Amenazas para Communicator Web Access

Fijación de sesión

En un ataque de fijación de sesión, el atacante establece el símbolo (token) de sesión del usuario antes de que se establezca la sesión entre el usuario y el servidor web. De este modo, el atacante ya dispone del identificador de la sesión y no necesita determinarlo una vez establecida la sesión. Communicator Web Access se ha diseñado de modo que minimice esta amenaza.

Secuestro de sesión

En el caso de un secuestro de sesión, el atacante obtiene acceso a la sesión de un usuario interceptando el tráfico no cifrado en la red. Communicator Web Access minimiza esta amenaza utilizando SSL como protocolo de comunicación predeterminado entre el cliente y el servidor Communicator Web Access.

Robo de sesión

Se produce un robo de sesión cuando un atacante intenta utilizar una sesión establecida entre un usuario y una aplicación web para ejecutar comandos en nombre del usuario. Para ello, el atacante envía un mensaje de correo electrónico al usuario o utiliza algún otro método para invitarle a visitar un sitio web específicamente desarrollado para la ejecución de código malintencionado. Entre los comandos que el atacante puede ejecutar se encuentran comandos encaminados a abrir firewalls, eliminar datos y ejecutar otros comandos en la red interna.

Communicator Web Access se ha diseñado de modo que los atacantes no puedan usar este método para controlar la sesión iniciada por un usuario en Communicator Web Access a través de un sitio web malintencionado.

Ataque XSS (CSS, inserción de código)

Un ataque XSS (denominado a veces también ataque CSS o ataque de inserción de código) se produce cuando un atacante utiliza una aplicación web para enviar código malintencionado, generalmente en formato de script, a un usuario de destino. El explorador del usuario de destino no detecta de ninguna manera que el script no es de confianza y lo ejecuta. Cuando se ejecuta el script malintencionado, puede obtener acceso a las cookies, los símbolos (token) de sesión u otra información confidencial almacenada por el explorador del usuario de destino. Este tipo de scripts también pueden volver a escribir el contenido de la página HTML.

Los ataques XSS pueden ser persistentes o reflejados. En el caso de los ataques XSS persistentes, el script malintencionado se almacena de forma permanente en el servidor web cuya seguridad se ha puesto en peligro, por ejemplo, en bases de datos, foros, registros de visitantes y campos de comentarios. Cuando el usuario obtiene acceso al servidor web, su explorador ejecutará el script. En el caso de los ataques XSS reflejados, se engaña al usuario para que haga clic en un vínculo o envíe un formulario especialmente elaborado que contiene código malintencionado. Cuando el usuario hace clic en el vínculo para enviar los datos del formulario, se envían al servidor la dirección URL, que contiene el código malintencionado, y los datos del usuario. Cuando el sitio web muestra de nuevo la información del usuario, esta parece proceder de un origen de confianza. Sin embargo, la información contiene el código malintencionado, que se ejecuta en el equipo del usuario.

Esta vulnerabilidad existe únicamente en los sitios web que no validan correctamente los datos proporcionados por los usuarios. Communicator Web Access valida rigurosamente los datos proporcionados por los usuarios para evitar esta amenaza.

Amenazas de símbolo (token)

HTTP es un protocolo sin conexión, y cada página web requiere varias solicitudes y respuestas de servidor para que se complete. Se usan varios métodos para mantener la persistencia de una sesión entre las solicitudes de página que se realizan a lo largo de la sesión. Uno de los métodos utilizados por el servidor web consiste en emitir un símbolo (token) al explorador cliente que realiza la solicitud. Este es el método utilizado por Communicator Web Access.

Después de que el servidor Communicator Web Access autentique a un usuario interno o externo, emite un símbolo en una cookie de la sesión, que se devuelve al cliente. Esta cookie se utiliza para obtener acceso al servidor en una sola sesión. Por consiguiente, los clientes deben aceptar las cookies del servidor Communicator Web Access para funcionar correctamente. Un atacante podría robar y utilizar este símbolo. Communicator Web Access mitiga esta amenaza emitiendo solamente una cookie de sesión, utilizando SSL (si está habilitado) para transportar el símbolo, borrando el símbolo cuando finaliza la sesión e imponiendo la expiración del símbolo después de un determinado período de inactividad del cliente.

Ping de símbolo (token)

En un ping de símbolo (token), también denominado persistencia del símbolo, un usuario autenticado envía repetidas veces una solicitud al servidor web para evitar la expiración de la sesión y, por consiguiente, del símbolo de la sesión. Este tipo de ataque puede considerarse una amenaza porque omite la lógica de tiempo de espera integrada en el servidor. No obstante, el nivel de amenaza es bajo porque es necesario que se autentique primero al usuario.

Suplantación de identidad o phishing (recolección de contraseñas)

La suplantación de identidad o phishing es una especie de ataque de tipo "Man in the middle". El atacante no autorizado intenta obtener información de los usuarios presentándose como una entidad autorizada para obtenerla. Para ello, el atacante suele engañar al usuario para que escriba su contraseña o número de cuenta en un sitio web, formulario web o mensaje de correo electrónico falsos. Se recomienda informar a los usuarios finales de los métodos utilizados por los atacantes para obtener datos personales.