Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
965
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
mayo
(Total:
105
)
- Google deja sin soporte el popular ChromeCast de p...
- Abogados usaron ChatGPT para demandar a una aerolí...
- Ya disponible para descargar: Kali Linux 2023.2
- Le robaron 200€ y acabó denunciado por compartir e...
- Las discográficas culpan a la Wikipedia de sus pér...
- Discos Duros WD para NAS Synology "caducan" a los ...
- Colapsan "The Internet Archive" por culpa del entr...
- Cómo usar Generative Fill, la inteligencia artific...
- Un abogado se enfrenta a sanciones por usar ChatGP...
- Elon Musk ya tiene autorización para probar implan...
- Un simple enlace de WhatsApp cuelga la aplicación ...
- El algoritmo de la activación de Windows XP ha sid...
- Predator, otro spyware mercenario
- Una app de Android grabó audio de sus usuarios en ...
- El malware QBot utiliza del EXE de WordPad en Wind...
- Cómo funciona el procesador de un PC
- El ataque "Hot Pixel" podría robar datos de chips ...
- Microsoft desvela un ataque informático chino a in...
- Microsoft presenta Windows 11 ‘Momentos 3’
- ¿Qué es NIS2 y cómo afecta a la Ciberseguridad en ...
- Videollamadas con la cara y la voz clonada de tu m...
- Podman Desktop 1.0, primera versión mayor de la he...
- Una explosión en el Pentágono creada por inteligen...
- Amouranth ya tiene un chatbot erótico y de pago ge...
- Windows 11 integra nuevo asistente de inteligencia...
- La Audiencia Nacional de España deja en libertad ...
- BugCheck2Linux: Ejecuta Linux después de una panta...
- España pretende prohibir el cifrado de extremo a e...
- Así revelan las apps de Android nuestros secretos ...
- WhatsApp ya permite editar mensajes enviados duran...
- Millones de televisores Android TV y teléfonos bar...
- China prohíbe la compra de los microchips de la es...
- Intel propone eliminar definitivamente los 32 y 16...
- Teléfonos Android son vulnerables a los ataques de...
- CVE-2023-27363: Prueba de concepto para ejecución ...
- Secure Boot, la característica de seguridad de UEFI
- PMFault, una vulnerabilidad que permite dañar físi...
- Meta recibe la mayor multa de la historia de la Un...
- Zero trust: la desconfianza por defecto como clave...
- Apple emite parches de emergencia para Safari (vul...
- Vulnerabilidad en Keepass permite obtener la contr...
- Twitter acusa a Microsoft de usar sus datos de man...
- Microsoft tardará casi un año en terminar de parch...
- El CEO de ChatGPT dice en el Senado de EE.UU que «...
- Los peligros de los nuevos dominios .zip registrad...
- WARP, la VPN gratuita de CloudFlare
- Actualización de seguridad 6.2.1 para WordPress
- Mojo, el nuevo lenguaje de programación creado por...
- En 15 minutos un iPhone podrá hablar con tu voz
- La IA la vuelve a liar: las imágenes de la Ministr...
- Microsoft está escaneando archivos ZIP protegidos ...
- Google eliminará las cuentas que lleven dos años i...
- EE.UU. ofrece una recompensa de 10 millones por la...
- WhatsApp introduce el bloqueo de Chats con contras...
- Euskaltel víctima de un hackeo con robo de 3TB dat...
- LTESniffer, una herramienta open source para inter...
- Alternativas RaspBerry Pi: Orange Pi 5 Plus y Bana...
- Youtuber confiesa que estrelló su avioneta para co...
- Directivo empresa unidades flash pronostica el fin...
- Elon Musk elige a Linda Yaccarino, exdirectora de ...
- Alternativas gratuitas a Photoshop
- El código fuente filtrado de Babuk permite crear n...
- Toyota expone los datos de localización de 2 millo...
- Maltego, la herramienta para recopilar información...
- Cuidado con falsa pantalla de actualizaciones de W...
- El Ayuntamiento de Madrid alertó de multas falsas ...
- uBlock Origin, el complemento más popular del nave...
- YouTube no permite ver vídeos a los usuarios que u...
- Cómo solucionar problemas y recuperar con el Inici...
