Un nuevo ataque, denominado Gummy Browser, permite clonar las ID únicas de los usuarios a través de las huellas dactilares del navegador. En particular, algunos investigadores de ciberseguridad de EE. UU. han desarrollado un método para copiar las características del navegador de una víctima utilizando técnicas de browser fingerprinting y, posteriormente, hacerse pasar por ella.
La técnica de ataque tiene múltiples implicaciones de seguridad. El ciberdelincuente, de hecho, puede realizar actividades online nocivas o ilegales, atribuyéndolas al usuario. Incluso las defensas basadas en la autenticación de dos factores (2FA) podrían verse comprometidas porque un sitio de autenticación considera que el usuario ha sido reconocido correctamente, según el perfil de huellas dactilares robadas.
El clon puede visitar webs y hacer que cambie el tipo de anuncios proporcionados a ese perfil de usuario. Por lo tanto, este comenzaría a recibir contenido publicitario no relacionado con sus actividades de navegación reales. Finalmente, el atacante puede robar una gran cantidad de datos e información sobre la víctima en función de la forma en que otras webs responden a la ID falsificada.
El método Gummy Browser ha sido presentado a finales de octubre por investigadores de la Universidad de Texas A&M y la Universidad de Florida en Gainesville, EE. UU., en un artículo titulado ‘Gummy Browsers: Targeted Browser Spoofing against State-of-the-Art Fingerprinting Techniques’.
Los riesgos para el usuario
«El objetivo principal de Gummy Browsers es engañar al servidor web para que crea que un usuario legítimo está accediendo a sus servicios. De esta forma puede conocer información sensible sobre el propio usuario o eludir diversos esquemas de seguridad que se basan en la huella digital del navegador ”, afirman los investigadores.
«El impacto de Gummy Browser podría ser devastador y duradero en la seguridad en línea y la privacidad del usuario«, enfatizan los expertos. «Especialmente teniendo en cuenta que la huella digital del navegador se adopta cada vez más. A la luz de esta nueva forma de ataque, nuestro trabajo plantea la cuestión de si es seguro implementar este sistema de reconocimiento a gran escala», se preguntan.
El browser fingerprinting es un identificador único asociado con un usuario específico y basado en una combinación de características de un dispositivo. Estas características podrían incluir la dirección IP de un usuario, la versión del navegador y del sistema operativo, las aplicaciones instaladas, los complementos activos, las cookies e incluso la forma en que el usuario mueve el ratón o escribe en el teclado.
Las webs y los anunciantes pueden usar las llamadas huellas digitales para confirmar que un visitante es un humano, para rastrear los comportamientos de un usuario o para publicidad dirigida. También se utilizan como parte de algunos sistemas de autenticación, lo que le permite omitir la autenticación multifactor u otras funciones de seguridad si se detecta una huella digital válida.
Las huellas dactilares, de hecho, son tan valiosas que se venden en la dark web. Los estafadores las falsifican para adueñarse fácilmente de las cuentas y participar en varios tipos de fraudes. El documento técnico que detalla el funcionamiento de Gummy Browsers propone tres formas con las que el ataque podría llevarse a cabo.
Formas de ataque Gummy Browsers
La primera, Acquire-Once-Spoof-Once, implica la apropiación de la ID del navegador de la víctima en función de un ataque único. Como puede ser un intento de iniciar sesión en un dominio seguro. En este caso, la antigüedad de la ID es irrelevante, ya que la información se maneja de forma rápida y sin seguimiento.
En un segundo enfoque, Acquire-Once-Spoof-Frequently, el atacante intenta desarrollar un perfil de la víctima observando cómo responden los servidores web.
Finalmente, Acquire-Frequently-Spoof-Frequently es una estratagema a largo plazo diseñada para actualizar regularmente el perfil del navegador del usuario. Se induce a la víctima a que repita su visita a un sitio inofensivo utilizado para el robo de identidad. De esta manera, el ciberdelincuente puede eludir la detección del fraude durante un período de tiempo más largo.
Varios servicios de ciberseguridad utilizan el browser fingerprinting como herramienta para determinar la probabilidad de que un usuario esté involucrado en una actividad fraudulenta. Por tanto, es posible, a través de la metodología Gummy Browser, caracterizar injustamente al usuario como un estafador. Basta con utilizar su falso perfil para activar los umbrales de dichos sistemas. O utilizar el perfil robado para verdaderos intentos de fraude, desviando el análisis forense del perfil del atacante y hacia lo de la víctima.
El documento de los investigadores, en conclusión, enfatiza la necesidad de que los arquitectos de sistemas no se basen en las características del perfil del navegador como token de seguridad. Además, critica implícitamente algunos de los mayores marcos de autenticación que han adoptado esta práctica, especialmente cuando se utiliza como método para asegurar al usuario una facilidad de uso que obvie el uso de la autenticación de dos factores. Una comodidad que puede ser muy peligrosa.
Por Alberto Barbieri
Imágenes | Lukenn Sabellano/Unsplash https://unsplash.com/photos/RDufjtg6JpQ, George Prentzas/Unsplash https://unsplash.com/photos/SRFG7iwktDk, Fábio Lucas/Unsplash https://unsplash.com/photos/aTpGSPfalzY
