A grande maioria das empresas usa JavaScript nos seus sites, a quase totalidade corre aplicações de terceiros e muitas apresentam publicidade externa, tudo conteúdos que podem ser usados por cibercriminosos para controlarem os portais.

Estas são as conclusões de um estudo conduzido pela Dasient, uma start-up de soluções de segurança, que testou a sua teoria com os sites das 500 maiores empresas listadas pela Fortune, entre outros, fortemente dependentes de publicidade, widgets e aplicações de terceiros.

"Este é um tipo de vulnerabilidade diferente do cross-site scripting ou de injecção SQL, em que o programador pode identificar o erro e corrigi-lo", refere Neil Daswani, CTO e co-fundador da Dasient. "As questões relacionadas com conteúdos de terceiros mexem com a estrutura do site - e se os anúncios ou os widgets são parte do negócio, não podemos simplesmente deixar de usar tais conteúdos".

A Dasient nota também que a maioria dos sites corre aplicações de terceiros "fora de prazo". Entre os sites "testados", 91 por cento apresentava software "ultrapassado", nomeadamente nos sistemas de gestão de conteúdos, blogging ou compras.

Segundo a empresa, os cibercriminosos estão a servir-se das redes de anúncios e dos widgets para dar escala aos seus ataques de malware. "Em alguns casos, uma única infecção numa rede de anúncios pode levar malware a milhares de sites", alerta.

Para diminuir os riscos, a Dasient recomenda às organizações que conversem com os seus parceiros, de modo a assegurar que estes cumprem as melhores práticas de segurança. "Muitas empresas não pesquisam suficientemente antes de adicionarem novos conteúdos aos seus sites", nota Daswani.

As empresas devem também encontrar forma de monitorizarem este tipo de aplicações relativamente a possíveis vulnerabilidades.