Seguridad en navegadores web

Algo que en general no preocupa a mucha gente en términos de seguridad es navegar por internet, asumen que el navegador que usan es lo suficientemente seguro, esta acepción es total y absolutamente falsa, en las siguientes líneas analizaremos algunos aspectos que hacen de los navagadores estándar mucho menos que seguros.

Los protocolos son un conjunto de reglas que permiten la comunicación y el tráfico de datos entre diversos dispositivos. Estas reglas definen el tipo de datos que puede ser enviado, su estructura y cómo podrá recibirlo cada uno de los dispositivos mencionados.

Los más comunes hoy en día:

• Transport Layer Security (TLS o Transporte en la capa de seguridad)
• Hypertext Transfer Protocol (HTTP o Protocolo de transporte de hipertexto)
• Hypertext Transfer Protocol Secure (HTTPS Protocolo seguro de transferencia HTTP)
• Certificados TLS

El TLS es un protocolo que protege los datos enviados por internet. TLS se asegura que un atacante no pueda ver los datos que son transmitidos, cosas como contraseñas y datos de tarjetas de crédito pasan a ser invisibles para los delincuentes. El TLS se autentica por medio de certificados por entidades autorizadas. Los certificados se parean con una clave de encriptación. Esta forma de comunicación asegura que todos los datos que se transmiten sean encriptados de punto a punto.

HTTP es el protcolo usado en internet para transferir datos desde un navegador hacia la red. Este protocolo transmite en texto plano y puede ser monitoreado en cualquier punto de la transmisión.

HTTPS usa TLS para encriptar la transmisión HTTP pasando así dicha transmisión de una en texto plano a una encriptada y segura. Cuando estamos usando HTTPS, aparece un ícono al principio de la barra de búsqueda del navegador que indica que la transmisión está encriptada, o, nos avisa en caso de que el certificado esté incorrecto, vencido o simplemente pasamos de HTTPS a HTTP.

La sola presencia de HTTPS no asegura que el sitio que visitamos sea legítimo. Existen técnicas sofisticadas que pueden falsear un sitio web con la misma apariencia del original para hacer que un usuario inocentemente entregue sus datos a un sitio que es idéntico al real y que ha sido fabricado a fin de captar sus datos (Esta técnica es la llamada “spoofing”). Se recomienda a los usuario que verifiquen cada vez que van a ingresar datos que la URL a la cual están accesando sea la correcta.

HSTS o HTTPS estricto, es una política a nivel de servidor web que fuerza al navegador a siempre cargar la versión segura de un sitio web e ignora cualquier intento de redireccionar las consultas hacia un sitio en HTTP puro (no encriptado).

Content Security Policy o Política de Seguridad en el Contenido es un estándar ampliamente aceptado y que detecta y disminuye el riesgo de inyección de código y ataques tipo “cross-site scripting”. Este tipo de ataques puede provocar el robo de datos, redirección hacia webs maliciosas o incluso descarga de malware.

Para implementar CSP, los desarrolladores web o administradores definen específicamente qué tipo de datos y desde qué origen pueden ser cargados desde el navegador para un sitio web determinado, es decir, el contenido que está permitido para ese sitioi web, que puede incluir:

• JavaScript
• Cascading Style Sheets (CSS)
• Archivos HTML
• Tipos de fuente
• Imágenes, audio y video

“Tracking pixels” o píxeles de seguimiento son pequeñas imágenes de 1×1 (píxel), que son insertadas en el código HTML de los sitios web, publicidad o correos electrónicos. Estas pequeñas imágenes viven en los servidores y pueden recolectar información sobre el usuario mientras éste navega por un sitio web. Estas imágenes son utilizadas por las grandes compañías para mejorar su publicidad por medio de recolectar información sobre los hábitos de los usuarios y crear avisos dirigidos hacia un público en particular.

Estos píxeles pueden:

• Recolectar información sobre la ubicación del usuario, como por ejemplo, su IP.
• Determinar si el usuario ha realizado acciones en un sitio web, como por ejemplo, subscribirse a una lista de correos.
• Espiar visitas a páginas, “clicks” y redirecciones.
• Determinar el dispositivo del usuario y su sistema operativo. (útil para aprovechar “bugs” y “exploits” que permitan realizar ataques.)

