se muestra en el navegador. Es decir, un visitante de esa página puede ver contenido diferente a lo que previamente habían configurado. Podrían introducir enlaces maliciosos que lleven a páginas propiedad del atacante o a la descarga de software que pueda comprometer el equipo. Lo más común es la inyección HTML del lado del servidor. Esto envía material, como un comentario de blog, a un sitio e incluye HTML. Algunos HTML pueden ser legítimos, pero pueden tener objetivos maliciosos. La inyección HTML es la forma más común de realizar scripts de sitios cruzados (XSS).

Dentro de las fuentes de inyección HTML podemos incluir publicaciones en un foro, comentarios, anuncios de terceros y vistas previas de páginas de otros sitios. Cualquier sitio que acepte y muestre información de partes no confiables podría estar en riesgo.

Evitar la entrada de malware en nuestros equipos

Uno de los mayores problemas es que los usuarios confían en los sitios que visitan. Normalmente una persona que entra en una página que visita frecuentemente, que no cuenta con ningún tipo de riesgo de seguridad a priori, va a fiarse de todo lo que allí ve. No va a ver peligroso acceder a un link que muestran, por ejemplo.

Un atacante podría inyectar metaetiquetas, algo que pone en riesgo a los usuarios. Puede configurar cookies, redirigir a otra página y cambiar la política de seguridad. La especificación HTML permite metaetiquetas solo en el encabezado HTML, que es difícil de atacar, pero no todos los navegadores son estrictos al respecto. Un intruso podría obtener metaetiquetas en el cuerpo HTML.

El usuario podría encontrarse con un enlace, un texto que indica que entre. Al hacerlo puede ir a un sitio controlado por el atacante y poner en riesgo su seguridad. Un problema que, como podemos imaginar, puede afectar a la privacidad y al buen funcionamiento del sistema. Los responsables de la página pueden prevenir la inyección HTML restringiendo el contenido de terceros al sitio. También podrían protegerse frente a cookies y URL modificadas. Además es interesante tener cuidado con los comentarios de usuarios y la manera en la que se gestionan.

Por supuesto será vital tener el sitio actualizado, así como todos los complementos que agreguemos. En ocasiones surgen problemas de seguridad debido a fallos que son aprovechados por los ciberdelincuentes. Es necesario que tengamos actualizados nuestros sistemas, dispositivos y, en este caso, cualquier complemento instalado en la web. Así podremos obtener las últimas mejoras pero sobre todo proteger el sitio.

En definitiva, la inyección HTML es otro problema más de seguridad que nos podemos topar en la red. Puede hacer que un sitio web pase a ser un peligro que ponga en riesgo el buen funcionamiento de los sistemas.

 

Ataque de envenenamiento de cookies

Los ataques de envenenamiento de cookies implican la modificación de los contenidos de una cookie (información personal almacenada en el equipo de la víctima) para eludir los mecanismos de seguridad. Al usar ataques de envenenamiento de cookies, los atacantes pueden obtener información no autorizada sobre otro usuario y robar su identidad.

Con el envenenamiento de cookies, por tanto, el atacante podría obtener información confidencial, como podrían ser datos financieros. Esto puede poner en riesgo la privacidad del usuario.

 

Robo de cookies

El robo de cookies es un tipo de ataque que se realiza mediante scripts del lado del cliente como JavaScript. Cuando el usuario hace clic en un enlace, el script buscará la cookie almacenada en la memoria del equipo para todas las cookies activas y las enviará al pirata informático que está llevando a cabo ese ataque.

Hay que tener en cuenta que las cookies son un elemento muy importante. Pueden almacenar información de nuestro equipo, de los programas que utilizamos, los datos personales… Tienen un gran valor en la red.

 

Ataques de phishing

Sin duda estamos ante un clásico de los ataques cibernéticos. El Phishing es el proceso en el que un atacante intenta robar datos sensibles, contraseñas, credenciales… Busca que los usuarios introduzcan información como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una entidad fiable en una comunicación electrónica. Sin embargo, todo eso que pone la víctima termina en un servidor controlado por los atacantes.

Cuando hablamos de robo de información, de datos sensibles, debemos recordar siempre el Phishing. Es uno de los métodos más utilizados por los piratas informáticos para recopilar todo tipo de información personal.

Spam vs Phishing en el correo

 

Web Defacement

Otro ataque que puede comprometer seriamente una página es lo que se conoce como Web Defacement. En español lo podemos traducir como desfiguración de un sitio web. Es cambiar la apariencia a una página para que parezca lo que no es. Pueden acceder a un servidor y modificar o reemplazar todo el contenido que hay.

Esto podría afectar seriamente a la reputación de un sitio web. Un atacante podría modificar totalmente la apariencia, los artículos publicados, el contenido… Lógicamente se trata de un problema muy importante al que hay que hacer frente.

 

Desbordamiento de buffer

Un tipo de ataque más es lo que se conoce como desbordamiento de buffer. Se trata de un problema en el que un proceso almacena datos en un búfer fuera de la memoria que el programador reservó para ello. Es otra variedad de amenaza muy común. Los datos adicionales sobrescriben la memoria que puede contener otros datos, incluidas variables de programa y datos de control de flujo del programa.

Esto podría provocar errores de acceso a la memoria, resultados incorrectos, finalización del programa o una violación de la seguridad del sistema. Hay que tener en cuenta que este tipo de vulnerabilidades puede estar presente en todo tipo de sistemas, aplicaciones y servidores.

 

Navegación forzada

En este caso estamos ante un ataque cuyo objetivo es enumerar y acceder a los recursos a los que la aplicación no hace referencia, pero que aún son accesibles. Podríamos nombrar como ejemplos los directorios como config, backup, logs a los que se puede acceder y que pueden revelar mucha información sobre la aplicación en sí, contraseña, actividades, etc.

