Browser-in-the-Browser, una técnica de phishing

Los ciberdelincuentes no cesan en su búsqueda de nuevas técnicas de ingeniería social para engañar a los usuarios y así hacerse con sus datos personales. Por eso hoy queremos alertarte de una técnica de phishing que es cada vez más utilizada y que puede ser casi indetectable, se trata del Browser-in-the-Browser (BitB).

Qué es el Browser-in-the-Browser

Seguramente, habrás visto que, a la hora de registrarte en alguna web, ya sea para realizar una compra, dar de alta algún servicio etc…, cada vez es más habitual poder hacerlo utilizando las credenciales de tus redes sociales como Facebook, Twitter, o con el usuario y contraseña de Google, Apple o Microsoft, entre otras. Es lo que se llama OAuth, o estándar abierto de autenticación.

El OAuth permite registrarte con una misma cuenta, en diferentes servicios. Esto evita tener que pensar y recordar usuarios y contraseñas para cada sitio online en el que te das de alta.

Pues bien, los hackers han visto aquí una nueva oportunidad y es como llevan a cabo el robo de datos personales, mediante el BitB.

Browser-in-the-Browser consiste en crear páginas copiando la apariencia de las reales para suplantar su identidad. Al simular una página de un servicio online, los ciberdelincuentes introducen una ventana emergente de inicio de sesión único, para que creas que es una ventana de inicio de sesión real, e introduzcas tus sus credenciales.

Si caes en una web de autenticación de este tipo, el riesgo que puedes correr es importante, pues automáticamente los atacantes tendrán acceso a la cuenta con la que te has autenticado, ya sea una de tus redes sociales, tu cuenta de correo y todas aquellas webs donde hayas accedido con esa identificación. Esto conlleva un gran perjuicio, pues podrán conseguir todos tus datos personales y bancarios, además de controlar tus cuentas, realizar un uso fraudulento y suplantar tu identidad.

Cómo detectar un BitB

Como comentábamos, las técnicas de ingeniería social cada vez son más sofisticadas y para detectar el Browser-in-the-Browser hay que estar muy atentos. Estos son los indicios que detalla la Oficina de Seguridad del Internauta (OSI) y que podrán hacerte sospechar si se tratas de una ventana de inicio de sesión falsa:

1. No se abre una nueva ventana en la barra de tareas para logarse.
2. Al minimizar la ventana principal desaparece la emergente. Cuando la pantalla es real, al minimizar la ventana emergente para logarse, la principal se mantiene. Si ese no es el comportamiento, se trata de un caso de BitB.
3. No te permite modificar el tamaño de la ventana emergente.
4. Al intentar modificar el contenido de la barra de direcciones, no deja.
5. Si intentas mover la ventana emergente de inicio de sesión a otro parte de la pantalla y no deja, se queda fija y no se separa, es otro síntoma de que se trata de una ventana maliciosa.

Cómo evitar ser víctima de Browser-in-the-Browser

Para evitar ser víctima de este tipo de phishing te dejamos las siguientes recomendaciones:

• Lo primero de todo, es crear contraseñas seguras y robustas en cualquier web, red social o cuenta de correo.
• Aunque es atractivo y te facilita la vida logarte con el sistema OAuth, hay otras alternativas que te permiten una mayor seguridad como son los gestores de contraseñas. Hoy en día vienen incorporados de forma nativa en la mayoría de los smartphones según su sistema operativo y en caso de no disponer de uno, también existen aplicaciones de terceros para guardar las contraseñas.
• Siempre que sea posible, configura la autenticación en dos pasos. Los sistemas bancarios en Europa ya obligan a este doble factor de autenticación. De este modo, para poder acceder, será necesario introducir una segunda clave o numeración que te llegará al móvil o correo, según esté configurado.
• Verifica y presta atención a las ventanas emergentes teniendo en cuenta los puntos mencionados en el apartado anterior.
• Utiliza analizadores de URL como WoT safe Browsing Tool. Se trata de una extensión para navegadores de Internet que verifica si la web a la que se está accediendo es segura y te avisa de posibles phishing, malware o enlaces peligrosos. Este es solo un ejemplo, hay otras opciones disponibles como URLVoid, entre otras.
• Sospecha o estate más alerta sino es una página conocida y ante cualquier duda consulta en la red. Como siempre decimos, este tipo de estafas en seguida se denuncian por las cuentas oficiales de las entidades a las que están suplantando, en las cuentas de Twitter de la Policía o Guardia Civil, por la OSI, e incluso por los internautas.

Esperamos que con toda esta información puedas evitar ser víctima de esta modalidad de phishing.