Phishing: Google prohibe logins incrustados en navegadores

Google anunció una actualización de seguridad para el sistema de inicio de sesión de usuario (login) de Google. La compañía espera que mejore sus protecciones de seguridad generales contra los ataques de Phishing basados en ataques Man in the Middle.  Google prohibirá los inicios de sesión en los marcos de los navegadores integrados, a partir […]

Google anunció una actualización de seguridad para el sistema de inicio de sesión de usuario (login) de Google. La compañía espera que mejore sus protecciones de seguridad generales contra los ataques de Phishing basados en ataques Man in the Middle. 

Google prohibirá los inicios de sesión en los marcos de los navegadores integrados, a partir de junio de este año. El motivo es el aumento del riesgo de ataques de suplantación de identidad mediante el uso del ataque Man-In-The-Middle. En este  exploit, la comunicación entre dos partes es interceptada por una tercera entidad desconocida, que puede cambiar su contenido.

La compañía planea bloquear cualquier intento de inicio de sesión de usuario iniciado desde una tecnología de marco de navegador integrado. Esto incluye todos los intentos de inicio de sesión de herramientas como Chromium Embedded Framework (CEF), XULRunner y otros.

Fuente: Google.

Actualmente, Google no puede detectar un ataque MITM cuando se inicie sesión a través de un navegador integrado.

La solución a esto es prohibir los inicios de sesión a través de dichos navegadores integrados y usar la autenticación OAuth en su lugar. En este proceso, los usuarios serán llevados a otro navegador, Safari, Chrome, etc., siempre que se solicite un inicio de sesión. Le permitiría a Google asegurarse de que el inicio de sesión no está siendo atacado. Además, también revelaría la URL completa de la página de inicio de sesión, brindando así al usuario más información.

En la autenticación OAuth, las tres partes están involucradas: el Cliente OAuth (la aplicación que está intentando iniciar sesión), el proveedor OAuth (Facebook, Twitter, Instagram) y el propietario.

OAuth es una forma segura de otorgar permiso a los clientes de OAuth para sus datos sin el riesgo de exponer su contraseña. Es un buen movimiento de Google porque varios usuarios aún no usan la autenticación de 2 factores.

Man in the Middle al alza

Este no es el único paso dado por Google para prevenir los ataques de intermediarios. Recientemente, Google actualizó su servicio de Gmail con el estándar MTA-STS, que es un gran paso desde SMTP (Simple Mail Transfer Protocol). Esta actualización evita que los piratas informáticos accedan a los correos electrónicos enviados desde y hacia Gmail.

Actualmente, el robo de credenciales a través de ataques MitM es muy común, por ende, es básico utilizar, siempre que esté disponible, la autenticación de dos factores.