Este método también lo debemos incluir como uno de los más utilizados por los piratas informáticos para comprometer la seguridad de servidores. Lo pueden usar para controlar y modificar directorios.

 

División de respuesta HTTP

También se conoce como separación de respuesta HTTP. En esta ocasión un atacante pasa datos maliciosos a una aplicación vulnerable, y la aplicación incluye los datos en un encabezado de respuesta HTTP. Este ataque en sí no causa ningún daño, pero daría lugar a otros ataques sensibles como XSS.

Por tanto, podemos decir que este método es más bien una estrategia para dar lugar a otros ataques. Es una puerta de entrada a través de una aplicación que tenga algún fallo de seguridad explotable.

ataques shell web

 

Cómo saber si una web ha podido ser hackeada

Como hemos mencionado en Internet podemos encontrar infinidad de sitios web. No todos ellos son seguros, ni mucho menos. Hay que tener en cuenta que podemos ser víctimas de muchos tipos de ataques. Esto podría poner en peligro nuestra seguridad, privacidad, así como el buen funcionamiento de los dispositivos. Entrar en una página que haya sido hackeada no supone por sí mismo y de manera automática que nos infecte, pero sí podría si cometemos errores. El hecho de ser infectado puede suponer problemas serios para nuestro dispositivo, así como nuestra propia seguridad y privacidad.

Una página puede ser creada de forma maliciosa para atacar a los usuarios. Podrían utilizar un nombre falso, por ejemplo, para despistar y hacer creer que estamos ante algo legítimo. Pero también podría haber sufrido un ataque por parte de piratas informáticos y tener como objetivo dañar la seguridad y privacidad de los usuarios. Por todo ello es importante saber si estamos ante una página que ha podido ser atacada y que puede ser por tanto un peligro para nuestra seguridad y privacidad. De esta forma podremos prevenir posibles ataques y no comprometer nuestros dispositivos. Vamos a explicar cómo podemos detectar este tipo de amenazas.

Por suerte podemos tener en mente diferentes tipos de formas de averiguar si una web ha podido ser hackeada. El objetivo aquí es saber detectar señales que puedan indicarnos que esa página que estamos visitando es en realidad un peligro y puede poner en riesgo nuestra seguridad y privacidad.

Vamos a detallar algunas de las señales más visibles y que pueden mostrarnos que ese sitio no es seguro.

 

Contenido extraño

Sin duda una de las muestras más importantes de que una página ha sido hackeada es ver contenido extraño. Pongamos por ejemplo que estamos visitando una página de noticias relacionadas con el baloncesto. De repente vemos contenido muy diferente hablando de ofertas relacionadas con televisiones, supuestos artículos relacionados con programas de descarga para ordenador, etc. Contenido que, como vemos, nada tiene que ver con el original.

Esto podría suponer que ese sitio ha sido hackeado. Puede que haya incluido artículos que sirven de cebo para que descarguemos programas maliciosos o entremos en contenido que pueda ser un peligro para nuestra seguridad.

 

Aparece mucha publicidad y ventanas emergentes

Otra prueba que suele estar muy presente es cuando nos aparece mucha publicidad o ventanas emergentes. Esta señala suele ser inequívoca de que esa página ha podido ser hackeada o ha sido víctima de algún tipo de ataque. Normalmente esa publicidad que muestra es invasiva, engañosa e insistente.

Lo mismo ocurre con las ventanas emergentes, que son muy molestas y pueden mostrarnos links para actualizar el sistema, descargar un antivirus o similar. Hay que tener cuidado con ello.

 

Inicio de sesión no cifrado

También puede ocurrir que entremos en una plataforma donde es necesario poner nuestro usuario y contraseña. Normalmente este tipo de servicios está cifrado, como sabemos. De esta forma nuestros datos están seguros.

Puede ocurrir que entremos al link para iniciar sesión y nos lleve a una página sin cifrar. Esto podría ser un problema para nuestra seguridad. Podríamos ver cómo nuestros datos y contraseña se filtran.

 

Links acortados y que llevan a páginas diferentes

Por último, otra señal de que una página ha podido ser hackeada es encontrarnos con links acortados para ocultar realmente el contenido, así como enlaces a páginas diferentes. Esto podría ocultar ataques, descarga de malware o Phishing. Hay que observar muy bien a qué links estamos accediendo.

 

OWASP ZAP, audita la seguridad de webs

OWASP ZAP (Zed Attack Proxy) es el escáner web de vulnerabilidades más utilizado en todo el mundo, es completamente gratuito y de código abierto, por tanto, podrás adaptarlo a tus necesidades. Este programa es mantenido activamente por una comunidad internacional de voluntarios, los cuales trabajan para ir mejorando la herramienta poco a poco y también incorporando nuevas características.

Lo primero que debemos indicar es que OWASP ZAP no es una herramienta comercial, es completamente gratuita y de código abierto, además, es una herramienta multiplataforma, siendo compatible con sistemas operativos Windows (de 32 y 64 bits), Linux, MacOS, e incluso podemos descargarnos un contenedor Docker que incorporará todo lo necesario para ejecutarlo correctamente. Este programa es muy sencillo de instalar, tan solo necesitaremos tener Java instalado en nuestro equipo para poder ejecutarlo, otras características son que esta herramienta está traducida en más de 12 idiomas entre los que se incluye el español, además, gracias a la comunidad disponemos de una gran cantidad de documentación, tutoriales de ayuda y también tenemos foros donde podremos poner nuestro problema y nos ayudarán a solucionarlo.

Los usuarios de esta herramienta forense de seguridad podrán auditar diferentes aplicaciones web con una serie de funciones y análisis específicos. Podremos comprobar todas las peticiones y respuestas entre cliente y servidor, levantando un proxy que se encargará de capturar todas las peticiones para su posterior estudio. También podremos localizar recursos en un servidor, realizar análisis automáticos, análisis pasivos, posibilidad de lanzar varios ataques a la vez, e incluso usar certificados SSL dinámicos. Otras características interesantes son que permite usar tarjetas inteligentes como el DNIe, e incluso certificados personales, también es capaz de trabajar con sistemas de autenticación y disponemos de una tienda de extensiones (plugins) para aumentar aún más las funcionalidades de esta gran herramienta.

