Login Probar gratis
Browser-in-the-Browser: la técnica de phishing con ventanas falsas

Browser-in-the-Browser: la técnica de phishing con ventanas falsas

por MataSpam Phishing y Estafas

El BitB phishing (browser in browser) es una técnica que dibuja una ventana de login falsa dentro de la propia página web del atacante, simulando un popup real del navegador. La víctima cree estar viendo una ventana legítima de Google, Microsoft o Facebook cuando en realidad es HTML y CSS pintados sobre el sitio malicioso. Esta modalidad de phishing navegador se popularizó tras la publicación del investigador mr.d0x en marzo de 2022, y se ha visto en campañas contra cuentas de Steam, jugadores profesionales y empresas SaaS. El truco funciona porque imita píxel a píxel la barra de direcciones, el favicon e incluso el certificado SSL. Si nunca has oído hablar del popup falso phishing, este artículo te ahorrará algún disgusto.

Qué es exactamente el browser-in-the-browser

La técnica consiste en renderizar una ventana emergente fraudulenta usando solo HTML, CSS y un poco de JavaScript. Nada de ventanas reales del sistema operativo. Todo ocurre dentro de la pestaña que ya tienes abierta.

El atacante monta una web cualquiera (un foro de gaming, una promoción, un torneo) y añade un botón tipo "Inicia sesión con Google". Al pulsarlo no se abre un popup real: aparece un iframe diseñado para parecer una ventana del navegador con su barra de título, sus botones de minimizar y cerrar, y una URL que pone accounts.google.com. Pero esa URL es un texto, no una dirección navegable.

Lo más sucio del asunto: el formulario interior sí es funcional. Captura el correo y la contraseña, los envía al servidor del atacante y, a continuación, te redirige al servicio real para que no sospeches nada. La ventana login falsa ha cumplido su trabajo.

Por qué cuela tan bien

El éxito del browser in browser se apoya en tres trucos psicológicos y técnicos:

  • Coincide visualmente con tu sistema. Algunos kits detectan si usas Windows, macOS o Linux y dibujan la ventana con el estilo correspondiente.
  • La URL parece auténtica. Como es texto, el atacante puede escribir cualquier dominio. Y el candado SSL también es un emoji o una imagen.
  • El comportamiento es creíble. La "ventana" se puede arrastrar dentro de la web, se redimensiona, e incluso se cierra con la X. Lo que no puede hacer es salir del límite de la pestaña, aunque pocos usuarios prueban esto.

Steam fue uno de los blancos más castigados. Los atacantes contactaban a jugadores invitándoles a torneos de CS:GO o Dota 2, redirigiéndoles a una web con el famoso popup falso phishing de Steam Guard. Las cuentas con skins valiosos volaban en cuestión de horas.

Señales para detectar una ventana fraudulenta

Hay maneras de cazar el engaño antes de teclear nada. Memoriza estas:

  1. Intenta arrastrar la ventana fuera del navegador. Una ventana real puede salir del marco del navegador. Un iframe falso, no. Si choca con el borde de la pestaña, es trampa.
  2. Maximiza la "ventana". El BitB suele tener un tamaño fijo. Si no se maximiza ocupando toda la pantalla, sospecha.
  3. Mira el gestor de ventanas del sistema. En Windows usa Alt+Tab, en macOS Cmd+Tab. Si la ventana de login no aparece como ventana independiente, es pintura.
  4. Comprueba la URL real en la barra del navegador. Esa sí no la puede modificar el atacante. Si pone tornament-csgo.xyz y la "ventana" dice accounts.google.com, ya tienes la respuesta.
  5. Usa un gestor de contraseñas. Bitwarden, 1Password o KeePassXC solo autorrellenan en el dominio correcto. Si tu gestor no ofrece la contraseña, es porque el dominio no coincide.

Este último punto es clave. Un gestor de contraseñas detecta el bitb phishing sin pestañear porque mira el dominio real, no la decoración visual.

Herramientas y configuraciones para protegerte

Más allá del ojo entrenado, conviene poner barreras técnicas:

HerramientaPara qué sirve
Gestor de contraseñasNo rellena en dominios falsos. Tu mejor defensa pasiva.
Have I Been PwnedComprueba si tu correo ya está en filtraciones públicas.
VirusTotalAnaliza URLs sospechosas antes de visitarlas.
Llaves físicas FIDO2YubiKey, SoloKey y similares no funcionan en dominios falsos. Inmunes al BitB.
PasskeysLigadas al dominio criptográficamente. Google, Apple y Microsoft ya las soportan.

El 2FA por SMS o por código TOTP no te salva del BitB. Si introduces el código en la ventana falsa, el atacante lo reenvía al sitio legítimo en tiempo real. Las llaves de seguridad físicas y las passkeys, en cambio, validan el dominio antes de firmar, así que ignoran el engaño.

Si gestionas la web de tu negocio y quieres reforzar la seguridad de los logins de tus clientes, conviene plantear arquitecturas que soporten passkeys desde el inicio. En proyectos de desarrollo web profesional esto ya se contempla por defecto, sobre todo en sectores donde las credenciales son objetivo recurrente.

