El secuestro de sesión es una técnica utilizada por malos actores para hacerse cargo de su sesión de Internet, de modo que puedan realizar las mismas acciones que usted puede realizar. Esas acciones podrían ser acceder a su cuenta bancaria o acceder a la red de su empleador e implementar ransomware.

Para el YouTuber Linus Sebastian, el secuestro de sesión resultó en que su canal, con el mismo nombre Linus Tech Tips, se usara para ejecutar una estafa criptográfica. Puedes ver su explicación del ataque aquí.

Hay pasos que los propietarios de sitios web pueden tomar para mitigar el riesgo de que sus usos sean afectados pero, en esta publicación de blog, lo veremos desde la perspectiva del usuario final. Profundizaremos en cómo funciona el secuestro de sesión y qué puede hacer para protegerse de este tipo de ciberataque.

¿Qué es una sesión?

Antes de entrar en el secuestro de sesiones, tomemos un momento para hablar sobre qué es realmente una sesión.

Explicación rápida: es el período de tiempo durante el cual un sitio web le permite permanecer conectado después de haber ingresado su nombre de usuario y contraseña.

Explicación más larga: su computadora usa HTTP para comunicarse con sitios web. HTTP es un protocolo sin estado y, en consecuencia, cada solicitud HTTP que recibe un sitio web se ve de forma independiente. Para decirlo de otra manera, los intercambios HTTP no le dicen a un sitio web lo que sucedió antes. Esto significa que si intentara navegar a una página diferente en un sitio web en el que ya había iniciado sesión, HTTP no le diría al sitio web que ya había iniciado sesión y tendría que volver a hacerlo. Y de nuevo cada vez que quería navegar a una nueva página. Obviamente, esto sería una experiencia de usuario absolutamente terrible.

Las sesiones resuelven el problema. Una sesión se refiere a las interacciones entre un usuario y un sitio web dentro de un período de tiempo determinado, que generalmente comienza desde el momento de la autenticación hasta que el usuario cierra la sesión o la sesión caduca debido a la inactividad. En otras palabras, cuando inicia sesión en un sitio web, se crea una sesión en el servidor host, que actúa como referencia para la autenticación inicial. Mientras la sesión esté activa, puede moverse libremente por el sitio web sin necesidad de volver a autenticarse. La sesión solo finaliza cuando cierra la sesión o después de un período predefinido de inactividad. Una vez finalizada la sesión, deberá iniciar sesión nuevamente para acceder a su cuenta.

¿Qué es una ID de sesión?

A cada sesión que se crea se le asigna un identificador único conocido como ID de sesión o token de sesión. Este ID de sesión se usa luego para identificar y asociar solicitudes posteriores que realice dentro de su sesión en curso.

El ID de sesión generalmente se almacena en una cookie o se incluye en la URL como un parámetro de consulta. Permite que el servidor lo reconozca y mantenga el estado de la sesión, independientemente de las solicitudes que realice o las páginas que visite en ese sitio web. Durante una sesión, el servidor puede almacenar datos de usuario relevantes o información específica de la sesión, incluidas sus preferencias, el contenido de su carrito de compras, sus credenciales de autenticación temporales y más. Estos datos a menudo se almacenan en el lado del servidor y se asocian con la ID de sesión del usuario.

Si bien los identificadores de sesión claramente cumplen una función muy útil, son propensos a la explotación si no se protegen adecuadamente. Si un actor de amenazas puede interceptar una ID de sesión, puede hacerse pasar por el usuario y acceder a cualquier información y realizar cualquier acción que el usuario pueda.

¿Cómo funciona el secuestro de sesión?

Los atacantes pueden emplear varios métodos para interceptar ID de sesión y obtener acceso no autorizado a las sesiones de los usuarios. Una vez que el atacante ha obtenido el control de la sesión, puede realizar todo tipo de actividades maliciosas, incluida la extracción de información confidencial, la realización de transacciones no autorizadas, la modificación de la configuración de la cuenta o incluso la ampliación de sus privilegios dentro del sistema.

Aquí hay algunas técnicas comunes utilizadas en el secuestro de sesiones:

• El sniffing de sesión, a veces denominado secuestro lateral de sesión, es un tipo de técnica de secuestro de sesión activa que tiene como objetivo la transmisión insegura de ID de sesión. Si bien casi todos los sitios web en estos días cifran las páginas de inicio de sesión para mantener seguras las contraseñas, algunos sitios web no cifran las otras páginas del sitio web. En este escenario, los atacantes pueden usar herramientas de rastreo de paquetes para monitorear el tráfico de su red y capturar cookies de sesión después del punto de autenticación. Aunque es posible que su contraseña no se haya visto comprometida, los atacantes aún pueden hacerse pasar por usted en el servicio de destino a través de las páginas sin cifrar.

