Un investigador de seguridad conocido como mr.d0x ha publicado un artículo donde detalla una nueva técnica que se puede usar para el phishing y otras actividades potencialmente maliciosas. Dicha técnica explota las llamadas aplicaciones web progresivas (PWA). En esta publicación, explicamos en qué consisten estas aplicaciones, por qué pueden ser peligrosas, cómo pueden emplearlas los atacantes para sus objetivos y de qué manera puedes protegerte contra esta amenaza.
¿Qué son las aplicaciones web progresivas?
Las PWA son aplicaciones desarrolladas mediante tecnologías web. Básicamente, se trata de sitios web que parecen y funcionan como aplicaciones nativas instaladas en tu sistema operativo.
La idea general es similar a la de las aplicaciones creadas en el marco de trabajo Electron, pero con una diferencia clave. Las aplicaciones de Electron son como un “sándwich” hecho con un sitio web (el relleno) y un navegador (el pan) dedicado a ejecutar ese sitio; es decir, cada aplicación de Electron tiene un navegador integrado. Por el contrario, las PWA utilizan el motor del navegador ya instalado en el sistema del usuario para mostrar el mismo sitio web, lo que equivaldría a un sándwich sin el pan.
Todos los navegadores modernos admiten las PWA, y el navegador Google Chrome y los que están basados en Chromium (incluido el navegador Microsoft Edge, que viene con Windows) ofrecen la implementación más completa.
Instalar una PWA (si el sitio web en cuestión lo admite) es muy sencillo. Solo tienes que hacer clic en un botón poco visible en la barra de direcciones del navegador y confirmar la instalación. Aquí puedes ver cómo se hace, con la PWA de Google Drive como ejemplo:
Después de eso, la PWA aparecerá en tu sistema casi al instante, y tendrá el aspecto de una aplicación real, con un icono, su propia ventana y el resto de características de un programa completo. No resulta fácil determinar por la ventana de la PWA si en realidad es un navegador que muestra un sitio web.
Phishing basado en PWA
Una diferencia crucial entre una PWA y el mismo sitio web abierto en un navegador se ve claramente en la captura de pantalla anterior: la ventana de la PWA no tiene barra de direcciones. Esta característica es la clave del método de phishing que analizamos en esta publicación.
Sin una barra de direcciones en la ventana, los atacantes simplemente pueden dibujar una barra propia que muestre una URL que satisfaga sus objetivos de phishing. Por ejemplo, esta:
Los atacantes pueden mejorar aún más el engaño usando un icono familiar para la PWA.
El único obstáculo que les queda es convencer a la víctima para que instale la PWA. Sin embargo, esto se puede lograr fácilmente utilizando un lenguaje persuasivo y elementos de interfaz diseñados inteligentemente.
Es importante tener en cuenta que, durante el cuadro de diálogo de instalación de la PWA, el nombre de la aplicación que se muestre podrá ser el que el atacante desee. El verdadero origen de la aplicación solo lo revela la dirección del sitio web que se ve en la segunda línea, que es menos perceptible:
El proceso para robar una contraseña mediante una PWA se suele desarrollar de la siguiente manera:
- La víctima abre un sitio web malicioso.
- El sitio web convence a la víctima para que instale la PWA.
- La instalación ocurre casi al instante y se abre la ventana de la PWA.
- Se abre una página de phishing con una barra de direcciones falsa en la que se muestra una URL que parece legítima en la ventana de la PWA.
- La víctima introduce sus credenciales de inicio de sesión en el formulario, con lo que se las proporcionará directamente a los atacantes.
Por supuesto, convencer a la víctima de que instale una aplicación nativa es igualmente sencillo, pero existe un par de matices. Las PWA se instalan mucho más rápido y requieren mucha menos interacción del usuario en comparación con la instalación de aplicaciones tradicionales.
Además, desarrollar las PWA es más simple, ya que básicamente son sitios web de phishing con algunas mejoras menores. Estos factores convierten a las PWA maliciosas en una potente herramienta para los ciberdelincuentes.
Cómo protegerse del phishing de PWA
Por cierto, el mismo mr.d0x ganó reconocimiento anteriormente por describir la técnica de phishing llamada Browser-in-the-Browser, sobre la que escribimos hace un par de años. Desde entonces, se han dado muchos casos de atacantes que han utilizado esta técnica no solo para robar contraseñas de cuentas, sino también para propagar ransomware.
Dado este precedente, es muy probable que los ciberdelincuentes adopten las PWA maliciosas y conciban formas novedosas de explotar esta técnica más allá del phishing.
¿Qué puedes hacer para protegerte contra esta amenaza?
- Presta mucha atención cuando te encuentres con aplicaciones web progresivas y no instales ninguna que proceda de sitios web sospechosos.
- Revisa periódicamente la lista de PWA instaladas en tu sistema. Por ejemplo, en Google Chrome, escribe <code>chrome://apps</code> en la barra de direcciones para ver y gestionar las PWA instaladas.
- Emplea una solución de seguridad de confianza que cuente con protección contra el phishing y los sitios fraudulentos, que te advertirá de inmediato sobre cualquier posible peligro.