A Web 2.0, coas súas tecnoloxías dinámicas e ruidosas comunidades, converteu o outrora tranquilo territorio da web nun salvaxe Oeste. A medida que chegaban os colonos, facíano tamén os criminais, instalando mil trampas para cazar os computadores dos incautos. Caer nelas é tan sinxelo como visitar un sitio cun navegador ou sistema operativo que teñan algún fallo de seguridade.

Segundo a empresa Sophos, cada día descóbrense 6.000 páxinas infectadas. Os seus propietarios, no 83% dos casos, nin o saben. Alguén aproveitou un buraco de seguridade para coarlles un código malicioso que infectará aos seus visitantes: unha fiestra emerxente pediralles se aceptan descargar un arquivo para visualizar mellor a páxina. Este arquivo conterá o virus.

E non será un virus calquera, senón un virus intelixente, pertencente a unha nova xeración chamada Malware 2.0, capaz de detectar o sistema operativo e navegador da súa futura vítima para instalarlle o código malicioso adecuado. En cada vez máis ocasións, xa non é necesario que o visitante acepte descargar nada: o virus introdúcese automaticamente no seu computador mediante un programiña escondido na páxina visitada.

Novos ataques diarios

Cada día coñécense novos ataques deste tipo, especialmente nas redes sociais. A máis castigada é MySpace por unha sinxela razón que explica Luís Corrons, director técnico de PandaLabs: "Os creadores de código malicioso intentan que a distribución do seu código afecte ao maior número de xente e, canto máis grande e activa sexa unha rede social, máis fácil será".

As primeiras redes sociais atacadas foron Orkut e MySpace, en 2005. Ambas tiñan erros de Cros Site Scripting (validación incorrecta do HTML), o maior problema de seguridade da Web 2.0 xunto cos controis JavaScript e ActiveX. Os asaltantes introduciron vermes en perfís destas redes que, ao ser visitados por persoas con navegadores vulnerables, infectaban os seus perfís e estes, a outros. Houbo miles de infeccións en minutos.

Desde entón as redes sociais viron de todo: foros e invitacións de amizade que piden ao visitante que descargue un programa para poder visualizar unha foto, unha película, unha postal de aniversario. Actualizacións de coñecidos programas que en realidade son virus. Programas antiespías que en realidade instalan espías. E o vello delito do roubo de datos.

En xaneiro, unha persoa anónima facía públicas medio millón de imaxes sacadas de perfís supostamente privados de MySpace. Non era a primeira vez. Polas mesmas datas, o xornal The New York Estafes denunciaba que Facebook non borra dos seus servidores a información persoal das contas que se dan de baixa, expóndoa aos intrusos.

Os criminais empezan a aproveitar tamén a crecente popularidade dos vídeos na web. En MySpace xa se viron películas en Quicktime que descargan troianos. O ano pasado, un investigador avisaba dos moitos buracos en YouTube que permitirían inxectar código malicioso nas súas páxinas, ou vídeos que infectarían con só miralos aínda que, explica Corrons, "YouTube elimina os vídeos sospeitosos".

O anzol de YouTube

Á súa beira crecen novas tretas, asegura o experto: "Estamos observando o uso de vídeos lexítimos de Youtube para facer pasar inadvertido un código malicioso. Imaxinemos que recibimos un correo lixo dunha moza que quere coñecer xente e, para poder vela, temos que executar un ficheiro. Cando o facemos, nos redireccionará a un vídeo lexítimo de Youtube, para que non sospeitemos nada mentres se nos instala o código".

Ademais de infectar as páxinas onde acode a xente, os criminais infectan de golpe miles de sitios lexítimos, asaltando o servidor que os aloxa. Son os chamados "hacks en masa" cuxo máximo expoñente foi a ferramenta MPack, que entre abril e maio infectou 400.000 webs.

O obxectivo dos criminais da Web 2.0 é, segundo Corrons, "ampliar as súas redes de bots e obter claves de acceso a contas bancarias. Normalmente, instalan un troyano que irá descargando máis código malicioso ao equipo segundo as necesidades do seu creador". O lucro está sempre presente: "Ás veces de forma directa, como os troianos bancarios. Outros poden reunir información de hábitos de uso de Internet".

A causa deste problema é "o aumento da complexidade das aplicacións web e a falta de concienciación e formación en seguridade dos seus programadores", asegura Chelo Malagón, de IRIS-CERT. Corrons culpa tamén aos internautas: "Na maioría de casos, non teñen os seus sistemas actualizados ou son enganados para que executen ficheiros maliciosos e dan demasiada información nos seus perfís das redes sociais".