La autenticación multifactor agrega capas adicionales de seguridad a los servicios en la nube, pero no siempre es infalible. Actualmente, la gente está llevando a cabo ataques de transferencia de cookies para eludir MFA y obtener acceso a sus servicios en la nube. Una vez dentro, pueden robar, exfiltrar o cifrar sus datos confidenciales.
Pero, ¿qué es exactamente un ataque de transferencia de cookies, cómo funciona y qué puedes hacer para protegerte de él? Vamos a averiguar.
¿Qué es un ataque de pasar la cookie?
El uso de una cookie de sesión para eludir la autenticación se denomina ataque de paso de cookie.
Cuando un usuario intenta iniciar sesión en una aplicación web, la aplicación le pedirá que ingrese su nombre de usuario y contraseña. Si el usuario ha habilitado la autenticación multifactor, deberá enviar un factor de autenticación adicional, como un código enviado a su dirección de correo electrónico o número de teléfono.
Una vez que el usuario ha pasado la autenticación multifactor, se crea una cookie de sesión y se almacena en el navegador web del usuario. Esta cookie de sesión permite al usuario permanecer conectado en lugar de pasar por el proceso de autenticación una y otra vez cada vez que navega a una nueva página de la aplicación web.
Las cookies de sesión simplifican la experiencia del usuario, ya que el usuario no tiene que volver a autenticarse cada vez que pasa a la siguiente página de la aplicación web. Pero las cookies de sesión también suponen una grave amenaza para la seguridad.
Si alguien puede robar cookies de sesión e inyectarlas en sus navegadores, las aplicaciones web confiarán en las cookies de sesión y le otorgarán al ladrón acceso completo.
En caso de que un atacante obtenga acceso a su cuenta de Microsoft Azure, Amazon Web Services o Google Cloud, puede causar daños irreparables.
Cómo funciona un ataque de pasar la cookie
Así es como alguien lleva a cabo un ataque de pasar la cookie.
Extrayendo la cookie de sesión
El primer paso para llevar a cabo un ataque de transferencia de cookies es extraer la cookie de sesión de un usuario. Existen varios métodos que los piratas informáticos emplean para robar cookies de sesión, incluidos scripts entre sitios, phishing, ataques Man-in-the-middle (MITM) o ataques troyanos.
Hoy en día, actores maliciosos venden cookies de sesión robadas en la web oscura. Esto significa que los ciberdelincuentes no tienen que esforzarse para extraer las cookies de sesión de los usuarios. Al comprar cookies robadas, los ciberdelincuentes pueden planificar fácilmente un ataque de transferencia de cookies para obtener acceso a los datos confidenciales y a la información sensible de la víctima.
Pasando la galleta
Una vez que el infiltrado tenga la cookie de sesión del usuario, inyectará la cookie robada en su navegador web para iniciar una nueva sesión. La aplicación web pensará que un usuario legítimo está iniciando una sesión y le otorgará acceso.
Cada navegador web maneja las cookies de sesión de manera diferente. Las cookies de sesión almacenadas en Mozilla Firefox no son visibles para Google Chrome. Y cuando un usuario cierra sesión, la cookie de sesión caduca automáticamente.
Si un usuario cierra el navegador sin cerrar sesión, las cookies de sesión pueden eliminarse según la configuración de su navegador. Un navegador web no puede eliminar las cookies de sesión si el usuario ha configurado el navegador para continuar donde lo dejó. Esto significa que cerrar sesión es una forma más confiable de borrar las cookies de sesión que cerrar el navegador sin cerrar sesión en la aplicación web.
Cómo mitigar los ataques de transferencia de cookies
A continuación se muestran algunas formas de evitar ataques de transferencia de cookies.
Implementar certificados de cliente
Si desea proteger a sus usuarios de ataques de transferencia de cookies, puede ser una buena idea darles un token persistente. Y este token se adjuntará a cada solicitud de conexión al servidor.
Puede hacer que esto suceda utilizando certificados de cliente almacenados en el sistema para establecer si son quienes dicen ser. Cuando un cliente realiza una solicitud de conexión al servidor utilizando su certificado, su aplicación web utilizará el certificado para identificar el origen del certificado y determinar si se le debe permitir el acceso al cliente.
Aunque se trata de un método seguro para combatir los ataques de transferencia de cookies, sólo es adecuado para aplicaciones web que tengan un número limitado de usuarios. A las aplicaciones web con una enorme cantidad de usuarios les resulta bastante difícil implementar certificados de cliente.
Por ejemplo, un sitio web de comercio electrónico tiene usuarios en todo el mundo. Imagínese lo difícil que sería implementar certificados de cliente para cada comprador.
Agregar más contextos a las solicitudes de conexión
Agregar más contextos a las solicitudes de conexión del servidor para verificar la solicitud puede ser otra forma de evitar ataques de transferencia de cookies.
Por ejemplo, algunas empresas requieren la dirección IP de un usuario antes de otorgarle acceso a sus aplicaciones web.
Una desventaja de este método es que un atacante puede estar presente en el mismo espacio público, como un aeropuerto, una biblioteca, una cafetería u organización. En tal caso, se concederá el acceso tanto al ciberdelincuente como al usuario legítimo.
Utilice la huella digital del navegador
Si bien normalmente querrás defenderte de las huellas digitales del navegador, en realidad puede ayudarte a combatir los ataques de transferencia de cookies. La toma de huellas digitales del navegador le permite agregar más contexto a las solicitudes de conexión. Se puede utilizar información como la versión del navegador, el sistema operativo, el modelo de dispositivo del usuario, la configuración de idioma preferido y las extensiones del navegador para identificar el contexto de cualquier solicitud y garantizar que el usuario sea exactamente quien dice ser.
Las cookies han adquirido mala fama ya que se suelen utilizar para rastrear a los usuarios, pero son opciones para desactivarlas. Por el contrario, cuando implementas la huella digital del navegador como un elemento del contexto de identidad para cualquier solicitud de conexión, eliminas la opción de elección, lo que significa que los usuarios no pueden desactivar ni bloquear la huella digital del navegador.
Utilice una herramienta de detección de amenazas
El uso de una herramienta de detección de amenazas es una excelente manera de detectar cuentas que se utilizan de forma maliciosa.
Una buena herramienta de ciberseguridad escaneará proactivamente su red y le alertará sobre cualquier actividad inusual antes de que pueda causar un daño significativo.
Fortalezca la seguridad para mitigar el ataque de transferencia de cookies
Los ataques de transferencia de cookies son una grave amenaza para la seguridad. Los atacantes no necesitan conocer su nombre de usuario, contraseña ni ningún otro factor de autenticación adicional para acceder a los datos. Solo tienen que robar las cookies de su sesión y pueden ingresar a su entorno de nube y robar, cifrar o filtrar datos confidenciales.
Lo que es peor, en algunos casos, un hacker puede llevar a cabo un ataque de transferencia de cookies incluso cuando un usuario ha cerrado su navegador. Por lo tanto, resulta fundamental que tome las medidas de seguridad necesarias para evitar ataques de transferencia de cookies. Además, eduque a sus usuarios sobre los ataques de fatiga de MFA en los que los piratas informáticos envían a los usuarios una avalancha de notificaciones automáticas para desgastarlos.
