Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Buenas prácticas para navegar seguros por la red

Fecha de publicación 07/02/2018
Autor
INCIBE (INCIBE)
Buenas prácticas para navegar seguros por la red

Aunque llevan muchos años entre nosotros, el navegador web se ha convertido en una herramienta de uso cotidiano en las empresas. Desde él accedemos a servicios de proveedores, a páginas de las Administraciones Públicas y a servicios corporativos internos. Consultas, noticias, compras on-line, trámites con entidades financieras y otros organismos, acceso al correo electrónico, a redes sociales, a servicios en la nube, acceso a aplicaciones ofimáticas online, etc. todo esto, y mucho más, lo hacemos a través del navegador. Con toda esta actividad no es de extrañar que los delincuentes los hayan convertido en su objetivo. Y nosotros como navegantes ¿somos conscientes de los peligros a los que nos exponemos?, ¿sabemos cómo navegar seguros?

El cliente y el servidor

Cuando navegamos por Internet, el navegador (Opera, Microsoft Edge/Explorer, Firefox, Chrome,…) en nuestro equipo es un «cliente» que solicita servicios —que le envíen contenidos de una página web— a un «servidor» donde se aloja la página web que solicitamos. Los navegadores interpretan lo que les envían los servidores (las páginas web codificadas) para mostrar el contenido a los usuarios e intercambian información con los mismos como credenciales de acceso, parámetros, etc.

Si el servidor al que accedemos ha sido atacado, las comunicaciones son interceptadas o el cliente (el navegador o sus extensiones y plugins) no está protegido, podríamos enviar información de forma insegura, como nuestras contraseñas o nuestras cuentas corrientes, o descargarnos código malicioso que tomará control de nuestro navegador o infectará nuestros equipos.

¿Cómo me atacan cuando navego?

Son muchas las técnicas de ataque a través del navegador. Podemos agruparlas en:

  • Introducción de código malicioso en el equipo del usuario a través de una vulnerabilidad del navegador. Para ello, primero han de conseguir que visitemos una página infectada que se encargará de «chivarle» al atacante las debilidades de nuestro navegador. Así este podrá lanzarnos, generalmente de forma automática, el código malicioso (exploit) más adecuado para aprovechar nuestras debilidades.
    • ¿Cómo consiguen que visitemos una página infectada? Pues de muchas formas:
      • dirigiendo a la víctima a un sitio web legítimo y de confianza, previamente infectado,
      • incluyendo anuncios, aparentemente inofensivos pero que ejecutan contenido malicioso, en páginas web legítimas que han sido comprometidas,
      • con engaños de ingeniería social para que hagamos clic en enlaces que suplantan a webs legítimas (phishing).
  • Inclusión de código malicioso en formularios o parámetros de las URL para que se ejecuten en el propio navegador del usuario. Esto es frecuente en aplicaciones en las que el usuario interactúa introduciendo datos en su navegador: blogs, foros, redes sociales,… Utilizan código malicioso en los formularios o parámetros (en los lenguajes de programación que utiliza la página web: HTML, JavaScript, etc.) para que sea ejecutado en nuestro navegador evadiendo los mecanismos de seguridad.
  • Interceptación y manipulación de las comunicaciones entre el navegador (el cliente) del usuario y el servidor web. Con estos ataques consiguen capturar el tráfico y redirigirlo para monitorizarlo o modificarlo.  Por ejemplo, mediante los falsos puntos de acceso wifi que nos hacen creer que estamos conectados a una wifi conocida a la que suplantan. De esta forma consiguen hacerse con nuestras credenciales para acceder a servicios legítimos y suplantar luego nuestra identidad. También nos conducen, dirigiendo la comunicación interceptada, a páginas infectadas.
  • Descarga y ejecución de ficheros de fuentes no confiables. Esto ocurre cuando visitamos sitios no oficiales o reconocidos, para descargar software, imágenes u otro tipo de documentos que pueden incluir malware.

Aviso para navegantes

Conociendo lo que puede ocurrir cuando navegamos estos son algunos consejos para navegar seguro:

  1. Es importante estar al día: ¡actualiza! Como muchos ataques se producen por tener desactualizados los navegadores, te recomendamos que mantengas siempre actualizados tus equipos y los navegadores. Desinstala los navegadores, plugins y extensiones que no utilices. Programa las opciones de actualización automáticas, tanto para el sistema operativo como para los navegadores.
  2. Verifica y actualiza los plugins y extensiones. Descarga siempre los complementos de sitios oficiales. Desinstala o desactiva los que no utilices. No instales ni Java ni Flash a menos que los necesites o habilítalos únicamente cuando los vayas a utilizar. Programa las opciones de actualización automáticas también para los complementos.
  3. Gestiona la seguridad y privacidad del navegador. Entra en las opciones de seguridad para bloquear pop-ups, desactivar la sincronización de contraseñas, evitar autocompletado, borrar ficheros temporales, bloquear la geolocalización, etc.
  4. Nunca guardes las contraseñas en el navegador cuando te da la opción de recordar la contraseña. Si lo has hecho bórralas y deshabilita esta opción si está activada en los ajustes del navegador. Toma precauciones para borrarlas cuando navegues en ordenadores públicos o que te presten. Puedes utilizar gestores de contraseñas vigilando que utilicen un cifrado robusto y una llave maestra.
  5. Elimina las cookies de sesión. Estudia los parámetros de privacidad de tu navegador y parametrízalo para que se ajuste a tus necesidades. Las cookies son unos pequeños ficheros que guardan información sobre la sesión con una web para facilitar las conexiones futuras y recordar datos de navegación como hábitos y preferencias. Puedes borrarlas después de navegar (y borrar también el historial de navegación) o configurar el navegador para que se borren automáticamente.
    • También puedes navegar en modo privado o incógnito, de esta forma se iniciará una sesión sin utilizar los datos ya almacenados en el navegador y al terminar se borrarán las cookies, el historial de navegación y otros datos que se hayan creado.
    • Otra opción es utilizar extensiones o plugins para bloquear la publicidad y las cookies (uBlock, DoNotTrackMe, Ghostery, Disconnect,..) siempre que antes te informes de cómo utilizarlos.
  6. Cifra las comunicaciones utilizando protocolos en los que las comunicaciones van cifradas, por ejemplo utiliza siempre que puedas HTTPS. Los navegadores tienen complementos que facilitan y priorizan el uso de protocolos cifrados como HTTPS.

     

Navegador con candado https

 

  1. Verifica que los sitios por los que navegas son fiables. Teclea la URL (con de HTTPS://) y abre la información (certificado) en el candado en la barra de navegación. Comprueba que el certificado está vigente, y que estás en el sitio correcto verificado por una empresa de confianza.

     

Certificado

 

  1. Protégete contra el malware, el phishing, y los exploits. Utiliza herramientas antimalware que incluyan protección de navegación web y para detectar phishing y para evitar que los empleados accedan a webs poco fiables (filtro de contenidos). Considera utilizar herramientas anti-exploits para evitar que puedan aprovecharse de vulnerabilidades de tu navegador que se estén explotando antes de que el fabricante publique el parche (llamadas de día cero o 0-day). Difunde esta información entre tus empleados, incluye estas buenas prácticas en una política interna de obligado cumplimiento, comprueba que todos saben utilizar bien el navegador y que navegan seguros. ¡Protege tu empresa!