¿Qué es un ataque cross-site scripting? Al detalle

Escrito por Equipo editorial

4 de abril de 2024

6 minutos

Una de las vulnerabilidades más comunes en el entorno digital es el ataque cross-site scripting. En ciberseguridad debes estar prevenido/a acerca de todas las amenazas presentes en la red. Lee este blog y conoce los diferentes tipos de cross-site scripting, conocido también como XSS, y como enfrentarte a estos ataques.

Explora los tipos de ciberseguridad en los que puedes especializarte y profundiza en el ámbito con el Curso de Ciberseguridad de Deusto Formación. Acredita tus conocimientos con una doble titulación y la certificación IT Specialist expedida por PUE. ¡Tu andanza digital empieza aquí!

Tabla de contenidos

¿Qué es cross-site scripting? Tipos

Si te preguntas qué es el cross-site scripting en ciberseguridad, ¡estás en el lugar indicado para resolver tu duda! Se trata de una de las técnicas de ataque digital más utilizada, junto con la inyección SQL, en aplicaciones y sitios web. Esta consiste en la ejecución de un código malicioso tanto en el lado del servidor como en el del cliente con la finalidad de robar datos o identidades. Estas amenazas cibernéticas acostumbran a desarrollarse de la siguiente manera:

Un hacker o ciberdelincuente envía un hipervínculo modificado a un destinatario, ya sea al usuario o al servidor.
El destinatario lo abre haciendo clic sobre él.
Lo habitual es que el destinatario tenga el JavaScript activado o en su defecto otros lenguajes de scripting. También puede suceder que el servidor del destinatario permite sitios webs dinámicas y los datos no se comprueban.

Te ponemos un ejemplo para que comprendas de qué forma se producen este tipo de ataques. Imagínate que un usuario ingresa en una página web, en la que debe introducir sus credenciales para el inicio de sesión, por lo tanto, el navegador envía un formulario con los datos al servidor.

El servidor verifica los datos y concede ese acceso. El ataque XSS se produce en ese instante, en el momento entre el envío de formulario y el acceso por parte del servidor. Así pues, la técnica XXS se utiliza para que, en el instante en el que se genera el site dinámicamente, se interponga entre el cliente y el servidor. Para que nos entendamos, el ciberdelincuente muestra un determinado mensaje para hacerse pasar por el servidor, pudiendo ver lo que el usuario envía, así como modificarlo.

Este método se hace ejecutando scripts que utilizan parámetros GET, POST y cookies, que son las principales vías de comunicación entre el cliente y el servidor en la mayor parte de páginas web.

Existen tres tipos de cross-site scripting en ciberseguridad: XSS basado en DOM, XSS reflejado y XSS persistente. ¡Te mostramos las características de cada uno, ¡sigue leyendo!

XSS basado en DOM

Esta forma de ataque se envía directamente al cliente para que este lo ejecute. Así pues, consiste en un ataque al navegador del propio usuario a través de la modificación del Document Object Model (DOM), de aquí su nombre.

Este código malicioso no depende de ninguna vulnerabilidad entre la comunicación cliente-servidor.

Para que lo entiendas mejor. Imagínate que pinchas en un enlace dentro de una página web que, a priori, parece normal. Aunque parezca que todo está en orden, en el hipervínculo el ciberdelincuente ha introducido una serie de caracteres que no deberían estar ahí, con el fin de que se ejecute el script pudiendo robar cookies de sesión u otro tipo de datos sensibles.

XSS reflejado

Este tipo de cross-site scripting contemplado en ciberseguridad se trata del envío de una solicitud HTTP al propio servidor web, que posteriormente se refleja en la propia página o en otra diferente. Un ejemplo de esto sería el envío de un correo electrónico con un link malicioso en su interior, para que cuando la persona que lo reciba pinche sobre este, el script se ejecute y tenga lugar el ataque.

