Al abrir cualquier sitio web, probablemente lo primero que ver\u00e1s ser\u00e1 una notificaci\u00f3n emergente sobre el uso de cookies. Por lo general, tienes la opci\u00f3n de aceptar todas las cookies, aceptar solo las necesarias o rechazar todas. Independientemente de tu elecci\u00f3n, lo m\u00e1s probable es que no notes ninguna diferencia, y la notificaci\u00f3n desaparecer\u00e1 de la pantalla de todos modos.<\/p>\n
Hoy profundizamos un poco m\u00e1s en el tema de las cookies: para qu\u00e9 sirven, qu\u00e9 tipos existen, c\u00f3mo pueden interceptarlas los atacantes, cu\u00e1les son los riesgos y c\u00f3mo mantenerse seguro.<\/p>\n
Cuando visitas un sitio web, este env\u00eda una cookie a tu navegador. Se trata de un peque\u00f1o archivo de texto que contiene datos sobre ti, tu sistema y las acciones que realizaste en el sitio web. Tu navegador almacena estos datos en tu dispositivo y los env\u00eda de vuelta al servidor cada vez que regresas a ese sitio web. Esto simplifica tu interacci\u00f3n con el sitio: no tienes que iniciar sesi\u00f3n en cada p\u00e1gina; los sitios recuerdan tu configuraci\u00f3n de pantalla; las tiendas en l\u00ednea guardan productos en tu carrito; los servicios de streaming saben en qu\u00e9 episodio dejaste de ver la serie\u2026 Los beneficios son infinitos.<\/p>\n
Las cookies pueden almacenar tu nombre de usuario, tu contrase\u00f1a, tus tokens de seguridad, tu n\u00famero de tel\u00e9fono, tu direcci\u00f3n, tus datos bancarios y tu ID de sesi\u00f3n. Echemos un vistazo m\u00e1s de cerca al identificador de sesi\u00f3n.<\/p>\n
Un ID de sesi\u00f3n<\/strong> es un c\u00f3digo \u00fanico que se asigna a cada usuario cuando inicia sesi\u00f3n en un sitio web. Si un tercero logra interceptar este c\u00f3digo, el servidor web lo ver\u00e1 como un usuario leg\u00edtimo. Esta es una analog\u00eda sencilla: imagina que puedes entrar a tu oficina mediante un pase electr\u00f3nico con un c\u00f3digo \u00fanico. Si te roban el pase, el ladr\u00f3n, se parezca o no a ti, podr\u00e1 abrir sin problemas cualquier puerta a la que tengas acceso. Mientras tanto, el sistema de seguridad creer\u00e1 que eres t\u00fa quien est\u00e1 entrando. Parece una escena de una serie polic\u00edaca, \u00bfverdad? Lo mismo sucede en l\u00ednea: si un ciberdelincuente roba una cookie con tu ID de sesi\u00f3n, podr\u00e1 iniciar sesi\u00f3n en un sitio web en el que ya hab\u00edas iniciado sesi\u00f3n, con tu nombre, sin necesidad de introducir un nombre de usuario y contrase\u00f1a; a veces incluso pueden eludir la autenticaci\u00f3n de dos factores.<\/p>\n En 2023, ciberdelincuentes robaron los tres canales de YouTube del famoso bloguero de tecnolog\u00eda Linus Sebastian, \u201cLinus Tech Tips\u201d, y otros dos canales de YouTube de Linus Media Group con decenas de millones de suscriptores, y as\u00ed es exactamente como lo hicieron. Ya contamos\u00a0ese caso en detalle<\/a>.<\/p>\n Ahora vamos a clasificar las diferentes variedades de cookies. Todas las cookies se pueden clasificar seg\u00fan una serie de caracter\u00edsticas.<\/p>\n Es posible que las cookies de sesi\u00f3n se vuelvan persistentes. Por ejemplo, si marcas una casilla como \u201cRecordarme\u201d, \u201cGuardar configuraci\u00f3n\u201d o similar en un sitio web, los datos se guardar\u00e1n en una cookie persistente.<\/p>\n La misma cookie puede clasificarse en varias categor\u00edas: por ejemplo, la mayor\u00eda de las cookies opcionales son de terceros, mientras que las cookies requeridas incluyen las temporales responsables de la seguridad de una sesi\u00f3n de navegaci\u00f3n espec\u00edfica. Para obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo y cu\u00e1ndo se utilizan todos estos tipos de cookies, consulta el informe completo en Securelist<\/a>.<\/p>\n Las cookies que contienen un ID de sesi\u00f3n son los objetivos m\u00e1s tentadores para los piratas inform\u00e1ticos. El robo de un ID de sesi\u00f3n tambi\u00e9n se conoce como secuestro de sesi\u00f3n (session hijacking)<\/a>. Examinemos algunos de los m\u00e9todos m\u00e1s interesantes y extendidos.<\/p>\n El secuestro de sesi\u00f3n es posible supervisando u \u201colfateando\u201d el tr\u00e1fico de Internet entre el usuario y el sitio web. Este tipo de ataque se produce en sitios web que utilizan el protocolo HTTP<\/a>, el cual es menos seguro, en lugar de HTTPS. Con HTTP, los archivos de cookies se transmiten en texto sin formato dentro de los encabezados de las solicitudes HTTP, lo que significa que no est\u00e1n cifrados. Un actor malicioso puede interceptar f\u00e1cilmente el tr\u00e1fico entre el sitio web en el que te encuentras y t\u00fa, y extraer las cookies.