Casos reales documentados

El Grupo Ghostwriter, vinculado a Bielorrusia según CERT-UA, usó BitB en 2022 contra objetivos del gobierno ucraniano poco después del inicio de la guerra. Las víctimas recibían enlaces a falsas notificaciones de servicios oficiales con la ventana login falsa imitando portales gubernamentales.

En el mundo gaming, mr.d0x demostró el ataque contra Steam con un torneo ficticio. La comunidad de seguridad reprodujo la técnica decenas de veces, y los kits públicos en GitHub facilitaron que cualquier script kiddie pudiera montarlo en una tarde.

Las plantillas más vistas imitan logins de Google, Microsoft 365, Apple ID, Facebook, Steam y Discord. Si caes en una de estas, los siguientes pasos están descritos en nuestra guía sobre qué hacer si caíste en un phishing: cambiar contraseñas desde otro dispositivo, revocar sesiones activas, avisar al banco si compartías la contraseña con servicios financieros.

Cómo se relaciona con otras técnicas de phishing

El BitB no opera solo. Suele combinarse con otros vectores ya conocidos:

  • Spear phishing por correo: el atacante envía un email personalizado que dirige a la web con la ventana falsa.
  • Typosquatting: el dominio que aloja el BitB se parece al legítimo (ejemplo: steam-comunity.com en vez de steamcommunity.com).
  • Phishing por documentos compartidos: misma lógica que el phishing a través de Google Drive y Docs, pero con la ventana falsa al final del recorrido.
  • Anuncios maliciosos en Google Ads: pagar por aparecer arriba en búsquedas de "iniciar sesión [marca]" y enviar tráfico al BitB.

El phishing bancario también ha incorporado esta técnica en variantes recientes. Si quieres reforzar tu defensa específicamente contra fraudes financieros, consulta nuestra pieza sobre phishing bancario y cómo protegerte.

Qué hacer si crees que has caído

Si sospechas que has introducido credenciales en una ventana falsa:

  1. Cambia la contraseña desde otro dispositivo o desde la app oficial, no desde el mismo enlace.
  2. Cierra todas las sesiones activas desde el panel de seguridad de la cuenta.
  3. Activa 2FA con app o llave física si todavía no lo tienes.
  4. Revisa accesos recientes: dispositivos, ubicaciones, dispositivos vinculados.
  5. Si reutilizabas esa contraseña en otros servicios, cámbiala también en todos ellos.
  6. Denuncia en la web del INCIBE (incibe.es) o ante la Policía Nacional si hay pérdida económica.

Reportar el dominio fraudulento a Google Safe Browsing y a PhishTank ayuda a que el navegador bloquee a futuras víctimas.

Preguntas frecuentes

¿El navegador puede detectar automáticamente un BitB?

Chrome, Firefox y Safari no marcan el iframe como sospechoso porque técnicamente es HTML válido. La única defensa nativa son los gestores de contraseñas integrados que no autorrellenan en dominios no coincidentes.

¿Sirve el 2FA por SMS contra el browser in browser?

No del todo. El atacante puede reenviar tu código al servicio real en tiempo real mediante un kit tipo Evilginx. Las llaves FIDO2 y las passkeys sí protegen, porque validan el dominio criptográficamente antes de firmar.

¿Cómo puedo distinguir una ventana real de una pintada?

Intenta arrastrarla fuera del navegador. Una ventana real del sistema operativo puede salir del marco; un iframe no. También funciona el atajo Alt+Tab (Windows) o Cmd+Tab (macOS): si no aparece como ventana independiente, es falsa.

¿Las passkeys son inmunes al BitB?

Sí. Las passkeys están vinculadas criptográficamente al dominio que las creó. Aunque el atacante reproduzca visualmente la ventana de Google, el sistema operativo se negará a firmar contra un dominio distinto al original. Google, Apple, Microsoft y GitHub ya las soportan en 2026.

¿Es legal montar un BitB con fines educativos?

Investigar y demostrar la técnica en entornos controlados es legal. Lo que constituye delito según el artículo 248 del Código Penal español es usarla para engañar a terceros y obtener credenciales o beneficio económico. La pena alcanza hasta seis años de prisión cuando hay perjuicio patrimonial.

El siguiente paso

Instala hoy un gestor de contraseñas (Bitwarden es gratuito y open source) y migra al menos tus tres cuentas más importantes —correo, banco y red social principal— a passkeys o llaves físicas FIDO2. Esa única acción te blinda contra el 99% de los bitb phishing que circulan actualmente.

bitb phishing browser in browser ventana login falsa popup falso phishing phishing navegador
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Phishing multietapa: ataques que combinan varias técnicas en cadena
Phishing y Estafas

Phishing multietapa: ataques que combinan varias técnicas en cadena

Phishing generado con ChatGPT: cómo la IA mejora los correos fraudulentos
Phishing y Estafas

Phishing generado con ChatGPT: cómo la IA mejora los correos fraudulentos

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan
Phishing y Estafas

Angler phishing: cuentas falsas de soporte en redes sociales que te estafan

← Volver al blog