Los ataques dirigidos a los usuarios en sus navegadores web han registrado un aumento sin precedentes en los últimos años. En este artículo, analizaremos qué es un «ataque desde un navegador» y por qué está demostrando ser tan eficaz.
¿Qué es un ataque desde el navegador?
En primer lugar, es importante establecer qué es un ataque desde un navegador.
En la mayoría de los casos, los atacantes no piensan que están atacando tu navegador web. Su objetivo final es comprometer las aplicaciones y los datos de su empresa. Esto significa apostar por los servicios de terceros que ahora son la columna vertebral de la TI empresarial.
La ruta de ataque más común en la actualidad consiste en que los atacantes inician sesión en servicios de terceros, descargan los datos y los monetizan mediante la extorsión. Basta con echar un vistazo al del año pasado Copo de nieve las brechas de clientes o los ataques a Salesforce que aún continúan para ver el impacto.
La forma más lógica de hacerlo es dirigirse a los usuarios de esas aplicaciones. Además, gracias a los cambios en las prácticas de trabajo, los atacantes externos pueden acceder más que nunca a sus usuarios y están expuestos a una gama más amplia de posibles técnicas de ataque.
|
| Los ataques basados en el navegador, como el phishing AITM, ClickFix y el phishing por consentimiento, han experimentado un aumento sin precedentes en los últimos años. |
Érase una vez, el correo electrónico era el principal canal de comunicación con el resto del mundo y el trabajo se realizaba localmente, en el dispositivo y dentro de un entorno de red bloqueado. Esto convirtió al correo electrónico y a los terminales en la máxima prioridad desde el punto de vista de la seguridad.
Sin embargo, ahora que el trabajo moderno se lleva a cabo en una red de aplicaciones de Internet descentralizadas y canales de comunicación más variados fuera del correo electrónico, es más difícil impedir que los usuarios interactúen con contenido malicioso (al menos, sin impedir significativamente su capacidad para hacer su trabajo).
Dado que el navegador es el lugar donde se accede y se utilizan las aplicaciones empresariales, tiene sentido que los ataques también se estén produciendo cada vez más allí.
Los 6 ataques clave basados en el navegador que los equipos de seguridad deben conocer
1. Suplantación de identidad para credenciales y sesiones
La forma más directa para que un atacante comprometa una aplicación empresarial es estafar a un usuario de esa aplicación. Es posible que no pienses necesariamente en la suplantación de identidad como un ataque desde el navegador, pero eso es exactamente lo que es hoy en día.
Las herramientas y la infraestructura de suplantación de identidad han evolucionado mucho en la última década, mientras que los cambios en la TI empresarial significan que hay muchos más vectores para la entrega de ataques de suplantación de identidad y aplicaciones e identidades a las que atacar.
Los atacantes pueden enviar enlaces a través de aplicaciones de mensajería instantánea, redes sociales, SMS y anuncios maliciosos y utilizar la funcionalidad de mensajería integrada en la aplicación, así como enviar correos electrónicos directamente desde los servicios de SaaS para eludir las comprobaciones basadas en el correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa a las que atacar, con distintos niveles de configuración de seguridad de la cuenta.
|
| La suplantación de identidad ahora es multicanal y se dirige a una amplia gama de aplicaciones SaaS y en la nube mediante kits de herramientas flexibles de AiTM, pero todos los caminos conducen inevitablemente al navegador. |
Hoy en día, la suplantación de identidad opera a escala industrial, utilizando una variedad de técnicas de ofuscación y evasión de detección. La última generación de kits de suplantación de identidad para eludir la MFA, totalmente personalizados, ocultan de forma dinámica el código que carga la página web, implementan una protección personalizada contra bots (por ejemplo, CAPTCHA o Cloudflare Turnstile), utilizan funciones antianálisis en tiempo de ejecución y utilizan servicios SaaS y en la nube legítimos para alojar y distribuir enlaces de suplantación de identidad con el fin de ocultar sus huellas. Puede obtener más información sobre las formas en que los ataques de suplantación de identidad modernos eluden los controles de detección aquí .
Estos cambios hacen que la suplantación de identidad sea más eficaz que nunca y que sea cada vez más difícil de detectar y bloquear mediante herramientas antisuplantación de identidad basadas en el correo electrónico y la red.
2. Copiar y pegar de forma maliciosa (también conocido como. ClickFix, FileFix, etc.)
Una de las tendencias de seguridad más importantes del último año ha sido la aparición de la técnica de ataque conocida como Haga clic en Fijar .
