Cookiejacking, la última amenaza de seguridad de Microsoft

Un investigador asegura haber encontrado un fallo en el navegador Internet Explorer de Microsoft que asegura que permitiría a los hackers robar credenciales de acceso a Facebook, Twitter y otras páginas web. He definido la técnica de hacking como ‘cookiejacking’.

“Cualquier página web. Cualquier cookie. El límite es tu imaginación”, asegura Rosario Valotta, investigador de seguridad independiente afincando en Italia.

Los hackers pueden explotar el fallo para acceder a los archivos de datos almacenados dentro del navegador y conocidos como ‘cookies’, que almacenan el nombre y contraseña de acceso a una cuenta en Internet. Una vez que el hacker tiene esa cookie puede utilizarla para acceder al mismo sitio, asegura Valotta, que ha bautizado a la técnica como cookiejacking.

La vulnerabilidad afecta a todas las versiones de Internet Explorer, incluido IE 9, o cualquier versión del sistema operativo Windows, aseguran desde Reuters.

Para explotar el fallo el hacker debe persuadir a la víctima de que arrastre y suelte un objeto a través de la pantalla del PC antes de que la cookie sea secuestrada. Aunque pueda parecer difícil, Rosario Valotta asegura que es tan fácil como crear un puzzle; así lo hizo el investigador, que tentó a los usuarios de Facebook para que hicieran un puzzle en el que aparecía una atractiva mujer. “Publiqué este juego online en Facebook y en menos de tres días 80 cookies habían llegado a mi servidor. Y sólo tengo 150 amigos”, asegura el investigador.

Desde Microsoft comentan que existe poco riesgo de que un hacker tuviera éxito con el mundo real con un ataque cookiejacking por “el nivel de interacción que exige del usuario”.