Las cookies son pedacitos de datos recopilados por los sitios web para rastrear la actividad de los usuarios en línea con el fin de crear experiencias personalizadas en el futuro. Aunque se las considera a menudo como una molestia inofensiva, pueden, en las manos equivocadas, representar un riesgo para la seguridad. Esto se debe a que, cuando los sitios web almacenan estas cookies, usan una ID de sesión única que identifica al usuario en el futuro sin necesidad de contraseña o inicio de sesión. Una vez que poseen la identificación del usuario, los estafadores pueden engañar a los sitios web haciéndoles creer que en realidad son la víctima y tomar el control de la cuenta de la misma. Y eso es exactamente lo que hicieron estos ladrones de cookies al desarrollar troyanos con una codificación similar controlada por el mismo servidor de mando y control (C&C por sus siglas en inglés).
El primer troyano adquiere los derechos de root (raíz) en el dispositivo de la víctima, lo que permite a los ladrones transferir las cookies de Facebook a sus propios servidores.
Sin embargo, muchas veces no basta con tener el número de identificación para tomar el control de la cuenta de otra persona. Algunos sitios web tienen medidas de seguridad que evitan intentos de inicio de sesión sospechosos; por ejemplo, de un usuario previamente activo en Chicago que intenta iniciar sesión desde Bali solo unos minutos más tarde.
Ahí es donde entra en acción el segundo troyano. Esta aplicación maliciosa puede hacer funcionar un servidor proxy en el dispositivo de la víctima para eludir las medidas de seguridad y obtener acceso sin que surjan sospechas. A partir de ahí, los delincuentes pueden hacerse pasar por la víctima y tomar el control de su cuenta de redes sociales para distribuir contenido no deseado.
Si bien el objetivo final de los ladrones de cookies sigue siendo desconocido, una página que fue descubierta en el mismo servidor de C&C podría proporcionar la pista: la página anuncia servicios para distribuir spam en redes sociales y mensajes instantáneos. En otras palabras, los ladrones pueden estar buscando acceso a la cuenta como una forma de lanzar ataques generalizados de spam y phishing.
“Al combinar dos ataques, los ladrones de cookies han descubierto una forma de tomar control de la cuenta de sus víctimas sin que surjan sospechas. Aunque esta es una amenaza relativamente nueva (hasta ahora solo han sido atacadas unas 1.000 personas), la cifra está creciendo y probablemente continuará haciéndolo, especialmente porque es muy difícil de detectar por los sitios web. Aun cuando normalmente no prestamos atención a las cookies al navegar por la web, siguen siendo otro medio de procesar nuestra información personal, y cada vez que esa información sobre nosotros es recopilada en línea debemos prestar atención”, dice Igor Golovin, analista de malware en Kaspersky.
Lea más sobre Cookiethief en Securelist.
Así es como puedes evitar convertirte en una víctima del robo de cookies, según los expertos de Kaspersky:
- Bloquea el acceso de terceros a las cookies en el navegador web de tu teléfono y solo permite que se guarden tus datos hasta que salgas del navegador
- Elimina periódicamente tus
- Usa una solución de seguridad que sea de confianza, como Kaspersky Security Cloud, que incluye una función de Navegación Privada, con la cual se evita que los sitios web recopilen información sobre tu actividad en línea
