PayPal ha presentado una solicitud de patente para un método novedoso que puede identificar cuándo se roba una “supercookie”, lo que podría mejorar el mecanismo de autenticación basado en cookies y limitar los ataques de apropiación de cuentas.
El riesgo que PayPal quiere abordar es el de que los piratas informáticos roben cookies que contienen tokens de autenticación para iniciar sesión en las cuentas de las víctimas sin la necesidad de credenciales válidas y evitando la autenticación de dos factores (2FA).
“El robo de cookies es una forma sofisticada de ciberataque, en la que un atacante roba o copia cookies del ordenador de la víctima al navegador web del atacante”, dice PayPal en la solicitud de patente.
“Dado que las cookies robadas a menudo contienen contraseñas hash, el atacante puede usar un navegador web en su computadora para hacerse pasar por el usuario (o su dispositivo autenticado) y obtener acceso a información segura asociada con la cuenta del usuario sin tener que iniciar sesión manualmente o proporcionar credenciales de autenticación. ”, se explica con más detalle.
Detalles del Sistema
A diferencia de las cookies estándar almacenadas localmente, las supercookies (también denominadas “cookies Flash”) son objetos compartidos locales (LSO) que el proveedor de servicios de Internet (ISP) del usuario inyecta a nivel de red como encabezados de identificador único (UIDH).
Estas supercookies se utilizan principalmente para el seguimiento entre sitios, siguiendo a los usuarios en diferentes navegadores en el mismo dispositivo, recopilando datos sobre la actividad de navegación y sirviendo como “huellas digitales del dispositivo” persistentes.
Las supercookies son más difíciles de detectar y borrar porque no se almacenan en la ubicación de almacenamiento de cookies estándar del navegador.
Los ingenieros de PayPal han identificado un método para calcular una puntuación de riesgo de fraude en el mecanismo de autenticación basado en cookies para identificar intentos de inicio de sesión fraudulentos en la plataforma de pagos electrónicos.
Cuando un sistema recibe una solicitud de autenticación desde el dispositivo de un usuario, identifica las distintas ubicaciones de almacenamiento de cookies en el dispositivo y las clasifica “en orden de mayor riesgo de fraude”.
“Se recupera del dispositivo un valor de cookie para cada ubicación de almacenamiento. Para cada ubicación de almacenamiento después de la primera: se calcula un valor de cookie esperado basándose en el valor de cookie de una ubicación de almacenamiento anterior”, se lee en el resumen de la solicitud de patente.
Luego, el sistema de PayPal evalúa una puntuación de riesgo comparando los valores esperados de las cookies con los valores asignados para las ubicaciones de almacenamiento del dispositivo.
“La solicitud de autenticación se procesa en función de si la puntuación asignada para al menos una de las ubicaciones de almacenamiento excede una tolerancia de riesgo predeterminada para la detección de fraude”.
En base a la evaluación de riesgos, el sistema gestiona las solicitudes de autenticación en consecuencia, aceptando, rechazando o activando medidas de seguridad adicionales para la aprobación del intento de inicio de sesión.
Para garantizar la seguridad contra la manipulación, los valores de las cookies recuperadas se cifran mediante un algoritmo criptográfico de clave pública.
La patente de PayPal describe un método que tiene como objetivo defenderse de los ciberataques garantizando que las cookies se utilicen legítimamente durante el proceso de autenticación.
El gigante de los pagos electrónicos presentó la patente titulada “Identificación de supercookies para la detección de cookies robadas” en julio de 2022 y fue publicada por la Oficina de Patentes y Marcas de los Estados Unidos a principios de este mes.
Como ocurre con todas las patentes, no hay garantía de que la tecnología descrita en el documento llegue a los portales de los consumidores, de esa forma u otra, pero muestra que las cookies web robadas para inicios de sesión no autorizados son un problema suficiente como para merecer nuevos mecanismos de protección.
Relacionado
PayPal Holdings, propietaria del sistema de pago electrónico PayPal, me decepcionó en los resultados de trabajo del cuarto trimestre y de 2023 en su conjunto. Aunque los resultados de la compañía superaron las expectativas de los analistas, sus acciones cayeron un 8% debido a las débiles previsiones para el trimestre actual. Los ingresos de la compañía para el trimestre fueron de 8.030 millones de dólares, un ¡SEGUIR LEYENDO!
Lista de las alternativas Web3 basadas en Blockchain a muchos de los servicios más usadods habitualmente por el usuario habitual de Internet. Cambia Chrome por Brave Cambia Godaddy por Ens Cambia Spotify por Audius Cambia Youtube por Odysee Cambia Dropbox por Filecoin Cambia Whatsapp por Status Cambia Facebook por Distrikt Cambia Google por Presearch Cambia Paypal por Metamask Espero que le den una oportunidad a la ¡SEGUIR LEYENDO!
Apple está añadiendo al servicio de mensajería instantánea iMessage un nuevo protocolo criptográfico poscuántico llamado PQ3, diseñado para defender el cifrado de ataques cuánticos. iMessage es la plataforma de comunicación predeterminada en los sistemas operativos iOS y macOS, con una base de usuarios de casi mil millones. Una de las características clave de iMessage es la compatibilidad con el cifrado de extremo a extremo (E2EE) para ¡SEGUIR LEYENDO!
A medida que las aplicaciones web continúan obteniendo acceso a grandes cantidades de datos confidenciales que pertenecen a personas, organizaciones e incluso gobiernos; se presenta ante los creadores de apps, la amenaza de la seguridad de los datos. Desde los primeros días de la programación, los programadores utilizaron técnicas de cifrado y criptografía para proteger esos datos confidenciales contra las partes malintencionadas. En la época actual, ¡SEGUIR LEYENDO!
El pasado 21 de Octubre de 2021 se celebró el primer Día Global de Encriptación, organizado por la Coalición Global de Encriptación. El Día mundial del cifrado es una oportunidad para que las empresas, las organizaciones de la sociedad civil, los tecnólogos y millones de usuarios de Internet en todo el mundo muestren a nuestras comunidades por qué es importante el cifrado. También es un día ¡SEGUIR LEYENDO!
Guía práctica de las técnicas de un hacker profesional que te hará descubrir como ser capaz de profesionalizarte dentro del mundo de la ciberseguridad. ¿Qué debes saber del libro blanco del hacker? De forma totalmente práctica, este libro te guiará, desde los cimientos hasta las técnicas más modernas que usa un Hacker Profesional.
- Gutiérrez Salazar, Pablo (Autor)
Hace muchos años, existía un software de cifrado llamado TrueCrypt. A pesar de que su código fuente estaba disponible, su autor era (y sigue siendo hasta hoy) anónimo. Aún así, era un software multiplataforma, fácil de usar y realmente muy útil. TrueCrypt permitía crear una «bunker» para tus archivos, cifrando tus documentos y almacenando tu información confidencialmente. Siempre que tuvieses la contraseña correcta, TrueCrypt podía descifrar ¡SEGUIR LEYENDO!