Los cibercriminales han evolucionado sus métodos de ataque. En lugar de enfocarse en el robo de contraseñas, ahora se centran en secuestrar sesiones activas de usuarios. Esto implica el uso de técnicas modernas, como el robo de cookies de sesión, que les permite tomar el control de sesiones ya autenticadas sin necesidad de conocer las credenciales del usuario, superando así barreras de seguridad como la autenticación multifactor (MFA).
El secuestro de sesiones no es un concepto nuevo, pero ha adquirido una nueva dimensión debido al uso extendido de aplicaciones en la nube. Los atacantes roban las cookies o tokens de sesión y las reutilizan desde dispositivos o ubicaciones diferentes para acceder a los recursos de la víctima, eludiendo los controles tradicionales de seguridad. Esto ha generado un aumento considerable en los ataques de este tipo, como lo demuestran los datos de Microsoft y Google.
Una de las razones por las cuales este enfoque es tan efectivo es que permite a los atacantes omitir el paso de autenticación, accediendo directamente a cuentas críticas, como las de aplicaciones empresariales, sin necesidad de ingresar credenciales. Este tipo de ataques se ha vuelto particularmente dañino en entornos donde se utilizan múltiples aplicaciones basadas en la nube que comparten sesiones y credenciales.
Finalmente, aunque el secuestro de sesiones plantea un desafío significativo, se están desarrollando herramientas de detección específicas, como aquellas que monitorean el uso indebido de cookies de sesión. Estas soluciones pueden ser una última línea de defensa para evitar que los atacantes utilicen sesiones secuestradas, pero la eficacia de estos controles aún depende de su correcta implementación y monitoreo constante.
Fuente: Segu-Info