Un conjunto de herramientas conocidas colectivamente como HTML5 son las favoritas para hacer que los sitios web sean tan complejos y de gran alcance como el software de los equipos de sobremesa. Sin embargo, una gran cantidad de poder conlleva una gran responsabilidad y las mismas características del HTML5 que permiten almacenar los datos de sitios web de forma local, ejecutar código mientras se está fuera de línea y tener acceso a hardware como cámaras y micrófonos, también puede ser utilizado maliciosamente, según se ha recordado en varias presentaciones de la conferencia Black Hat recientemente celebrada en Las Vegas (EE.UU.). Hasta el momento, los antivirus y cortafuegos pueden hacer poco por proteger a los usuarios.

"Hay muchas oportunidades para el secuestro de navegadores con HTML5", señaló Shreeraj Shah, fundador de la compañía india de seguridad Blueinfy. "El HTML5 se puede comparar con un pequeño sistema operativo ejecutado en el navegador".

Muchos desarrolladores están volcando su atención en el HTML5. Lo ven como una forma de hacer páginas web más potentes y capaces, y un medio de desarrollo de software que funciona en cualquier dispositivo con un navegador adecuado. Hasta ahora, sin embargo, se ha prestado poca atención a los riesgos que podrían venir de la mano de esta tecnología.

Shah guió al público a través de sus "10 principales ataques" que son posibles al utilizar HTML5, la mayoría de los cuales se producen cuando una persona visita un sitio malicioso que utiliza un truco de HTML5 para acceder a la información almacenada en el ordenador, o para engañarlos y que proporcionen el acceso a dicha información. A diferencia de la mayoría de los ataques presentados en Black Hat, muchos de estos trucos fueron posibles gracias a la funcionalidad incorporada en el HTML5.

Un ejemplo consistió en una persona a la que se le presentó un inicio de sesión falso cuando trataba de acceder al sitio web real de un banco. Otro truco utilizó el HTML5 para explorar la red interna del objetivo. Y un tercero utilizó el HTML5 para inspeccionar datos, entre ellos, posible información personal almacenada en la caché del explorador en otro sitio.

Los trucos que se mostraron no se asociaron a métodos para salir del navegador y tomar el control completo del ordenador, pero el HTML5 podría ser utilizado de esa manera, indicó Shah. También señaló que los navegadores en dispositivos móviles pueden ejecutar sitios HTML5 y enfrentarse así a los mismos desafíos, y añadió que el HTML5 se utiliza dentro de muchas aplicaciones móviles. "Una aplicación híbrida tiene alrededor del 15 por ciento de HTML5 y el resto es código nativo", indicó Shah. "La tendencia en el sector móvil se está desplazando hacia lo híbrido".

Tras su presentación, Shah afirmó que proteger a los usuarios de Internet frente a los problemas que había identificado exigiría "que los fabricantes de navegadores arreglen las vulnerabilidades y garantizar que la gente usa el HTML5 correctamente".

El software antivirus podría, en teoría, comprobar el código web, afirmó Shah. Sin embargo, el método usual de buscar 'huellas dactilares' de programas peligrosos conocidos, no se trasfiere bien a este área, señaló. "Los ataques son específicos en relación al código en particular utilizado, por lo que no es algo que se pueda buscar fácilmente", aseguró.

Sergey Shekyan y dos colegas, todos de la compañía de seguridad en nube Qualys, hicieron su propia demostración de los peligros de la nueva tecnología web. Shekyan utilizó una tecnología conocida como WebSockets, por lo general parte del HTML5, para tomar el control remoto de un navegador mientras visitaba un sitio web.

WebSockets permite que el proveedor de una página web cree una conexión directa y rápida en el navegador de una persona que sea útil para funciones tales como el streaming de vídeo o los juegos interactivos. Sin embargo, Shekyan y sus colegas encontraron que muchos sitios utilizan conexiones WebSocket sin cifrado u otras protecciones. El sitio malicioso que crearon utiliza una conexión WebSocket para conseguir el control remoto de un navegador web Chrome sin que el usuario lo sepa. Shekyan mostró cómo el navegador puede ser dirigido para atacar a otros sitios silenciosamente o robar el historial de navegación y las cookies.

"Ninguno de los mecanismos que supuestamente capturan el tráfico malicioso van a funcionar porque no hay servidores de seguridad que estén al tanto del protocolo WebSocket", indicó Shekyan. "Permiten cualquier tipo de conexión a través de WebSockets". Eso podría cambiar, indicó, pero será una característica totalmente nueva para los programas de tipo cortafuego, así que su puesta en práctica puede llevar tiempo.