Browser-in-the-browser no es nada más, ni nada menos, que un tipo de ataque de phishing. Cabe remarcar que, para los especialistas en ciberseguridad, es de los más molestos, ya que su funcionamiento es extremadamente simple, pero verdaderamente efectivo, provocando que se propague a la velocidad de la luz.
Browser-in-the-browser, también conocido como BitB, consiste en crear lo que parece, a ojos de los usuarios, una ventana emergente dentro del navegador, pero con la diferencia que, en este caso, se trata de una página web renderizada en una ventana existente.
Lo que pretenden los ciberdelincuentes con BitB es mostrarnos una ventana similar a lo que queremos ver o hemos buscado, pero en realidad, es otro sitio web diferente y que, con un poco de conocimientos podremos detectar fácilmente, sobre todo si nos fijamos en la URL del sitio. Esta será diferente a la búsqueda que hemos realizado.
En este caso, el nivel de efectividad tendrá más que ver con el diseño web y lo bien conseguida que esté la imitación de la página, que no en la piratería de la red. El problema, es que, en la mayoría de casos, está demostrado que el diseño es bueno, ya que el ataque es efectivo.
A continuación te presentamos un ejemplo simple de una de las maneras que utilizan los ciberdelincuentes para implementar un BitB utilizando HTML y JavaScript. En este ejemplo lo que se hace es utilizar un IFRAME para incrustarlo en un sitio web, dentro de otra página web.
Al tratarse de un tipo de ataque de phishing, browser-in-the-browser puede provocar:
Robo de contraseñas (correo electrónico, redes sociales, etc.).
Rastreo de actividades del usuario como por ejemplo, registrar las teclas que se presionan, realizar capturas de pantalla o incluso grabar audio y video sin el consentimiento ni conocimiento del usuario.
Inyección de malware, es decir, aprovechar para ejecutar malware en un sistema.
Secuestro de sesiones
Robo de datos bancarios
Pérdida de control de la cuenta y suplantación de identidad.
En caso de que ocurra alguna de las situaciones que te comentamos a continuación, estarás ante un caso de browser-in-the-browser:
No podemos abrir una nueva ventana en la barra de tareas para el login.
No nos permite modificar el tamaño de la ventana emergente.
Imposible cambiar el contenido de la barra de direcciones.
Desaparece la ventana emergente al minimizar la ventana principal. Importante recordar que las ventanas que tenemos abiertas, aunque minimicemos una de ellas, las otras siguen abiertas y a la vista.
Al arrastrar la ventana emergente fuera del borde del navegador, esta se atasca y no se separa.
Importante asegurarnos que los navegadores, sistemas operativos y todas las aplicaciones están actualizadas con las últimas versiones y parches de seguridad.
Para garantizar la seguridad de un sitio web podemos instalar extensiones propias del navegador que bloquean el accesos a páginas web poco fiables o seguras. Un ejemplo sería la extensión AdBlock.
Importante asegurarnos que las webs por las que intentamos navegar son seguras, es decir, cuentan con certificado SSL.
La verificación de doble factor (2FA) se trata de añadir una capa extra de protección a tu información, un paso más para asegurar que eres tú el que está intentando acceder a la cuenta y no un tercero no autorizado.
Configurar la privacidad de nuestro navegador para limitar la cantidad de información que se comparte automáticamente, es importante para prevenir la fuga de datos.
La descarga de aplicaciones, programas y ficheros puede ser una de las causas de la entrada de malware en un sistema, por eso es de suma importancia que vigilemos el tipo de información que nos descargamos y en qué página.
Ante amenazas cada vez más sofisticadas, sobre todo aquellas que utilizan la inteligencia artificial, es necesario contar con soluciones antivirus o endpoints capaces de hacer frente a estas amenazas. Por ejemplo, nosotros siempre recomendamos trabajar con antivirus que utilicen la tecnología XDR.
Realizando las siguientes acciones, las probabilidades de sufrir un ataque de phishing se verán considerablemente reducidas.
Por otro lado, en ESED disponemos de un servicio de simulación de phishing, así como, formaciones en ciberseguridad para ayudar a las empresas a comprender mejor a qué tipo de amenazas se enfrentan, y cómo detectarlas sin necesidad de tener conocimientos técnicos profundos.