Robo de cookies: qué son y por qué tiene tanto valor para los cibercriminales

Robo de cookies: qué son y por qué tiene tanto valor para los cibercriminales

José Antonio Lorenzo

Cuando navegamos por Internet muchas son las amenazas que pueden poner en peligro nuestros quipos. Cada vez que visitamos un sitio web se genera un pequeño archivo llamado «cookie», que se guarda en nuestro ordenador. Las cookies, al recordar el historial de los usuarios y otra información adicional, ayudan a los sitios web a mejorar sus productos y servicios. Los ciberdelincuentes, gracias a la información extra que se almacena una cookie como el de inicio de sesión de cuentas y más pueden sacar beneficios. Por ese motivo, el robo de cookies es valioso para los piratas informáticos.

Qué es una cookie y para qué se utiliza

Una cookie podríamos definirla como un archivo con información enviada por un sitio web que se guarda en nuestro navegador. La finalidad es que el sitio web puede consultar la actividad previa y le indican, entre otras cosas, que un usuario la ha visitado con anterioridad.

Las cookies tienen dos funciones. La primera es recordar el acceso, en ese sentido, se acuerda de nuestras preferencias y nos muestra o no cierto contenido. Además, si un usuario introduce su nombre de usuario y contraseña, se guarda en la cookie para que no tenga que estar poniéndola cada vez que accedamos a ese sitio web. La segunda función es que permite conocer información respecto a nuestros hábitos de navegación. El problema está en que a veces, pueden causar problemas relacionados con la privacidad.

Las cookies también rastrean el comportamiento de los internautas, lo que ayuda a las empresas para que nos muestren unos anuncios más personalizados.

Además, todas las cookies de un página web almacenan la información de sus usuarios en forma de datos hash. A partir del momento en que los datos tienen hash, únicamente desde sitio web de origen se pueden leer. Esto sucede así porque la página web usa un algoritmo único para codificar y decodificar los datos hash. En el caso de que un ciberdelincuente conociese el algoritmo hash de ese sitio web, a partir de ese momento los datos de ese usuario pueden estar comprometidos.

Qué es el robo de cookies

El robo de cookies o el raspado de cookies (Cookie Scraping) también se le denomina como secuestro de sesión o secuestro de cookies. En este ataque, el atacante se apodera de la sesión del usuario. Una sesión comienza cuando un usuario inicia sesión en un servicio en particular, por ejemplo, banca por Internet, y finaliza cuando cierra la sesión. El ataque se basa en cuánto conocimiento tiene el pirata informático sobre las cookies de sesión de los usuarios.

En muchas situaciones, cuando un internauta inicia sesión en una aplicación web, el servidor establece una cookie de sesión temporal en el navegador web. Gracias a esta cookie de sesión temporal, sabemos que ese usuario concreto está conectado una sesión en particular. Hay que señalar que un secuestro de sesión exitoso sólo se se va a producir cuando el ciberdelincuente conoce la clave de sesión de la víctima o el ID de sesión. Así, en el caso de que pueda robar las cookies de sesión, puede hacerse cargo de la sesión del usuario. También una manera diferente de robar las cookies del usuario es obligarlo a hacer clic en algún enlace malicioso.

Hacker-Ciberdelincuente

Por otra parte, una opción que nos podríamos plantear para evitar el robo de cookies, sería que nuestro navegador bloqueara todas las cookies. En el caso que se pretenda navegar, simplemente podría ser una opción a considerar. Sin embargo, si queremos usar servicios como el e-mail, participar en foros etc. va a requerir que utilicemos cookies. Por lo tanto, en la mayoría de situaciones para poder utilizar todo, para ganar en comodidad y que se guarden nuestras preferencias, no nos va quedar más remedio que utilizar cookies.

Procedimientos y técnicas para el robo de cookies y secuestro de sesiones

Un atacante tiene muchas formas para el robo de cookies o el secuestro de sesiones del usuario. A continuación, vamos a comentar algunos de los procedimientos más utilizados. Vamos comenzar con los relacionados con el inicio de sesión.

