{"id":31895,"date":"2026-03-09T13:56:02","date_gmt":"2026-03-09T11:56:02","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31895"},"modified":"2026-03-09T13:56:02","modified_gmt":"2026-03-09T11:56:02","slug":"browser-in-the-browser-phishing-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/browser-in-the-browser-phishing-facebook\/31895\/","title":{"rendered":"Ataques de browser-in-the-browser: de la teor\u00eda a la realidad"},"content":{"rendered":"

En 2022, nos sumergimos en un m\u00e9todo de ataque llamado browser-in-the-browser<\/a>, desarrollado originalmente por el investigador de ciberseguridad conocido como mr.d0x<\/em>. En aquel entonces, no exist\u00edan ejemplos reales de uso de este modelo. Avanzamos r\u00e1pido cuatro a\u00f1os, y los ataques browser-in-the-browser han pasado de lo te\u00f3rico a lo real: los atacantes ahora los est\u00e1n usando de verdad. En esta publicaci\u00f3n, revisamos qu\u00e9 es exactamente un ataque browser-in-the-browser, mostramos c\u00f3mo los ciberdelincuentes lo est\u00e1n implementando y, lo m\u00e1s importante, explicamos c\u00f3mo evitar convertirte en su pr\u00f3xima v\u00edctima.<\/p>\n

\u00bfQu\u00e9 es un ataque browser-in-the-browser (BitB)?<\/h2>\n

Para empezar, refresquemos la memoria sobre lo que mr.d0x<\/em> realmente ide\u00f3<\/a>. La base del ataque parte de la observaci\u00f3n de cu\u00e1n avanzadas se han vuelto las herramientas de desarrollo web modernas (HTML, CSS, JavaScript y similares). Es esta comprensi\u00f3n la que inspir\u00f3 al investigador a crear un modelo de phishing particularmente elaborado.<\/p>\n

Un ataque browser-in-the-browser es una forma sofisticada de phishing que utiliza el dise\u00f1o web para crear sitios web fraudulentos que imitan las ventanas de inicio de sesi\u00f3n en servicios conocidos, como Microsoft, Google, Facebook o Apple, que se parecen a los reales. El concepto del investigador implica que un atacante construya un sitio de apariencia leg\u00edtima para atraer a las v\u00edctimas. Una vez all\u00ed, los usuarios no pueden dejar comentarios ni realizar compras a menos que \u201cinicien sesi\u00f3n\u201d primero.<\/p>\n

Iniciar sesi\u00f3n parece bastante f\u00e1cil: solo debes hacer clic en el bot\u00f3n Iniciar sesi\u00f3n con {nombre del servicio popular}<\/em>. Aqu\u00ed es donde el asunto se pone interesante: en lugar de una p\u00e1gina de autenticaci\u00f3n genuina proporcionada por el servicio leg\u00edtimo, el usuario obtiene un formulario falso presentado dentro del sitio malicioso, que se ve exactamente como una ventana emergente del navegador. Adem\u00e1s, la barra de direcciones en la ventana emergente, tambi\u00e9n elaborada por los atacantes, muestra una URL perfectamente leg\u00edtima<\/em>. Incluso al inspeccionar de cerca, no se revela el truco.<\/p>\n

Desde all\u00ed, el usuario desprevenido introduce sus credenciales para Microsoft, Google, Facebook o Apple en esta ventana creada, y esos detalles van directamente a los ciberdelincuentes. Durante un tiempo, este esquema sigui\u00f3 siendo un experimento te\u00f3rico del investigador de seguridad. Ahora, los atacantes del mundo real lo han a\u00f1adido a sus arsenales.<\/p>\n

Robo de credenciales de Facebook<\/h2>\n

Los atacantes han dado su propio toque personal al concepto original de mr.d0x<\/em>: los golpes recientes de browser-in-the-browser han comenzado con correos electr\u00f3nicos<\/a> dise\u00f1ados para alarmar a los destinatarios. Por ejemplo, una campa\u00f1a de phishing se hizo pasar por un bufete de abogados que informaba al usuario de que hab\u00eda cometido una violaci\u00f3n de los derechos de autor al publicar algo en Facebook. El mensaje inclu\u00eda un enlace de apariencia cre\u00edble que supuestamente llevaba a la publicaci\u00f3n ofensiva.<\/p>\n

\"Correo<\/a>

Los atacantes enviaron mensajes en nombre de un bufete de abogados falso que alegaba una infracci\u00f3n de derechos de autor, con un enlace que supuestamente llevaba a la publicaci\u00f3n problem\u00e1tica en Facebook. Fuente<\/a>.<\/p><\/div>\n

Curiosamente, para bajar la guardia de la v\u00edctima, hacer clic en el enlace no abr\u00eda de inmediato una p\u00e1gina de inicio de sesi\u00f3n de Facebook falsa. En cambio, primero se encontraron con un Meta CAPTCHA falso. Solo despu\u00e9s de pasarlo, se le present\u00f3 a la v\u00edctima la ventana emergente de autenticaci\u00f3n falsa.<\/p>\n

\"Ventana<\/a>

Esta no es una ventana emergente real del navegador, es un elemento del sitio web que imita una p\u00e1gina de inicio de sesi\u00f3n de Facebook, una artima\u00f1a que permite a los atacantes mostrar una direcci\u00f3n completamente convincente. Fuente <\/a><\/p><\/div>\n

L\u00f3gicamente, la p\u00e1gina de inicio de sesi\u00f3n falsa de Facebook sigui\u00f3 el modelo de mr.d0x<\/em>: se cre\u00f3 en su totalidad con herramientas de dise\u00f1o web para recopilar las credenciales de la v\u00edctima. Mientras tanto, la URL que se muestra en la barra de direcciones falsificada apunta al sitio real de Facebook: www.facebook.com.<\/p>\n

C\u00f3mo evitar convertirte en v\u00edctima<\/h2>\n

El hecho de que los estafadores ahora est\u00e9n implementando ataques browser-in-the-browser solo demuestra que su colecci\u00f3n de trucos est\u00e1 en constante evoluci\u00f3n. Pero no desesperes, hay una manera de saber si una ventana de inicio de sesi\u00f3n es leg\u00edtima. En estos casos, un administrador de contrase\u00f1as<\/a>\u00a0es tu mejor amigo, que, entre otras cosas, act\u00faa como una prueba de seguridad fiable para cualquier sitio web.<\/p>\n

Esto se debe a que cuando se trata de autorrellenar credenciales, un administrador de contrase\u00f1as mira la URL real, no lo que parece<\/em> mostrar la barra de direcciones, o c\u00f3mo se ve la p\u00e1gina en s\u00ed. A diferencia de un usuario humano, un administrador de contrase\u00f1as<\/a>\u00a0no puede ser enga\u00f1ado con t\u00e1cticas browser-in-the-browser, ni con cualquier otro truco, como dominios que tienen una direcci\u00f3n ligeramente diferente (typosquatting) o formas de phishing ocultas en anuncios y ventanas emergentes. Hay una regla sencilla: si el administrador de contrase\u00f1as ofrece autorrellenar tu nombre de usuario y contrase\u00f1a, est\u00e1s en un sitio web para el que has guardado credenciales anteriormente. Si no ofrece nada, hay algo sospechoso.<\/p>\n

M\u00e1s all\u00e1 de eso, con nuestros consejos comprobados, podr\u00e1s defenderte contra varios m\u00e9todos de phishing, o al menos a minimizar las consecuencias si un ataque tiene \u00e9xito:<\/p>\n