Hasta hace poco, la metodología de atacantes cibernéticos detrás de las mayores infracciones de la última década más o menos ha sido bastante consistente:
- Comprometer un punto final a través de una exploit de software o una ingeniería social a un usuario para ejecutar malware en su dispositivo;
- Encontrar formas de moverse lateralmente dentro de la red y comprometer identidades privilegiadas;
- Repita según sea necesario hasta que pueda ejecutar su ataque deseado, generalmente robando datos de acciones de archivo, implementando ransomware o ambos.
Pero los ataques han cambiado fundamentalmente a medida que las redes han evolucionado. Con el SaaS-Itse of Enterprise TI, los sistemas comerciales principales no se implementan localmente y se gestionan centralmente de la manera en que solían ser. En cambio, se registran a través de Internet y se accede a través de un navegador web.
 |
| Los ataques han cambiado de dirigir las redes locales a los servicios SaaS, al que se accede a través de navegadores web de los empleados. |
Según el modelo de responsabilidad compartida, la parte que queda al negocio que consume un servicio SaaS está limitada principalmente a cómo administran las identidades, el vehículo por el cual la aplicación es accedida y utilizada por la fuerza laboral. No es sorprendente que esto se haya convertido en la baja vientre en la mira de los atacantes.
Hemos visto esta vez en las infracciones más grandes de los últimos años, con los aspectos más destacados que incluyen la campaña masiva de copos de nieve en 2024 y la ola del crimen de 2025 atribuida a la araña dispersa.
Estos ataques tienen mucho éxito porque, si bien los atacantes se han movido con los cambios en la TI de la empresa, la seguridad realmente no se ha mantenido.
El navegador es el nuevo campo de batalla, y un punto ciego de seguridad
Hacer cargo de las identidades de la fuerza laboral es el primer objetivo para los atacantes que buscan apuntar a una organización, y el navegador es el lugar donde ocurren los ataques contra los usuarios. Esto se debe a que es donde se crean y usan estas identidades digitales, y sus credenciales y sesiones viven. Esto es lo que el atacante quiere tener en sus manos.
Las credenciales robadas se pueden usar como parte de ataques específicos o en un relleno de credenciales más amplio (ciclo de pares de usernación conocidos y pares de credenciales en varias aplicaciones y plataformas), mientras que los tokens de sesión robados se pueden usar para iniciar sesión directamente a una sesión activa, sin pasar por el proceso de autenticación.
Hay algunas técnicas diferentes que los atacantes pueden usar para acceder a estas identidades. Los atacantes cosechan credenciales robadas de varios lugares – Voltados de violación de datos, masa credencial campañas de phishing, registros de infantesincluso Extensiones de navegador malicioso que han engañado a un empleado para que la instalara. De hecho, el ecosistema de delitos cibernéticos ha cambiado en su eje para atender esto, y los piratas informáticos asuman específicamente el papel de recolectar credenciales y establecer el acceso de cuentas para que otros exploten.
Las infracciones de copos de nieve de alto perfil en 2024 señalaron un momento decisivo en el cambio a infracciones impulsadas por la identidad, donde los atacantes registraron cuentas en cientos de inquilinos de clientes utilizando credenciales robadas. Una de las principales fuentes de las credenciales robadas utilizadas en los ataques fueron los registros de infantes de infantes de infantes que se remontan a 2020: contraseñas violadas que no habían sido rotadas o mitigadas con MFA.
Los infostales son notables porque son un ataque de malware de punto final diseñado para recolectar credenciales y tokens de sesión (principalmente del navegador) para permitir que el atacante inicie sesión en esos servicios … a través de su propio navegador web. Entonces, incluso los ataques de punto final de hoy están viendo que el atacante gira en el navegador para llegar a las identidades, la clave para las aplicaciones y servicios en línea donde ahora residen los datos y la funcionalidad explotables.
Ataques en el navegador vs. en el navegador
Hay una distinción importante entre los ataques que ocurren en el navegador, frente a los que suceden contra el navegador mismo.
Hay consenso creciente que El navegador es el nuevo punto final. Pero la analogía no es perfecta: la realidad es que los navegadores web tienen una superficie de ataque relativamente limitada en comparación con la complejidad del punto final tradicional: comparar algo como Google Chrome con un sistema operativo Windows parece un concepto muy increíble.
