El nuevo informe de Kaspersky ‘Cookies and how to bake them: what they are for, associated risks, and what session hijacking has to do with it’,revela que el 87% de las páginas web analizadas muestran notificaciones sobre cookies. Sin embargo, la mayoría de los usuarios sigue sin ser consciente de los riesgos que conllevan estos pequeños archivos. Las cookies son archivos de texto que los navegadores almacenan para mejorar la funcionalidad de los sitios y rastrear la actividad de los usuarios. Aunque resultan útiles, también pueden convertirse en un objetivo de los ciberataques.
Uno de los riesgos más destacados es el secuestro de ID de sesión, un ataque en el que un ciberdelincuente obtiene acceso a una cuenta activa de la víctima en una página web. Esto le permite acceder a datos sensibles o llevar a cabo acciones en nombre de la víctima, como ejecutar transacciones sin permiso. Con regulaciones globales como el GDPR y otras normativas que obligan a la transparencia en la recogida de datos, el informe destaca la importancia de una gestión rigurosa de cookies para proteger tanto la información personal como la corporativa.
Según la configuración de la página web, las cookies pueden almacenar desde simples preferencias de navegación hasta números de teléfono, datos de pago o credenciales de acceso. Si un atacante roba esos archivos, puede apoderarse de la sesión del usuario.
Entre las técnicas más comunes están:
Session sniffing: interceptar el ID de sesión en redes Wi-Fi públicas o en sitios que usan HTTP en lugar de HTTPS.
Cross-site scripting (XSS): inyectar scripts maliciosos en un sitio web para que se ejecuten en el navegador de la víctima y roben cookies o IDs de sesión.
Session fixation: engañar a la víctima para que use un ID de sesión previamente configurado por el atacante, lo que le permite acceder a la cuenta tras la autenticación.
En un caso real, si un ciberdelincuente intercepta el ID de sesión de un usuario que está conectado a una tienda online, podría acceder a su dirección de envío o a los datos de pago asociados. ste tipo de ataques puede derivar en pérdidas económicas, robo de identidad, fraude e incluso en daños a la reputación digital de la víctima.
“Las cookies permiten que la navegación en Internet sea más cómoda y personalizada, pero también son un objetivo para los ciberdelincuentes si no se gestionan con cuidado. Sin las protecciones adecuadas, los atacantes pueden aprovechar los ID de sesión para secuestrar cuentas, robar datos sensibles o manipular interacciones en la web. Por eso es esencial que los desarrolladores prioricen las medidas de seguridad y que los usuarios se mantengan proactivos a la hora de proteger su huella digital”, afirma Natalya Zakuskina, Senior Web Content Analyst en Kaspersky.
Recomendaciones de Kaspersky para reducir el riesgo:
Evitar navegar en sitios que usen HTTP y nunca introducir datos sensibles en ellos, ya que se interceptan fácilmente.
No compartir información confidencial cuando se use una red Wi-Fi pública.
Aceptar solo las cookies mínimas necesarias siempre que sea posible.
Activar la autenticación en dos pasos (2FA), evitar hacer clic en enlaces sospechosos y borrar con frecuencia los datos del navegador.
Para desarrolladores: aplicar HTTPS de forma obligatoria, usar las etiquetas HttpOnly y Secure, implementar tokens CSRF y generar IDs de sesión con algoritmos criptográficamente seguros
