Las amenazas basadas en navegadores se han convertido en una de las mayores preocupaciones a las que se enfrentan los profesionales de la ciberseguridad en la actualidad.
Neill Feather, de Neill Feather, explica cómo los equipos de TI pueden capacitar a los empleados remotos para que tengan seguridad cibernética en un lugar de trabajo cada vez más basado en navegadores.
Independientemente de su elección de navegador web, existen amenazas tanto de ingeniería como involuntarias que pueden ponerlo en riesgo al usarlo. Escribí el pasado mes de abril sobre cinco amenazas comunes a la seguridad de los navegadores y cómo manejarlas. Desafortunadamente, hay más de cinco amenazas que pueden afectar al navegador web y sigue siendo fundamental que las organizaciones implementen una protección eficaz contra estos ataques difíciles de detectar.
Más información sobre ciberseguridad
Hablé con el Dr. Christopher Kruegel, cofundador y director ejecutivo del proveedor de protección contra malware Lastline, para que colaborara en el tema, y hablamos sobre el concepto de seguridad del navegador.
«De todo el software en uso, los navegadores son los más expuestos», me dijo Kruegel. «Se conectan constantemente con el mundo exterior y frecuentemente interactúan con sitios web y aplicaciones que los ciberdelincuentes han infectado con malware. Los navegadores son herramientas poderosas y ricas en datos que, si se ven comprometidas, pueden proporcionar a un atacante una gran cantidad de datos sobre usted, incluyendo información confidencial como su dirección, número de teléfono, datos de tarjetas de crédito, correos electrónicos, identificaciones, contraseñas, historial de navegación, marcadores, etc.».
Con eso en mente, aquí hay algunas amenazas comunes basadas en el navegador que Kruegel y yo discutimos y cómo defendernos contra ellas.
1. Plugins y extensiones
Los navegadores a menudo tienen plugins o extensiones de terceros instalados para varias tareas, como JavaScript o Flash para mostrar o trabajar con el contenido. Estos dos son de conocidos proveedores de calidad, pero existen otros plugins y extensiones que provienen de fuentes menos acreditadas, y es posible que ni siquiera ofrezcan funcionalidad relacionada con el negocio.
Independientemente del origen, los plugins y las extensiones suelen tener fallos de seguridad que los atacantes pueden aprovechar para acceder a sus sistemas o datos. Estas vulnerabilidades permiten a los atacantes causar estragos, por ejemplo, mediante la instalación de software de rescate, la extracción de datos y el robo de la propiedad intelectual.
Recomendaciones: Sólo permita plugins y extensiones relacionados con el negocio como parte de una política comercial oficial, como por ejemplo para el uso de Internet y del correo electrónico. Dependiendo de los navegadores utilizados en su organización, busque formas de bloquear los plug-ins no deseados o las listas blancas de los plug-ins apropiados para que sólo éstos puedan instalarse. Asegúrese de que los plugins están configurados para actualizar automáticamente o implementar nuevas versiones mediante mecanismos centralizados (como la directiva de grupo de Active Directory o el System Center Configuration Manager. Nota: los navegadores ahora son expertos en detectar plugins problemáticos y mostrar advertencias, así que instruya a sus usuarios para que lean y presten atención a todas las advertencias en consecuencia.
VER: Política de seguridad de la información (Tech Pro Research)
2. Java
Java, que no debe confundirse con JavaScript, es utilizado por muchos sistemas tanto Windows como Linux para ejecutar código (conocido como applets) relacionado con la actividad del navegador.
Como le dirá el propio instalador, Java es muy utilizado y, por su diseño, los applets suelen ejecutarse en un entorno «sandbox» separado para evitar que accedan a otras aplicaciones o componentes del sistema operativo. Sin embargo, algunas vulnerabilidades pueden permitir que los applets eviten la caja de arena y causen daño. En mi opinión, Java parece contener un número excesivo de vulnerabilidades, y algunos ejemplos están aquí. Por lo tanto, es importante mantenerse informado y vigilante.
Recomendaciones: Determine una configuración de seguridad estándar de Java que funcione para sus estaciones de trabajo y servidores y, a continuación, impleméntela de forma centralizada, por ejemplo, mediante una directiva de grupo.
Manténgase al tanto de las actualizaciones de Java también. Puede configurar Java para que se actualice automáticamente, pero esto puede causar problemas si las funciones necesarias se desactivan deliberadamente. Por ejemplo, las consolas de acceso remoto de Dell requieren Java, pero el acceso está bloqueado en algunas versiones, lo que puede causar una gran frustración para los administradores de sistemas que necesitan este acceso para trabajar. Desactive la actualización automática, pruebe los efectos de las nuevas versiones e impleméntelas a través de mecanismos centralizados como System Center Configuration Manager (SCCM), Puppet o Ansible. Tenga a mano las versiones anteriores en caso de que necesite volver a ellas.