Los ataques que se dirigen al navegador mismo como un mecanismo para comprometer las identidades son pocos y distantes. Uno de los vectores más obvios es usar extensiones de navegador malicioso, por lo que los escenarios en los que un usuario tiene:
- Se ha atraído a la instalación de una extensión ya maliciosa, o
- Está utilizando una extensión del navegador que luego es comprometida por un atacante
Pero el problema de las extensiones maliciosas es algo que resuelve una vez y luego sigue adelante. La realidad es que los usuarios no deberían estar instalando extensiones de navegador aleatorias, y dado el riesgo, debe:
- Bloquee su entorno para permitir solo un puñado de extensiones esenciales.
- Monitoree los indicadores en los que se confía una extensión en la que confía.
Esto no se aplica en un entorno donde brinda a los usuarios acceso completo para instalar las extensiones que elijan. Pero si el navegador es el nuevo punto final, esto es un poco como todos sus usuarios son administradores locales, está pidiendo problemas. Y bloquear las extensiones en sus organizaciones es algo que se puede lograr utilizando herramientas nativas si es, por ejemplo, un cliente empresarial de Chrome. Audite a sus usuarios una vez, apruebe solo lo que se necesita y requiere una aprobación adicional para instalar nuevas extensiones.
La identidad es el premio, el navegador es la plataforma, y el phishing es el arma de elección
¿Pero la técnica que sigue impulsando las infracciones de identidad más impactantes? Es phishing. Phishing para credenciales, sesiones, consentimiento de OAuth, códigos de autorización. Phishing por correo electrónico, mensajero instantáneo, redes sociales, anuncios maliciosos de Google … Todo sucede o conduce al navegador.
 |
| Todos los caminos de phishing conducen al navegador, independientemente del canal de entrega. |
Y los ataques modernos de phishing son más efectivos que nunca. Hoy, Phishing opera a escala industrial, utilizando una variedad de técnicas de evasión de ofuscación y detección para bloquear el correo electrónico y las herramientas de seguridad de la red para interceptarlas. Probablemente el ejemplo más común hoy en día es el uso de la protección de BOT (piense en Captcha o Cloudflare Turnstile), utilizando características legítimas contra el spam para bloquear las herramientas de seguridad.
 |
| Cloudflare Turnstile es una forma simple para que los equipos de seguridad eviten el análisis automatizado: probablemente debería venir con una advertencia desencadenante para los respondedores de incidentes. |
La última generación de kits de phishing AITM totalmente personalizados está ofuscando dinámicamente el código que carga la página web, implementando CaptCha personalizada y utilizando características anti-análisis de tiempo de ejecución, lo que las hace cada vez más difíciles de detectar. Las formas en que se entregan los enlaces también han aumentado en sofisticación, con más canales de entrega (como mostramos anteriormente) y el uso de servicios SaaS legítimos para el camuflaje.
Y las últimas tendencias indican que los atacantes están respondiendo a la configuración de IDP/SSO cada vez más endurecida al explotar técnicas alternativas de phishing que ESTUDIVE MFA y Passkeysmás comúnmente por degradar a un método de autenticación de respaldo phishable – que puedes ver en acción a continuación y leer más aquí.
https://www.youtube.com/watch?v=ls-m7zgumii
Las identidades son la fruta más baja para que los atacantes apunten a
El objetivo del atacante moderno, y la forma más fácil en el entorno digital de su negocio, es comprometer las identidades. Ya sea que esté lidiando con ataques de phishing, extensiones de navegador malicioso o malware de infostaler, el objetivo sigue siendo el mismo: adquisición de cuentas.
Las organizaciones están tratando con una vasta y vulnerable superficie de ataque que consiste en:
- Cientos de aplicaciones, con miles de cuentas repartidas en la aplicación de la aplicación.
- Cuentas vulnerables a los kits de phishing MFA-ByPass, porque están utilizando un método de inicio de sesión que no es resistente al phishing, o porque el método de inicio de sesión se puede rebajar.
- Cuentas con una contraseña débil, reutilizada o violada y sin MFA por completo (generalmente el resultado de un inicio de sesión fantasma olvidado).
