Una reciente investigación ha revelado una preocupante vulnerabilidad en Safari, el navegador web de Apple, que permite a atacantes ejecutar un tipo de ataque silencioso y altamente convincente conocido como “browser-in-the-middle” (BitM) en modo pantalla completa, con el objetivo de robar credenciales de acceso sin que el usuario lo note.
¿En qué consiste este ataque?
El ataque aprovecha el Fullscreen API, una funcionalidad legítima de los navegadores web que permite a los sitios mostrarse en modo pantalla completa, como cuando ves un video o presentaciones sin distracciones.
Pero los atacantes están utilizando esta capacidad de forma maliciosa para mostrar una ventana falsa que imita el sitio legítimo, ocultando por completo la barra de direcciones y otros indicadores del navegador. El resultado: el usuario cree estar en un sitio confiable, pero en realidad está interactuando con una ventana controlada por el atacante.
¿Por qué Safari es especialmente vulnerable?
Según los investigadores de SquareX, aunque este tipo de ataque puede funcionar en cualquier navegador moderno, Safari tiene una debilidad crítica: no muestra ninguna advertencia visual clara cuando una página entra en modo pantalla completa. A diferencia de Chrome o Firefox, donde aparece un mensaje que advierte al usuario, Safari solo muestra una animación leve —una especie de deslizamiento— que puede pasar desapercibida fácilmente.
Esto hace que el ataque sea mucho más efectivo en dispositivos Apple, ya que la víctima no recibe señales claras de que ha entrado a un modo de visualización que podría usarse para engañarla.
¿Cómo se ejecuta el engaño?
El proceso suele comenzar con un enlace malicioso, por ejemplo en un anuncio patrocinado, una publicación en redes sociales o un comentario en un sitio web. Ese enlace redirige al usuario a una página falsa que imita un servicio legítimo, como una red social o una plataforma de diseño.
Al hacer clic en “Iniciar sesión”, se activa la ventana BitM en pantalla completa, que muestra lo que parece ser el sitio original. El usuario introduce su nombre de usuario y contraseña, creyendo que está iniciando sesión con normalidad… pero en realidad los datos van directamente al atacante.
Y lo más preocupante: como este ataque utiliza funciones legítimas del navegador, ni los antivirus ni soluciones EDR, SASE o SSE lo detectan como una amenaza.
Apple, ¿y la respuesta?
SquareX informó a Apple sobre esta vulnerabilidad, pero recibió como respuesta un “no se corregirá” (wontfix). La compañía considera que la animación de transición es suficiente para alertar al usuario, aunque la investigación demostró lo contrario.
¿Qué pueden hacer las empresas?
Aunque el ataque es sofisticado y difícil de detectar, hay formas de reducir el riesgo:
- Educar a los usuarios sobre señales de advertencia en el navegador y fomentar el uso de gestores de contraseñas (que no completan credenciales en sitios falsos).
- Evitar iniciar sesión desde enlaces en correos, redes o anuncios. Siempre es mejor teclear la dirección del sitio directamente.
- Reforzar las políticas de seguridad para navegación web y autenticación, especialmente en dispositivos Apple dentro de la organización.
- Monitorear comportamientos sospechosos en sesiones web, como cambios abruptos de pantalla o accesos a servicios fuera del horario habitual.
Conclusión
Este nuevo método de engaño refuerza una vieja lección: incluso las funciones legítimas pueden ser armas poderosas en manos equivocadas. Safari, por su falta de advertencias visibles en pantalla completa, se convierte en un terreno fértil para engaños visuales que burlan al ojo humano y a las soluciones de seguridad más comunes.
En un contexto donde la ingeniería social y los ataques dirigidos están en aumento, mantener la vigilancia —y exigir mejores respuestas a los fabricantes— es más urgente que nunca.
