Los ataques que se apoyan en ingeniería social son, a día de hoy, los que más quebraderos de cabeza causan a empresas y usuarios. El comportamiento humano ante escenarios nuevos es impredecible, y esa curiosidad combinada con prisas abre la puerta a tácticas que, sin tocar tu red ni tu equipo, acaban en el robo de sesiones y datos sensibles. Dentro de ese catálogo, los llamados Browser-in-the-Middle, o BitM, destacan por su sencillez operativa y su eficacia. Imitan interfaces legítimas y toman el control de lo que haces desde el propio navegador, capturando credenciales, tokens de acceso e incluso códigos de autenticación, con páginas clonadas que parecen reales hasta el último píxel.
¿Qué es un ataque Browser-in-the-Middle (BitM)?
Un ataque Browser-in-the-Middle permite a un atacante controlar, en tiempo real, la sesión de un usuario a través de la web que este está usando. No precisa comprometer el dispositivo ni la red local: se vale de un entorno web transparente que actúa como intermediario entre la víctima y el servicio legítimo.
Ese intermediario es una página clonada, tan fidedigna como la original, que canaliza las interacciones del usuario. En cuanto escribes usuario, contraseña o apruebas tu MFA, el atacante puede capturar cookies, tokens JWT, tokens OAuth y otros artefactos de autenticación de la sesión.
Diferencias clave con MitM, MITB y BitB
MitM clásico opera a nivel de red: intercepta paquetes entre cliente y servidor con técnicas como ARP spoofing o certificados maliciosos. BitM, en cambio, actúa en la capa del navegador, mediante interfaces falsas que engañan a la vista y capturan la sesión sin tocar el canal de transporte.
MITB, Man-in-the-Browser, es otra variante bien conocida en la que un troyano se incrusta en el navegador de la víctima y manipula las transacciones. En MITB el atacante compromete el navegador con malware y usa C2 para activar plantillas específicas, por ejemplo de banca en línea, lo que difiere de BitM, que se apoya en un navegador remoto transparente.
BitB, Browser-in-the-Browser, es una técnica de phishing visual. Simula una ventana emergente de login dentro de la propia página, especialmente para inicios con Google, Facebook o similares, sin salir realmente a un dominio legítimo de autenticación.
Rasgos diferenciales del BitM
- Control desde navegador: no requiere instalar malware en el equipo de la víctima.
- Intercepción visual y funcional: el atacante ve y manipula lo que hace el usuario en tiempo real.
- Captura de sesión y tokens: cookies, JWT y tokens OAuth quedan al alcance del atacante.
- Evasión de MFA: si el usuario ya ha autenticado, la sesión activa puede reutilizarse.
- Alta fidelidad: las páginas clonadas son casi indistinguibles de las originales.
Cómo se ejecuta un BitM
El punto de partida suele ser un enlace malicioso enviado por correo, SMS o redes sociales. Un clic lleva a una página clonada que actúa como proxy visual entre el usuario y el servicio real, normalmente alojada en un contenedor controlado por el atacante.
Se han observado campañas que insertan enlaces en vídeos de plataformas sociales para redirigir a falsos portales de bancos o webmail. Al introducir credenciales y tokens de factores adicionales, se capturan al instante y se reutilizan para secuestrar la sesión.
Fases típicas del ataque
- Phishing: la víctima llega al servidor del atacante desde un hipervínculo aparentemente legítimo y autentica una aplicación web controlada.
- Navegador transparente: mediante JavaScript y proxying, la víctima opera un navegador remoto que graba teclas y flujos de la sesión.
- Abuso de la aplicación: ya dentro, el atacante reutiliza la sesión para acciones no autorizadas como cambios de contraseña o transferencias.
Tokens de sesión, cookies y la realidad del MFA
Una vez superado el MFA, los sitios emiten tokens de sesión que permiten continuar sin volver a verificar identidad. Si ese token se roba, se roba la sesión, de modo que el MFA pierde efecto para ese contexto concreto.
En arquitecturas BitM, los tokens y cookies pueden ser capturados en tiempo real y enviados a los servidores del atacante. Esto reduce la fricción operativa del adversario, que logra acceso rápido y con mínima preparación a cuentas y paneles internos.
Además, algunos flujos OAuth son objetivo preferente, ya que permiten acceso transversal a múltiples servicios. Las cookies con flags Secure y HttpOnly dificultan el acceso por scripts, pero si el atacante actúa como intermediario del navegador, la reutilización de sesión sigue siendo viable.
