A medida que las empresas siguen trasladando sus operaciones al navegador, los equipos de seguridad se enfrentan a un conjunto cada vez mayor de desafíos cibernéticos. De hecho, más del 80% de los incidentes de seguridad ahora se originan en aplicaciones web a las que se accede a través de Chrome, Edge, Firefox y otros navegadores. Un adversario que evoluciona con especial rapidez, Scattered Spider, se ha propuesto causar estragos en las empresas atacando específicamente los datos confidenciales de estos navegadores.

Scattered Spider, también conocida como UNC3944, Octo Tempest o Muddled Libra, ha madurado en los últimos dos años gracias a la segmentación precisa de la identidad humana y los entornos de navegación. Este cambio las diferencia de otras ciberbandas conocidas, como Lazarus Group, Fancy Bear y REvil. Si la información confidencial, como el calendario, las credenciales o los tokens de seguridad, está guardada en las pestañas del navegador, Scattered Spider puede obtenerla.

En este artículo, conocerás más detalles sobre los métodos de ataque de Scattered Spider y cómo puedes detenerlos. En general, se trata de una llamada de atención a los CISO de todo el mundo para que la seguridad de los navegadores de la organización pase de ser un control auxiliar a convertirse en un pilar central de su defensa.

Cadena de ataque de Scattered Spider centrada en el navegador

Scattered Spider evita la suplantación de identidad de gran volumen en favor de la explotación de precisión. Esto se logra aprovechando la confianza de los usuarios en la aplicación que más utilizan a diario, robando las credenciales guardadas y manipulando el tiempo de ejecución del navegador.

  • Trucos de navegador : Se utilizan técnicas como la superposición del navegador en el navegador (BitB) y la extracción automática para robar credenciales y evitar que las herramientas de seguridad tradicionales, como Endpoint Detection and Response (EDR), las detecten.
  • Robo de token de sesión : Scattered Spider y otros atacantes evitarán la autenticación multifactor (MFA) para capturar los tokens y las cookies personales de la memoria del navegador.
  • Extensiones maliciosas e inyección de JavaScript : Las cargas maliciosas se distribuyen a través de extensiones falsas y se ejecutan en el navegador mediante técnicas automáticas y otros métodos avanzados.
  • Reconocimiento basado en navegador : Las API web y el sondeo de las extensiones instaladas permiten a estos atacantes acceder a los sistemas internos críticos del mapa.

Para ver un desglose técnico completo de estas tácticas, consulta Araña dispersa dentro del navegador: rastreando hilos de compromiso.

Seguridad estratégica a nivel de navegador: un modelo para los CISO

Para contrarrestar Scattered Spider y otras amenazas avanzadas para los navegadores, los CISO deben utilizar una estrategia de seguridad de navegador de varios niveles en los siguientes dominios.

1. Detenga el robo de credenciales con la protección de scripts en tiempo de ejecución

Los ataques de suplantación de identidad existen desde hace décadas. Sin embargo, atacantes como Scattered Spider han avanzado diez veces en sus técnicas en los últimos años. Estas campañas de suplantación de identidad avanzadas ahora se basan en ejecuciones malintencionadas de JavaScript que se ejecutan directamente dentro del navegador, sin pasar por herramientas de seguridad como EDR. Esto se hace para robar las credenciales de los usuarios y otros datos confidenciales. Para bloquear correctamente las superposiciones de suplantación de identidad e interceptar patrones peligrosos que roban credenciales, las organizaciones deben implementar la protección del tiempo de ejecución de JavaScript para analizar el comportamiento. Al aplicar esta protección, los responsables de seguridad pueden impedir que los atacantes accedan y roben las credenciales antes de que sea demasiado tarde.

2. Evite la apropiación de cuentas protegiendo las sesiones

Cuando las credenciales de usuario caen en malas manos, atacantes como Scattered Spider actuarán rápidamente para secuestrar sesiones previamente autenticadas robando cookies y tokens. La mejor manera de garantizar la integridad de las sesiones del navegador es impedir que los scripts no autorizados accedan a estos artefactos delicados o extraigan estos artefactos delicados. Las organizaciones deben aplicar políticas de seguridad contextuales basadas en componentes como la posición del dispositivo, la verificación de la identidad y la confianza en la red. Al vincular los tokens de sesión al contexto, las empresas pueden evitar ataques como la apropiación de cuentas, incluso después de que las credenciales se hayan visto comprometidas.

3. Implemente el gobierno de las extensiones y bloquee los scripts no autorizados

Las extensiones de navegador se han vuelto extremadamente populares en los últimos años, y Google Chrome incluye Más de 130 000 para descargar en Chrome Web Store. Si bien pueden servir para aumentar la productividad, también se han convertido en vectores de ataque. Las extensiones malintencionadas o mal examinadas pueden solicitar permisos invasivos, inyectar secuencias de comandos malintencionadas en el navegador o actuar como sistema de distribución de la carga útil de los ataques. Las empresas deben aplicar una gestión sólida de las extensiones para permitir las extensiones previamente aprobadas con permisos validados. Igualmente importante es la necesidad de bloquear los scripts que no sean de confianza antes de que se ejecuten. Este enfoque garantiza que las extensiones legítimas permanezcan disponibles, de modo que el flujo de trabajo del usuario no se interrumpa.

