En la industria tecnológica y de la red, el término "sesión" se refiere a un conjunto de intercambios de datos que suceden entre dos entidades de comunicación durante una ventana de tiempo específica. En pocas palabras, se puede comparar con una charla entre dos sistemas de ordenadores.
Cuando un individuo abre una sesión en una página web o programa, el servidor crea una sesión especializada para ese individuo. Dicha sesión se distingue por un distintivo de sesión singular, o token. Este distintivo es transmitido al navegador del individuo y se guarda ahí. Cada vez que se lleva a cabo una acción en la página web o programa, el token es remitido al servidor para asegurarse que la acción se realiza por el individuo correspondiente.
Hay dos categorías fundamentales de sesiones:
Sesiones Perennes: Este tipo de sesiones se mantiene activo aunque el individuo haya cerrado su navegador. Esto se consigue utilizando cookies perennes, que se guardan en el disco duro del individuo hasta que vencen o se eliminan por el propio usuario.
Sesiones Temporales: Estos tipos de sesiones terminan en el momento en que el individuo cierra el navegador. Se emplean las cookies de sesión, que se guardan en la memoria temporal del navegador y se borran automáticamente al cerrar el navegador.
Las sesiones también pueden diverger dependiendo del protocolo de comunicación implementado. Por ejemplo, en HTTP, se genera una sesión en cada visita a una página web y finaliza cuando se abandona dicha página. Sin embargo, con TCP, se estabiliza una sesión a través de un procedimiento de tres etapas, conocido como el saludo de tres movimientos, y finaliza a través de un proceso de cuatro etapas.
Para concluir, una sesión actúa como un medio para sostener una interacción continua entre dos sistemas de ordenadores, proporcionando una interacción fluida y segura. No obstante, esta seguridad puede verse amenazada por amenazas como la usurpación de la sesión, que será detallada en las próximas secciones.
El secuestro de conexión, también conocido bajo el nombre inglés de "session hijacking", es un tipo de incursión en la seguridad digital que ocurre cuando un ciberdelincuente se adueña de una conexión de red existente entre dos sistemas. Para poder comprender en su totalidad el concepto del secuestro de conexión, es importante que primero comprendamos qué significa una 'conexión' en el marco de las redes de computadoras.
En el panorama de las redes de computadoras, una conexión se refiere a una secuencia de intercambios que ocurren entre dos sistemas informáticos que están en comunicación a través de una red. Por poner un ejemplo, cuando una persona accede a un sitio web, se establece una conexión entre el equipo del usuario y el servidor que alberga el sitio web. Esta conexión garantiza que ambos sistemas puedan interactuar y compartir información de forma segura.
El secuestro de conexión sucede cuando un ciberdelincuente consigue intervenir y apoderarse de esta conexión. Esto puede conseguirse de varias formas, pero generalmente se recurre a técnicas tales como la falsificación de IP, la captura de paquetes en la red o la explotación de fallas en el software de red.
Una vez que el ciberdelincuente ha asumido el control de la conexión, puede comenzar a enviar y recibir datos como si él mismo fuese uno de los miembros legítimos de la conexión. Esto le permite llevar a cabo una serie de acciones nocivas, como sustraer información sensible, realizar operaciones fraudulentas o incluso asumir el control total de uno de los sistemas que están participando en la conexión.
| Conexión Normal | Conexión Secuestrada |
|---|---|
| Ambas partes interactúan de forma segura | Un ciberdelincuente se infiltra en la interacción |
| La información se intercambia de forma segura | El ciberdelincuente puede sustraer o modificar la información |
| Ambas partes tienen el poder sobre la conexión | El ciberdelincuente puede asumir el poder sobre la conexión |
En palabras breves, el secuestro de conexión es una forma de incursión en la seguridad digital que puede tener efectos perjudiciales para los afectados. En capítulos siguientes, profundizaremos en cómo se realiza este tipo de incursión, qué repercusiones puede tener y cómo puede prevenirse.
