Categories: Seguridad

Cookies más allá de los navegadores: cómo están evolucionando los ataques basados ​​en sesiones

En los últimos años, los ciberataques han ido cambiando y evolucionando, desde el robo de credenciales de texto sin cifrar hasta la autenticación basada en sesiones. Una tendencia impulsada por la proliferación de la autenticación multifactor (MFA), que dificulta que los atacantes comprometan cuentas solo con contraseñas. Sin embargo, MFA no es una solución milagrosa, ya que los tokens de sesión, cookies, claves API y certificados de máquina, aún pueden explotarse para obtener acceso a sistemas y datos confidenciales.

Los ataques posteriores a la autenticación tienen como objetivo los tokens de autenticación que se utilizan para mantener la identidad y los derechos de acceso de un usuario o una máquina después del proceso de inicio de sesión inicial. Estos tokens a menudo se almacenan en el navegador, en archivos, en la memoria o en bases de datos y se transmiten a través de la red cuando un usuario o una máquina interactúa con una aplicación web o una API.

Aunque la forma más conocida y común de ataque posterior a la autenticación es el robo de cookies, que puede llevarse a cabo de varias formas, entre ellas, explotar vulnerabilidades en la aplicación web o el navegador; accediendo al almacenamiento del navegador, donde se guardan las cookies, y copiándolas en el dispositivo del atacante; o extrayendo el espacio de memoria del proceso del navegador, ya que las cookies no se escriben en el disco y existen solo dentro de la memoria del navegador como cookies efímeras durante la sesión y mientras el navegador esté abierto. De tal manera que las cookies se han convertido en un material clave de la seguridad, por lo que, si eliminamos las cookies del navegador, la experiencia sería más segura. Sin embargo, las cookies no son la única forma de token de sesión a la que pueden apuntar los ataques basados ​​en sesiones.

Cómo pueden las organizaciones protegerse de los ataques posteriores a la autenticación

Los ataques posteriores a la autenticación son una amenaza grave y creciente, y las organizaciones deben tomar medidas proactivas para protegerse a sí mismas y a sus usuarios de estos ataques. Desde CyberArk señalamos algunas de las mejores prácticas que pueden seguir las organizaciones:

  • Implementar el principio de privilegio mínimo (PoLP) y limitar el alcance y la duración de los tokens de sesión. Los tokens de sesión solo deben otorgar los derechos de acceso mínimos necesarios, cuando sea necesario (just-in-time), para la tarea o interacción específica y deben caducar o revocarse lo antes posible.
  • Aplicar fuertes controles de integridad y cifrado en la comunicación de la red y los tokens de sesión. Los tokens de sesión deben estar cifrados y firmados por el emisor y transmitirse únicamente a través de canales seguros, como HTTPS o TLS.
  • Supervisar el uso y la actividad de los tokens de sesión. El emisor debe registrar y rastrear los tokens de sesión, alertando de cualquier comportamiento anormal o sospechoso, como inicios de sesión múltiples o simultáneos, ubicaciones o dispositivos inusuales o acciones anómalas.
  • Educar y capacitar sobre los riesgos y las mejores prácticas de seguridad de los tokens de sesión. Los usuarios deben ser conscientes de los peligros del phishing, el malware y la ingeniería social y evitar hacer clic en enlaces sospechosos, descargar archivos desconocidos o compartir sus tokens de sesión.

Dado que los atacantes encuentran nuevas formas de explotarlos, los ataques posteriores a la autenticación son un desafío complejo y en evolución. Las organizaciones deben estar preparadas y vigilantes para defenderse de estas amenazas implementando medidas de seguridad como privilegios mínimos, monitorización y mantener una mentalidad de asumir las brechas de datos.

Firma invitada

Nombres destacados del sector TIC opinan sobre las principales tendencias de la industria.

Recent Posts

Las nuevas claves para el éxito organizacional

En esta tribuna, Miguel Palomares, Business Development Manager en Altia, analiza cómo la combinación de…

6 horas ago

Tendencias en almacenamiento HDD para 2025, una perspectiva completa

En esta tribuna, Rainer W. Kaese, director sénior de Desarrollo de Negocio de HDD de…

1 mes ago

IA generativa: cinco razones por las que lo más pequeño puede ser más inteligente

En esta tribuna, Enric Delgado, director de Client Engineering Team de España, Portugal, Grecia e…

1 mes ago

Pensando en pequeño para pensar en grande: la arquitectura modular de AMD impulsa la sostenibilidad

En esta tribuna, Justin Murrill, director de Responsabilidad Corporativa en AMD, explica cómo la arquitectura…

1 mes ago

Observabilidad: La herramienta de la que todos hablan…

En esta tribuna, Mario Carranza, especialista en observabilidad de CPO WOCU-Monitoring, explica cómo la observabilidad…

1 mes ago

Cómo combatir los ataques de los Estados-Nación y de los ciberdelincuentes: trabajando desde dentro de la amenaza

Adam Meyers, responsable de operaciones contra adversarios en CrowdStrike, explica cómo combatir las amenazas transversales…

1 mes ago