Las ventanas «Iniciar sesión con Google/Microsoft» ya se han convertido para muchos en un elemento tan habitual de internet como el campo de búsqueda. El usuario pulsa el botón, sobre el sitio aparece una ventana de autenticación bien presentada, en la parte superior se ve el dominio, dentro está el formulario familiar, luego la autenticación multifactor (MFA) y listo. En este escenario hay un detalle sutil: la persona confía no porque haya verificado todo, sino porque reconoce la imagen. Y las imágenes reconocibles, como se sabe, gustan no solo a los diseñadores, sino también a los estafadores.
La técnica conocida como Browser-in-the-Browser (BitB) aprovecha precisamente ese hábito. En lugar de una ventana real del navegador, el sitio muestra su imitación dentro de la página. Para la víctima la diferencia casi no se nota: visualmente todo parece «como siempre», por eso se introducen el usuario, la contraseña e incluso los códigos de un solo uso. BitB no vulnera el navegador ni requiere exploits complejos; apuesta por la confianza y el automatismo. Por eso aparece donde abunda el SSO (inicio de sesión único): en servicios en la nube, portales corporativos, gestores de tareas y correo.
A continuación, un análisis de lo que ve la víctima, qué técnicas se usan, qué matices ayudan al ataque a parecer verosímil y qué acciones sencillas suelen frustrar el escenario del atacante.
Cómo se ve BitB desde la perspectiva de la víctima
Con mayor frecuencia todo empieza por un motivo plausible: «te dieron acceso a un documento», «es necesario confirmar la cuenta», «actualiza la configuración de seguridad». La víctima abre el enlace, llega a una página con una identidad de marca reconocible y ve un botón para entrar a través del proveedor. Tras pulsarlo aparece una «ventana emergente».
La ventana parece real: tiene borde, botón de cierre, en la parte superior una línea con un dominio como «accounts.google.com» o «login.microsoftonline.com», a veces incluso dibujan un candado. En su interior siguen los pasos habituales: correo electrónico, contraseña y luego autenticación multifactor (MFA). Las variantes avanzadas añaden detalles: sombras, animaciones, fuentes correctas y mensajes de error. A veces, tras introducir los datos, la víctima es redirigida al sitio auténtico para consolidar la sensación de que «todo salió bien».
El punto clave: el dominio que ve la víctima en esa «barra» no tiene relación con la barra de direcciones del navegador. Es simplemente texto o imagen dentro de la página. Si la persona se limita a una mirada rápida, la comprobación se convierte en una imitación de comprobación.
Cómo está montado el ataque técnicamente
BitB se basa en capacidades habituales de la web: HTML, CSS y JavaScript. Dentro de la página se dibuja una ventana modal sobre el contenido, el fondo se oscurece y la «ventana» se hace desplazable para parecer una aplicación independiente. A veces se usa un iframe en su interior, pero con frecuencia basta con un formulario propio y la estilización adecuada para el proveedor.
La variante más común y sencilla es que la página sea completamente falsa y todo lo introducido se envíe al servidor del atacante. Tras eso puede aparecer un «error de inicio de sesión» o un redireccionamiento a la página de autenticación real para que la víctima no perciba el robo. Esquemas más complejos combinan BitB con el secuestro de sesión o el proxy de autenticación, pero la idea básica no cambia: en lugar de la ventana real se muestra una copia controlada por el atacante.
¿Por qué el navegador lo «permite»? Porque para el navegador es solo marcado habitual. No puede prohibir a las páginas dibujar interfaces parecidas; de hacerlo, se romperían ventanas modales legítimas, widgets de pago y buena parte de las interfaces modernas. Por eso la defensa recae sobre señales que el usuario puede verificar, más que en advertencias del propio navegador.
Matices que hacen a BitB convincente
BitB es especialmente peligrosa en contextos donde el inicio de sesión único está normalizado. Los usuarios corporativos ven ventanas de inicio idénticas decenas de veces al día, por eso el cerebro reconoce el «patrón» y acelera la acción. Si además hay presión temporal, la probabilidad de detenerse baja casi a cero.
