Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm. 51 - any 2017 - Com navegar de manera segura per Internet

Publicam l’edició número 51 del nostre BUTLLETÍ INFORMATIU i volem aprofitar l’avinentesa per fer referència al decàleg de seguretat publicat recentment pel Centre Criptològic Nacional (CCN-CERT) per oferir-vos una sèrie de recomanacions de seguretat per navegar de manera segura per Internet. 

 

Actualment qualsevol usuari pot accedir al seu compte bancari, fer transaccions o comprar tota mena de productes a Internet, i per això no és estrany que els ciberdelinqüents hagin focalitzat els atacs en els navegadors.

 

A continuació descrivim unes mesures de seguretat que tothom hauria de seguir.

 

Decàleg de seguretat per navegar per Internet

  1. Emprau sempre un navegador actualitzat. Els navegadors s’actualitzen automàticament o per mitjà de notificacions que l’usuari ha d’aprovar. Les actualitzacions automàtiques del sistema operatiu han d’estar igualment habilitades.
  2. Comprovau que els connectors (plugin) i les extensions estan configurats per actualitzarse automàticament. Els heu d’instal·lar des de fonts fiables. Un connector serveix per encloure una aplicació en un navegador; n’hi ha de diferents tipus, depenent de l’acció que vulgueu dur a terme: poder obrir PDF o fer una videotrucada mitjançant Google Plus, per exemple. Les extensions, que són configurables i fàcils d’emprar, afegeixen noves funcionalitats al navegador, la qual cosa pot millorar la productivitat de les tasques diàries, com un convertidor de pàgines web a PDF, per exemple. No obstant això, aconsellam deshabilitar de manera predeterminada els connectors Adobe Flash i Java, i també JavaScript per navegar per pàgines web desconegudes. També convé emprar extensions o complements addicionals que implementin funcionalitats no incloses en el navegador, com ara les que milloren la privacitat durant la navegació o les que bloquegen anuncis, bàners, etc.
  3. Aconsellam revisar les opcions de seguretat i privacitat del navegador, com ara no acceptar galetes (cookies) de tercers, esborrar els fitxers temporals i les galetes en tancar el navegador, bloquejar Ia geolocalització, filtrar ActiveX, etc.
  4. Recomanam emprar HTTPS en lloc d’HTTP, fins i tot per als serveis que no manegin informació sensible.
  5. Recomanam protegir el navegador i els connectors amb solucions contra exploit per mitigar possibles atacs derivats d’exploits. Un exploit és un fragment de programa, de dades o una seqüència d’ordres i/o accions que s’utilitza a fi d’aprofitar una vulnerabilitat de seguretat d’un sistema d’informació per aconseguirne un comportament no volgut, com ara l’accés no autoritzat o la presa del control d’un sistema de còmput, per exemple.
  6. Recomanam no emmagatzemar contrasenyes de manera predeterminada per mitjà del navegador i emprar eines més segures per a aquesta gestió.
  7. És important verificar que els certificats tramesos per serveis HTTPS que manegin informació sensible (per exemple, serveis de correu, banca electrònica, etc.) hagin estat enviats per una autoritat de certificació de confiança. Una autoritat de certificació és una entitat responsable d’emetre i revocar els certificats digitals emprats en la signatura electrònica. Verifica la identitat del sol·licitant d’un certificat abans d’expedirlo o, en cas de certificats expedits amb la condició de revocats, elimina la revocació dels certificats en comprovarne la identitat.
  8. Recomanam aplicar polítiques de certificate pinning, que es basen a extremar les mesures de protecció a l’hora d’acceptar un certificat digital en una connexió segura. L’objectiu és millorar la seguretat davant d’atacs d’intercepció (maninthemiddle attack, és a dir, ‘atac d’intermediari’), que consisteix en un atac en el qual s’adquireix la capacitat de llegir, inserir i modificar a voluntat els missatges entre dues parts sense que cap d’elles conegui que l’enllaç ha estat violat.
  9. Quan navegueu, evitau els enllaços sospitosos i accedir a llocs web de reputació dubtosa.
  10. Si descarregau alguna aplicació, assegurauvos que ho feis des d’un web oficial, ja que molts llocs simulen oferir programes populars que han estat alterats, modificats o suplantats per versions que contenen algun tipus de programari maliciós (malware) i descarreguen el codi en el moment en què l’usuari l’instal·la en el sistema.

 

Des d’aquest enllaç podeu accedir a l’informe “Buenas Prácticas BP06/16”, del CCNCERT, sobre navegadors web.