Escenarios de riesgo y superficies de ataque
Los puntos de acceso wifi públicos o mal configurados son un imán para este tipo de campañas. Las redes abiertas facilitan suplantaciones de SSID y conexiones automáticas por defecto, que derivan a portales falsos y flujos controlados.
En redes locales corporativas, el peligro existe si un atacante consigue colarse en la LAN. Desde allí puede orquestar redirecciones y manipular resoluciones DNS para llevar al usuario a páginas espejo sin levantar sospechas.
El software desactualizado también es un vector. Navegadores y extensiones con fallos conocidos permiten inyecciones de scripts, redirecciones silenciosas o elevaciones de privilegios en el contexto del navegador.
BitB o Browser-in-the-Browser: phishing de ventana incrustada
Con BitB, el atacante recrea una ventana emergente de login dentro de la propia página. El objetivo es que parezca la típica ventana de acceso con proveedor externo, pero es un renderizado embebido sin salir del dominio malicioso.
- Señales de alarma: no aparece una nueva ventana en la barra de tareas, el cuadro no permite redimensionarse, no se puede editar la barra de direcciones.
- Persistencia extraña: si minimizas la ventana principal y la emergente desaparece con ella, no es una ventana real.
- Comportamiento al arrastrar: al llevar la emergente fuera del borde del navegador, se queda atascada dentro de la principal.
En estos escenarios, introducir usuario y contraseña equivale a entregarlos a un servidor de los atacantes. La posterior redirección a la página oficial no deshace el daño, porque las credenciales ya han sido exfiltradas.
MITB o Man-in-the-Browser: troyanos que se apropian del navegador
MITB es una evolución del clásico MitM aplicada específicamente al navegador del usuario. Se inicia con una infección por troyano que se comunica con un servidor de mando y control para descargar configuraciones de objetivos, frecuentemente portales de banca.
Una vez activo, el troyano monitoriza el tráfico del usuario y, al detectar un sitio objetivo, inserta pantallas falsas o modifica transacciones. Como el acceso es al sitio real y tras el login, incluso contraseñas de un solo uso pueden resultar insuficientes para frenar la manipulación posterior.
Históricamente se han documentado incidentes en banca en línea con este enfoque, con notoriedad pública en la década pasada. Las herramientas para MITB se han extendido a más sectores y son relativamente accesibles en foros clandestinos.
Buenas prácticas para usuarios
Antes de teclear credenciales o datos bancarios, mira la URL con lupa. Evita enlaces acortados o de fuentes que no inspiren confianza y escribe manualmente el dominio cuando dudes.
Activa siempre que puedas la verificación en dos pasos. Aunque BitM pueda reutilizar sesiones, añadir fricción al atacante complica el éxito si no captura el token a tiempo.
Desconfía de redes wifi públicas para operaciones sensibles. Si no queda otra, usa una VPN de confianza, evita servicios críticos y jamás recurras a VPNs gratuitas de procedencia dudosa.
Mantén el sistema operativo y el navegador al día, y limita extensiones al mínimo. Instala soluciones de seguridad y ejecútalas con firmas actualizadas para minimizar la exposición a malware y adware.
Un gestor de contraseñas ayuda a no caer en páginas falsas: si la extensión no ofrece autocompletado en un formulario sospechoso, es una pista de que no estás en el dominio legítimo.
Controles técnicos para organizaciones
Refuerza las sesiones con tokens de corta duración y rotación dinámica. El vencimiento rápido reduce la ventana de abuso si un token es robado.
Considera el aislamiento del navegador para sitios de riesgo, ya sea con contenedores locales o servicios remotos. Esta capa limita el impacto de páginas maliciosas y separa contenido potencialmente peligroso del entorno de trabajo.
Implementa UEBA para detectar anomalías de comportamiento y SIEM para correlacionar eventos. Alertas por inicios de sesión desde ubicaciones atípicas o cambios de dispositivo ayudan a cortar intrusiones en caliente.
Adopta principios de Zero Trust: acceso en función de contexto, no de confianza implícita. Verificación continua, segmentación y menor privilegio complican la vida al atacante que ha robado una sesión.
Cifra comunicaciones con HTTPS en todos los servicios y aplica HSTS. En endpoints, prioriza hardening, parches y antivirus, y protege la LAN con firewalls, IDS e IPS en pasarelas UTM.
Monitorea sesiones activas y habilita revocación forzada ante señales de sospecha. Registrar y auditar cambios de credenciales, MFA y dispositivos te permite responder con rapidez a secuestros de sesión.
