| Artículos | 01 NOV 2004

Cómo mejorar la protección de Internet Explorer

Tags: Histórico
Jorge E. Rodríguez.
Internet Explorer es, hoy por hoy, el explorador más utilizado para acceder a Internet. ¿Sabría cómo mejorar su seguridad? La respuesta no sólo pasa por emplear programas desarrollados por terceros o por instalar nuevos parches, la solución está implícita en el propio Internet Explorer.

Si usted es un asiduo usuario de Internet Explorer habrá experimentado personalmente los inconvenientes del empleo de este navegador de Internet: nuevas ventanas que se abren solas, instalación de programas o aplicaciones no solicitadas (por ejemplo, los famosos spyware), recogida de información del usuario mediante cookies e, incluso, transmisión de virus o control completo de su ordenador por parte de usuarios que no han sido invitados a la “fiesta”. Además de contar con un buen antivirus instalado o un programa que impida la instalación de software del tipo spyware (por ejemplo, el programa Spy Sweeper que podrá encontrar en www.spysweeper.com. véase Figura 1), Internet Explorer dispone de una serie de opciones que le permitirán configurar y mejorar la seguridad de este navegador.
Sin embargo, antes de entrar a analizar estas opciones debemos repasar cuáles son los mecanismos que los amigos de lo ajeno suelen utilizar para atacar y, en ocasiones, conquistar nuestro explorador de Internet y, como consecuencia, nuestro PC.

Elementos que pueden ser utilizados en nuestra contra
A continuación vamos a describir brevemente los cuatro elementos más utilizados por las páginas web para transmitir información entre el usuario y el servidor web (en ambas direcciones) y para dotarlas de ese carácter dinámico y multimedia (movimiento, sonido, etc.) que tanto éxito ha dado al servicio World Wide Web.
Estos cuatro elementos son: cookies, archivos de comandos (scripts), aplicaciones Java (Java Applets) y controles ActiveX. Vamos a describir estos elementos de menor a mayor índice de peligrosidad: las cookies introducen menos riesgos que los scripts, estos a su vez son menos peligrosos que las aplicaciones Java y, finalmente, todos ellos son hermanas de la caridad si los comparamos con los controles ActiveX.
Cookies: son bloques de datos que los servidores web almacenan en los PC de los usuarios. Cuando el usuario se vuelve a conectar al mismo servidor web el explorador envía una copia de la cookie almacenada en el PC del usuario al servidor web. Las cookies se utilizan para identificar a los usuarios, enviar información sobre su cuenta, preferencias, etc. No suelen ser perjudiciales pero, en ocasiones, envían más información de la que sería deseable.
Secuencias de comandos: las secuencias de comandos o scripts son programas que pueden introducirse directamente en una página web o que se pueden llamar utilizando la etiqueta <script> del lenguaje HTML. Los scripts se escriben en lenguajes especiales de secuencia de comandos que se interpretan línea por línea en tiempo de ejecución. Internet Explorer permite el empleo de dos de estos lenguajes de programación: VBScript y JScript. Los scripts pueden almacenarse como archivos independientes (con extensión .vbs) y contener virus que se envían como anexos de mensajes de correo electrónico. También se pueden utilizar para extraer datos del usuario y enviarlos a determinados sitios web o para realizar otros tipos de ataque como los denominados “acceso no autorizado de datos de dominio cruzado”. En cualquier caso estos riesgos son bajos y en la mayoría de las ocasiones las páginas web utilizan scripts con propósitos útiles y beneficiosos. Si no se fía totalmente de los scripts, en lugar de desactivarlos podrá hacer que Internet Explorer le pida su consentimiento antes de descargarlos.
Aplicaciones Java (Java Applets): son componentes escritos en Java que se ejecutan dentro de una “máquina virtual” (VM) ya que no son código nativo de Windows. Las aplicaciones Java no tienen acceso ilimitado a los recursos de su ordenador como ocurre con los controles ActiveX. Se ejecutan en un área restringida de la memoria denominada “sandbox” (caja de arena). Aquí sólo podrán: acceder a subprocesos que pertenezcan al contexto actual de ejecución, abrir conexiones de red al host de la aplicación Java para que ésta pueda descargar archivos adicionales, mostrar ventanas emergentes, leer las propiedades básicas del sistema (por ejemplo, tipo de procesador, número de la versión de Java, sistema operativo, fabricante de la VM, etc.). En cualquier caso, los peligros asociados están más limitados que en el caso de los controles ActiveX. Para garantizar la bondad de las aplicaciones Java se utiliza un sistema de firmas que especifican los permisos que requiere la aplicación Java. Si estos permisos requeridos exceden los permitidos en la configuración de seguridad que haya definido en Internet Explorer no se podrán ejecutar estas aplicaciones Java, o bien se le preguntará al usuario si desea ejecutarlas.
Controles ActiveX: pequeños programas que se introducen en algunas páginas web para producir animación, movimiento, objetos interactivos y otros efectos multimedia. El problema es que utilizando controles ActiveX el atacante puede introducir en nuestro PC virus, troyanos u otros elementos indeseables. Los controles ActiveX son programas nativos de Windows que pueden efectuar cualquier operación con el único límite de los permisos que tenga asociada la cuenta del usuario bajo la que se ejecutan (por ello resulta adecuado conectarse siempre a Internet utilizando una cuenta que no sea la del Administrador de nuestro PC). De esta forma, el control ActiveX que descargue podrá tener pleno acceso al sistema de archivos, al registro y a su hardware. Una vez descargados, estos controles ActiveX se pueden ejecutar de forma automática o ser activados mediante un código almacenado en cualquier otro lugar, como un archivo de comandos ubicado en una página web indeseable. Por supuesto, no todos los controles ActiveX son malos, bien al contrario, permiten que Internet sea lo que es en la actualidad. Sin embargo, tendremos que valorar los riesgos antes de descargar un control ActiveX. Microsoft utiliza una técnica de firma digital, denominada Authenticode, para distinguir la autenticidad e integridad de los controles. Esta firma digital garantiza que el control proviene realmente de donde dice venir y que no ha sido modificado malévolamente por el camino.
¿Qué elementos hostiles pueden instalarse en nuestro ordenador si Internet Explorer se encuentra mal configurado y, por tanto, estamos realizando una mala gestión de los cookies, scripts, Java applets y controles ActiveX? Además de los virus, cuyo análisis no vamos a introducir aquí pues ya son de sobra conocidos, una mala configuración de Internet Explorer puede derivar en que nuestro ordenador sea un hervidero de spyware, cookies de seguimiento, adware, monitores del sistema y troyanos.

Reglas de oro para mejorar la seguridad de Internet Explorer
No existen reglas magistrales que garanticen que Internet Explorer, y por tanto su PC, se vaya a ver libre de todos estos peligros, aunque sí podrá tomar algunas medidas para dificultar la labor a los hackers malintencionados. Veamos algunas de carácter general:
1. Utilice siempre la última versión de los productos instalados ya que no sólo dispondrán de más y mejores funciones que le ayudarán en su trabajo sino que, además, suelen resolver las lagunas de seguridad descub

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información