Login Probar gratis
Session hijacking: cómo los atacantes roban tu sesión sin necesitar tu contraseña

Session hijacking: cómo los atacantes roban tu sesión sin necesitar tu contraseña

por MataSpam Ciberataques

El session hijacking permite a un atacante suplantar tu identidad en cualquier servicio web sin conocer tu contraseña. Basta con interceptar o robar el token de sesión —esa cookie que el servidor genera cuando inicias sesión— para que alguien opere como si fuera tú. El robo de sesión, también llamado secuestro de sesión o cookie hijacking, es una de las técnicas más efectivas y menos comprendidas del arsenal ofensivo. Y lo peor: la víctima no recibe ninguna alerta. Ni cambio de contraseña, ni email sospechoso, ni verificación en dos pasos que salte. Nada.

Qué es exactamente un token de sesión y por qué vale oro

Cuando te autentificas en una web —Gmail, tu banco, el panel de WordPress—, el servidor genera un identificador único: el token de sesión. Este token se almacena como cookie en tu navegador y se envía automáticamente en cada petición HTTP. Es tu "pase VIP" temporal.

El problema es que ese pase no lleva tu nombre grabado a fuego. Quien lo tenga, entra. Sin contraseña, sin 2FA, sin preguntas. El servidor no distingue entre tú y un atacante que presente el mismo token. Por eso el secuestro de sesión resulta tan rentable: esquiva por completo la autenticación.

Los tokens suelen ser cadenas alfanuméricas largas (entre 128 y 256 bits de entropía en implementaciones decentes). Pero su fortaleza criptográfica no importa si alguien puede copiarlos directamente de tu navegador o interceptarlos en tránsito.

Técnicas reales de session hijacking que se usan hoy

No existe un único método de cookie hijacking. Los atacantes eligen la técnica según el objetivo y el nivel de acceso que ya tienen. Estas son las más habituales:

Sniffing en redes no cifradas

En redes Wi-Fi abiertas (cafeterías, aeropuertos, hoteles), un atacante con herramientas como Wireshark o tcpdump puede capturar el tráfico HTTP sin cifrar. Si la web no usa HTTPS —o peor, si la cookie de sesión no tiene el flag Secure—, el token viaja en texto plano. Herramientas como la ya mítica Firesheep (2010) democratizaron este ataque hasta el punto de que cualquier persona con un portátil podía secuestrar sesiones de Facebook en un Starbucks.

Cross-Site Scripting (XSS) para robar cookies

Un atacante inyecta código JavaScript malicioso en una web vulnerable. Ese script lee document.cookie y envía los tokens a un servidor controlado por el atacante. Si las cookies no tienen el flag HttpOnly, están expuestas a cualquier script que se ejecute en la página. Este vector sigue siendo extraordinariamente común: el OWASP Top 10 de 2021 situó las vulnerabilidades de inyección (incluyendo XSS) entre las tres primeras categorías de riesgo.

Si te interesa entender cómo los expertos analizan el software malicioso que a menudo acompaña estos ataques, el artículo sobre análisis de malware en sandbox detalla las técnicas profesionales de disección.

Malware y stealers especializados

Familias de malware como RedLine, Raccoon Stealer o Vidar se especializan en extraer cookies de sesión directamente del almacén del navegador. Chrome, por ejemplo, guarda las cookies cifradas con DPAPI en Windows —pero si el malware se ejecuta con los mismos privilegios que el usuario, descifrarlas es trivial. En 2023, Google documentó campañas masivas de robo de sesión dirigidas a creadores de YouTube mediante este método exacto.

Los adjuntos maliciosos por email siguen siendo el vector de entrada favorito para distribuir estos stealers. Un PDF falso, un Excel con macros: el clásico que nunca falla.

Session fixation

Aquí el atacante no roba tu token: te obliga a usar uno que él ya conoce. Envía un enlace con un identificador de sesión preestablecido. Si el servidor no regenera el token tras la autenticación (un fallo de implementación sorprendentemente frecuente), el atacante ya tiene acceso. Frameworks como versiones antiguas de PHP y Java EE han sido históricamente vulnerables a session fixation cuando los desarrolladores no configuraban la regeneración de ID tras el login.

