Seguridad del Navegador

explorerEl navegador web es la herramienta necesaria para poder acceder a los contenidos web desde un escritorio de un ordenador. Son varios los navegadores existentes en la actualidad, por ejemplo Chrome, Firefox, Opera, Safari, etc.

Como todos sabemos, el navegador que Microsoft  incluye con todas las versiones de Windows es Internet Explorer.

Internet Explorer tiene como medida de seguridad el concepto de nivel de confianza, dicho nivel aísla el navegador con independencia de otros niveles dados por permisos, privilegios, etc.

Existen 6 niveles de confianza:

  • Confiable
  • Sistema
  • Alta
  • Media
  • Baja
  • No confiable

De manera encubierta Microsoft únicamente deja tocar 4 de esos niveles, dejando los otros dos para el sistema operativo.  La idea que se busca es que cualquier objeto de un sistema operativo tiene un nivel y los de un nivel más bajo no pueden acceder a los de un nivel más alto, de manera que, si elegimos los programas menos confiables dentro del nivel más bajo, los estaremos aislando para que, de poder acceder, no puedan tocar buena parte de nuestro equipo, dicho de otra forma, ya que desde nuestro navegador accedemos a otras máquinas, si aprovechando dicho acceso alguien se nos cuela salvando las barreras de seguridad existentes, que no pueda hacer nada porque su nivel de confianza sea bajo, aparentemente sencillo, ¿verdad?.

En primer lugar hablar de los permisos de Windows, esto es, quien puede hacer que en un pc, esto se puede observar en las propiedades del objeto en cuestión:

Pestaña Seguridad

En este caso debemos de tener en cuenta que hablamos de procesos, no de carpetas ni ficheros, luego, ¿cómo se pueden consultar los procesos y ver su nivel de confianza?.

Existe una utilizada que se puede descargar de la web de Microsoft que se llama Proces Explorer, que te permite conocer toda la información necesaria de los procesos en ejecución y entre otras cosas no da información del nivel de los procesos:

nivel procesos

Dicho nivel de integridad puede ser modificado con el comando icacls, por ejemplo, si me creo una carpeta, con ese comando puedo ver, e incluso cambiar el nivel de confianza de la misma:

nivel carpeta

La idea es que las aplicaciones que se utilizan en el mundo de internet y que por lo tanto son susceptibles de ser utilizadas para poder acceder de forma no autorizada a nuestro sistema tenga un nivel de integridad bajo, ya que de esta manera no van a poder acceder a buena parte del resto de objetos de nuestro sistema, ya que tienen un nivel medio o alto.

Por poner un ejemplo, voy a decir que Word se ejecute en un nivel de integridad bajo:

cambio integridad word

Al ejecutar Word, ahora nos aparece el siguiente aviso:

aviso word

Se trata de un aviso que nos suena, ya que a veces nos sale cuando ejecutamos cosas que nos descargamos de internet y quiere decir que algo con nivel de seguridad bajo se quiere ejecutar, básicamente, este aviso se podría desactivar desde la zona de seguridad del navegador web:

seguridad navegador

Por otro lado en el árbol de procesos podemos ver como Word abierto por el mismo usuario (administrador) tiene un nivel de seguridad bajo en un caso y  medio en el otro:

nivel integridad word

Luego bajar el nivel de integridad de las aplicaciones que corren en internet puede ser positivo, aunque estemos con un usuario administrador ya que, de acceder, tendrían verdaderos problemas para acceder a recursos  de nuestro sistema, por ejemplo si intento abrir un fichero de mi disco duro ahora con Word sale algo así:

abrir fichero con word

Interesante, ¿verdad?.

Las herramientas que se utilizan para navegar son los navegadores, sobre estos decir que Internet Explorer y Chrome trabajan, por defecto en nivel de integridad bajo, Microsoft lo llama modo protegido, lo cual es una garantía, y esta es la razón de que se muestren constantemente las advertencias cuando se necesita elevar dicho nivel para hacer cualquier cosa, se puede desactivar, pero no lo aconsejo, es preferible saber siempre que se quiere hacer y quien lo quiere hacer.

¿Qué AMENAZA nuestro navegador?

  • Javascript: La inmensa mayoría de los ataques de hoy en día vienen por aquí, ahora bien se trata del estándar más utilizado y por lo tanto necesario. Se permite deshabilitar en los navegadores pero se degradarían las funcionalidades de muchas webs.
  • Java: Se trata del lenguaje de programación que añade funcionalidades a las webs. Se implemente en las famosas máquinas virtuales de java y se trata de código que se envía desde los servidores y es ejecutado en los clientes, ¿peligroso verdad?.  Se debe de evitar a toda costa que el código sea capaz de acceder a zonas sensibles de nuestro sistema.
  • ActiveX: Se trata de la tecnología diseñada como respuesta a Java por parte de Microsoft, es decir, la idea básicamente es la misma que la expresada anteriormente.
  • Cookies: Son pequeños archivos de texto que los navegadores almacenan para guardar información sobre las webs que se visitan, de esta manera se acelera el trabaja constante con algunas webs a las que accedemos de forma habitual.
  • Plugins: Se trata de complementos que suman funcionalidades a los navegadores, normalmente desarrollados por terceras personas y con lo que también debemos de tener cuidado, sobre todo de su  procedencia.

Poco a poco me iré centrando en todas estas amenazas para intentar mitigarlas en el mayor nivel de certeza posible.

¿Qué criterios seguir para configurar la seguridad de Internet Explorer?

seguridad explorer

La zona de internet local se creó pensando en sitios web ubicados en la red local y por lo tanto de total confianza, para el resto, sitios de confianza y restringidos, estos últimos son aquellos en los que no se confía. Cada zona tiene un nivel de seguridad definido por defecto.

El nivel de seguridad se puede personalizar y afinar tanto como cada uno quiera, desde el botón nivel personalizado:

 nivel personalizado

Poco a poco me centraré todas las opciones para este tipo de configuraciones, pero os animo a jugar con la utilidad y ver los resultados, si nos equivocamos no pasa nada, siempre se pueden restablecer los valores predeterminados para cada zona.

Hasta la próxima. Paco Nadador.

Espero que te haya gustado el artículo.

Si deseas recibir un mensaje cada vez que haya una nueva entrada en el blog, suscríbete al mismo y lo recibirás.

Leave a Reply

Your email address will not be published. Required fields are marked *