Los ciberdelincuentes han intensificado sus tácticas, dejando atrás el simple robo de contraseñas para enfocarse ahora en el secuestro de sesiones activas, una amenaza que representa un desafío considerable para las empresas en la protección de sus activos digitales. Esta técnica emergente permite a los atacantes eludir sofisticadas medidas de seguridad, como la autenticación multifactor (MFA), accediendo a cuentas sin necesidad de obtener las credenciales de los usuarios. Según informes de Microsoft, en 2023 se registraron 147.000 ataques de repetición de tokens, un aumento del 111% en comparación con el año anterior.
El secuestro de sesión se basa en la manipulación de tokens de autenticación y cookies, elementos que mantienen a un usuario identificado en una plataforma dada. Aunque no se trata de un método novedoso, su relevancia ha crecido con el auge de aplicaciones en la nube. Los atacantes aprovechan servicios de identidad, como Okta o Entra, que facilitan el acceso a múltiples aplicaciones mediante un inicio de sesión único.
Dos son las estrategias principales que alimentan este tipo de ataques. En primer lugar, el phishing avanzado, con herramientas como Modlishka y Evilginx, permite interceptar tokens y cookies actuando como intermediarios entre la víctima y el sitio web legítimo. En segundo lugar, los infostealers, un tipo de malware diseñado para robar información almacenada en navegadores, incluyendo las codiciadas cookies de sesión.
El secuestro de sesiones no solo simplifica el proceso de ataque sino que también evita barreras adicionales de seguridad, permitiendo a los intrusos mantener el acceso a una cuenta durante largos periodos. Es especialmente crítico en plataformas con datos sensibles, como herramientas de colaboración empresarial.
Ante esta amenaza, las empresas deben adoptar medidas integrales de ciberseguridad. Un enfoque es la implementación de MFA adaptativo, complementado con tecnologías para detectar y bloquear comportamientos anómalos en tiempo real. Además, la detección de anomalías en las sesiones y la protección avanzada contra phishing son vitales. Las herramientas de detección y respuesta en endpoints (EDR) se vuelven esenciales para prevenir el robo de información sensible por infostealers.
La protección de la identidad digital de los usuarios se torna vital en este nuevo panorama. Con el uso de tecnología avanzada y protocolos robustos, es posible minimizar el impacto de estos ataques, brindando mayor seguridad a empresas y usuarios por igual. En definitiva, el desafío es mantenerse un paso adelante en un terreno donde las técnicas de ciberataque evolucionan con rapidez y sofisticación.
