El doble factor de autenticación (MFA) es una cerradura robusta para la puerta principal. Pero no es lo único que determina si alguien puede entrar. Tras iniciar sesión, tu navegador te mantiene conectado mediante un token de sesión, habitualmente almacenado como una cookie.
Es el equivalente digital de la pulsera de acceso en un evento: una vez que has pasado el control, la pulsera demuestra que tienes derecho a estar allí.
Si un atacante roba esa pulsera, puede que no necesite superar tu doble factor de autenticación en absoluto. Eso es la esencia del secuestro de cookie de sesión.
El atacante no está «rompiendo» el MFA. Lo está saltando, reutilizando tu sesión ya autenticada. Esto no es un argumento para dejar de usar MFA. Es un argumento para dejar de tratarlo como la línea de llegada.
Cuando las sesiones pueden robarse, la defensa práctica pasa a ser un conjunto de controles en capas: accesos resistentes al phishing, buen estado de los dispositivos, políticas de sesión más estrictas y detección que identifique accesos sospechosos a tiempo.
Por Qué el MFA No es un Control Definitivo
El MFA sigue siendo una de las mejores mejoras que puede implementar cualquier empresa, pero no detiene un ataque por sí solo.
La razón es que los atacantes no siempre intentan vencer el paso de inicio de sesión. Intentan rodearlo. Cloudflare señala que los atacantes están encontrando nuevas formas de eludir el MFA y que los incidentes modernos raramente son una técnica aislada, sino parte de una cadena de ataques. En otras palabras, el MFA puede bloquear gran parte del robo de credenciales, pero no protege automáticamente lo que ocurre después de que un usuario inicia sesión correctamente.
Ahí es donde entra el secuestro de cookie de sesión. Microsoft ha descrito campañas de phishing avanzado en las que los atacantes utilizan un sitio de proxy inverso para robar e interceptar la contraseña del usuario y la cookie de sesión que acredita que tiene una sesión autenticada. Esto no es una vulnerabilidad en el MFA. El atacante no está rompiendo el MFA. Está reutilizando la sesión.
Qué es una Cookie de Sesión y Por Qué la Quieren los Atacantes
Cuando accedes a una aplicación web, el sitio necesita una forma de recordar que ya has demostrado quién eres. Eso es una sesión: un estado temporal de «conectado» que te evita introducir tu contraseña y tu código MFA en cada acción. Kaspersky explica que el secuestro de sesión se denomina en ocasiones «cookie hijacking» porque las cookies se usan habitualmente para almacenar el identificador de sesión que mantiene la autenticación activa.
Los atacantes quieren ese identificador de sesión porque es el atajo. Proofpoint describe los tokens de sesión como «llaves digitales» que permiten al usuario mantenerse autenticado, y advierte que robar tokens válidos permite a los atacantes suplantar a usuarios legítimos y potencialmente saltarse medidas de autenticación como el MFA.
Por eso el secuestro de cookie de sesión tiene un impacto tan alto. Si un atacante puede robar la cookie o el token que representa tu sesión activa, no está intentando derrotar el proceso de inicio de sesión. Está intentando reutilizar lo que tú ya completaste.
¿Quieres proteger las sesiones de acceso de tu empresa frente a este tipo de ataques?
Cómo Funciona en la Práctica el Secuestro de Cookie de Sesión
Muchos equipos imaginan la toma de control de cuentas como alguien que adivina una contraseña o engaña a un usuario para que apruebe un aviso de MFA. El secuestro de cookie de sesión es diferente. El objetivo del atacante es robar la prueba de que ya estás conectado y reutilizarla, frecuentemente sin activar ningún nuevo desafío de autenticación.
1. Phishing AiTM (adversario en el medio)
El phishing de tipo adversario en el medio (AiTM, por sus siglas en inglés) es la trampa del «proxy de inicio de sesión». Crees que estás accediendo a un servicio normal, pero en realidad estás accediendo a una página falsa que se sitúa entre tú y el sitio real. El atacante retransmite el inicio de sesión en tiempo real, de modo que todo parece funcionar con normalidad, incluido el MFA. Los atacantes utilizan estos sitios para robar e interceptar la contraseña del usuario y la cookie de sesión.
No están rompiendo el MFA: están capturando la sesión después de que el MFA se ha completado y reutilizándola. Una campaña de este tipo intentó dirigirse a más de 10.000 organizaciones desde septiembre de 2021, lo que da una idea de la escala que ha alcanzado este enfoque.
2. Browser-in-the-Middle: robo de sesión en el navegador
El ataque de tipo navegador en el medio (BitM) es similar en concepto, pero aún más directo desde el lado del atacante. En lugar de robar una contraseña y desaparecer, el atacante se sitúa efectivamente en el control de la sesión de navegación. La inteligencia de amenazas de Google señala que robar el token de sesión equivale a robar la sesión autenticada completa. Una vez robado el token, el atacante ya no necesita superar el desafío MFA. En otras palabras, el atacante no intenta autenticarse en lugar de ti. Intenta aprovecharse de que tú ya te has autenticado.
3. Robo de cookies desde el dispositivo del usuario
No todos los secuestros de sesión comienzan con un proxy sofisticado. A veces el atacante simplemente roba los datos de sesión directamente desde el dispositivo. Robar tokens de sesión válidos permite a los atacantes suplantar a usuarios legítimos. Los tokens funcionan como llaves digitales: si un equipo está comprometido, esas llaves pueden extraerse y reutilizarse. Invicti explica que un atacante que roba cookies HTTP puede obtener acceso a información sensible almacenada en ellas y actuar en nombre del usuario legítimo.
El MFA es un Punto de Partida, No la Meta
El MFA sigue siendo esencial. Bloquea una gran cantidad de intentos de robo de credenciales y dificulta la toma de control básica de cuentas. Pero el secuestro de cookie de sesión es un recordatorio de que los atacantes no siempre intentan vencer el paso de inicio de sesión. A veces reutilizan lo que ocurre después.
La respuesta práctica es realista y por capas. Hacer el phishing más difícil de ejecutar, tratar el estado del dispositivo como parte de la identidad, endurecer el comportamiento de las sesiones en las aplicaciones de mayor riesgo y vigilar los patrones de acceso sospechosos que sugieran que una sesión está siendo reproducida.
Cuando esos controles funcionan juntos, el MFA deja de ser una casilla de verificación tranquilizadora y se convierte en lo que debería ser: una base sólida respaldada por protecciones en torno a la sesión en sí.
¿Quieres que te ayudemos a proteger las sesiones de acceso de tu empresa frente a este tipo de ataques? En Libertia IT ayudamos a empresas de Madrid a implementar una estrategia de ciberseguridad en capas, adaptada a su realidad. Contáctanos para una consulta sin compromiso.
