Durante los últimos años, ha existido una creciente sofisticación en las fórmulas que utilizan los grupos de ciberdelincuente para poder acceder a dispositivos externos. Uno de los ejemplos más claros lo encontramos en el último malware que se ha detectado y que estaría afectando a las cuentas de Google, con millones de dispositivos activos a lo largo de todo el mundo. Se trata de un nuevo malware que busca acceder a la base de datos local de Google Chrome, tratando de robar todas las contraseñas y el resto de información que se encuentra en su interior.

Pese a que el malware fue revelado el pasado 20 de octubre, no ha sido hasta hace unos días cuando se ha podido obtener más información acerca de su funcionamiento. Este método sería capaz de restaurar las cookies de autenticación caducadas e, incluso si se ha cambiado recientemente la contraseña de la cuenta, podría iniciar sesión en las mismas sin que nada lo impida.

Una vulnerabilidad para robar todos tus datos

Medios especializados como BleepingComputer se han hecho eco de esta nueva vulnerabilidad. Las cookies de inicio de sesión están diseñadas para tener una vida útil limitada. Por lo que, en condiciones normales, no se pueden utilizar indefinidamente. Google las utiliza para que cualquier usuario pueda acceder a su cuenta de Google de manera automática, sin necesidad de ingresar sus credenciales. Y este es el motivo por el que, pese a tener guardado nuestro nombre de usuario y contraseña en nuestro navegador, cada X tiempo debemos introducir nuestros datos de manera manual, puesto que las cookies a las que estamos haciendo referencia han caducado.

El sistema está diseñado para enviar una solicitud a la API de Google para crear cookies estables y persistentes que permiten autentificarse en nuestro nombre para acceder a nuestra cuenta de usuario. La vulnerabilidad ha sido tan reciente que actualmente se desconoce si activando la autentificación en dos factores podríamos asegurar que nuestra cuenta se encuentra a salvo de esta situación. Así como el resto de medidas que estamos acostumbrados a tomar cuando se detectan este tipo de brechas de seguridad.

Acceso a cuentas ilimitado

Pese a que lo más habitual en estos casos suele ser cambiar la contraseña de nuestras cuentas, actualmente tampoco existe información sobre si este exploit podría tener acceso a nuestras cuentas de manera ilimitada, aprovechándose de esta brecha de seguridad. Aunque todo parece indicar que, efectivamente, es así.

El mismo medio citado previamente afirma que todos aquellos que tienen este exploit en su poder ya estarían vendiéndolo a grupos de ciberdelincuentes, con el fin de aprovecharse de las oportunidades que nos ofrece. Además, también parece que se han implementado mejoras en el exploit que son capaces de evitar las contramedidas que ha implantado Google una vez se ha detectado esta situación.

Pese a que actualmente Google no se ha manifestado al respecto ni han lanzado actualizaciones críticas de seguridad durante los últimos días con el objetivo de lidiar contra este nuevo formato de malware, es importante estar atentos y descargar siempre las últimas versiones de nuestro navegador de Google desde el propio Google Chrome. Evitando posibles fuentes de datos desconocidas que puedan comprometer la seguridad de nuestros datos.

https://www.adslzone.net/noticias/seguridad/malware-afecta-usuarios-google-mundial/