CSRF (Falsificación de Petición en Sitios Cruzados)
Un ataque que obliga a usuarios autenticados a ejecutar acciones no deseadas en una aplicación web engañándolos para que hagan clic en enlaces maliciosos o envíen formularios.
Definicion
CSRF explota la confianza que una aplicación web tiene en el navegador del usuario. Cuando un usuario está conectado a un sitio, sus cookies de sesión se envían automáticamente con cada solicitud. Los atacantes crean páginas maliciosas que hacen solicitudes al sitio objetivo, ejecutando acciones como el usuario autenticado. Las defensas modernas incluyen tokens CSRF, cookies SameSite y verificación de origen.
Por que es importante
CSRF está listado en OWASP Top 10 y ha afectado a sitios importantes como YouTube y Netflix. Sin protección, los atacantes pueden cambiar contraseñas, transferir fondos o modificar datos de usuario. Los frameworks modernos (Rails, Django, Next.js) incluyen protección CSRF incorporada.
Ejemplo
Un usuario está conectado a su banco. Visita un sitio malicioso con un formulario oculto que envía una solicitud POST de transferencia de dinero a la API del banco. Como la cookie de sesión se envía automáticamente, el banco procesa la transferencia como si el usuario la hubiera iniciado.