Ataque «Browser in browser»: un nuevo esquema de phishing

Ilustración de un ciberdelincuente usando una caña de pescar para robar credenciales de acceso desde una laptop, representando un ataque de phishing.

El ataque «Browser in the Browser» (BitB) es una técnica de phishing avanzado que simula una ventana emergente de inicio de sesión dentro de otra página web, con la dirección correcta y el candado de seguridad, para robar tus credenciales. A diferencia del phishing tradicional, aquí no hay errores en la URL que puedan delatarlo: la trampa es visual y casi perfecta.

Por qué las direcciones de los sitios de phishing suelen tener errores

Cada nombre de dominio es único. Para poner en marcha un sitio web hay que registrar el dominio a través de una entidad acreditada, que comprueba en una base de datos internacional si esa dirección ya está ocupada. Si está libre, se asigna al solicitante.

Esto significa que no es posible crear un sitio falso con una dirección idéntica a la del sitio real. Sí se puede registrar un dominio muy parecido —por ejemplo, usar la extensión .co de Colombia en lugar de la .com habitual—, pero un usuario atento puede detectar la diferencia revisando la barra de direcciones.

Precisamente por eso, los atacantes más sofisticados idearon una alternativa: en lugar de registrar un dominio parecido, dibujar una ventana del navegador completa —con dirección, candado y todo— directamente dentro de su propia página.

Qué es el ataque «Browser in the Browser»

El concepto fue documentado públicamente por un investigador de seguridad conocido como mr.d0x. Su punto de partida fue sencillo: las tecnologías web actuales (HTML, CSS y JavaScript) permiten representar con total fidelidad cualquier elemento de interfaz, incluida una ventana emergente de inicio de sesión con la dirección que se desee.

Para su demostración, mr.d0x eligió las ventanas emergentes de autenticación mediante servicios de terceros, esas que aparecen cuando seleccionas «Iniciar sesión con Google», «Iniciar sesión con Apple» o similares. Son cómodas porque evitan crear y recordar una contraseña nueva, y son seguras porque la contraseña solo se envía al proveedor de identidad, nunca al sitio que estás visitando.

El ataque funciona así:

  1. El atacante crea un sitio que imita uno conocido, o monta una página con contenido atractivo (ofertas irresistibles, noticias polémicas, etc.) donde ciertas funciones requieren iniciar sesión.
  2. Cuando la víctima pulsa «Iniciar sesión con Google» (o el proveedor que sea), aparece lo que parece una ventana emergente legítima con la URL correcta del proveedor, su logotipo y los campos habituales.
  3. En realidad, esa ventana no es una ventana del navegador: es un elemento HTML dibujado dentro de la página del atacante.
  4. Si la víctima introduce sus credenciales, estas se envían directamente al servidor del atacante, no al proveedor real.

Cómo detectar una ventana de inicio de sesión falsa

Aunque visualmente la ventana fraudulenta puede ser indistinguible de una real, se comporta de forma diferente porque no es una ventana del navegador, sino un elemento dibujado dentro de la página.

Estas son las pruebas más efectivas para desenmascarar una ventana falsa:

  • Minimiza la ventana del navegador. Si la ventana de inicio de sesión es real, permanecerá visible en pantalla como ventana independiente. Si es falsa, desaparecerá junto con la página, porque forma parte de ella.
  • Arrastra la ventana fuera del navegador. Una ventana real puede moverse libremente por toda la pantalla, incluso por encima de la barra de direcciones. Una falsa solo puede moverse dentro de los límites de la página y se detendrá en el borde superior.
  • Redimensiona la ventana. Las ventanas reales se pueden maximizar y redimensionar. Las falsas tienen límites fijos.

Si la ventana se minimiza junto con la página, se detiene debajo de la barra de direcciones o no se puede mover fuera del navegador, es falsa. No introduzcas tus credenciales.

Cómo protegerte del ataque BitB

La buena noticia es que, aunque el ojo humano puede ser engañado, el software de seguridad no. Por muy convincente que sea la ventana dibujada, la dirección real del sitio no cambia, y eso es lo que analiza cualquier herramienta de seguridad de la información.

Estas medidas reducen drásticamente el riesgo:

  • Usa un gestor de contraseñas. Comprueba la dirección real de la página antes de autocompletar las credenciales. Ante una ventana falsa, simplemente no ofrecerá rellenar nada, porque la URL no coincide.
  • Activa la autenticación en dos pasos (2FA). Aunque un atacante consiga tu contraseña, no podrá acceder a tu cuenta sin el segundo factor. Es una de las medidas más efectivas contra todo tipo de delitos informáticos.
  • Instala una solución de seguridad con módulo antiphishing. Analiza las URLs reales y te avisa antes de que introduzcas datos en una página peligrosa.
  • Considera usar llaves de seguridad físicas (U2F). Dispositivos como YubiKey verifican tanto la dirección del sitio como una clave criptográfica. Ni siquiera una réplica visual perfecta puede superar esta comprobación, lo que los convierte en la defensa más sólida contra ataques de este tipo.

Cómo encaja este ataque en el modelo Zero Trust

El ataque BitB es un ejemplo perfecto de por qué el enfoque de seguridad Zero Trust —no confiar en nada por defecto y verificar siempre— resulta cada vez más necesario. La ventana parece legítima, la URL parece correcta, el diseño es idéntico… pero nada de eso garantiza que sea real. En lugar de confiar en lo que ves, la filosofía Zero Trust propone verificar cada interacción mediante mecanismos independientes: gestores de contraseñas, autenticación multifactor y llaves de seguridad.

En definitiva, el ataque «Browser in the Browser» demuestra que la apariencia visual ya no es garantía de seguridad. Las mejores defensas son las que no dependen de lo que ves en pantalla, sino de lo que se verifica por debajo.