{"id":24091,"date":"2024-02-27T09:18:26","date_gmt":"2024-02-27T08:18:26","guid":{"rendered":"https:\/\/www.movistar.es\/blog\/?p=24091"},"modified":"2024-02-27T09:18:27","modified_gmt":"2024-02-27T08:18:27","slug":"browser-in-the-browser","status":"publish","type":"post","link":"https:\/\/www.movistar.es\/blog\/seguridad\/browser-in-the-browser\/","title":{"rendered":"Browser-in-the-Browser, una t\u00e9cnica de phishing"},"content":{"rendered":"\n

Los ciberdelincuentes no cesan en su b\u00fasqueda de nuevas t\u00e9cnicas de ingenier\u00eda social<\/strong> para enga\u00f1ar a los usuarios y as\u00ed hacerse con sus datos personales. Por eso hoy queremos alertarte de una t\u00e9cnica de phishing que es cada vez m\u00e1s utilizada y que puede ser casi indetectable, se trata del Browser-in-the-Browser (BitB)<\/strong>.<\/p>\n\n\n\n

Qu\u00e9 es el Browser-in-the-Browser<\/strong><\/strong><\/h2>\n\n\n\n

Seguramente, habr\u00e1s visto que, a la hora de registrarte en alguna web, ya sea para realizar una compra, dar de alta alg\u00fan servicio etc\u2026, cada vez es m\u00e1s habitual poder hacerlo utilizando las credenciales de tus redes sociales<\/strong> como Facebook, Twitter, o con el usuario y contrase\u00f1a de Google, Apple o Microsoft<\/strong>, entre otras. Es lo que se llama OAuth<\/strong>, o est\u00e1ndar abierto de autenticaci\u00f3n<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El OAuth<\/strong> permite registrarte con una misma cuenta, en diferentes servicios. Esto evita tener que pensar y recordar usuarios y contrase\u00f1as para cada sitio online en el que te das de alta.<\/p>\n\n\n\n

Pues bien, los hackers han visto aqu\u00ed una nueva oportunidad y es como llevan a cabo el robo de datos personales<\/strong>, mediante el BitB.<\/p>\n\n\n\n

Browser-in-the-Browser consiste en crear p\u00e1ginas copiando la apariencia de las reales para suplantar su identidad. Al simular una p\u00e1gina de un servicio online, los ciberdelincuentes introducen una ventana emergente de inicio de sesi\u00f3n \u00fanico<\/strong>, para que creas que es una ventana de inicio de sesi\u00f3n real, e introduzcas tus sus credenciales.<\/p>\n\n\n\n

Si caes en una web de autenticaci\u00f3n de este tipo, el riesgo que puedes correr es importante<\/strong>, pues autom\u00e1ticamente los atacantes tendr\u00e1n acceso a la cuenta<\/strong> con la que te has autenticado, ya sea una de tus redes sociales, tu cuenta de correo y todas aquellas webs donde hayas accedido con esa identificaci\u00f3n. Esto conlleva un gran perjuicio, pues podr\u00e1n conseguir todos tus datos personales y bancarios<\/strong>, adem\u00e1s de controlar tus cuentas<\/strong>, realizar un uso fraudulento<\/strong> y suplantar tu identidad<\/strong>.<\/p>\n\n\n\n

C\u00f3mo detectar un BitB<\/strong><\/strong><\/h2>\n\n\n\n

Como coment\u00e1bamos, las t\u00e9cnicas de ingenier\u00eda social cada vez son m\u00e1s sofisticadas y para detectar el Browser-in-the-Browser hay que estar muy atentos. Estos son los indicios que detalla la\u00a0Oficina de Seguridad del Internauta (OSI)<\/a><\/strong>\u00a0y que podr\u00e1n hacerte sospechar si se tratas de una ventana de inicio de sesi\u00f3n falsa:<\/p>\n\n\n\n

  1. No se abre una nueva ventana en la barra de tareas para logarse.<\/li>
  2. Al minimizar la ventana principal desaparece la emergente. Cuando la pantalla es real, al minimizar la ventana emergente para logarse, la principal se mantiene. Si ese no es el comportamiento, se trata de un caso de BitB.<\/li>
  3. No te permite modificar el tama\u00f1o de la ventana emergente.<\/li>
  4. Al intentar modificar el contenido de la barra de direcciones, no deja.<\/li>
  5. Si intentas mover la ventana emergente de inicio de sesi\u00f3n a otro parte de la pantalla y no deja, se queda fija y no se separa, es otro s\u00edntoma de que se trata de una ventana maliciosa.<\/li><\/ol>\n\n\n\n
    \"Browser-in-the-Browser\"<\/figure>\n\n\n\n

    C\u00f3mo evitar ser v\u00edctima de Browser-in-the-Browser<\/strong><\/strong><\/h2>\n\n\n\n

    Para evitar ser v\u00edctima de este tipo de phishing<\/a> te dejamos las siguientes recomendaciones:<\/p>\n\n\n\n

    \"Evitar-Phishing\"<\/figure>\n\n\n\n