privacidad

Por qué a los ciberdelincuentes les gustan tanto las cookies

Explicamos cómo los ciberatacantes interceptan las cookies, la función del ID de sesión y cómo evitar que tus cookies caigan en manos de personas malintencionadas.

Natalya Zakuskina
9 Sep 2025

Al abrir cualquier sitio web, probablemente lo primero que verás será una notificación emergente sobre el uso de cookies. Por lo general, tienes la opción de aceptar todas las cookies, aceptar solo las necesarias o rechazar todas. Independientemente de tu elección, lo más probable es que no notes ninguna diferencia, y la notificación desaparecerá de la pantalla de todos modos.

Hoy profundizamos un poco más en el tema de las cookies: para qué sirven, qué tipos existen, cómo pueden interceptarlas los atacantes, cuáles son los riesgos y cómo mantenerse seguro.

¿Qué son las cookies?

Cuando visitas un sitio web, este envía una cookie a tu navegador. Se trata de un pequeño archivo de texto que contiene datos sobre ti, tu sistema y las acciones que realizaste en el sitio web. Tu navegador almacena estos datos en tu dispositivo y los envía de vuelta al servidor cada vez que regresas a ese sitio web. Esto simplifica tu interacción con el sitio: no tienes que iniciar sesión en cada página; los sitios recuerdan tu configuración de pantalla; las tiendas en línea guardan productos en tu carrito; los servicios de streaming saben en qué episodio dejaste de ver la serie… Los beneficios son infinitos.

Las cookies pueden almacenar tu nombre de usuario, tu contraseña, tus tokens de seguridad, tu número de teléfono, tu dirección, tus datos bancarios y tu ID de sesión. Echemos un vistazo más de cerca al identificador de sesión.

Un ID de sesión es un código único que se asigna a cada usuario cuando inicia sesión en un sitio web. Si un tercero logra interceptar este código, el servidor web lo verá como un usuario legítimo. Esta es una analogía sencilla: imagina que puedes entrar a tu oficina mediante un pase electrónico con un código único. Si te roban el pase, el ladrón, se parezca o no a ti, podrá abrir sin problemas cualquier puerta a la que tengas acceso. Mientras tanto, el sistema de seguridad creerá que eres tú quien está entrando. Parece una escena de una serie policíaca, ¿verdad? Lo mismo sucede en línea: si un ciberdelincuente roba una cookie con tu ID de sesión, podrá iniciar sesión en un sitio web en el que ya habías iniciado sesión, con tu nombre, sin necesidad de introducir un nombre de usuario y contraseña; a veces incluso pueden eludir la autenticación de dos factores.

En 2023, ciberdelincuentes robaron los tres canales de YouTube del famoso bloguero de tecnología Linus Sebastian, “Linus Tech Tips”, y otros dos canales de YouTube de Linus Media Group con decenas de millones de suscriptores, y así es exactamente como lo hicieron. Ya contamos ese caso en detalle.

¿Qué tipos de cookies existen?

Ahora vamos a clasificar las diferentes variedades de cookies. Todas las cookies se pueden clasificar según una serie de características.

Por tiempo de almacenamiento

Cookies temporales o de sesión. Solo se utilizan mientras estás en el sitio web. Se eliminan tan pronto como abandonas el sitio web. Son necesarias para mantenerte conectado mientras navegas de una página a otra o para recordar el idioma y la región que has seleccionado.
Cookies persistentes. Permanecen en tu dispositivo después de abandonar el sitio web. Te evitan tener que aceptar o rechazar las políticas de cookies cada vez que visitas la página web. Por lo general, duran alrededor de un año.

Es posible que las cookies de sesión se vuelvan persistentes. Por ejemplo, si marcas una casilla como “Recordarme”, “Guardar configuración” o similar en un sitio web, los datos se guardarán en una cookie persistente.

Por fuente

Cookies de origen. Las genera el propio sitio web. Permiten que el sitio web funcione correctamente y que los visitantes disfruten de una experiencia adecuada. También se pueden utilizar con fines analíticos y de marketing.
Cookies de terceros. Las recopilan servicios externos. Se utilizan para mostrar anuncios y recopilar estadísticas de publicidad, entre otras cosas. Esta categoría también incluye cookies de servicios de análisis como Google Analytics y plataformas de redes sociales. Estas cookies almacenan tus credenciales de inicio de sesión, lo que te permite dar “Me gusta” a una página o compartir contenido en las redes sociales con un solo clic.