3. Anuncios emergentes maliciosos
Los anuncios emergentes son un cáncer conocido y los maliciosos pueden ser especialmente confusos y difíciles de trabajar con ellos. A menudo presentan notificaciones falsas, como por ejemplo, la afirmación de que su equipo tiene un virus e instándole a que instale su producto antivirus para eliminarlo. Naturalmente, el malware es lo que realmente termina instalado. Estas ventanas emergentes son difíciles de cerrar porque a menudo no hay un botón «X» para hacerlo.
Recomendaciones: La mejor opción es cerrar el navegador por completo, o usar el Administrador de tareas en Windows/el comando kill en Linux para cerrar la aplicación. No regrese al sitio en cuestión que activó el anuncio y ejecute un análisis antimalware para determinar si su sistema está limpio, ya que los anuncios emergentes a menudo pueden ser generados por malware.
Puede configurar los navegadores para que bloqueen los anuncios emergentes (investigue los pasos y métodos implicados para cada navegador, ya que pueden cambiar en diferentes versiones), pero tenga en cuenta que es posible que algunos sitios legítimos no funcionen correctamente. Los sitios bancarios, por ejemplo, pueden utilizar ventanas emergentes para proporcionar información o para saber si desea seguir conectado. Si desactiva los anuncios emergentes para sus usuarios, asegúrese de que entiendan cómo pueden mostrarlos a voluntad, por ejemplo, pulsando la tecla Ctrl.
VEA: Ataques de phishing: Guía para profesionales de TI (PDF gratuito) (ConsejoTecnologico.com)
4. Controles administrativos y de seguridad descentralizados
Usted puede haber notado que he recomendado controles centralizados varias veces en este artículo. Esto se debe a que siempre debe confiar en un único punto de gestión para las parametrizaciones colectivas que desea establecer en su empresa. También es necesario que pueda supervisar estos controles para asegurarse de que se mantienen en su lugar. Una empresa con una serie de sistemas con configuraciones de navegador web no es una organización segura.
Las directivas de grupo de Active Directory se pueden utilizar para muchos de estos ajustes y también hay opciones de terceros disponibles. No desea permitir que los usuarios desactiven las configuraciones importantes por conveniencia (o peor aún), ni tampoco desea tener que enviarles instrucciones para que configuren varias opciones: nunca llegará al 100% de cumplimiento y está apostando la seguridad de su organización por el sistema de honor, por así decirlo.
VER: Ataques de secuencias de comandos entre sitios: Una hoja de trampas (ConsejoTecnologico.com)
Investigue las opciones que mejor se adaptan a su entorno en función de sus necesidades de navegación web (el CERT tiene una guía práctica al respecto) y realice una copia de seguridad de las mismas con una política, por ejemplo, para el uso de Internet y del correo electrónico o la seguridad de la información.
5. Productos de protección contra amenazas insuficientes
«Los ciberdelincuentes trabajan constantemente para encontrar formas nuevas y más eficaces de infiltrarse en nuestros ordenadores, dispositivos y redes. La reciente evolución de las ciberamenazas basadas en navegadores es un ejemplo conmovedor de nuevas técnicas maliciosas que son a la vez difíciles de detectar y eficaces», afirmó Kruegel. Los productos antimalware estándar se ven desbordados por la variedad de posibles amenazas. Como resultado, las organizaciones deben utilizar un enfoque de seguridad de varias capas de diferentes productos, como malware para detectar programas maliciosos, software de escaneo de correo electrónico para detectar intentos de suplantación de identidad (phishing), filtrado de proxy web para bloquear el acceso a sitios no deseados, etc. Kruegel recomienda que las empresas actualicen sus herramientas de prevención de amenazas lo antes posible para combatir las últimas evoluciones del malware. «Una forma de hacerlo es implementar un enfoque filtrado que evalúe todo el código en tiempo real y pruebe el código sospechoso con un análisis dinámico completo», comentó.
Krueger concluyó diciéndome que la mayoría de las tecnologías de detección y prevención de malware funcionan examinando archivos como descargas o archivos adjuntos. Sin embargo, las amenazas basadas en navegadores no necesariamente utilizan archivos, por lo que los controles de seguridad convencionales no tienen nada que analizar. «A menos que las organizaciones implementen herramientas avanzadas que no dependan del análisis de archivos, es probable que los ataques basados en navegadores no sean detectados», advirtió.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves