“Una investigadora ha descubierto una técnica de cookiejacking que afecta a todas las versiones de Internet Explorer en Windows”

Una investigadora de seguridad ha descubierto un medio de hacerse con información sensible a partir de cookies en Internet Explorer. Esta técnica de cookiejacking podría poner en peligro las credenciales de Facebook, Gmail, Twitter o de otros servicios online, sin embargo, desde Microsoft no consideran que se trate de una amenaza real. Así que, ¿estamos ante una verdadera amenaza? ¿No hay de qué preocuparse? ¿O hay un riesgo real en todo esto?

La investigadora de seguridad Rosario Valotta ha demostrado recientemente esta técnica de cookiejacking, que afecta a todas las versiones de Internet Explorer que funcionen en cualquier versión de Windows, así que la cantidad de posibles víctimas es más que significativa.

> ¿Qué es una cookie?

Una cookie es un pequeño archivo de texto utilizado por un navegador web o aplicación para almacenar información como las preferencias de la página o las credenciales de la cuenta de usuario para acceder a la web.

> ¿Qué es cookiejacking?

La técnica explota un fallo que sobrepasa la protección de la Zona de Seguridad en Internet Explorer para permitir al atacante capturar los contenidos de las cookies que no deberían ser expuestos.

> ¿Qué está en peligro?

La mayoría de los archivos de texto contienen información que sería de poco valor. Pero si te has registrado en una página como Facebook, Twitter o Gmail, las cookies se utilizan para almacenar información de las cuentas de los usuarios necesaria para autentificarse, de modo que no tienes que introducir tu nombre y contraseña repetidamente. Si un atacante puede hacerse con estas cookies, podrían hacerse pasar por ti en tu cuenta o acceder a datos sensibles de la página o servicios afectados.

> ¿Es una amenaza seria?

El ataque no es trivial. El actual cookiejacking es simplemente una pieza de un gran puzle que requiere diferentes técnicas de ataque y engaña al usuario para que se convierta en un participante de todo ello sin saberlo.

Jerry Bryant, de Microsoft, ha minimizado la amenaza basada en la complejidad del ataque y el nivel de interacción del usuario requerido para que funcione. “Para que impacte a un usuario, éste debe visitar una página web maliciosa, ser engañado para hacer clic y arrastrar objetos en la página y el atacante necesitará dirigirse a una cookie de la página web a la que previamente haya accedido el usuario”.

Aunque todo esto es verdad, lo cierto es que muchos usuarios hacen clic en la caja que dice “mantenme conectado”, así que no tienen que introducir de nuevo sus credenciales cada vez que visitan páginas como Facebook y, de hecho, es bastante simple engañar a los usuarios para que hagan clic. Valotta creó un juego para Facebook en el que los usuarios hacían un puzle de una mujer desnuda y de ese modo consiguió las cookies de muchos de ellos.

> ¿Qué deberíamos hacer?

Sí, es cierto, no es el fin del mundo. La ejecución exitosa de un ataque cookiejacking para conseguir datos sensibles no necesita de gran cantidad de interacción por parte del usuario y, con suerte, los usuarios informados no caerán en la trampa.

La técnica cookiejacking funciona con poca cooperación del usuario y con más de 500 millones de usuarios de Facebook jugando todo tipo de estúpidos juegos, no es una exageración pensar que un significativo número de usuarios podría caer en el ataque utilizando ingeniería social.

Microsoft, por su parte, no considera que el asunto cookiejacking sea una amenaza lo suficientemente grande como para justificar una urgencia, pero al parecer está trabajando para lanzar una solución que estaría disponible en los próximos meses. Mientras tanto, no está de más tomar alguna precaución y no hacer clic en cosas solamente porque alguien te lo pide.

Fuente