Las cookies permiten que los sitios web lo identifiquen mientras pasa tiempo en línea y son más beneficiosas para los sitios web que tienen usuarios recurrentes. Si alguna vez visitó un sitio web meteorológico y recuerda su ubicación en función de su última visita, ese es un ejemplo de cookies en acción.
Cuando inicia sesión en una aplicación o sitio web, como una cuenta de redes sociales o su perfil en un sitio web minorista, su navegador sabe que ha iniciado sesión gracias a las cookies de sesión temporales establecidas por el servidor. Esa sesión significa que puede permanecer conectado al sitio mientras lo navega y hace clic en diferentes páginas. Sin las cookies, tendría que volver a iniciar sesión cada vez que abriera una nueva página en ese sitio web.
Esto es conveniente, sí, pero lo deja más vulnerable a los secuestradores de cookies. Si un pirata informático obtiene acceso a su ID de sesión, puede visitar los mismos lugares que usted visitó en el sitio, haciéndose pasar por usted.
El secuestro de cookies, también llamado secuestro de sesión, es una forma en que los piratas informáticos acceden y roban sus datos personales, y también pueden evitar que acceda a ciertas cuentas.
El secuestro de cookies es tan poderoso, a veces más, como averiguar su contraseña. Es posible que con el secuestro de cookies, los piratas informáticos obtengan acceso ilimitado a todos sus recursos. Por ejemplo, un atacante puede robar su identidad o datos confidenciales de la empresa; comprar artículos; o robar de su cuenta bancaria.
El secuestro de cookies puede ocurrir cuando un programa de malware espera a que un usuario inicie sesión en el sitio web. Luego, el malware roba la cookie de sesión y la envía al atacante.
Un ataque de cookies a menudo se inicia cuando un atacante envía a un usuario un inicio de sesión falso. La víctima hace clic en el enlace falso, lo que le permite al atacante robar la cookie; en realidad, cualquier cosa que el usuario escriba puede ser capturada por el atacante. Luego, el atacante coloca esa cookie en su navegador y puede actuar como usted.
A veces, ni siquiera se necesita un enlace falso. Si un usuario está en una sesión en una conexión Wi-Fi pública no segura, los piratas informáticos pueden robar fácilmente los datos que viajan a través de la conexión. Y esto puede suceder incluso si el sitio es seguro y su nombre de usuario y contraseña están encriptados.
Una vez que el atacante tiene la cookie de sesión de un usuario, puede iniciar sesión en un sitio web y hacer casi cualquier cosa que usted pueda hacer, incluido cambiar su contraseña. Y esto a menudo está automatizado, por lo que sucede en solo segundos. Si el atacante habilita la autenticación multifactor (MFA) contra la víctima, es posible que nunca vuelva a tener acceso a sus cuentas.
Oveja de fuego
Firesheep es un gran ejemplo de cómo funciona a veces el secuestro de cookies. Esta extensión del navegador Firefox, creada en octubre de 2010 por el codificador Eric Butler, espiaba las sesiones de navegación de los usuarios en un punto de acceso Wi-Fi compartido para estar atento a las cookies de sesión. Cuando detectaba uno, lo interceptaba para hacerse cargo de la identidad de la persona que pertenecía a esa sesión. Este método de secuestro de cookies se denomina detección de paquetes.
Firesheep no era malicioso; tenía la intención de demostrar lo fácil que era secuestrar sesiones de cookies de sitios web populares cuando solo se encriptaba el proceso de inicio de sesión, no las cookies. Butler demostró que con una verificación básica de cookies, un pirata informático que estaba accediendo a ese mismo punto de acceso podría hacerse pasar por otra persona.
Más métodos de secuestro de cookies
Hay un par de otros métodos de secuestro de cookies a tener en cuenta. Con ataques de fuerza bruta inyecciones de malware; si el malware infecta su computadora o un sitio web que ejecuta, puede espiarlo y registrar las sesiones del navegador.
La prevención de este tipo de hackeo va desde utilizar tecnología de seguridad avanzada hasta enseñar a sus empleados (ya otros) sobre las amenazas de secuestro de cookies.
Protección MFA
Desafortunadamente, la protección MFA avanzada y los métodos avanzados de secuestro de cookies son cíclicos. A medida que uno mejora, también debe hacerlo el otro. Para los propietarios de negocios y sitios web, implementar más protección MFA no siempre mejorará la seguridad, solo podría hacer que los ataques de secuestro de cookies sean más avanzados.
Eso no significa que no use MFA en absoluto; reduce los ataques en algunos casos. El mayor problema es que la gente todavía hace clic en esos enlaces falsos, razón por la cual la educación es tan importante aquí (más sobre eso en un segundo).
Además, ciertas formas de MFA son más fuertes que otras. Por ejemplo, los códigos de autenticación basados en texto son débiles, mientras que las contraseñas de un solo uso con limitaciones de tiempo son más fuertes.
Educación
Todo el mundo debería saber cómo detectar un enlace falso. A menudo, la dirección del sitio web tendrá un error ortográfico que es fácil pasar por alto si no estás prestando atención. Por ejemplo, puede escribirse «Facebok» en lugar de «Facebook». Si notas algo así, no hagas clic en el enlace.
