{"id":27115,"date":"2022-04-27T13:06:02","date_gmt":"2022-04-27T11:06:02","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27115"},"modified":"2022-04-27T13:08:04","modified_gmt":"2022-04-27T11:08:04","slug":"browser-in-the-browser-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/browser-in-the-browser-attack\/27115\/","title":{"rendered":"Browser-in-the-browser: una nueva t\u00e9cnica de phishing"},"content":{"rendered":"

En su incansable b\u00fasqueda de credenciales, contrase\u00f1as<\/a> y todo tipo de informaci\u00f3n valiosa, los ciberdelincuentes est\u00e1n inventando constantemente nuevas formas de enga\u00f1ar a la gente. Normalmente, y por muy sofisticadas que sean estas estrategias, todas van dirigidas a un mismo tipo de usuarios: aquellos que bajan la guardia. Con solo prestar atenci\u00f3n a algunos aspectos -empezando por la direcci\u00f3n del sitio web en el que te piden que introduzcas tus credenciales- no ser\u00e1s v\u00edctima del phishing.<\/p>\n

O, al menos, casi siempre suele ser as\u00ed. Pero hoy queremos hablarte de un ataque que funciona de manera diferente. S\u00ed, con una URL que, a simple vista, parece correcta y segura para la v\u00edctima. Veamos.<\/p>\n

\u00bfPor qu\u00e9 hay errores en las direcciones de los sitios de phishing?<\/h2>\n

Cada uno de los dominios que se ven en la barra de direcciones de un navegador es \u00fanico y siempre se asigna a un propietario. Es decir, si alguien quiere crear un sitio web y que este aparezca en los buscadores, lo primero que tiene que hacer es ponerse en contacto con una empresa que, entre sus servicios, se encuentre el registro de dominios en internet. Si el nombre del dominio est\u00e1 disponible, previa comprobaci\u00f3n en una base de datos internacional, se le asigna al solicitante.<\/p>\n

Y, \u00bfqu\u00e9 significa esto? Pues algo tan sencillo como que es imposible registrar un sitio web falso con la misma direcci\u00f3n que un sitio web real. Pero, y aqu\u00ed est\u00e1 la clave, es muy posible crear un dominio muy parecido al de otra persona eligiendo una zona de dominio similar: por ejemplo, Colombia (.co) en lugar de Canad\u00e1 (.ca). Sin embargo, aunque es muy f\u00e1cil caer, tambi\u00e9n es muy f\u00e1cil de detectar: basta con mirar bien la direcci\u00f3n.<\/p>\n

Pero ser\u00eda demasiado f\u00e1cil, \u00bfverdad? Por eso, en lugar de registrar dominios, a estas mentes maravillosas se les ha ocurrido la idea de simular<\/strong> una ventana del navegador con la direcci\u00f3n de un sitio de confianza que aparece en una p\u00e1gina.<\/p>\n

\u00bfQu\u00e9 es un ataque browser-in-the-browser?<\/h2>\n

Este t\u00e9rmino fue descrito por mr.d0x<\/a>, como se hace llamar este investigador de infoseguridad y pentester. Se dio cuenta de que la tecnolog\u00eda moderna de creaci\u00f3n de sitios web (herramientas HTML, CSS y JavaScript) ha dado pasos tan agigantados que estamos en un punto en el que se puede replicar pr\u00e1cticamente cualquier cosa de una p\u00e1gina: desde peque\u00f1os cambios en los campos de color o forma hasta animaciones que imitan a la perfecci\u00f3n los componentes m\u00f3viles de la interfaz.<\/p>\n

Esto significa que un phisher puede aprovechar estas circunstancias para simular una p\u00e1gina completa de un servicio diferente dentro de su propia web.<\/p>\n

Para su experimento, mr.d0x empez\u00f3 fij\u00e1ndose en las ventanas emergentes de inicio de sesi\u00f3n. S\u00ed, son justo en las que est\u00e1s pensando, estas ventanas que aparecen cuando eliges una opci\u00f3n como \u201cIniciar sesi\u00f3n con Google\u201d o \u201cContinuar con Apple\u201d en lugar de crear una cuenta en el sitio web.<\/p>\n

