Los ataques de CSRF (Cross-Site Request Forgery) son conocidos hace bastante tiempo. La idea de ellos es bastante sencilla, y el objetivo es conseguir que una víctima, que tiene una sesión con su cuenta en un sitio web, haga acciones involuntarias en esa sesión al abrir un enlace o cargar un contenido externo.

Seguramente a más de uno nos han solicitado ayuda para que votásemos a algún conocido en alguna aplicación web... Son seguras estas votaciones? Se pueden "amañar"? Todo depende de la persona/empresa que haya desarrollado la aplicación. En este caso en concreto la aplicación de voto tiene más agujeros que un colador.

Si eres uno de los millones de clientes de Starbucks que se registraron y dieron detalles de sus tarjetas de crédito en el sitio web de la compañía, tus datos bancarios son vulnerables a los piratas informáticos. Mohamed M. Fouad un investigador independiente de seguridad informática de Egipto ha encontrado tres vulnerabilidades críticas en el sitio web de Starbucks que permiten a los atacantes hackear tu cuenta.

Cross-site Request Forgery o CSRF a partir de ahora, es un tipo de exploit difícil de conseguir llevar a buen término pero no exento de riesgos, y muy altos. Voy a saltarme definiciones formales y pasar directamente a un ejemplo porque es como mejor se entiende.