Skip to content

Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID)

Publicado por Sergio Hernando el 13 enero 2010

Buenas,

Mientras estaba de vacaciones navideñas leí un artículo que hablaba de Cross Site Identification. La verdad es que me había olvidado del asunto, pero un correo que he leído hoy mismo en Security Focus me ha traído de nuevo el asunto a la cabeza.

Muchos os preguntaréis qué es eso del Cross Site Identification (CSID). Aunque la explicación del autor es magnífica y completa, por resumir un poco, se trata de un ataque en el cual la víctima, que está preautenticada en un servicio o red social, navega en paralelo a un sitio malicioso que realizará, sin que el usuario se de cuenta, peticiones a la red social en la que esté preautenticado para obtener datos. Dice el autor que los datos solicitados bien podrían ser públicos, pero que no dejan de ser obtenidos de una manera ajena al contexto de la red social. Es por esto que se llama Cross Site Identification (Cross Site por la dualidad servidor-navegador, e Identification porque el ataque está dirigido a obtener información personal de la víctima, tratando de identificarla con el mayor número de datos.

Y como una imagen vale más que mil palabras ...

Si os tengo que ser sinceros para mí el CSID encaja perfectamente en la definición de un viejo conocido, el Cross-site Request Forgery (CSRF), ya que el CSID se basa, al igual que en el CSRF, en la confianza que tiene un servicio Web en la preautenticación (en definitiva, en el navegador del usuario).

Nomenclaturas aparte, quizás sea un tipo de ataque a tener en cuenta, sobre todo teniendo en consideración el auge de las redes sociales, aunque ya sabemos que el robo de información personal ni vende periódicos ni, por desgracia, preocupa en exceso a los usuarios.

Un saludo,

Be Sociable, Share!

Categoría/s → Seguridad

3 comentarios
  1. 20 enero 2010
    Rafael alfaro permalink

    “Aquel que sacrifica libertad por seguridad no merece, ni obtendra ninguna de las dos”. Benjamin Franklin

    Aunque perderla por comodidad o despreocupación es mucho más triste…

    ¡Un saludo!

Trackbacks & Pingbacks

  1. Tweets that mention Obtención ilegítima de información personal en redes sociales. Cross Site Identification (CSID) » Sergio Hernando -- Topsy.com
  2. Identificación cruzada « Mbpfernand0's Blog

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS