Session hijacking: cómo una cookie robada burla tu 2FA
Security & Privacy

Session hijacking: cómo una cookie robada burla tu 2FA

Los infostealers no descifran tu contraseña ni necesitan tu segundo factor. Copian la cookie de sesión que ya tiene tu navegador y entran sin más. Así funciona el ataque y así te proteges.

BROWSER.LOL
05.02.2026
20 min de lectura
Compartir

En enero de 2024, Linus Tech Tips perdió buena parte de su biblioteca de vídeos y tres de sus canales de YouTube a manos de un atacante. El gestor de contraseñas seguía intacto, la 2FA estaba activada y nadie del equipo recibió ningún aviso de inicio de sesión. El atacante no inició sesión, no le hizo falta. Tenía una cookie de sesión que el navegador de la víctima ya daba por buena como prueba de que el login se había hecho.

Así es como se roban hoy las cuentas. Las contraseñas casi nunca se descifran y los códigos 2FA casi nunca se interceptan. Lo que se roba es el token de sesión, esa cookie en la que el navegador anota «este usuario ya está autenticado». Se extrae, se carga en otro navegador y se entra de inmediato, sin más comprobaciones.

Qué es realmente una sesión

Cuando entras en un servicio, el servidor comprueba tu contraseña y el segundo factor una única vez. A partir de ahí, le entrega al navegador una cookie, que normalmente es un token largo y aleatorio. En cada petición posterior, el navegador la vuelve a mandar y el servidor la acepta como prueba de que ya estás dentro. Por eso no tienes que volver a identificarte en cada página que abres.

Estos tokens suelen aguantar entre días y semanas. Gmail mantiene la sesión hasta dos semanas; Slack y Discord, hasta un año; algunas herramientas SaaS directamente no caducan. Para el servidor, quien presenta el token es el usuario legítimo, sin importar desde qué dispositivo lo haga.

La cookie vive en una base de datos dentro del perfil del navegador, en archivos como Cookies o Network State, dentro de la carpeta de usuario de Chrome. Cualquier programa que se ejecute con tus permisos puede leerla. Windows cifra algunos valores, pero lo hace con la clave DPAPI de tu misma cuenta, a la que el programa también tiene acceso.

Cómo se roban las cookies hoy

Un navegador estilizado del que sale una cookie hacia un segundo navegador en el otro lado, siguiendo una flecha

Esta familia de ataques se conoce como infostealers. Programas como RedLine, Raccoon, Lumma o Stealc se alquilan como servicio por unos cientos de dólares al mes. Se ejecutan apenas unos segundos en el equipo de la víctima, vacían cookies, contraseñas, datos de autofill y wallets de cripto, y se marchan sin dejar rastro a la vista.

La puerta de entrada más habitual sigue siendo el software pirata y los cheats para juegos. Detrás hay campañas de malvertising, instaladores falsos de herramientas conocidas y programas supuestamente pirateados. Tras la infección, en menos de un minuto todos los datos del navegador están ya en manos del atacante.

Los paquetes robados terminan a la venta en marketplaces como Russian Market, Genesis o 2easy. Allí no compras solo una contraseña, sino un bot completo: un conjunto de cookies, fingerprint, user agent e historial de IP. Con eso, el comprador reconstruye tu entorno de navegación lo bastante parecido como para colarse por debajo del motor de riesgo del servicio.

Por qué tu segundo factor no ayuda aquí

La 2FA protege el inicio de sesión. Una vez superado, se emite la sesión. La cookie le dice al servidor «ya me comprobaste hace tres días», y el servidor se lo cree. Cualquier atacante que replique esa cookie se salta la cadena de autenticación entera, incluida la 2FA y cualquier paso biométrico.

Algunos proveedores vinculan las sesiones a la IP o al fingerprint del dispositivo. Funciona frente a dispositivos claramente distintos, pero no contra un atacante que configura un fingerprint y una IP coherentes. Y eso es justo lo que los marketplaces venden junto con la cookie. Tu equipo de seguridad, como mucho, verá una sesión iniciada desde tu ciudad dentro de tu horario laboral.

