Sitio web correcto, datos correctos, pero el navegador de otra persona: cómo los estafadores engañan a los usuarios de Safari
¿Por qué tu navegador se ha convertido en cómplice de los hackers y cómo se relaciona esto con el modo de pantalla completa?
Investigadores de la empresa SquareX descubrieron una vulnerabilidad crítica en el navegador Apple Safari que hace a los usuarios especialmente vulnerables a una nueva forma de ataque utilizando la tecnología BitM — "navegador intermedio". Se trata del uso indebido de la API de pantalla completa (Fullscreen API), que permite a los atacantes lanzar ventanas de inicio de sesión falsas en modo de pantalla completa, ocultando completamente la dirección real del sitio.
La técnica BitM se basa en suplantar la interacción: el usuario cree que está introduciendo datos en el sitio oficial, pero en realidad está operando con un navegador remoto completamente controlado por el atacante. Para ello puede utilizarse, por ejemplo, noVNC — un cliente VNC basado en navegador web que permite transmitir una sesión de navegador remoto directamente en la ventana de la víctima. Visualmente, todo parece verídico, especialmente si la víctima accede al sitio falso a través de un enlace publicitario o un comentario en redes sociales.
Este enfoque representa un peligro particular para los usuarios de Safari. Mientras que en Chrome y Firefox aparece una advertencia visible al cambiar a modo de pantalla completa, Safari se limita a una ligera animación — un “deslizar” — que es fácil pasar por alto. Esto crea una ilusión de seguridad y hace que el ataque sea más convincente.
SquareX proporciona un ejemplo de ataque a usuarios de Steam: en este esquema, el sitio falso activa la ventana BitM en segundo plano, y al intentar iniciar sesión, la expande a pantalla completa, mostrando la verdadera página de inicio de Steam. El usuario introduce su nombre de usuario y contraseña, accede a su cuenta sin sospechar que su sesión ya ha sido interceptada.
Técnicamente, todo ocurre dentro de escenarios permitidos por el navegador, por lo que los mecanismos de protección estándar, incluidos sistemas EDR, SASE y SSE, no detectan ninguna infracción. Todo parece una sesión normal, lo que dificulta especialmente la detección del ataque.
SquareX intentó notificar a Apple sobre el problema, pero recibió una negativa formal. Representantes de Apple respondieron que la animación existente al pasar a pantalla completa “es suficiente para informar al usuario” y que no planean abandonar ese modelo. Al momento de la publicación, Apple no ha proporcionado ningún comentario adicional.
Los expertos advierten: aunque el ataque es potencialmente aplicable a todos los navegadores, la ausencia de señales visibles en Safari lo hace mucho más efectivo en dispositivos Apple. El creciente número de tales ataques indica la necesidad de medidas adicionales — desde la verificación cuidadosa de la barra de direcciones hasta la implementación de restricciones visuales más estrictas al cambiar a modo de pantalla completa.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla