En esta edad de las diásporas que transcurre mediante un éxodo permanente hacia un incoloro no espacio, en el que ha sido forjado el sistema nervioso digital de la humanidad, iluminado con constelaciones de estrellas atravesadas por densas concentraciones de datos binarios; la verificación de que quien dice ser -en cualquier interconexión- lo sea, es una de las contradicciones sistémicas que permanentemente plantea la interacción en el quinto y único dominio gestado por la humanidad: el Ciberespacio.

Tan es así que, desde hace algún tiempo, se ha logrado detectar que los ciberdelincuentes están obteniendo acceso a las cuentas de correo electrónico, aplicaciones, redes sociales y diversas plataformas comerciales, apoderándose de las cookies de la computadora o dispositivo móvil de la víctima u objetivo. Cabe recordar que una cookie es una pequeña pieza de datos, que un sitio web envía al host, ordenador o dispositivo móvil del usuario, permitiéndole al sitio web recordar información sobre su sesión, como detalles de inicio de sesión, preferencias o artículos en su carrito de compras.

Generalmente, se asocian las cookies con el rastreo y los molestos anuncios en línea, pero también almacenan las consultas de búsqueda, permitiendo al usuario visitar sitios web sin introducir nuevamente un nombre de usuario y una contraseña, además de evitar el proceso de validación mediante la utilización de recursos de autenticación multifactor.

Las denominadas cookies Remember-Me - recuérdame, en español- están vinculadas específicamente al inicio de sesión de un usuario y a menudo perduran durante treinta días antes de caducar. Este tipo de cookie permite a un usuario a que inicie sesión en un sitio web, plataforma comercial, red social o homebanking, sin tener que insertar nombre de usuario, contraseña y evitando que transite el proceso de autenticación multifactor (MFA).

En la actual física de los clics, esta especie de cookie se genera cuando un usuario clikclea en la casilla de verificación denominada "Recordar este dispositivo", que al iniciar sesión todos los sitios web ofrecen como opción.

Si un ciberatacante obtiene la cookie "Remember-Me" del inicio de sesión reciente de un usuario en su correo electrónico web, puede usar esa cookie para iniciar sesión como usuario sin necesidad de cargar y validar el acceso mediante su nombre de usuario, contraseña o sorteando el proceso de validación mediante la utilización de alguna estructura de autenticación multifactor (MFA).

Por estas razones, los ciberdelincuentes se centran cada vez más en apoderarse de las cookies de la especie "Recuérdame" o "Remember-Me" y utilizarlas como su forma preferida de acceder al correo electrónico de una víctima, a sus plataformas comerciales, redes sociales o homebanking, por ejemplo. Las potenciales víctimas, sin saberlo, proporcionan sus cookies a los ciberatacantes cuando visitan sitios web sospechosos o hacen clic en enlaces de phishing que descargan software malicioso en su dispositivo que permiten captar las cookies de tipo "Remember-Me".

Si alguien intercepta la cookie, puede producirse un actual tipo de ciberataque denominado "secuestro de sesión", que puede poner en peligro sus datos confidenciales a manos de atacantes y puede hacer mucho daño antes, incluso, de que el objetivo sepa lo que ha ocurrido.

¿Qué es el secuestro de sesión?

Una sesión comienza una vez que el usuario se conecta a un sitio web o a una aplicación -por ejemplo, una red social- o a alguna plataforma comercial, como su homebanking. En este tipo de ciberataque, el atacante intercepta y se apodera de una sesión establecida entre un usuario y un host, como un servidor web o cualquier otra conexión basada en Transmisión Control Protocol (TCP), que es el protocolo o lenguaje que permite a los dispositivos y programas intercambiar mensajes a través de una red como Internet.

Continúa mientras el usuario se encuentre dentro de la cuenta, comprobando su perfil o participando en un hilo de conversación y termina cuando se desconecta del sistema. Cualquiera podría preguntarse: pero ¿cómo sabe el servidor web que cada solicitud que realiza procede realmente del mismo usuario?

