Secuestro de enlaces rotos (BLH): verifica los 404 de tu sitio web

El secuestro de enlaces rotos (BLH - Broken Link Hijacking) es un tipo de ataque web donde se explotan enlaces externos que ya no son válidos. Si un sitio o aplicación web utiliza recursos cargados desde URL externas y estos recursos ya no están allí (por ejemplo, debido a un dominio caducado), los atacantes pueden explotar estos enlaces para realizar defacement, suplantar, o incluso para lanzar ataques de XSS e infección.

Cuando hablamos de enlaces rotos en una web, documento, aplicación, etcétera, tendemos a verlos como un problema de usabilidad que, en el peor de los casos, impedirá que el usuario pueda acceder a una función concreta o a una información determinada. Obviamente es algo malo, pero tampoco es para tanto, ¿verdad? Al fin y al cabo, ¿qué problema de seguridad puede plantear que el usuario se encuentre con un mensaje en el que se le indica que la dirección no es correcta? No es como si fuera un enlace malicioso, ¿no?

Si hablamos de enlaces internos, es decir, a recursos online que gestionamos nosotros mismos, aún con enlaces rotos podremos mantener el control sobre la seguridad de los mismas pero, ¿qué ocurre si son dominios externos? Imaginemos, por ejemplo, que nuestra página web corporativa apunta a determinadas páginas de la web de un tercero. Con el tiempo, esa tercera parte cesa en sus actividades y el dominio finalmente caduca.

¿Qué impide, en este caso, que un atacante detecte esos enlaces rotos en tu web, adquiera el dominio al que apuntan, y construya alrededor de los mismos una web que suplante la identidad de la tuya? De este modo, cuando tus clientes accedan a tu web, si pinchan en alguno de esos enlaces, «saltarán» a la web diseñada para suplantar la tuya… y que está enlazada en la tuya, lo que para muchas personas supondrá una señal de confianza. ¿Por qué ibas a poner un enlace a una página ilegítima y que suplanta tu identidad? No tendría sentido, ¿verdad?

Lo mismo puede ocurrir con cambios de nombre/dominio, en los que por descuido/dejadez/ahorro o lo que sea, no se mantiene el dominio antiguo, aunque sea solo para redirigirlo al nuevo. En este caso nos encontraremos en las mismas circunstancias… o incluso peores, ya que probablemente los usuarios identifiquen más rápidamente el dominio clásico que el nuevo. Por ejemplo, poco después de que se produjera la creación de Bankia, recuerdo muchas personas de mi entorno que seguían accediendo a su banca electrónica a través de cajamadrid.es.

Hay otro caso que, aunque menos común, también ocurre cada cierto tiempo. Hablo de los acortadores de direcciones. Este tipo de servicios proporcionan una herramienta con la que compartir enlaces resulta mucho más cómodo, ya que reduce sustancialmente su tamaño, convirtiendo algo como www.servidorweb.bla/catalogo/productos/servicios/mensuales/rtga32_uu7.html en algo como corti.ta/3502. El beneficio es más que evidente en estos casos.

El problema surge cuando uno de estos servicios desaparece, generando miles de enlaces rotos. Enlaces rotos que, si un actor malintencionado adquiere el dominio, puede utilizar para cualquier fin: desde (de nuevo) una suplantación de identidad hasta, por ejemplo, provocar un problema de imagen (imagina que todos los enlaces compartidos por una cuenta corporativa de Twitter, de repente empiezan a apuntar a contenidos de odio, pornográficos, etcétera).

¿Puede ser peor? Sí, puede ser peor, aunque afortunadamente no es común. La principal y más peligrosa vía para que los enlaces rotos se conviertan en un problema a tener en cuenta pasa por… sé que suena raro, pero puede ocurrir, sí, por olvidar renovar nuestro propio dominio. Puede deberse a que nos gusta gestionarlo manualmente, a que el medio de pago asociado a la renovación haya caducado, a que sea responsabilidad de una persona que, por cualquier circunstancia, no puede asumir esa tarea en el momento adecuado…

En ese momento, todos, absolutamente todos los enlaces rotos (obviamente) que apuntan a nuestra web, ya tengan su origen en nuestras redes, documentos, etcétera, o vengan de terceros, pueden volverse en nuestra contra si un atacante actúa con rapidez y adquiere nuestro dominio. En ese caso, no solo comprometemos nuestra actividad, sino que también nos convertimos en una amenaza para todos aquellos que apunten a alguno de nuestros recursos online.

La inmensa mayoría de los escáneres de vulnerabilidades no detectan, desgraciadamente, esta amenaza, por lo que la vía más segura para evitar problemas con los enlaces rotos es mantener actualizado un listado con los recursos online de terceros a los que apuntamos en nuestra web, app, etcétera y chequearlos de manera periódica. De este modo no solo evitaremos problemas de seguridad, sino que también estaremos garantizando que siguen operativos, y podremos modificarlos en caso de que no sea así. Seguridad y usabilidad con solo unos minutos de chequeo. Merece la pena, ¿no?

A modo de ejemplo, misterch0c ha publicado un script que encuentra dominios expirados en Twitter.

Fuente: Muy Seguridad | Security Boulevard | Broken Link Hijacking

Suscríbete a nuestro Boletín