Las amenazas de ataques Man-in-the-browser comprometen las transacciones en línea y roban datos sensibles. Pueden ser difíciles de detectar, especialmente para aquellos menos familiarizados, pero no es imposible evitar caer en la trampa.
A diferencia de los ataques Man-in-the-middle, donde los atacantes interceptan y manipulan el tráfico de Internet, en los ataques Man-in-the-browser (MitB), se utiliza un troyano para interceptar y manipular las comunicaciones entre un ejecutable (generalmente un navegador) y sus elementos de seguridad. Es un concepto un tanto oscuro que profundizaremos más adelante.
No es una amenaza nueva; en la literatura de referencia más reciente, se encuentran ejemplos que se remontan a 2006. Sin embargo, con el paso de los años, se ha vuelto más refinada y sigilosa: al inyectar el troyano en el navegador, los ciberdelincuentes pueden gestionar las comunicaciones entre el dispositivo y los sitios web.
El objetivo es manipular las transacciones en línea y apoderarse de datos sensibles sin dejar rastros evidentes, pasando a menudo desapercibido.
Las precauciones a adoptar son siempre las mismas. Lo que marca la diferencia es la conciencia del usuario.
Qué es un Ataque Man-in-the-browser (MitB)
Un ataque en el cual un malware, un troyano, se inyecta en un navegador y se sitúa entre este y el usuario, interceptando y modificando en tiempo real transacciones y páginas web. El ejemplo clásico de Man-in-the-browser es el de las transacciones bancarias en línea: el usuario accede a su cuenta para hacer una transferencia y, de manera completamente invisible a los ojos del usuario, modifica el monto de la transacción y la cuenta del destinatario.
Esto, sin embargo, es solo el ejemplo más utilizable para dar una dimensión al fenómeno que, en realidad, es mucho más complejo y potencialmente peligroso porque pasa desapercibido. No hay elementos que lleven a detectar la presencia de algo anómalo. No hay ralentizaciones en el dispositivo o en la navegación, todo funciona de manera impecable y, además, el troyano puede ser apagado por el atacante y reactivado cuando se considere necesario.
Por qué es Temible
Las amenazas de tipo Man-in-the-browser-attack son temibles por varias razones. El hecho de que sean indetectables para la percepción del usuario es uno de ellos, pero aún más relevante es que se requiere una gran conciencia de estas amenazas como tales para adoptar comportamientos y medidas preventivas capaces de proteger contra los riesgos, y sin duda, esta es la dificultad más difícil de superar.
La génesis y la etiología de las amenazas MitB dicen mucho sobre lo peligrosas que son: el troyano infecta un software, una aplicación o el sistema operativo e instala una extensión del navegador que se inicia al abrir el navegador mismo e interfiere con las actividades normalmente realizadas por el usuario.
Cuando el usuario confirma la operación realizada en línea presionando “Enter” o haciendo clic en los botones específicos de la página web (transferencias, pedidos, formularios laborales, etc.), la extensión extrae los datos ingresados y los almacena para luego modificarlos antes de que se envíen al servidor de referencia.
La página de resumen web (el extracto de la transferencia, la exposición resumida del pedido realizado o la revisión de los datos ingresados en un software o en una base de datos empresarial) se repuebla con los datos realmente ingresados por el usuario, para que este no note ninguna diferencia con los datos realmente enviados al servidor.
Todos estos pasos individuales inician procesos en segundo plano posibles mediante el uso de API, a su vez, elementos frágiles de las comunicaciones entre cliente, aplicaciones y servidores.
El funcionamiento de los ataques Man-in-the-browser destaca vulnerabilidades de varios tipos, es decir:
- Vulnerabilidades en la autenticación.
- Vulnerabilidades en la validación de la entrada.
- Vulnerabilidades en la gestión de sesiones.
Y, a estas, se agrega también una escritura de código HTML perfectible gracias a técnicas de ofuscación que, también desde hace años, son conocidas por ser útiles para reducir la exposición a diversas amenazas.
Prevenir el Ataque Man-in-the-browser
Las precauciones a tomar para no dejar vulnerabilidades son, en última instancia, siempre las mismas, comenzando por la necesidad de actualizar los navegadores, lo cual, por cierto, ocurre de manera automática y, por lo tanto, sin que el usuario deba intervenir. Además:
- Las definiciones y base de datos de los antivirus deben actualizarse.
- Verificación adicional de las transacciones. En el caso de una transferencia, verificar el saldo de la cuenta bancaria después de realizarla, o solicitar confirmación del pedido enviado.
- Conciencia. La técnica de defensa más obstinada: conocer las amenazas, los medios que utilizan para propagarse y cómo actúan los ciberdelincuentes es la mejor defensa.
Dado que los malware deben instalarse en los dispositivos, es importante saber reconocer los correos electrónicos sospechosos y las páginas web riesgosas que, por ejemplo, ofrecen actualizaciones de software conocidas. Estas actualizaciones son proporcionadas por los fabricantes de software y no hay razón para descargarlas de sitios no oficiales.
