AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### «BiDi Swap»: El resurgir de un antiguo fallo de navegador pone en jaque la detección de URLs falsas

admin

#### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de una oleada de ataques de phishing que aprovechan una vulnerabilidad antigua pero olvidada en la interpretación de texto bidireccional por los navegadores web. Investigadores de Varonis han documentado cómo los actores de amenazas están explotando la llamada técnica «BiDi Swap» para manipular la visualización de URLs en los navegadores y engañar incluso a usuarios avanzados. Este resurgimiento obliga a los profesionales del sector a revisar sus estrategias de detección y mitigación de ataques basados en ingeniería social.

#### Contexto del Incidente o Vulnerabilidad

El uso indebido de texto bidireccional (BiDi) en navegadores no es nuevo: se remonta a más de una década atrás, cuando se identificaron los primeros problemas con la forma en que los navegadores manejan los caracteres de control Unicode. Sin embargo, hasta ahora su explotación había sido esporádica y de bajo impacto. La técnica «BiDi Swap» ha devuelto al primer plano esta debilidad, permitiendo a los atacantes crear URLs aparentemente legítimas pero que, en realidad, redirigen a sitios maliciosos.

Este ataque ha sido observado en campañas de phishing dirigidas tanto a usuarios particulares como a empresas, y se produce en un contexto en el que la sofisticación de los ataques de suplantación de identidad sigue creciendo, desafiando los sistemas automáticos de filtrado y detección de amenazas.

#### Detalles Técnicos

El vector de ataque se basa en el uso de caracteres de control de dirección de texto de Unicode, en particular los caracteres Right-to-Left Override (RLO, U+202E) y Left-to-Right Override (LRO, U+202D). Estos caracteres permiten alterar el orden de visualización de los caracteres en una cadena de texto, independientemente de su codificación subyacente.

La técnica «BiDi Swap» consiste en insertar estos caracteres en posiciones estratégicas dentro de una URL. Por ejemplo, una dirección como `https://moc.elpmaxe//:sptth` (el dominio «example.com» escrito al revés), cuando se visualiza en el navegador, puede aparecer como `https://example.com` mediante el uso de los caracteres BiDi, aunque realmente esté apuntando a un dominio controlado por el atacante.

Varonis ha identificado que esta técnica es compatible con navegadores modernos como Chrome, Firefox y Edge. Además, la manipulación puede extenderse a nombres de archivo adjuntos en correos electrónicos (por ejemplo, «document[U+202E]cod.exe» que aparece como «documentexe.doc») y a enlaces en mensajes de Microsoft Teams, Slack y otras plataformas colaborativas.

Los TTPs asociados se alinean con MITRE ATT&CK T1566 (Phishing) y T1204 (User Execution), aprovechando la ingeniería social y la manipulación visual. Los indicadores de compromiso (IoC) incluyen la presencia de caracteres Unicode RLO/LRO en enlaces sospechosos y logs de acceso a dominios recientemente registrados con patrones similares.

#### Impacto y Riesgos

El principal riesgo radica en la capacidad de los atacantes para evadir los sistemas de filtrado tradicionales y engañar a los usuarios, incluidos los administradores y personal técnico, con enlaces que parecen absolutamente legítimos. Según Varonis, en las campañas recientes se ha observado un incremento del 47% en la tasa de clics en estos enlaces manipulados respecto a ataques de phishing convencionales.

El impacto potencial abarca desde el robo de credenciales (especialmente a través de portales de autenticación simulados) hasta la descarga de malware, ransomware o herramientas de acceso remoto como Cobalt Strike y Metasploit. En entornos corporativos, la explotación exitosa puede desembocar en brechas de datos sujetas a sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.

#### Medidas de Mitigación y Recomendaciones

Actualmente, la protección frente a la técnica «BiDi Swap» requiere una combinación de medidas técnicas y de concienciación:

1. **Actualización de navegadores y clientes de correo:** Aunque los principales fabricantes están trabajando en parches, es esencial mantener todos los navegadores actualizados y seguir de cerca los avisos de seguridad de Chrome, Firefox y Edge.
2. **Filtrado de caracteres Unicode:** Implementar reglas en gateways de correo y proxys web para detectar y bloquear URLs que contengan caracteres de control RLO/LRO.
3. **Análisis de logs:** Monitorizar los registros de acceso en busca de patrones sospechosos de acceso a dominios con posible manipulación BiDi.
4. **Formación de usuarios:** Actualizar los programas de concienciación para advertir sobre el riesgo de enlaces visualmente legítimos pero manipulados.
5. **Integración con SIEM y EDR:** Configurar alertas específicas para la presencia de estos caracteres en eventos de red y endpoints.

#### Opinión de Expertos

Especialistas como Kevin Breen (Immersive Labs) y Marcus Hutchins (Ex-Kryptos Logic) coinciden en que este resurgir de técnicas basadas en Unicode subraya la necesidad de una defensa en profundidad. Según Breen, «la confianza ciega en la apariencia de una URL es un error crítico en ciberseguridad actual, especialmente cuando los atacantes pueden manipular la presentación visual sin alterar la lógica subyacente».

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, el resurgimiento de la técnica «BiDi Swap» implica revisar sus controles de seguridad perimetral y sus políticas de formación al usuario final. Los equipos SOC y los CISOs deben considerar la inclusión de detección de caracteres Unicode en los flujos de análisis de amenazas.

A nivel de usuario, la recomendación es clara: no confiar únicamente en la apariencia visual de las URLs y emplear soluciones de verificación secundaria, como extensiones de navegador que muestren la URL real al pasar el ratón o plugins anti-phishing actualizados.

#### Conclusiones

La explotación de texto bidireccional mediante la técnica «BiDi Swap» pone de manifiesto la persistente relevancia de viejas vulnerabilidades y la creatividad de los actores de amenazas. Para el sector de la ciberseguridad, representa un recordatorio de que la seguridad no puede basarse exclusivamente en la apariencia visual, y que la formación continua, la actualización tecnológica y el análisis proactivo son imprescindibles para mitigar este tipo de amenazas emergentes.

(Fuente: www.bleepingcomputer.com)