El informe Browser Attack Techniques 2026 de Push Security documenta seis TTPs que están derrotando al EDR, al proxy y al MFA combinados. El campo de batalla ya no es la red ni el sistema operativo, es la sesión dentro del navegador.

Más del 85% del trabajo moderno se hace en el navegador. Los atacantes lo saben desde hace tiempo. El resto de la industria está tardando en aceptarlo.

El costo de un ataque cambió radicalmente, y eso lo cambia todo

Explotar una vulnerabilidad de Chrome cuesta unos 250.000 dólares. Comprar credenciales válidas para el mismo sistema, 15 dólares. Un kit de phishing que evade MFA, 1.000 dólares. Una identidad comprometida lista para usar, 3.000 dólares.

Esa diferencia de costos explica por qué los atacantes abandonaron el exploit de software como vector principal. No lo hicieron porque sea difícil técnicamente, lo hicieron porque es innecesariamente caro cuando el ser humano sigue siendo el punto débil más accesible.

El dato que más incomoda del informe, el breakout time, el tiempo promedio entre el acceso inicial y el movimiento hacia activos de alto valor, cayó a 29 minutos en 2025. Menos de media hora para que un atacante con credenciales compradas escale desde una cuenta comprometida hasta sistemas críticos.

Y los controles tradicionales no lo ven. El EDR vigila el disco y los procesos. El proxy web analiza el tráfico de red. El firewall inspecciona paquetes. Ninguno tiene visibilidad de lo que ocurre dentro de la sesión autenticada en el navegador.

AitM: el phishing evolucionó y ya no necesita que bajes nada

Los ataques Adversary-in-the-Middle se convirtieron en el estándar moderno del phishing precisamente porque resuelven el problema más incómodo del atacante, la MFA.

La mecánica es directa. Un proxy inverso se interpone entre el usuario y el servicio legítimo. El usuario ve la página real de Microsoft, Google o Salesforce porque efectivamente está ahí, retransmitida en tiempo real. Ingresa sus credenciales y aprueba la notificación de MFA. El proxy captura el token de sesión resultante. El atacante tiene acceso sin necesitar la contraseña ni el segundo factor nunca más.

El kit Tycoon 2FA domina este mercado con el 59% de las detecciones. Le siguen Sneaky2FA, FlowerStorm y Evilginx.

Un caso documentado en el informe ilustra la escala posible. El colectivo Scattered Lapsus$ Hunters vulneró más de 100 empresas, entre ellas Betterment, SoundCloud y Match Group, combinando un kit AitM operado por humanos en tiempo real con llamadas telefónicas donde se hacían pasar por soporte de TI. El operador en vivo guiaba a la víctima durante el flujo de autenticación mientras el proxy capturaba todo. La automatización se encargó del volumen, el humano al teléfono se encargó de la persuasión.

El ClickFix y sus variantes

ClickFix lleva en circulación el tiempo suficiente para que ya nadie debería caer. Y sin embargo representa el 47% de los vectores de acceso inicial reportados por Microsoft en 2025. CrowdStrike documentó un aumento del 563% en descargas de malware mediante captchas falsos.

El engaño es sencillo. Una página muestra un error de verificación o un CAPTCHA que "requiere acción manual". El usuario ve instrucciones para copiar un comando en el terminal. Lo hace. El payload se ejecuta. El EDR no detectó ningún archivo malicioso porque el usuario lo escribió.

Cuatro de cada cinco payloads interceptados llegaron desde motores de búsqueda, no desde correos.

La variante más reciente es ConsentFix, atribuida al grupo ruso APT29 y detectada a finales de 2025. Es completamente nativa del navegador, la víctima copia material de claves OAuth directamente en una página de phishing, entregando acceso a la línea de comandos de Azure CLI sin que el EDR encuentre nada que analizar. No hay archivo. No hay proceso sospechoso. Solo un usuario que pegó algo en un formulario.

OAuth, extensiones y ghost logins. La persistencia que nadie audita

Las tres TTPs restantes del informe comparten un denominador, atacan el perímetro de identidad que las organizaciones construyeron sin pensar en los huecos.

Las integraciones OAuth maliciosas aprovechan el flujo de consentimiento del usuario para obtener acceso persistente vía API, sin tocar el flujo de login. Scattered Lapsus$ Hunters comprometió más de 1.000 clientes de Salesforce en 2025, exfiltrando 1.500 millones de registros. El método: registraron una aplicación llamada "DataLoader" y guiaron a las víctimas por teléfono para que autorizaran los permisos. Acceso garantizado por API. Sin contraseña, sin sesión activa que revocar.

Las extensiones maliciosas operan de otra manera. Los atacantes compran extensiones legítimas con bases de usuarios instaladas o comprometen a sus desarrolladores y despliegan actualizaciones maliciosas. En diciembre de 2024, el ataque a la extensión de Cyberhaven afectó a 2,6 millones de usuarios, el código malicioso robaba tokens de sesión de OpenAI y datos de anuncios de Facebook y se cargaba dinámicamente desde un servidor externo para evadir análisis estático. La campaña GhostPoster afectó a 890.000 usuarios en 34 extensiones distintas.

Los ghost logins son el problema más silencioso. Incluso en organizaciones con SSO, al analizar el último millón de inicios de sesión Push encontró que uno de cada cuatro usaba contraseñas en lugar de SSO, dos de cada cinco no tenían MFA configurado y uno de cada cinco usaba contraseñas débiles o comprometidas.

La brecha de Snowflake en 2024 es el caso de referencia: ShinyHunters comprometió los entornos de 165 clientes, robó más de mil millones de registros, y lo hizo aprovechando cuentas sin MFA local que reutilizaban credenciales filtradas desde 2020.

Session hijacking: el ataque que roba la llave, no la cerradura

El secuestro de sesión cierra el ciclo. Los infostealers recolectan tokens de sesión activos. Esos tokens permiten reutilizar sesiones autenticadas sin conocer la contraseña ni activar el segundo factor, incluyendo passkeys.

El caso de Okta a finales de 2023 quedará como referencia durante años. Un ingeniero de soporte fue infectado por un infostealer en su dispositivo personal. Su perfil corporativo de Chrome estaba sincronizado en ese equipo. Los atacantes robaron su token, accedieron al portal de soporte de Okta, exfiltraron tokens de 18.400 usuarios y comprometieron los entornos de 134 empresas, entre ellas 1Password y Cloudflare.

No hubo exploit. No hubo zero-day. Hubo un navegador sincronizado en un equipo personal sin controles.

La defensa tiene que entrar al navegador

El informe concluye con una premisa que la industria evita porque implica admitir que los controles actuales son insuficientes: para detectar estas amenazas, los defensores deben encontrarse con el atacante donde opera, dentro de la sesión del navegador.

Eso significa auditoría de aplicaciones OAuth, detección de inyecciones de código de extensiones en tiempo real, rastreo de ghost logins y telemetría sobre robo de tokens. Un EDR para el navegador, no como concepto de marketing sino como capacidad operacional.

La pregunta no es si las organizaciones adoptarán este enfoque. Es cuántos incidentes tendrán que documentar antes de que el presupuesto lo justifique.