La autenticación multifactor (MFA), considerada durante mucho tiempo la piedra angular de la defensa de la ciberseguridad, se enfrenta a una nueva y formidable amenaza: los ataques de “Pasar la cookie”.
Hallazgos recientes revelados por Long Wall muestran que los actores de amenazas explotan las cookies de sesión del navegador para eludir MFA por completo, otorgando acceso completo a cuentas corporativas sin requerir contraseñas ni tokens de autenticación.
Esta técnica plantea un riesgo importante para las organizaciones que dependen de MFA para Office 365, Azure y otras plataformas en la nube.
La eficacia de MFA depende de verificar la identidad del usuario a través de múltiples credenciales. Sin embargo, los atacantes ahora apuntan a las cookies de sesión: pequeños fragmentos de datos almacenados por los navegadores para mantener inicios de sesión activos.
En un ataque típico, los ciberdelincuentes roban cookies como ESTSAUTH de Microsoft, que valida sesiones en todos los servicios de Office 365.
Una vez extraídas, estas cookies permiten a los adversarios hacerse pasar por usuarios de forma indefinida, incluso desde dispositivos o ubicaciones no reconocidas.
Un claro ejemplo involucra dos inicios de sesión de Office 365 registrados en Azure:
- Acceso legítimo: un usuario inicia sesión a través de Chrome en Windows 11 y completa MFA a través de la aplicación Microsoft Authenticator.
- Acceso malicioso: un atacante utiliza la misma cuenta en Ubuntu/Firefox sin contraseña ni solicitud de MFA, basándose únicamente en una cookie ESTSAUTH robada.
Los registros de Azure muestran entradas casi idénticas para ambos eventos, con solo diferencias sutiles en los metadatos del navegador/SO que insinúan un juego sucio.
Sin herramientas de detección avanzadas, estos ataques evaden fácilmente el control de seguridad tradicional.
Secuestro de cookies
El secuestro de sesión comienza cuando malware como LummaC2, Redline o Racoon se infiltra en un dispositivo. Estos ladrones de información, a menudo disfrazados de actualizaciones de software falsas, escanean los navegadores en busca de cookies y las descifran utilizando herramientas integradas.
Por ejemplo, LummaC2 extrae valores ESTSAUTH, que luego los atacantes implantan en sus propios navegadores a través de las consolas de los desarrolladores.
Tutorial de prueba de concepto:
- Extracción de cookies: después de comprometer un dispositivo Windows/Chrome, los atacantes utilizan herramientas de desarrollo del navegador para copiar la cookie ESTSAUTH de login.microsoftonline.com.
- Suplantación de sesión: en una máquina Ubuntu/Firefox limpia, el atacante crea una nueva cookie con el valor robado. Actualizar la página otorga acceso inmediato a la cuenta de Office 365 de la víctima.
Este método omite MFA porque la cookie valida la sesión, no el usuario.
La documentación de Microsoft confirma que las cookies ESTSAUTH persisten hasta el cierre de sesión explícito o su vencimiento, lo que potencialmente permite semanas de acceso no detectado.
El auge de los ataques centrados en cookies
A medida que crece la adopción de MFA, los atacantes están pasando del robo de credenciales (por ejemplo, el dumping de LSASS basado en Mimikatz) a la recolección de cookies.
Usar procdump para realizar un volcado de memoria completa en LSASS, luego usar Mimikatz para extraer secretos NTLM, Kerberos y LSA.
Las campañas recientes observadas por los MSSP muestran un aumento del 300% en los intentos de robo de cookies desde 2023, dirigidas a sectores como las finanzas y la atención médica.
Estrategias de mitigación
Para contrarrestar esta amenaza, los expertos recomiendan:
- Monitoreo de token de sesión: implemente herramientas UEBA (User Entity Behavior Analytics) para señalar anomalías como cambios repentinos en el sistema operativo o el navegador a mitad de la sesión.
- Políticas de acceso condicional: restrinja los inicios de sesión a dispositivos administrados/compatibles y aplique comprobaciones MFA recurrentes para acciones de alto riesgo.
- Cifrado de cookies: utilice soluciones como la Evaluación de acceso continuo (CAE) de Azure AD para acortar la vida útil de los tokens y vincular las sesiones a las huellas digitales del dispositivo.
- Detección de robo de información: bloquee el volcado de credenciales no autorizado a través de herramientas EDR y restrinja los privilegios de administrador local.
Si bien la MFA sigue siendo esencial, la epidemia de “Pasar la cookie” subraya la necesidad de arquitecturas de confianza cero.
Como señala Jake Williams, CTO de Rendition Infosec: “Las cookies de sesión son las nuevas credenciales. Protegerlas requiere el mismo rigor que las contraseñas: cifrado, rotación y controles de acceso granulares”.
Las organizaciones deben evolucionar más allá de la mera MFA y tratar la integridad de las sesiones como un pilar fundamental de la ciberseguridad moderna.
