MENÚ

Cómo los timadores clonan páginas de inicio de sesión para robar nuestras credenciales y cómo podemos protegernos

Publicado
Claves
  • Muchas páginas web nos permiten registrarnos directamente a través de nuestra cuenta de correo de Google o nuestro perfil de Facebook, para lo que aparece una ventana emergente.
  • Los timadores pueden clonar esa ventana emergente de inicio de sesión para hacerse con las credenciales de nuestro email o red social. A esto se le conoce como ataque 'Browser-in-the-browser'.
  • Los riesgos a los que nos enfrentamos si somos víctimas de esta técnica van desde la extorsión hasta la suplantación de identidad.
Comparte

Imagínate que quieres iniciar sesión en una página web. Normalmente, el sitio te pedirá que te registres con un usuario y una contraseña. Pero existe otra opción con la que no tienes que recordar las credenciales de cada sitio web en el que quieres ingresar: identificarte a través de un servicio como Google o Facebook. Tras hacer clic en un botón, nos aparece una ventana emergente en la que introducir los datos de nuestro correo electrónico o perfil de la red social. Así de simple. Según indica el Instituto Nacional de Ciberseguridad (INCIBE), a este proceso se le conoce como estándar abierto de autenticación (o OAuth) y nos permite unificar el registro de varios sitios bajo una misma cuenta.

Captura de la ventana emergente que aparece al iniciar sesión a través de Google en la página de edición Canva.

Pero ojo, porque si no nos fijamos bien podemos ser víctimas de una técnica conocida como Browser-in-the-Browser (“navegador en el navegador”, en español). Los ciberdelincuentes clonan una página de un servicio online en el que estamos interesados en entrar. No sólo eso, sino que dentro de esa página falsa te dirigen a una ventana emergente de inicio de sesión “haciendo que el usuario crea que es una ventana de inicio de sesión legítima, como las que ya estamos acostumbrados a ver en muchas webs legítimas, e introduzca así sus credenciales”, explica el INCIBE.

El investigador de seguridad mr.d0x (pseudónimo) explica en su blog que crear una ventana emergente que imite a una legítima es bastante sencillo. En la siguiente imagen, vemos una ventana emergente falsa diseñada por él frente a una real. “Muy pocas personas notarían las ligeras diferencias entre las dos”, afirma el investigador.

Comparativa entre una ventana emergente falsa y una legítima. Fuente: blog de mr.d0x.

Los riesgos de caer en este timo

Si no nos damos cuenta del engaño e introducimos nuestras credenciales, estas llegarán directamente al servidor del ciberdelincuente. El INCIBE señala que existen otros riesgos aparte del robo de nuestro usuario y contraseña. Podrían extorsionarnos, dado que tienen acceso a nuestros datos personales de distintas cuentas de usuario; podrían hacernos cargos económicos utilizando datos bancarios robados e, incluso, podrían suplantarnos la identidad

Cómo evitar ser víctimas del 'Browser-in-the-browser'

Para evitar estos peligros, la institución apunta una serie de pistas que nos deberían hacer sospechar:

  1. Si pinchamos en la opción de iniciar sesión con nuestro correo o perfil en una red social y no se abre una nueva ventana en la barra de tareas.
  2. Si no nos dejan modificar el tamaño de la ventana emergente que se ha abierto.
  3. Si intentamos cambiar el contenido que aparece en la barra de direcciones y no es posible.
  4. Si minimizamos la ventana principal y también desaparece la ventana emergente. El INCIBE indica: “Minimiza la ventana principal del buscador desde la que apareció el formulario de inicio. Si este formulario desaparece simultáneamente al de la pantalla de inicio, entonces se tratará de una ventana fraudulenta. Las ventanas reales continúan siempre en la pantalla”.
  5. Si arrastramos la ventana emergente fuera del borde del navegador (como se indica en la imagen) y esta no se separa de la ventana principal.
Imagen que muestra cómo arrastrar una ventana emergente fuera de la ventana principal. Fuente: INCIBE.

“Una ventana normal cruzaría sin problema, ya que no forma parte de la otra, mientras que una ventana ficticia o maliciosa se quedaría atascada en el interior de la ventana principal, como si formara parte de ella”, afirma el INCIBE.