El hijacking es un proceso en el que se intenta secuestrar un elemento específico del entorno de Internet, empleando rutas que no están autorizadas. En este hijacking podemos encontrar secuestros de urls, de dominios, dns, navegador o sesión, entre muchos otros.
Podemos decir que el secuestro de dominio es un ataque informático en el que los autores del delito pueden modificar la redirección de los servidores DNS. Así, cuando los usuarios quieran entrar en el dominio, el DNS lo devolverá a otra dirección IP distinta (es decir, a otra página web).
Por norma general, estas páginas a las que redirige suelen ser páginas web de malware y publicidad que están controladas por los hijackers (los autores de este secuestro).
Dichos hijackers puede instalar elementos que pueden poner en peligro nuestro ordenador ya que son capaces de cambiar la página de inicio del navegador, mostrar una página determinada o impedir la ejecución del antivirus.
Hoy en óptimaWeb te explicamos en qué consiste este secuestro, cómo podemos identificarlos y cómo prevenirlos y eliminarlos.
¿Qué es el hijacking o secuestradores de Internet?
Los secuestradores de navegador son malwares, por norma general poco peligrosos, que pueden redirigirnos a otras páginas web que roben información o puedan estafar al usuario. En el momento que un equipo se ve atacado por estos secuestradores del navegador, la página inicial del motor de búsqueda se altera, impidiendo además que el usuario pueda cambiarla.
Otra de las acciones que suele ocurrir en estos ataques es mostrar publicidad mediante pop-ups, la instalación de barras de herramientas o bloquear el acceso a algunas páginas web, aunque en los casos más graves incluso pueden falsear las búsquedas que se hagan en Google.
Aunque este es el hijacking más común, lo cierto es que podemos encontrar multitud de ataques y secuestros relacionados con los elementos de Internet.
Tipos de Hijacking
Como hemos mencionado, los secuestros de navegadores no son los únicos secuestros que pueden realizarse.
De dominios
El dominio se toma de manera ilegal. En esta estafa, los autores tienen acceso al registro de dominios a través del robo de identidad. Es decir, el secuestrador emplea la identidad del propietario legítimo para poder modificar la información del registro y reasignar el dominio a sí mismo y robarlo.
En casi todos los casos las víctimas de este secuestro no suelen tener los medios para poder efectuar procedimientos judiciales que les permitirían recuperar el dominio. Además, los secuestradores suelen actuar en otros países.
De contenido
El secuestro de contenido se basa en publicar contenido de otras webs como propio. Es decir, se trata de contenido publicado que será detectado por los motores de búsqueda. Por otro lado, se puede emplear una versión del contenido existente en tu web de manera condensada y que está automatizado.
Así, la página web con el contenido original puede perder el ranking de página, mientras que aquella que te ha robado el contenido aparece en una mejor posición en los resultados de página.
De esta manera, la web que ha robado el contenido obtendrá más tráfico, siendo más rentable gracias a la publicidad.
De URL
La página se elimina del ranking del motor de búsqueda y se reemplaza por otra página que se vincule a ésta.
De sesión
Este tipo de secuestro explota una sesión válida mediante el que se roba una ID de sesión. Esto puede realizares mediante una escucha pasiva en el momento en el que se envía a otro servidor a través de cookies. Si el ID de sesión es válido, el atacante tiene el control de la sesión y puede usarla siempre que quiera.
De motores de búsqueda
Este tipo de secuestros se dan cuando los navegadores ofrecen campos separados para los motores de búsqueda. Es decir, un motor de búsqueda puede ser cambiado a otro con otra URL.
Cómo identificar un hijacker en mi sistema
Uno de los principales síntomas que presenta este secuestro es el cambio de pantalla de inicio del navegador ya que, por norma general, en este tipo de amenazas se cambia el motor de búsqueda predeterminado para que puedan ajustarlo según sus necesidades.
Otra de las formas de detectarlo es que, pasado un periodo de tiempo tras haber sido infectados, podemos ver cómo el navegador abre ciertas páginas de forma automática. Estas páginas que se abren nuevas suelen estar relacionadas con cualquier tipo de publicidad.
Estos secuestros o ataques se realizar con el objetivo de posicionar las páginas, porque son portales de spam que no visitamos por voluntad propia. Es decir, estos hijackers ganan dinero gracias a las empresas que intentan conseguir visitas y clics a través de este sistema.
Mediante el ataque de los hiackers no solo puede cambiar la página de inicio del navegador, ya que también pueden permitir que en nuestro sistema acceda cualquier tipo de peligro, que pueden ser más difíciles de eliminar.
Prevenir el hijacking
Una de las precauciones principales que tenemos que tener en cuenta para evitar este tipo de ataque es prestar especial atención a todo lo que instalamos en nuestro ordenador y qué sitios de internet estamos visitando.
Aunque una de las formas más fáciles en cuanto a páginas web para prevenir estos ataques es registrar el dominio en una página web que proporcione protección contra secuestro. Hoy en día podemos encontrar multitud de servicios de hosting en los que podemos registrar un dominio seguro mediante unos pasos muy sencillos.
Otra forma de evitar estos secuestros es emplear software antivirus con controles de red. Así, cuando el software detecte que la URL dirige a una IP que sea sospechosa, se bloqueará la web alertando al usuario. Podemos encontrar ciertas herramientas como Kaspersky o Eset, que analizan todas las IP que se quieren conectar.
Cómo eliminar el malware de Hijacking
Podemos eliminarlos de dos formas distintas: la eliminación de malware y otras amenazas a través de softwares (como Adw Cleaner o Anti-Malware). Estos programas tienen el objetivo tanto de buscar como de eliminar el malware que los sistemas antivirus no puedan encontrar.
Por otro lado, Adw Cleaner es una aplicación portable con la que se pueden localizar y eliminar los adwares, barras de herramientas o programas peligrosos que amenacen nuestro sistema.
Si tras emplear estas herramientas todavía no has conseguido erradicar el problema, será necesario volver a configurar el navegador para eliminar las partes que hayan sido alteradas por los hijackers.
Este proceso se realizará cambiando la página de inicio y eliminando todas las extensiones y complementos instalados. Es recomendable cambiar el motor de búsqueda y desinstalar e instalar de nuevo el navegador.
Consejos para prevenir cualquier tipo de hijacking
Si contamos con una conexión HTTPS que encripte los datos mediante SSL, en el momento en el que los datos se intercepten el contenido deberá ser descifrado para poder obtener el ID de la sesión. Esto es un paso bastante complejo que evitará el robo de información.
Por otro lado, también es recomendable la protección contra el cross-site scripting ya que evitan el robo tanto del código JavaScript como de la lectura de cookies.
Recuerda no incluir los ID de sesión en la URL ya que se almacenan en archivos de registro, siendo mucho más fáciles de reconocer por los atacantes.