• Cross-site scripting (XSS) es un método popular de secuestro de sesiones. En un ataque XSS, los actores de amenazas manipulan sitios web vulnerables al inyectar páginas web con scripts del lado del cliente para eludir la misma política de origen, un mecanismo de seguridad crítico que los navegadores usan para regular cómo los sitios web acceden entre sí. Los scripts ejecutan código malicioso (normalmente JavaScript) diseñado para capturar su ID de sesión. Desde la perspectiva de su navegador, la página parece ser legítima ya que el contenido aún se carga desde un servidor confiable.

• Predicción de sesión: algunos sitios web siguen patrones predecibles para generar ID de sesión. En un ataque de predicción de sesión, los actores de amenazas capturan ID de sesión válidos y los analizan para comprender mejor el algoritmo de generación de ID de sesión. Cuanto más predecible sea el patrón, más fácil será explotarlo. Una vez que se ha descifrado el algoritmo, los actores de amenazas pueden predecir y generar una ID de sesión válida y usarla para apuntar a usuarios específicos.

• Los ataques de fijación de sesión eliminan la necesidad de interceptar una ID de sesión. En cambio, los actores de amenazas generan o roban una ID de sesión válida del sitio web de destino antes de que haya ingresado sus credenciales de inicio de sesión y lo engañan para que use la ID de sesión (por ejemplo, enviándole un enlace malicioso por correo electrónico). Una vez que haya iniciado sesión en el sitio web y autenticado la ID de sesión comprometida, el atacante también puede acceder a la sesión.

• El malware es quizás el método más común utilizado para robar información del navegador, incluidas las identificaciones de sesión. Como mencionó Linus Sebastian en el video al que vinculamos anteriormente, el proceso puede ser muy rápido, ya que la información se roba segundos después de que se instala el malware.

Cómo prevenir el secuestro de sesión

Los siguientes consejos le ayudarán a evitar convertirse en víctima de un ataque de secuestro de sesión.

• Cerrar sesión: si cierra la sesión de un sitio web, la identificación de la sesión se invalidará y no se podrá utilizar con fines malintencionados. Es tan simple como eso.

• Tenga cuidado con los enlaces: ya sea que lleguen por correo electrónico, SMS o incrustados en publicaciones de redes sociales, es posible que los enlaces no sean lo que parecen ser. En lugar de dirigirte al sitio que esperabas, es posible que te dirijan a un sitio de phishing diseñado para engañarte para que ingreses tu contraseña o instales malware. Si bien muchos mensajes de phishing son fáciles de detectar, algunos son extremadamente convincentes. Sea extremadamente cauteloso, y si tiene la más mínima duda sobre la validez de un mensaje, no haga clic. En su lugar, utilice sus Favoritos o escriba la dirección en su navegador.

• Mantenga actualizados su dispositivo y sus aplicaciones: no se demore en instalar actualizaciones de seguridad. Cuanto más rápido los instale, menor será la ventana durante la cual su dispositivo será vulnerable debido a los errores que solucionen las actualizaciones.

• Usa uno de nuestros productos: Bien, entonces esto no es estrictamente necesario. Si bien nos encantaría que usara nuestros productos, y si ya lo ha hecho, gracias, ¡ha hecho una excelente elección! – El uso de cualquier solución antivirus/antimalware confiable y de buena reputación lo ayudará a defenderse de los ataques. En pocas palabras, si el malware no puede ingresar a su computadora, no puede robar sus ID de sesión.

Una nota sobre la autenticación multifactor (MFA). Si bien el secuestro de sesión puede eludir MFA, es de vital importancia y debe habilitarse donde sea posible. Activarlo reducirá significativamente la probabilidad de que sus cuentas se vean comprometidas.

Conclusión

El secuestro de sesión ocurre cuando un atacante obtiene el control de la ID de sesión de un usuario legítimo y la explota para hacerse pasar por el usuario y realizar acciones no autorizadas. Hay algunas formas diferentes de llevar a cabo un ataque de secuestro de sesión, incluido el rastreo de sesión, secuencias de comandos entre sitios, predicción de sesión y fijación de sesión. Al seguir los consejos de mitigación descritos anteriormente, puede ayudar a mantener sus sesiones seguras y reducir el riesgo de ser víctima de un secuestro de sesión.