El “robo de cookies” es una de las últimas tendencias en delitos cibernéticos que los piratas informáticos utilizan para eludir las credenciales y acceder a bases de datos privadas, según Sophos.
El consejo de seguridad típico para las organizaciones ha sido mover su información más confidencial a los servicios en la nube o usar la autenticación multifactor (MFA) como medio de seguridad. Sin embargo, los malos han descubierto cómo deslizar las cookies conectadas a los detalles de inicio de sesión y replicarlas para piratear las sesiones web activas o recientes de programas que no se actualizan comúnmente.
Estos piratas informáticos pueden explotar varias herramientas y servicios en línea diferentes, incluidos navegadores, aplicaciones basadas en web, servicios web, correos electrónicos infectados con malware y archivos ZIP.
El aspecto más insidioso de este estilo de piratería es que las cookies se usan tanto que pueden ayudar a los usuarios infames a acceder a los sistemas incluso si existen protocolos de seguridad. Sophos señaló que la botnet Emotet es uno de esos programas maliciosos que roban cookies y se dirigen a datos en el navegador Google Chrome, como inicios de sesión almacenados y datos de tarjetas de pago, a pesar de la afinidad del navegador por el cifrado y la autenticación multifactor.
En una escala más amplia, los ciberdelincuentes pueden comprar datos de cookies robados, como credenciales de mercados clandestinos, dijo la publicación. Los detalles de inicio de sesión de un desarrollador de juegos de Electronic Arts terminaron en un mercado llamado Genesis, que supuestamente fue comprado por el grupo de extorsión Lapsus$. El grupo pudo replicar las credenciales de inicio de sesión de los empleados de EA y finalmente obtener acceso a las redes de la empresa, robando 780 gigabytes de datos. El grupo recopiló detalles del código fuente del motor gráfico y del juego que usaron para tratar de extorsionar a EA.
Del mismo modo, Lapsus$ hackeó las bases de datos de Nvidia en marzo. Los informes afirman que la brecha podría haber revelado la información de inicio de sesión de más de 70 000 empleados, además de 1 TB de datos de la empresa, incluidos esquemas, controladores y detalles de firmware. Sin embargo, no se sabe si el ataque se debió al robo de cookies.
Otras oportunidades de robo de cookies pueden ser fáciles de descifrar si son productos de software como servicio, como Amazon Web Services (AWS), Azure o Slack. Estos pueden comenzar con piratas informáticos que tienen acceso básico pero engañan a los usuarios para que descarguen malware o compartan información confidencial. Dichos servicios tienden a permanecer abiertos y funcionando de manera persistente, lo que significa que sus cookies no caducan con la frecuencia suficiente para que sus protocolos sean sólidos en cuanto a seguridad.
Sophos señala que los usuarios pueden borrar periódicamente sus cookies para mantener un mejor protocolo; sin embargo, eso significa tener que volver a autenticarse cada vez.
Recomendaciones de los editores