Uno de los mayores problemas con estas pequeñas imágenes radica en cómo afectan la privacidad del usuario. A menudo recolectan la información sin el conocimiento ni consentimiento de los usuarios y la envían a sus propios servidores. Los píxeles de seguimiento además son vulnerables a fugas de datos al no ser correctamente “limpiados” de la información personal del usuario antes de ser transmitida la información. Los sitios web deberían informar transparentemente que están usando “tracking pixels” y proveer al usuario de una forma de evitar su uso.

Así como los “tracking pixels” pueden recolectar y guardar información sobre los usuarios, las “cookies” hacen algo similar pero lo guardan a nivel del navegador.

Las “cookies” puede ayudar a mejorar la “experiencia de usuario”, cosas como recordar contraseñas, mantener una sesión de usuario abierta en su tienda web preferida o simplemente cuál fue su última página visitada. Todo esto además puede generar estadísticas sóbre cómo es su comportamiento en internet. Muchas “cookies” son necesarias para las funcionalidades de los diversos sitios web. Otras pueden ser deshabilitadas por el usuario, por ejemplo, las que tienen que ver con avisos y publicidad.

En general el comportamiento de las cookies puede ser manejado por el usuario pero, tambié son vulnerables a “envenamiento” o inyección de código. Los atacantes pueden utilizar cookies para impersonar al usuario y robar información sensible.

Mejores prácticas frente a tracking pixels y cookies

• Permita sólo cookies necesarias y funcionales
• Realizar escaneos de malware regularmente

Muchas extensiones para los diversos navegadores afirman mejorar la privacidad y ciber seguridad. Pueden realizar desde bloqueo de publicidad hasta manejo de contraseñas y guardar datos de identidad en su tienda web favorita. Además pueden modificar diversos aspectos de los navegadores para mejorar la experiencia de navegación. Estas aplicaciones son creadas frecuentemente, muchas son de pago, muchas gratuitas. Muchas creadas por compañías legítimas, muchas creadas por usuarios y no necesariamente con fines legítimos.

Las extensiones generalmente requieren tener autorización explícita del usuario para acceder a datos o dispositivos como por ejemplo, la cámara de su laptop. en general el usuario debe expresar su consentimiento para otorgar estos permisos. Pero en muchos casos las extensiones pueden contener malware que secretamente afecte sus dispositivos ya al momento de descargarlas.

Por lo anteriormente expresado se recomienda a los usuarios ser tremendamente cautos al momento de descargar una extensión para el navegador.

Mejores prácticas para plug-ins y extensiones

• Sólo descargue extensiones desde sitios oficiales
• Revise los permisos que requiere la extensión antes de instalar
• Lea los comentarios de otros usuarios antes de instalar

En general los navegadores web vienen con una configuración de seguridad que permite que en los sitios web “todo funcione”, este tipo de configuración no es nunca suficiente y deja muchos puntos de ataque a disposición de malware y diversos intentos maliciosos.

Para asegurar la privaciddad y seguridad de uso de su navegador, por favor leer los siguientes consejos:

• bloquee “third-party cookies” de manera que no puedan hacer seguimiento
• bloquee “pop-ups”
• realice actualizaciones periódicamente
• EVITE guardar sus contraseñas en el navegador
• permita el uso de java sólo cuando sea necesario

Si está implementando un sitio web recomendamos:

• publique sus servicios Sólo en HTTPS
• redireccione a los usuarios desde la versión HTTP de su sitio a la HTTPS
• use la versión más reciente y segura de TLS y párchela regularmente
• implemente HSTS para asegurar las conexiones a su servidor web

El uso seguro de su computador va mano a mano con la securización de su navegador, los pasos que puede tomar para asegurar sus dispositivos incluyen:

• utilizar sólo contraseñas complejas
• instale antivirus y antimalware, escanee su PC periódicamente
• habilite las actualizaciones automáticas
• nunca trabaje con usuarios de altos privilegios como “administrador” o “root”
• evite comportamientos riesgosos en internet
• respalde sus datos periódicamente
• configure correctamente su cortafuegos
• recomiende configuraciones de seguridad para los navegadores en su empresa
• determine o investigue si un sitio no es confiable
• valide si las extensiones que utiliza son confiables
• verifique si su usuario tiene los permisos a nivel de sistema operativo que debe
• permita Sólo cookies funcionales al navegar
• eduque al personal de su empresa respecto de pop-ups, cookies, y vulnerabilidades de los navegadores
• actualice su antivirus y antimalware periódicamente

===