Este documento describe las principales vulnerabilidades de seguridad y tipos de ataques en servicios web 2.0 como redes sociales. Explica vulnerabilidades como ataques de autenticación, autorización, revelación de información e ingeniería social. También cubre inconvenientes de privacidad en redes sociales como exceso de datos compartidos, funciones automáticas y concentración de relaciones. El documento concluye resumiendo cómo proteger los derechos de los usuarios.

1. Seguridad en la Web 2.0Vulnerabilidades de Seguridad en los Servicios “Web 2.0”

2. Vulnerabilidades de Seguridad

3. Tipos de Ataques

4. De autenticación.

5. De autorización

6. Client-Side.

7. Command Execution.

8. De revelación de información.

9. Lógicos.

10. Ingeniería Social

11. Inconvenientes de las Redes Sociales

12. Pérdida del criterio de referencia.

13. Exceso de operatividad sin intervención directa o consciente del usuario.

14. Funciones demasiado potentes y de efectos desconocidos a priori.

15. Concentración del grupo de relaciones de manera intensiva.

16. Guardan, explícitamente o no, información muy precisa.

17. Presentan al usuario las opciones de manera demasiado interesada.

18. Posibles Situaciones de Riesgo contra nuestra Privacidad

19. Protección de los Derechos de los usuariosÍndice

20. 1. VULNERABILIDADES DE SEGURIDADLA VULNERABILIDAD DE UN SISTEMA ES SU INCAPACIDAD DE RESISTENCIA FRENTE A UN FENÓMENO AMENAZANTELOS FENÓMENOS AMENAZANTES MÁS COMUNES EN LA WEB SON LOS ATAQUES INTENCIONADOS

21. 2. TIPOS DE ATAQUESDE AUTENTICACIÓNDE AUTORIZACIÓNCLIENT-SIDECOMMAND EXECUTIONDE REVELACIÓN DE INFORMACIÓNLÓGICOSINGENIERÍA SOCIAL

22. 2.1. ATAQUES DE AUTENTICACIONSE TRATA DE AVERIGUAR LOS DATOS DE AUTENTICACIÓN DE UNA PERSONA:USUARIO/PASSWORD

23. TARJETA DE CRÉDITO

24. LLAVE CRIPTOGRÀFICAMÉTODOSFUERZA BRUTA

25. AUTENTICACIÓN INSUFICIENTE

26. RECUPERACIÓN/MODIFICACIÓN DE PASSWORD INSEGURA2.2. ATAQUES DE AUTORIZACIÓNEL ATACANTE INTENTA DESHABILITAR EL SISTEMA DE GESTIÓN DE PERMISOS, PUDIENDO OBTENER PRIVILEGIOS DE ADMINISTRADOR. MÉTODOSPREDICCIÓN USUARIO/PASSWORD

27. AUTORIZACIÓN INSUFICIENTE

28. FIJACIÓN DE LA ID DE LA SESIÓN

29. TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTE2.2. ATAQUES DE AUTORIZACIÓN (II)TIEMPO DE EXPIRACIÓN DE SESIÓN INSUFICIENTEAPROVECHAN EL HECHO DE QUE UNA PÁGINA WEB NO CIERRA LA SESIÓN DE UN USUARIO CUANDO ESTE CANVIA DE PÁGINA WEB O CIERRA EL NAVEGADOR.SE PUEDE ACCEDER A LA CUENTA DEL USUARIO HACIENDO CLIC EN EL BOTON “IR A LA PÁGINA ANTERIOR”, O CONECTANDOSE OTRA VEZ A LA WEB DEL SERVICIO

30. 2.3. ATAQUES CLIENT-SIDESE BASAN EN EL ABUSO DEL WEBSITE DE UN USUARIO. SE APROVECHAN DE LA CONFIANZA USUARIO-WEBMÉTODOSCONTENT SPOOFING

31. CROSS-SITE SCRIPTING2.3. ATAQUES CLIENT-SIDE (II)SPOOFINGESTE TIPO DE ATAQUES SE BASAN EN LA SUPLANTACIÓN DE IDENTIDAD. HAY 5 TIPOS:IP: SE CANVIA LA IP ORÍGEN DE UN PAQUETE IP

32. ARP: SE MODIFICA LA TABLA ARP PARA REDIRIGIR PAQUETES

33. DNS: FALSEAMIENTO DE UNA RELACIÓN NOMBRE DE DOMINIO-IP O VICERVERSA

34. WEB: ENRUTA LA CONEXIÓN DE UNA VÍCTIMA A TRAVÉS DE UNA PÁGINA FALSA HACIA OTRAS PÁGINAS WEB PARA OBTENER INFORMACIÓN PRIVADA

35. MAIL: SUPLANTACIÓN EN EL CORREO ELECTRÓNICO DEL EMAIL DE OTRAS PERSONAS O ENTIDADES2.3. ATAQUES CLIENT-SIDE (III)CROSS-SITE SCRIPTINGAPROVECHAN UNA VULNERABILIDAD EN LA WEB PARA HACER QUE ESTA EJECUTE CÓDIGO MALICIOSO EN EL NAVEGADOR DEL USUARIOLA VULNERABILIDAD CONSISTE EN QUE LA WEB NO VALIDA EL CÓDIGO HTML QUE SE VA A EJECUTAR EN EL USUARIO, Y POR NORMA GENERAL, LOS USUARIOS TIENDEN A CONFIAR EN LOS SERVIDORES WEB

36. 2.4. ATAQUES COMMAND EXECUTIONEL ATACANTE APROVECHA EL HECHO DE QUE LAS WEBS REQUIEREN INFORMACIÓN PROPORCIONADA POR LOS USUARIOS PARA INTRODUCIR CÓDIGO MALICIOSO EN LA PROPIA WEBMÉTODOSBUFFER OVERFLOW