Aún faltan algunos días para la próxima Defcon y ya se anticipan algunas presentaciones muy llamativas. Una de estas presentaciones será realizada por los investigadores Alejandro Caceres y Jason Hopper, que revelarán detalles sobre una herramienta de hacking capaz de escanear todos los sitios web del mundo para encontrar fallas de seguridad y divulgar públicamente el hallazgo de vulnerabilidades explotables.
La herramienta, bautizada como PunkSpider, es un esfuerzo en el que este equipo ha invertido largo tiempo y será lanzado como una versión actualizada después de una pausa de dos años. Los expertos mencionan que PunkSpider será capaz de identificar automáticamente fallas de seguridad en sitios web, poniendo los resultados al alcance de cualquier usuario interesado con el fin de convertir Internet en un entorno más seguro.
Si bien Caceres y Hopper están consientes de que publicar esta información podría exponer algunos sitios web a severos ataques, esperan que la visibilidad de esta información permita a los administradores de plataformas en línea identificar y abordar las fallas de seguridad en sus sistemas antes de que esta información llegue a la comunidad cibercriminal.
La herramienta escaneará de forma automática en Internet para detectar siete diferentes tipos de vulnerabilidades, incluyendo fallas de inyección SQL, vulnerabilidades de scripts entre sitios (XSS) y vulnerabilidades de recorrido de ruta, usualmente empleados contra los sitios web para extraer información, modificar su contenido o acceder de forma arbitraria. Aunque estas fallas se han convertido en algo muy común e incluso llegan a ser consideradas como de bajo riesgo, siguen causando severos problemas a administradores de TI en todo el mundo.
Como complemento a la herramienta, los investigadores habilitarán un sitio web en el que estará disponible toda la información obtenida por PunkSpider, brindando la posibilidad de realizar búsquedas por tipo de vulnerabilidad, severidad de las fallas o palabras clave de URL. El plan también involucra un plugin de Chrome para comprobar todos los sitios web que visita un usuario en busca de fallas explotadas.
Esta nueva versión de PunkSpider ya ha demostrado su eficacia, encontrando fallas XSS en sitios web como Kickstarter.com y LendingTree.com. Acorde a Caceres, en el caso de LendingTree la falla podría haber sido explotada para crear enlaces maliciosos que redirigirían a los usuarios afectados a sitios web de phishing o infestados de malware.
Por otra parte, la vulnerabilidad en Kickstarter permitiría a los hackers maliciosos redirigir a los usuarios a sitios web especialmente diseñados para robar su información bancaria o incluso robar esta información desde algunos proyectos legítimos en la plataforma. Estas fallas fueron debidamente notificadas y ya han sido corregidas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.