Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Navegación segura y privada para ti y tu empresa. Parte I

Fecha de publicación 26/11/2019
Autor
INCIBE (INCIBE)
Navegación segura y privada para ti y tu empresa. Parte I

Si tuviéramos que elegir la herramienta por excelencia de cualquier dispositivo, una de las que coparía los primeros puestos en muchos rankings serían los navegadores web. Gracias a este tipo de herramientas se puede navegar por Internet, acceder el correo electrónico o al ERP de la empresa, en definitiva, permiten realizar multitud de tareas.

Debido a la gran cantidad de información personal y empresarial que gestionan, los navegadores web son un objetivo potencial para los ciberdelincuentes. Por ello, será crucial para la empresa aplicar una serie de medidas de seguridad y privacidad que reduzcan al mínimo la exposición tanto de los usuarios como de la propia organización.

Actualmente existen multitud de navegadores web pero en este artículo nos centraremos en Google Chrome, Mozilla Firefox y Safari de Apple por ser los tres más usados entre octubre de 2018 y octubre 2019 según Statcounter GlobalStats. El navegador de Google y de Apple serán descritos tanto en su versión para PC o Mac, como para dispositivos móviles. Firefox solamente será descrito para PC.

En esta primera entrada sobre privacidad y seguridad en los navegadores se tratarán las siguientes temáticas:

  • Actualizaciones automáticas
  • Ventanas emergentes, plugins y sitios web fraudulentos
  • Almacenamiento de contraseñas

En la próxima entrada los puntos tratados serán:

  • Javascript y Flash
  • Cookies
  • Micrófono y cámara
  • ...

Actualizaciones automáticas

Quizá uno de los aspectos más fundamentales para mantener un adecuado nivel de seguridad. Mediante las actualizaciones se obtienen principalmente tres beneficios:

  • Corrección de las vulnerabilidades descubiertas. Cualquier herramienta que se encuentra actualizada a la última versión contará con los parches de seguridad necesarios para corregir las vulnerabilidades descubiertas. Cuando un navegador web no está actualizado a la última versión disponible puede convertirse en el origen de un incidente de seguridad, los ciberdelincuentes pueden llegar a explotar una vulnerabilidad y comprometer la seguridad y privacidad de la organización.
  • Solución de errores o bugs. Es común que todo tipo de software cuente con errores o bugs que provocan comportamientos inesperados o incluso el cierre repentino de la herramienta. Cuando el software se actualiza a la última versión, los errores conocidos suelen ser solucionados.
  • Nuevas funcionalidades. Otro de los aspectos positivos son las nuevas funcionalidades que añaden o eliminan los desarrolladores. Un navegador web actualizado a la última versión siempre contará con las últimas funcionalidades.

Chrome

PC y Mac

El navegador de Google siempre se mantiene actualizado ya que lo hace automáticamente en segundo plano y completa la actualización al reiniciarse. Para comprobar que se encuentra actualizado, se seguirán los siguientes pasos:

Botón menú > Configuración > Información de Chrome

En caso de que no se encuentre actualizado, al realizar estos pasos y reiniciar el navegador ya se contará con la última versión disponible.

Android

Para actualizar todas las aplicaciones automáticamente se seguirán los siguientes pasos:

Play Store > Botón menú > Ajustes > Actualizar aplicaciones automáticamente

Dentro de este menú se puede indicar que el dispositivo se actualice automáticamente al conectarse a una red wifi «Solo por wifi» o mediante cualquier tipo de red móvil 3G, 4G o 5G «En cualquier red».

iPhone y iPad

Desde iOS13 y iPadOS13 todas las aplicaciones descargadas de la App Store son actualizadas automáticamente. Para comprobar si está activada esta opción:

Ajustes > [tu nombre] > iTunes Store y App Store> Actualizaciones de apps

En caso de querer que las actualizaciones sean aplicadas automáticamente también desde red móvil se marcará la opción «Descargas automáticas» de la sección «Datos móviles»

Firefox

Para activar las actualizaciones automáticas, tanto en PC como en Mac, se seguirán estos pasos:

Botón menú > Opciones > General > Actualizaciones de Firefox > Instalar actualizaciones automáticamente (recomendado)

Safari

Mac

Safari forma parte del sistema operativo de los equipos Mac por lo que para mantenerlo actualizado a la última versión se ha de contar con la última versión de macOS. Puedes mantener tu equipo actualizado siguiendo estos pasos:

iPhone y iPad

Para mantener el navegador actualizado a la última versión en iPhone y iPad, se ha de contar la última versión del sistema operativo, para ello se seguirán estos pasos:

Ajustes > Configuración > General > Actualización de software

Ventanas emergentes, plugins y sitios web fraudulentos

Navegar por Internet no está exento de riesgos, muchos son los sitios web que muestran ventanas emergentes con publicidad que puede conducir a situaciones de riesgo. Por ello, se ha de bloquear siempre que sea posible este tipo de elementos emergentes.

Los plugins o extensiones para PC y Mac, al igual que sucede con las ventanas emergentes, pueden suponer un riesgo para la privacidad y seguridad del dispositivo. En ocasiones algunas webs intentan instalar plugins en los equipos de los usuarios sin que ellos lo hayan solicitado, para ello suelen utilizar técnicas de ingeniería social con las que intentan forzar al usuario a que instale la extensión. Este tipo de elementos puede recopilar datos de navegación, mostrar publicidad, realizar minado de criptomonedas o difundir malware. Bloquear este tipo de complementos será vital para mantener un adecuado nivel de seguridad en los equipos.