La respuesta a dicho interrogante proviene de las cookies, habida cuenta que tras iniciar sesión el cibernauta al ingresar usuario y claves envía sus credenciales al servidor web. Éste confirma quién es el usuario y le otorga un identificador de sesión mediante una cookie que se le adjunta mientras dure la sesión. Es por esa razón que la sesión de una aplicación no se cierra cada vez que visita el perfil de alguien y ese es el motivo por el cual la tienda en línea recuerda lo que ha depositado en su cesta o carrito de la compra, aunque actualice la página.

Pero los ciberatacantes, pueden secuestrar la sesión si utilizan técnicas especiales de gestión de sesiones o se apoderan de su cookie de inicio. Así, pueden engañar al servidor web haciéndole creer que las peticiones proceden de quien realmente es el usuario autorizado.

Tipos de secuestro de sesión

El secuestro de sesiones se puede dividir en dos categorías principales, dependiendo del objetivo del perpetrador.

Puede ser un ataque activo, donde el atacante se apodera de la sesión del usuario atacado, tomando así la conexión del cliente legítimo y dependiendo del sitio de la sesión, el ciberatacante puede realizar compras en línea, cambiar contraseñas o recuperar cuentas. Un ejemplo común de ataque activo con este objetivo es un ataque de fuerza bruta, XSS o incluso DDoS.

Si se tratara de un ataque de tipo pasivo, el atacante no se apodera de la sesión ni la altera. En su lugar, vigila silenciosamente el tráfico de datos entre su dispositivo y el servidor, recopilando toda la información sensible. Por lo general, la suplantación de IP y la inyección de malware se utilizan como estrategia para llevar a cabo ataques pasivos.

¿Cómo funciona el secuestro de sesión?

En primer lugar, se debe saber que las comunicaciones entre un usuario y un sitio web se establecen mediante el uso de un protocolo de comunicación que define las reglas para la trasferencia de datos entre un navegador y un servidor web denominado Hypertext Transfer Protocol (HTTP) o -su variante más segura- Hyper Text Transfer Protocol Secure (HTTPS), que son protocolos sin estado, lo que significa que el servidor no tiene memoria de la operación del cliente. Cada nueva solicitud enviada vía HTTP o HTTPS coincide con una nueva unidad de trabajo, o dicho de forma más sencilla, el servidor sirve páginas al cliente sin recordar las solicitudes anteriores de éste.

Sin embargo, cuando navegamos por la web, lo ideal es que las aplicaciones sepan quién es el cliente y por ello gracias a esta "memoria" del servidor, es posible crear modernas áreas reservadas de sitios web, bancos en línea, servicios de correo web, entre otros. Para hacer ello posible, nació un apéndice que hace que un protocolo sin estado como HTTP o HTTPs tenga estado: las cookies remember-me.

¿Cómo funcionan las sesiones con estado?

Una vez iniciada la sesión por el usuario, las aplicaciones web que utilizan la sesión con estado dejan caer una cookie de sesión. Esto significa que se basan en esta cookie para rastrear al cliente y su actividad. Dentro de la cookie se guarda un código único que permite reconocer al cliente, por ejemplo:

SESSIONID=ACF3D35F216AAEFC.

Cualquier cibernauta que cuente con el código o identificador de sesión único antes mencionado, para el servidor web -correo electrónico, red social, plataforma comercial o homebanking- será el cliente autenticado. Si un atacante pudiera obtener este identificador, podría explotar la sesión validada inicialmente por su víctima, ya sea husmeando una sesión legítima o incluso apoderándose de la sesión por completo. Este identificador suele estar incrustado en la URL, en el campo oculto de cualquier formulario o en las cookies.

¿Y las sesiones sin estado?

Acompañando la evolución de la web, han surgido soluciones para gestionar la memoria del servidor sin utilizar cookies de sesión. En una aplicación web en la que el frontend y el backend están bien separados y sólo hablan a través de API o interfaz de programación de aplicaciones, la mejor solución podría ser un JWT -JSON Web Token-, un token firmado que permite al frontend consumir las API proporcionadas por el backend.

Normalmente, el JWT se guarda en el sessionStorage del navegador, una zona de memoria que el cliente mantiene activa hasta que se cierra la pestaña. En consecuencia, al abrir una nueva pestaña se crea una nueva sesión, a diferencia de lo que ocurre con las cookies Remember-Me.

