Una falla en el navegador Safari de Apple está permitiendo que atacantes engañen a los usuarios usando una técnica bastante sigilosa: mostrar páginas falsas en modo pantalla completa para robar datos como contraseñas o información personal.
¿Cómo lo hacen? Se aprovechan de una función del navegador que permite a cualquier sitio web activar la pantalla completa. Al usarla, se ocultan elementos clave como la barra de direcciones, lo que les da vía libre para mostrar una página falsa que se ve idéntica a un sitio real, como el de tu banco o red social. En ese entorno manipulado, la víctima termina escribiendo sus datos directamente en manos del atacante, sin darse cuenta.
Lo preocupante es que Safari, a diferencia de otros navegadores, no avisa de forma clara cuando una página entra en modo de pantalla completa. Eso hace que estos ataques sean mucho más creíbles y difíciles de detectar para el usuario promedio.
Recientemente, se ha visto un aumento en este tipo de trampas digitales, especialmente dirigidas a quienes usan Safari. Los atacantes incluso han logrado cubrir por completo la interfaz del navegador con una ventana falsa que oculta por completo la barra de direcciones, haciendo aún más difícil saber si estás en el sitio legítimo o no.
¿Cómo funciona un ataque BitM?
Un ataque Browser-in-the-Middle (BitM) es una forma bastante astuta de engañar a los usuarios. Básicamente, el atacante te hace interactuar con un navegador que él controla de forma remota, pero tú crees que estás en una página legítima, como la de tu banco o correo.
El navegador controlado por el atacante abre una página de inicio de sesión legítima de Steam en un ataque BitM(Fuente: SquareX)
Para lograr esto, usan herramientas como noVNC, que les permite abrir un navegador remoto directamente dentro de tu sesión. Es como si estuvieras usando un navegador normal, pero en realidad, estás viendo y usando el navegador del atacante.
Lo más preocupante es que cuando tú ingresas tus datos —como usuario y contraseña—, el atacante los captura al instante, pero al mismo tiempo te deja entrar a tu cuenta. Así que tú no sospechas nada raro, porque todo funciona como esperas.
Eso sí, primero tienen que llevarte a ese sitio falso. Generalmente lo hacen con un enlace malicioso, que puede estar en un anuncio, una publicación en redes sociales o incluso en un comentario aparentemente inofensivo. Si haces clic, caes en la trampa.
Promoción de un sitio web falso de Figma mediante anuncios patrocinados
Podría interesarte leer: Victoria's Secret Retira su Sitio Web tras un Ciberataque
El truco de la pantalla completa
Este tipo de engaño aprovecha algo muy simple: la pantalla completa. Cuando el usuario no ve claramente la URL (porque ya está en pantalla completa o porque simplemente no se fija) y hace clic en el botón de inicio de sesión, es ahí donde empieza el problema.
Detrás de escena, hay una ventana oculta (controlada por el atacante) que se activa justo en ese momento. Esa ventana estaba minimizada, pero al hacer clic, se abre en modo pantalla completa y cubre por completo lo que el usuario estaba viendo, mostrando en su lugar lo que parece ser el sitio legítimo.
Desde la perspectiva del usuario, todo parece normal: está en su página de siempre, todo se ve bien… pero en realidad está usando una versión falsa montada sobre una ventana manipulada por el atacante.
Lo preocupante es que este tipo de ataque no genera alertas en muchas herramientas de seguridad como EDR o SASE/SSE, porque se está aprovechando de funciones legítimas del navegador, no de malware.
Eso sí, hay una pequeña luz de esperanza: navegadores como Firefox, Chrome y Edge muestran una advertencia cuando un sitio entra en pantalla completa. Puede que muchos usuarios la ignoren o no le presten atención, pero esa alerta existe y, aunque no es perfecta, ayuda a reducir el riesgo de caer en este tipo de trampas.
Mensaje de advertencia para el modo de pantalla completa en Firefox (izquierda) y Chrome (derecha)
El problema con Safari es que no muestra ninguna advertencia clara cuando una página entra en modo de pantalla completa. Lo único que el usuario ve es una animación rápida como un "deslizamiento", que se puede pasar por alto fácilmente si no estás prestando mucha atención.
Aunque este tipo de ataque puede funcionar en otros navegadores, resulta mucho más creíble y peligroso en Safari, justamente porque no hay señales visuales evidentes que indiquen el cambio a pantalla completa. En otros navegadores como Chrome o Firefox, al menos aparece una alerta visible, aunque no siempre se le dé importancia.
Los investigadores que descubrieron este fallo lo notificaron a Apple, pero la respuesta que recibieron fue que no planean hacer ningún cambio. Según Apple, la animación que ya existe debería ser suficiente para alertar al usuario... aunque claramente, no lo es para la mayoría de las personas. Hasta el momento, no se ha dado más respuesta oficial al respecto.