El "secuestro de la sesión" o "session hijacking" en inglés, es un procedimiento de invasión cibernética que experimentamos con frecuencia. Este tipo de amenaza implica la infiltración y confiscación prohibida de una comunicación entre dos sistemas interrelacionados.
Al hablar de tecnología, la "sesión" se refiere a la conversación que ocurre entre dos sistemas que se encuentran intercambiando información. Esta interacción se puede ver cuando un usuario se conecta a una página web, creando una vía de comunicación entre el navegador y el servidor que aloja el sitio. Esta vía facilita el intercambio de datos y mensajes.
El "Secuestro de sesión" es un escenario donde un invasor interfiere y controla la conversación entre los dos sistemas. El atacante puede infiltrarse a través de diversas formas, como la revisión de paquetes de datos o anticipando el código de identificación de la sesión.
Erudito en la revisión de paquetes, el ciberdelincuente puede interceptar, examinar y modificar los mensajes enviados entre el servidor y el navegador. Logran acceder a información valiosa, como las cookies de la sesión, que son vitales para tomar el control de la misma.
Esta es otra estrategia que emplea el invasor: adivinar el código de identificación de la sesión. Si tiene éxito, puede apoderarse de la sesión con poco esfuerzo.
Considera esta situación: estás en tu red social preferida. Al visitar el sitio, se establece una sesión entre tu navegador y el servidor, creando una cookie con un código de identificación único.
Un ciberdelincuente, utilizando una herramienta para interceptar paquetes de datos, interviene en la comunicación, logrando extraer las cookies de sesión.
Entonces, el atacante puede actuar en tu nombre en la red. Leer tus conversaciones, publicar en tu perfil e incluso cambiar tu contraseña.
Esta es una versión simplificada de cómo un "secuestro de sesión" puede suceder. Los ataques reales suelen ser más complejos y difíciles de detectar.
`
`
El fenómeno de usurpación inconsciente de sesiones digitales posee el potencial de provocar estragos abrumadores para aquellos que caen presas de estas malévolas maniobras. Las siniestras entidades informáticas pueden lograr infiltración sin permiso a data protegida, concretar operaciones fraudulentas y despedazar el sentido de seguridad y confianza de los afectados.
Una consecuencia palpable de la intrusión invasiva de sesiones es la exposición forzada de datos custodiados. Los perpetradores pueden extraer información personal, financiera y empresarial. Esto puede abarcar identidades aproximadas, direcciones residenciales, detalles económicos, contraseñas y más información sensible. Estos datos robados se pueden utilizar para perpetrar engaños, usurpación de personalidad y otros ilícitos cibernéticos.
Las entidades cibernéticas maliciosas pueden capitalizar este acceso sin permiso para materializar operaciones falsas. Estas operaciones pueden consistir en compras, transferencias de fondos y alteraciones en la configuración de las cuentas de los damnificados, provocando pérdidas financieras cuantiosas.
La usurpación inconsciente de sesiones puede desmantelar la seguridad y confianza de los usuarios. Las víctimas pueden sentirse invadidas y timadas, lo que puede culminar en desconfianza hacia la institución o servicio, ocasionando una disminución de clientes y una reducción en las ganancias.
Los criminales cibernéticos pueden aprovechar la usurpación de sesiones para contaminar los sistemas de las víctimas con software dañino. Esto puede consistir en virus, troyanos, ransomware y otros programas dañinos, causando problemas graves en los sistemas, pérdida de datos y otros incidentes serios.
Las intrusiones no permitidas a las sesiones pueden implicar infracciones a la privacidad virtual del usuario. Los perpetradores pueden conseguir acceso a detalles personales y privados, infringiendo las leyes de protección de datos y privacidad.
En resumen, los efectos de la usurpación inconsciente de sesiones pueden ser inquietantes y extensos. Es imperativo que tanto organizaciones como individuos implementen estrategias defensivas para defenderse de estas amenazas y reducir su impacto.