Conocidos originalmente como «CAPTCHA falsos», estos ataques intentan engañar a los usuarios para que ejecuten comandos maliciosos en sus dispositivos, normalmente resolviendo algún tipo de desafío de verificación en el navegador.
En realidad, al resolver el desafío, la víctima está copiando código malicioso del portapapeles de la página y ejecutándolo en su dispositivo. Por lo general, proporciona a la víctima instrucciones que consisten en hacer clic en las instrucciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar de Windows, en Terminal o en PowerShell. Variantes como Solución de archivos También han surgido, que en su lugar utilizan la barra de direcciones del Explorador de archivos para ejecutar los comandos del sistema operativo, mientras que ejemplos recientes han visto cómo este ataque se ha extendido a Mac a través del terminal macOS.
Por lo general, estos ataques se utilizan para enviar malware robador de información, utilizando cookies de sesión y credenciales robadas para acceder a aplicaciones y servicios empresariales.
Al igual que la suplantación de identidad de sesión y credenciales moderna, los enlaces a páginas maliciosas se distribuyen a través de varios canales de entrega y utilizan una variedad de señuelos, como suplantar la identidad de CAPTCHA, Cloudflare Turnstile, simular un error al cargar una página web y muchos más. Muchas de las mismas protecciones que se utilizan para ocultar y evitar el análisis de las páginas de suplantación de identidad también se aplican a las páginas de ClickFix, lo que hace que sea igual de difícil detectarlas y bloquearlas.
|
| Ejemplos de señuelos ClickFix utilizados por atacantes en estado salvaje. |
3. Integraciones de OAuth maliciosas
Las integraciones malintencionadas de OAuth son otra forma en que los atacantes pueden comprometer una aplicación engañando a un usuario para que autorice una integración con una aplicación maliciosa controlada por un atacante. Esto también se conoce como suplantación de identidad .
|
| Ejemplos de suplantación de identidad por consentimiento, en los que un atacante engaña a la víctima para que autorice una aplicación controlada por el atacante con permisos riesgosos. |
Esta es una forma eficaz para que los atacantes eludan los controles de acceso y autenticación reforzados al eludir el proceso de inicio de sesión típico para hacerse con el control de una cuenta. Esto incluye métodos de autenticación automática resistentes a la suplantación de identidad (MFA) resistentes a la suplantación de identidad, como las claves de acceso, ya que no se aplica el proceso de inicio de sesión estándar.
Una variante de este ataque ha dominado los titulares recientemente con las continuas infracciones de Salesforce. En este escenario, el atacante engañó a la víctima para que autorizara una aplicación de OAuth controlada por el atacante mediante el flujo de autorización de códigos del dispositivo en Salesforce, que requiere que el usuario introduzca un código de 8 dígitos en lugar de una contraseña o un factor MFA.
|
| Los ataques de Salesforce en curso implican que se conceda acceso a aplicaciones OAuth maliciosas al inquilino de Salesforce de la víctima. |
Evitar que se autoricen las concesiones de OAuth malintencionadas requiere una administración estricta de los permisos de usuario y la configuración de seguridad de los inquilinos desde la aplicación. Esto no es fácil si tenemos en cuenta las cientos de aplicaciones que se utilizan en las empresas modernas, muchas de las cuales no son administradas de forma centralizada por los equipos de TI y seguridad (o, en algunos casos, son completamente desconocidas para ellos). Aun así, está limitado por los controles que pone a su disposición el proveedor de la aplicación.
En este caso, Salesforce ha anunciado cambios planificados en la autorización de las aplicaciones de OAuth para mejorar la seguridad provocada por estos ataques, pero existen muchas más aplicaciones con configuraciones inseguras que los atacantes podrán aprovechar en el futuro.
4. Extensiones de navegador maliciosas
Las extensiones de navegador malintencionadas son otra forma de que los atacantes pongan en peligro sus aplicaciones empresariales al observar y capturar los inicios de sesión a medida que se producen o extraer las cookies de sesión y las credenciales guardadas en la memoria caché del navegador y en el administrador de contraseñas.
Para ello, los atacantes crean su propia extensión maliciosa y engañan a los usuarios para que la instalen, o se apoderan de una extensión existente para acceder a los navegadores en los que ya está instalada. Resulta sorprendentemente fácil para los atacantes comprar y añadir actualizaciones maliciosas a las extensiones existentes , superando fácilmente los controles de seguridad de la tienda web de extensiones.
Las noticias sobre los compromisos basados en extensiones han ido en aumento desde que la extensión de Cyberhaven fue hackeada en diciembre de 2024, junto con al menos otras 35 extensiones. Desde entonces, se han identificado cientos de extensiones maliciosas, con millones de instalaciones.
