Cómo navegar de forma segura por Internet
Publicamos la edición número 51 de nuestro BOLETÍN INFORMATIVO y queremos aprovechar la oportunidad para hacer referencia al decálogo de seguridad publicado recientemente por el Centro Criptológico Nacional (CCN-CERT) para ofrecerles una serie de recomendaciones de seguridad para navegar de forma segura por Internet.
Actualmente cualquier usuario puede acceder a su cuenta bancaria, hacer transacciones o comprar todo tipo de productos en Internet, y por ello no es extraño que los ciberdelincuentes hayan focalizado sus ataques en los navegadores. A continuación describimos unas medidas de seguridad que todos deberíamos seguir.
Decálogo de seguridad para navegar por Internet
- Use siempre un navegador actualizado. Los navegadores se actualizan automáticamente o por medio de notificaciones que el usuario debe aprobar. Las actualizaciones automáticas del sistema operativo deben estar igualmente habilitadas.
- Compruebe que los conectores (plug-in) y las extensiones están configurados para actualizarse automáticamente. Debe instalarlos desde fuentes fiables. Un conector sirve para embeber una aplicación en un navegador; los hay de diferentes tipos, dependiendo de la acción que se quiera llevar a cabo: poder abrir PDF o hacer una videollamada mediante Google Plus, por ejemplo. Las extensiones, que son configurables y fáciles de usar, añaden nuevas funcionalidades al navegador, lo cual puede mejorar la productividad de las tareas diarias, como un convertidor de páginas web a PDF, por ejemplo. No obstante, aconsejamos deshabilitar de forma predeterminada los conectores Adobe Flash y Java, y también JavaScript para navegar por páginas web desconocidas. También es conveniente usar extensiones o complementos adicionales que implementen funcionalidades no incluidas en el navegador, como las que mejoran la privacidad durante la navegación o las que bloquean anuncios, tiras publicitarias…
- Aconsejamos revisar las opciones de seguridad y privacidad del navegador, como no aceptar galletas (cookies) de terceros, borrar los ficheros temporales y las galletas al cerrar el navegador, bloquear Ia geolocalización, filtrar ActiveX, etc.
- Recomendamos usar HTTPS en lugar de HTTP, incluso para los servicios que no manejen información sensible.
- Recomendamos proteger el navegador y los conectores con soluciones contra exploit para mitigar posibles ataques derivados de exploits. Un exploit es un fragmento de programa, de datos o una secuencia de comandos y/o acciones que se utiliza con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado de este, como el acceso no autorizado o la toma del control de un sistema de cómputo, por ejemplo.
- Recomendamos no almacenar contraseñas de forma predeterminada por medio del navegador y utilizar herramientas más seguras para esta gestión.
- Es importante verificar que los certificados remitidos por servicios HTTPS que manejen información sensible (por ejemplo, servicios de correo, banca electrónica, etc.) hayan sido remitidos por una autoridad de certificación de confianza. Una autoridad de certificación es una entidad responsable de emitir y revocar los certificados digitales utilizados en la firma electrónica. Verifica la identidad del solicitante de un certificado antes de expedirlo o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar la identidad.
- Recomendamos aplicar políticas de certificate pinning, que se basan en extremar las medidas de protección a la hora de aceptar un certificado digital en una conexión segura. El objetivo es mejorar la seguridad ante ataques de interceptación (man-in-the-middle attack, es decir, ‘ataque de intermediario’), que consiste en un ataque en el que se adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado.
- Cuando navegue, evite los enlaces sospechosos y acceder a sitios web de reputación dudosa.
- Si descarga alguna aplicación, asegúrese de que lo hace desde un web oficial, pues muchos sitios simulan ofrecer programas populares que ha sido alterados, modificados o suplantados por versiones que contienen algún tipo de software malicioso (malware) y descargan el código en el momento en que el usuario lo instala en el sistema.
Desde este enlace puede acceder al informe “Buenas Prácticas BP-06/16”, del CCN-CERT, sobre navegadores web.