Secuestro de cookies
¿Qué es Secuestro de cookies?
Secuestro de cookiesRobo y reutilización de cookies HTTP de un usuario —normalmente de sesión o autenticación— para suplantarlo ante una aplicación web.
El secuestro de cookies (cookie theft o cookie sidejacking) es una forma específica de secuestro de sesión en la que el atacante se centra en capturar las cookies del navegador que identifican al usuario. Las vías de obtención más habituales son XSS, extensiones de navegador maliciosas, info-stealers que cosechan perfiles de navegador, sniffing en Wi-Fi sin cifrar y fugas entre sitios. Con una cookie válida, el atacante puede reanudar la sesión de la víctima, eludiendo en muchas arquitecturas tanto la contraseña como la MFA. Las mitigaciones incluyen HTTPS con HSTS, los atributos Secure, HttpOnly y SameSite, tokens de vida corta, vinculación a dispositivo o a token, CSP y endurecimiento DOM frente a XSS, y detección conductual de sesiones reutilizadas desde dispositivos, geografías o reputaciones de IP nuevos.
● Ejemplos
- 01
Un info-stealer exporta la base de datos de cookies de Chrome; los delincuentes las inyectan en su propio navegador para acceder a SaaS como la víctima.
- 02
Un atacante en una Wi-Fi abierta captura una cookie de autenticación sin cifrar y la usa para acceder a una cuenta de webmail.
● Preguntas frecuentes
¿Qué es Secuestro de cookies?
Robo y reutilización de cookies HTTP de un usuario —normalmente de sesión o autenticación— para suplantarlo ante una aplicación web. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Secuestro de cookies?
Robo y reutilización de cookies HTTP de un usuario —normalmente de sesión o autenticación— para suplantarlo ante una aplicación web.
¿Cómo defenderse de Secuestro de cookies?
Las defensas contra Secuestro de cookies combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Secuestro de cookies?
Nombres alternativos comunes: Robo de cookies, Cookie sidejacking.