Por lo general, sus empleados no deberían instalar extensiones de navegador de forma aleatoria a menos que su equipo de seguridad las apruebe previamente. Sin embargo, la realidad es que muchas organizaciones tienen muy poca visibilidad de las extensiones que utilizan sus empleados y del riesgo potencial al que están expuestos en consecuencia.
5. Entrega de archivos malintencionados
Los archivos maliciosos han sido una parte fundamental de la entrega de malware y el robo de credenciales durante muchos años. Del mismo modo que otros canales que no son el correo electrónico, como la publicidad maliciosa y los ataques clandestinos, se utilizan para enviar mensajes de suplantación de identidad (suplantación de identidad) y ClickFix, los archivos maliciosos también se distribuyen por medios similares: dejar que la detección de archivos maliciosos se dedique a las comprobaciones básicas de errores, al análisis de entornos aislados mediante un proxy (lo que no resulta tan útil en el contexto del malware compatible con entornos aislados) o al análisis del tiempo de ejecución de los terminales.
No solo tienen que ser ejecutables maliciosos que arrojan malware directamente al dispositivo. Las descargas de archivos también pueden contener enlaces adicionales que lleven al usuario a contenido malintencionado. De hecho, uno de los tipos de contenido descargable más comunes son las aplicaciones HTML (HTA), que se suelen utilizar para generar páginas de suplantación de identidad locales con el fin de capturar las credenciales de forma sigilosa. Más recientemente, los atacantes han utilizado como arma los archivos SVG con un propósito similar, ejecutándolos como páginas de suplantación de identidad independientes que convierten los portales de inicio de sesión falsos exclusivamente en el lado del cliente.
Incluso si el contenido malintencionado no siempre se puede marcar al inspeccionar un archivo a nivel de superficie, el registro de las descargas de archivos en el navegador es un complemento útil para la protección contra el malware basada en terminales y proporciona otro nivel de defensa contra las descargas de archivos que realizan ataques del lado del cliente o redirigen al usuario a contenido malintencionado basado en la web.
6. Credenciales robadas y brechas de MFA
Este último no es tanto un ataque basado en el navegador, sino que es un producto de ellos. Cuando se roban credenciales mediante software malicioso de suplantación de identidad o robo de información, se pueden utilizar para apoderarse de cuentas que carecen de MFA.
Este no es el ataque más sofisticado, pero es muy efectivo. Basta con mirar el del año pasado Copo de nieve compromisos de cuenta o el Jira ataques a principios de este año para ver cómo los atacantes aprovechan las credenciales robadas a gran escala.
Dado que las empresas modernas utilizan cientos de aplicaciones, la probabilidad de que una aplicación no se haya configurado para la MFA obligatoria (si es posible) es alta. E incluso cuando una aplicación se haya configurado para el inicio de sesión único y se haya conectado a tu identidad corporativa principal, los «inicios de sesión fantasmas» locales pueden seguir existiendo , aceptando contraseñas sin necesidad de MFA.
Los inicios de sesión también se pueden observar en el navegador; de hecho, es lo más parecido a una fuente universal de información veraz sobre cómo inician sesión sus empleados, qué aplicaciones utilizan y si existe MFA, lo que permite a los equipos de seguridad encontrar y corregir los inicios de sesión vulnerables antes de que los atacantes puedan aprovecharlos.
Conclusión
Los ataques se producen cada vez más en el navegador. Esto lo convierte en el lugar perfecto para detectar y responder a estos ataques. Pero ahora mismo, el navegador es un punto ciego para la mayoría de los equipos de seguridad.
La plataforma de seguridad basada en navegador de Push Security proporciona capacidades integrales de detección y respuesta contra la principal causa de infracciones. Push bloquea los ataques basados en el navegador, como la suplantación de identidad basada en AiTM, el robo de credenciales, la ocultación de contraseñas y el secuestro de sesiones mediante tokens de sesión robados. También puedes usar Push para detectar y corregir vulnerabilidades en las aplicaciones que utilizan tus empleados, como los inicios de sesión fantasma, las brechas de cobertura del SSO, las brechas de MFA, las contraseñas vulnerables, las integraciones riesgosas de OAuth y más, para reforzar la superficie de los ataques de identidad.
Si quieres obtener más información sobre cómo Push te ayuda a detectar y detener los ataques en el navegador, echa un vistazo a nuestro último resumen de productos o reserve algo de tiempo con un miembro de nuestro equipo para una demostración en vivo .