¿Qué es el secuestro de sesión?

Benjamin Scott
cookie hijacking

El secuestro de sesión es un ciberataque que existe desde hace tiempo. Los hackers usan la tecnología subyacente de Internet para realizar este ataque, así que no es probable que vaya a desaparecer pronto. Aunque el secuestro de sesión es difícil de detectar hasta que es demasiado tarde, hay unas cuantas cosas que los usuarios pueden hacer para velar por la seguridad de sus conexiones y datos.

Sesiones y cookies

Cada vez que te conectas a Internet, el sitio web que estás visitando y tu navegador inician una sesión. Estos intercambian información para identificarse mutuamente y el sitio web envía una cookie de sesión (entre otras cosas) para mantener esa autenticación durante tu sesión.

Las cookies son pequeños archivos que contienen información sobre los usuarios. Por ejemplo, una cookie de sesión permite a una tienda electrónica saber lo que has puesto en tu carrito de compra incluso después de que hayas abandonado la página. A causa de las cookies, los formularios de Internet ofrecen sugerencias basadas en las cosas que has introducido anteriormente en ellos. También son el motivo por el que recibes anuncios adaptados específicamente a ti: si miras unas deportivas en Amazon, su foto te va a perseguir por toda la red durante días.

Si bien las cookies pueden ser invasivas, también son prácticas. No tienes que iniciar sesión cada vez que entras en una red social ni rehacer tu carrito de compra, y las páginas que visitas a menudo se cargan un poco más rápido. Por desgracia, si no vas con cuidado, las cookies podrían meterte en líos.

¿Cómo funciona el secuestro de sesión?

Fundamentalmente, un ataque de secuestro de sesión es un robo de cookies. Si inicias sesión en tu cuenta de red social en el ordenador de una biblioteca, el sitio web envía una cookie de sesión para que no te expulsen de tu cuenta en la siguiente página. Si alguien roba esa cookie, podría hacerse pasar por ti y hacer mucho daño.

Un atacante podría ver toda la información de tu cuenta, como tu nombre, tu correo electrónico, tu número de teléfono, tu dirección, los datos de tu tarjeta de crédito, etc. Puede comprar algo y usar tu tarjeta para pagarlo o enviar mensajes no deseados a tu lista de contactos con enlaces de phishing.

Tipos de secuestro de sesión

Los ataques de secuestro de sesión pueden producirse de varias formas diferentes:

  1. Secuestro de sesión. Podría suceder cuando te conectas a una red no protegida, como una red wifi pública. El atacante puede interceptar o espiar una conexión y ver lo que están haciendo en internet otras personas en la misma red. Si el sitio web que estás visitando no usa cifrado de TLS, todo lo que haces en él será visible para el intruso, incluidas tus cookies de sesión. De este modo, el atacante puede continuar tu sesión incluso después de que te hayas desconectado.

  2. Suplantación de IP. Es un ataque de intermediario, similar al secuestro de sesión. El atacante utiliza esta técnica para hacerse pasar por ti desde el principio. Cuando intentas conectarte a un sitio web, tendrás que realizar un establecimiento de comunicación TCP. Si te conectas a través de una red wifi no segura, el hacker se interpondrá en medio de este apretón de manos a tres bandas justo antes del tercer paso. Utilizará tu dirección IP (suplantación de IP) para engañar al servidor haciéndole creer que eres tú y realizar la tercera parte del apretón de manos TCP. A partir de este momento, puede recibir todas las cookies y comunicarse con el sitio web en tu nombre.

  3. Ataque de fuerza bruta. Funciona de la misma manera todos los ataques de fuerza bruta. El ciberdelincuente probará todos los tókenes de sesión posibles con la esperanza de encontrar el correcto y poder hacerse con el control de tu cuenta.

  4. Fijación de sesión. Puedes pensar en ello como un secuestro de sesión, pero invertido. Así, en lugar de robar una cookie de sesión válida y existente, durante la fijación de sesión el atacante planta una cookie de sesión predefinida en el navegador de la víctima. Una vez que la víctima inicia sesión en un sitio web, inevitablemente utilizará la misma cookie de sesión que el atacante ha plantado y ya conoce, y por lo tanto la cookie propiedad del atacante ahora está autenticada y puede ser explotada.


¿Cómo puede evitarse el secuestro de sesión?

  • Nunca te conectes a una red wifi no protegida. Utiliza tus datos móviles cuando estés en una cafetería, ya que es mucho más seguro. Si te conectas a un punto público de acceso inalámbrico, no introduzcas ninguna información personal, como credenciales de inicio de sesión o datos de tarjetas de crédito.

  • ¿Viajas mucho y las redes wifi de aeropuertos u hoteles son un elemento indisociable de tu trabajo? Entonces usa una VPN para cifrar tu conexión a internet.

  • Comprueba todas las aplicaciones y programas informáticos antes de descargarlos. Asegúrate de que el desarrollador sea de fiar y de que no se trate de una estafa. Algunas aplicaciones están diseñadas para parecer reales, pero, una vez instaladas, siembran programas maliciosos en tu dispositivo.

  • Hazte con una herramienta contra los programas maliciosos para proteger tus dispositivos. No solo detendrá cualquier intento de secuestro de sesión, sino que también garantizará la seguridad de tus datos y tus cuentas de Internet.

  • Presta atención en Internet. El phishing y el scareware dependen de nuestras emociones para nublarnos el juicio. Si recibes un correo electrónico informándote de que alguien ha intentado acceder a tu cuenta y deberías actuar ya, no hagas clic en el enlace sin pensar. Comprueba el remitente: ¿parece una dirección de correo electrónico legítima? ¿Hay erratas en el texto? ¿Parece que los tipos de letra no son los correctos? Si algo te parece raro, podría tratarse de un correo electrónico de phishing. Deberías abrir una pestaña nueva y dirigirte a la cuenta supuestamente hackeada para ver si realmente ha pasado algo.

Suscríbete a las noticias de NordPass

Recibe las últimas noticias y consejos de NordPass directamente en tu bandeja de entrada.