PayPal ha presentado una solicitud de patente para un método novedoso que puede identificar cuándo se roba una “supercookie”, lo que podría mejorar el mecanismo de autenticación basado en cookies y limitar los ataques de apropiación de cuentas.
El riesgo que PayPal quiere abordar es el de que los piratas informáticos roben cookies que contienen tokens de autenticación para iniciar sesión en las cuentas de las víctimas sin la necesidad de credenciales válidas y evitando la autenticación de dos factores (2FA).
“El robo de cookies es una forma sofisticada de ciberataque, en la que un atacante roba o copia cookies del ordenador de la víctima al navegador web del atacante”, dice PayPal en la solicitud de patente.
“Dado que las cookies robadas a menudo contienen contraseñas hash, el atacante puede usar un navegador web en su computadora para hacerse pasar por el usuario (o su dispositivo autenticado) y obtener acceso a información segura asociada con la cuenta del usuario sin tener que iniciar sesión manualmente o proporcionar credenciales de autenticación. ”, se explica con más detalle.
Detalles del Sistema
A diferencia de las cookies estándar almacenadas localmente, las supercookies (también denominadas “cookies Flash”) son objetos compartidos locales (LSO) que el proveedor de servicios de Internet (ISP) del usuario inyecta a nivel de red como encabezados de identificador único (UIDH).
Estas supercookies se utilizan principalmente para el seguimiento entre sitios, siguiendo a los usuarios en diferentes navegadores en el mismo dispositivo, recopilando datos sobre la actividad de navegación y sirviendo como “huellas digitales del dispositivo” persistentes.
Las supercookies son más difíciles de detectar y borrar porque no se almacenan en la ubicación de almacenamiento de cookies estándar del navegador.
Los ingenieros de PayPal han identificado un método para calcular una puntuación de riesgo de fraude en el mecanismo de autenticación basado en cookies para identificar intentos de inicio de sesión fraudulentos en la plataforma de pagos electrónicos.
Cuando un sistema recibe una solicitud de autenticación desde el dispositivo de un usuario, identifica las distintas ubicaciones de almacenamiento de cookies en el dispositivo y las clasifica “en orden de mayor riesgo de fraude”.
“Se recupera del dispositivo un valor de cookie para cada ubicación de almacenamiento. Para cada ubicación de almacenamiento después de la primera: se calcula un valor de cookie esperado basándose en el valor de cookie de una ubicación de almacenamiento anterior”, se lee en el resumen de la solicitud de patente.
Luego, el sistema de PayPal evalúa una puntuación de riesgo comparando los valores esperados de las cookies con los valores asignados para las ubicaciones de almacenamiento del dispositivo.
“La solicitud de autenticación se procesa en función de si la puntuación asignada para al menos una de las ubicaciones de almacenamiento excede una tolerancia de riesgo predeterminada para la detección de fraude”.
En base a la evaluación de riesgos, el sistema gestiona las solicitudes de autenticación en consecuencia, aceptando, rechazando o activando medidas de seguridad adicionales para la aprobación del intento de inicio de sesión.
Para garantizar la seguridad contra la manipulación, los valores de las cookies recuperadas se cifran mediante un algoritmo criptográfico de clave pública.
La patente de PayPal describe un método que tiene como objetivo defenderse de los ciberataques garantizando que las cookies se utilicen legítimamente durante el proceso de autenticación.
El gigante de los pagos electrónicos presentó la patente titulada “Identificación de supercookies para la detección de cookies robadas” en julio de 2022 y fue publicada por la Oficina de Patentes y Marcas de los Estados Unidos a principios de este mes.
Como ocurre con todas las patentes, no hay garantía de que la tecnología descrita en el documento llegue a los portales de los consumidores, de esa forma u otra, pero muestra que las cookies web robadas para inicios de sesión no autorizados son un problema suficiente como para merecer nuevos mecanismos de protección.
Relacionado
Alternativas Web3 a muchos de los Servicios Más Utilizados
Lista de las alternativas Web3 basadas en Blockchain a muchos de los servicios más usadods habitualmente por el usuario habitual de Internet. Cambia Chrome por Brave Cambia Godaddy por Ens Cambia Spotify por Audius Cambia Youtube por Odysee Cambia Dropbox por Filecoin Cambia Whatsapp por Status Cambia Facebook por Distrikt Cambia Google por Presearch Cambia Paypal por Metamask Espero que le den una oportunidad a la ¡SEGUIR LEYENDO!
