Browser-in-the-browser: una nueva técnica de phishing

Te explicamos esta nueva y sutil técnica para robar contraseñas y cómo evitar caer en la trampa del phishing.

¿Qué es un ataque browser-in-the-browser?

Este término fue descrito por mr.d0x, como se hace llamar este investigador de infoseguridad y pentester. Tras percatarse de que la tecnología moderna de creación de sitios web (herramientas HTML, CSS y JavaScript) ha dado pasos tan agigantados, notó que estamos en un momento en el que es posible replicar cualquier cosa de una página: desde cambios leves en los campos de las formas y el color, hasta animaciones que imitan perfectamente los elementos móviles de la interfaz. Esto significa que un phisher puede aprovecharse de dichas circunstancias para simular una página web completa de un servicio diferente dentro de su misma web.

Para su experimento, mr.d0x comenzó fijándose en las ventanas emergentes de inicio de sesión. Sí, justo son en las que estás pensando, aquellas que aparecen cuando eliges una opción como “Iniciar sesión con Google” o “Continuar con Apple” en lugar de crear una cuenta en el sitio web. Es una opción bastante popular ya que no es necesario acordarse o pensar una nueva contraseña, ni esperar enlaces o códigos de confirmación. Además, estamos ante una vía bastante segura. Cuando das clic en el botón de Iniciar sesión con, se abre la página del servicio correspondiente en la que se introducen tus datos, y el sitio web al que se accede con esta opción nunca recibe tu contraseña, ni siquiera de manera temporal.

¿Cómo saber si la ventana de acceso es falsa?

Aunque no hay algo que nos haga levantar sospechas sobre esa supuesta ventana de inicio de sesión, hay formas de identificar si se trata de un fraude. Las ventanas de inicio de sesión reales son ventanas del navegador y actúan como tales. Puedes maximizar y minimizar, moverlas a cualquier lado de la pantalla, etc. Las ventanas emergentes falsas están vinculadas a la página en la que se encuentran. Es decir, también se puede mover y cubrir botones e imágenes, pero solo dentro de la ventana del navegador, no pueden salir de ella. Esta es la diferencia que te ayudará a identificarlas.

Para comprobar si el formulario de acceso que aparece en tu pantalla es falso, prueba primero hacer esto:

Minimiza la ventana del navegador desde la que apareció el formulario. Si el formulario de acceso que se supone que está en una ventana separada también desaparece, entonces es falso. Las ventanas reales siempre permanecen en la pantalla.

Intenta mover la ventana de inicio de sesión más allá del borde de la ventana principal. Una ventana real cruzará fácilmente, mientras que una falsa se atascará.

Definitivamente, si la ventana con el formulario de inicio de sesión se comporta de forma extraña (se minimiza con la otra ventana, se detiene debajo de la barra de direcciones o desaparece debajo de ella) es falsa y no debes introducir tus datos personales.

¿Hay alguna manera fácil de protegerme?

Tranquilo, este tipo de ataques no son tan peligrosos como pueden parecer a simple vista. Es verdad que a las personas nos puede resultar bastante complicado identificar un ataque browser-in-the-browser, pero tu computadora puede ayudarte. No importa lo que haya escrito en un sitio peligroso, la dirección real sigue siendo la misma y eso, en términos de seguridad, es lo que importa.

Asegúrate de utilizar un gestor de contraseñas para todas tus cuentas. Se encarga de verificar la dirección real de la página y nunca introducirá tus datos personales en los campos de una página desconocida, sin importar lo real y legítima que pueda parecer.

Instala una solución de seguridad fuerte con un módulo antiphishing. Esta también verificará la URL por ti y te avisará de inmediato si la página es peligrosa.

De todas formas, recuerda utilizar, siempre que puedas, la autenticación en dos pasos. De esta manera, si alguien logra robar tus datos, no iniciar sesión sin el código único que te enviarán solo a ti.

En caso de que quieras una protección más eficaz para tus cuentas más importante, te recomendamos que utilices tokens del hardware U2F (como YubiKey). Este sistema comprueba no solo la dirección de un sitio web, sino también si conoce la clave de cifrado. Por lo tanto, será imposible engañar a un sistema de autenticación de este tipo por más que el sitio original y su gemelo parezcan idénticos.

Para Katherine Barco, gerente de producto de Kaspersky B2C en Nexsys de Colombia, «implementar una solución de seguridad con altos parámetros de protección es ideal para no perder información valiosa, en Kaspersky contamos con varios tipos de software que pueden prevenir ataques dependiendo de las necesidades del consumidor».