{"id":30127,"date":"2024-06-25T16:26:07","date_gmt":"2024-06-25T14:26:07","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30127"},"modified":"2024-06-25T16:26:07","modified_gmt":"2024-06-25T14:26:07","slug":"phishing-with-progressive-web-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/phishing-with-progressive-web-apps\/30127\/","title":{"rendered":"Phishing progresivo: c\u00f3mo se pueden utilizar las PWA para robar contrase\u00f1as"},"content":{"rendered":"

Un investigador de seguridad conocido como mr.d0x<\/em> ha publicado un art\u00edculo<\/a> donde detalla una nueva t\u00e9cnica que se puede usar para el phishing y otras actividades potencialmente maliciosas. Dicha t\u00e9cnica explota las llamadas aplicaciones web progresivas (PWA). En esta publicaci\u00f3n, explicamos en qu\u00e9 consisten estas aplicaciones, por qu\u00e9 pueden ser peligrosas, c\u00f3mo pueden emplearlas los atacantes para sus objetivos y de qu\u00e9 manera puedes protegerte<\/a> contra esta amenaza.<\/p>\n

\u00bfQu\u00e9 son las aplicaciones web progresivas?<\/h2>\n

Las PWA son aplicaciones desarrolladas mediante tecnolog\u00edas web. B\u00e1sicamente, se trata de sitios web que parecen y funcionan como aplicaciones nativas instaladas en tu sistema operativo.<\/p>\n

La idea general es similar a la de las aplicaciones creadas en el marco de trabajo Electron<\/a>, pero con una diferencia clave. Las aplicaciones de Electron son como un \u201cs\u00e1ndwich\u201d hecho con un sitio web (el relleno) y un navegador (el pan) dedicado a ejecutar ese sitio; es decir, cada aplicaci\u00f3n de Electron tiene un navegador integrado. Por el contrario, las PWA utilizan el motor del navegador ya instalado en el sistema del usuario para mostrar el mismo sitio web, lo que equivaldr\u00eda a un s\u00e1ndwich sin el pan.<\/p>\n

Todos los navegadores modernos admiten las PWA, y el navegador Google Chrome y los que est\u00e1n basados en Chromium (incluido el navegador Microsoft Edge, que viene con Windows) ofrecen la implementaci\u00f3n m\u00e1s completa.<\/p>\n

Instalar una PWA (si el sitio web en cuesti\u00f3n lo admite) es muy sencillo. Solo tienes que hacer clic en un bot\u00f3n poco visible en la barra de direcciones del navegador y confirmar la instalaci\u00f3n. Aqu\u00ed puedes ver c\u00f3mo se hace, con la PWA de Google Drive como ejemplo:<\/p>\n

\"C\u00f3mo<\/a>

La instalaci\u00f3n de una PWA solo requiere dos clics<\/p><\/div>\n

Despu\u00e9s de eso, la PWA aparecer\u00e1 en tu sistema casi al instante, y tendr\u00e1 el aspecto de una aplicaci\u00f3n real, con un icono, su propia ventana y el resto de caracter\u00edsticas de un programa completo. No resulta f\u00e1cil determinar por la ventana de la PWA si en realidad es un navegador que muestra un sitio web.<\/p>\n

\"Qu\u00e9<\/a>

La PWA de Google Drive tiene el mismo aspecto que una aplicaci\u00f3n nativa real<\/p><\/div>\n

Phishing basado en PWA<\/h2>\n

Una diferencia crucial entre una PWA y el mismo sitio web abierto en un navegador se ve claramente en la captura de pantalla anterior: la ventana de la PWA no tiene barra de direcciones. Esta caracter\u00edstica es la clave del m\u00e9todo de phishing que analizamos en esta publicaci\u00f3n.<\/p>\n

Sin una barra de direcciones en la ventana, los atacantes simplemente pueden dibujar una barra propia que muestre una URL que satisfaga sus objetivos de phishing. Por ejemplo, esta:<\/p>\n

\"PWA<\/a>

Con una PWA, puedes imitar de manera convincente cualquier sitio; por ejemplo, la p\u00e1gina de inicio de sesi\u00f3n de la cuenta de Microsoft. Fuente<\/a>.<\/p><\/div>\n

Los atacantes pueden mejorar a\u00fan m\u00e1s el enga\u00f1o usando un icono familiar para la PWA.<\/p>\n

El \u00fanico obst\u00e1culo que les queda es convencer a la v\u00edctima para que instale la PWA. Sin embargo, esto se puede lograr f\u00e1cilmente utilizando un lenguaje persuasivo y elementos de interfaz dise\u00f1ados inteligentemente.<\/p>\n

Es importante tener en cuenta que, durante el cuadro de di\u00e1logo de instalaci\u00f3n de la PWA, el nombre de la aplicaci\u00f3n que se muestre podr\u00e1 ser el que el atacante desee. El verdadero origen de la aplicaci\u00f3n solo lo revela la direcci\u00f3n del sitio web que se ve en la segunda l\u00ednea, que es menos perceptible:<\/p>\n

\"Cuadro<\/a>

El cuadro de di\u00e1logo de instalaci\u00f3n de una PWA maliciosa muestra un nombre que favorece los objetivos del atacante. Fuente<\/a>.<\/p><\/div>\n

El proceso para robar una contrase\u00f1a mediante una PWA se suele desarrollar de la siguiente manera:<\/p>\n