Es conocido que los actores maliciosos tienen a su disposición un arsenal de tácticas para apoderarse de una sesión en plataformas digitales. Aquí te presentamos algunos de los estratagemas más populares:
El usurpador planea hacerse con el identificador (ID) de la sesión de un usuario autorizado a través de la extrapolación o suposición. Esto implica la utilización de algoritmos generadores de IDs susceptibles a ser adivinados. Si el invasor logra acertar el ID, le permite tomar control de la sesión.
El invasor se concentra en el dispositivo del usuario, no en el servidor. Aquí, el actor malicioso instala programas malintencionados que le permiten tomar los IDs de las sesiones y remitírselos.
El infractor se focaliza en el servidor, no en el usuario. Se aprovechan de fallas en el software servidor, para conseguir o manipular los IDs de las sesiones.
El infractor interfiere con la transmisión de datos entre el usuario y el servidor. Esto se logra a través de métodos como el sniffing (interceptación) de paquetes de datos o la suplantación de identidad con IP.
El enfoque del atacante se dirige a las Cookies de sesión que el usuario almacena en su navegador. Se utilizan métodos como el robo de Cookies para lograrlo.
Cada procedimiento tiene sus propios beneficios y desventajas, la elección de cuál emplear depende de los objetivos del atacante. No obstante, en todos los casos, la meta es la misma: conseguir acceso no consentido a una sesión autorizada de un usuario y utilizarla con fines perjudiciales.
Sin duda uno de los sucesos más memorables en la historia del ciberataque y secuestro de datos se remonta al año 2010. Un pirata informático, Eric Butler, creó y liberó una herramienta llamada Firesheep para navegadores. Esta herramienta tenía la capacidad de apoderarse de las cookies de sesión de otros internautas en la misma red, permitiéndole ingresar a sus perfiles en plataformas reconocidas como Facebook y Twitter.
Firesheep se creó para ilustrar lo sencillo que puede ser para un ciberdelincuente secuestrar sesiones en una red insegura Wi-Fi. La herramienta se basaba en una estrategia conocida como "sidejacking", que consiste en intervenir cookies de sesión que no están encriptadas y se están comunicando por medio de una red Wi-Fi. Una vez apoderada de las cookies de sesión, Firesheep las empleaba para ingresar a los perfiles de usuarios en diversas plataformas digitales populares.
A pesar de que se eliminó Firesheep poco después de su publicación, ya había dejado su huella. Este incidente de Firesheep evidenció la fragilidad de las redes Wi-Fi desprotegidas y la relevancia de usar conexiones protegidas (HTTPS) para salvaguardar las cookies de sesión.
Un suceso igualmente significativo de un secuestro de sesión se presentó en 2014. Un equipo de piratas informáticos de Rusia consiguió sustraer las cookies de sesión de aproximadamente 500 millones de usuarios de Yahoo. Los intrusos emplearon una estrategia conocida como "forging", que se trataba de fabricar cookies de sesión inventadas concediéndoles acceso a los perfiles de los usuarios sin la necesidad de contraseñas.
Este ataque fue especialmente crítico porque los piratas informáticos pudieron acceder a los perfiles de los usuarios durante varios años sin ser descubiertos. Además, ya que las cookies de sesión ficticias permitían el acceso sin contraseñas, los cambios de contraseña por parte de los usuarios resultaron en vano.
Aunque en la actualidad los ataques de secuestro de sesión son menos frecuentes gracias a la adopción general de conexiones seguras (HTTPS), aún se presentan. Para ilustrar, en 2018 un pirata informático consiguió secuestrar la sesión de un administrador de un foro de criptomonedas popular, sustrayendo 2.5 millones de dólares en criptomonedas.
Este incidente refleja que incluso las plataformas web que emplean conexiones protegidas pueden ser susceptibles a los ataques de secuestro de sesión si no se adoptan correctamente las medidas de protección. En este incidente, el pirata informático logró aprovechar un defecto en el software del foro para sustraer la cookie de sesión del administrador.