4. Interrumpa el reconocimiento sin interrumpir los flujos de trabajo legítimos

Los atacantes como Scattered Spider suelen iniciar sus ataques mediante el reconocimiento del navegador. Para ello, utilizan API como WebRTC, CORS o la toma de huellas digitales para mapear el entorno. Esto les permite identificar las aplicaciones que se utilizan con frecuencia o rastrear el comportamiento específico de los usuarios. Para detener este reconocimiento, las organizaciones deben deshabilitar o reemplazar las API confidenciales por señuelos que entreguen información incorrecta al grupo atacante. Sin embargo, se necesitan políticas adaptables para evitar que se interrumpan los flujos de trabajo legítimos, que son particularmente importantes en los dispositivos BYOD y no gestionados.

5. Integre la telemetría del navegador en la inteligencia de seguridad procesable

Si bien la seguridad del navegador es la última milla de defensa contra los ataques sin malware, integrarla en una pila de seguridad existente fortalecerá toda la red. Al implementar registros de actividad enriquecidos con datos del navegador en las plataformas SIEM, SOAR e ITDR, los CISO pueden correlacionar los eventos del navegador con la actividad de los terminales para obtener una imagen mucho más completa. Esto permitirá a los equipos del SOC responder a los incidentes con mayor rapidez y respaldar mejor las actividades de búsqueda de amenazas. Hacerlo puede mejorar los tiempos de alerta ante los ataques y fortalecer la postura general de seguridad de una organización.

Casos de uso de seguridad del navegador e impactos empresariales

La implementación de la protección nativa del navegador ofrece beneficios estratégicos cuantificables.

Caso de uso Ventaja estratégica
Prevención de ataques y suplantación de identidad Detiene el robo de credenciales en el navegador antes de la ejecución
Administración de extensiones web Controle las instalaciones y las solicitudes de permisos de extensiones web conocidas y desconocidas
Habilitación segura de GenAI Implementa un acceso adaptativo, basado en políticas y sensible al contexto a las herramientas de IA generativa
Prevención de pérdida de datos Garantiza que ningún dato corporativo quede expuesto o compartido con partes no autorizadas
BYOD y seguridad para contratistas Protege los dispositivos no gestionados con controles de navegador por sesión
Refuerzo de confianza cero Trata cada sesión del navegador como un límite que no es de confianza y valida el comportamiento contextualmente
Conexión de aplicaciones Garantiza que un usuario se autentique correctamente con los niveles de protección adecuados
Acceso SaaS remoto seguro Permite una conexión segura a aplicaciones SaaS internas sin necesidad de agentes o VPN adicionales

Recomendaciones para el liderazgo en seguridad

  1. Evalúe su postura de riesgo: Usa herramientas como Browser En total™ para determinar dónde se encuentran las vulnerabilidades de los navegadores en su organización.
  2. Habilitar la protección del navegador: Implemente una solución capaz de proteger JavaScript en tiempo real, proteger mediante tokens, supervisar extensiones y realizar telemetría en Chrome, Edge, Firefox, Safari y todos los demás navegadores.
  3. Defina políticas contextuales: Aplica las reglas sobre las API web, la captura de credenciales, la instalación de extensiones web y las descargas.
  4. Intégralo con tu pila actual: Introduzca la telemetría de amenazas habilitada para el navegador en las herramientas SIEM, SOAR o EDR que ya utiliza a diario. Esto enriquecerá sus capacidades de detección y respuesta.
  5. Educa a tu equipo: Consolide la seguridad del navegador como un principio fundamental de su arquitectura Zero Trust, la protección SaaS y el acceso BYOD.
  6. Pruebe y valide de forma continua: Simula ataques reales basados en el navegador para que puedas validar tus defensas y saber dónde pueden estar tus puntos ciegos.
  7. Refuerce el acceso a la identidad en todos los navegadores: Establezca una autenticación adaptativa que valide continuamente la identidad en cada sesión.
  8. Audite regularmente las extensiones del navegador: Desarrolle procesos de revisión para realizar un seguimiento de todas las extensiones en uso.
  9. Aplique los privilegios mínimos a las API web:
  10. Restrinja las API de navegador sensibles solo a las aplicaciones empresariales que las requieren.
  11. Automatice la búsqueda de amenazas en el navegador: Aproveche la telemetría del navegador e integre los datos con su pila actual para detectar patrones sospechosos.

Reflexión final: Los navegadores como el nuevo perímetro de identidad

El grupo Scattered Spider personifica la forma en que los atacantes pueden evolucionar sus tácticas, pasando de atacar un punto final a centrarse en la aplicación más utilizada en la empresa, el navegador. Lo hacen para robar identidades, apoderarse de las sesiones y permanecer en el entorno de un usuario sin dejar rastro. Los CISO deben adaptarse y utilizar los controles de seguridad nativos del navegador para detener estas amenazas basadas en la identidad.

Invertir en una plataforma de seguridad sin problemas y que tenga en cuenta el tiempo de ejecución es la respuesta. En lugar de mostrarse reaccionarios, los equipos de seguridad pueden detener los ataques en su origen. Para todos los líderes de seguridad, la protección de los navegadores empresariales no solo sirve para mitigar los ataques como Scattered Spider, sino que también refuerza la ventana de acceso a la empresa y mejora la postura de seguridad para todas las aplicaciones de SaaS, el trabajo remoto y mucho más.

Para obtener más información sobre los navegadores empresariales seguros y cómo pueden beneficiar a su organización, habla con un experto en Seraphic .

Etiqueta de Google (gtag.js) Código Meta Pixel Código base de seguimiento de conversiones de Twitter Finalizar el código base de seguimiento de conversiones de Twitter
¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.