PayPal ha presentado una solicitud de patente para un método novedoso que puede identificar cuándo se roba una “supercookie”, lo que podría mejorar el mecanismo de autenticación basado en cookies y limitar los ataques de apropiación de cuentas.
El riesgo que PayPal quiere abordar es el de que los piratas informáticos roben cookies que contienen tokens de autenticación para iniciar sesión en las cuentas de las víctimas sin la necesidad de credenciales válidas y evitando la autenticación de dos factores (2FA).
“El robo de cookies es una forma sofisticada de ciberataque, en la que un atacante roba o copia cookies del ordenador de la víctima al navegador web del atacante”, dice PayPal en la solicitud de patente.
“Dado que las cookies robadas a menudo contienen contraseñas hash, el atacante puede usar un navegador web en su computadora para hacerse pasar por el usuario (o su dispositivo autenticado) y obtener acceso a información segura asociada con la cuenta del usuario sin tener que iniciar sesión manualmente o proporcionar credenciales de autenticación. ”, se explica con más detalle.
Detalles del Sistema
A diferencia de las cookies estándar almacenadas localmente, las supercookies (también denominadas “cookies Flash”) son objetos compartidos locales (LSO) que el proveedor de servicios de Internet (ISP) del usuario inyecta a nivel de red como encabezados de identificador único (UIDH).
Estas supercookies se utilizan principalmente para el seguimiento entre sitios, siguiendo a los usuarios en diferentes navegadores en el mismo dispositivo, recopilando datos sobre la actividad de navegación y sirviendo como “huellas digitales del dispositivo” persistentes.
Las supercookies son más difíciles de detectar y borrar porque no se almacenan en la ubicación de almacenamiento de cookies estándar del navegador.
Los ingenieros de PayPal han identificado un método para calcular una puntuación de riesgo de fraude en el mecanismo de autenticación basado en cookies para identificar intentos de inicio de sesión fraudulentos en la plataforma de pagos electrónicos.
Cuando un sistema recibe una solicitud de autenticación desde el dispositivo de un usuario, identifica las distintas ubicaciones de almacenamiento de cookies en el dispositivo y las clasifica “en orden de mayor riesgo de fraude”.
“Se recupera del dispositivo un valor de cookie para cada ubicación de almacenamiento. Para cada ubicación de almacenamiento después de la primera: se calcula un valor de cookie esperado basándose en el valor de cookie de una ubicación de almacenamiento anterior”, se lee en el resumen de la solicitud de patente.
Luego, el sistema de PayPal evalúa una puntuación de riesgo comparando los valores esperados de las cookies con los valores asignados para las ubicaciones de almacenamiento del dispositivo.
“La solicitud de autenticación se procesa en función de si la puntuación asignada para al menos una de las ubicaciones de almacenamiento excede una tolerancia de riesgo predeterminada para la detección de fraude”.
En base a la evaluación de riesgos, el sistema gestiona las solicitudes de autenticación en consecuencia, aceptando, rechazando o activando medidas de seguridad adicionales para la aprobación del intento de inicio de sesión.
Para garantizar la seguridad contra la manipulación, los valores de las cookies recuperadas se cifran mediante un algoritmo criptográfico de clave pública.
La patente de PayPal describe un método que tiene como objetivo defenderse de los ciberataques garantizando que las cookies se utilicen legítimamente durante el proceso de autenticación.
El gigante de los pagos electrónicos presentó la patente titulada “Identificación de supercookies para la detección de cookies robadas” en julio de 2022 y fue publicada por la Oficina de Patentes y Marcas de los Estados Unidos a principios de este mes.
Como ocurre con todas las patentes, no hay garantía de que la tecnología descrita en el documento llegue a los portales de los consumidores, de esa forma u otra, pero muestra que las cookies web robadas para inicios de sesión no autorizados son un problema suficiente como para merecer nuevos mecanismos de protección.