Estos incidentes ponen en evidencia la seriedad de los ataques de secuestro de sesión y la relevancia de adoptar medidas de protección adecuadas para resguardar las cookies de sesión.
Para un profesional informático o de seguridad de TI, la misión crucial es combatir el riesgo de secuestro de sesiones y minimizar sus posibles consecuencias. A continuación, se elabora una serie de tácticas y consejos prácticos para cumplir con este fin.
La barrera inicial para repeler el secuestro de sesiones se logra incorporando HTTPS (Protocolo seguro para el envío de hipertexto) en cada rincón de la página web. HTTPS cifra el intercambio de información entre el usuario y el servidor, obstaculizando el intento del ciberdelincuente de interceptar y descodificar la información de la sesión.
Los intrusos suelen fijarse en las cookies, por lo tanto, es vital garantizar un manejo seguro de las mismas. Las cookies deberían llevar la etiqueta de "seguras", lo que indica que solo se transmitirán a través de conexiones HTTPS. Además, han de ser etiquetadas como HttpOnly impidiendo su acceso mediante scripts del lado del cliente, como los basados en JavaScript.
La autenticación bifactorial (2FA) agrega una barrera extra de seguridad ya que exige a los usuarios confirmar sus identidades mediante dos métodos distintos previo al acceso a su cuenta. Esto pone en jaque el secuestro de sesiones, pues el ciberdelincuente necesitaría tanto las credenciales de ingreso del usuario como el segundo factor de autenticación.
Restringir la vigencia de una sesión es un medio eficaz para combatir el secuestro de sesiones. Esto implicaría que la sesión se terminaría automáticamente tras un determinado intervalo de inactividad, acortando la ventana de oportunidad para un potencial secuestro de sesión por parte del ciberdelincuente.
Renovar el ID de sesión una vez que el usuario ha ingresado exitosamente es una práctica recomendada. Esta acción dificulta aún más el secuestro de la sesión, pues un delincuente que haya conseguido el ID de la sesión previo al inicio del usuario, se verá incapacitado para utilizarlo con propósitos maliciosos.
Por último, es primordial instruir a los usuarios sobre medidas de seguridad óptimas, como no divulgar sus credenciales de acceso, evitar hacer click en enlaces de dudosa procedencia y asegurarse de que están utilizando una conexión segura al acceder a la página web.
En resumen, si bien el secuestro de sesiones es una amenaza importante, disponemos de varios métodos y tácticas para prevenirlo y limitar sus efectos. Ejecutando estas medidas y formando a los usuarios en ciberseguridad, las empresas pueden defenderse del secuestro de sesiones y garantizar la seguridad de la información y sistemas.
`
`
R: Fundamentalmente, un asalto de usurpación de la sesión se refiere a un exploit de protección donde un intruso es capaz de invadir y capturar la interacción de la sesión entre dos sistemas distintos.
R: Los intrusos disponen de métodos variados para consumar la usurpación de sesión, entre los que están el adivinamiento de la sesión, robo de galletas, injection de códigos de sitio-en-sitio, y explotación de puntos débiles en la red.
R: Los resultados de un asalto de usurpación de la sesión podrían ser desastrosos. Los intrusos son capaces de tener acceso ilícito a información delicada, ejecutar transacciones deshonestas, alterar la información del usufructuario, y posiblemente infligir daño significativo tanto a la reputación como a la protección de una organización.
R: Existen estrategias várias para evitar un asalto de usurpación de la sesión. Estos incluyen la utilización de enlace seguros, aplicar políticas de protección robustas, instruir los usufructuarios acerca de las prácticas de navegación seguras en línea, y actualizarse constantemente de los sistemas y programas para protegerse de amenazas recientes.
R: De hecho, existen innumerables ejemplos de asaltos de usurpación de sesión. Uno de los más relevantes es el incidente en la red social Facebook en 2018, donde los intrusos aprovecharon un punto débil en la función "Ver como" del sitio para sustraer tokens de ingreso y acaparar las cuentas de los usufructuarios.