Pass-the-cookie en entornos corporativos

Esta variante moderna del session hijacking apunta específicamente a servicios cloud como Microsoft 365, Google Workspace o AWS. El atacante extrae las cookies de autenticación (a menudo tokens OAuth o SAML) y las reutiliza desde otro dispositivo. Microsoft publicó en 2022 una alerta específica sobre ataques de "token theft" calificándolos como una amenaza creciente para entornos empresariales.

Cómo detectar si te han secuestrado la sesión

La detección no es sencilla porque el secuestro de sesión no deja huellas obvias. Pero hay señales:

  • Sesiones activas en ubicaciones desconocidas: Gmail, Facebook y la mayoría de servicios permiten ver las sesiones abiertas. Revísalas periódicamente.
  • Actividad que no reconoces: mensajes enviados, configuraciones cambiadas, compras realizadas sin tu intervención.
  • Cierres de sesión inesperados: algunos servicios invalidan el token original cuando detectan uso simultáneo desde dos IPs muy distintas.
  • Alertas de seguridad del servicio: Google, Microsoft y otros envían avisos de "actividad sospechosa" cuando detectan anomalías geográficas o de dispositivo.

A nivel empresarial, las soluciones SIEM (Splunk, Microsoft Sentinel) pueden correlacionar logs de acceso para detectar el uso simultáneo de un mismo token de sesión desde IPs geográficamente imposibles —lo que se conoce como "impossible travel".

Protección efectiva contra el robo de sesión

La defensa opera en dos niveles: lo que puede hacer el desarrollador y lo que puedes hacer tú como usuario.

Si desarrollas o administras webs

MedidaQué hacePrioridad
HTTPS obligatorio + HSTSCifra todo el tráfico, impide downgrade a HTTPCrítica
Flags Secure, HttpOnly, SameSite=StrictProtege las cookies de interceptación, XSS y CSRFCrítica
Regenerar token tras loginInvalida tokens de session fixationAlta
Vincular sesión a fingerprintAsocia el token al User-Agent + IP parcialMedia
Expiración corta + renovaciónReduce la ventana de explotaciónAlta
Content Security Policy (CSP)Mitiga XSS bloqueando scripts no autorizadosAlta

Si eres usuario

  • No uses Wi-Fi públicas sin VPN. Punto. Una VPN cifra tu tráfico entre tu dispositivo y el servidor VPN, inutilizando el sniffing local.
  • Mantén el navegador actualizado. Chrome, Firefox y Edge parchean vulnerabilidades de gestión de cookies regularmente.
  • Usa llaves de seguridad físicas. Las llaves tipo YubiKey con protocolos FIDO2/WebAuthn vinculan la autenticación al dispositivo físico, lo que complica enormemente el cookie hijacking incluso si el token se filtra.
  • Cierra sesión activamente. No basta con cerrar la pestaña. El token sigue vivo hasta que expire o lo invalides explícitamente.
  • Revisa extensiones del navegador. Algunas extensiones maliciosas pueden leer cookies de todas las webs que visitas. Instala solo las imprescindibles y de fuentes verificadas.
  • Vigila los adjuntos sospechosos. Los stealers de credenciales llegan por email disfrazados de facturas falsas o documentos urgentes.

Si gestionas dispositivos domésticos conectados —cámaras, routers, asistentes—, recuerda que muchos paneles de administración de domótica también usan tokens de sesión vulnerables. Cambia las credenciales por defecto y activa HTTPS siempre que el firmware lo permita.