<\/p>\n Estos ataques a menudo ocurren en redes Wi-Fi p\u00fablicas, especialmente si no est\u00e1n protegidas por los protocolos WPA2 o WPA3. Por esta raz\u00f3n, recomendamos<\/a> extremar las precauciones con los puntos de acceso p\u00fablicos. Es mucho m\u00e1s seguro usar datos m\u00f3viles. Si viajas al extranjero, es una buena idea utilizar una eSIM<\/a>.<\/p>\n El scripting entre sitios<\/a> se encuentra constantemente entre las principales vulnerabilidades de seguridad web, y con raz\u00f3n. Este tipo de ataque les permite a los actores maliciosos obtener acceso a los datos de un sitio, incluidos los archivos de cookies que contienen los codiciados ID de sesi\u00f3n.<\/p>\n As\u00ed es como funciona: el atacante encuentra una vulnerabilidad en el c\u00f3digo fuente del sitio web e inyecta un script malicioso; una vez hecho esto, solo tienes que visitar la p\u00e1gina infectada, y podr\u00e1s decirles adi\u00f3s a tus cookies. El script obtiene acceso total a tus cookies y las env\u00eda al atacante.<\/p>\n A diferencia de otros tipos de ataques, la falsificaci\u00f3n de solicitudes entre sitios<\/a> aprovecha la relaci\u00f3n de confianza entre un sitio web y tu navegador. Un atacante enga\u00f1a al navegador de un usuario autenticado para que realice una acci\u00f3n no deseada sin su conocimiento, como cambiar una contrase\u00f1a o eliminar datos, como los v\u00eddeos subidos.<\/p>\n Para este tipo de ataque, el actor de la amenaza crea una p\u00e1gina web o un correo electr\u00f3nico que contiene un enlace malicioso, un c\u00f3digo HTML o un script con una solicitud al sitio web vulnerable. Basta con abrir la p\u00e1gina o el correo electr\u00f3nico, o hacer clic en el enlace, para que el navegador env\u00ede autom\u00e1ticamente la solicitud maliciosa al sitio objetivo. Todas tus cookies para ese sitio se adjuntar\u00e1n a la solicitud. Al creer que fuiste t\u00fa quien solicit\u00f3, por ejemplo, el cambio de contrase\u00f1a o la eliminaci\u00f3n del canal, el sitio llevar\u00e1 a cabo la solicitud de los atacantes en tu nombre.<\/p>\n Por eso, recomendamos no abrir enlaces recibidos de desconocidos e instalar una soluci\u00f3n de seguridad confiable<\/a>\u00a0que pueden alertarte sobre enlaces o scripts maliciosos.<\/p>\n A veces, los atacantes no necesitan utilizar enga\u00f1os complejos; simplemente, pueden adivinar el ID de sesi\u00f3n. En algunos sitios web, los ID de sesi\u00f3n se generan mediante algoritmos predecibles y pueden contener informaci\u00f3n como tu direcci\u00f3n IP m\u00e1s una secuencia de caracteres f\u00e1cilmente reproducible.<\/p>\n Para llevar a cabo este tipo de ataque, los ciberatacantes deben recopilar suficientes ID de muestra, analizarlos y luego descubrir el algoritmo de generaci\u00f3n para predecir los ID de sesi\u00f3n por su cuenta.<\/p>\n Hay otras formas de robar un ID de sesi\u00f3n, como la fijaci\u00f3n de la sesi\u00f3n<\/strong>, el lanzamiento de cookies<\/strong> y los ataques man-in-the-middle (MitM)<\/strong><\/a>. Estos m\u00e9todos se tratan en nuestra publicaci\u00f3n dedicada de Securelist<\/a>.<\/p>\n Una gran parte de la responsabilidad de la seguridad de las cookies corresponde a los desarrolladores de sitios web. Proporcionamos sugerencias para ellos en nuestro informe completo sobre Securelist<\/a>.<\/p>\n Pero hay algunas medidas que todos podemos tomar para mantenernos seguros en l\u00ednea.<\/p>\n \u00bfQuieres saber a\u00fan m\u00e1s sobre las cookies? Lee estos art\u00edculos:<\/p>\n C\u00f3mo bloquear las cookies en tu navegador<\/a><\/p>\n Tecnolog\u00eda de atribuci\u00f3n para preservar la privacidad de Mozilla<\/a><\/p>\n \u00bfEst\u00e1n recopilando la huella digital de tu navegador?<\/a><\/p>\n C\u00f3mo controlar las cookies: un experimento en el mundo real<\/a><\/p>\n\u00bfQu\u00e9 tipos de cookies existen?<\/h2>\n
Por tiempo de almacenamiento<\/h4>\n
\n
Por fuente<\/h4>\n
\n
Por importancia<\/h4>\n
\n
Por tecnolog\u00eda de almacenamiento<\/h4>\n
\n
C\u00f3mo se roban los ID de sesi\u00f3n mediante el secuestro de sesiones<\/h2>\n
Sniffing de sesi\u00f3n<\/h4>\n
Scripting entre sitios (XSS)<\/h4>\n
Falsificaci\u00f3n de solicitudes entre sitios (CSRF\/XSRF)<\/h4>\n
ID de sesi\u00f3n predecibles<\/h4>\n
C\u00f3mo protegerse de los ladrones de cookies<\/h2>\n
\n