Actualmente ZAP se encuentra en su versión 2.10, y han ido incorporando una gran cantidad de nuevas funcionalidades, como nuevos modos de ataque para buscar vulnerabilidades, mejoras en el sistema de inyección para atacar varios servidores simultáneamente, sistemas de políticas para elegir diferentes reglas que formarán parte del análisis, diálogos de escaneo con opciones avanzadas, nuevos plugins de control de acceso y secuencia de escaneo para configurar perfectamente cómo queremos que se realice el ataque y la verificación de vulnerabilidades y mucho más.

En la web oficial de OWASP ZAP podrás encontrar los enlaces para su descarga, tanto para Windows, Linux y macOS como también los contenedores de Docker que ya incorporan todo lo necesario para su correcto funcionamiento.

 

Instalación y puesta en marcha

La instalación de este programa es realmente sencilla, simplemente tendremos que seguir el asistente de instalación, elegir si queremos la instalación estándar o la personalizada, a continuación, podremos elegir el directorio donde instalar todo el programa para posteriormente ejecutarlo.

También podremos elegir crear una carpeta en el menú inicio, crear los iconos en el escritorio e incluso el acceso rápido. Por último, OWASP ZAP nos permitirá comprobar si hay actualizaciones, tanto del propio ZAP como también de los add-ons que podremos instalar. Además, también podremos instalar las nuevas reglas que se creen para los escáneres web etc.

Una vez instalado, podemos ejecutarlo para empezar a escanear servidores web y comprobar si existe algún tipo de fallo de seguridad conocido.

 

Comprueba las vulnerabilidades de tu servidor web

Lo primero que tenemos que hacer es ejecutar este programa, tardará unos segundos en cargar correctamente.

Una vez iniciado, podremos configurar la sesión de ZAP para guardar posteriormente todo el proyecto y los datos que hayamos sacado con la auditoría de seguridad al servidor web. Tendremos un total de tres opciones, aunque la traducción al español no está demasiado bien hecha, se entiende bastante bien.

En el menú principal tendremos la posibilidad de realizar un escaneo automatizado, o una exploración manual si ya tenemos definido anteriormente lo que nosotros queramos. También podremos acceder directamente a la ayuda de la herramienta.

Si pinchamos en «Automated Scan» podremos realizar un escaneo automatizado a la URL que nosotros queramos, podremos poner cualquier URL a atacar, ya sea con una dirección IP o dominio, un detalle muy importante, es que tendremos que tener permiso para realizar este tipo de auditoría, y hacerlo con cuidado porque podrían saltar alertas de ataque web en el IDS/IPS que tengamos configurado, y también en el mod_security de nuestro servidor Apache etc.

Tendremos la posibilidad de utilizar un spider tradicional o de Ajax, además, podremos hacer uso de los perfiles de Chrome, Firefox entre otros. Una vez que lo hayamos configurado todo, pinchamos en «Atacar» y comenzará a escanear todo el servidor web haciendo peticiones GET y POST para detectar posibles vulnerabilidades en la aplicación.

En cualquier momento podremos detener este ataque y comprobar todo lo que ha analizado. En la parte inferior es donde podremos ver toda la información. Tendremos la posibilidad de ver el histórico de ataques realizados para comprobar la seguridad, e incluso podremos atacarlo nuevamente y otras muchas opciones avanzadas.

En nuestro caso, hemos atacado el servidor web de un servidor NAS QNAP actualizado a la última versión. Podremos ver muchas peticiones GET y POST del propio servicio HTTP/HTTPS. En la parte inferior izquierda veremos todas las alertas que tenemos, pinchando en cada una de ellas podremos ver en la parte de la derecha qué tipo de vulnerabilidad o error hemos localizado, y en la parte superior veremos todo en bruto.

Dependiendo de lo que abramos en las alertas, veremos una información u otra, sería recomendable revisar todas estas alertas que nos brinda OWASP ZAP para comprobar que todo está correcto y no hay fallos de seguridad.

El spider también ha hecho su trabajo con este servidor web, realizando peticiones contra el servidor web para intentar mostrarnos todos los archivos que existen en él, también podremos ver los archivos que no existen o están fuera de alcance.

En la siguiente pantalla podéis ver el código CSS del servidor web, como se puede apreciar, encontraremos toda la información necesaria para evaluar la seguridad de nuestra aplicación web, y si tenemos denegado el acceso a diferentes partes.

Si pinchamos en «Sent Messages» podremos ver todos los POST que hemos realizado, con el código recibido, RTT y otra mucha información relacionada.

En la zona superior del programa podremos ver los diferentes menús de «Archivo», «Editar», «Ver», «Analizar», «Reporte», «Herramientas», «Import», «En línea» y «Ayuda». Este programa es realmente avanzado y nos permitirá una grandísima configurabilidad.

En el caso de QNAP, cuando detecta que alguien intenta hacer un inicio de sesión fallido en varias ocasiones, automáticamente nos meterá en la blacklist, por tanto, debemos tener muy en cuenta las protecciones de un servidor web, ya sea por el firewall L7 que tengamos configurado, el IDS/IPS que detectarán tráfico anómalo etc.

Tal y como habéis visto, OWASP ZAP es una herramienta muy avanzada para comprobar la seguridad de nuestro servidor y aplicación web, es fundamental que, cuando desarrollamos una aplicación web realicemos una auditoría de seguridad para comprobar que todo está correcto y no hay ningún fallo de seguridad que se podría explotar.

