Qué es un ciberataque ‘Pass-the-cookie’ y por qué está cogiendo protagonismo
Se trata de una sofisticada táctica que emplean los ciberdelincuentes con el propósito de comprometer la seguridad en línea y poner en riesgo la integridad de datos críticos de las organizaciones.
Es innegable que los ciberdelincuentes y actores maliciosos que operan en el entorno de Internet están sofisticando sus métodos y herramientas para hacerse con datos e información valiosa de sus objetivos. Y en este escenario, la protección de los datos privados ocupa una prioridad para las organizaciones que no hacen más que invertir y definir nuevas estrategias para evitar brechas en sus sistemas e infraestructuras. Para ello apuestan por métodos como la autenticación multifactor, una vertiente que ha ido cobrando más y más protagonismo a lo largo de los años.
Sin embargo, dado que los cibercriminales no descansan, cabe mencionar la irrupción de una nueva táctica capaz de sortear los obstáculos de la doble protección: Pass-the-cookie. Este es el nombre propio detrás del nuevo método que salta de una manera aparentemente sencilla la doble valla de protección que interponen las empresas para hacerse con sus datos. Se aprovecha para lograrlo de las cookies de sesión en páginas web y aplicaciones; pero, ¿cómo lo hace?
Modus operandi
Cuando un usuario inicia sesión en cualquier aplicación de Internet se crea una cookie de sesión en el navegador que lo identifica, permitiendo mantener la sesión activa sin necesidad de estar autenticándose constantemente. Sin embargo, si un ciberdelincuente logra obtener y utilizar esta cookie, la aplicación web lo considerará un usuario legítimo y le otorgará acceso sin restricciones a la cuenta.
En este sentido, el proceso de un ataque Pass-the-Cookie cuenta con dos estadios: extracción de la cookie de sesión y la inyección de esta cookie en el navegador del atacante. Por un lado, los ciberdelincuentes utilizan diversas técnicas como secuencias de comandos entre sitios, phishing o ataques Man-in-the-middle (MITM) para hacerse con las cookies de sesión de los usuarios. Incluso pueden adquirirlas a través de la dark web. Una vez las tienen bajo su dominio, los ciberdelincuentes la inyectan en su propio navegador para simular una sesión legítima. La aplicación web ‘confiará’ en que es el usuario verdadero y otorgará acceso sin necesidad de contraseñas o factores de autenticación adicionales.
Cómo protegerse
Para evitarlo, los expertos recomiendan a las organizaciones que hagan caducar las cookies, soliciten certificados y establezcan otro tipo de validaciones, como comprobar que el navegador sea él mismo así como la ubicación de la conexión. Esto sin dejar de lado las soluciones antimalware. La protección activa y la educación continua en materia de ciberseguridad son elementos clave en la defensa contra estos ataques cada vez más avanzados. Otros consejos pasan por evitar guardar sesiones abiertas en equipos que no son de fiar y aplicar siempre las actualizaciones disponibles.