El primero es el de Session Sniffing o traducido olfateo de sesiones. Con este método, el ciberdelincuente utiliza un analizador de paquetes. Por si no lo sabéis, un analizador de paquetes es una pieza de hardware o software que ayuda a monitorizar el tráfico de la red. Gracias a que las cookies de sesión son parte del tráfico de la red, el rastreo de sesiones permite a los piratas informáticos encontrarlas y robarlas fácilmente. En cuanto a los sitios webs más vulnerables al rastreo de sesiones, son en aquellas páginas que el cifrado SSL/TLS se usa sólo en el inicio de sesión y no en el resto del sitio web.

Otro lugar muy común donde se produce este tipo de ataques, son cuando estamos en redes Wi-Fi abiertas o públicas, ya que no se requiere autenticación de usuario para conectarse a ellas. Así monitorizan el tráfico y roban las cookies de diferentes usuarios. Además, en este tipo redes Wi-Fi, los ciberdelincuentes pueden perpetrar ataques de intermediario creando sus propios puntos de acceso. En RedesZone, para navegar en este tipo de redes recomendamos el uso de una VPN.

El ataque de Session Fixation o fijación de sesión es un tipo de intento de Phishing. En este procedimiento el atacante envía un enlace malicioso al usuario objetivo por correo electrónico. Luego, en el momento en que el usuario inicia sesión en su cuenta haciendo clic en ese enlace, el pirata informático conocerá el ID de sesión del usuario. A continuación, cuando la víctima inicia sesión con éxito, el pirata informático se hace cargo de la sesión y ya tiene acceso a la cuenta.

También tenemos el ataque de secuencias de comandos entre sitios (XSS). Aquí el ciberdelincuente engaña al sistema informático de la víctima con un código malicioso de forma segura que parece provenir de un servidor confiable. A continuación, el cibercriminal ejecuta el script y obtiene acceso para robar las cookies. Esto sucede en el momento en que un servidor o página web carecen de parámetros de seguridad esenciales, los piratas informáticos pueden inyectar fácilmente scripts del lado del cliente.

Otra opción es con ataques de malware que se crean para realizar un rastreo de paquetes, lo cual les facilita el robo de las cookies de sesión. Este malware accede al sistema del usuario cuando visita páginas web no seguras o pulsa sobre enlaces maliciosos.

¿Por qué son valiosas las cookies para los ciberdelincuentes?

Gracias al robo cookies, se puede obtener información privada de los usuarios, como detalles de tarjetas de crédito, detalles de inicio de sesión de distintas cuentas y más. También esta información puede ser vendida en la web oscura. Otra cosa que pueden intentar conseguir es el robo de identidad, cuyos objetivos más comunes suelen ser conseguir préstamos a nuestro nombre o utilizar nuestras tarjetas de crédito para compras.

También pueden utilizar el robo de cookies para apoderarse de nuestra cuenta y realizar actividades ilegales. Por ejemplo, pueden hacerse pasar por nosotros para obtener información confidencial y luego chantajear a sus víctimas. Además, podrían emplearlo para realizar ataques de Phishing en un intento fraudulento de obtener información confidencial de los usuarios.

¿Pueden prevenir los usuarios el robo de cookies?

En cuanto a las páginas webs, lo recomendable sería que tuvieran instalado un certificado SSL y un complemento de seguridad. A esto habría que añadir que hay que mantener el sitio web actualizado. Por último, respecto a los internautas, las medidas que podemos tomar para no ser víctimas del robo de cookies son:

  • Cerrar la sesión de todos los sitios web cuando dejemos de usarlo, para que esa cookie caduque y ya no pueda ser eliminada.
  • Eliminar las cookies de nuestro navegador periódicamente.

Otras recomendaciones de seguridad básicas son:

  • Contar con buen antivirus, y a ser posible software antimalware.
  • Tener actualizado nuestro sistema operativo y software de seguridad con las últimas actualizaciones instaladas.
  • Realizar la descarga de programas de las fuentes originales, es decir, desde la web del desarrollador.
  • No hacer clic en enlaces sospechosos como el de ofertas con precios anormalmente bajos.

Tal y como habéis visto, el robo de cookies es algo bastante común de capturar, pero también de evitar, por tanto, os recomendamos siempre cerrar la seción