Con la implementación cada vez más amplia de la autenticación multifactor (MFA) para verificar la identidad de un usuario, ya sea para un inicio de sesión o para realizar transacciones, a los ciberdelincuentes se les hace más difícil el acceso a cuentas con contraseñas robadas. Entonces, para sortear esta medida de seguridad han vuelto a utilizar un clásico método: el robo de cookies.
Prueba de ello es la aparición, en noviembre pasado, de dos variedades de malware que atacan la vulnerabilidad OAuth, Lumma y Rhadamanthys, y tienen la capacidad de restaurar cookies de autenticación de Google caducadas, importarlas al sistema del hacker y suplantar el dispositivo de la víctima, independientemente de la IP o el restablecimiento de la contraseña.
De este modo, una clave extensa y compleja se vuelve insignificante, porque lo que están comprometidas son las cookies. Así, una vez que el dispositivo ha sido infectando con malware, éste encontrará tokens de sesión o cookies que le permitirán al atacante comprometer las cuentas.
“Los delincuentes, en los últimos dos años, han comenzado a usar cookies de autenticación robadas porque, efectivamente, ni siquiera tienes que autenticarte. No necesito intentar pasar un nombre de usuario y una contraseña porque tengo una cookie válida que aún no ha caducado. Básicamente, puedo decir, ‘oye, soy la persona que se supone que debe tener acceso a este sitio, déjame entrar’”, explicó Trevor Hilligoss en diálogo con Cybernews. El entrevistado trabajó como experto en delitos digitales del FBI y es actual vicepresidente en SpyCloud Labs, una compañía que se dedica a la prevención de apropiación fraudulenta de cuentas.
“Siento que muy pocas personas realmente entienden lo grave que es el robo de cookies y lo difícil que es prevenirlo”.
Pero, ¿cómo sucede esto? Las cookies tienen dos funciones principales: conocer los hábitos de navegación del usuario y recordar los accesos. Al solicitar el almacenamiento de ficheros de información en el dispositivo, las páginas web identifican al usuario y si vuelve a ingresar, tendrá registro de quién y qué ha hecho en ese sitio. También permiten recordar qué preferencias de idioma se seleccionaron, de moneda y otras configuraciones útiles. Claro que, en su versión menos inocua, se utilizan para recordar los intereses y búsquedas del usuario para luego vender esos datos para publicidad dirigida.
Por otro lado, recordar los accesos es uno de sus objetivos fundamentales. Si no existieran, sería necesario iniciar sesión cada vez que ingresamos a una plataforma. “Digamos que estás en el sitio web de tu banco. Inicias sesión, haces clic en tu cuenta corriente, no quieres tener que volver a iniciar sesión. ¿Verdad? Imagínate si cada vez que hicieras clic en un enlace, tuvieras que volver atrás e ingresar tu nombre de usuario y contraseña. Esa no es una buena experiencia de usuario. Así que eso es lo que las cookies hacen por ti. Pero la misma cookie puede ser utilizada por otra persona siempre que esté dentro de ese período válido”, detalla Hilligoss.
El experto en seguridad digital señala que el robo de cookies va mucho más allá de Google, pero las cuentas del buscador más famoso de la web son especialmente atractivas para los atacantes porque desde ellas es posible restablecer las contraseñas de otros servicios y acceder a información importante, como datos personales y fiscales.
“Si entro en tu cuenta de Gmail, te apuesto a que puedo restablecer tu contraseña de Facebook usando tu cuenta de Google. Lo hago en medio de la noche. No te vas a dar cuenta hasta la mañana. Ahora tengo el control de tu Facebook. Y los criminales hacen esto todos los días”, graficó Hilligoss.
Reducir las cookies que aceptas es una opción
Siempre puedes desactivar algunas de las opciones que aparecen cuando ingresas por primera vez a una página. A la vez, hay grupos de cookies que son obligatorias para poder navegar los sitios, como las técnicas o necesarias.
Luego, si no aceptas las cookies publicitarias, en esa web no se recopilará tu información, pero esto solo se aplicará a esa página que has configurado, no a las demás por las que navegues. También puedes desactivas las cookies de análisis, de modo que las webs tampoco podrán registrar lo que haces en ellas para fines no relacionados con la publicidad. Entonces no tendrán tus patrones de comportamiento, y no podrán incluirlos cuando investiguen qué elementos son más efectivos o más utilizados en su web, o dónde puede haber posibles problemas.
Además, es posible borrar las cookies de tu dispositivo. Si las eliminas a través del navegador, borrarás también las cookies que guardan tus inicios de sesión, y por lo tanto deberás loguearte nuevamente en todos sitios, escribiendo tus nombres de usuarios y contraseñas. También se perderán tus preferencias, teniendo que reconfigurar algunos parámetros en webs, y al borrarlas también tendrás que volver a configurar todas las webs.
Tendrás más privacidad, pero hay que tener en cuenta que la experiencia de navegación será menos personalizada, e incluso puede haber páginas donde directamente no puedas ingresar si no aceptas ciertas cookies. Lo suyo será encontrar el mejor equilibrio para cada uno.
Hilligoss, sin embargo, es terminante: “Siento que muy pocas personas realmente entienden lo grave que es el robo de cookies y lo difícil que es prevenirlo”.
El principal riesgo sigue siendo el ingreso de malware
Al mismo tiempo, Hilligoss reconoce que “El problema es el malware que llega al dispositivo, no tanto a la cookie en sí”, porque, al final, todas las cookies son vulnerables. Entonces, volvemos al comienzo de las premisas de seguridad: lo más importante es no infectarse con malware.
“Tener un buen monitoreo de endpoints, instalar un antivirus y mantenerlo actualizado”, son los consejos principales de este experto, así como no hacer clic en la publicidad, “En términos generales, una gran cantidad de malware se propaga a través de anuncios”. También es útil revocar el acceso a los dispositivos que ya no se usan y cerrar las sesiones.
Por último, Hilligoss compartió con Cybernews sus estrategias personales para prevenir intrusiones. “Cuando se trata de seguridad en Internet, tenemos un firewall doméstico, todo debe estar encriptado, bloqueo todo el tráfico no encriptado. Usamos administradores de contraseñas en todas partes todo el tiempo, y no puedo recordar la última vez que creé mi propia contraseña. Y, sí, MFA es fantástico cuando puedes evitar el correo electrónico y los SMS, MFA tanto como sea posible. Eso es lo más fácil de eludir desde la perspectiva de un actor, ya que el intercambio de SIM se está convirtiendo en un gran problema. Si tienes una aplicación, Google Authenticator, ese tipo de cosas son fantásticas. Los tokens de hardware como YubiKey también son geniales”.