Un consejo que se suele escuchar y leer para evitar ser víctima de phishing es comprobar la URL del sitio web que se visita. Esto es así porque si estás intentando entrar en Facebook, pero la URL no es la que debería ser, hay muchas posibilidades de que te la estén jugando para robarte las credenciales.

También puedes comprobar las URL de las ventanas emergentes utilizadas para el inicio de sesión único, como las de Google, Apple o Facebook... o eso creíamos. Vienen tiempos oscuros para nuestra seguridad.

Gracias al investigador de seguridad mr.d0x hemos conocido que los piratas han creado un nuevo ataque Browser-in-the-Browser que, en teoría, permite a los piratas recrear esas ventanas emergentes de login para que muestren la URL correcta.

Engañando así a los usuarios para que introduzcan sus credenciales de inicio de sesión. Al ver la URL correcta, con el HTPPS de seguridad correspondiente, nadie duda de que esa página es la original.

En declaraciones a BleepingComputer, mr.d0x dijo a la publicación que estas plantillas son bastante fáciles de usar y pueden utilizarse para navegadores como Google Chrome, es cual es el navegador más utilizado del mundo.

El problema con este tipo de ataques es que, en el pasado, los usuarios más experimentados podrían notar que algo se ve un poco fuera de lugar en términos de las imágenes, por no hablar de la URL, pero utilizando las plantillas creadas por mr.d0x, es muy difícil notar la diferencia.

La buena noticia es que, dado que este exploit ha salido a la luz, es de esperar que permita a empresas como Google, Apple, Microsoft y demás encontrar una forma de solucionar este problema para ayudar a los usuarios a tener una experiencia de navegación más segura.

Cómo arreglar el exploit aún no está claro, pero sí que se puede explotar este fallo, lo que es suficiente para los ingenieros que mantienen los navegadores más populares. Pronto deberíamos tener una respuesta por parte de las grandes compañías, sobre todo de Google.