Apple agrega Cifrado Resistente a Cuánticos PQ3 a iMessage
Apple está añadiendo al servicio de mensajería instantánea iMessage un nuevo protocolo criptográfico poscuántico llamado PQ3, diseñado para defender el cifrado de ataques cuánticos. iMessage es la plataforma de comunicación predeterminada en los sistemas operativos iOS y macOS, con una base de usuarios de casi mil millones. Una de las características clave de iMessage es la compatibilidad con el cifrado de extremo a extremo (E2EE) para ¡SEGUIR LEYENDO!
Guía para principiantes sobre el cifrado de datos con NodeJS
A medida que las aplicaciones web continúan obteniendo acceso a grandes cantidades de datos confidenciales que pertenecen a personas, organizaciones e incluso gobiernos; se presenta ante los creadores de apps, la amenaza de la seguridad de los datos. Desde los primeros días de la programación, los programadores utilizaron técnicas de cifrado y criptografía para proteger esos datos confidenciales contra las partes malintencionadas. En la época actual, ¡SEGUIR LEYENDO!
Declaración del Día Mundial del Cifrado
El pasado 21 de Octubre de 2021 se celebró el primer Día Global de Encriptación, organizado por la Coalición Global de Encriptación. El Día mundial del cifrado es una oportunidad para que las empresas, las organizaciones de la sociedad civil, los tecnólogos y millones de usuarios de Internet en todo el mundo muestren a nuestras comunidades por qué es importante el cifrado. También es un día ¡SEGUIR LEYENDO!
Libro Blanco del Hacker escrito por Pablo Gutiérrez Salazar
Guía práctica de las técnicas de un hacker profesional que te hará descubrir como ser capaz de profesionalizarte dentro del mundo de la ciberseguridad. ¿Qué debes saber del libro blanco del hacker? De forma totalmente práctica, este libro te guiará, desde los cimientos hasta las técnicas más modernas que usa un Hacker Profesional.
No se ha podido encontrar este producto, prueba a realizar otra búsqueda.
De esta forma descubrirás cómo puedes tú también convertirte en
¡SEGUIR LEYENDO!
Cifrado de archivos con VeraCrypt, el mejor software de código abierto para encriptar
Hace muchos años, existía un software de cifrado llamado TrueCrypt. A pesar de que su código fuente estaba disponible, su autor era (y sigue siendo hasta hoy) anónimo. Aún así, era un software multiplataforma, fácil de usar y realmente muy útil. TrueCrypt permitía crear una «bunker» para tus archivos, cifrando tus documentos y almacenando tu información confidencialmente. Siempre que tuvieses la contraseña correcta, TrueCrypt podía descifrar ¡SEGUIR LEYENDO!
¿Cómo hackear una red WiFi? Guía para descifrar la red inalámbrica en una PC con Windows
Las redes inalámbricas son accesibles para cualquier persona dentro del radio de transmisión del router. Esto los hace vulnerables a los ataques. Los puntos de acceso están disponibles en lugares públicos como aeropuertos, restaurantes, parques, etc. En este tutorial, te presento las técnicas más comunes utilizadas para explotar las debilidades en las implementaciones de seguridad de redes inalámbricas. También veremos algunas de las contramedidas que puede ¡SEGUIR LEYENDO!
La billetera de Criptomonedas MetaMask recibe integración con PayPal
PayPal comenzó la integración con metamask, una de las billeteras criptográficas de Ethereum más populares del mundo. Los usuarios de la popular billetera de criptomonedas MetaMask pueden comprar criptomonedas Ethereum pagándolas a través de PayPal. Para ello, se va a requerir el inicio de sesión en ambos sistemas. https://ciberninjas.com/cripto-metamask/ En las próximas semanas, la función estará disponible para todos los clientes de MetaMask de EE. UU. ¡SEGUIR LEYENDO!
PayPal se compromete a integrar todos los servicios de criptomonedas posibles
El vicepresidente de PayPal, Richard Nash, declaró que el servicio de pago está haciendo todo lo posible para garantizar la integración de todos los servicios de blockchain y criptomonedas disponibles. https://ciberninjas.com/paypal-permite-pagos-criptomoneda-usa/ Con la integración con Bitcoin para los usuarios de EE. UU. en 2020, la plataforma tiene como objetivo ampliar las opciones disponibles para todos los usuarios, incluidas las próximas versiones digitales oficiales de las monedas ¡SEGUIR LEYENDO!
Paypal USD será el nombre de la criptomoneda de Paypal
PayPal ha anunciado el lanzamiento de su propia stablecoin, llamado PayPal USD. El stablecoin está respaldado por 100% de dólares estadounidenses en depósitos y valores a corto plazo y se emitirá en la blockchain de Ethereum. Leer Más: PayPal ya permite pagar con Bitcoin, Ethereum y Litecoin PayPal USD estará disponible para los clientes de PayPal en los Estados Unidos a partir de hoy. Los clientes ¡SEGUIR LEYENDO!