 

Consejos para evitar problemas

Después de explicar cómo pueden infectar nuestro sistema simplemente con entrar en una página web, vamos a dar una serie de consejos esenciales para evitar que esto ocurra. El objetivo es tener preparados los equipos y reducir al máximo las brechas abiertas que pueden aprovechar para lanzar ataques.

 

Tener los equipos actualizados

Algo muy importante es tener los dispositivos correctamente actualizados. Aquí podemos incluir el sistema operativo, el navegador o cualquier programa que usemos. Vimos que los scripts se aprovechan de vulnerabilidades que pueda haber en los equipos, de ahí que sea importante corregirlas.

Con los parches de seguridad vamos a solucionar errores conocidos y conseguir que los dispositivos funcionen lo mejor posible. Esto reducirá el riesgo de que suframos ataques cibernéticos al entrar en una web o descargar algún archivo automáticamente y que se aproveche de cualquier vulnerabilidad.

 

Usar programas de seguridad

Por supuesto, otro punto importante es contar siempre con un buen antivirus. Por ejemplo, podemos nombrar el propio Windows Defender, así como otras opciones como son Avast o Bitdefender. No obstante, sea cual sea el programa que elijamos, debemos asegurarnos de que cumple bien su función y está correctamente actualizado.

Más allá de tener un antivirus, también podemos utilizar otras herramientas de seguridad como puede ser un firewall o incluso complementos para el navegador. Estos últimos pueden detectar páginas peligrosas que pueden contener virus o enlaces maliciosos. Un ejemplo es la extensión MyWOT, que podemos instalar en Chrome y nos avisa en caso de estar entrando en un sitio web peligroso.

Renovación de Windows Defender

 

Evitar sitios inseguros

Este consejo es más bien de sentido común. Es importante evitar, en la medida de lo posible, sitios web que no sean de nuestra total confianza. Porque ejemplo páginas a las que hemos llegado a través de otros sitios y no tienen el aspecto que esperamos. Esto puede ocurrir especialmente a la hora de descargar programas. Puede que ese sitio no sea oficial, aunque ofrezca la posibilidad de descargar esa aplicación que buscamos.

Hay que observar siempre muy bien la URL a la que estamos entrando. Cualquier pequeño cambio puede significar que estamos accediendo a un sitio totalmente distinto, que ha sido creado simplemente para robar contraseñas o datos personales de los visitantes que entran.

 

Cuidado con las redes públicas

Navegar por Internet en un Wi-Fi público, como puede ser un aeropuerto o centro comercial, tiene también sus puntos peligrosos. Uno de ellos es que ha podido ser modificado de forma maliciosa para redirigirnos al entrar en una dirección web y terminar realmente en otra donde pueden robar nuestros datos.

Para poder mejorar la seguridad, una opción que tenemos es la de cifrar la conexión a través de una VPN. De esta forma, la información que enviemos a través de esta red va a quedar oculta, como si viajara en una especie de túnel, y no quedará accesible para cualquier intruso que entre en ese Wi-Fi.

En definitiva, al navegar por Internet y enterar en una página web podemos ser víctimas de diferentes ataques. Simplemente con hacer clic en un enlace podemos descargar, sin saberlo, un virus. Hemos visto algunos pasos esenciales que debemos dar para estar protegidos en todo momento y no tener problemas.

 

Cómo evitar ataques a aplicaciones web

Como hemos visto, son muchos los ataques que podemos sufrir. No importa si somos usuarios domésticos o una gran organización. Además, cualquier dispositivo, sistema o servidor puede ser atacado por un ciberdelincuente. Esto hace que debamos tomar precauciones y no cometer errores de ningún tipo que nos comprometan.

Existen diferentes métodos y herramientas que los desarrolladores de aplicaciones web y servidores web usan para proteger una página. Además, también existen soluciones para ataques específicos y mejores prácticas que se pueden aplicar de forma continua para proteger las aplicaciones y los usuarios. Las revisiones de código, los programas de recompensa de errores y los escáneres de código deberían implementarse durante todo el ciclo de vida de la aplicación.

Las revisiones de códigos pueden ayudar a detectar códigos vulnerables al principio de la fase de desarrollo, los escáneres de códigos dinámicos y estáticos pueden hacer comprobaciones automáticas de vulnerabilidades, así como los programas de bonificación de errores permite a los testers o hackers éticos encontrar errores en el sitio web.

Usar procedimientos almacenados con parámetros que se puedan llevar a cabo automáticamente. Un ejemplo sería implementar CAPTCHA o hacer que los usuarios tengan que responder preguntas. Esto asegura que un formulario y una solicitud sean enviados por un humano y no por un bot.

Otro aspecto muy importante es el de utilizar un cortafuegos de aplicación web (WAF) para supervisar la red y bloquear posibles ataques. Algunos ejemplos pueden ser el WAF de Cloudflare, Sucuri o AWS. Es una medida de seguridad que conviene aplicar en nuestros servidores. Así evitaremos la entrada de atacantes que puedan llegar a romper nuestra privacidad y seguridad.

No obstante, hay que tener en cuenta que ninguno de estos métodos puede reemplazar al otro. Esto significa que cada uno aporta su propio valor a la tabla y agrega protección contra ciertos escenarios de ataque. No se pueden encontrar todas las vulnerabilidades mediante revisiones de código o programas de bonificación de errores, ni solo mediante un cortafuegos de aplicación web ya que ninguna herramienta es 100% segura. Todo esto hace que debamos tener en cuenta una combinación de todos estos métodos para proteger las aplicaciones y a los usuarios de la manera más eficiente posible.

 

Riesgos de seguridad al usar software open-source

Durante los últimos años, la adopción de soluciones open-source ha crecido muchísimo. Cuenta con múltiples ventajas. Una de ellas, en muchos casos, es el bajo o nulo coste que tiene, otra se refiere a la posibilidad de contribuir a su mejora o bien, personalizarlo para que se ajuste a tus necesidades. Sin embargo, es bueno no dejar de lado los riesgos que implica su adopción. A continuación, citaremos los principales problemas y qué podríamos hacer para mitigarlos.

