Sin categoría

¿Qué es el Secuestro de Cookies (Cookie Hijacking o Robo de Cookies)? (Y Cómo Prevenirlo)

Las cookies permiten que los sitios web le identifiquen a medida que pasa el tiempo en línea, y son más beneficiosas para los sitios web que tienen usuarios recurrentes. Si alguna vez ha visitado un sitio web y éste recuerda su ubicación basándose en su última visita, ése es un ejemplo de las cookies en acción.

Cuando te conectas a una aplicación o sitio web, como una cuenta de redes sociales o tu perfil en un sitio web de venta al por menor, tu navegador sabe que estás conectado gracias a las cookies de sesión temporales establecidas por el servidor. Esa sesión significa que puedes seguir conectado al sitio mientras navegas por él y haces clic en diferentes páginas. Sin las cookies, tendrías que volver a conectarte cada vez que abrieras una nueva página en ese sitio web.

Esto es conveniente, sí, pero te deja más vulnerable a los secuestradores de cookies. Si un pirata informático tiene acceso a su ID de sesión, puede visitar los mismos lugares que usted visitó en el sitio, haciéndose pasar por usted.

¿Qué es el Secuestro de Cookies (Cookie Hijacking)?

El secuestro de cookies, también llamado secuestro de sesión, es una forma en que los hackers pueden acceder y robar sus datos personales, y también pueden impedirle el acceso a ciertas cuentas.

El secuestro de cookies es tan poderoso, a veces más, que averiguar su contraseña. Es posible que con el secuestro de cookies, los hackers puedan obtener un acceso ilimitado a todos tus recursos. Por ejemplo, un atacante puede robar su identidad o datos confidenciales de la empresa; comprar artículos; o robar de su cuenta bancaria.

¿Cómo funciona el secuestro de cookies?

El secuestro de cookies puede producirse cuando un programa malicioso espera a que el usuario inicie sesión en el sitio web. Entonces, el malware roba la cookie de sesión y la envía al atacante.

El ataque a las cookies suele iniciarse cuando el atacante envía al usuario un inicio de sesión falso. La víctima hace clic en el enlace falso, lo que permite al atacante robar la cookie – en realidad, cualquier cosa que el usuario escriba puede ser capturada por el atacante. El atacante entonces pone esa cookie en su navegador y es capaz de actuar como usted.

A veces, ni siquiera es necesario un enlace falso. Si un usuario está en una sesión en una conexión Wi-Fi pública no segura, los hackers pueden robar fácilmente los datos que viajan a través de la conexión. Y esto puede ocurrir incluso si el sitio es seguro y su nombre de usuario y contraseña están cifrados.

Una vez que el atacante tiene la cookie de sesión de un usuario, puede entrar en un sitio web y hacer prácticamente todo lo que usted podría hacer, incluyendo cambiar su contraseña. Y esto suele estar automatizado, por lo que ocurre en cuestión de segundos. Si el atacante activa entonces la autenticación multifactor (MFA) contra la víctima, es posible que no vuelva a tener acceso a sus cuentas.

Firesheep

Firesheep es un gran ejemplo de cómo funciona a veces el secuestro de cookies. Esta extensión del navegador Firefox, creada en octubre de 2010 por el programador Eric Butler, espía las sesiones de navegación de los usuarios en un punto de acceso Wi-Fi compartido para vigilar las cookies de sesión. Cuando detectaba una, la interceptaba para hacerse con la identidad de la persona que pertenecía a esa sesión. Este método de secuestro de cookies se denomina «packet sniffing».

Firesheep no era malicioso, sino que pretendía demostrar lo fácil que era secuestrar sesiones de cookies de sitios web populares cuando sólo se codificaba el proceso de inicio de sesión, no las cookies. Butler demostró que con una comprobación básica de las cookies, un hacker que accediera a ese mismo punto de acceso podría hacerse pasar por otra persona.

Más métodos de secuestro de cookies

Hay un par de métodos más de secuestro de cookies que hay que tener en cuenta. Con ataques de fuerza bruta-inyecciones de malware; si el malware infecta tu ordenador o un sitio web que ejecutas, puede espiarte y grabar las sesiones del navegador.

Cómo prevenir el secuestro de cookies

La prevención de este tipo de hackeo va desde la utilización de tecnología de seguridad avanzada hasta la enseñanza a sus empleados (y otros) sobre las amenazas de secuestro de cookies.

Protección MFA

Desafortunadamente, la protección MFA avanzada y los métodos avanzados de secuestro de cookies son cíclicos. A medida que uno mejora, también debe hacerlo el otro. Para los propietarios de empresas y sitios web, la implementación de más protección MFA no siempre mejorará la seguridad – sólo podría hacer que los ataques de secuestro de cookies sean más avanzados.

Esto no significa que no se utilice la MFA en absoluto – en algunos casos reduce los ataques. El mayor problema es que la gente sigue haciendo clic en esos enlaces falsos, por lo que la educación es tan importante en este caso (más sobre esto en un segundo).

Además, algunas formas de MFA son más fuertes que otras. Por ejemplo, los códigos de autenticación basados en texto son débiles, mientras que las contraseñas de un solo uso y con límite de tiempo son más fuertes.

Educación

Todo el mundo debería saber cómo detectar un enlace falso. A menudo, la dirección del sitio web tendrá un error ortográfico que es fácil de pasar por alto si no se presta atención. Por ejemplo, puede escribirse «Facebok» en lugar de «Facebook». Si notas algo así, no hagas clic en el enlace.