- Google realiza en su buscador el mayor cambio de t...
- WhatsApp activa el micrófono sin tu permiso por cu...
- Detenidos en España miembros de los Trinitarios ac...
- PlugWalkJoe: el ermitaño que hackeó Twitter se enf...
- Así se las ingenia este usuario para conseguir pen...
- Multan con 200 mil € al Mobile World Congress de B...
- Golpe histórico del FBI a ciberdelincuentes rusos:...
- El FBI incauta 13 dominios utilizados para vender ...
- La Policía española investiga si Alcasec y su soci...
- Disponible distro Parrot OS 5.3 con Linux 6.1 y MA...
- La polícia de San Bernardino (California) paga el ...
- Amazon se llena de reseñas falsas generadas con Ch...
- Rusia usó WinRAR para borrar ficheros a Ucrania en...
- El padre de Elon Musk confirma la existencia de su...
- Detenido por pedir un préstamo suplantando la iden...
- Discord te obligará a cambiar tu nombre de usuario
- QR, bluetooth y criptografía: esta es la idea de G...
- Ataques de DLL sideloading o Hijacking
- Google anuncia el Pixel Fold, su primer móvil pleg...
- Día mundial de las contraseñas
- Resultados financieros de Apple: récord ingresos i...
- Apple estrena los parches de respuesta de segurida...
- Gmail activa los emails verificados con una insign...
- Google dice que solo el 11% entienden el significa...
- FaulTPM es una vulnerabilidad que afecta a los pro...
- La Generalitat Cataluña quiere grabar hasta lo que...
- Apple y Google trabajan para evitar la localizació...
- Herramientas para detectar typosquatting
- Las cuentas de Google admiten claves de acceso y y...
- ProtonPass, el nuevo gestor de contraseñas con cif...
- El 'padrino' de la IA deja Google y avisa de los p...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Loki es un sistema de agregación de logs creado por GrafanaLabs, es escalable horizontalmente, puede contar con alta disponibilidad y está i...
-
Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git , esté e...
El robo de cookies, el método favorito para eludir 2FA
Cada vez se está utilizando más el robo de los códigos y/o datos que se
generan cuando un usuario inicia sesión dentro de una plataforma web
para eludir la autenticación multifactor (MFA) y obtener acceso a los
recursos corporativos.
A medida que las organizaciones se trasladan a los servicios en la nube y la autenticación multifactor, las cookies vinculadas a la identidad y la autenticación brindan a los atacantes una nueva vía para comprometer
En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de sistemas comprometidos dentro de una red y usan programas ejecutables legítimos para disfrazar la actividad maliciosa. Una vez que los atacantes obtienen acceso a los recursos corporativos basados en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance, como el hecho de comprometer la red de correo electrónico comercial, con ingeniería social para obtener acceso adicional al sistema e incluso la modificación de los repositorios de datos o código fuente.
¿Qué son las ‘cookies’?
Las cookies de sesión o autenticación son datos almacenados por un navegador web cuando un usuario inicia sesión. Si los atacantes los obtienen, pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.
Dado que un token también se crea y almacena en un navegador web cuando se usa la autenticación multifactor (MFA, por sus siglas en inglés), este mismo ataque se puede usar para eludir esta capa adicional de autenticación. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan; otras solo caducan si el usuario se desconecta específicamente del servicio.
La última versión de la red de bots Emotet es sólo una de las muchas familias de malware que tienen como objetivo las cookies y otras credenciales almacenadas por los navegadores, como los inicios de sesión almacenados y (en algunos casos) los datos de las tarjetas de pago. El navegador Chrome de Google utiliza el mismo método de cifrado para almacenar las cookies de autenticación multifactor y los datos de las tarjetas de crédito, ambos objetivos de Emotet.
El abanico de ciberdelincuentes que atacan las cookies es amplio. En el extremo inferior de la gama de la ciberdelincuencia, el malware de robo de información, como el malware como servicio Raccoon Stealer y el keylogger/robador de información RedLine Stealer (ambos pueden comprarse a través de foros clandestinos) son utilizados a menudo por los ciberdelincuentes de nivel básico para recopilar cookies y otras credenciales al por mayor para su venta en los mercados delictivos.
