Alguien no necesita saber sus contraseñas si en su lugar roba con éxito las cookies de su navegador.
La autenticación multifactor agrega capas adicionales de seguridad a los servicios en la nube, pero no siempre es infalible. La gente ahora está llevando a cabo ataques de paso de cookies para sortear MFA y obtener acceso a sus servicios en la nube. Una vez que ingresan, pueden robar, exfiltrar o cifrar sus datos confidenciales.
Pero, ¿qué es exactamente un ataque pass-the-cookie, cómo funciona y qué puede hacer para protegerse de él? Vamos a averiguar.
¿Qué es un ataque Pass-the-Cookie?
El uso de una cookie de sesión para eludir la autenticación se denomina ataque de pasar la cookie.
Cuando un usuario intenta iniciar sesión en una aplicación web, la aplicación le pedirá al usuario que ingrese su nombre de usuario y contraseña. Si el usuario ha habilitado la autenticación multifactor, deberá enviar un factor de autenticación adicional, como un código enviado a su dirección de correo electrónico o número de teléfono.
Una vez que el usuario ha pasado la autenticación multifactor, se crea una cookie de sesión y se almacena en el navegador web del usuario. Esta cookie de sesión permite que el usuario permanezca conectado en lugar de pasar por el proceso de autenticación una y otra vez cada vez que navega a una nueva página de la aplicación web.
Las cookies de sesión simplifican la experiencia del usuario, ya que el usuario no tiene que volver a autenticarse cada vez que pasa a la siguiente página de la aplicación web. Pero las cookies de sesión también representan una grave amenaza para la seguridad.
Si alguien puede robar cookies de sesión e inyectar esas cookies en sus navegadores, las aplicaciones web confiarán en las cookies de sesión y otorgarán al ladrón acceso completo.
En caso de que un atacante obtenga acceso a su cuenta de Microsoft Azure, Amazon Web Services o Google Cloud, puede causar daños irreparables.
Cómo funciona un ataque Pass-the-Cookie
Así es como alguien lleva a cabo un ataque de pasar la galleta.
Extracción de la cookie de sesión
El primer paso para llevar a cabo un ataque pass-the-cookie es extraer la cookie de sesión de un usuario. Existen varios métodos que emplean los piratas informáticos para robar cookies de sesión, incluidos secuencias de comandos entre sitios, suplantación de identidad, Ataques de intermediario (MITM), o ataques troyanos.
Los actores maliciosos venden cookies de sesión robadas en la web oscura en estos días. Esto significa que los ciberdelincuentes no tienen que esforzarse para extraer las cookies de sesión de los usuarios. Al comprar cookies robadas, los ciberdelincuentes pueden planear fácilmente un ataque pass-the-cookie para obtener acceso a los datos confidenciales e información confidencial de la víctima.
Pasando la galleta
Una vez que el infiltrado tiene la cookie de sesión del usuario, inyectará la cookie robada en su navegador web para iniciar una nueva sesión. La aplicación web pensará que un usuario legítimo está iniciando una sesión y otorgará acceso.
Cada navegador web maneja las cookies de sesión de manera diferente. Las cookies de sesión almacenadas en Mozilla Firefox no son visibles para Google Chrome. Y cuando un usuario cierra sesión, la cookie de sesión caduca automáticamente.
Si un usuario cierra el navegador sin cerrar sesión, las cookies de sesión pueden eliminarse según la configuración de su navegador. Un navegador web no puede eliminar las cookies de sesión si el usuario ha configurado el navegador para continuar donde lo dejó. Esto significa que cerrar sesión es un medio más confiable para borrar las cookies de sesión que cerrar el navegador sin cerrar sesión en la aplicación web.
Cómo mitigar los ataques Pass-the-Cookie
Aquí hay algunas formas de prevenir los ataques de pasar la cookie.
Implementar certificados de cliente
Si desea proteger a sus usuarios de los ataques pass-the-cookie, puede ser una buena idea darles un token persistente. Y este token se adjuntará a cada solicitud de conexión del servidor.
Puede hacer que esto suceda utilizando certificados de clientes almacenados en el sistema para establecer si son quienes dicen ser. Cuando un cliente realiza una solicitud de conexión al servidor usando su certificado, su aplicación web usará el certificado para identificar el origen del certificado y determinar si se debe permitir el acceso al cliente.
Aunque este es un método seguro para combatir los ataques de paso de cookies, solo es adecuado para aplicaciones web que tienen un número limitado de usuarios. Las aplicaciones web con una enorme cantidad de usuarios encuentran bastante desafiante implementar certificados de cliente.
Por ejemplo, un sitio web de comercio electrónico tiene usuarios en todo el mundo. Imagínese lo difícil que sería implementar certificados de cliente para cada comprador.
Agregar más contextos a las solicitudes de conexión
Agregar más contextos a las solicitudes de conexión del servidor para verificar la solicitud puede ser otra forma de evitar ataques de pasar la cookie.
Por ejemplo, algunas empresas requieren la dirección IP de un usuario antes de otorgar acceso a sus aplicaciones web.
Una desventaja de este método es que un atacante puede estar presente en el mismo espacio público, como un aeropuerto, una biblioteca, una cafetería o una organización. En tal caso, tanto el ciberdelincuente como el usuario legítimo tendrán acceso.
Usar huellas dactilares del navegador
Si bien es posible que normalmente desee defenderse de las huellas dactilares del navegador, en realidad puede ayudarlo a combatir los ataques de pasar la cookie. La toma de huellas dactilares del navegador le permite agregar más contexto a las solicitudes de conexión. Información como la versión del navegador, el sistema operativo, el modelo de dispositivo del usuario, la configuración de idioma preferida y las extensiones del navegador se pueden usar para identificar el contexto de cualquier solicitud para garantizar que el usuario sea exactamente quien afirma ser.
Las cookies han adquirido un mal nombre ya que a menudo se utilizan para rastrear a los usuarios, pero son opciones para deshabilitarlas. Por el contrario, cuando implementa la toma de huellas dactilares del navegador como un elemento del contexto de identidad para cualquier solicitud de conexión, elimina la opción de elección, lo que significa que los usuarios no pueden deshabilitar o bloquear el navegador toma de huellas dactilares
El uso de una herramienta de detección de amenazas es una excelente manera de detectar cuentas que se utilizan de forma malintencionada.
Una buena herramienta de ciberseguridad escaneará proactivamente su red y lo alertará sobre cualquier actividad inusual antes de que pueda causar un daño significativo.
Fortalecer la seguridad para mitigar el ataque Pass-the-Cookie
Los ataques Pass-the-Cookie son una grave amenaza para la seguridad. Los atacantes no tienen que conocer su nombre de usuario, contraseña ni ningún otro factor de autenticación adicional para acceder a los datos. Solo tienen que robar sus cookies de sesión y pueden ingresar a su entorno de nube y robar, cifrar o filtrar datos confidenciales.
Lo que es peor, en algunos casos, un pirata informático puede llevar a cabo un ataque de pasar la cookie incluso cuando el usuario ha cerrado su navegador. Por lo tanto, se vuelve crucial que tome las medidas de seguridad necesarias para evitar ataques de paso de cookies. Además, eduque a sus usuarios sobre los ataques de fatiga de MFA en los que los piratas informáticos envían a los usuarios un aluvión de notificaciones automáticas para desgastarlos.