Casos reales que deberían preocuparte

El session hijacking no es teoría académica. Algunos incidentes documentados:

  • Lapsus$ vs. EA Games (2021): el grupo compró cookies de sesión robadas de un empleado de EA en un mercado underground por unos pocos dólares. Con ese acceso, entraron al Slack corporativo y escalaron hasta extraer el código fuente de FIFA 21 y el motor Frostbite.
  • Ataques a YouTubers (2022-2023): campañas masivas de phishing distribuían malware stealer que extraía cookies de sesión de Google. Los atacantes tomaban el control de canales con millones de suscriptores para emitir estafas de criptomonedas en directo.
  • CircleCI (enero 2023): un ingeniero fue infectado con malware stealer que robó un token de sesión respaldado por 2FA. Con ese token, los atacantes accedieron a sistemas internos y comprometieron datos de clientes. La empresa tuvo que rotar todos los tokens de sus usuarios.
  • Okta (octubre 2023): atacantes usaron tokens de sesión robados del sistema de soporte de Okta para acceder a datos de múltiples clientes, incluyendo Cloudflare, 1Password y BeyondTrust.

Fíjate en el patrón: en todos estos casos, el 2FA estaba activo. No sirvió de nada porque el robo de sesión ocurre después de la autenticación. Es como tener una cerradura blindada en casa pero dejar la puerta abierta una vez entras.

Preguntas frecuentes

¿El HTTPS me protege completamente del session hijacking?

HTTPS protege contra la interceptación del token en tránsito (sniffing), pero no contra otros vectores como XSS, malware stealer o session fixation. Es una capa necesaria pero no suficiente. Necesitas combinarla con flags de cookie adecuados, CSP y buenas prácticas de navegación.

¿Si tengo activada la verificación en dos pasos estoy a salvo?

No. El 2FA protege el momento de la autenticación, pero el secuestro de sesión actúa después, robando el token ya generado. Los casos de Okta y CircleCI en 2023 demostraron que el 2FA no detiene el robo de cookies post-autenticación. Las llaves FIDO2 ofrecen mejor protección porque vinculan la sesión al dispositivo físico.

¿Cómo puedo saber si alguien está usando mi sesión ahora mismo?

Revisa la sección de "sesiones activas" o "dispositivos conectados" en los ajustes de seguridad de cada servicio (Gmail, Facebook, GitHub, etc.). Si ves sesiones desde ubicaciones o dispositivos que no reconoces, ciérralas todas y cambia tu contraseña inmediatamente.

¿Las sesiones robadas caducan?

Depende del servicio. Algunos tokens expiran en minutos, otros duran semanas o meses. Las cookies de sesión "persistentes" (las que te mantienen logueado entre reinicios del navegador) son las más valiosas para un atacante. Por eso conviene cerrar sesión explícitamente en servicios sensibles cuando terminas de usarlos.

¿Dónde se venden las cookies robadas?

En mercados underground como Genesis Market (cerrado por Europol en 2023) o Russian Market. Estos sitios venden "bots" —paquetes que incluyen cookies, credenciales y fingerprints de navegador de víctimas específicas. Los precios van desde menos de un euro hasta cientos, según el valor de las cuentas asociadas.

El siguiente paso

Abre ahora mismo los ajustes de seguridad de tu cuenta de Google (myaccount.google.com/security) y revisa la sección "Tus dispositivos". Cierra cualquier sesión que no reconozcas. Haz lo mismo con Microsoft, Facebook, GitHub y cualquier servicio que uses a diario. Si encuentras algo sospechoso, cambia la contraseña y activa una llave de seguridad física como segundo factor. Cinco minutos que pueden ahorrarte un disgusto considerable.

session hijacking robo sesión secuestro sesión token sesión cookie hijacking
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Kerberoasting: el ataque a Active Directory que compromete cuentas de servicio
Ciberataques

Kerberoasting: el ataque a Active Directory que compromete cuentas de servicio

XSS (Cross-Site Scripting): cómo los atacantes ejecutan código en tu navegador
Ciberataques

XSS (Cross-Site Scripting): cómo los atacantes ejecutan código en tu navegador

Buffer overflow: el desbordamiento de búfer que lleva décadas causando estragos
Ciberataques

Buffer overflow: el desbordamiento de búfer que lleva décadas causando estragos

← Volver al blog