El envenenamiento de cookies (también conocido como secuestro de sesión) es una estrategia de ataque en la que el atacante altera, falsifica, secuestra o «envenena» de alguna otra manera una cookie válida enviada de vuelta a un servidor para robar datos, burlar la seguridad o ambas cosas.
En informática, una cookie es un dato específico de un sitio web y de una sesión de usuario que incluye información de interés o de identidad del usuario, y que se crea y almacena en el navegador del usuario. Los sitios y los servidores web pueden utilizar las cookies para llevar un seguimiento de las tendencias de uso, por ejemplo, qué páginas del sitio reciben más tráfico, así como para personalizar y racionalizar la experiencia del usuario, que puede significar dar prioridad al contenido relacionado con el contenido de las visitas anteriores del usuario, rastrear los artículos de un carrito de compras en línea o rellenar automáticamente la información personal.
Los atacantes pueden interceptar las cookies antes de que vuelvan al servidor con el fin de extraer información o de modificarlas. Las cookies falsas también se pueden crear desde cero como medio para suplantar la identidad de un usuario y acceder a datos adicionales del mismo. El envenenamiento de cookies es, por tanto, un término inexacto, ya que con frecuencia se utiliza para referirse no únicamente a las cookies modificadas («envenenadas»), sino también a una variedad de métodos para robar datos de cookies válidas o para hacer otro uso malicioso de las mismas.
Las cookies se utilizan con frecuencia para la autenticación y el seguimiento de manera que se sepa si un usuario ha iniciado la sesión en una cuenta, lo que significa que contienen información que puede utilizarse para el acceso no autorizado. También pueden contener otros datos confidenciales, incluyendo información financiera, que previamente ha introducido el usuario. El envenenamiento de cookies resulta relativamente sencillo para los atacantes, que pueden utilizar una cookie envenenada para robar las identidades de los usuarios con fines de fraude o para obtener acceso no autorizado al servidor web y llevar a cabo saqueos posteriores.
Las cookies (u otros tokens de sesión) que no se generan o transmiten de forma segura son vulnerables al secuestro o al envenenamiento. El Cross-site scripting (XSS) es una forma común de robar cookies, pero se pueden utilizar varios métodos, como el «packet sniffing» y la fuerza bruta, para obtener un acceso no autorizado a las cookies. Y dado que el envenenamiento de cookies es un término general para numerosas actividades maliciosas relacionadas con las cookies, un aprovechamiento por envenenamiento de cookies también podría describirse de forma precisa como un ataque del tipo «Man in the middle» o un secuestro, una fijación o una falsificación de sesión, entre otros términos.
Mientras que el desarrollo bien pensado de aplicaciones puede limitar los datos confidenciales que almacenan las cookies o dificultar su extracción por parte de los atacantes, el propósito de una cookie es identificar a los usuarios, su comportamiento o ambos. Eso significa que las aplicaciones van a seguir utilizándolas. Una seguridad de las aplicaciones web apropiada y la administración de sesiones, que se puede proporcionar mediante un cortafuegos de aplicaciones web (WAF), puede ayudar con la protección los datos de identificación y la defensa contra el envenenamiento de cookies.
F5 Advanced WAF utiliza la inspección de datos de proxy completo, el análisis del comportamiento y el aprendizaje automático para proporcionar una seguridad de alto nivel para las aplicaciones, incluyendo una sofisticada gestión de sesiones y el cifrado de cookies SSL/TLS. Al interceptar todo el tráfico hacia y desde el servidor web, puede descifrarlo y compararlo con la información enviada por el servidor para así evitar que las cookies alteradas lleguen al servidor o a una aplicación.