Liputan6.com, Yakarta – Una antigua técnica de phishing llamada Browser-in-the-Browser o BitB vuelve a ser la principal arma para que los piratas informáticos accedan a cuentas de redes sociales. En los últimos seis meses, este método todavía se utilizó activamente para engañar a las víctimas para que revelen los datos de inicio de sesión de su cuenta de Facebook.
BitB funciona mostrando una ventana de inicio de sesión falsa que se parece mucho a un navegador real. Cuando aparece en la pantalla, esta IP emergente parece una página de inicio de sesión oficial. Muchos usuarios no se dan cuenta de que están interactuando con un anuncio de un sitio web falso.
Esta técnica fue introducida por primera vez en 2022 por un investigador de ciberseguridad llamado mr.dox. BitB fue pensado originalmente como un proyecto de investigación. Sin embargo, posteriormente los piratas informáticos abusaron de esta técnica y la utilizaron en varios ataques cibernéticos contra varios servicios populares en línea.
El objetivo del ataque no era sólo Facebook. Otras plataformas populares, como Steam, también suelen ser blanco de campañas de phishing basadas en BitB. Debido a su apariencia convincente, esta técnica sigue siendo efectiva hoy en día y potencialmente puede atrapar a los usuarios que son menos cautelosos al acceder a servicios digitales.
Reportado computadora que suena, El miércoles (15 de enero de 2026), la cuenta de Facebook robada fue utilizada para diversos delitos digitales. Desde difundir fraudes hasta recopilar datos personales y cometer fraude de identidad. Con más de tres mil millones de usuarios activos, Facebook sigue siendo un gran objetivo para los estafadores cibernéticos.
En el ataque BitB, los usuarios visitan sitios web controlados por el atacante. En esta página aparece una ventana emergente de inicio de sesión falsa, que a primera vista es idéntica a la ventana de autenticación oficial. Esta vista se crea utilizando un iframe que imita la interfaz de inicio de sesión original.
El título de la ventana y la dirección URL también se pueden personalizar para que parezcan legítimos. Llegados a este punto, muchos usuarios se dejan engañar e inmediatamente introducen su dirección de correo electrónico y contraseña sin sospechar nada.
About The Author
