Los atacantes siempre se ven seducidos por los temas de moda, trátese de enviar phishing, spam o de infectar un sitio Web, como los de Obama y Clinton, quienes compiten por la candidatura del Partido Demócrata por la presidencia de Estados Unidos.

Justo cuando la atención mediática se fijó en ambos políticos por las elecciones en Estados clave para obtener una eventual victoria frente al Partido Republicano, el monitoreo de los sitios por parte de medios y simpatizantes es frecuente.

De acuerdo con la compañía XSSed.com., sitio que monitorea vulnerabilidades de inyección de código o cross site scripting (XSS), los sitios Barackobama.com y hillaryclinton.com fueron afectados por este tipo de ataque.

De acuerdo con un reporte del sitio de monitoreo de seguridad Netcraft.com emitido el lunes, una de las vulnerabilidades reportadas en el sitio de Obama permitía que los usuarios que visitaban el blog de la comunidad fueran redirigidos al sitio Web de Clinton.

El sitio especializado cuenta con una lista de sitios populares que muestra si han o no parchado las vulnerabilidades de inyección de código malicioso detectadas por XSSed. Entre ellos se encuentran los sitios myspace.com, google.com, youtube.com, earth.google.com, facebook.com, hi5.com, yahoo.co.jp, bbc.co.uk y adobe.com entre otros 80 sitios que muy probablemente podrían infectar las PC de quien los visite. El sitio identifica al autor del malware en dicho listado e indica si el sitio ha reportado o no que la corrección de la vulnerabilidad afectada por un código malicioso en específico haya sido aplicada.

El listado también considera a páginas de sitios de aol.com, yahoo.com, msn.com, myspace.com, facebook.com, ebay.com y amazon.com, entre otras decenas más. Hasta la publicación de esta nota los sitios conservaron el estatus de "vulnerabilidad no parchada".

Los códigos maliciosos que son descargados a la PC de la víctima van desde los troyanos que ejecutan instrucciones de atacantes en el sistema operativo de forma remota; hasta spyware, el cual enviará al atacante toda la información almacenada en la computadora que considere útil, así como un reporte de los sitios visitados y las contraseñas escritas en correos o portales bancarios en línea.

El XSS se define como el ataque basado en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Su forma de operar  consiste en aprovechar la falta de mecanismos de filtrado en los campos de entrada, para así permitir el ingreso y/o envío de datos sin validación alguna y al mismo tiempo propiciar la aceptación de scripts completas, con el fin de generar secuencias de comandos maliciosas que impacten directamente en un sitio Web o un equipo de cómputo.