Las cookies son unos fragmentos de texto que los sitios que visita el usuario envía al navegador. Esos datos se almacenan cuando el usuario inicia sesión y permiten que los sitios web recuerden información sobre esa visita.
Estas “galletas” permiten saber cuánto tiempo estuvo un usuario en la página, por donde navegó e incluso dónde hizo clic. Todo esto puede ser utilizado por las empresas para personalizar la experiencia del usuario así como para ofrecer publicidad más afín a su interés, pero también conlleva riesgos.
Si los atacantes obtienen las cookies de sesión o autenticación de datos pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.
Dado que un token también se crea y almacena en un navegador web cuando se usa la doble autenticación o múltiple autenticación, este mismo ataque se puede usar para eludir esta capa adicional de seguridad. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan, destacan desde la empresa de ciberseguridad Sophos, en el marco del informe "Robo de cookies: el nuevo desvío del perímetro", que publicaron recientemente.
Estas “galletas” permiten saber cuánto tiempo estuvo un usuario en la página, por donde navegó e incluso dónde hizo clic.
El robo de cookies permite extraer datos de los sistemas comprometidos dentro de una red y así emplear programas ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los ciberatacantes logran acceder a los recursos basados en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance.
Así, por ejemplo, en el marco de un ataque a una corporación u organización, podrían comprometer la red de correo electrónico comercial, la ingeniería social para obtener acceso adicional al sistema e incluso la modificación de los repositorios de datos o código fuente.
La preocupación por el riesgo de privacidad y seguridad que representan las cookies no es algo reciente, pero en el último tiempo se ha tomado más conciencia sobre esto, e incluso en algunas regiones se han tomado iniciativas para frenar o limitar el uso de este tipo de códigos.
“En la UE y algunos estados de Estados Unidos, el uso de cookies está regulado. Sin embargo, cuando se les presentan con una ventana emergente de opciones, muchos usuarios simplemente hacen clic y aceptan la configuración de cookies predeterminada”, se destaca en un artículo publicado por WeLiveSecurity.
En el último tiempo surgió con fuerza una nueva forma de hacer negocios con los ciberataques. Se conoce como “malware como servicio” y hace referencia a la venta de código malicioso que hacen ciberatacantes para que otros puedan hacer hackeos, aún sin tener muchos conocimientos en la materia.
“Por ejemplo, todo lo que necesitan hacer es comprar una copia de un troyano que roba información como Raccoon Stealer para recopilar datos como contraseñas y cookies a granel y luego venderlos en mercados de cibercrimen. Otros, como los operadores de ransomware, pueden comprar estos datos y filtrarlos para aprovechar vulnerabilidades o exploits que encuentren y robar datos”, subrayan desde la compañía.
De todos modos, en dos incidentes recientes investigados se identificó que los atacantes pasaron meses dentro de la red de un objetivo recopilando cookies del navegador Microsoft Edge. Luego, usaron una combinación de actividad de Cobalt Strike y Meterpreter para abusar de una herramienta de compilación legítima para extraer tokens de acceso.
En otro caso, los atacantes utilizaron un componente legítimo de Microsoft Visual Studio para lanzar una carga maliciosa que extrajo archivos de cookies durante una semana.
“Debido a que gran parte del trabajo actual se desarrolla de forma remota y está basado en la web, los tipos de actividades maliciosas que los atacantes pueden llevar a cabo con las cookies de sesión robadas son realmente interminables. Pueden alterar las infraestructuras de la nube, comprometer el correo electrónico comercial, convencer a otros empleados para que descarguen malware o incluso reescribir el código de los productos. La única limitación es su propia creatividad”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.
Los tipos de actividad maliciosa que los atacantes pueden llevar a cabo con las cookies de sesión robadas son realmente interminables.
Sean Gallagher, investigador principal de amenazas de Sophos
¿Se reducen las chances de caer en estos robos si se utilizan apps como segundo factor de autenticación? “Lastimosamente no. Cualquier servicio que mantenga la autenticación a través de una cookie es potencialmente vulnerable al robo de cookies; depende en gran medida de cómo estén configuradas las aplicaciones protegidas por autenticación multifactor. Las cookies de sesión generalmente se configuran después de la autenticación, por lo que las soluciones 2FA / MFA (que son indispensables y siempre se deben tener habilitadas) no son tan relevantes para este tipo de amenaza, ya que evitan que las credenciales de los usuarios se vean comprometidas, pero no protegen las sesiones asociadas con las aplicaciones después de la autenticación”, explicó a Diario Con Vos Juan Alejandro Aguirre, Sr. Manager Sales Engineering de Sophos Latinoamérica.
A continuación, las medidas de precaución que deben tomar los usuarios para evitar este tipo de amenazas:
- Cerrar siempre las sesiones de los navegadores, es decir cerrar el navegador y sus pestañas.
- Borrar regularmente las cookies y otra información de autenticación de los navegadores.
- Se pueden utilizar herramientas administrativas para que algunas plataformas basadas en la web reduzcan el tiempo permitido de validez de las cookies.
- Usar soluciones de EndPoint robustas que puedan validar comportamiento para evitar el uso indebido de cookies por parte de scripts y programas que no son de confianza y también detectar malware que roba información de cookies.
