{"id":26413,"date":"2023-06-13T00:14:03","date_gmt":"2023-06-13T06:14:03","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26413"},"modified":"2023-06-13T00:14:03","modified_gmt":"2023-06-13T06:14:03","slug":"youtubers-takeovers","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/youtubers-takeovers\/26413\/","title":{"rendered":"El ataque a los canales de YouTube con cookies robadas"},"content":{"rendered":"

Hace un par de meses, el famoso bloguero de tecnolog\u00eda Linus Tech sufri\u00f3 un ataque<\/a>: sus tres canales de YouTube (uno de ellos con m\u00e1s de 15 millones de suscriptores) cayeron en manos de unos ciberdelincuentes que comenzaron a transmitir anuncios de estafas de criptomonedas. Pero \u00bfc\u00f3mo lograron los atacantes acceder a los canales? \u00bfEs que el famoso bloguero no ten\u00eda protegidas sus cuentas con contrase\u00f1as seguras y la autenticaci\u00f3n en dos pasos? Por supuesto que s\u00ed; al menos, eso es lo que \u00e9l dice<\/a>.<\/p>\n

Linus Tech fue v\u00edctima de un ataque pass-the-cookie<\/em>, un m\u00e9todo com\u00fan para dirigirse a youtubers<\/em>. En esta publicaci\u00f3n, analizamos m\u00e1s de cerca los objetivos y motivos que hay detr\u00e1s de estos ataques, c\u00f3mo consiguen los atacantes acceder a los canales sin conocer la contrase\u00f1a y, en segundo lugar, cu\u00e1l es la respuesta de Google y c\u00f3mo evitar caer en la trampa.<\/p>\n

\u00bfQu\u00e9 tienen de interesante los canales de YouTube?<\/h2>\n

Los canales m\u00e1s populares (y los menos) se suelen hackear para exigir un rescate<\/a> a cambio de su devoluci\u00f3n o para obtener acceso a su audiencia<\/a>, como en el caso de Linus Tech, cuando, tras hackear el canal, los atacantes cambiaron el nombre, la foto de perfil y el contenido.<\/p>\n

De esta forma, en lugar de un blog sobre innovaci\u00f3n tecnol\u00f3gica, aparece un canal que imita la cuenta de alguna gran empresa (la mayor\u00eda de las veces Tesla) con la foto de perfil correspondiente. Despu\u00e9s, los atacantes la usan para transmitir grabaciones de Elon Musk expresando sus opiniones sobre las criptomonedas. A menudo se elimina por completo el resto del contenido del blog.<\/p>\n

V\u00eddeos de Elon Musk en un canal hackeado. <a href=\" https:\/\/youtu.be\/xf9ERdBkM5M\" target=\"_blank\">Fuente<\/a><\/a>

V\u00eddeos de Elon Musk en un canal hackeado. Fuente<\/a><\/p><\/div>\n

A su vez, se coloca un enlace en el chat que dirige a un sitio con una \u201cpromoci\u00f3n \u00fanica de criptomonedas\u201d. Por ejemplo, el propio Musk supuestamente est\u00e1 regalando criptomonedas: para obtener su parte, se les pide a los usuarios que transfieran sus monedas a un monedero determinado, despu\u00e9s de lo cual recibir\u00e1n el doble.<\/p>\n

Un sitio falso para atraer a los espectadores de los v\u00eddeos. <a href=\"https:\/\/www.youtube.com\/watch?v=yGXaAWbzl5A\" target=\"_blank\">Fuente<\/a><\/a>

Un sitio falso para atraer a los espectadores de los v\u00eddeos. Fuente<\/a><\/p><\/div>\n

Un detalle curioso consiste en que los estafadores suelen poner restricciones en el chat: solo los usuarios que llevan m\u00e1s de 15 o incluso 20 a\u00f1os suscritos al canal pueden publicar mensajes, independientemente de que el canal ni siquiera existiera por aquel entonces, de hecho, YouTube no apareci\u00f3 hasta el 2005.<\/p>\n

S\u00ed, este es un ejemplo de estafa t\u00edpica que ya hemos analizado una<\/a> o dos<\/a> veces antes.<\/p>\n

Transfi\u00e9renos tus bitcoins y te devolveremos el doble. <a href=\"https:\/\/www.youtube.com\/watch?v=yGXaAWbzl5A\" target=\"_blank\">Fuente<\/a><\/a>

Transfi\u00e9renos tus bitcoins y te devolveremos el doble. Fuente<\/a><\/p><\/div>\n

YouTube bloquea r\u00e1pidamente la transmisi\u00f3n, junto con el canal del desafortunado bloguero, por violar las pautas de la comunidad de YouTube. Despu\u00e9s, el aut\u00e9ntico propietario se enfrenta a la ardua tarea de tener que restaurar su propio canal y demostrarle a la plataforma que no ha sido \u00e9l quien ha distribuido los enlaces a sitios falsos ni retransmitido anuncios fraudulentos.<\/p>\n

