¿Qué es el secuestro de sesión?

Pueden ocurrir muchas cosas entre el inicio y el cierre de sesión. Dos máquinas distintas se comunican en una red y comparten algunos parámetros de comunicación comunes. Esto se realiza mediante el envío de paquetes de datos entre dichas máquinas; este proceso se denomina protocolo de enlace de tres vías. Algunos atacantes buscan sesiones a las que puedan acceder y explotar los datos de los usuarios. Los usuarios deben asegurarse de iniciar sesión en un entorno seguro y utilizar cortafuegos de aplicaciones web para detectar anomalías en el tráfico. Estas son medidas primarias. Para solucionar problemas más graves, es necesario conocer el secuestro de sesión.

El secuestro de sesión (también conocido como secuestro de cookies o secuestro de cookies) es uno de los ataques de intermediario más sofisticados, que otorga al atacante acceso a las sesiones web de la víctima. Consiste en la capacidad del atacante para tomar el control de una parte de la sesión del usuario. Este proceso le proporcionaría acceso a datos confidenciales, como información personal y financiera (PII y PCI), que podrían estar protegidos mediante una clave o contraseña.

El secuestro de sesión permite a un atacante evadir cualquier tipo de protección mediante contraseñas autenticando la conexión existente. Supongamos que un atacante está espiando la red del usuario A; este atacante sabrá qué sesiones están abiertas en el sistema de gestión de red del usuario. Este proceso ocurre si el atacante conoce la dirección (por ejemplo, 14.0.0.1) y el sistema de claves del usuario (14.0.0.100). A continuación, el atacante enviará paquetes al sistema de gestión de red (NMS) en esta dirección (14.0.0.1). Este proceso provoca que el usuario corte su conexión y continúe enviando paquetes a 14.0.0.100 con la dirección falsificada (14.0.0.1). En este escenario, la sesión del usuario A ha sido secuestrada.

El secuestro de sesión suele dirigirse contra usuarios de grandes redes con un gran número de sesiones abiertas. Los protocolos de red como FTP, Telnet y el inicio de sesión son los preferidos por los atacantes debido a la naturaleza secular de sus conexiones y la duración de sus sesiones de comunicación.

Ejemplos populares de secuestro de sesión

Protocolo de transferencia de hipertexto (HTTP) Es un protocolo sin estado con cookies de sesión adjuntas a su cabecera. Cuando un usuario inicia sesión en un sitio web, entra en juego el concepto de HTTP. De esta forma, el servidor identifica el navegador del usuario.

Recientemente, el secuestro de sesiones ha sido eclipsado por el spyware, los rootkits, las redes de bots y los ataques de denegación de servicio, pero sigue siendo un ciberataque de uso común.

Existen diversos exploits y herramientas que los atacantes pueden usar para acceder. En 2017, un investigador de seguridad detectó un problema en GitLab. El token de sesión de un usuario se encontraba directamente en la URL. Tras una inspección más detallada, se descubrió que el token de sesión de GitLab nunca expiraba, lo que significa que un atacante podría usarlo sin que expirara.

Otro ejemplo es CookieCadger, una herramienta de código abierto que detecta información filtrada en sitios web y aplicaciones web. Puede monitorizar redes Wi-Fi no seguras y conexiones Ethernet cableadas para visualizar las cookies de sesión.

De manera similar, FireSheep fue una extensión del navegador lanzada por Firefox en 2010. Esta extensión abrió una vulnerabilidad para las personas que usaban el navegador en redes públicas.

¿Qué hace que el secuestro de sesión sea tan peligroso?

Los riesgos derivados del secuestro de sesiones no se pueden eliminar con parches de software, autenticación multifactor ni contraseñas complejas. Este ataque explota los tres aspectos de la tríada CIA, que representa un modelo representativo de los conceptos de seguridad: confidencialidad, integridad y disponibilidad. Cuando un ataque tiene éxito, el atacante obtiene la capacidad de leer y modificar datos, lo que viola el modelo CIA.

Tipos de métodos de secuestro de sesiones

Existen varios tipos de métodos de secuestro de sesión, y saber cómo funcionan ayuda a identificarlos y a estar al tanto de ellos.
Los más comunes son:

1. Secuencias de comandos entre sitios (XSS)

   El secuestrador encuentra puntos débiles en el servidor objetivo y se aprovecha de ello insertando scripts en la página web. Esta página carga este código, creyendo que todo parece legítimo en el lado del cliente. Una vez cargado el código, el navegador web revela el ID de sesión del usuario (clave de sesión) al secuestrador.

2. Secuestro lateral de sesión

   Este tipo de ataque, también conocido como rastreo de sesiones, es más activo. Sin embargo, para ello, el secuestrador necesita acceder al tráfico de red del usuario. Para ello, utiliza técnicas de rastreo de paquetes como Kismet o Wireshark para monitorear y robar cookies de sesión tras explorar la sesión del usuario.

