En un mundo perfecto, no habría forma de que su computadora se infectara a través de su navegador. Se supone que los navegadores ejecutan páginas web en una caja de arena poco confiable, aislándolas del resto de su computadora. Desafortunadamente, esto no siempre sucede.
Los sitios web pueden utilizar agujeros de seguridad en los navegadores o complementos del navegador para evadir estos entornos sandbox. Los sitios web maliciosos también intentarán utilizar tácticas de ingeniería social para engañarlo.
Complementos de navegador no seguros
La mayoría de las personas comprometidas a través de los navegadores se ven comprometidas a través de los complementos de sus navegadores. Java de Oracle es el peor y más peligroso culpable. Apple y Facebook comprometieron recientemente las computadoras internas porque accedieron a sitios web que contenían subprogramas Java maliciosos. Sus complementos de Java podrían haber estado completamente actualizados, eso no importaría, ya que las últimas versiones de Java aún contienen vulnerabilidades de seguridad sin parches.
Para protegerse, debe desinstalar completamente Java. Si no puede porque necesita Java para una aplicación de escritorio como Minecraft, al menos debería desactivar el complemento del navegador Java para protegerse.
Otros complementos del navegador, en particular los complementos de Adobe Flash Player y PDF Reader, también tienen que corregir regularmente las vulnerabilidades de seguridad. Adobe se ha vuelto mejor que Oracle para responder a estos problemas y corregir sus complementos, pero todavía es común escuchar que se está explotando una nueva vulnerabilidad de Flash.
Los complementos son objetivos jugosos. Las vulnerabilidades de los complementos se pueden explotar en todos los navegadores diferentes con el complemento en todos los sistemas operativos diferentes. Se podría usar una vulnerabilidad de complemento de Flash para explotar Chrome, Firefox o Internet Explorer en Windows, Linux o Mac.
Para protegerse de las vulnerabilidades de los complementos, haga lo siguiente:
- Utilice un sitio web como Comprobando los complementos de Firefox para ver si tiene algún complemento desactualizado. (Este sitio web fue creado por Mozilla, pero también funciona con Chrome y otros navegadores).
- Actualice todos los complementos obsoletos de inmediato. Manténgalos actualizados asegurándose de que las actualizaciones automáticas estén activadas para cada complemento que haya instalado.
- Desinstale los complementos que no esté utilizando. Si no está utilizando el complemento de Java, no debería tenerlo instalado. Esto ayuda a reducir su «superficie de ataque»: la cantidad de software que su computadora tiene disponible para operar.
- Considere usar la función de complementos de hacer clic para reproducir en Chrome o Firefox, que evita que los complementos se ejecuten, excepto cuando los solicite específicamente.
- Asegúrate de estar usando un antivirus en tu computadora. Esta es la última línea de defensa contra una vulnerabilidad de día cero (una vulnerabilidad nueva sin parchear) en un complemento que permite a un atacante instalar software malicioso en su máquina.
Agujeros de seguridad del navegador
Los agujeros de seguridad en los navegadores web también pueden permitir que sitios web maliciosos pongan en peligro su computadora. Los navegadores web han limpiado en gran medida su ley, y los agujeros de seguridad de los complementos son la principal fuente de compromiso en la actualidad.
Sin embargo, debe mantener actualizado su navegador. Si está utilizando una versión anterior sin parches de Internet Explorer 6 y visita un sitio web de menor reputación, el sitio web podría aprovechar los agujeros de seguridad en su navegador para instalar malware sin su permiso.
Protegerse de las vulnerabilidades de seguridad del navegador es simple:
- Mantenga actualizado su navegador web. Todos los principales navegadores ahora buscan actualizaciones automáticamente. Deje la función de actualización automática habilitada para mantenerse protegido. (Internet Explorer se actualiza a sí mismo a través de Windows Update. Si está utilizando Internet Explorer, es muy importante mantenerse actualizado sobre las actualizaciones de Windows).
- Asegúrate de correr un antivirus en tu ordenador. Al igual que con los complementos, esta es la última línea de defensa contra una vulnerabilidad de día cero en un navegador que permite que el malware ingrese a su computadora.
Consejos de ingeniería social
Las páginas web maliciosas intentan engañarlo para que descargue y ejecute malware. A menudo hacen esto usando «ingeniería social»; en otras palabras, están tratando de comprometer su sistema convenciéndolo de que los deje entrar con falsos pretextos, no comprometiendo su navegador o los complementos en sí.
Este tipo de compromiso no se limita solo a su navegador web: los correos electrónicos maliciosos también pueden intentar engañarlo para que abra archivos adjuntos peligrosos o descargue archivos peligrosos. Sin embargo, muchas personas están infectadas con todo, desde adware desagradable y barras de herramientas del navegador hasta virus y troyanos a través de trucos de ingeniería social que tienen lugar en sus navegadores.
- Controles ActiveX: Internet Explorer utiliza controles ActiveX para los complementos de su navegador. Cualquier sitio web puede invitarlo a descargar un control ActiveX. Esto puede ser legítimo; por ejemplo, es posible que deba descargar el control ActiveX de Flash Player la primera vez que reproduce un video Flash en línea. Sin embargo, los controles ActiveX son como cualquier otro software en su sistema y tienen permiso para salir del navegador web y acceder al resto de su sistema. Un sitio web malicioso que empuja un control ActiveX peligroso puede decir que el control es necesario para acceder a cierto contenido, pero en realidad puede existir para infectar su computadora. En caso de duda, no acepte ejecutar un control ActiveX.
- Carga automática de archivos: Un sitio web malicioso puede intentar descargar automáticamente un archivo EXE u otro tipo de archivo peligroso en su computadora con la esperanza de que lo ejecute. Si no ha solicitado específicamente una descarga y no sabe qué es, no descargue un archivo que aparece automáticamente y le pregunta dónde guardarlo.
- Enlaces de descarga falsos: En sitios web con malas redes publicitarias, o sitios web con contenido pirateado, a menudo verá anuncios que imitan los botones de descarga. Estos anuncios intentan engañar a las personas para que descarguen algo que no están buscando haciéndose pasar por un enlace de descarga real. Es muy probable que enlaces como este contengan malware.
- «Necesitas un complemento para ver este video»: Si encuentra un sitio web que dice que necesita instalar un nuevo complemento de navegador o códec para reproducir un video, tenga cuidado. Es posible que necesite un nuevo complemento de navegador para algunas cosas, por ejemplo, necesita el complemento Silverlight de Microsoft para reproducir videos en Netflix, pero si se encuentra en un sitio web de menor reputación que desea que descargue y ejecute el archivo exe para que puede reproducir sus videos, lo más probable es que estén tratando de infectar su computadora con malware.
- «Tu computadora está infectada»: Puede ver anuncios que dicen que su computadora está infectada e insisten en que necesita descargar un archivo EXE para limpiar las cosas. Si descarga este archivo EXE y lo ejecuta, lo más probable es que su computadora esté infectada.
Esta lista no es exhaustiva. La gente malvada busca constantemente nuevas formas de engañar a la gente.
Como siempre, ejecutar un antivirus puede ayudarlo a protegerse si descarga accidentalmente malware.
Éstas son las formas en las que el usuario medio de ordenadores (e incluso los empleados de Facebook y Apple) consiguen que sus ordenadores «pirateen» a través de sus navegadores. El conocimiento es poder y esta información debería ayudarlo a protegerse en línea.