Ojo con las 'cookies' de internet: ahora pueden usarlas para suplantar tu identidad

En efecto, las 'cookies' son pequeños archivos que las webs almacenan en nuestro smartphone u ordenador para recordar información de lo más variopinta: desde las páginas concretas que hemos visitado hasta nuestra contraseña, pasando por los artículos que dejamos en el carrito la última vez que nos picó el gusanillo de las compras 'online'. Información sensible a fin de cuentas que, de caer en malas manos, podría ponernos en riesgo.

No extraña entonces que la Unión Europea aprobase la Directiva sobre la privacidad y las comunicaciones electrónicas ('ePrivacy'), por la que «no se debe establecer ninguna 'cookie' o rastreador 'online' antes del consentimiento previo del usuario, excepto los estrictamente necesarios para las funciones básicas de una web». ¿Significa esto que estamos libres de la injerencia de terceros? No necesariamente.

La Oficina de Seguridad del Internauta (OSI) ha alertado sobre la técnica conocida como 'secuestro de cookies'. Se produce cuando un atacante accede a nuestras 'cookies' para suplantarnos en los sitios web donde hemos iniciado sesión, lo que le brinda acceso tanto a nuestros datos personales y de pago como al propio control de las cuentas de usuario: «Una vez que tienen acceso a tus 'cookies', los atacantes pueden hacerse pasar por ti sin necesidad de conocer tu contraseña», explican los expertos de la OSI.

Dos son las técnicas más comunes por las que un ciberdelincuente puede agenciarse 'cookies' ajenas: los ataques 'Man in the Middle' y los robos de sesión mediante redes inseguras. En los primeros, describe la Oficina dependiente del Instituto Nacional de Ciberseguridad (INCIBE), «el ciberdelincuente infecta tu ordenador con 'malware'. Después, cuando te conectas a una página web, puede interceptar la información que envías y recibes, o incluso hacer cosas en tu cuenta sin que seas consciente de ello. Al estar dentro de tu dispositivo, el atacante también puede robar directamente tus 'cookies' almacenadas y utilizarlas para acceder a tus cuentas».

En el segundo caso, los malhechores se aprovechan de habernos conectado a una red WiFi pública: «Utilizando programas para 'escuchar' la red ('sniffer'), los atacantes pueden capturar las 'cookies' de sesión después de que hayas iniciado sesión en una página web. Si la conexión no está completamente protegida, el atacante puede usar esa 'cookie' robada para acceder a tu cuenta».

También son dos las principales estrategias que podemos seguir para minimizar los riesgos al navegar por Internet. Primeramente nos aseguraremos de que las webs que visitamos utilizan el protocolo seguro de transferencia de hipertexto (indicado como 'https' al comienzo de su url), fijándonos en que éste se muestre en todas las secciones del sitio, no sólo en la página donde introducimos nuestro nombre de usuario y contraseña. Por lógica, evitaremos además acceder a redes WiFi públicas o abiertas por resultar más vulnerables a los ataques: siempre será mejor recurrir una nuestra conexión de datos móviles.

La OSI recomienda además configurar el cierre automático de sesión para las cuentas que hayamos creado en las distintas webs (transcurrido cierto tiempo o cuando cerremos la ventana del navegador), además de la supresión automática de sus respectivas 'cookies'. Para saber cómo hacerlo, paso a paso, podemos visitar las páginas de soporte de los principales navegadores: Google Chrome, Mozilla Firefox, Microsoft Edge y Safari.

Ahora bien, ¿qué ocurre si a pesar de lo anterior sospechamos haber sido víctimas de un secuestro de 'cookies'? Deben ponernos en alerta los inicios de sesión desde lugares que no corresponden o los cambios de contraseña no solicitados, ante lo cual procederemos a modificar esta última con la mayor brevedad: si se trata de una combinación de números y letras utilizada en varias plataformas o webs (lo que se desaconseja siempre), la cambiaremos en todos los lugares afectados. Utilizar la función de contraseñas sugeridas por Google o Apple puede ser buena idea si no queremos estar recordándolas y, al mismo tiempo, pretendemos crear claves verdaderamente seguras.

Tampoco es mala idea, concluyen desde el INCIBE, contactar con el soporte técnico de los servicios en cuestión para que tomen las medidas oportunas: «Ellos te proporcionarán ayuda para solventar este incidente».