Es una opci\u00f3n bastante recurrente ya que no es necesario pensar ni recordar una nueva contrase\u00f1a ni esperar enlaces ni c\u00f3digos de confirmaci\u00f3n. Adem\u00e1s, estamos ante una v\u00eda bastante segura.<\/p>\n

Cuando pulsas el bot\u00f3n de Iniciar sesi\u00f3n con<\/em>, se abre la p\u00e1gina del servicio correspondiente en la que se introducen las credenciales, y el sitio web al que se accede con esta opci\u00f3n nunca recibe la contrase\u00f1a, ni siquiera temporalmente.<\/p>\n

\"As\u00ed

As\u00ed se ve una ventana de inicio de sesi\u00f3n real para un servicio de terceros<\/p><\/div>\n

Y, \u00bfc\u00f3mo se introduce el ataque? Ser\u00eda algo as\u00ed: los ciberdelincuentes registran un sitio web utilizando la cl\u00e1sica t\u00e9cnica de phishing de clonar un sitio real.<\/p>\n

Tambi\u00e9n es com\u00fan que opten por una direcci\u00f3n atractiva o por contenido que pueda atraer a las v\u00edctimas: ofertas de compra, oportunidades laborales o noticias que llamen la atenci\u00f3n del usuario.<\/p>\n

Todo est\u00e1 pensado: si quieres comprar ese objeto, solicitar la oferta de trabajo o comentar esa noticia, tienes que iniciar sesi\u00f3n mediante los botones que supuestamente permiten hacerlo a trav\u00e9s de los servicios convencionales desde los que se quieren obtener las contrase\u00f1as.<\/p>\n

Al hacer clic en ese bot\u00f3n, las v\u00edctimas ver\u00e1n la cl\u00e1sica ventana de inicio de sesi\u00f3n con la que est\u00e1n m\u00e1s que familiarizadas. Microsoft, Google, Apple\u2026 todas con su direcci\u00f3n, logotipo y los campos que est\u00e1n acostumbradas a ver. Hasta pueden mostrar las direcciones correctas cuando los usuarios pasen el rat\u00f3n por encima del bot\u00f3n de \u201cIniciar sesi\u00f3n\u201d y el enlace \u201cHe olvidado la contrase\u00f1a\u201d.<\/p>\n

Obviamente, si introduces tus credenciales en esta ventana, no ir\u00e1n ni a Microsoft, ni a Google, ni a Apple, sino directamente al servidor del ciberdelincuente. Todo est\u00e1 programado para que el ataque se produzca justo en la p\u00e1gina que intenta enga\u00f1ar al usuario. Aqu\u00ed<\/a> puedes ver el aspecto que puede tener esto.<\/p>\n

\u00bfC\u00f3mo saber si la ventana de acceso es falsa?<\/h2>\n

Aunque no hay nada que nos haga sospechar en esa supuesta ventana de inicio de sesi\u00f3n, hay formas de identificar si se trata de un fraude. Las ventanas de inicio de sesi\u00f3n reales son ventanas del navegador y act\u00faan como tales. Puedes maximizar y minimizar, moverlas a cualquier lugar de la pantalla, etc. Las ventanas emergentes falsas est\u00e1n vinculadas a la p\u00e1gina en la que se encuentran. Es decir, tambi\u00e9n se puede mover y cubrir botones e im\u00e1genes, pero solo dentro<\/strong> de la ventana del navegador, no pueden salir de ella. Esta es la diferencia que te ayudar\u00e1 a identificarlas.<\/p>\n

Para comprobar si el formulario de acceso que aparece en tu pantalla es falso, prueba antes a hacer esto:<\/p>\n

\u2022\u00a0 Minimiza la ventana del navegador desde la que apareci\u00f3 el formulario. Si el formulario de acceso que se supone que est\u00e1 en una ventana separada tambi\u00e9n desaparece, entonces es falso. Las ventanas reales permanecen siempre en la pantalla.<\/p>\n

