Inicio

Vulnerabilidad de redirección abierta


La también llamada redirección de URL, es una técnica de la World Wide Web para hacer una página web disponible bajo más de una dirección URL. Cuando un navegador web intenta abrir una URL que ha sido redirigida, se abre una página con una URL diferente. Del mismo modo, la redirección o reenvío de dominios es cuando todas las páginas de un dominio URL se redireccionan a un dominio diferente, como cuando wikipedia.com y wikipedia.net se redireccionan automáticamente a wikipedia.org. La redirección de URL se realiza por varias razones:

1. Para acortar la URL
2. Evitar que se rompan los enlaces cuando se mueven las páginas web
3. Permitir que varios nombres de dominio pertenecientes al mismo propietario se refieran a un único sitio web
4. Guiar la navegación dentro y fuera de un sitio web
5. Para la protección de la privacidad
6. Y para fines hostiles como ataques de phishing o distribución de malware.

Las vulnerabilidades de redirección abierta (Open redirection) suelen ser consideradas potencialmente peligrosas. Uno de los factores que elevan la criticidad de este tipo de fallos es su presencia en procesos de registro o de autenticación, ya que el usuario parte del criterio predispuesto de facilitar sus credenciales de acceso creyendo que está en el sitio web correcto.

Las vulnerabilidades de redirección abiertas pueden afectar a una plataforma web especifica (Facebook, WordPress, Drupal, Google Books, CNN) así como también sistemas operativos en servidores (IBM, jQuery Mobile) y en aplicaciones web (Joomla, Google Search, Bing Search, etc)

Si se explota con éxito, la vulnerabilidad podría permitir a un atacante lanzar ataques de phishing e incluso redirigir a sus víctimas a sitios web maliciosos infestados con malware. Los ciberdelincuentes sólo necesitan convencer a la víctima de hacer clic en un enlace diseñado inteligentemente.

Esto puede resultar una tarea sencilla ya que los usuarios de PCs y otros dispositivos con acceso a internet podrían ser fácilmente engañados pues pueden pensar que el enlace apunta a un sitio web legítimo.

Los atacantes pueden ocultar sus intenciones maliciosas mediante la adición de parámetros o fichas falsas junto con la URL de redirección. Los estafadores y spammers simplemente tendrían que cambiar el nombre del sitio web falso y lo más probable es que podrían engañar a muchas personas haciéndolas pensar que no hay nada de malicioso en esto.

En el caso de que alguna vez se encuentre con un link en un correo electrónico no solicitado o en una página web y vea una URL del sitio web en cuestión que tiene un aspecto sombrío, asegúrese de evitar hacer clic en él mismo.