Secuestro de sesión

También conocido como: Secuestro de cookie, Hijack de sesión

Ataque que toma el control de la sesión autenticada de una víctima robando o falsificando su identificador de sesión, para actuar como el usuario sin sus credenciales.

El secuestro de sesión apunta al token usado para mantener una sesión autenticada —típicamente una cookie o un token portador— y lo reutiliza desde un cliente controlado por el atacante. Los tokens pueden capturarse mediante sniffing en redes sin cifrar, exfiltración por XSS, malware en el cliente, generación de identificadores de sesión predecibles, fijación de sesión o robos a terceros. Al reproducir la sesión, el atacante elude la autenticación, incluida cualquier MFA ya superada. Las defensas incluyen HTTPS en todas partes con HSTS, banderas de cookie seguras (Secure, HttpOnly, SameSite), CSP estricta frente a XSS, tokens cortos y rotados, tokens vinculados al dispositivo (DPoP, Token Binding, passkeys), reautenticación basada en riesgo y detección de anomalías (IP, fingerprint, ASN).

Ejemplos

Un payload de XSS exfiltra la cookie de sesión de un usuario autenticado al atacante, que la pega en su navegador para suplantarlo.
Un malware en una estación de trabajo roba un token de refresco OAuth, otorgando acceso persistente a una aplicación SaaS.

Secuestro de sesión

Ejemplos

Términos relacionados

Secuestro de cookies

Envenenamiento de cookies

Cross-Site Scripting (XSS)

Session Management

Session Fixation

Ataque de intermediario (MitM)

Definición

Ejemplos

Términos relacionados

Secuestro de cookies

Envenenamiento de cookies

Cross-Site Scripting (XSS)

Session Management

Session Fixation

Ataque de intermediario (MitM)