Desde luego que desapoderar del token de identificación del cliente permite robar la sesión del usuario y realizar así un ataque de secuestro de sesión. Pero, ¿cómo se lo puede desapoderar de ese token?

Actualmente, los métodos más utilizados por los ciberatacantes son:

I. Robo de sesión:

Este método utiliza redes inseguras para averiguar el identificador de sesión, haciendo sniffing mediante un software especial y suele dirigirse a redes Wi-Fi públicas o a sitios web sin certificados SSL, muy peligrosos por su escasa seguridad.

II. Fijación de sesión:

En esta variante, la víctima utiliza el ID de sesión creado por el atacante. Puede hacerlo con un ataque de phishing -esto es, a través de un enlace malicioso- que "fija" su ID de sesión.

III. Fuerza bruta:

Este es el método más lento e ineficaz. Durante este ataque, el hacker no desapodera al objetivo de sus cookies. En su lugar, intenta todas las combinaciones posibles para adivinar su ID de sesión, mediante miles de pruebas de ensayo y error por segundo.

IV. El XSS o Cross-site Scripting:

Mediante esta técnica, un hacker aprovecha vulnerabilidades en sitios web o aplicaciones para inyectar un código malicioso. Cuando un usuario visita el sitio, el script o programa se activa, toma las cookies del usuario y las envía al centro de comando y control del ciberatacante.

V. Inyección de malware:

En esta variante, el software malicioso puede realizar acciones no autorizadas en el dispositivo del usuario para apoderarse de información personal, para interceptar cookies y enviar información al atacante.

VI. Suplantación de IP:

Un ciberdelincuente cambia la dirección IP de origen de su paquete para que parezca que procede del legítimo usuario. Debido a la IP falsa, el servidor web piensa que es el usuario legítimo y la sesión queda secuestrada.

Casos más resonantes de secuestro de sesión

Tal vez uno de los ataques más conocidos sea el de Firesheep, una extensión de Firefox que puso de relieve la importancia de HTTPS y los peligros de las redes WiFi sin cifrar. Esta extensión permitía a las personas que se encontraban en la misma red WiFi sin cifrar husmear la actividad no HTTPS de los demás. Utilizando esto, se podían copiar la cookie de sesión y apoderarse de la cuenta en línea de otra persona. Aunque se hizo para concienciar sobre la seguridad, puso de manifiesto la laguna que estaba a la espera de ser explotada y que podría tener consecuencias desastrosas para muchos usuarios. Como reacción positiva, muchos sitios web, incluidos Facebook, Twitter (ahora X), hicieron del HTTPS el protocolo de conexión por defecto.

Otro caso paradigmático fue el secuestro de cuentas de YouTube. Durante el

Año 2021, los Youtubers con gran cantidad de seguidores fueron el objetivo de esta campaña de robo de cookies. Los creadores recibían correos electrónicos de phishing que les llevaban a peligrosas réplicas de sitios web legítimos. Algunos cayeron en la trampa y acabaron descargando malware en sus dispositivos, lo que ayudó a los autores a robar las cookies de sesión de sus cuentas de YouTube.

Ello provocó que sus cuentas de YouTube fueran tomadas y utilizadas para fines ilícitos, como estafas con criptomonedas. Además, algunas cuentas fueron vendidas en mercados negros en línea por miles de dólares, dependiendo del número de suscriptores.

Finalmente, cabe mencionar el caso de FlyTrap. Apareció en el 2021 como un malware para dispositivos Android que robaba sesiones de Facebook atrayendo a los usuarios para que iniciaran sesión en aplicaciones maliciosas utilizando sus credenciales de Facebook. Las aplicaciones maliciosas disponibles en la tienda Google Play fueron retiradas desde entonces. Desplegaba tácticas de ingeniería social, como dar cupones, votar por su equipo de fútbol favorito, entre otras.

En última instancia, los usuarios iniciaban sesión a través de Facebook de forma legítima, pero dentro de un portal de vista web diseñado para secuestrar las cookies de sesión y la información personal. Todo iba a parar a los servidores de FlyTrap, que victimizó aproximadamente a 10 K usuarios en más de 140 países.

