A veces denominado secuestro de sesión TCP, el secuestro de sesión es un incidente en el que un tercero se hace cargo de la sesión de un usuario web obteniendo la clave de sesión y pretendiendo ser el usuario autorizado de esa clave. Una vez que el secuestrador ha iniciado con éxito el secuestro, él o ella puede usar cualquiera de los privilegios relacionados con esa ID para realizar tareas, incluido el uso de información o recursos que se pasan entre el creador de la sesión y cualquier participante. El secuestro de este tipo puede ser fácilmente perceptible para todos los interesados o ser virtualmente indetectable, dependiendo de las acciones que realice el secuestrador.
El proceso de secuestro de sesión se centra en los protocolos utilizados para establecer una sesión de usuario.Por lo general, la identificación de la sesión se almacena en una cookie o está incrustada en una URL y requiere algún tipo de autenticación por parte del usuario para iniciar la sesión. . Es en este punto que el secuestrador a veces puede hacer uso de defectos en la seguridad de la red y capturar esa información. Una vez que se identifica la identificación, el secuestrador puede monitorear cada intercambio de datos que tiene lugar durante la sesión y usar esos datos de la forma que desee.
El secuestro de sesiones es algo así como un ataque de intermediario, en el que el secuestrador puede interceptar la información que fluye hacia y desde el usuario autorizado, ya sea copiándola o incluso modificándola antes de pasarla al destinatario previsto. Este tipo de secuestro ofrece la capacidad adicional de usar la sesión para buscar otros datos que no se pasan de un lado a otro, asumiendo que la seguridad de la red informática no detecta lo que parece ser una actividad inusual relacionada con el usuario autorizado. Por esta razón, el secuestro de sesiones no siempre se trata de obtener información de propiedad de manera fraudulenta; a veces, se trata simplemente de interrumpir una operación alterando los datos y proporcionando información falsa a las fuentes donde causará el mayor daño.
Encontrar formas de evitar la explotación de posibles debilidades en el proceso de autenticación es parte del proceso de defensa contra el secuestro de sesiones. Con ese fin, muchas empresas utilizan protocolos de seguridad en capas que enmascaran el proceso de autenticación a medida que ocurre. Como ocurre con la mayoría de las soluciones de seguridad, los piratas informáticos descubren continuamente formas de evitar esas medidas preventivas, por lo que es necesario desarrollar constantemente nuevos procesos que bloqueen a los piratas antes de que tengan la oportunidad de robar o alterar datos como parte de una operación de espionaje corporativo.