Cóctel explosivo de cookies

La cookies llegaron para facilitar la vida del usuario a la hora de navegar por la red, o eso nos dijeron, porque en realidad se han convertido en una forma de espiar al navegante conociendo al detalle sus hábitos de navegación y permitiendo realizar todo tipo de estadísticas con un 100% de acierto.

Pero la mayor comodidad para el usuario y tal vez la única que realmente es interesante, como es la posibilidad de acceder a una web que requiere autenticación sin necesidad de autenticarse cada vez que se acceder a ella, es, nuevamente, la mayor pesadilla que puede haber para el usuario (me refiero al usuario que es consciente de ello, por supuesto, el resto serán felices en su ignorancia). En concreto, estoy hablando de las cookies de sesión.

Las cookies de sesión permiten que cuando se accede a una web que requiere autenticación, ésta sepa que la última vez que se accedió a la web se dejó la sesión abierta y debe continuar en el mismo sitio donde se quedó el usuario. Por lo general, este tipo de cookies tienen una fecha de caducidad que determina el desarrollador de la web y suele oscilar en torno a una semana, un mes, un año o… «para siempre». Además, algo que se debe respetar es que una web, no pueda acceder a las cookies de sesión de otra web y suele ser así, hasta que entras en web que son propiedad de Facebook, Google, Apple, Microsoft y compañía. Esta empresas, se permiten, impunemente, fisgonear en las cookies de otras web para alimentar sus bases de datos y, por descontado, lo hacen sin el consentimiento expreso del usuario y sin avisarle de que lo están haciendo.

Pero esto es pecata minucia en el mundo de los ciberataques, porque en realidad no se trata de un ataque, sino de una práctica poco ética que está haciendo equilibrios entre la legalidad y la ilegalidad. Lo verdaderamente peligroso es que estas cookies de sesión pueden dar pie a un ataque en toda regla y que te puede hacer mucho daño, ya que puede ser la entrada a una suplantación de identidad, un vaciado de tu cuenta corriente o cosas peores, si es que la hay.

Ahora que ya te he metido el miedo en el cuerpo, te voy a explicar lo sencillo que es hacer uso de las cookies de sesión de tu ordenador y cómo es posible robarte la identidad. Pero por suerte para ti, también te voy a explicar cómo protegerte de ello.

Raspberry Pi Zero convertida en dispositivo PoisonTap

En la foto que ves arriba, tenemos una Raspberry Pi ZeroW, metida en una carcasa que hice y montada sobre una placa con un puerto USB que sirve para alimentar a la Raspberry Pi y comunicarse con el ordenador en el que la conectes. Este montaje, junto con el software adecuado, se denomina PoisonTap y puede convertirse en tu peor pesadilla si alguien lo pincha en tu ordenador sin que tú lo sepas. Veamos lo que hace.

Lo primero que hace es emular una conexión Ethernet (una conexión de red por cable) a través del puerto USB. Una vez hecho esto, engaña al ordenador para que pase todo el tráfico de Internet a través de la Raspberry Pi y lo va almacenando, incluidas las cookies y en especial las cookies de sesión. Mientras tanto instala en el ordenador un puerta trasera (backdoor) para poder acceder remotamente desde Internet y poder ver con calma qué es lo que hay almacenado y descargar lo más interesante. Además no es necesario que la Raspberry permanezca conectada al ordenador ya que el malware con el que se infecta al ordenador atacado queda instalado y bien camuflado en él ejecutándose cada vez que el ordenador se enciende y con el agravante de que los antivirus no lo detectan como un virus o un troyano.

Aparte del robo de información que se puede producir, el hecho de que te roben las cookies puede llevarte fácilmente a una suplantación de identidad, ya que si tienes una sesión abierta en una web, PoisonTap descargará la cookie de sesión que le dice a la web que estás conectado y al copiarla en el ordenador del atacante, simplemente se conectará a la web y ésta interpretará que tú has accedido a ella desde otro ordenador mostrando la sesión abierta con tus credenciales. Desde ese momento, tú has perdido el control, porque podrán cambiar tu contraseña, extraer información, enviar correos en tu nombre o realizar cualquier acción que se pueda hacer en esa web como hacer una transferencia de tus fondos a la cuenta del atacante. Esto no lo haría un atacante con un mínimo de inteligencia, porque le pillarían a la de tres, pero sí que podría comprar criptomonedas en tu nombre y eso ya sí sería una operación anónima e imposible de rastrear.

Bien. ahora ya sabes a lo que te enfrentas, así que vamos a ver cómo evitar ciertos riesgos.

Lo más evidente es que jamás dejes que nadie pinche en tu ordenador nada de nada y menos si es alguien como yo «que te va a enseñar cómo mola mi Raspberry Pi que se convierte en un ordenador cuando coge corriente de tu ordenador«. Si le dejas que te enseñe eso, la has cagado.

En cuanto a las cookies, lo mejor que puedes hacer es que jamás permanezcan almacenadas en tu ordenador después de que cierres el navegador. Ya sé que te es muy cómodo no tener que teclear tu usuario y contraseña cada vez que entras en tu correo, por ejemplo, pero ya te he contado los riesgos que supone, así que evítalos, sí o sí. Accede a la configuración de tu navegador, ve a las opciones de privacidad y dile que no recuerde las contraseñas y que borre todos los datos de navegación al salir. Ahora instala un gestor de contraseñas y que sea éste quien rellene el usuario y la contraseña cuando accedas a una web. Con esto estarás seguro, aunque si tu contraseña es 1234, pues ya sabes: Estás vendido.

Si quieres dar un paso más en la seguridad, también puedes usar el teclado en pantalla o teclado virtual a la hora de teclear las contraseñas. Podrían haberte intaslado un keylogger en tu ordenador y el atacante conocer qué tecleas y dónde lo haces, con lo que ya no necesitará robarte las cookies de sesión para acceder a una web con tu sesión abierta. Le bastará con teclear tu usuario y contraseña, esa que tú le has dicho al teclearla. Y para hacer que le sea un poco más difícil el acceder a tus cuentas, activa la doble verificación allá donde te sea posible hacerlo, para que además de conocer el usuario y contraseña, el atacante deba introducir un código que se generará en una app instalada en tu móvil o que la web te envíe por SMS. Y si en vez de esto, puede usar una llave de seguridad U2F o un sistema biométrico, mejor que mejor. Ten en cuenta que tarde o temprano, si ven que tienes algo que quieren, accederán a tus cuentas de una u otra forma, pero lo importante es ponérselo lo más difícil posible.

Ya te hablaré en otra ocasión de este tipo de sistemas de protección, pero de momento de tejo con un vídeo de Samy Kamkar, el creador de Poison Tap donde te explica sus excelencias. Está en inglés, así que si no lo entiendes, activa los subtítulos para no perderte nada, porque no tiene desperdicio.

Author: fbno

Sarcástico, irónico y cáustico. Agnóstico, irreverente, apolítico, apátrida y ciertamente asocial. Defensor del abstencionismo reflexivo y amante de la penúltima cerveza y del Rock.