- Evadiendo el proceso de autenticación por completo para evadir los métodos de autenticación resistentes al phishing resistentes al phishing, abusando de características como la creación de clave API, contraseñas específicas de la aplicación, phishing de consentimiento de OAUTH, suplantación de IDP cruzada y más.
 |
| Una organización de usuarios de 1,000 tiene más de 15,000 cuentas con varias configuraciones y vulnerabilidades asociadas. |
Un controlador clave de la vulnerabilidad de la identidad es la gran variación en la configuración de las cuentas por aplicación, con diferentes niveles de visibilidad centralizada y control de seguridad de las identidades proporcionadas, por ejemplo, mientras que una aplicación puede bloquearse para aceptar solo los inicios de sesión SSO a través de SAML y eliminar automáticamente ninguna contraseña no utilizada, otro no proporciona control o visibilidad del método de registro o estado de MFA (otro gran controlador de Snowflake Greeaches el año pasado). Desafortunadamente, como un subproducto del crecimiento dirigido por productos y algo que se agrava por cada nueva startup SaaS que llega al mercado, esta situación no parece cambiar en el corto plazo.
El resultado final es que las identidades están mal configuradas, invisibles para el equipo de seguridad y explotadas rutinariamente por las herramientas de los atacantes de productos básicos. No sorprende que sean el objetivo principal para los atacantes de hoy.
 |
| Los inicios de sesión de fantasmas, el phishing de AITM, los ataques de degradación y los problemas de configuración a nivel de aplicaciones están alimentando las infracciones basadas en la identidad. |
La solución: el navegador como fuente de telemetría y punto de control
Debido a que los ataques de identidad se desarrollan en el navegador, es el lugar perfecto para que los equipos de seguridad observen, intercepten y cierren estos ataques.
El navegador tiene una serie de ventajas sobre los diferentes lugares donde la identidad se puede observar y proteger, porque:
- No está limitado a las aplicaciones e identidades directamente conectadas a su IDP (una fracción de su expansión de identidad de la fuerza laboral).
- No se limita a las aplicaciones que conoce y administra centralmente: puede observar cada inicio de sesión que pasa por el navegador.
- Puede observar todas las propiedades de un inicio de sesión, incluido el método de inicio de sesión, el método MFA, etc., de lo contrario, necesitaría acceso a API a tal vez Obtenga esta información (dependiendo de si se proporciona una API y si estos datos específicos pueden ser interrogados, tampoco estándar para muchas aplicaciones).
Es obvio con todo lo que hemos cubierto hasta ahora que arreglar cada vulnerabilidad de identidad es una tarea ominosa: el ecosistema SaaS en sí está trabajando en su contra. Es por eso que detectar y responder a los ataques de identidad es esencial. Debido a que el compromiso de identidad casi siempre implica el phishing o la ingeniería social, un usuario para realizar una acción en su navegador (con algunas excepciones, como los ataques de la mesa de ayuda relacionados con la araña dispersa que se ven recientemente), también es el lugar perfecto para monitorear e interceptar ataques.
En el navegador, recopila información profunda y contextualizada sobre el comportamiento de la página y las entradas de los usuarios que pueden usarse para detectar y cerrar escenarios riesgosos en tiempo real. Tome el ejemplo de las páginas de phishing. Debido a que Push opera en el navegador, lo ve todo:
- El diseño de la página
- De donde vino el usuario
- La contraseña que ingresan (como un hash salado y abreviado)
- Qué guiones se están ejecutando
- Y donde se envían credenciales
 |
| Estar en el navegador le brinda una visibilidad inigualable de la actividad de la página de phishing y el comportamiento del usuario. |
Conclusión
Los ataques de identidad son el mayor problema sin resolver que enfrentan los equipos de seguridad hoy y la principal causa de violaciones de seguridad. Al mismo tiempo, el navegador presenta a los equipos de seguridad todas las herramientas que necesitan para prevenir, detectar y responder a los ataques basados en la identidad, de manera proactiva al encontrar y fijar las vulnerabilidades de identidad, y reactivamente detectando y bloqueando los ataques contra los usuarios en tiempo real.
Las organizaciones deben superar las viejas formas de hacer seguridad de identidad: depender de las certificaciones de MFA, los paneles de gestión de identidad y el correo electrónico heredado y las herramientas anti-phishing de la red. Y no hay mejor lugar para detener estos ataques que en el navegador.
Descubre más
La plataforma de seguridad basada en el navegador de Push Security proporciona capacidades integrales de detección y respuesta contra la principal causa de infracciones. Push Blocks Attacos de identidad como phishing AITM, relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. También puede usar Push para encontrar y arreglar las vulnerabilidades de identidad en las aplicaciones que usan sus empleados, como inicios de sesión fantasma, brechas de cobertura SSO, brechas de MFA, contraseñas vulnerables, integraciones arriesgadas de OAuth y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y detener los ataques en el navegador, reserve un tiempo con uno de nuestro equipo para una demostración en vivo.