¿Qué significa exactamente open-source? En inglés se refiere a código abierto. Quiere decir que cualquier programa que se presente como de código abierto/open-source, el código fuente se hace público. Esto, para que cualquiera pueda verlo, contribuir para su modificación y distribuirlo de acuerdo a determinadas reglas.

Haciendo énfasis en la distribución de los programas, o bien redistribución de los mismos, esto representa una gran ventaja, sobre todo para los usuarios, quienes tendrán cada vez más opciones. Millones de personas alrededor del mundo han construido grandes comunidades de forma voluntaria para poder mantener a esos programas actualizados y funcionales para los usuarios.

Es posible encontrar múltiples listas de programas de código abierto para todo propósito, incluyendo a seguridad informática. Aunque esté demostrado que éstos, en muchos casos, son mucho más útiles y funcionales que soluciones tradicionales, debemos considerar una serie de riesgos. Nunca debemos descartar que los propios programas de seguridad podrían comprometer aún más nuestra infraestructura de red.

 

Exploits disponibles para todo público

Los programas de código abierto, sean o no relacionados con seguridad informática, permiten la recepción de información sobre vulnerabilidades detectadas. La persona o el grupo de personas responsable del proyecto que hace posible a un programa, recibe dicha información. Posteriormente, la analiza y pone a disposición de la comunidad cuáles son las vulnerabilidades encontradas.

Además, se publica el origen de tal vulnerabilidad y cómo es posible explotarla. En algunos casos, esta información se publica en conjunto con la publicación de actualizaciones que actúan como parche de lo que fue detectado. Por supuesto, no existen garantías de que todo aquel que haya instalado determinado programa, lo actualice al instante.

Un cibercriminal puede sacar provecho de este riesgo, ganando contexto respecto a las vulnerabilidades del programa. Puede saber qué versión del programa es afectado y encontrar la manera de identificar el número de usuarios que cuentan con dicha versión vulnerable. En consecuencia, podrá explotar esas vulnerabilidades para ejecutar todo tipo de ataques.

Para reducir al mínimo el riesgo de ser atacado por esta circunstancia, se recomienda estar al tanto de las noticias de la comunidad del programa de código abierto que hayas adoptado. Es sumamente importante saber qué actualizaciones hay, qué mejoras se han dado y mucho más. Nunca está de más recordar que el software no actualizado representa un gran riesgo de ser víctimas de ciberataques, más aún si es de código abierto.

 

Riesgos operacionales

La adopción de programas de código abierto no termina en su instalación e implementación. De acuerdo al portal Kali Linux Tutorials, el riesgo de optar por esta clase de programas radica en cómo, cuándo y qué componentes se van a utilizar. Esto último, suponiendo que sea una solución con múltiples componentes o módulos. Los responsables de TI y/o Seguridad Informática deben garantizar que los programas sean implementados de manera homogénea y actualizar a las últimas versiones o de acuerdo al caso, aplicar los últimos parches de seguridad.

Puede darse el caso de que estés a cargo de una infraestructura más compleja y debas optar por distintas versiones de un sólo programa. Esto representa más dificultad a la hora de corroborar si es necesario o no hacer algún tipo de corrección o mejora.

Por otro lado, si hay programadores que se valen de programas de código abierto, es importante que sean conscientes de todos los riesgos de seguridad que su uso implica. Por tanto, deben tener conciencia de las buenas prácticas a la hora de trabajar con esta clase de programas. Si los programadores ignoran estos aspectos, no sólo se enfrentarán con múltiples problemas de compatibilidad y usabilidad.

Lo peor que puede pasar es que como consecuencia de las malas prácticas o el no considerar los riesgos de seguridad, es que ellos mismos sean responsables de poner en riesgo la infraestructura de la empresa. Como hemos mencionado más arriba, debemos garantizar que todo aquel que pueda manipular un programa de código abierto más allá de usuario final, sea consciente de los riesgos de manera a que todos por igual se manejen en una infraestructura segura.

 

Falta de estándares para su uso

Se puede afirmar sin miedo al error, que este es el riesgo más importante. Si ya nos topamos con uno o más proyectos open-source, nos habremos percatado de que no hay un estándar específico. Cada proyecto y su equipo responsable construyen uno de acuerdo al fin de dicho proyecto. Así también, cada comunidad formada por cada proyecto es responsable de garantizar que las buenas prácticas del estándar creado se cumplan y que se eviten malos usos.

Una potencial dificultad que se presenta es que los programadores responsables tienen distintos estilos a la hora de llevar a cabo sus tareas. La actividad de la programación es una de las actividades más personales conocidas en el ámbito tecnológico. La manera de documentar, qué tipo de editores de código utilizan y la clase de comentarios insertados en el código son algunas de las actividades más personales. Esto puede hacer que sea mucho más difícil identificar los problemas (bugs) y solucionarlos.

La principal recomendación a la hora de elegir programas de código abierto es asegurar que la documentación de respaldo sea de alta calidad. Debe contemplar los aspectos más importantes, desde el primer momento en que se instala el programa hasta el soporte ante problemas o errores frecuentes. Otro punto que deberíamos considerar es la actividad de la comunidad que se ha construido. ¿Esto qué quiere decir? Si los foros que dispone el programa se encuentran activos en relación a los hilos creados, la cantidad de respuestas que tienen. Si el programa cuenta con un repositorio en Github, verificar si constantemente hay comentarios en relación al código fuente o actualizaciones.

Por otro lado, si tu empresa cuenta con estándares que limitan la implementación de programas de código abierto, esto va a ser aún mucho más fácil. Esto es a raíz de que los estándares tienen documentación y procesos que nos facilitan la revisión de todos los aspectos a considerar antes de la implementación de tal o cual programa.

