Para navegar con seguridad en Internet y evitar experiencias desagradables, el mejor consejo es tomar en serio la seguridad del navegador.
La operación “Aurora”, el sofisticado ciberataque chino que vulneró a varias docenas de compañías en diciembre de 2009 no solamente comprometió la propiedad intelectual de las empresas sino también trajo a colación el tema de la seguridad de los navegadores de Internet.
La primera oportunidad para esta explotación específica fue una vulnerabilidad sin parche en Microsoft Internet Explorer (IE). Al aprovechar este hoyo de seguridad sin reparar en este popular navegador Web los ciberatacantes violaron sistemas de usuarios. Ocurrió cuando se engañó a las víctimas para que navegaran a una página Web maliciosa desde un sistema Microsoft Windows vulnerable, donde luego un código JavaScript explotó la vulnerabilidad. Después el sistema infectado contactó a servidores remotos controlados por los atacantes para permitirles ver, crear y modificar información en el sistema comprometido.
Las vulnerabilidades de los navegadores afectan a todos los navegadores y proveedores Web y están lejos de ser un inconveniente sólo para Microsoft. Sin embargo, como es el navegador más usado con cientos de millones de usuarios alrededor del Mundo y con la mayor participación de mercado, Internet Explorer naturalmente tiende a ser el blanco favorito para los ciberataques. Sin embargo, Apple Safari, Opera o Mozilla Firefox han tenido su porción de fallas de seguridad, que de ser explotadas podrían también guiar el mismo tipo de ataque que vimos recientemente.
A pesar de los constantes esfuerzos de los proveedores por lanzar navegadores Web nuevos, de alto desempeño y más seguros – por ejemplo, Google lanzó el navegador ‘Google Chrome’ y Microsoft está probando un nuevo navegador llamado ‘Gazelle’ – numerosos ataques de navegadores Web y vulnerabilidades continúan siendo reportados. En 2009 más de 300 vulnerabilidades de navegador fueron públicamente reportadas en el registro CVE (Vulnerabilidades y Exposiciones Comunes) incluyendo varias docenas de cada vendedor.
¿Qué hace al navegador Web un vector tan popular de ataques?
El navegador Web es una de las aplicaciones más omnipresentes que se usan en la comunidad informática. Los navegadores integran actualmente muchas aplicaciones complejas como ActiveX, Cookies, Plug-In, Flash Player, Java, Acrobat Reader y más las cuales amplían las funcionalidades de los navegadores y les permiten hospedar gráficos, interfases fáciles de usar y todo tipo de animaciones.
Muchos websites en realidad le exigen al usuario instalar software adicional para habilitar estas funciones. Alternativamente esos programas empaquetados están comúnmente habilitados en los settings por defecto de la mayoría de los navegadores.
Cada aplicación sin importar cuán útil sea es probable que contenga fallas y vulnerabilidades adicionales además del navegador web, por lo tanto aumenta los riesgos totales de seguridad para los usuarios. Algunas de las características riesgosas de la Web incluyen:
ActiveX:
Usado por Microsoft Internet Explorer en los sistemas Microsoft Windows, ActiveX es una tecnología que ha visto varias vulnerabilidades y problemas de implementación. Una de las últimas vulnerabilidades de ActiveX fue descubierta en julio de 2009 en Microsoft DirectShow Video ActiveX Control. La explotación comprometió miles de websites a través de ataques dirigidos los cuales a su turno infectaron puntos finales con malware y expuso a las compañías a fugas de datos potenciales.
Java:
Java es un lenguaje de programación orientado a objetos que se usa para desarrollar contenido activo para web sites. Muchas aplicaciones de software contienen vulnerabilidades de seguridad en su implementación de Java, permitiendo la ejecución arbitraria de código con los mismos privilegios como el usuario actual.
Plug-ins:
Plug-ins son aplicaciones con el propósito para usarse en el navegador web. Pueden contener fallas de programación y de diseño como violaciones entre dominios y desbordamientos de búfer. Adobe Flash Player es un ejemplo de un plug-in de navegador que ha sido afectado por docenas de vulnerabilidades el año anterior.
En un ataque a un navegador lo que típicamente hacen los hackers es crear páginas Web engañosas o vínculos que redireccionan al usuario a lugares no deseados que luego descargan software malicioso a la computadora del usuario. Luego el atacante explota el acceso – como si fueran el usuario con derechos totales – y puede hurtar información delicada o privada, tomar como rehén la sesión de navegación o usar la computadora blanco original para atacar otras computadoras. Estas exploraciones pueden incluso afectar websites seguros protegidos por certificados SSL como bancos o compañías de tarjetas de crédito.
¿Cómo permanecer seguro?
La mejor forma de bloquear ataques al navegador Web a nivel de punto final es ‘colar’ el navegador. Colar, también denominado virtualización del navegador previene que el navegador afecte datos del usuario, otras aplicaciones o el sistema operativo.
En un ambiente empresarial se recomienda completar la protección con un sistema IPS para salvaguardarlo contra amenazas basadas en la web que detectará y bloqueará estos ataques.
Además de implementar estas protecciones, los usuarios y administradores de Internet deberían poner parches regularmente y actualizar su navegador para asegurarse de que están usando la última versión. Los plug-ins de navegador y las aplicaciones alrededor deberían recibir parches regularmente. Para la mejor protección los usuarios deberían deshabilitar las funciones del navegador y configurar las preferencias de seguridad de forma que los Java applets, JavaScript y VBScript, controles ActiveX no corran automáticamente. Esto disminuirá el riesgo de ataques a través de funciones de vulnerabilidades.
Después de todo, así como las tecnologías de navegador evolucionan así también las amenazas y los cibercriminales. De forma que para seguir navegando con seguridad en Internet y evitar experiencias desagradables el mejor consejo es tomar en serio la seguridad de su navegador.