Los ataques que atacan a los usuarios en sus navegadores web han visto un aumento sin precedentes en los últimos años. En este artículo, exploraremos qué es un «ataque basado en el navegador» y por qué están demostrando ser tan efectivos. ¿Qué es un ataque basado en el navegador? Primero, es importante establecer qué es un ataque basado en el navegador. En la mayoría de los escenarios, los atacantes no piensan en sí mismos como atacando a su navegador web. Su gol final es comprometer sus aplicaciones y datos comerciales. Eso significa perseguir los servicios de terceros que ahora son la columna vertebral de la TI de negocios. La ruta de ataque más común hoy en día ve a los atacantes iniciar sesión en servicios de terceros, descargar los datos y monetizarlo a través de la extorsión. Solo necesita mirar las violaciones del cliente del copo de nieve del año pasado o los ataques de Salesforce aún de viaje para ver el impacto. La forma más lógica de hacerlo es dirigirse a los usuarios de esas aplicaciones. Y debido a los cambios en las prácticas laborales, sus usuarios son más accesibles que nunca a los atacantes externos, y expuestos a una gama más amplia de posibles técnicas de ataque. Los ataques basados ​​en el navegador como AITM Phishing, ClickFix y Consent Phishing han visto un aumento sin precedentes en los últimos años. Érase una vez, el correo electrónico fue el canal de comunicación principal con el mundo más amplio, y el trabajo ocurrió localmente, en su dispositivo y dentro de su entorno de red bloqueado. Esto hizo que el correo electrónico y el punto final la más alta prioridad desde una perspectiva de seguridad. Pero ahora, con el trabajo moderno que ocurre en una red de aplicaciones de Internet descentralizadas y canales de comunicación más variados fuera del correo electrónico, es más difícil evitar que los usuarios interactúen con contenido malicioso (al menos, sin impedir significativamente su capacidad para hacer sus trabajos). Dado que el navegador es el lugar donde se accede y usan aplicaciones comerciales, tiene sentido que los ataques también estén desarrollando cada vez más. Los 6 ataques basados ​​en el navegador clave que los equipos de seguridad necesitan saber sobre 1. Phishing para credenciales y sesiones La forma más directa para que un atacante comprometa una aplicación comercial es phish a un usuario de esa aplicación. Es posible que no pienses necesariamente en el phishing como un ataque basado en el navegador, pero eso es exactamente lo que es hoy. Las herramientas y la infraestructura de phishing han evolucionado mucho en la última década, mientras que los cambios en los negocios significan que hay muchos más vectores para la entrega de ataque de phishing, y aplicaciones e identidades para el objetivo. Los atacantes pueden entregar enlaces sobre aplicaciones instantáneas de mensajería, redes sociales, SMS, anuncios maliciosos y usar la funcionalidad de mensajero en la aplicación, así como enviar correos electrónicos directamente de los servicios SaaS para evitar los controles basados ​​en el correo electrónico. Del mismo modo, ahora hay cientos de aplicaciones por empresa para apuntar, con diferentes niveles de configuración de seguridad de la cuenta. El phishing ahora es múltiple y canal cruzado, dirigido a una amplia gama de aplicaciones de nubes y SaaS que utilizan kits de herramientas AITM flexibles, pero todas las carreteras inevitablemente conducen al navegador. Hoy, Phishing opera a escala industrial, utilizando una variedad de técnicas de evasión de ofuscación y detección. La última generación de kits de phishing de bypassing MFA totalmente personalizados está ofuscando dinámicamente el código que carga la página web, implementando la protección de bot (por ejemplo, Captcha o Turnstile de Cloudflare), utilizando características anti-análisis de tiempo de ejecución y utilizando SaaS y servicios de nube legítimos para host y entregar enlaces de phishing para cubrir sus seguidores. Puede leer más sobre las formas en que los ataques de phishing modernos están pasando por alto los controles de detección aquí. Estos cambios hacen que el phishing sea más efectivo que nunca, y cada vez más difícil de detectar y bloquear el uso de herramientas anti-phishing basadas en el correo electrónico y la red. 2. Copiar y pegar malicioso (también conocido como ClickFix, FileFix, etc.) Una de las tendencias de seguridad más grandes en el último año ha sido la aparición de la técnica de ataque conocida como ClickFix. Originalmente conocido como «Captcha falso», estos ataques