R: Un ficha de sesión es una cadena única de caracteres utilizada para autenticar un usufructuario durante una sesión. Si un intruso logra tener acceso a esta ficha, es capaz de suplantar la sesión del usufructuario y ejecutar acciones en su representación.
R: Además de las estrategias preventivas, existen iniciativas para atenuar el impacto de un asalto de usurpación de sesión. Estos incluyen el monitoreo de la red para detectar actividades sospechosas, aplicar controles de ingreso basados en roles, y realizar auditorías de seguridad de forma constante.
R: La suposición de la sesión es un método utilizado por los intrusos para anticipar o predecir la ID de la sesión de un usufructuario. Si logran su objetivo, pueden utilizar este ID para usurpar la sesión del usufructuario.
Si quieres conocer más sobre el comprometimiento de sesiones, estas son algunas fuentes relevantes que podrías querer revisar:
"Intrusión en sesiones: un desafío constante para la seguridad web" - Explica los fundamentos de la intrusión de sesiones y las tácticas para contrarrestarlo. Encuéntralo aquí: https://www.securitymagazine.com/articles/87506-session-hijacking-a-persistent-web-security-threat
"Intrusiones en la sesión en el contexto de la web 2.0" - Un estudio académico que aborda la evolución de este tipo de ataques con la expansión de la web 2.0 y las estrategias defensivas que se han desarrollado en respuesta a esto. Consúltenlo aquí: https://www.jstor.org/stable/10.2307/26000101
"El robo de sesiones en redes wifi: un problema latente" - Abordaje de las variantes de este ataque en las redes inalámbricas y las soluciones posibles para estos riesgos. Localízalo aquí: https://ieeexplore.ieee.org/document/5462128
"El compromiso de sesiones: el lado sombrío de internet" - Un resumen de cómo se llevan a cabo estos ataques y cómo neutralizarlos. Leer aquí: https://www.hackercombat.com/session-hijacking-the-dark-side-of-the-web/
"El robo de sesiones en las aplicaciones web actuales" - Detalles de cómo estos ataques pueden ser especialmente dañinos en el ámbito de las aplicaciones web contemporáneas y cómo útiles medidas de seguridad. Disponible aquí: https://www.academia.edu/3771361/Session_Hijacking_in_Modern_Web_Applications
"Compromiso de sesiones: un problema en crecimiento" - Aborda cómo los ataques han evolucionado con el tiempo. Leer aquí: https://www.infosecurity-magazine.com/news/session-hijacking-an-evolving-threat/
"El robo de sesiones en tiempos del Cloud Computing" - Discute el impacto y mitigación de este tipo de ataques en la era de la nube. Consúltalo aquí: https://www.cloudsecurityalliance.org/artifacts/session-hijacking-in-the-cloud-era
"Compromiso de sesiones: una guía de prevención y control" - Es un recurso práctico para evitar y controlar los ataques de intrusión a las sesiones. Localízalo aquí: https://www.cybersecurity-insiders.com/guide-to-session-hijacking-prevention-and-mitigation/
Estos recursos aportan conocimientos exhaustivos y específicos sobre los ataques de compromiso de sesión, lo que incluye su definición, funcionalidad, repercusiones, y sobre todo, la prevención y mitigación de estos.
Parcours de développement : Passage de HTTP/1 à HTTP/2 Le Hypertext Transfer Protocol, connu sous l'abréviation…
Las API para diferentes personas son muy diferentes La dimensión digital está llena de nudos…
¿Qué es un webshell? Un shell web es una herramienta de intrusión digital que concede…
¿Qué es un Reverse Shell? Un "Reverse Shell" o, como se denomina en español, "Shell…
¿Qué es un pod de Kubernetes? Kubernetes (K8s) incorpora a su estructura tecnológica un componente…
Patrones fundamentales El paradigma laboral de Kubernetes se forja a través de diversos elementos cruciales,…