Los sitios web maliciosos, como los de tipo phishing o los que difunden malware, son un riesgo para todos los usuarios, ya que mediante este tipo de webs fraudulentas los ciberdelincuentes pueden robar información confidencial y comprometer los sistemas de la empresa. Para combatir este tipo de actividades, los navegadores web cuentan con protección frente a sitios maliciosos, mediante esta funcionalidad los usuarios son avisados en el momento de acceder una web potencialmente peligrosa o cuando descargan un archivo que puede contener malware.

Chrome

PC y Mac

Para activar la protección frente a ventanas emergentes:

Botón menú > Configuración > Configuración avanzada > Privacidad y seguridad > Configuración del sitio web > Ventanas emergentes y redirec. > Bloqueado

Activar la protección frente a sitios web maliciosos y malware:

Botón menú > Configuración > Usuarios > Servicios de Google y sincronización > Navegación Segura

La protección contra la autoinstalación de extensiones es una funcionalidad presente en Chrome si cuentas con la última versión del navegador.

Android

Protección frente a ventanas emergentes:

Botón menú > Configuración > Configuración del sitio web > Ventanas emergentes y redirecciones > Bloqueado

iPhone y iPad

Protección frente a ventanas emergentes:

Botón menú > Configuración > Configuración de contenido > Bloquear ventanas emergentes

Firefox

Protección frente a ventanas emergentes:

Botón menú > Opciones > Privacidad y seguridad > Sección permisos > Bloquear ventanas emergentes

Protección frente a sitios web maliciosos y malware:

Botón menú > Opciones > Privacidad y seguridad > Sección seguridad > Bloquear contenido peligroso y engañoso

Activar la protección contra la autoinstalación de extensiones:

Botón menú > Opciones > Privacidad y seguridad > Sección permisos > Advertirle cuando los sitios web intenten instalar complementos

Safari

Mac

La protección frente a ventanas emergentes y sitios web fraudulentos se activa mediante la opción de seguridad en las preferencias del navegador.

Safari > Preferencias > Seguridad

Activar la protección contra la autoinstalación de extensiones:

Safari para Mac no permite la instalación automática de extensiones, al igual que sucede en Google Chrome.

iPhone y iPad

Protección frente a ventanas emergentes:

Configuración > Safari > Bloquear ventanas

Almacenamiento de contraseñas

Los navegadores cuentan con una función de autocompletado de credenciales de acceso, la cual simplifica mucho el acceso a los servicios que requieren de usuario y contraseña. Utilizar esta función no es recomendable por dos razones principalmente:

  • Ante un acceso no autorizado al dispositivo, los servicios que cuentan con las credenciales almacenadas serán también vulnerables, el atacante únicamente tendrá que abrir el servicio en cuestión en el navegador y la función de autocompletado de credenciales hará el resto.
  • Dependiendo del navegador y sistema operativo utilizado, las contraseñas son gestionadas de una u otra manera, en algunos casos es necesario conocer la contraseña de usuario de sistema o una contraseña maestra para poder acceder, en otros casos no es necesario nada por lo que un tercero podría ver todas las contraseñas almacenadas. En los casos en los que las contraseñas se encuentren protegidas con una clave, se puede evadir esta medida de seguridad. Accediendo al servicio en cuestión, utilizando la función de “Inspeccionar elemento” y eliminando el atributo «type=”password”», se puede ver la contraseña.

Por ello se debe evitar almacenar contraseñas en los navegadores y, en caso de contar con alguna almacenada, se debe eliminar.

Chrome

PC y Mac

Para deshabilitar la función que permite almacenar las contraseñas en el navegador:

Botón menú > Configuración > Contraseñas > Preguntar si quiero guardar contraseñas

Las contraseñas almacenadas se pueden eliminar dentro del mismo menú.

Android

Botón menú > Configuración > Contraseñas > Guardar contraseñas

Desde ese mismo menú se pueden eliminar las contraseñas almacenadas en el navegador.

iPhone y iPad

En los dispositivos Apple se realiza de forma similar:

Botón menú > Configuración > Contraseñas > Guardar contraseñas

Las contraseñas almacenadas también se pueden eliminar desde el mismo menú.

Firefox

Para deshabilitar la función de recordar contraseña en el navegador de Mozilla:

Botón menú > Opciones > Privacidad y seguridad > Usuarios y contraseñas > Preguntar para guardar contraseñas e inicios de sesión de sitios web

La gestión de las contraseñas almacenadas se puede hacer desde el mismo menú mediante el botón «Cuentas guardadas…». Firefox permite bloquear el acceso a esta función por medio de una contraseña maestra y en caso de haberla activado es necesario introducirla para gestionar las contraseñas almacenadas.

Safari

Mac

Para deshabilitar la función que permite almacenar las contraseñas en el navegador:

Safari > Preferencias > Contraseñas > Rellenar automáticamente nombres de usuario y contraseñas

Las contraseñas almacenadas se pueden eliminar dentro del mismo menú mediante la opción «Eliminar».

iPhone y iPad

Las contraseñas de los iPhone y iPad son gestionadas por el llavero de iCloud, este hace las veces de gestor de contraseñas solicitando un segundo factor pasa su desbloqueo. Este método utilizado por los dispositivos Apple puede considerarse como seguro y no es necesario desactivar la función de autocompletado.

En próximas entradas del blog trataremos más aspectos a tener en cuenta a la hora de proteger la privacidad y seguridad en los navegadores.