3. Fijación de Sesión

   En este tipo de ataque, los atacantes crean un ID de sesión que el usuario utiliza tras ser engañado. El ID de sesión puede configurarse mediante URL o formularios enviados por correo electrónico, lo que redirige al sitio web del atacante. Una vez que el usuario inicia sesión, el secuestrador obtiene acceso a sus datos.

4. Fuerza Bruta

   Esto funciona principalmente si el sitio web o el usuario objetivo utilizan identificadores de sesión predecibles, que el atacante debe adivinar para ejecutar el ataque. Otro escenario se da cuando el secuestrador obtiene acceso a una lista de identificadores de sesión de un sitio web con medidas de seguridad débiles.

5. El hombre en el navegador

   Esto también se conoce como ataques de intermediario o malware. En este tipo de ataque, el atacante infecta el ordenador del usuario con malware y virus, lo que le permite secuestrar una sesión. Es muy difícil detectar problemas con la aplicación web o la seguridad del sitio web.

¿Cómo funciona el secuestro de sesión?

Existen diversas técnicas o métodos para secuestrar una sesión, como el rastreo de sesiones, el cross-site scripting, el uso de un ID de token de sesión predecible, etc. Pero el escenario básico sigue siendo el mismo:
Esto ocurre cuando un secuestrador obtiene acceso a la sesión de un usuario sin autorización robando su cookie de sesión y confundiendo al navegador haciéndole creer que el atacante es un usuario real.

Este proceso se desarrolla en dos etapas principales, como cuando el usuario abre una aplicación o sitio web, que instala una cookie temporal, también conocida como cookie de sesión. Estas cookies de sesión ayudan a mantener la autenticación del usuario y a rastrear su actividad. Sin embargo, permanecen en el navegador hasta que la sesión del usuario caduca automáticamente o este cierra sesión manualmente. Los ciberdelincuentes pueden realizar ciberataques utilizando diversos métodos para robar los ID de sesión (como se mencionó anteriormente). El flujo básico consiste en localizar el ID de sesión en la cookie y utilizar la información que contiene para secuestrar la sesión del usuario original. Una vez que obtienen la sesión, estos ciberdelincuentes pueden aprovechar el ID de sesión robado. Dependiendo de su motivación, pueden usar la sesión activa para extraer datos personales o realizar actividades ilegales.

¿Cómo protegerse contra el secuestro de sesión?

El secuestro de sesión es una de las principales amenazas a la ciberseguridad, pero existen varias maneras en que un usuario puede protegerse. Algunos pasos son:

1. Evitar el wifi público

   Los usuarios nunca deben usar redes Wi-Fi públicas, especialmente cuando realizan transacciones importantes en línea como operaciones bancarias, compras, pagos, etc. Un atacante cercano puede usar la interceptación de paquetes para obtener las cookies de sesión de un usuario.

2. Utilice frameworks web para la gestión de cookies de sesión.

   Cuanto más largas y aleatorias sean las cookies de sesión, más difícil será adivinarlas o predecirlas. La mejor opción es usar un framework web para generar y gestionar nosotros mismos el sistema.

3. Cambiar la clave de sesión después de la autenticación

   El mejor método de protección es cambiar la clave de sesión inmediatamente después de iniciar sesión. De esta forma, incluso conociendo la clave original, el atacante no sabrá qué clave usará el usuario para la sesión de prueba.

4. Sistemas de detección de intrusiones (IDS) y sistemas de protección contra intrusiones (IPS)

   Estos sistemas comparan el tráfico del sitio con una base de datos de numerosas firmas de ataque conocidas. Si se encuentra una coincidencia, bloquean el tráfico y alertan al propietario. Son métodos costosos, pero eficaces.

5. Usar HTTPS

   Esto es para asegurar SSL o TLS tipos de cifrado en todo el tráfico de sesión. Esta medida ayuda a impedir que el atacante intercepte el ID de sesión, incluso después de observar su tráfico de red. Un enfoque aún mejor es usar HSTS (HTTP Strict Transport Security).

6. Adopción de herramientas de ciberseguridad

   Una de estas herramientas de ciberseguridad es el software de protección DDoS y la tecnología de engaño para registrar cuidadosamente el inicio y el cierre de sesión en cada sesión.

Conclusión

Siempre existe la posibilidad de ser víctima de secuestro de sesión, pero seguir los pasos anteriores y estar atento a los síntomas puede ayudar. Se está investigando mucho para solucionar esta vulnerabilidad, pero la mejor prevención hasta ahora es que los usuarios estén alerta ante el robo de su ID de sesión.