intentan engañar a los usuarios para que ejecutaran comandos maliciosos en su dispositivo, generalmente resolviendo alguna forma de desafío de verificación en el navegador. En realidad, al resolver el desafío, la víctima en realidad está copiando código malicioso del portapapeles de página y ejecutándolo en su dispositivo. Por lo general, proporciona instrucciones de víctimas que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, terminal o PowerShell. También han surgido variantes como FileFix, que en su lugar usan la barra de direcciones del Explorador de archivos para ejecutar comandos del sistema operativo, mientras que los ejemplos recientes han visto que este ataque se ramifica a Mac a través del terminal MACOS. Más comúnmente, estos ataques se utilizan para entregar malware de Infente de Infentes, utilizando cookies y credenciales de sesión robadas para acceder a aplicaciones y servicios comerciales. Al igual que la credencial moderna y el phishing de sesión, los enlaces a las páginas maliciosas se distribuyen a través de varios canales de entrega y utilizando una variedad de señuelos, incluida la suplantación de Captcha, el torniquete de Cloudflare, simulando un error cargando una página web y muchos más. Muchas de las mismas protecciones que se utilizan para ofuscar y evitar el análisis de las páginas de phishing también se aplican a las páginas de ClickFix, lo que hace que sea igualmente difícil detectarlas y bloquearlas. Ejemplos de señuelos de ClickFix utilizados por los atacantes en la naturaleza. 3. Integraciones de OAuth maliciosas Las integraciones de OAuth Maliciosos son otra forma para que los atacantes comprometan una aplicación engañando a un usuario para que autorice una integración con una aplicación maliciosa y controlada por los atacantes. Esto también se conoce como phishing de consentimiento. Ejemplos de phishing de consentimiento, donde un atacante engaña a la víctima para que autorice una aplicación controlada por el atacante con permisos arriesgados. Esta es una forma efectiva para que los atacantes eluden la autenticación endurecida y los controles de acceso al esquivar el proceso de inicio de sesión típico para hacerse cargo de una cuenta. Esto incluye métodos MFA resistentes a phishing como Keeys, ya que el proceso de inicio de sesión estándar no se aplica. Una variante de este ataque ha dominado los titulares recientemente con las violaciones en curso de Salesforce. En este escenario, el atacante engañó a la víctima para que autorice una aplicación OAuth controlada por el atacante a través del flujo de autorización del código del dispositivo en Salesforce, que requiere que el usuario ingrese un código de 8 dígitos en lugar de una contraseña o factor MFA. Los ataques en curso de Salesforce implican que las aplicaciones de OAuth maliciosas se les otorgue acceso al inquilino de Salesforce de la víctima. Evitar que las subvenciones de OAuth maliciosas sean autorizadas requiere una administración ajustada en la aplicación de los permisos de los usuarios y la configuración de seguridad de los inquilinos. Esto no es una hazaña cuando se considere los 100 de aplicaciones en uso en toda la empresa moderna, muchas de las cuales no son administradas centralmente por los equipos de TI y de seguridad (o en algunos casos, son completamente desconocidos para ellos). Incluso entonces, está limitado por los controles puestos disponibles por el proveedor de aplicaciones. En este caso, Salesforce ha anunciado cambios planificados en la autorización de aplicaciones OAuth para mejorar la seguridad provocada por estos ataques, pero existen muchas más aplicaciones con configuraciones inseguras para que los atacantes se aprovechen en el futuro. 4. Extensiones del navegador malicioso Las extensiones de navegador malicioso son otra forma para que los atacantes comprometan sus aplicaciones comerciales observando y capturando inicios de sesión a medida que ocurren, y/o extraer cookies y credenciales de sesión guardadas en el caché y el administrador de contraseñas del navegador. Los atacantes hacen esto creando su propia extensión maliciosa y engañando a sus usuarios para que la instalen, o se apoderen de una extensión existente para obtener acceso a los navegadores donde ya está instalado. Es sorprendentemente fácil para los atacantes comprar y agregar actualizaciones maliciosas a las extensiones existentes, pasando fácilmente los controles de seguridad de la tienda web de extensión. La noticia sobre los compromisos basados ​​en la extensión ha estado en aumento desde que la extensión Cyberhaven fue pirateada en diciembre de 2024, junto con al menos otras 35 extensiones. Desde entonces, se han identificado cientos de extensiones maliciosas, con millones de instalaciones. En general, sus empleados no deben instalar al azar las extensiones del navegador a menos que su equipo de seguridad aprobara preaprobado. Sin embargo, la realidad es que muchas organizaciones tienen muy poca visibilidad de las extensiones que sus empleados están utilizando, y como resultado el riesgo potencial al que están expuestos. 