¿Conoces en qué consisten las estafas “Browser-in-the-Browser”?

En muchas páginas web populares, es común que se ofrezca la opción de registrarse o iniciar sesión utilizando una cuenta de Google, Facebook o Twitter, entre otras. De esta manera, en lugar de crear un nuevo usuario y contraseña para cada sitio, se puede centralizar el acceso a varios servicios utilizando una única cuenta.

A esto se le conoce como “inicios de sesión rápidos”, y están ganando popularidad debido a su rapidez y comodidad, y es por ese motivo que los ciberdelincuentes ya se han puesto manos a la obra para hacer de esta herramienta una posible vía para nuevos ciberataques. Nacen así los ataques “Browser-in-the-Browser”.

¿Qué son?

Los ataques Browser-in-the-Browser (BitB) son una técnica de phishing avanzada que engaña a los usuarios simulando una ventana emergente dentro de su navegador replicando las páginas de inicios de sesión rápidos. De esta forma, los usuarios estarían introduciendo sus credenciales de acceso en un sitio web falso, poniendo en riesgo su seguridad y pudiendo provocar robo de credenciales, secuestro de sesiones, robo de información o suplantación de identidad. A simple vista, parece una ventana común, pero en realidad es un sitio web malicioso incrustado en la ventana actual.

¿Cómo podemos detectarlos?

Aunque los ciberdelincuentes replican las páginas de inicio de sesión rápido legítimas, existen una serie de señales en las que nos debemos fijar para detectar este tipo de estafas:

1. No se abre una nueva ventana: si, en lugar de abrirse una ventana emergente, el inicio de sesión se produce dentro de la misma pestaña, es un motivo para desconfiar.
2. La ventana emergente desaparece si minimizamos la ventana principal: las ventanas emergentes falsas, al estar incrustadas en la página web, replicarán el comportamiento de esta. Por lo tanto, si al minimizar la ventana principal desaparece la de inicio de sesión, estaremos ante una página falsa.
3. No se puede modificar ni el tamaño ni el contenido de la barra de direcciones: las ventanas reales del navegador ofrecen flexibilidad en su manejo, pero, las falsas, al estar programadas para parecer reales, carecen de esa capacidad.
4. No permite arrastrar la ventana emergente fuera del borde del navegador: una ventana emergente legítima puede moverse libremente por la pantalla, independientemente de la página web en la que te encuentres. Sin embargo, las páginas falsas están limitadas a la posición dentro del sitio web en el que estás, lo que significa que no puedes arrastrarla fuera del área visible del navegador.

¿Cómo podemos protegernos de un ataque BitB?

Incluyendo los siguientes comportamientos en tu lista de buenos hábitos podrás protegerte de esta nueva estafa:

• Revisa siempre la URL del sitio: antes de introducir tus credenciales, asegúrate de que la dirección web es auténtica, no solo en la ventana emergente, sino también en la barra de direcciones del navegador.
• Usa autenticación multifactor (MFA): activar la autenticación en dos pasos, añade una capa extra de seguridad. Aunque alguien obtenga tu contraseña, necesitará acceso a tu dispositivo para completar el acceso.
• Mantén tu navegador actualizado: las actualizaciones de los navegadores suelen incluir parches de seguridad que pueden protegerte de vulnerabilidades aprovechadas en estos ataques.
• Instala herramientas de seguridad en tu navegador: las extensiones que detectan páginas de phishing y amenazas pueden ayudarte a bloquear sitios maliciosos antes de que caigas en la trampa.

Sigue todos estos consejos y no te dejes engañar por las apariencias. Recuerda siempre desconfiar si detectas un comportamiento sospechoso o inusual en las páginas web que visites. Mantente alerta y protege tu información.