Cuidado con este 'malware': puede robar tu cuenta de Google aunque cambies la contraseña

• Un fallo en Google rompe Internet y deja a cientos de técnicos SEO al borde del síncope
• Google Chrome mejora la seguridad con una potente herramienta: así funciona

Las cookies de sesión hacen mucho más sencilla la vida de cualquier usuario al navegar por internet. Gracias a ellas, no hace falta introducir la dirección de correo electrónico y la contraseña cada vez que se quiere entrar en una cuenta bancaria o acceder a cualquier otro servicio. Sin embargo, esconden vulnerabilidades que, en muchos casos, son aprovechadas por los ciberdelincuentes, motivo por el que las big tech cada vez apuestan más por las passkeys. Google ha sido la última afectada por este problema.

El pasado mes de octubre de 2023, un usuario conocido con el pseudónimo de PRISMA reveló en su canal de Telegram que había conseguido restaurar las cookies de autenticación de Google caducadas. Esto le permitía acceder a las cuentas de Gmail, incluso aunque el usuario hubiese cambiado la contraseña, y generar nuevas cookies de sesión con las que seguir entrando en ellas de manera no autorizada.

Poco después, a finales de noviembre de 2023, los desarrolladores de Lumma, un malware calificado como infostealer (un tipo de troyano destinado a robar datos personales), aseguraron haber sido capaces de aprovechar esta vulnerabilidad de Google. Otros programas maliciosos como Rhadamanthys, Stealc Stealer, Meduza o Risepro siguieron sus pasos e hicieron lo mismo.

Pero ¿cómo lo hacen?

Cloudsek, una compañía especializada en ciberseguridad, ha sido la encargada de encontrar el modus operandi de estos ciberdelincuentes. En concreto, lo que hacen es aprovechar un endpoint llamado MultiLogin de Google OAuth para iniciar sesión en las cuentas de los usuarios sin necesidad de seguir el proceso de autenticación. Así lo ha revelado en una publicación en su blog oficial.

TE PUEDE INTERESAR

¿Es la 'app' de Google un virus? Para algunos teléfonos de Huawei, sí

R. Badillo

Según el código fuente de Chromium, MultiLogin es un endpoint destinado a permitir la sincronización de los diferentes servicios de Google a partir de las cookies de autenticación. Para ello, utiliza vectores de identificación y tokens de inicio de sesión, que son fundamentales para gestionar varias sesiones de manera simultánea y cambiar entre distintos perfiles. Su utilización maliciosa por parte de los malwares citados anteriormente es especialmente peligrosa, ya que brinda la posibilidad de explotar el acceso de manera prolongada y discreta.

En este sentido, Google ha tomado cartas en el asunto. En concreto, indica estar “aplicando medidas para proteger las cuentas comprometidas que han sido detectadas”. También asegura que actualiza “de forma periódica las defensas contra este tipo de técnicas para proteger a los usuarios”. En cualquier caso, conviene extremar las precauciones, habilitar sistemas de doble verificación de acceso e, incluso, empezar a usar passkeys para ponérselo difícil a los ciberdelincuentes.