5. Entrega de archivos maliciosos Los archivos maliciosos han sido una parte central de la entrega de malware y el robo de credenciales durante muchos años. Al igual que los canales que no son de correo electrónico como la malvertimiento y los ataques de conducción se utilizan para entregar señuelos de phishing y clickFix, los archivos maliciosos también se distribuyen a través de medios similares: dejar la detección de archivos maliciosos a las verificaciones básicas de capas conocidas, el análisis de sandbox utilizando un proxy (no tan útil en el contexto del malware de sandbox) o el análisis de tiempo de ejecución en el punto final. Esto no solo tiene que ser ejecutables maliciosos que dejan caer malware directamente en el dispositivo. Las descargas de archivos también pueden contener enlaces adicionales que llevan al usuario a contenido malicioso. De hecho, uno de los tipos más comunes de contenido descargable son las aplicaciones HTML (HTA), comúnmente utilizadas para generar páginas de phishing locales para capturar sigilosamente las credenciales. Más recientemente, los atacantes han estado armando archivos SVG para un propósito similar, que se ejecutan como páginas de phishing autónomos que representan portales de inicio de sesión falsos por completo. Incluso si el contenido malicioso no siempre se puede marcar desde la inspección a nivel de superficie de un archivo, grabar descargas de archivos en el navegador es una adición útil a la protección de malware basada en el punto final, y proporciona otra capa de defensa contra descargas de archivos que realizan ataques del lado del cliente, o redirigen al usuario a contenido malicioso basado en la web. 6. Credenciales robadas y brechas de MFA Este último no es tanto un ataque basado en el navegador, pero es un producto de ellos. Cuando se roban credenciales a través de phishing o malware de infantes de inforte, pueden usarse para hacerse cargo de las cuentas que faltan MFA. Este no es el ataque más sofisticado, pero es muy efectivo. Solo necesita mirar los compromisos de la cuenta del copo de nieve del año pasado o los ataques de JIRA a principios de este año para ver cómo los atacantes aprovechan las credenciales robadas a escala. Con la empresa moderna utilizando cientos de aplicaciones, la probabilidad de que una aplicación no haya sido configurada para MFA obligatorio (si es posible) es alta. E incluso cuando una aplicación se ha configurado para SSO y conectada a su identidad corporativa primaria, pueden continuar existiendo «inicios de sesión fantasma» locales, aceptando contraseñas sin MFA requerido. También se pueden observar inicios de sesión en el navegador; de hecho, es tan cercano a una fuente universal de verdad como va a obtener sobre cómo sus empleados realmente están iniciando sesión, qué aplicaciones están utilizando y si MFA está presente, lo que permite a los equipos de seguridad encontrar y arreglar los inicios de sesión vulnerables antes de que los atacantes puedan explotarse. Los ataques de conclusión están sucediendo cada vez más en el navegador. Eso lo convierte en el lugar perfecto para detectar y responder a estos ataques. Pero en este momento, el navegador es un punto ciego para la mayoría de los equipos de seguridad. La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta contra la principal causa de infracciones. Push Blocks Ataques basados ​​en el navegador como phishing AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. También puede usar Push para encontrar y arreglar vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión fantasma, brechas de cobertura SSO, brechas de MFA, contraseñas vulnerables, integraciones arriesgadas de OAuth y más para endurecer su superficie de ataque de identidad. Si desea obtener más información sobre cómo Push lo ayuda a detectar y detener los ataques en el navegador, consulte nuestra última descripción general del producto o reserve algo de tiempo con uno de nuestro equipo para una demostración en vivo. ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.