Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historia real: una nueva técnica de phishing casi imperceptible, Browser in the Browser

Fecha de publicación 02/11/2022
Autor
INCIBE (INCIBE)
Mano azul saliendo de pantalla

Un jueves cualquiera en la oficina de una pequeña empresa de logística, durante el café, Javier comenta con sus compañeros que anda desesperado intentando hacer un pequeño diseño para la presentación de un proyecto. Se considera un negado para este tipo de cosas, ya que, más allá del Paint, nunca ha usado una herramienta de este tipo. Su compañera, Marta, le habla de una conocida página web a través de la cual se pueden realizar diseños de forma súper sencilla, ya que ella hizo ahí su CV y la verdad es que le quedó muy bien. Tiene plantillas para casi todo y parece una solución perfecta para alguien con pocas dotes artísticas.

Cuando llega a su sitio, Javier teclea el nombre que le ha dicho su compañera y pulsa en buscar. “¡Aquí está!, debe de ser esta”, piensa Javier, deseando acabar con esa tarea lo antes posible. Cuando abre la web, aparecen todo tipo de diseños llamativos, originales y que cuadran bastante con lo que buscaba. E, inmediatamente después, se abre un popup para registrarse en la plataforma. Nada inusual, el típico formulario de Google en el que ingresar tu correo electrónico y contraseña.

Javier ha recibido algún que otro curso online de ciberseguridad al que realmente no prestó mucha atención. Contestó a las preguntas que le habían pasado sus compañeros y se lo quitó de encima más rápido que el de riesgos laborales. Es que tantos cursillos…

Pero sí que había oído hablar del phishing y otras técnicas con las que los ciberdelincuentes robaban los datos. De hecho, un conocido suyo fue víctima de un smishing al pulsar en un enlace de un SMS que parecía ser de su banco. Así que, normalmente se fija en algunos detalles básicos antes de introducir sus credenciales en cualquier sitio. Pero, esta vez, todo parecía estar en orden: la URL se veía correcta, tenía el candadito… Así que Javier no dudó en ingresar su correo y contraseña para empezar a elegir tipografías, imágenes y colores.

Pero Javier no tardó en darse cuenta de que algo no iba bien. El falso inicio de sesión no le llevaba a ningún sitio, y no conseguía loguearse. Inmediatamente fue a consultarlo con un compañero del departamento de informática, a ver si él sabía qué podía estar pasando.

Una vez le contó lo sucedido, su compañero se dio cuenta de que Javier había sido víctima de un phishing, y de inmediato cambiaron la contraseña de la cuenta que había sido vulnerada, pues Javier ignorando las directrices de la empresa en materia de ciberseguridad, guardaba información relativa a la empresa en esta cuenta. Además, nunca había activado el doble factor de seguridad, ya que le parecía una pérdida de tiempo.

¿Qué ha ocurrido?

Javier ha sido víctima de una técnica de ataque conocida como Browser in the Browser (BitB). Esta técnica no es más que una versión distinta del tradicional phishing que muchos usuarios ya saben detectar. Mediante el ataque Browser in the Browser los ciberdelincuentes crean lo que parece una ventana emergente de un servicio legítimo. Aunque es falsa, parece haber sido generada de forma segura, dentro del propio navegador. ¿Cómo? Añadiendo a la página fraudulenta una barra de direcciones falsa, en forma de imagen, que parece ser legítima.

Básicamente es como cuando hacemos una captura de pantalla de una web y, al ver la imagen desde nuestra galería, la confundimos con la propia web y tratamos torpemente de pinchar en alguna de las utilidades de la página, que claramente no nos lleva a ningún sitio. Solo que, en este caso, la parte en la que se introducen las credenciales está activa, enviándoselas al ciberdelincuente, una vez han sido introducidas, es decir que este ciberataque tiene más de diseño, que de técnica. Toda una ironía para Javier.

¿Cómo podemos detectar estas ventanas si son tan parecidas a las reales?

Para no caer en la trampa de esta nueva técnica debemos:

  • Comprobar que se ha abierto una nueva ventana en la barra de tareas. Si no es así, se trata de una ventana falsa.
  • Intentar cambiar el tamaño de la ventana emergente. Si no puedes, es posible que estés ante una ventana falsa. Cabe destacar que, en algunas, los botones minimizar, ampliar y cerrar sí que funcionan, pero, si la minimizásemos lo haría también la ventana del navegador, ya que no es una ventana independiente, sino que está dentro del mismo navegador.
  • Probar a mover la ventana. Como hemos dicho en el punto anterior, al estar dentro del propio navegador, si intentásemos moverla solo podríamos hacerlo dentro y no fuera, como en el caso de que fuese una ventana real.
  • Comprobar que el símbolo del candado es real y que no se trata de una imagen. Si pruebas a hacerlo en una página web fiable, al pulsar en el candado te mostrará la información del certificado SSL.
  • Intentar cambiar el contenido de la barra de direcciones. Si no es el servicio legítimo, seguramente no se podrá.
  • Y, ante todo, aplicar el sentido común. Examinar cuidadosamente los movimientos que hacemos en la web y no actuar precipitadamente es básico para no caer en este tipo de engaños y, en caso de duda, siempre es mejor no introducir nuestros datos y consultar a un profesional que nos pueda asesorar.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).