¿En qué consisten los ataques de cross site scripting (XSS)?

Durante un ataque de cross site scripting (XSS), los ciberdelincuentes inyectan código en tu página web para realizar acciones como redireccionar los usuarios a una página web maliciosa o robar contraseñas.

Caso práctico:

En 2018, British Airways sufrió un ataque XSS en el que se interceptaron los datos bancarios de más de 400.000 clientes.

Ese mismo año, uno de los proveedores de Ticketmaster sufrió un ataque similar, filtrando los datos de 40.000 clientes de Ticketmaster.

Si un ciberdelincuente realiza un ataque de cross site scripting (XSS) a tu página web con éxito, le permite realizar muchas acciones en tu página web. Por ejemplo, pueden ver cualquier tipo de información que se transmite a tu página web (como información personal y de pago), incluso si tienes cifrado SSL implementado). Aunque tu página web no permita a los usuarios introducir datos o aunque tengas una página web enfocada al marketing solamente, los ataques de cross site scripting podrían ocasionar que los usuarios sean redireccionados a páginas falsas donde los ciberdelincuentes pueden realizar otras actividades maliciosas como instalar malware (software malicioso).

Protegerte de los ataques de cross-site scripting (XSS) requiere cambios en tu página web que normalmente un informático o desarrollador web podría implementar fácilmente (pero que serían difíciles de implementar para alguien sin conocimientos técnicos). Estos cambios incluyen añadir las cabeceras Content-Type y X-Content-Type-Options a tu página web y crear un Content Security Policy (CSP).

 

Por favor, revisa la sección de "Seguridad página web" en la plataforma para conocer tu protección frente a cross-site scripting y envía el informe técnico a tu desarrollador web para arreglar las vulnerabilidades que se encuentren.