MundoInformática » Seguridad en IE: Mejora o amenaza para la seguridad

Tiempo estimado de lectura 3:54 min. rellotge

Seguridad en IE: Mejora o amenaza para la seguridad

Internet Explorer, la gran “e” azul que reina en los escritorios Windows de millones de usuarios, no es el único programa para navegar por Internet.

Es un cliente web más, creado por Microsoft, pero pocos se aventuran a utilizar otro, puesto que la compañía de Bill Gates decidió, hace tiempo, integrarlo en su sistema operativo “de serie” evitando que el usuario se plantee siquiera usar alternativas que sin duda son mucho mejores.

Pero existen muchos más navegadores, y casi todos con innumerables ventajas frente al nefasto IE. No sólo en el aspecto de la seguridad, del que hablaré en breve, sino por la simple comodidad de uso. IE (Internet Explorer) no permite (como casi todos los productos de Microsoft) demasiada flexibilidad en su trato. Es muy poco configurable, más bien lento, y muy poco atractivo estéticamente. Casi todos los productos alternativos, por ejemplo, permiten el bloqueo automático de las molestas ventanas emergentes que inundan nuestra pantalla mientras intentamos navegar tranquilamente. Sólo marcar una opción y adiós a los anuncios de “Casino Online”. Internet Explorer no, eso sería un suicidio para muchos anunciantes que confían en la mayoría de usuarios de IE como potenciales clientes. Pero parece ser que esto será solventado en el Service Pack 2 para Windows XP que Microsoft está desarrollando. “Puedo confirmar que SP2 incluirá una actualización de IE, que incorporará una función de bloqueo de pop-ups”, dijo Darin Linnman, portavoz de Microsoft. Habrá que esperar a que sea una realidad para poder comprobarlo, y el impacto en la publicidad online que esto puede acarrear.

El gestor de descarga de IE es de lo peor que se puede encontrar en un navegador. No permite “resumir” (volver a retomar el archivo tras una caída de la conexión) las descargas (esto sólo es posible con programas de terceros como GetRight) y no comienza a descagar hasta que no se ha elegido el lugar donde almacenarlo en el disco duro. El navegador Opera, por ejemplo, permite detener y retomar un archivo cuando se está descargando, y antes de darle nombre al fichero o decidir en qué directorio almacenarlo, ya comienza a descargar, ganando así un tiempo precioso de bajada. También casi todos los navegadores incluyen una barra donde se puede observar la velocidad de navegación, que permite comprobar si efectivamente la conexión se ha bloqueado o es que va demasiado lenta. Las alternativas también nos dejan bloquear imágenes fácilmente, etc, etc. Y lo mejor, es que la mayoría son gratuitos.

No pasa un sólo mes que IE no anuncie serios problemas de seguridad. Y con serios me refiero a problemas que ponen realmente en peligro tu ordenador. De hecho, los que no tengan su sistema actualizado, pueden descargar y ejecutar un programa simplemente por el hecho de navegar por una página. Existen decenas de formas de preparar una página que si es vista por este navegador, haga que el sistema que colgado y sea necesario reiniciar…

Muchos se preguntan cómo demonios ha llegado ese icono que promonciona pornografía a su escritorio, o de dónde salen aplicaciones extrañas que él nunca instaló. De dónde llegan todas esas claves extrañas al registro y por qué es tan complicado deshacerse de ellas. En la mayoría de los casos, la culpa la tiene el propio navegador IE, que gracias a unas políticas de seguridad excesivamente relajadas, permite que, con unos sencillos trucos, los dueños de las páginas puedan instalar código, manipular el registro y hacerte pasar por un 806 para que navegues por “su red interna” con la consecuente sorpresa en la factura del teléfono.

Por poner algunos ejemplos de entre cientos a escoger, relataré algunas de las últimas vulnerabilidades.

En Octubre de 2003, el CERT tuvo que alertar sobre la creciente popularidad del exploit necesario para una vulnerabilidad descubierta en Agosto relacionada con la etiqueta OBJECT del lenguaje HTML. Estaba siendo usado para descargar código malicioso en las víctimas, y a partir de ahí, usarlos como clientes de un ataque masivo de denegación de servicio o conectarlos silenciosamente a teléfonos de tarificación especial.

En Mayo, supimos que se había detectado una vulnerabilidad en Internet Explorer 6, que puede
ser empleada para evitar las restricciones de seguridad del navegador y comprometer el sistema. Era posible forzar al navegador del usuario para descargar de forma automática e instalar cualqueir programa si se convece al que el usuario de que visite una página modificada con múltiples “frames” que referencien a un archivo ejecutable.

Y en Diciembre, se nos comunicaba que era posible retocar manualmente un enlace, camuflándolo de tal manera que el usuario no fuera capaz de detectar hacia dónde se dirigía. Si esto se utilizaba para redirigir a los incautos hacia enlaces especialmente manipulados aprovechando las vulnerabiladades anteriores, se podía engañar a miles de usuarios para instalar código en su máquina, sin que puediese darse cuenta a simple vista.

Por si a alguien le pica la curiosidad, y decide descargar un software alternativo para poder navegar seguro, presento algunos enlaces desde los que podrá “pasarse al otro lado” (aunque siga usando Windows, la mayoría están disponibles para ambas plataformas):

Opera (www.opera.com) Excelente en funcionalidad y velocidad. Existe una versión gratuita, a cambio de un poco de publicidad no intrusiva. Una excelente opción muy segura.

Mozilla: www.mozilla.org. Muy buen navegador, seguro, eficiente y gratuito. Se usa mucho en entornos de código abierto.

Kopassa: (www.kopassa.com) Un navegador que previsualiza páginas Web antes de abrirlas, gratuito.

k-Meleon: (kmeleon.sourceforge.net) Un navegador ligero, rápido y con interesantes funciones adicionales, también gratuito.