¿Todos estos riesgos de seguridad se presentan en programas que no son open-source? En algunos casos. ¿Conviene utilizar programas que no sean open-source? También, así como las soluciones «tradicionales» con código cerrado. Existen soluciones para cada necesidad y es sumamente importante saber que no precisamente porque sea open-source, el programa funcionará mejor o no tendrá ningún riesgo.

Y tú, ¿qué consideras que debe ser más conveniente? ¿Utilizar programas open-source o programas tradicionales? ¿Qué otros riesgos de seguridad encuentras a la hora de implementar soluciones open-source?

 

Cuándo un sitio web es inseguro para comprar o pagar

En primer lugar, vamos a hablar de cuándo una página web o servicio de Internet pueden ser inseguros para realizar una compra. Qué señales podrían indicarnos que el lugar que estamos visitando es una estafa o que de alguna manera nuestros datos pueden correr peligro. Así sabremos cuándo no deberíamos realizar un pago.

 

Hemos entrado desde un link sin verificar

Sin duda algo fundamental es saber cómo hemos llegado a una página web. Es común que a la hora de utilizar el correo electrónico veamos mensajes donde nos indican que hay una oferta muy buena de un producto o una página web que supuestamente tiene precios muy económicos. Esto también podría llegarnos a través de redes sociales y mensajería como WhatsApp.

El problema es que estos enlaces que recibimos pueden ser un anzuelo. Podrían llevarnos a una página web creada simplemente con el objetivo de robar información o comprometer de alguna manera la seguridad de nuestro equipo. Debemos siempre asegurarnos bien de dónde hemos recibido ese enlace y ver que realmente es seguro.

Métodos seguros para pagar por Internet

 

No vemos información o contacto

También debemos observar bien la información de ese sitio donde estamos intentando comprar. ¿Vemos los datos de contacto bien puestos? ¿Podemos consultar la información de ese sitio, el tipo de empresa, el tipo de productos que vende…? Una página que sea seria debería de tener todo esto a la vista de los usuarios.

Si nos encontramos con una web en la que vamos a realizar una compra y no vemos por ninguna parte la información, podríamos estar ante una estafa. Podría tratarse de una página creada simplemente con el objetivo de robar a los usuarios.

 

La página no está cifrada

Por supuesto otro punto a tener en cuenta es que la página esté cifrada. Esto es muy sencillo de ver. Simplemente con acceder al sitio podemos analizar la URL y ver si es HTTP o HTTPS. Esta última opción nos indicaría que está cifrada.

Hay que evitar en todo momento realizar un pago o enviar cualquier tipo de datos personales a través de sitios web que no estén cifrados. Nuestra información podría verse comprometida y es algo con lo que debemos tener cuidado en todo momento.

 

La apariencia del sitio es sospechosa y usa métodos de pago inseguros

Esta es una cuestión de sentido común y que debe estar presente siempre. Antes de realizar cualquier compra o pago hay que observar bien. Si vemos que el sitio web parece sospechoso, que no nos inspira confianza, deberíamos evitar pagar o comprar cualquier artículo. ¿A qué nos referimos con esto? Principalmente al aspecto general que muestra el sitio. La forma en la que está estructurado, posibles errores ortográficos, estar cargado de publicidad, de links a sitios de terceros… Todo esto podría ayudarnos a identificar una página que no es fiable.

Los métodos de pago que permite una página web pueden indicarnos que es insegura. Normalmente este tipo de servicios utiliza métodos con los que no podríamos recuperar el dinero en caso de problema. Por ejemplo, métodos que sí son seguros podríamos hablar de PayPal o tarjeta bancaria. Siempre podríamos denunciar un fraude y podríamos recuperar el dinero.

 

No hay mucha información en Google

¿Qué pasa si sospechamos de una web y buscamos en Google? Si una página es fiable lo normal es que tenga reseñas en Internet, que haya información en foros y, en definitiva, tengamos datos que nos puedan indicar si es o no fiable.

Si al buscar en Google vemos que no hay mucha información, podríamos estar ante un sitio web que acaba de ser creado y es en realidad una estafa. Deberíamos huir de ese tipo de páginas.

 

Cómo pagar con total seguridad

Hemos visto cuándo un sitio web podría ser inseguro y no deberíamos pagar. Ahora vamos a dar algunos consejos sobre cómo comprar con seguridad. De esta forma estaremos más protegidos en la red y evitaremos riesgos innecesarios.

 

Tener el equipo protegido

Una primera cuestión que debe ser fundamental es la de mantener el equipo correctamente protegido. Aquí debemos hacer mención a la importancia de contar con un buen antivirus y otros programas que ayuden a protegernos al navegar por Internet.

El hecho de realizar un pago en cualquier sitio con nuestro equipo infectado podría poner en riesgo la seguridad y privacidad. Podría suponer el robo de contraseñas y datos personales mediante keyloggers y otras variedades de software malicioso.

Proteger la seguridad del router

 

Mantener los sistemas actualizados

También es esencial realizar compras a través de equipos actualizados adecuadamente. Son muchas las vulnerabilidades que pueden poner en riesgo nuestros equipos. Muchos fallos que deben ser corregidos lo antes posible y así evitar que posibles intrusos lleguen a acceder.

 

Usar tarjetas recargables

Un consejo importante para pagar sin poner en riesgo nuestras cuentas bancarias es utilizar tarjetas recargables. De esta forma simplemente recargamos con la cantidad que vamos a necesitar para ese pago y así, en caso de algún tipo de problema, únicamente quedaría expuesta esa cantidad.

Hoy en día en Internet podemos encontrar muchos tipos de tarjetas recargables. Son muy útiles para el día a día y, como decimos, ayudan a mejorar la seguridad en la red cuando vayamos a pagar.