\u2022\u00a0 Intenta mover la ventana de inicio de sesi\u00f3n m\u00e1s all\u00e1 del borde de la ventana principal. Una ventana real cruzar\u00e1 f\u00e1cilmente, una falsa se quedar\u00e1 atascada.<\/p>\n

En definitiva, si la ventana con el formulario de inicio de sesi\u00f3n se comporta de forma extra\u00f1a (se minimiza con la otra ventana, se detiene debajo de la barra de direcciones o desaparece debajo de ella) es falsa y no deber\u00edas introducir tus credenciales.<\/p>\n

\u00bfHay alguna manera f\u00e1cil de protegerme?<\/h2>\n

Tranquilo, este tipo de ataques no son tan peligrosos como pueden parecer a simple vista. Es cierto que a las personas nos puede resultar bastante complicado detectar un ataque \u201cbrowser-in-the-browser\u201d<\/em>, pero tu ordenador puede ayudarte. No importa lo que haya escrito en un sitio peligroso, la direcci\u00f3n real sigue siendo la misma y eso, en t\u00e9rminos de seguridad, es lo que importa.<\/p>\n

\u2022 Aseg\u00farate de utilizar un gestor de contrase\u00f1as<\/a><\/strong> para todas tus cuentas. Este verifica la direcci\u00f3n real de la p\u00e1gina y nunca introducir\u00e1 tus credenciales en los campos de un sitio desconocido, por muy real y leg\u00edtimo que parezca.
\n\u2022 Instala una soluci\u00f3n de seguridad fuerte<\/a> con un m\u00f3dulo antiphishing.<\/strong> Esta tambi\u00e9n verificar\u00e1 la URL por ti y te avisar\u00e1 inmediatamente si una p\u00e1gina es peligrosa.<\/p>\n

Aun as\u00ed, recuerda utilizar, siempre que sea posible, la autenticaci\u00f3n en dos pasos.<\/strong> As\u00ed, si alguien logra hacerse con tus credenciales, no podr\u00e1 acceder a tu cuenta sin el c\u00f3digo \u00fanico que te enviar\u00e1n solamente a ti.<\/p>\n

En caso de que quieras una protecci\u00f3n m\u00e1s eficaz para tus cuentas m\u00e1s valiosas, te recomendamos que utilices tokens del hardware U2F (como YubiKey). Este sistema comprueba no solo la direcci\u00f3n de un sitio web, sino tambi\u00e9n si conoce la clave de cifrado. Por lo tanto, resultar\u00e1 imposible enga\u00f1ar a un sistema de autenticaci\u00f3n de este tipo por mucho que el sitio original y su gemelo parezcan id\u00e9nticos.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Te explicamos esta nueva y sutil t\u00e9cnica para robar contrase\u00f1as y c\u00f3mo evitar caer en la trampa del phishing.<\/p>\n","protected":false},"author":2484,"featured_media":27119,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[43],"class_list":{"0":"post-27115","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-phishing"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/browser-in-the-browser-attack\/27115\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/browser-in-the-browser-attack\/24071\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/browser-in-the-browser-attack\/19557\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/browser-in-the-browser-attack\/9903\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/browser-in-the-browser-attack\/26399\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/browser-in-the-browser-attack\/24346\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/browser-in-the-browser-attack\/24711\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/browser-in-the-browser-attack\/26674\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/browser-in-the-browser-attack\/33105\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/browser-in-the-browser-attack\/10654\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/browser-in-the-browser-attack\/44163\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/browser-in-the-browser-attack\/18820\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/browser-in-the-browser-attack\/19354\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/browser-in-the-browser-attack\/15949\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/browser-in-the-browser-attack\/28507\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/browser-in-the-browser-attack\/28225\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/browser-in-the-browser-attack\/24966\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/browser-in-the-browser-attack\/30422\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/browser-in-the-browser-attack\/30190\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27115"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27115\/revisions"}],"predecessor-version":[{"id":27118,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27115\/revisions\/27118"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27119"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27115"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27115"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}