Muchas organizaciones pueden ser significativamente más vulnerables a los riesgos de JavaScript de terceros en sus sitios web de lo que creen.
Un nuevo análisis de Source Defense encuentra que hay una alta prevalencia de scripts de terceros (e incluso de cuartos) en la mayoría de los sitios web, lo cual es preocupante debido a la relativa facilidad con la que podrían usarse para infiltrar código malicioso.
Por lo general, cuando una página web llama a un script de un tercero, se carga directamente en un navegador desde un servidor externo que pertenece al tercero. Esto significa que la secuencia de comandos pasa por alto controles como el perímetro y los firewalls de aplicaciones web y las herramientas de monitoreo de red, según el proveedor de seguridad. El proceso brinda a los actores de amenazas una forma de introducir código malicioso en el entorno a través de scripts de terceros. El problema se ve agravado por el hecho de que los desarrolladores de scripts de terceros a menudo incluyen código de otros desarrolladores que en muchos casos tienen código fuente de otro desarrollador, dijo Source Defense.
Sin embargo, la mayoría de las organizaciones utilizan scripts de terceros para integrar carritos de compras, formularios dinámicos, procesar pedidos y pagos, presentar botones de redes sociales, seguimiento de visitantes y una variedad de otras funciones. Los scripts están fácilmente disponibles, a menudo de forma gratuita, de numerosas fuentes, incluidas organizaciones de código abierto, empresas de redes sociales, proveedores de nube, redes publicitarias y redes de distribución de contenido, dice el informe de Source Defense.
En un análisis de 4,300 de los sitios web más grandes del mundo, la firma encontró que cada sitio tenía 15 scripts generados externamente en promedio, con un promedio de 12 de ellos en páginas confidenciales, como aquellas para recopilar información del usuario o para procesar pedidos y pagos. Casi la mitad (49%) de los sitios web del estudio de Source Defense tenían un código externo con funcionalidad para recuperar entradas de formularios y monitorear los clics de los botones de los usuarios. Más del 20% tenía código externo que podía modificar formularios. La mayoría de los sitios tenían múltiples scripts en cada página web.
Source Defense descubrió que los sitios web pertenecientes a organizaciones en algunos sectores tenían una cantidad de scripts de terceros sustancialmente mayor que el promedio que otros. Los sitios web de servicios financieros, por ejemplo, tenían un promedio de 19 scripts en páginas confidenciales, o un 60 % más que el promedio de todos los sectores. Las organizaciones de salud tenían 15 de ellos en promedio.
Un vector de ataque tentador para los adversarios
“Los adversarios siguen muy enfocados en el robo de datos de sitios web que realizan transacciones o capturan datos confidenciales”, dice Hadar Blutrich, CTO y cofundador de Source Defense.
En los últimos años, ha habido numerosos incidentes en los que los atacantes han manipulado o utilizado scripts de terceros para robar datos de usuarios y tarjetas de pago, redirigir a los usuarios a sitios maliciosos, registrar pulsaciones de teclas y llevar a cabo una variedad de otras actividades maliciosas. Un ejemplo bien conocido es Magecart, un colectivo de hackers que a lo largo de los años ha sustraído datos de cientos de millones de tarjetas de pago mediante software furtivo de robo de tarjetas en scripts de terceros en sitios web minoristas.
Tales ataques pueden tener grandes consecuencias para las empresas. Por ejemplo, en un incidente en 2018, los piratas informáticos de Magecart infiltraron algunas líneas de código en una página del sitio web de British Airways que terminó exponer datos personales pertenecientes a unos 380,000 clientes. Más tarde, la aerolínea recibió una multa masiva de más de $ 200 millones por el incidente.
“El vector de ataque sigue siendo amplio y abierto incluso para los sitios más grandes del mundo, y el riesgo de una pérdida significativa de material es bastante real”, dice Blutrich.
Para comprometer los scripts de terceros, los actores de amenazas a veces se infiltran en los repositorios de códigos públicos, señala. En otros casos, identifican organizaciones que tienen grandes redes de clientes y comprometen scripts de esas organizaciones para perpetrar ataques de uno a muchos, dice. Como ejemplo, Blutrich señala un ataque a principios de este año en el que más de 100 sitios relacionados con bienes raíces fueron comprometidos después de que un ataque plantó malware en un componente de video en la nube en un sitio perteneciente al brazo inmobiliario de Sotheby's.
Cómo combatir el riesgo de secuencias de comandos externas
La madurez de los procesos empresariales para mitigar el riesgo de scripts de terceros y de terceros tiende a variar, señala Blutrich. En algunos casos, no hay supervisión: los equipos digitales y de marketing actúan por su cuenta para implementar la nueva funcionalidad del sitio web e interactuar con terceros, sin involucrar al equipo de seguridad de la empresa.
Sin embargo, "en casos más maduros, hemos oído hablar de 'consejos de guión' en los que lo digital debe trabajar con seguridad/cumplimiento para examinar y aprobar a cualquier socio de la cadena de suministro", dice.
Independientemente de los procesos internos de aprobación, se debe hacer más para administrar y asegurar el script, dice Blutrich. “Una vez en el sitio, incluso si se aprueban, los cambios benignos de los propios socios pueden poner en peligro el cumplimiento y, obviamente, los cambios maliciosos de los actores de amenazas pueden generar importantes problemas de fraude y robo de datos”.