En dispositivos móviles la situación empeora: la barra de direcciones a menudo está oculta, el espacio es limitado y todo parece «una tarjeta». Por eso una ventana falsa puede no despertar sospechas simplemente porque no hay un punto de comparación. Además, algunos usuarios se guían por el icono de candado o por el logotipo «correcto», pero BitB puede dibujar ambos fácilmente.
Otra trampa es que las ventanas de autenticación reales suelen abrirse como pop-up. BitB imita el pop-up tan bien que incluso una persona con experiencia puede confundirlas, especialmente si no interactúa activamente con la dirección.
Cómo reconocerlo y no caer
La regla práctica es clara: solo confiar en lo que controla el propio navegador, no en la página. Eso significa que la comprobación debe hacerse mediante interacción, no a simple vista.
- La verificación de la dirección debe ser activa. En una ventana auténtica se puede hacer clic en la barra de direcciones, seleccionar la dirección, copiarla y abrirla en una pestaña nueva. En BitB la «dirección» dentro de la ventana dibujada normalmente no se comporta como la barra de direcciones.
- La ventana debe existir para el sistema operativo. Un pop-up real aparece en Alt+Tab y tiene bordes de ventana reales. La falsificación permanece como parte de la pestaña y no aparece como una ventana separada. Por la misma razón no se puede redimensionar tirando del borde.
- El gestor de contraseñas suele frustrar el ataque. Soluciones como Bitwarden o 1Password rellenan la contraseña solo en el dominio correcto. Si el autocompletado no aparece donde «siempre aparecía», es una señal potente para detenerse.
- Mejor iniciar sesión desde una dirección conocida. En vez de hacer clic en un enlace del correo, es preferible abrir el servicio manualmente e iniciar sesión desde allí, o usar el portal corporativo de SSO que ya está en los marcadores.
- No conviene dar más de la cuenta. La solicitud de códigos de reserva, la repetición de la contraseña «para confirmar» o un formulario inusualmente detallado son signos típicos de phishing.
Para una comprobación rápida de enlaces sospechosos ayudan los servicios VirusTotal y URL Scan. No son detectores mágicos, pero muestran cadenas de redireccionamientos y dominios, lo que a menudo basta para descubrir el engaño.
La protección a nivel de sistema también es importante. Las passkeys y FIDO2/WebAuthn vinculan el inicio de sesión al dominio y al dispositivo, por lo que una contraseña robada resulta mucho menos útil. En las empresas esto se complementa con políticas de acceso condicional y monitorización de inicios de sesión sospechosos.
Qué hacer si ya se introdujeron los datos
Si la víctima sospecha BitB, debe actuar como ante un phishing habitual, pero con rapidez. Cambiar la contraseña de inmediato accediendo directamente al dominio real del proveedor, luego cerrar las sesiones activas y revocar los accesos de aplicaciones. A continuación comprobar reglas de correo, reenvíos, dispositivos añadidos y métodos de autenticación multifactor. En un entorno corporativo es importante informar cuanto antes al departamento de seguridad informática, porque una cuenta robada suele usarse para ataques posteriores dentro de la organización.
Conclusión
BitB funciona porque prácticamente no requiere técnica, pero explota muy bien los hábitos humanos. Parece un pop-up normal, usa las palabras adecuadas y muestra el «dominio correcto», pero todo está dibujado dentro de la página. Por eso una protección fiable no se basa en una atención abstracta, sino en comprobaciones concretas: interacción activa con la dirección, confiar en el gestor de contraseñas, acceder solo desde puntos conocidos y usar métodos modernos de autenticación.
Cuando estos hábitos se consolidan, el ataque pierde eficacia de forma drástica: al atacante solo le queda confiar en la prisa y el cansancio. Así que el mejor antídoto contra el «navegador en el navegador» es una breve pausa y comprobar que lo que se ve es realmente el navegador, no una decoración convincente.