 

Siempre pagar en redes seguras

También debemos tener en cuenta las redes desde las cuales vamos a realizar el pago. Hay que evitar una red Wi-Fi pública, como podría ser en un centro comercial o aeropuerto. No sabemos realmente quién puede estar detrás y si ha sido creada con el fin de robar información.

Siempre que realicemos un pago hay que asegurarnos de que estamos en una red fiable. En caso de que no tengamos más remedio, deberíamos hacer uso de un servicio VPN que cifre la conexión y reduzca al máximo el riesgo.

 

Mantener el sentido común

Por supuesto, el sentido común debe estar presente. Evitar riesgos, evitar caer en trampas como el hecho de abrir enlaces fraudulentos, es esencial para no tener problemas al pagar por Internet. Son muchos los tipos de ataques y estafas que hay en la red, pero la mayoría requieren de la interacción del usuario.

Por tanto, estos son algunos consejos esenciales que podemos tener en cuenta para pagar con total seguridad en Internet. Así lograremos evitar riesgos innecesarios y que nuestros datos puedan verse comprometidos.

 

Cómo puede una web bloquear el acceso

Estamos seguros que, en algunas ocasiones, has intentado entrar en una página web y nos aparece algún mensaje de error, e incluso un mensaje indicándonos que tenemos prohibido el acceso con el mensaje «Forbidden», o directamente nos indica que no tenemos los permisos necesarios para acceder a dicho sitio web. Los administradores de una web pueden bloquear a diferentes usuarios para impedir que puedan acceder, los motivos son muy variados, aunque todos ellos tienen su propia lógica. No obstante, ya os anticipamos que muchos de los bloqueos que se pueden realizar en una web, podríamos saltárnoslos con diferentes herramientas y trucos.

Las principales causas por las que no puedes entrar en una web son variadas, aunque todas ellas tienen su lógica, y es completamente normal que hayan decidido bloquearte en base a una serie de razones de peso.

 

IP pública en una lista negra

Es posible que nuestra dirección IP pública que nos ha proporcionado el operador de Internet esté en una lista negra, también conocida como blacklist. Los sitios web normalmente tienen herramientas con el objetivo de prohibir el acceso desde direcciones IP que están en diferentes bases de datos de direcciones IP maliciosas, de spammers, distribución de malware y más. Es muy probable que no seas un spammer ni tampoco te dediques a la distribución de malware, pero al estar tu dirección IP en esta lista, estarás bloqueado. Sobre todo, en los principales foros de Internet, se incorporan herramientas para evitar registrarnos no autorizados bloqueando direcciones IP de origen que se conocen ampliamente como spammers.

filtrarse mi dirección IP pública

La solución más fácil para salir de esta lista negra, es cambiar de dirección IP pública, reiniciando tu router WiFi para que te proporcione el operador otra que no esté en esta lista negra. Si tienes una dirección IP fija, entonces cambiar la IP es más complicado, además, podrías perder acceso a tus servidores. En este caso, podrías contactar con diferentes bases de datos de blacklist, y esperar hasta que se actualice la base de datos y saque tu dirección IP pública del listado. No obstante, lo más sencillo para poder entrar en las webs que te han detectado, es cambiando de IP haciendo uso de un servicio de VPN o Proxy.

 

Usuario bloqueado por diferentes motivos

Si intentas entrar en una web sin iniciar sesión y puedes entrar sin problemas, pero al iniciar sesión con tu usuario registrado es cuando te indica que no puedes visitar el sitio web, es muy probable que te hayan baneado el usuario (y también es posible que te hayan baneado la dirección IP). Esto ocurre porque has cometido alguna infracción a las normas del sitio web o foro, y te han baneado temporalmente o permanentemente, por tanto, deberás tenerlo muy en cuenta.

Para evitar esto, nuestra recomendación es que cambies la IP pública, y vuelvas a registrarte usando otro nick completamente diferente y otra cuenta de correo electrónico, porque también habrán bloqueado la dirección de email utilizada en el registro anterior.

 

Bloqueo geográfico

Las principales webs de servicios en streaming y TV por Internet, limitan sus servicios solamente a un determinado país, no pudiendo acceder desde otro país diferentes. Por ejemplo, si intentamos entrar en webs como Atresplayer desde otros países, nos indicará que no tenemos permitido ver ningún tipo de contenido fuera de España, porque nos han impuesto un bloqueo regional, pero esto le ocurriría a cualquier persona que intente acceder fuera de España.

Ubicación geográfica por IP

Si estás físicamente en España y te sale este mensaje, seguramente sea porque la base de datos de direcciones IP españolas que usan no estén actualizadas, y tengas una IP pública que en el pasado estaba alojada en países como Francia (puede ocurrir si tienes Orange), o en otros países donde los operadores han comprado direcciones IP porque ya se les han agotado las anteriores. Lo que puedes hacer en este caso es, o bien reiniciar el router para que te proporcionen otra IP pública que sí esté catalogada como española, o usar un servicio de VPN que se encuentre en España para saltarnos este bloqueo geográfico.

 

Bloqueo por usar bloqueador de anuncios

Cuando usamos un bloqueador de anuncios en nuestro navegador web, como, por ejemplo, uBlock Origin o el popular AdBlock Plus, es muy probable que en ciertas webs no puedas entrar. Esto se debe a que tienen detectores de bloqueadores de publicidad, y te impiden la entrada a no ser que desactives el bloqueador de publicidad. Para poder entrar tienes dos opciones principalmente, o desactivar el bloqueador de publicidad, o configurarlo de forma avanzada para que también bloquee el detector de bloqueador de anuncios.

Esto último es lo más efectivo, estaremos bloqueando todos los anuncios y podremos acceder a la web sin limitaciones, pero también es lo más complicado ya que tendrás que inspeccionar qué es lo que te está detectando y cómo hacerlo, por lo que lo más sencillo es desactivar el bloqueados de anuncios solamente en esa web en concreto.

