Browser-in-the-browser: entiende cómo funciona este nuevo tipo de phishing
Durante años, el principal tip para evitar caer en la trampa de sitios falsos en la web era siempre el mismo: observar bien la dirección de la página. Aunque los delincuentes cibernéticos siempre hayan sido sumamente “talentosos” para crear réplicas de servicios en línea, o hasta de tiendas virtuales, para engañar a internautas desatentos, antes bastaba con observar atentamente el URL en el cual te encontrabas para identificar algo raro.
Desgraciadamente, nos estamos dirigiendo a un futuro en el cual nada será tan sencillo. Un fabuloso investigador independiente dejó a expertos de todo el mundo en alerta al publicar, en su blog, un “hallazgo” sumamente inquietante: usando algunas técnicas razonablemente sencillas, un estafador logra, de hecho, falsificar la ventana pop-up de login social, con derecho a un URL legítimo y todo lo demás, llevándote a creer que estás ingresando tus credenciales en un ambiente seguro. A este ataque lo han llamado browser-in-the-browser (BitB).
Había una ventana en la ventana
El nombre de la estafa, que se puede traducir como “navegador-en-el-navegador”, es explicativo de su funcionamiento: básicamente, el delincuente simula una ventana entera de tu browser para capturar tu contraseña. Antes de seguir, vale la pena aclarar lo que queremos decir al usar el término “login social”: se trata de aquellos sitios y plataformas digitales que te permiten el acceso usando el perfil de otros servicios y redes sociales, eximiéndote de la necesidad de crear otra cuenta e informar todos tus datos manualmente.
Sucede que, cuando decides entrar a una plataforma vía login social, el navegador abre una nueva ventana (que llamamos pop-up), responsable por comunicarse con los servidores del servicio o red social externos y permitir que ingreses tus credenciales. Si miras el URL de ese pop-up, verás el dominio legítimo y sabrás que estás en un ambiente protegido.
La estafa BitB se aprovecha de esa confianza. Primero, el malhechor atrae a su víctima hacia un sitio falso cualquiera sin preocuparse por la dirección de la página maliciosa en cuestión. Esta página contendrá algún incentivo para que el usuario realice login social y, al clicar en uno de los botones para hacerlo, se exhibirá un pop-up falso en la pantalla. Este se parecerá exactamente a una ventana real de tu navegador e incluso contará con botones para minimizar/maximizar y con el campo del URL con el dominio legítimo del servicio por el cual quieres autenticarte. Pero todo eso no es más que una “ilusión de óptica”.
¡Prepárate desde ahora!
El truco es bastante sencillo. Cualquier desarrollador con el mínimo de dominio de HTML5, CSS y JavaScript logra “diseñar” esa falsa ventana dentro de la ventana legítima del navegador, creando la impresión de que se abrió un pop-up. Sin embargo, si la víctima cae en la estafa e ingresa sus credenciales, estas se enviarán automáticamente al servidor del ciberdelincuente. La única forma de notar la artimaña es usar el recurso “Inspeccionar elemento”, presente en todos los navegadores del mercado, y observar el código fuente del sitio para detectar que el pop-up es falso. El problema es que, en general, solo usuarios más avanzados usan este mecanismo.
Antes de que cunda el pánico, es importante aclarar que, hasta ahora, el ataque browser-in-the-browser es conceptual y no hay relatos de que se haya usado ampliamente en alguna campaña maliciosa. De cualquier manera, es necesario prepararse desde ya, pues hay altas probabilidades de que, muy pronto, este truco se vuelva común. La manera más sencilla de cerciorarse de que realmente estás visualizando una ventana pop-up verdadera es intentando moverla, redimensionarla, minimizarla, maximizarla e incluso cerrarla. Intenta interactuar al máximo con ella, pues hay un límite de realismo que los delincuentes logran alcanzar.
Por último, también es válido reforzar la importancia de accionar la autenticación de dos factores en todas las redes sociales y cuentas de servicios en línea que utilizas (especialmente si pretendes usar tus datos para login social). De esta forma, aunque el estafador logre robar tus credenciales, no logrará usarlas sin el segundo factor de verificación.