{"id":24711,"date":"2022-04-27T13:26:12","date_gmt":"2022-04-27T19:26:12","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24711"},"modified":"2022-04-29T03:01:28","modified_gmt":"2022-04-29T09:01:28","slug":"browser-in-the-browser-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/browser-in-the-browser-attack\/24711\/","title":{"rendered":"Browser-in-the-browser: una nueva t\u00e9cnica de phishing"},"content":{"rendered":"

En su b\u00fasqueda incesante de datos personales, contrase\u00f1as<\/a> e informaci\u00f3n valiosa de todo tipo, los ciberdelincuentes inventan de manera constante distintas formas para que la gente sea enga\u00f1ada. Usualmente, y por m\u00e1s sofisticadas que resulten dichas estrategias, todas se dirigen a la misma tipolog\u00eda de usuario, el que baja la guardia. Con solo prestar atenci\u00f3n a algunos detalles -comenzando por la direcci\u00f3n del sitio web en el que te piden que introducir tus datos- bastar\u00e1 para no ser una v\u00edctima m\u00e1s del phishing.<\/p>\n

O, al menos, la mayor\u00eda de las veces as\u00ed es. Hoy nos gustar\u00eda contarte sobre un ataque que funciona de forma diferente. S\u00ed, con una URL que, a simple vista, parece correcta y segura para la v\u00edctima. Echemos un vistazo.<\/p>\n

\u00bfPor qu\u00e9 hay errores en las direcciones de los sitios de phishing?<\/h2>\n

Cada uno de los dominios que se ven en la barra de direcciones de un navegador es \u00fanico y siempre es asignado a un propietario. O sea, si alguien quiere tiene un sitio web y quiere que aparezca en los buscadores, lo primero que debe que hacer es contactar a una empresa que se dedique a el registro de dominios en internet. Si el nombre del dominio est\u00e1 disponible, con una comprobaci\u00f3n previa en una base de datos internacional, se le otorga al solicitante.<\/p>\n

\u00bfY esto qu\u00e9 significa? Simple, que es imposible registrar un sitio web falso con la misma direcci\u00f3n de un sitio web real. Pero, y aqu\u00ed est\u00e1 el detalle, es muy posible crear un dominio muy parecido al de otra persona eligiendo una zona de dominio similar: por ejemplo, Colombia (.co) en lugar de Canad\u00e1 (.ca). No obstante, aunque es muy f\u00e1cil caer, es igual de sencillo detectarlo: basta con mirar bien la direcci\u00f3n.<\/p>\n

Pero ser\u00eda demasiado f\u00e1cil, \u00bfcierto? Por eso, en lugar de registrar dominios, a estas mentes maravillosas se les ocurri\u00f3 la gran idea de simular<\/strong>\u00a0una ventana del navegador con la direcci\u00f3n de un sitio de confianza que aparece en una p\u00e1gina.<\/p>\n

\u00bfQu\u00e9 es un ataque browser-in-the-browser?<\/h2>\n

Este t\u00e9rmino fue descrito por mr.d0x<\/a>, como se hace llamar este investigador de infoseguridad y pentester<\/em><\/a>. Tras percatarse de que la tecnolog\u00eda moderna de creaci\u00f3n de sitios web (herramientas HTML, CSS y JavaScript) ha dado pasos tan agigantados, not\u00f3 que estamos en un momento en el que es posible replicar cualquier cosa de una p\u00e1gina: desde cambios leves en los campos de las formas y el color, hasta animaciones que imitan perfectamente los elementos m\u00f3viles de la interfaz. Esto significa que un phisher <\/em>puede aprovecharse de dichas circunstancias para simular una p\u00e1gina web completa de un servicio diferente dentro de su misma web.<\/p>\n

Para su experimento, mr.d0x comenz\u00f3 fij\u00e1ndose en las ventanas emergentes de inicio de sesi\u00f3n. S\u00ed, justo son en las que est\u00e1s pensando, aquellas que aparecen cuando eliges una opci\u00f3n como \u201cIniciar sesi\u00f3n con Google\u201d o \u201cContinuar con Apple\u201d en lugar de crear una cuenta en el sitio web. Es una opci\u00f3n bastante popular ya que no es necesario acordarse o pensar una nueva contrase\u00f1a, ni esperar enlaces o c\u00f3digos de confirmaci\u00f3n. Adem\u00e1s, estamos ante una v\u00eda bastante segura. Cuando das clic en el bot\u00f3n de Iniciar sesi\u00f3n con<\/em>, se abre la p\u00e1gina del servicio correspondiente en la que se introducen tus datos, y el sitio web al que se accede con esta opci\u00f3n nunca recibe tu contrase\u00f1a, ni siquiera de manera temporal.<\/p>\n

\"\"As\u00ed se ve una ventana de inicio de sesi\u00f3n real para un servicio de terceros<\/strong><\/p>\n

Y, \u00bfc\u00f3mo se da el ataque? Sucede m\u00e1s o menos as\u00ed: los ciberdelincuentes registran un sitio web utilizando la cl\u00e1sica t\u00e9cnica de phishing de clonar un sitio existente. Tambi\u00e9n es com\u00fan que elijan una direcci\u00f3n o contenido que puedan resultar atractivos para las v\u00edctimas: ofertas de compra, oportunidades laborales o noticias que llamen su atenci\u00f3n. Todo est\u00e1 pensado: si quieres comprar ese objeto, aplicar para la oferta de trabajo o comentar la noticia, debes iniciar sesi\u00f3n con los botones que supuestamente permiten hacerlo a trav\u00e9s de los servicios convencionales desde los que se quieren obtener las contrase\u00f1as.<\/p>\n

Al oprimir ese bot\u00f3n, las v\u00edctimas ver\u00e1n la cl\u00e1sica ventana de inicio de sesi\u00f3n con la que ya est\u00e1n familiarizadas. Microsoft, Google, Apple\u2026 todas con su direcci\u00f3n, logotipo y los campos que suelen ver. Hasta pueden mostrar las direcciones correctas cuando los usuarios pasen el cursor por encima del bot\u00f3n de \u201cIniciar sesi\u00f3n\u201d y el enlace \u201cHe olvidado la contrase\u00f1a\u201d.<\/p>\n

Obviamente, si introduces tus datos en esta ventana, no ir\u00e1n ni a Microsoft, ni a Google, ni a Apple, sino directamente al servidor del ciberdelincuente. Todo fue programado para que el ataque se produzca justo en la p\u00e1gina que intenta enga\u00f1ar al usuario. Aqu\u00ed<\/a> puedes ver el aspecto que esto puede llegar a tener.<\/p>\n

\u00bfC\u00f3mo saber si la ventana de acceso es falsa?<\/h2>\n

Aunque no hay algo que nos haga levantar sospechas sobre esa supuesta ventana de inicio de sesi\u00f3n, hay formas de identificar si se trata de un fraude. Las ventanas de inicio de sesi\u00f3n reales son ventanas del navegador y act\u00faan como tales. Puedes maximizar y minimizar, moverlas a cualquier lado de la pantalla, etc. Las ventanas emergentes falsas est\u00e1n vinculadas a la p\u00e1gina en la que se encuentran. Es decir, tambi\u00e9n se puede mover y cubrir botones e im\u00e1genes, pero solo dentro<\/strong> de la ventana del navegador, no pueden salir de ella. Esta es la diferencia que te ayudar\u00e1 a identificarlas.<\/p>\n

Para comprobar si el formulario de acceso que aparece en tu pantalla es falso, prueba primero hacer esto:<\/p>\n