Un reciente método de ataque ha revelado cómo las extensiones de navegador, especialmente en Google Chrome, pueden ser utilizadas para robar tokens de sesión de manera sigilosa. Este tipo de ataque, conocido como “Cookie Bite”, representa una amenaza creciente para la seguridad de usuarios y empresas, permitiendo el secuestro de sesiones sin necesidad de credenciales.
¿Qué es el ataque “Cookie Bite”?
El ataque conocido como Cookie Bite es una técnica que permite a actores maliciosos robar tokens de sesión activos utilizando extensiones del navegador, particularmente en Google Chrome. Estos tokens, que validan una sesión iniciada, pueden ser reutilizados por un atacante para acceder a cuentas sin necesidad de credenciales ni verificación en dos pasos (MFA).
Aunque no se trata de un enfoque completamente nuevo, esta variante es especialmente preocupante por su capacidad de operar con discreción y permanecer activa durante periodos prolongados, lo que la convierte en una amenaza persistente difícil de detectar en entornos empresariales y personales.
¿Cómo funciona el ataque?
El vector principal del ataque es una extensión de navegador maliciosa, que se ejecuta dentro del contexto de seguridad de Chrome. Esto le permite interactuar directamente con cookies de autenticación y tokens de sesión, accediendo a ellos sin restricciones visibles. Frecuentemente disfrazadas como herramientas legítimas, estas extensiones suelen solicitar permisos excesivos que les permiten leer, modificar y extraer información crítica de las sesiones activas.
En el caso de Cookie-Bite, la extensión se enfoca en las cookies ‘ESTAUTH’ y ‘ESTSAUTHPERSISTENT’ utilizadas por Azure Entra ID, el sistema de gestión de accesos de Microsoft. Una vez robadas, estas cookies permiten a los atacantes secuestrar sesiones, evadiendo por completo la autenticación multifactor (MFA). No necesitan contraseñas ni interacción del usuario; con el token robado, obtienen acceso directo.
Los tokens robados se envían a través de un formulario de Google al atacante. Luego, con herramientas como Cookie-Editor, estos tokens pueden ser inyectados en otro navegador, logrando acceso total a la cuenta de la víctima sin necesidad de contraseñas o MFA.
Además, si el atacante tiene acceso al equipo, puede configurar un script de PowerShell para reinstalar la extensión cada vez que se abre Chrome.
En la demostración reciente, investigadores de seguridad desarrollaron una prueba de concepto (PoC) que expone cómo una extensión personalizada no firmada puede ser cargada manualmente con el modo desarrollador habilitado en Chrome. Una vez instalada, esta extensión puede operar con total acceso a los elementos de autenticación almacenados, sin generar alertas visibles.
¿Por qué es una amenaza real?
Muchas organizaciones permiten el uso de extensiones de navegador sin políticas de control estrictas. Esto abre la puerta a que usuarios instalen herramientas sin verificar su origen o permisos. Un solo descuido puede derivar en el acceso no autorizado a información confidencial, cuentas corporativas o incluso aplicaciones internas protegidas.
El nivel de discreción del ataque hace que no genere alertas inmediatas. A diferencia de métodos más ruidosos como el phishing o el keylogging, Cookie Bite actúa de forma silenciosa, sin modificar comportamientos visibles del navegador ni generar actividad sospechosa en los sistemas de monitoreo tradicionales.
Recomendaciones para protegerte
- Revisa cuidadosamente las extensiones instaladas: Evita instalar extensiones desde fuentes no verificadas o poco conocidas. Verifica siempre los permisos que solicitan; si una herramienta aparentemente simple pide acceso completo a tus datos de navegación, puede ser una señal de alerta.
- Refuerza la supervisión de inicios de sesión: Implementa alertas para detectar accesos inusuales, como inicios de sesión desde ubicaciones geográficas desconocidas o sin MFA.
- Mantén actualizado tu navegador y sistema operativo: Las actualizaciones corrigen vulnerabilidades que podrían ser explotadas por ataques de este tipo. Asegúrate de aplicar parches de seguridad tan pronto como estén disponibles.
- Aplica segmentación y control de sesiones en aplicaciones críticas: Restringe el tiempo de vida de las sesiones y exige MFA frecuentemente en accesos sensibles, incluso si el usuario ya está autenticado. Además, configura Conditional Access Policies (CAP) para asegurar que solo se permitan inicios de sesión desde dispositivos compatibles y con protección de tokens.
- Educa a los usuarios sobre riesgos en el navegador: Capacita a los equipos sobre los riesgos de extensiones maliciosas y buenas prácticas de navegación segura, especialmente en entornos corporativos.
- Implementa políticas de Chrome ADMX: Usa políticas de Chrome ADMX para aplicar una lista de permitidos de extensiones de navegador aprobadas. Esto ayuda a bloquear extensiones maliciosas y solo permite aquellas que han sido verificadas.
