Los atacantes encuentran irresistibles las cookies de sesión

Las cookies son una de las tecnologías web más importantes que existen, aunque son casi tan antiguas como el propio navegador web. A veces tienen mala reputación, pero no se puede negar que las cookies nos hacen la vida mucho más fácil. Almacenan información que nos permite permanecer conectados a un sitio y disfrutar de una experiencia productiva en lugar de tener que volver a autenticarnos y rehacer las mismas acciones continuamente. 

Sin embargo, las cookies también representan una oportunidad para los atacantes, que pueden robarlas para realizar una variedad de actividades ilícitas. Para las aplicaciones SaaS de su organización, esto puede significar el robo o el uso indebido de datos confidenciales, transacciones no autorizadas y mucho más. 

En este caso hablamos de cookies de sesión. Si bien son de corta duración, las cookies de sesión (como las generadas por los sitios bancarios) no son particularmente útiles para los atacantes. Sin embargo, las cookies de mayor duración sí lo son, ya que se utilizan para sesiones “activas” que pueden persistir durante muchas horas o días. 

Las cookies de sesión se utilizan para autenticar la identidad de un usuario, lo que significa que se generan después de la MFA (autenticación multifactor). Entonces, cuando el atacante puede “pasar la cookie” (o usarla para una nueva sesión web), puede hacerse pasar por un usuario legítimo. 

Una amenaza continua

“Las cookies de sesión se pueden robar de diversas formas, como accediendo a redes Wi-Fi no seguras, ataques de secuencias de comandos entre sitios, phishing, troyanos, otros malware, y ataques de intermediario”, explica Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA en Check Point Software. 

Para ver un ejemplo del mundo real, considere el malware Racoon Stealer, que es solo una de las muchas familias de malware diseñadas para robar cookies. Según se informa, el grupo de hackers Lapsus$ utilizó Racoon Stealer para obtener acceso no autorizado a los sistemas de la empresa de videojuegos Electronic Arts utilizando una cookie de sesión robada. Crearon una cuenta clonada de un empleado existente de EA y finalmente se fugaron con cientos de GB de datos, incluido el código fuente del juego. 

De hecho, el robo de cookies es bastante común: se estima que en 2022 se robarán 22 mil millones de registros de cookies. 

Pero el objetivo de esta publicación no es cómo se roban las cookies de sesión SaaS ni cómo prevenirlo. En cambio, estamos mirando a través de una lente de confianza cero. Entonces, supongamos que las cookies de sesión ya han sido robadas, ¿qué se puede hacer para mitigar esta amenaza? 

Defensa de aplicaciones SaaS

Las aplicaciones SaaS son fundamentales para hacer negocios hoy en día: una organización promedio utiliza 130 de ellas. Las cookies de sesión para una aplicación SaaS le darían al atacante acceso a la misma información y permisos que el usuario legítimo. Esto podría incluir transacciones de ventas y archivos internos. En el caso de una sesión de correo web secuestrada, el atacante podría acceder a todos los correos electrónicos del usuario, enviar correos electrónicos que inciten a otros a realizar acciones específicas que beneficien al atacante, y más. 

Afortunadamente, es posible (y bastante sencillo) defenderse de los peligros del robo de cookies de sesión con Harmony SASE SaaS Protection. 

Harmony SASE asigna una dirección IP estática única a su organización y solo el tráfico proveniente de su dirección tendrá acceso a sus aplicaciones SaaS. Todo lo demás está denegado de forma predeterminada. 

Incluso si un atacante hubiera obtenido cookies de sesión activas que, nuevamente, eluden el mecanismo MFA, el servidor SaaS simplemente bloquearía el tráfico. 

Protección más allá de la cookie de sesión

Harmony SASE le brinda la visibilidad y el control que necesita para mitigar los riesgos de seguridad de SaaS. 

La fácil disponibilidad de SaaS significa un acceso conveniente para los usuarios, dondequiera que estén ubicados, pero también brinda a los atacantes amplias oportunidades para buscar brechas de seguridad. Dado que el 55 % de los ejecutivos de seguridad informaron sobre un incidente reciente de seguridad de SaaS, está claro que los ataques no van a desaparecer. 

Además de una dirección IP única, Harmony SASE también  permite alinear el acceso y los permisos de los usuarios con sus funciones y responsabilidades. Esto mantiene a todos “en su carril” y evita el acceso no autorizado a aplicaciones y datos. 

Harmony SASE también proporciona visibilidad en tiempo real e informes sencillos de los usuarios y dispositivos que se conectan a sus aplicaciones SaaS. Si alguna vez tiene motivos para sospechar de una actividad no autorizada, se puede cerrar la sesión de un usuario y de todos sus dispositivos con solo hacer clic en un botón. Esto también es útil cuando un empleado se va, ya que su acceso a todas las aplicaciones SaaS se puede desactivar instantáneamente.