Además, los diferentes tipos de soluciones MFA conllevan diferentes riesgos. Depende del departamento de TI de una empresa identificar esos riesgos. Una vez más, la educación es clave.
Más consejos de higiene digital
Hay algunas formas más de limitar el riesgo de intentos de secuestro de cookies:
- Verifique la URL: un sitio web seguro debe usar HTTPS para encriptar todo el tráfico. Mire la URL para ver si comienza con HTTPS.
- Use solo conexiones seguras : manténgase alejado de Wi-Fi público y gratuito, en particular aquellos que ni siquiera tienen protección con contraseña.
- Cerrar sesión cuando haya terminado : siempre que haya terminado en un sitio web, cierre la sesión. Si está en línea por trabajo y tiene que acceder a los mismos sitios varias veces al día, configure su navegador para que cierre su sesión automáticamente cuando lo cierre.
- Eliminar cookies : borre regularmente sus cookies para asegurarse de que se eliminen los datos de actividad de navegación sobrantes.
- Use una VPN : para una protección más avanzada, puede usar una red privada virtual, que oculta su dirección IP y redirige su tráfico a través de un pasaje encriptado.
Mantenerse seguro mientras navega en línea es una cosa. Si posee o ejecuta un sitio web de WordPress, también debe mantener su propio sitio a salvo del secuestro de cookies, sin mencionar la protección de sus visitantes.
Si su sitio web es víctima del secuestro de cookies, los atacantes podrían tomar sus credenciales de inicio de sesión y las de sus clientes. También pueden robar información de tarjetas de crédito, entre otra información personal. Esencialmente, si hay un secuestro de cookies en su sitio, todos y todo están en riesgo. Además de MFA, priorice lo siguiente.
Instalar una Certificación SSL
Asegúrese de que su servidor web proporcione un certificado SSL para su sitio web. Cuando los datos se transfieren entre el navegador del usuario y el servidor web, un SSL cifra los datos para que no se puedan leer fácilmente.
Usar HTTPS
No desea visitar otros sitios web sin HTTPS, y su sitio debe seguir los mismos estándares. También necesita HTTPS en algo más que en las páginas de inicio de sesión de su sitio: debe estar en todo su sitio.
Utilice soluciones antimalware
Cada sitio web de WordPress debe tener un complemento de seguridad confiable. Las soluciones antimalware mantendrán alejado el software de robo de cookies. Tenemos una lista de los mejores complementos de seguridad de WordPress para su sitio web.
Mantenga su sitio web actualizado
Cada parte de su sitio web debe mantenerse actualizada, desde la instalación de WordPress hasta los temas y complementos que haya instalado. Cada vez que ejecuta un software desactualizado, es vulnerable a un ataque.
Mucho. Piense en cualquier información personal que complete en los sitios web: su nombre de usuario y contraseña, la información de su tarjeta de crédito, su dirección, etc. Una vez que un pirata informático obtiene acceso a las cookies de su sesión, básicamente puede actuar como usted. Si ha iniciado sesión en su cuenta bancaria, por ejemplo, pueden configurar una transferencia para vaciar su cuenta y mover los fondos a la suya, y luego pueden cambiar la contraseña para que no pueda acceder a la cuenta bancaria. .
A veces. Eres más vulnerable cuando estás en Wi-Fi público y no seguro, como en una cafetería o un centro comercial. No hay ninguna seguridad en la conexión Wi-Fi para evitar que los piratas informáticos accedan a todo lo que puedan. Si tiene que conectarse en línea en este tipo de configuración, al menos use el modo privado o de incógnito en su navegador.
La mayoría de los navegadores tienen una opción para eliminar su historial y datos. Debería poder eliminar todo, o puede optar por eliminar solo sus cookies y datos del sitio; depende de usted. Probablemente también pueda configurar esto para que suceda automáticamente.
Protegerse en línea va más allá de tener contraseñas difíciles de adivinar y borrar su historial de navegación cuando haya terminado el día. También debe proteger las cookies de su sesión, aunque la mayoría de las personas ni siquiera se dan cuenta de lo vulnerables que esto las hace. Las cookies almacenan una tonelada de información valiosa: toda esa información que tanto se esfuerza por proteger de otras maneras.
Si dirige una organización de cualquier tamaño, definitivamente debería utilizar MFA, pero también es necesario saber que no es una opción infalible. Necesita varias capas de seguridad para mantenerse a salvo del secuestro de cookies, y MFA es solo una de esas capas. Cuando se trata de propietarios de sitios web de WordPress, es importante configurar un sitio web lo más seguro posible para protegerse a sí mismo, a sus empleados y a sus visitantes.
Lo más importante para prevenir los intentos de secuestro de cookies es la educación. Es esencial concienciar a los empleados, usuarios y gerentes sobre las amenazas, incluido lo que se debe tener en cuenta y lo que no se debe hacer.
¿Querer aprender más? Consulte ¿Qué son las cookies y cómo funcionan?