HTML5 tampoco es capaz de prevenir los ataques de malvertising

El informe “Security Aspects of Flash, HTML5 and Video in the Ad Tech Industry” de GeoEdge explica que Flash no es la única tecnología que puede favorecer la introducción de malware.

HTML5 es la tecnología que se está defendiendo como sustituta ideal para Flash, tanto por sus características como desde el punto de vista de la seguridad.

Sin embargo, ese halo de mayor seguridad que cubre a HTML5 frente a Flash acaba de ser retirado por GeoEdge, que ha publicado el informe “Security Aspects of Flash, HTML5 and Video in the Ad Tech Industry”. Según este estudio, al menos en cuestión de anuncios, seguridad y malvertising, las vulnerabilidades que acechan a Flash no serían mucho peores a las que podrían tumbar a HTML5, porque este último lenguaje también permitiría muy a su pesar la inserción de código malicioso.

Por ejemplo, desde GeoEdge indican que el contenido HTML5, incluyendo los vídeos, es vulnerable a inserción de malware, ya sea en la propia publicidad o por parámetros VAST. Y también inciden en que “no hay nada que evite a un atacante inyectar una URL maliciosa utilizando código de terceros en VAST o XML, o por inyección directa de un bloque de anuncios maliciosos en el reproductor de vídeo de diseño propio del sitio”.

Por otra parte, se recuerda que insertar código JavaScript es una fórmula muy repetida en ataques de ciberdelincuencia. Y aquí hay que añadir que el propio JavaScript actúa de base para HTML5, lo que abre las puertas al código malicioso en HTLM5, y “sin mucha dificultad”.

Así las cosas el hecho de usar HTML5 de forma masiva en vez de seguir apostando por el tan criticado Flash no supondría, por definición, una prevención directa del malvertising.