Además, los diferentes tipos de soluciones MFA conllevan diferentes riesgos. Depende del departamento de TI de la empresa identificar esos riesgos. De nuevo, la educación es la clave.

Más consejos de higiene digital

Hay algunas formas más de limitar el riesgo de intentos de secuestro de cookies:

  • Compruebe la URL: Un sitio web seguro debe utilizar HTTPS para cifrar todo el tráfico. Mira la URL para ver si comienza con HTTPS.
  • Utiliza sólo conexiones seguras: Evita las redes Wi-Fi públicas y gratuitas, sobre todo las que ni siquiera tienen protección por contraseña.
  • Cierra la sesión cuando hayas terminado: Cuando termines de visitar un sitio web, cierra la sesión. Si te conectas por trabajo y tienes que acceder a los mismos sitios varias veces al día, configura tu navegador para que cierre la sesión automáticamente al cerrarlo.
  • Borrar las cookies: Borra regularmente las cookies para asegurarte de que los datos de la actividad de navegación sobrantes desaparecen.
  • Utiliza una VPN: Para una protección más avanzada, puedes utilizar una Red Privada Virtual, que oculta tu dirección IP y redirige tu tráfico a través de un pasillo cifrado.

Lo que los usuarios de WordPress deben saber sobre el secuestro de cookies

Mantenerse seguro mientras se navega en línea es una cosa. Si es propietario o dirige un sitio web de WordPress, tiene que mantener su propio sitio a salvo del secuestro de cookies, por no hablar de la protección de sus visitantes.

Si su sitio web es víctima del secuestro de cookies, los atacantes podrían tomar sus credenciales de acceso y las de sus clientes. También pueden robar la información de las tarjetas de crédito, entre otros datos personales. Esencialmente, si hay un secuestro de cookies en su sitio, todos y todo están en riesgo. Además de la MFA, dé prioridad a lo siguiente.

Instale un certificado SSL

Asegúrese de que su proveedor de alojamiento web le proporciona un certificado SSL para su sitio web. Cuando los datos se transfieren entre el navegador del usuario y el servidor web, un SSL encripta los datos para que no puedan ser leídos fácilmente.

Utilice HTTPS

No querrá visitar otros sitios web sin HTTPS, y su sitio debería seguir los mismos estándares. También necesitas HTTPS en algo más que las páginas de inicio de sesión de tu sitio: debería estar en todo tu sitio.

Utilice soluciones anti-malware

Todo sitio web de WordPress debería tener un plugin de seguridad fiable. Las soluciones anti-malware mantendrán alejado el software de robo de cookies.

Mantenga su sitio web actualizado

Cada parte de su sitio web debe mantenerse actualizada, desde la propia instalación de WordPress hasta los temas y plugins que haya instalado. Siempre que ejecute un software desactualizado, será vulnerable a un ataque.

Preguntas frecuentes sobre el secuestro de cookies

¿Qué pueden hacer los hackers con las cookies?

Mucho. Piense en cualquier información personal que rellene en sitios web: su nombre de usuario y contraseña, la información de su tarjeta de crédito, su dirección, etc. Una vez que un hacker obtiene acceso a tus cookies de sesión, puede básicamente actuar como si fueras tú. Si estás conectado a tu cuenta bancaria, por ejemplo, pueden configurar una transferencia para vaciar tu cuenta y mover los fondos a la suya propia, y luego pueden cambiar la contraseña para que no puedas acceder a la cuenta bancaria en absoluto.

¿Pueden secuestrarte si aceptas las cookies?

A veces. Eres más vulnerable cuando estás en una Wi-Fi pública y no segura, como en una cafetería o un centro comercial. No hay ninguna seguridad en la conexión Wi-Fi que impida a los hackers acceder a todo lo que puedan. Si tienes que conectarte en este tipo de entornos, al menos utiliza el modo privado o de incógnito de tu navegador.

¿Cómo puedo borrar las cookies?

La mayoría de los navegadores tienen una opción para borrar el historial y los datos. Deberías poder borrarlo todo, o puedes optar por borrar sólo las cookies y los datos del sitio; eso depende de ti. También es probable que puedas configurarlo para que se haga automáticamente.

Reflexiones finales sobre el secuestro de cookies

Protegerse en Internet va más allá de tener contraseñas difíciles de adivinar y de borrar el historial de navegación cuando se termina el día. También tienes que proteger tus cookies de sesión, aunque la mayoría de la gente no se da cuenta de lo vulnerables que son. Las cookies almacenan una gran cantidad de información valiosa, toda esa información que tanto intentas proteger de otras maneras.

Si diriges una organización de cualquier tamaño, definitivamente deberías utilizar MFA – pero también es necesario saber que no es una opción infalible. Necesitas varias capas de seguridad para estar a salvo del secuestro de cookies, y MFA es sólo una de esas capas. Cuando se trata de propietarios de sitios web de WordPress, es importante configurar un sitio web tan seguro como sea posible para protegerse a sí mismo, a sus empleados y a sus visitantes.

Lo más importante para prevenir los intentos de secuestro de cookies es la educación. Es esencial concienciar a los empleados, usuarios y administradores sobre las amenazas, incluyendo lo que hay que tener en cuenta y lo que no hay que hacer.

Acerca del Autor

Andres

Agregar un Comentario

Clic Aqui para Publicar un Comentario

Publicidad

Síguenos en Facebook