 

Pasos si una web de WordPress tiene malware

El hecho de que WordPress sea tan utilizado significa que cuando surge algún problema, alguna amenaza en forma de malware, puede poner en riesgo a muchos usuarios. Por suerte existen herramientas de seguridad y métodos que podemos utilizar para protegernos y evitar así que un sitio web se vea comprometido.

Vamos a ver cuáles son los pasos principales que debemos hacer en caso de que nuestro sitio web tenga algún malware y esté infectado. El objetivo es que vuelva a funcionar con total seguridad lo antes posible y evitar que afecte a la reputación del sitio y pueda evitar que en un futuro haya visitas.

 

Modo de mantenimiento

Uno de los primeros pasos que debemos dar es poner el sitio web en modo de mantenimiento. Esto significa que no va a estar habilitado para que posibles visitantes puedan entrar. De esta forma lo que hacemos es minimizar el daño lo máximo posible y a partir de ahí intentar resolver el problema. Es como si tenemos nuestro equipo infectado y desconectamos Internet, por ejemplo.

De esta forma también evitaremos que posibles visitantes puedan infectarse. Esto sería muy negativo no solo a nivel de seguridad, sino también afectaría a la forma en la que otros pueden ver nuestro sitio, ya que la imagen sería muy negativa.

 

Descargar el contenido

El siguiente paso, algo muy recomendable, es descargar todo el contenido a través de FTP a un ordenador. Esto por un lado nos garantiza que los datos estarán a salvo en caso de problemas, más allá de posibles copias de seguridad que tengamos. Pero también nos permitirá analizar correctamente con un antivirus en busca de amenazas.

Nota: es necesario contar con algún tipo de software FTP para poder transferir archivos del alojamiento a nuestro equipo. Por ejemplo podemos hacer uso de CyberDuck, que es de código abierto y está disponible para varias plataformas.

Métodos para hackear páginas en WordPress

 

Actualizar todos los parches instalados

Una vez hecho todo esto podemos actualizar todos los parches que tengamos instalados. En muchas ocasiones este tipo de problemas llegan a través de parches desactualizados que pueden permitir la entrada de amenazas. Debemos contar siempre con las últimas versiones para poder corregir estos fallos de seguridad. Adicionalmente es interesante instalar complementos de seguridad para nuestro sitio WordPress. Hay muchos y es algo que debemos tener en cuenta.

Lo ideal es que nuestro antivirus nos haya ayudado a eliminar el malware que pudiera estar presente en los archivos. En este caso lo que tenemos que hacer una vez nos aseguremos de que están limpios es subir todo el contenido nuevamente al alojamiento.

 

Restaurar archivos

En caso de que esto no haya sido posible, siempre podremos restaurar archivos de una copia de seguridad previa. Normalmente nuestro proveedor de almacenamiento guardará copias de seguridad periódicas y podremos volver a un punto anterior. Siempre podremos consultar con el servicio técnico en caso de problemas o dudas. Eso sí, esto daría resultados positivos si el malware ha entrado después de esas copias que estamos restaurando.

Como ves, es fundamental que realices copias de seguridad de forma periódica. En caso de que aparezca algún problema, como puede ser un malware o algún fallo que afecte al funcionamiento de la web, vas a poder restaurar el contenido rápidamente y evitar que vaya a más. Recomendamos siempre almacenar las copias correctamente.

 

Analizar el código

Otra solución posible, aunque en este caso más técnica, es analizar el código línea por línea y ver si hay algo malicioso. Esto podría indicarnos que efectivamente nuestro sitio web ha sufrido algún ataque cibernético y debemos tomar medidas para que no vuelva a ocurrir en otra ocasión. No obstante, puede que a este punto no necesites llegar y que ya hayas confirmado que la página tiene algún tipo de software malicioso. Es fundamental que lo soluciones lo antes posibles y que limites así el campo de acción de ese malware. Además, deberías tomar medidas para que no vuelva a ocurrir y no ponga en riesgo la reputación de la web.

En definitiva, estos son algunos pasos que debemos llevar a cabo en caso de que nuestro sitio WordPress tenga algún tipo de malware y tengamos problemas. Sin embargo lo mejor es prevenir. Mientras tengamos el sitio actualizado, controlemos los plugins de forma adecuada, contemos con herramientas de seguridad, tendremos mucho ganado y evitaremos problemas que afecten a nuestra seguridad.

Para lograr un buen funcionamiento de nuestro sitio web va a ser necesario evitar ataques cibernéticos. Y ahí entran en juego varios factores. El principal es mantener siempre actualizado el gestor de contenidos y cualquier complemento instalado. A veces surgen vulnerabilidades que pueden ser explotadas por los piratas informáticos. Es justo eso lo que podría provocar que el sitio web tenga malware, por lo que deberías corregirlo lo antes posible.

Por otra parte, instalar plugins para WordPress es algo común y además aconsejable en algunos casos. Ahora bien, siempre debes instalarlos desde fuentes fiables. Es importante evitar agregar cualquier tipo de software que no tenga garantías y no sepas realmente qué hay detrás. Esa podría ser la vía de entrada de los piratas informáticos. Aconsejamos instalar software desde sitios de garantías y siempre buscar información previamente antes de instalar nada.

Existen complementos para WordPress, como puede ser Wordfence que sirven precisamente para mejorar la seguridad de nuestro sitio. Actúan como una alarma para indicarnos cuándo ha podido haber algún problema y solucionarlo lo antes posible. Este tipo de plugins es interesante que los tengas en cuenta y aumentes así la seguridad lo máximo posible.

¡Sé el primero en comentar!
Logo redeszone.net
Navega gratis con cookies…

Navegar por redeszone.net con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias./p>

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

Elección de cookies
O sin cookies desde 1,67€ al mes

Por solo 1,67€ al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin cookies.

Suscribirme desde 1,67€ al mes
Consulta nuestra Política de Privacidad.