Wednesday, 16 de April de 2014

Ficha del recurso:

Fuente:

Vínculo original en idg.es
Marta Cabanillas

Fecha de publicación:

Tuesday, 28 de October de 2008

Última actualización:

Tuesday, 28 de October de 2008

Entrada en el observatorio:

Tuesday, 28 de October de 2008

Idioma:

Castellano

Archivado en:


Los hackers utilizan los buscadores más populares como instrumentos

Los motores de búsqueda como Google están siendo cada vez más utilizados por los hackers para atacar aplicaciones Web que albergan datos sensibles, según Amichai Shulman, fundador y máximo responsable de tecnología de la compañía especializada en seguridad e aplicaciones y bases de datos Imperva.

Shulman advierte que, incluso a pesar de la creciente conciencia de las empresas sobre la importancia de la seguridad de sus datos, a algunos sólo les lleva unos cuantos segundos conseguir números de la Seguridad Social de sitios Web utilizando términos de búsqueda específicos.

En opinión de este experto, el hecho mismo de que tales números estén sobre la Web no deja de constituir un error humano. Tal tipo de información nunca debería estar publicada y, además, los hackers han aprendido a utilizar Google de formas mucho más sofisticadas para automatizar ataques contra sitios Web.

Imperva ha descubierto recientemente, por ejemplo, una manera de ejecutar código de ataque basado en inyección SQL que proviene de una dirección IP perteneciente a Google. Shulman, que ha explicado este descubrimiento durante su presentación en RSA Conference, ha declinado dar más detalles al respecto, pero asegura que este ataque afecta al sistema de publicidad de Google, y que ha sido notificado ya a la compañía.

La manipulación de Google y sitios similares resulta especialmente útil para los hackers dado que ofrece autonomía suficiente para el hacker al tiempo que un motor de ataque automatizado, según Shulman. Herramientas como Goolag y Gooscan pueden, por ejemplo, ejecutar amplias búsquedas a través de la Web para la detección de vulnerabilidades específicas y entregar a los ciberdelincuentes listas de sitios Web vulnerables.