¿Cuál es la diferencia entre el XSS reflejado y el XSS basado en DOM? En el primer caso, el código malicioso se envía al servidor y después al propio usuario, ejecutándose en su servidor. Es decir, para que el ataque se produzca, entre medias se encuentra el servidor. Mientras que, en el segundo caso, el XSS basado en DOM no requiere pasar por el servidor. Simplemente se ejecuta en el navegador de la persona que hace clic en ese enlace.

XSS persistente

Si quieres trabajar en ciberseguridad, el cross-site scripting formará parte de las amenazas digitales a las que tengas que hacer frente. Por este motivo es fundamental que conozcas todos los tipos de ataque posibles en esta modalidad. El último es el XSS persistente, que encontrarás referenciado en otros lugares como XSS almacenado.

En este caso, el código malicioso se aloja en el servidor web. De este modo, cualquier persona que entre a esta puede sufrir el ataque, sin necesidad de pinchar en ningún enlace determinado. Un ejemplo de esto puede producirse en páginas como los foros. Los ciberdelincuentes escriben un mensaje en estos, en el cual esconden el código malicioso.

Este sistema expande de forma mucho más masiva esta amenaza.

¿Cómo prevenir ataques de cross-site scripting?

El cross-site scripting es un ataque que lleva mucho tiempo en activo. A medida que el usuario va dotándose de conocimientos y concienciándose sobre ciberseguridad y buenas prácticas a la hora de navegar, la posibilidad de sufrir este tipo de ataque se reduce. Ten en cuenta que para dos de estos tipos de vulnerabilidades es necesaria la acción del propio usuario. ¿Quieres protegerte de ellas? Te damos tres sencillas claves para hacerlo:

Desactivar el JavaScript o utilizar el complemento NoScript.
Observa los enlaces que te llegan a cualquier dispositivo para no pinchar en cualquiera que sea sospechoso.
Adecuar a un formato seguro las programaciones web, sobre todo cuando exista conexión cliente-servidor. Verifica que te encuentras en una “https”, web segura.

¡Especialízate en Ciberseguridad!

¿Dónde estudiar ciberseguridad? Ahora que ya conoces el cross-site scripting, especializarte en ciberseguridad te abrirá a un amplio mundo de conocimientos digitales. Defiende la seguridad en la red con el Curso de Ciberseguridad de Deusto Formación. Aprende a distancia y de forma flexible con un profesorado especialista en el área y con los últimos recursos tecnológicos.

Además de formarte a través de un amplio temario avalado por PUE Academy, también contarás con materiales complementarios como un escape room interactivo, videotutoriales, módulo de inglés o servicio de prácticas. ¿A qué esperas para apuntarte? Completa tu perfil profesional o da tus primeros pasos en un sector prometedor. ¡Rellena el formulario de contacto!

Formaciones relacionadas

Novedad

Programación y Tecnología

Curso de Ciberseguridad

Ver curso

Te interesa leer sobre...

Aprender PHP desde cero: guía completa para principiantes

Analista programador: funciones de este profesional

¿Cuánto cobra un programador? Descubre su sueldo

Sueldos INCIBE: ¿cómo son?

Sueldo de un junior en ciberseguridad en 2025?

Infórmate gratis sobre

Curso Superior de Ciberseguridad

Transfórmate en tu mejor versión.

nombre(Obligatorio)

Nombre y apellidos*

email(Obligatorio)

Email*

telefono(Obligatorio)

Teléfono*

cp(Obligatorio)

Código Postal*

residencia(Obligatorio)

País de residencia*

nacionalidad(Obligatorio)

Grupo Northius tratará sus datos personales para ofrecerle información del programa formativo seleccionado o de otros directamente relacionados con el interés manifestado y, en su caso, para tramitar la contratación correspondiente. Compartiremos su solicitud con las empresas que conforman el Grupo Northius, con el objeto de que éstas puedan hacerle llegar la mejor oferta de productos y servicios de acuerdo a tu petición. Mediante la cumplimentación y envío del presente formulario usted muestra expresamente su consentimiento para ser contactado. Quedan reconocidos los derechos de acceso, rectificación, supresión, oposición, limitación tal y como se explica en la Política de Privacidad.