Las llaves de hardware FIDO2 ayudan en el momento del login. Frente a una cookie ya emitida, no hacen nada. En las cuentas realmente críticas empiezan a usarse enfoques de token binding (Device-Bound Session Credentials, DBSC), pero en 2026 el despliegue es todavía parcial. Hasta entonces, una cookie robada es una cookie válida.

Cómo detectar un robo

Una ventana de navegador con un pequeño triángulo de aviso en la esquina y tres filas subrayadas debajo que marcan eventos sospechosos

Los avisos de inicio de sesión de toda la vida no detectan nada cuando el atacante reutiliza tu sesión en lugar de iniciar una nueva. Las señales son más sutiles. Correos enviados que tú no has escrito son un indicio claro. Filtros nuevos o reglas de reenvío que no creaste son casi siempre cosa del atacante. Y si tus amigos te mencionan un mensaje tuyo que no recuerdas haber enviado, es un aviso evidente.

En los servicios que muestran las sesiones abiertas (Google, GitHub, Discord), merece la pena revisar la lista de dispositivos activos. Cualquier sesión desde ciudades, navegadores o sistemas operativos inesperados se cierra al momento. Después, cambia la contraseña, porque el botón de cerrar sesión pasa por un login nuevo y no siempre invalida todas las sesiones que ya hayan robado.

Si sospechas que hay un infostealer detrás, no basta con cambiar contraseñas. El orden correcto es: reinstala o aísla el dispositivo de forma forense, cambia las contraseñas desde un equipo limpio, invalida todas las sesiones y rota los secretos de 2FA.

Proteger sesiones sin volverse ermitaño

Dos burbujas selladas una al lado de la otra, cada una con un navegador y su propio icono de cookie, sin conexión entre las burbujas

Lo más eficaz es evitar que las cookies sensibles lleguen a existir en tu dispositivo principal. Si entras desde un navegador aislado que se borra al terminar la sesión, una vez cierras no queda ninguna cookie en ningún equipo encendido. Un infostealer en tu portátil no encuentra nada que llevarse.

En la práctica, un modelo por niveles funciona muy bien. Los inicios de sesión del día a día, en sitios de poco riesgo, se quedan en tu navegador habitual. Las cuentas de alto valor, cualquier cosa que mueva dinero, despliegue código, controle presupuestos de publicidad o exponga datos de clientes, solo se abren dentro de una sesión aislada. Cambiar el hábito es lo único que de verdad frena este tipo de ataques. Para una visión más amplia, échale un ojo a How Hackers Use Your Browser History.

Llévate un escritorio entero a cualquier dispositivo

Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.

Abrir mi navegador en la nube

Sin descargas • Funciona en cualquier dispositivo

Más de 250 000 profesionales lo usan
Escritorio completo
Listo al momento

Últimos artículos

Todos los artículos
Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador
Seguridad y privacidad

Canvas, WebGL y Audio: los tres fingerprints que sobreviven a cada reinicio del navegador

Borrar cookies no les hace nada. Cómo se generan los hashes de canvas, las cadenas renderer de WebGL y las firmas de AudioContext, y por qué incluso Tor filtra uno.

17.05.2026Leer más
Tabnabbing y clickjacking: los ataques de interfaz que nunca ves
Seguridad y privacidad

Tabnabbing y clickjacking: los ataques de interfaz que nunca ves

Algunos ataques del navegador no necesitan malware. Reescriben tus pestañas mientras no las miras o esconden un botón debajo de uno falso, y eres tú quien entrega las credenciales o las aprobaciones. Así funcionan estos trucos de UI.

19.03.2026Leer más
Wallet drainers Web3: cómo una sola firma vacía tu cripto
Seguridad y privacidad

Wallet drainers Web3: cómo una sola firma vacía tu cripto

Los wallet drainers no necesitan tu seed phrase. Te hacen firmar una transacción que entrega todo en un clic. Así funciona la estafa y así puedes firmar sin acabar limpio.

05.03.2026Leer más