Por importancia

Cookies requeridas o esenciales. Estas admiten funciones básicas del sitio web, como la venta de productos en una plataforma de comercio electrónico. En este caso, cada usuario tiene una cuenta personal, y las cookies esenciales almacenan tu nombre de usuario, contraseña e ID de sesión.
Cookies opcionales. Se utilizan para rastrear el comportamiento del usuario y ayudar a personalizar los anuncios con mayor precisión. La mayoría de las cookies opcionales pertenecen a terceros y no afectan las posibilidades de uso de todas las funciones del sitio web.

Por tecnología de almacenamiento

Estándar. Estas cookies se almacenan en archivos de texto en el almacenamiento estándar del navegador. Cuando borras los datos de tu navegador, se eliminan y, a partir de ese momento, los sitios web que las enviaron ya no te reconocerán.
Hay dos subtipos especiales: supercookies y evercookies, que almacenan datos de forma no estándar. Las supercookies se incrustan en los encabezados de los sitios web y se almacenan en ubicaciones no estándar, lo que les permite evitar su eliminación mediante la función de limpieza del navegador. Las evercookies se pueden restaurar usando JavaScript incluso después de eliminarse. Esto significa que se pueden utilizar para un seguimiento de usuarios persistente y difícil de controlar.

La misma cookie puede clasificarse en varias categorías: por ejemplo, la mayoría de las cookies opcionales son de terceros, mientras que las cookies requeridas incluyen las temporales responsables de la seguridad de una sesión de navegación específica. Para obtener más información sobre cómo y cuándo se utilizan todos estos tipos de cookies, consulta el informe completo en Securelist.

Cómo se roban los ID de sesión mediante el secuestro de sesiones

Las cookies que contienen un ID de sesión son los objetivos más tentadores para los piratas informáticos. El robo de un ID de sesión también se conoce como secuestro de sesión (session hijacking). Examinemos algunos de los métodos más interesantes y extendidos.

Sniffing de sesión

El secuestro de sesión es posible supervisando u “olfateando” el tráfico de Internet entre el usuario y el sitio web. Este tipo de ataque se produce en sitios web que utilizan el protocolo HTTP, el cual es menos seguro, en lugar de HTTPS. Con HTTP, los archivos de cookies se transmiten en texto sin formato dentro de los encabezados de las solicitudes HTTP, lo que significa que no están cifrados. Un actor malicioso puede interceptar fácilmente el tráfico entre el sitio web en el que te encuentras y tú, y extraer las cookies.

Estos ataques a menudo ocurren en redes Wi-Fi públicas, especialmente si no están protegidas por los protocolos WPA2 o WPA3. Por esta razón, recomendamos extremar las precauciones con los puntos de acceso públicos. Es mucho más seguro usar datos móviles. Si viajas al extranjero, es una buena idea utilizar una eSIM.

Scripting entre sitios (XSS)

El scripting entre sitios se encuentra constantemente entre las principales vulnerabilidades de seguridad web, y con razón. Este tipo de ataque les permite a los actores maliciosos obtener acceso a los datos de un sitio, incluidos los archivos de cookies que contienen los codiciados ID de sesión.

Así es como funciona: el atacante encuentra una vulnerabilidad en el código fuente del sitio web e inyecta un script malicioso; una vez hecho esto, solo tienes que visitar la página infectada, y podrás decirles adiós a tus cookies. El script obtiene acceso total a tus cookies y las envía al atacante.

Falsificación de solicitudes entre sitios (CSRF/XSRF)

A diferencia de otros tipos de ataques, la falsificación de solicitudes entre sitios aprovecha la relación de confianza entre un sitio web y tu navegador. Un atacante engaña al navegador de un usuario autenticado para que realice una acción no deseada sin su conocimiento, como cambiar una contraseña o eliminar datos, como los vídeos subidos.

Para este tipo de ataque, el actor de la amenaza crea una página web o un correo electrónico que contiene un enlace malicioso, un código HTML o un script con una solicitud al sitio web vulnerable. Basta con abrir la página o el correo electrónico, o hacer clic en el enlace, para que el navegador envíe automáticamente la solicitud maliciosa al sitio objetivo. Todas tus cookies para ese sitio se adjuntarán a la solicitud. Al creer que fuiste tú quien solicitó, por ejemplo, el cambio de contraseña o la eliminación del canal, el sitio llevará a cabo la solicitud de los atacantes en tu nombre.

Por eso, recomendamos no abrir enlaces recibidos de desconocidos e instalar una solución de seguridad confiable que pueden alertarte sobre enlaces o scripts maliciosos.

ID de sesión predecibles

A veces, los atacantes no necesitan utilizar engaños complejos; simplemente, pueden adivinar el ID de sesión. En algunos sitios web, los ID de sesión se generan mediante algoritmos predecibles y pueden contener información como tu dirección IP más una secuencia de caracteres fácilmente reproducible.

