Robar contraseñas ha pasado de moda: ahora los ciberdelincuentes buscan robar sesiones activas
Varias investigaciones sobre ciberseguridad sugieren que los ciberdelincuentes están trabajando más en el robo de sesiones activas, una forma más efectiva de lograr acceso a la cuenta de alguien sin haber tenido que recurrir a una filtración de datos o hackeo previo para conseguir su contraseña.
Los hackers siguen esforzándose por obtener, de una forma u otra, los nombres de usuario y contraseña de sus víctimas en cualquier plataforma, con las que acceder a una cuenta y extraer todos los datos o recursos que puedan de ella. No obstante, hay determinados tipos de ataques que, aunque más sofisticados, son más efectivos a la hora de lograr el control de una cuenta: capturar la sesión activa en lugar de los datos de inicio de sesión.
Como podemos suponer a partir del nombre, capturar la sesión activa consiste en lograr acceso a una cuenta mientras ese usuario está activo en ella, sin que haya cerrado sesión. Así lo sugiere una investigación de Push Security, que explica que capturando las cookies o tokens de sesión basta con importarlas al navegador del atacante para reanudar una sesión activa en una aplicación.
Esto significa que se puede obtener acceso a la cuenta sin necesidad de ingresar un nombre de usuario y contraseña, o pasar cualquier verificación de MFA, como indican desde la empresa de ciberseguridad.
Cookies de sesión
Cuando tenemos la sesión iniciada en una web, las cookies nos permiten volver a acceder repetidas veces sin tener que volver a introducir el usuario y contraseña. Tomando el control de una sesión activa, el hacker puede ganar control de la cuenta para realizar acciones desde ahí, sin haber tenido que averiguar previamente la contraseña. Aunque estas cookies de sesión suelen tener un tiempo de vigencia tras el que su validez caduca, este puede durar hasta varias semanas.
Para poder lograr esto, los cibercriminales van a buscar las cookies de sesión asociadas con un usuario que se encuentra activo en esa plataforma. Para ello, existen principalmente dos métodos: usar ataques de phishing como AitM y BitM, o un programa (ladrón de información) para robar datos del navegador.
Estos métodos, en realidad, permiten tanto capturar sesiones activas como datos de inicio de sesión (usuario y contraseña). Es por ello
Cómo capturan estas cookies
En caso de optar por un ataque, los cibercriminales podrían optar por un AitM o un BitM. Estos ataques modernos pueden lograr burlar los controles que normalmente imposibilitan estos intentos, como son el tráfico cifrado, uso de VPN o autenticación multifactor (MFA).
El ataque AitM (Adversary-in-the-Middle), es el más coincidente con el ataque de phishing común. Con este ataque, la víctima hace clic en un enlace malicioso que le lleva a la web real de una plataforma, y si introduce sus datos de usuario, estos datos serán capturados por el atacante, que se sitúa entre la víctima y el servidor real. Es decir, se usa un dominio manipulado que está conectado con el portal real, pero que está siendo controlado por el atacante.
Cuando el sitio recibe una solicitud HTTP, la reenvía al portal que está suplantando, y luego reenvía la respuesta que recibe a la víctima no sin antes capturar esa información.
Este tipo de ataque puede llevarse a cabo usando software de código abierto como Modlishka, Muraena y el siempre popular Evilginx, como recoge Segu-Info.
Por otra parte, los ataques BitM (Browser-in-the-Middle) son bastante parecidos pero, en ellos, no se usa una web fraudulenta colocada entre cliente y servidor, sino que se busca suplantar a un navegador al completo para que la víctima lo use, sin saber que todo lo que hace en él está siendo registrado por el atacante. Básicamente, el atacante comparte la pantalla de su escritorio con la víctima, y esta usa el navegador sin saber que es el navegador del criminal el que está usando, por lo que él está pudiendo capturar no solo el usuario y la contraseña sino muchas más cookies e información relacionada con esa sesión.
Esta táctica es bastante más compleja, ya que para llevarla a cabo es necesario que la víctima haya caído antes en un phishing. Un programa de código abierto con el que puede realizarse es noVNC.
Una forma de blindarse ante este tipo de ataques es el uso de passkeys, la nueva forma de inicio de sesión que compañías como Google, Apple y Amazon ya han añadido a sus servicios. Caso distinto es el de los infostealers, un malware más peligroso que puede ser capaz de robar datos guardados en el navegador pese al uso de las passkeys.