En el caso de Linus Tech, con sus 15 millones de suscriptores, esto result\u00f3 relativamente f\u00e1cil. Su canal se restaur\u00f3 en cuesti\u00f3n de horas, aunque perdi\u00f3 la monetizaci\u00f3n de ese d\u00eda. Cu\u00e1nto tiempo necesitar\u00eda un youtuber<\/em> con una audiencia m\u00e1s peque\u00f1a para rectificar la situaci\u00f3n, si es que lo consigue, es una pregunta a la que no te gustar\u00eda tener que enfrentarte personalmente.<\/p>\n

C\u00f3mo secuestrar un canal sin la contrase\u00f1a<\/h2>\n

Para hackear un canal de YouTube no es necesario que los atacantes roben ninguna credencial, basta con conseguir tokens de sesi\u00f3n. Pero lo primero es lo primero\u2026<\/p>\n

Un ataque t\u00edpico a un canal de YouTube comienza<\/a> con un correo electr\u00f3nico al bloguero aparentemente desde una empresa aut\u00e9ntica que propone una colaboraci\u00f3n; puede ser un servicio de VPN, un desarrollador de juegos o incluso un proveedor de antivirus. No hay nada sospechoso en el primer correo electr\u00f3nico, por lo que el miembro del equipo del bloguero responde con un mensaje est\u00e1ndar que detalla sus tarifas de promoci\u00f3n de productos.<\/p>\n

El siguiente correo electr\u00f3nico es mucho menos inocente. En \u00e9l, los estafadores env\u00edan<\/a> un archivo que supuestamente contiene un contrato o un enlace a un servicio en la nube para descargarlo, adem\u00e1s de la contrase\u00f1a de este archivo. Para hacer que el correo electr\u00f3nico sea m\u00e1s convincente, a menudo los atacantes a\u00f1aden un enlace a un sitio web o a un perfil de redes sociales afiliado al producto que quieren que el bloguero \u201cpromocione\u201d. El enlace puede dirigir al sitio de una empresa genuina o a una p\u00e1gina falsa<\/a>.<\/p>\n

<\/a>

Correo electr\u00f3nico con un enlace para descargar un archivo con un \u201ccontrato\u201d. Fuente<\/a><\/p><\/div>\n

Si el bloguero o su empleado no lleva cuidado y descomprime el archivo, se encontrar\u00e1 con uno o m\u00e1s documentos que pueden parecer archivos de Word o PDF normales. Lo \u00fanico extra\u00f1o es que todos los archivos son bastante grandes (m\u00e1s de 700 MB), lo que hace que sea imposible escanearlos en busca de amenazas usando un servicio como VirusTotal<\/a>. Muchas soluciones de seguridad los omitir\u00e1n por la misma raz\u00f3n. Al abrir los archivos con herramientas especiales para analizar ejecutables, se descubre la presencia de muchos espacios vac\u00edos, que es lo que hace que estos documentos sean tan grandes.<\/p>\n

Por supuesto, esconder malware dentro del archivo que parece un contrato inocente es una muy buena t\u00e1ctica. Consciente del problema, Google analiz\u00f3<\/a> este tipo de ataques e identific\u00f3 los distintos tipos de malware utilizados. Entre ellos estaba el troyano stealer<\/em> RedLine<\/a>, al que muchos youtubers<\/em> han culpado<\/a> de sus desgracias \u00faltimamente.<\/p>\n

Los atacantes usan este malware para lograr su objetivo principal de robar tokens de sesi\u00f3n del navegador de la v\u00edctima. Con la ayuda de estos tokens o cookies, el navegador \u201crecuerda\u201d al usuario, lo que le permite evitar tener que pasar por un proceso de autenticaci\u00f3n completo, con la contrase\u00f1a y la autenticaci\u00f3n en dos pasos, todas las veces que se inicie sesi\u00f3n. Es decir, los tokens robados permiten a los ciberdelincuentes hacerse pasar por v\u00edctimas autenticadas e iniciar sesi\u00f3n en sus cuentas sin las credenciales.<\/p>\n

\u00bfQu\u00e9 pasa con Google?<\/h2>\n

Google lleva al corriente de este problema desde el 2019. Y, en el 2021, la compa\u00f1\u00eda public\u00f3 un estudio importante sobre la campa\u00f1a de phishing dirigida contra los creadores de YouTube con un malware que roba cookies<\/a>. El Grupo de An\u00e1lisis de Amenazas de Google investig\u00f3 las t\u00e9cnicas de ingenier\u00eda social y el malware implementado en estos ataques.<\/p>\n

Tras su estudio, la empresa anunci\u00f3 que hab\u00eda tomado una serie de medidas para proteger a los usuarios:<\/p>\n