Browser-in-the-browser: una nueva técnica de phishing

Te explicamos esta nueva y sutil técnica para robar contraseñas y cómo evitar caer en la trampa del phishing.

En su incansable búsqueda de credenciales, contraseñas y todo tipo de información valiosa, los ciberdelincuentes están inventando constantemente nuevas formas de engañar a la gente. Normalmente, y por muy sofisticadas que sean estas estrategias, todas van dirigidas a un mismo tipo de usuarios: aquellos que bajan la guardia. Con solo prestar atención a algunos aspectos -empezando por la dirección del sitio web en el que te piden que introduzcas tus credenciales- no serás víctima del phishing.

O, al menos, casi siempre suele ser así. Pero hoy queremos hablarte de un ataque que funciona de manera diferente. Sí, con una URL que, a simple vista, parece correcta y segura para la víctima. Veamos.

¿Por qué hay errores en las direcciones de los sitios de phishing?

Cada uno de los dominios que se ven en la barra de direcciones de un navegador es único y siempre se asigna a un propietario. Es decir, si alguien quiere crear un sitio web y que este aparezca en los buscadores, lo primero que tiene que hacer es ponerse en contacto con una empresa que, entre sus servicios, se encuentre el registro de dominios en internet. Si el nombre del dominio está disponible, previa comprobación en una base de datos internacional, se le asigna al solicitante.

Y, ¿qué significa esto? Pues algo tan sencillo como que es imposible registrar un sitio web falso con la misma dirección que un sitio web real. Pero, y aquí está la clave, es muy posible crear un dominio muy parecido al de otra persona eligiendo una zona de dominio similar: por ejemplo, Colombia (.co) en lugar de Canadá (.ca). Sin embargo, aunque es muy fácil caer, también es muy fácil de detectar: basta con mirar bien la dirección.

Pero sería demasiado fácil, ¿verdad? Por eso, en lugar de registrar dominios, a estas mentes maravillosas se les ha ocurrido la idea de simular una ventana del navegador con la dirección de un sitio de confianza que aparece en una página.

¿Qué es un ataque browser-in-the-browser?

Este término fue descrito por mr.d0x, como se hace llamar este investigador de infoseguridad y pentester. Se dio cuenta de que la tecnología moderna de creación de sitios web (herramientas HTML, CSS y JavaScript) ha dado pasos tan agigantados que estamos en un punto en el que se puede replicar prácticamente cualquier cosa de una página: desde pequeños cambios en los campos de color o forma hasta animaciones que imitan a la perfección los componentes móviles de la interfaz.

Esto significa que un phisher puede aprovechar estas circunstancias para simular una página completa de un servicio diferente dentro de su propia web.

Para su experimento, mr.d0x empezó fijándose en las ventanas emergentes de inicio de sesión. Sí, son justo en las que estás pensando, estas ventanas que aparecen cuando eliges una opción como “Iniciar sesión con Google” o “Continuar con Apple” en lugar de crear una cuenta en el sitio web.

Es una opción bastante recurrente ya que no es necesario pensar ni recordar una nueva contraseña ni esperar enlaces ni códigos de confirmación. Además, estamos ante una vía bastante segura.

Cuando pulsas el botón de Iniciar sesión con, se abre la página del servicio correspondiente en la que se introducen las credenciales, y el sitio web al que se accede con esta opción nunca recibe la contraseña, ni siquiera temporalmente.

Así se ve una ventana de inicio de sesión real para un servicio de terceros

Así se ve una ventana de inicio de sesión real para un servicio de terceros

Y, ¿cómo se introduce el ataque? Sería algo así: los ciberdelincuentes registran un sitio web utilizando la clásica técnica de phishing de clonar un sitio real.

También es común que opten por una dirección atractiva o por contenido que pueda atraer a las víctimas: ofertas de compra, oportunidades laborales o noticias que llamen la atención del usuario.

Todo está pensado: si quieres comprar ese objeto, solicitar la oferta de trabajo o comentar esa noticia, tienes que iniciar sesión mediante los botones que supuestamente permiten hacerlo a través de los servicios convencionales desde los que se quieren obtener las contraseñas.

Al hacer clic en ese botón, las víctimas verán la clásica ventana de inicio de sesión con la que están más que familiarizadas. Microsoft, Google, Apple… todas con su dirección, logotipo y los campos que están acostumbradas a ver. Hasta pueden mostrar las direcciones correctas cuando los usuarios pasen el ratón por encima del botón de “Iniciar sesión” y el enlace “He olvidado la contraseña”.

Obviamente, si introduces tus credenciales en esta ventana, no irán ni a Microsoft, ni a Google, ni a Apple, sino directamente al servidor del ciberdelincuente. Todo está programado para que el ataque se produzca justo en la página que intenta engañar al usuario. Aquí puedes ver el aspecto que puede tener esto.

¿Cómo saber si la ventana de acceso es falsa?

Aunque no hay nada que nos haga sospechar en esa supuesta ventana de inicio de sesión, hay formas de identificar si se trata de un fraude. Las ventanas de inicio de sesión reales son ventanas del navegador y actúan como tales. Puedes maximizar y minimizar, moverlas a cualquier lugar de la pantalla, etc. Las ventanas emergentes falsas están vinculadas a la página en la que se encuentran. Es decir, también se puede mover y cubrir botones e imágenes, pero solo dentro de la ventana del navegador, no pueden salir de ella. Esta es la diferencia que te ayudará a identificarlas.

Para comprobar si el formulario de acceso que aparece en tu pantalla es falso, prueba antes a hacer esto:

•  Minimiza la ventana del navegador desde la que apareció el formulario. Si el formulario de acceso que se supone que está en una ventana separada también desaparece, entonces es falso. Las ventanas reales permanecen siempre en la pantalla.

•  Intenta mover la ventana de inicio de sesión más allá del borde de la ventana principal. Una ventana real cruzará fácilmente, una falsa se quedará atascada.

En definitiva, si la ventana con el formulario de inicio de sesión se comporta de forma extraña (se minimiza con la otra ventana, se detiene debajo de la barra de direcciones o desaparece debajo de ella) es falsa y no deberías introducir tus credenciales.

¿Hay alguna manera fácil de protegerme?

Tranquilo, este tipo de ataques no son tan peligrosos como pueden parecer a simple vista. Es cierto que a las personas nos puede resultar bastante complicado detectar un ataque “browser-in-the-browser”, pero tu ordenador puede ayudarte. No importa lo que haya escrito en un sitio peligroso, la dirección real sigue siendo la misma y eso, en términos de seguridad, es lo que importa.

Asegúrate de utilizar un gestor de contraseñas para todas tus cuentas. Este verifica la dirección real de la página y nunca introducirá tus credenciales en los campos de un sitio desconocido, por muy real y legítimo que parezca.
• Instala una solución de seguridad fuerte con un módulo antiphishing. Esta también verificará la URL por ti y te avisará inmediatamente si una página es peligrosa.

Aun así, recuerda utilizar, siempre que sea posible, la autenticación en dos pasos. Así, si alguien logra hacerse con tus credenciales, no podrá acceder a tu cuenta sin el código único que te enviarán solamente a ti.

En caso de que quieras una protección más eficaz para tus cuentas más valiosas, te recomendamos que utilices tokens del hardware U2F (como YubiKey). Este sistema comprueba no solo la dirección de un sitio web, sino también si conoce la clave de cifrado. Por lo tanto, resultará imposible engañar a un sistema de autenticación de este tipo por mucho que el sitio original y su gemelo parezcan idénticos.

Consejos