PayPal ha presentado una solicitud de patente para un método novedoso que puede identificar cuándo se roba una «supercookie«, lo que podría mejorar el mecanismo de autenticación basado en cookies y limitar los ataques de apropiación de cuentas.
El riesgo que PayPal quiere abordar es el de que los piratas informáticos roben cookies que contienen tokens de autenticación para iniciar sesión en las cuentas de las víctimas sin la necesidad de credenciales válidas y eludir la autenticación de dos factores (2FA).
«El robo de cookies es una forma sofisticada de ataque cibernético, donde un atacante roba o copia cookies de la computadora de una víctima en el navegador web del atacante», dice PayPal en la solicitud de patente.
«Dado que las cookies robadas a menudo contienen contraseñas hash, el atacante puede usar un navegador web en la computadora del atacante para hacerse pasar por el usuario (o un dispositivo autenticado del mismo) y obtener acceso a información segura asociada con la cuenta del usuario sin tener que iniciar sesión manualmente o proporcionar credenciales de autenticación», se explica además.
Detalles del sistema
A diferencia de las cookies estándar almacenadas localmente, las supercookies (también denominadas «cookies Flash») son objetos locales compartidos (LSO) que se inyectan a nivel de red como encabezados de identificador único (UIDH) por el proveedor de servicios de Internet (ISP) del usuario.
Estas supercookies se utilizan principalmente para el seguimiento entre sitios, el seguimiento de los usuarios a través de diferentes navegadores en el mismo dispositivo, la recopilación de datos sobre la actividad de navegación y la función de «huellas dactilares del dispositivo» persistentes.
Las supercookies son más difíciles de detectar y borrar porque no se almacenan en la ubicación estándar de almacenamiento de cookies del navegador.
Los ingenieros de PayPal han identificado un método para calcular una puntuación de riesgo de fraude en el mecanismo de autenticación basado en cookies para identificar intentos de inicio de sesión fraudulentos en la plataforma de pagos electrónicos.
Cuando un sistema recibe una solicitud de autenticación del dispositivo de un usuario, identifica las distintas ubicaciones de almacenamiento de cookies en el dispositivo y las clasifica «en orden de aumento del riesgo de fraude».
«Se recupera un valor de cookie para cada ubicación de almacenamiento del dispositivo. Para cada ubicación de almacenamiento después de la primera: se calcula un valor de cookie esperado basado en el valor de cookie de una ubicación de almacenamiento anterior», se lee en el resumen de la solicitud de patente.
Luego, el sistema de PayPal evalúa una puntuación de riesgo comparando los valores esperados de las cookies con los valores asignados para las ubicaciones de almacenamiento del dispositivo.
«La solicitud de autenticación se procesa en función de si la puntuación asignada para al menos una de las ubicaciones de almacenamiento supera una tolerancia de riesgo predeterminada para la detección de fraudes».
Sobre la base de la evaluación de riesgos, el sistema gestiona las solicitudes de autenticación en consecuencia, aceptando, rechazando o activando medidas de seguridad adicionales para la aprobación del intento de inicio de sesión.
Para garantizar la seguridad contra la manipulación, los valores de las cookies recuperados se cifran mediante un algoritmo criptográfico de clave pública.
La patente de PayPal describe un método que tiene como objetivo defenderse contra los ataques cibernéticos al garantizar que las cookies se utilicen legítimamente durante el proceso de autenticación.
El gigante de los pagos electrónicos presentó la patente titulada «Super-Cookie Identification for Stolen Cookie Detection» en julio de 2022, y fue publicada por la Oficina de Patentes y Marcas de Estados Unidos a principios de este mes.
Al igual que con todas las patentes, no hay garantía de que la tecnología descrita en el documento llegue a los portales de consumidores, de una forma u otra, pero muestra que las cookies web robadas para inicios de sesión no autorizados son un problema suficiente para merecer nuevos mecanismos de protección.
Fuente: https://www.bleepingcomputer.com