Para llevar a cabo este tipo de ataque, los ciberatacantes deben recopilar suficientes ID de muestra, analizarlos y luego descubrir el algoritmo de generación para predecir los ID de sesión por su cuenta.

Hay otras formas de robar un ID de sesión, como la fijación de la sesión, el lanzamiento de cookies y los ataques man-in-the-middle (MitM). Estos métodos se tratan en nuestra publicación dedicada de Securelist.

Cómo protegerse de los ladrones de cookies

Una gran parte de la responsabilidad de la seguridad de las cookies corresponde a los desarrolladores de sitios web. Proporcionamos sugerencias para ellos en nuestro informe completo sobre Securelist.

Pero hay algunas medidas que todos podemos tomar para mantenernos seguros en línea.

Introduce datos personales solo en sitios web que utilicen el protocolo HTTPS. Si ves "HTTP" en la barra de direcciones, no aceptes cookies ni envíes información confidencial como datos de inicios de sesión, contraseñas o detalles de tarjetas de crédito.
Presta atención a las alertas del navegador. Si al visitar un sitio web aparece una advertencia sobre un certificado de seguridad no válido o sospechoso, cierra la página inmediatamente.
Actualiza tus navegadores con regularidad o activa las actualizaciones automáticas. Esto ayuda a protegerte de vulnerabilidades conocidas.
Borra la memoria caché y las cookies del navegador con regularidad. Esto evita que se puedan explotar archivos de cookies antiguos, que podrían haber sufrido filtraciones, e ID de sesión. La mayoría de los navegadores tienen una configuración para eliminar automáticamente estos datos cuando los cierras.
No hagas clic en enlaces sospechosos. Esto es especialmente importante en el caso de los enlaces recibidos de desconocidos en una aplicación de mensajería o por correo electrónico. Si tienes dificultades para diferenciar entre un enlace legítimo y uno de phishing, instala una solución de seguridad que te avise antes de visitar un sitio malicioso.
Activa la autenticación de dos factores (2FA) siempre que sea posible. Kaspersky Password Manager es una forma conveniente de almacenar tokens 2FA y generar códigos de un solo uso. Los sincroniza en todos tus dispositivos, lo que hace que sea mucho más difícil para un atacante acceder a tu cuenta después de que finalizas una sesión, incluso si roban tu ID de sesión.
No aceptes todas las cookies de todos los sitios web. Aceptar todas las cookies de todos los sitios no es la mejor estrategia. Muchos sitios web ahora ofrecen la opción de aceptar todo o aceptar solo las cookies esenciales. Siempre que sea posible, escoge la opción "Solo cookies requeridas/esenciales", que son las que el sitio necesita para funcionar correctamente.
Conéctate a redes Wi-Fi públicas solo como último recurso. A menudo no están protegidas correctamente, los atacantes se aprovechan de esto. Si tienes que conectarte, evita iniciar sesión en redes sociales o cuentas de mensajería, utilizar la banca en línea o acceder a cualquier otro servicio que requiera autenticación.

¿Quieres saber aún más sobre las cookies? Lee estos artículos:

Cómo bloquear las cookies en tu navegador

Tecnología de atribución para preservar la privacidad de Mozilla

¿Están recopilando la huella digital de tu navegador?

Cómo controlar las cookies: un experimento en el mundo real

El sonido de los rastreadores en línea

Cómo eliminar información sobre ti de las bases de datos de los agentes de datos personales

Por qué los brokers de datos crean dosieres sobre ti y cómo evitar que lo hagan

Existen miles de empresas con una sola finalidad: recopilar y revender información sobre cada uno de nosotros. ¿Cómo lo hacen, cómo se puede limitar la recopilación de datos y cómo se elimina lo que ya se recopiló?

Privacidad y niños

Por qué a los ciberdelincuentes les gustan tanto las cookies

¿Qué son las cookies?

¿Qué tipos de cookies existen?

Por tiempo de almacenamiento

Por fuente

Por importancia

Por tecnología de almacenamiento

Cómo se roban los ID de sesión mediante el secuestro de sesiones

Sniffing de sesión

Scripting entre sitios (XSS)

Falsificación de solicitudes entre sitios (CSRF/XSRF)

ID de sesión predecibles

Cómo protegerse de los ladrones de cookies

Configuración de seguridad y privacidad en el ecosistema de Garmin

Cómo minimizar tu huella digital

Por qué los brokers de datos crean dosieres sobre ti y cómo evitar que lo hagan

Consejos

Del CVSS a la RBVM: cómo priorizar correctamente las vulnerabilidades

Todo sobre el CVSS: la evolución de la puntuación de vulnerabilidades

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia