Browser-in-the-browser: una nueva técnica de phishing

Te explicamos esta nueva y sutil técnica para robar contraseñas y cómo evitar caer en la trampa del phishing.

En su búsqueda incesante de datos personales, contraseñas e información valiosa de todo tipo, los ciberdelincuentes inventan de manera constante distintas formas para que la gente sea engañada. Usualmente, y por más sofisticadas que resulten dichas estrategias, todas se dirigen a la misma tipología de usuario, el que baja la guardia. Con solo prestar atención a algunos detalles -comenzando por la dirección del sitio web en el que te piden que introducir tus datos- bastará para no ser una víctima más del phishing.

O, al menos, la mayoría de las veces así es. Hoy nos gustaría contarte sobre un ataque que funciona de forma diferente. Sí, con una URL que, a simple vista, parece correcta y segura para la víctima. Echemos un vistazo.

¿Por qué hay errores en las direcciones de los sitios de phishing?

Cada uno de los dominios que se ven en la barra de direcciones de un navegador es único y siempre es asignado a un propietario. O sea, si alguien quiere tiene un sitio web y quiere que aparezca en los buscadores, lo primero que debe que hacer es contactar a una empresa que se dedique a el registro de dominios en internet. Si el nombre del dominio está disponible, con una comprobación previa en una base de datos internacional, se le otorga al solicitante.

¿Y esto qué significa? Simple, que es imposible registrar un sitio web falso con la misma dirección de un sitio web real. Pero, y aquí está el detalle, es muy posible crear un dominio muy parecido al de otra persona eligiendo una zona de dominio similar: por ejemplo, Colombia (.co) en lugar de Canadá (.ca). No obstante, aunque es muy fácil caer, es igual de sencillo detectarlo: basta con mirar bien la dirección.

Pero sería demasiado fácil, ¿cierto? Por eso, en lugar de registrar dominios, a estas mentes maravillosas se les ocurrió la gran idea de simular una ventana del navegador con la dirección de un sitio de confianza que aparece en una página.

¿Qué es un ataque browser-in-the-browser?

Este término fue descrito por mr.d0x, como se hace llamar este investigador de infoseguridad y pentester. Tras percatarse de que la tecnología moderna de creación de sitios web (herramientas HTML, CSS y JavaScript) ha dado pasos tan agigantados, notó que estamos en un momento en el que es posible replicar cualquier cosa de una página: desde cambios leves en los campos de las formas y el color, hasta animaciones que imitan perfectamente los elementos móviles de la interfaz. Esto significa que un phisher puede aprovecharse de dichas circunstancias para simular una página web completa de un servicio diferente dentro de su misma web.

Para su experimento, mr.d0x comenzó fijándose en las ventanas emergentes de inicio de sesión. Sí, justo son en las que estás pensando, aquellas que aparecen cuando eliges una opción como “Iniciar sesión con Google” o “Continuar con Apple” en lugar de crear una cuenta en el sitio web. Es una opción bastante popular ya que no es necesario acordarse o pensar una nueva contraseña, ni esperar enlaces o códigos de confirmación. Además, estamos ante una vía bastante segura. Cuando das clic en el botón de Iniciar sesión con, se abre la página del servicio correspondiente en la que se introducen tus datos, y el sitio web al que se accede con esta opción nunca recibe tu contraseña, ni siquiera de manera temporal.

Así se ve una ventana de inicio de sesión real para un servicio de terceros

Y, ¿cómo se da el ataque? Sucede más o menos así: los ciberdelincuentes registran un sitio web utilizando la clásica técnica de phishing de clonar un sitio existente. También es común que elijan una dirección o contenido que puedan resultar atractivos para las víctimas: ofertas de compra, oportunidades laborales o noticias que llamen su atención. Todo está pensado: si quieres comprar ese objeto, aplicar para la oferta de trabajo o comentar la noticia, debes iniciar sesión con los botones que supuestamente permiten hacerlo a través de los servicios convencionales desde los que se quieren obtener las contraseñas.

Al oprimir ese botón, las víctimas verán la clásica ventana de inicio de sesión con la que ya están familiarizadas. Microsoft, Google, Apple… todas con su dirección, logotipo y los campos que suelen ver. Hasta pueden mostrar las direcciones correctas cuando los usuarios pasen el cursor por encima del botón de “Iniciar sesión” y el enlace “He olvidado la contraseña”.

Obviamente, si introduces tus datos en esta ventana, no irán ni a Microsoft, ni a Google, ni a Apple, sino directamente al servidor del ciberdelincuente. Todo fue programado para que el ataque se produzca justo en la página que intenta engañar al usuario. Aquí puedes ver el aspecto que esto puede llegar a tener.

¿Cómo saber si la ventana de acceso es falsa?

Aunque no hay algo que nos haga levantar sospechas sobre esa supuesta ventana de inicio de sesión, hay formas de identificar si se trata de un fraude. Las ventanas de inicio de sesión reales son ventanas del navegador y actúan como tales. Puedes maximizar y minimizar, moverlas a cualquier lado de la pantalla, etc. Las ventanas emergentes falsas están vinculadas a la página en la que se encuentran. Es decir, también se puede mover y cubrir botones e imágenes, pero solo dentro de la ventana del navegador, no pueden salir de ella. Esta es la diferencia que te ayudará a identificarlas.

Para comprobar si el formulario de acceso que aparece en tu pantalla es falso, prueba primero hacer esto:

  • Minimiza la ventana del navegador desde la que apareció el formulario. Si el formulario de acceso que se supone que está en una ventana separada también desaparece, entonces es falso. Las ventanas reales siempre permanecen en la pantalla.
  • Intenta mover la ventana de inicio de sesión más allá del borde de la ventana principal. Una ventana real cruzará fácilmente, mientras que una falsa se atascará.

Definitivamente, si la ventana con el formulario de inicio de sesión se comporta de forma extraña (se minimiza con la otra ventana, se detiene debajo de la barra de direcciones o desaparece debajo de ella) es falsa y no debes introducir tus datos personales.

¿Hay alguna manera fácil de protegerme?

Tranquilo, este tipo de ataques no son tan peligrosos como pueden parecer a simple vista. Es verdad que a las personas nos puede resultar bastante complicado identificar un ataque browser-in-the-browser, pero tu computadora puede ayudarte. No importa lo que haya escrito en un sitio peligroso, la dirección real sigue siendo la misma y eso, en términos de seguridad, es lo que importa.

  • Asegúrate de utilizar un gestor de contraseñas para todas tus cuentas. Se encarga de verificar la dirección real de la página y nunca introducirá tus datos personales en los campos de una página desconocida, sin importar lo real y legítima que pueda parecer.
  • Instala una solución de seguridad fuerte con un módulo antiphishing. Esta también verificará la URL por ti y te avisará de inmediato si la página es peligrosa.

De todas formas, recuerda utilizar, siempre que puedas, la autenticación en dos pasos. De esta manera, si alguien logra robar tus datos, no iniciar sesión sin el código único que te enviarán solo a ti.

En caso de que quieras una protección más eficaz para tus cuentas más importante, te recomendamos que utilices tokens del hardware U2F (como YubiKey). Este sistema comprueba no solo la dirección de un sitio web, sino también si conoce la clave de cifrado. Por lo tanto, será imposible engañar a un sistema de autenticación de este tipo por más que el sitio original y su gemelo parezcan idénticos.

Consejos