Políticas de contraseñas y MFA
Las contraseñas siguen siendo un elemento vital dentro de MFA, pese a las nuevas tácticas. Políticas robustas en directorios corporativos con comprobación frente a listas de claves filtradas elevan el listón.
Existen soluciones comerciales que combinan gestión de contraseñas para Active Directory con MFA de alta seguridad. Este tipo de herramientas refuerza el momento del login y el post inicio de sesión, reduciendo riesgos de uso de credenciales débiles o comprometidas.
Extensiones, privacidad y detección visual
Las extensiones de reputación que bloquean dominios peligrosos aportan una capa útil en el navegador. Ajusta la privacidad para minimizar datos expuestos por defecto y deshabilita permisos innecesarios en extensiones.
Para el caso concreto de BitB, recuerda las pruebas manuales: intenta cambiar el tamaño de la emergente, arrástrala fuera del borde y observa si persiste al minimizar la ventana principal.
Infraestructura, cifrado y redes
El cifrado de extremo a extremo es la base, pero no la panacea contra BitM. Protege correo, DNS, mensajería y puntos de acceso para que el salto inicial a una página falsa sea más difícil de orquestar.
En redes corporativas, separa invitados de la red interna y aplica autenticación robusta a wifi. WPA2 o superior con contraseñas sólidas, segmentación y listas de control de acceso reducen la superficie de ataque.
Pruebas y respuesta
Ejecuta ejercicios trimestrales de Red Team que incluyan escenarios de secuestro de navegador. Estas pruebas destapan huecos en procesos y controles que no aparecen en auditorías en frío.
Define procedimientos de revocación de sesiones, restablecimiento de credenciales y notificación a usuarios. Cuanto antes se invalide un token robado, menor será el alcance del incidente.
Marco de referencia y vulnerabilidades
Catálogos como CAPEC-701 documentan el patrón de Browser-in-the-Middle. Estar al día de vulnerabilidades del navegador y de sus extensiones también es esencial para cerrar puertas a inyecciones y redirecciones.
En la literatura técnica se han citado ejemplos de fallos recientes que permiten ejecutar scripts o evadir validaciones de origen. Se han mencionado referencias como CVE-2025-29966 y CVE-2025-29967 en análisis sobre vectores que facilitan el compromiso del contexto del navegador.
Servicios de ayuda y formación
La concienciación es un pilar que no conviene descuidar. Programas de simulación de phishing y formaciones prácticas reducen la tasa de clics en enlaces maliciosos y mejoran la detección temprana.
Para usuarios en España, el 017 de la Línea de Ayuda en Ciberseguridad ofrece orientación gratuita y confidencial. Consultar ante la duda puede evitar males mayores cuando se detecta un comportamiento sospechoso en el navegador.
Casos y tendencias observadas
Se han visto campañas que difunden kits de BitM mediante redes sociales populares, incluyendo enlaces incrustados que apuntan a portales falsos. El éxito de estas campañas se basa en la fidelidad de la interfaz y la urgencia psicológica que provocan en la víctima.
La investigación de equipos de inteligencia de amenazas ha documentado el robo de sesiones a escala, con especial foco en tokens de aplicaciones cloud. Cuando el servicio legítimo se sirve a través del navegador controlado por el atacante, resulta complicado para la víctima distinguir entre la copia y el original.
Referencias y lecturas recomendadas
- Ja1ir4m, Browser in the middle attack BitM: The perfect storm for browser hijacking. Medium. URL: medium.com
- The Hacker News, Hackers Use TikTok Videos to Distribute Browser-in-the-Middle Attack Toolkit. URL: thehackernews.com
- The Hacker News, How Browser-in-the-Middle Attacks Steal Sessions. URL: thehackernews.com
- The Hacker News, Here’s How Hackers Could Hijack your HTTPS Cookies. URL: thehackernews.com
- Google Cloud Threat Intelligence, Session Stealing: Browser-in-the-Middle. URL: cloud.google.com
- CYPTD, Beware of the Browser-in-the-Middle Attack. URL: cyptd.com
- MITRE, CAPEC-701: Browser-in-the-Middle Attack. URL: capec.mitre.org
- Boffo y Arfaoui, Browser-in-the-Middle BitM Attack. URL: researchgate.net
La foto que dibujan BitM, MITB y BitB es clara: los atacantes juegan cada vez más en el terreno del navegador y de la percepción, donde la frontera entre real y falso se difumina. Con hábitos prudentes, controles técnicos bien afinados y entrenamiento continuo, es perfectamente viable reducir mucho la probabilidad de caer en estas trampas y acotar el daño si llegan a producirse.