Por: L.C.F. y M.B.A Sergio Trujeque

¿Sabe usted que existe una falla de seguridad que afecta a todas las versiones de Internet Explorer en Windows y que podría permitirle a un delincuente acceder a su correo electrónico, cuentas de facebook o twitter e incluso a sus transacciones bancarias en linea?. ¿Qué es una cookie? ¿Qué es cookiejacking? ¿Qué puedo hacer? Éstas y otras preguntas serán respondidas aquí.

¿Qué es una cookie?

Es un fragmento de información que se almacena en el disco duro del visitante de una página web cuando dicha pagina lo solicita. Esta información para almacenar información como las preferencias de la página o las credenciales de la cuenta de usuario para visitas posteriores.

La técnica del secuestro de cookies explota una falla que sobrepasa la protección de la Zona de Seguridad en Internet Explorer para permitir al atacante capturar los contenidos de las cookies que no deberían ser expuestos, como información de las cuentas de los usuarios necesaria para autentificarse, que se usa para no tener que introducir tu nombre y contraseña repetidamente. Si un atacante puede hacerse con estas cookies, podrían hacerse pasar por ti en tu cuenta o acceder a datos sensibles de la página o servicios afectados.

¿Que tan peligroso es esto?

Jerry Bryant, de Microsoft, ha minimizado la amenaza basada en la complejidad del ataque y el nivel de interacción del usuario requerido para que funcione. “Para que impacte a un usuario, éste debe visitar una página web maliciosa, ser engañado para hacer clic y arrastrar objetos en la página y el atacante necesitará dirigirse a una cookie de la página web a la que previamente haya accedido el usuario”.

Aunque todo esto es verdad, lo cierto es que muchos usuarios hacen clic en la opción que dice “mantenerme conectado” o "recordar mi usuario y contraseña", y es bastante simple engañar a los usuarios para que hagan clic. Rosario Valotta creó un juego para Facebook en el que los usuarios hacían un puzle de una mujer desnuda y de ese modo consiguió las cookies de muchos de ellos.

¿Como protegerse?

La técnica cookiejacking funciona con poca cooperación del usuario y con más de 500 millones de usuarios de Facebook jugando todo tipo de juegos, no es una exageración pensar que un significativo número de usuarios podría caer en el ataque utilizando ingeniería social, si esto aunamos que mucha gente acostumbra usar el mismo password para todas sus cuentas, el peligro de comprometer información valiosa es muy alto. Microsoft está trabajando para lanzar una solución que estaría disponible en los próximos meses. Pero mientras tanto, no está de más tomar alguna precaución:

1. No hacer clic en cosas solamente porque alguien te lo pide.
   
   
2. Use passwords distintos y de alta seguridad en sus cuentas, principalmente en las que contienen información valiosa o se usan para transacciones de bienes.
   
   
3. Use un navegador como Firefox, que es más robusto que Internet Explorer.
   
   
4. Trate de no marcar la opción "recordar mi contraseña" o "no cerrar sesión", principalmente con cuentas importantes como su correo corporativo. Pues esto almacena esta información en su computadora en un archivo sin encriptación que puede ser visto por algún intruso.