Durante el día de ayer fueron varios los usuarios que estuvieron aprovechándose de una vulnerabilidad en los comentarios de Youtube. Esta vulnerabilidad permitía introducir código en los comentarios para realizar diferentes acciones maliciosas. Debido a lo simple que resultaba realizar el ataque (simplemente introducir el código que se desease en los comentarios) fueron miles los usuarios que realizaron este ataque o que fueron víctimas del mismo.
Gracias a Cristian de la redacción de Segu-Info, podemos ver la información que se generó en diferentes blogs acerca de este tema. Por ejemplo, en el siguiente post se explica el código que debíamos usar para realizar cada tipo de ataque. Tal y como se observa, no se necesita de mucho conocimiento para poder generar nuestro propio ataque personalizado. Es por ello que muchos de los ataques se lanzaron contra objetivos específicos, como, por ejemplo, los videos del cantante Justin Bieber y, aunque al principio muchos apuntaban a los usuarios de 4chan como responsables de estos ataques organizados, es probable que otros grupos también participaran.
La reacción de Youtube no se hizo esperar y, en primera instancia, se decidió bloquear los comentarios para, posteriormente, lanzar un parche que bloqueaba esta vulnerabilidad. A pesar de la gravedad de la misma, fueron pocos los casos graves en los que se consiguió robar información de los usuarios ya que la mayoría de comentarios maliciosos redirigían a otros vídeos, enlaces o sitios webs. La rapidez a la hora de solucionar esta vulnerabilidad impidió que se usase de forma masiva para, por ejemplo, propagar malware en forma de falsos antivirus.
Para evitar ser afectados por ataques similares en el futuro, desde el laboratorio de ESET en Ontinet.com aconsejamos evitar pulsar sobre enlaces sospechosos aunque nos aparezcan en sitios de confianza y muestren ventanas de alerta. Asimismo, la descarga e instalación de un antivirus capaz de bloquear las amenazas que puedan aprovecharse de este tipo de vulnerabilidades resulta esencial para proteger nuestros sistemas.
Josep Albors