¿Cómo prevenir el secuestro de sesión?

La posibilidad de que se produzca un secuestro de sesión suele depender de la seguridad de los sitios web, plataformas, aplicaciones o redes sociales que utilice el usuario. Sin embargo, hay medidas que puede tomar para protegerse:

-Evitar la utilización de redes Wi-Fi públicas, ya que los puntos de acceso gratuitos son ideales para los ciberdelincuentes. Suelen tener una seguridad deficiente y pueden ser suplantados fácilmente por los piratas informáticos. Por no mencionar que siempre están llenos de víctimas potenciales cuyo tráfico de datos se ve constantemente comprometido.

-Navegar por un sitio que no utilice un certificado SSL le hace vulnerable, ya que no puede cifrar el tráfico. Sólo visite sitios con una conexión segura (HTTPS) para proteger sus datos de ser interceptados durante la transmisión, puede comprobarse si el sitio es seguro buscando un pequeño candado junto a la URL o dirección del sitio web.

-Es conveniente instalar una aplicación antimalware para detectar y proteger su dispositivo de malware que pueda robar información personal o cookies de inicio de sesión.

-Evite descargar programas sospechosos o maliciosos utilizando las tiendas de aplicaciones o los sitios web oficiales para descargar aplicaciones.

-Si recibe un mensaje donde se le requiere que haga clic en un enlace desconocido, no lo haga, sin escanearlo antes por alguna plataforma como Virus Total. Podría tratarse de un ataque de phishing que puede infectar su dispositivo y robar sus cookies de inicio de sesión.

-Borre regularmente sus cookies de su navegador de Internet.

-Reconozca los riesgos de hacer clic en la casilla de verificación "Recordarme" al iniciar sesión en un sitio web, siendo una práctica claramente desaconsejable.

-Supervise periódicamente el historial de inicio de sesión reciente del dispositivo desde la configuración de su cuenta.

Buena suerte y hasta luego

Con sólo otear el lienzo en la que diariamente se plasma nuestra epocalypsis actual, se puede avizorar que el Ciberespacio se ha erigido en la síntesis que contiene gran parte de las no cosas y ofrece algunas soluciones cómodas, bajo un cielo cubierto de nubes de donde llueve señales binarias, pero también apareja nuevos riesgos. En un contexto de humanidad ampliada, la prevención es la clave para hacer de la tecnología una aliada y no la puerta de ingreso a una distópica versión del presente anhelado.

Por ello, junto al Instituto Superior de Formación Docente y Técnica N° 2 de Azul (ISFDyT N° 2) hemos generado un espacio de encuentro, debate, reflexión y fortalecimiento del eslabón más débil -cada uno de los miembros de la comunidad- que todos los lunes, a las once horas y en la frecuencia 88.3 del dial, nos permitirá seguir brindado herramientas para resolver autobiográficamente todas estas contradicciones sistémicas. Estimados cibersujetos, los esperamos en: "Epocalypsis. El impacto del Ciberespacio en la vida cotidiana".

(*) Juez en lo Civil y Comercial de la Provincia de Buenos Aires. Docente de Grado y Posgrado en Universidades y Organismos Nacionales y Extranjeros. Investigador. Autor de obras individuales y coautor en obras colectivas. Miembro admitido por la Asamblea General de Naciones Unidas del Comité Ad Hoc para la elaboración de una Convención Internacional sobre la Lucha contra el Uso de las Tecnologías de la Información y de las Comunicaciones con Fines Delictivos de la ONU. Profesor invitado en las universidades Santa Marta La Antigua de Panamá, en la Escuela Judicial "Rodrigo Lara Bonilla" de Colombia, en el I.N.S.J.U.P. del Órgano Judicial de Panamá, en el Superior Tribunal de Cali en Colombia, en el Rotary de Guadalajara, México. Especialista convocado por las Comisiones de Derechos y Garantías y de Justicia y de Asuntos Penales del Honorable Senado de la Nación. Gerenciador, tutor y consultor en más de treinta organismos jurisdiccionales. Miembro de Red Internacional de Justicia Abierta.