Uno de estos mercados, Genesis , supuestamente fue el origen de una cookie perteneciente a un empleado del desarrollador de juegos Electronic Arts. Los miembros del grupo de extorsión Lapsus$ afirmaron haber comprado una cookie de sesión robada en el mercado, lo que les dio acceso a la instancia de Slack de EA; eso les permitió falsificar un inicio de sesión existente de un empleado de EA y engañar a un miembro del equipo de TI de EA para que les proporcionara acceso a la red. Esto permitió a Lapsus$ hacerse con 780 gigabytes de datos, incluido el código fuente del motor gráfico y del juego, que el grupo utilizó para intentar extorsionar a EA.
Robando cookies
Los navegadores almacenan las cookies en un archivo; para Mozilla Firefox, Google Chrome y Microsoft Edge, el archivo es una base de datos SQLite en la carpeta del perfil del usuario. (Archivos SQLite similares almacenan el historial del navegador, los inicios de sesión en sitios web y la información de autorrelleno en estos navegadores). Otras aplicaciones que se conectan a servicios remotos tienen sus propios repositorios de cookies, o en algunos casos acceden a los de los navegadores web.
El contenido de cada cookie en la base de datos es una lista de parámetros y valores, un almacén de clave-valor que identifica la sesión del navegador al sitio web remoto, incluyendo en algunos casos un token pasado por el sitio al navegador tras la autenticación del usuario. Uno de estos pares clave-valor especifica la caducidad de la cookie, es decir, cuánto tiempo es válida antes de que deba ser renovada.
El motivo del robo de cookies es sencillo: las cookies asociadas a la autenticación de los servicios web pueden ser utilizadas por los atacantes en ataques de “pasar la cookie”, intentando hacerse pasar por el usuario legítimo al que se emitió originalmente la cookie y obtener acceso a los servicios web sin tener que iniciar de sesión. Esto es similar a los ataques “pass the hash”, que utilizan hashes de autenticación almacenados localmente para obtener acceso a los recursos de la red sin tener que descifrar las contraseñas.
Muchas aplicaciones basadas en la web realizan comprobaciones adicionales para evitar la falsificación de sesiones, como la comprobación de la dirección IP de la solicitud con respecto al lugar donde se inició la sesión. Pero si las cookies son usadas por un atacante desde la misma red, este tipo de medidas puede no ser suficiente para detener la explotación. Además, es posible que las aplicaciones creadas para una combinación de uso en ordenadores de sobremesa y móviles no utilicen la geolocalización de forma tan sistemática.Manteniendo el control sobre las cookies
Estos tres ejemplos representan sólo una parte del espectro de la ciberdelincuencia que roba cookies. El malware que roba información incluye cada vez más el robo de cookies como parte de su funcionalidad, y el éxito de los mercados que hacen de la venta de cookies robadas un negocio viable. Pero los atacantes más centrados también tienen como objetivo las cookies, y sus actividades pueden no ser detectadas por las simples defensas antimalware debido a su abuso de los ejecutables legítimos, tanto los ya presentes como los traídos como herramientas.
El robo de cookies no sería una amenaza tan grande si las cookies de acceso de larga duración no fueran utilizadas por tantas aplicaciones. Slack, por ejemplo, utiliza una combinación de cookies persistentes y de sesión para comprobar la identidad y autenticación de los usuarios. Mientras que las cookies de sesión se borran cuando se cierra el navegador, algunas de estas aplicaciones (como Slack) permanecen abiertas indefinidamente en algunos entornos. Estas cookies pueden no expirar lo suficientemente rápido como para evitar que alguien las explote si son robadas. Los tokens de inicio de sesión único asociados a algunas autenticaciones multifactoriales pueden suponer la misma amenaza potencial si los usuarios no cierran las sesiones.
Fuentes:
https://news.sophos.com/es-419/2022/08/22/robo-de-cookies-la-nueva-violacion-del-perimetro-2/
2 comentarios :
Que navegadores se recomiendan dado el secuestro y explotación de cookies que no almacenen dichos inicios de sesión?
Todos los navegadores guardan cookies... el secreto es que no te infecten con algún malware para robarte las cookies de inicio de sesión, el navegador no tiene ninguna culpa
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.