Las Aplicaciones Web Progresivas (PWAs) han traído muchas ventajas significativas al mundo del desarrollo web, pero como con cualquier tecnología, vienen con nuevos desafíos de seguridad. Las PWAs están usándose también en el phishing para crear inicios de sesión falsos.
¿Qué son las PWAs?
Las Aplicaciones Web Progresivas (PWAs) representan una evolución significativa en el desarrollo web, permitiendo experiencias más cercanas a las aplicaciones nativas a través de tecnologías web estándar como HTML, CSS y JavaScript. Estas aplicaciones se instalan desde un navegador y se integran en el sistema operativo, permitiendo características como la recepción de notificaciones push y el funcionamiento offline.
Debido a su capacidad para ofrecer una experiencia de usuario fluida y de alta calidad, las PWAs han sido adoptadas por grandes plataformas como Instagram, Facebook y TikTok. Este tipo de aplicaciones no solo mejora la interacción del usuario, sino que también facilita el mantenimiento y la actualización por parte de los desarrolladores, al centralizar muchas de las funciones en el servidor web.
El lado oscuro: PWAs como herramienta de phishing
Las PWAs también están en el objetivo de los ciberdelincuentes. Ahora se ha descubierto su uso en ataques de phishing. Un nuevo kit de herramientas de phishing permite a los ciberdelincuentes crear PWAs que imitan de manera convincente los formularios de inicio de sesión corporativos, con el objetivo de robar credenciales de acceso. Este tipo de ataques se ha vuelto particularmente sofisticado, incluyendo barras de direcciones falsas que muestran URLs corporativas legítimas para engañar a los usuarios y hacer que el formulario de inicio de sesión parezca legítimo.
El proceso comienza cuando el usuario visita un sitio web malicioso diseñado específicamente para distribuir estas aplicaciones. A menudo, estos sitios promueven software falso o herramientas de gestión remota, incluyendo un botón para instalar el software que en realidad es una PWA maliciosa. Una vez que el usuario instala la PWA, se le solicita que ingrese sus credenciales, que son capturadas por los atacantes.
Los ciberdelincuentes han mejorado la autenticidad de estas PWAs al integrar barras de direcciones falsas que pueden engañar incluso a los usuarios más vigilantes. Este método, conocido como técnica «Browser-in-the-Browser», es un hecho de cómo las técnicas de phishing han evolucionado, utilizando las capacidades de las PWAs para crear interfaces casi indistinguibles de las legítimas.
Concienciación y medidas preventivas
Las políticas de seguridad actuales muestran deficiencias significativas en la prevención de la instalación de PWAs maliciosas. No existen políticas comunes que puedan prevenir eficazmente su instalación, lo que deja a muchas organizaciones y usuarios individuales en riesgo de ser explotados por esta nueva técnica de phishing.
La falta de familiaridad con las PWAs y los riesgos asociados con ellas contribuye a la efectividad de estos ataques. Muchos programas de concienciación sobre seguridad aún no abordan el phishing a través de PWAs, lo que deja a muchos usuarios vulnerables a estos ataques. Es crucial que tanto las organizaciones como los usuarios individuales se eduquen sobre las características y los posibles riesgos de seguridad de las PWAs.
El papel de los desarrolladores
Los desarrolladores y los profesionales de la seguridad tienen un papel muy importante en la lucha contra el phishing a través de PWAs. Es necesario desarrollar y promover mejores prácticas y herramientas que puedan identificar y bloquear PWAs maliciosas antes de que causen daño.
Las Aplicaciones Web Progresivas han traído innovaciones significativas al mundo del desarrollo web, pero como con cualquier tecnología, vienen con nuevos desafíos de seguridad.