Seguridad del navegador web: descripción general (ITSAP.40.017)
Casi cualquier dispositivo informático que utilice hoy en día tiene al menos un navegador web instalado. Por lo tanto, es extremadamente importante asegurarse de que estén seguros. Proteger su navegador implica no sólo configurar los ajustes de seguridad, sino también comprender la forma en que funcionan ciertos protocolos web. Al hacerlo, puede ayudar a mantener sus datos y sistemas informáticos a salvo de los actores de amenazas.
Esta publicación destaca algunas comunicaciones web clave y cómo se utilizan para proteger su información personal.
En esta página
Protocolos de comunicaciones
Los protocolos son conjuntos de reglas que permiten que varios dispositivos se comuniquen y transmitan datos entre sí. Estas reglas definen el tipo de datos que se pueden enviar, la estructura de la información y cómo la recibirá cada dispositivo.
Actualmente se utilizan muchos protocolos de comunicación. Algunos comunes incluyen:
- Seguridad de la capa de transporte (TLS)
- Protocolo de transferencia de hipertexto (HTTP)
- Protocolo seguro de transferencia de hipertexto (HTTPS)
certificado TLS
TLS es un protocolo que protege los datos que se envían a través de Internet. TLS garantiza que los actores de amenazas no puedan ver lo que usted transmite, como sus contraseñas o números de tarjetas de crédito. TLS autentica servidores web a través de un certificado emitido por una entidad confiable llamada autoridad de certificación. El certificado vincula una clave criptográfica a la dirección de dominio del servidor web. Usando esta clave criptográfica, TLS emplea cifrado para garantizar que los datos se transfieran de forma segura entre el servidor web y su navegador.
HTTP
HTTP Se utiliza para transferir datos a través de una red. HTTP no proporciona ninguna seguridad. Por lo tanto, sus datos están en texto plano y pueden ser monitoreados en cualquier punto de la ruta de transmisión de la red entre el servidor web y su navegador.
HTTPS
HTTPS usos TLS cifrar los datos enviados y recibidos en una red. Cuando esté en uso, HTTPS Puede aparecer como un icono de candado al principio de la barra de direcciones del navegador web en algunos navegadores.
HTTPS cifra el contenido para garantizar la privacidad y lo autentica para que no pueda modificarse. A pesar de HTTPS es más seguro que HTTP aún puede ser susceptible a ataques de adversario en el medio (AitM).
La eliminación de TLS es una AitM técnica utilizada por un actor malicioso cuando es segura HTTPS las conexiones se convierten en no seguras HTTP conexiones. Los navegadores web pueden advertir a los usuarios si HTTPS es rechazado y degradado a HTTP y darles la opción de terminar la conexión.
la presencia de HTTPS En sí mismo no es una garantía de que un sitio sea legítimo. Los actores de amenazas sofisticados pueden falsificar un sitio web fabricando la apariencia de un sitio seguro para engañarlo para que ingrese información personal. Se recomienda a los usuarios que observen detenidamente la dirección web para asegurarse de que sea el dominio esperado del sitio web deseado.
HSTS
HTTPS Strict Transport Security (HSTS) es una herramienta de política de seguridad web que obliga al navegador a cargar la versión segura de un sitio web e ignora cualquier intento de redirección a un sitio no seguro. HTTP sitio web. HSTS es una configuración del lado del servidor. Puede evitar la eliminación de TLS.
Política de seguridad de contenidos
La Política de seguridad de contenido (CSP) es un estándar de seguridad de navegador web ampliamente admitido que detecta y reduce ciertos tipos de ataques, como secuencias de comandos entre sitios e inyección de código. Estos ataques pueden provocar el robo de datos, la destrucción de sitios web o la distribución de malware.
para implementar CSP los desarrolladores de sitios web elaboran listas de orígenes aprobados para todo el contenido que un navegador puede cargar para un sitio web específico. En otras palabras, qué contenido puede cargar el navegador y desde dónde se puede cargar el contenido. El contenido puede incluir:
- javascript
- Hojas de estilo en cascada (CSS)
- archivos HTML
- fuentes
- archivos de imagen, audio y video
Píxeles de seguimiento
Los píxeles de seguimiento son imágenes diminutas, de 1×1 píxel de tamaño, que están incrustadas en el HTML de páginas web, anuncios y correos electrónicos. Esta pequeña imagen está alojada en un servidor y recopila información sobre el usuario cuando navega por la página web. Por lo general, las empresas los utilizan para mejorar los esfuerzos publicitarios al recopilar información sobre los intereses y hábitos de las personas para crear anuncios dirigidos.
Los píxeles de seguimiento del navegador pueden hacer lo siguiente:
- Recopile información de ubicación, como direcciones IP.
- Determinar si ha realizado una determinada acción en una página web, como registrarse en una lista de correo
- Seguimiento de páginas vistas, clics y redirecciones
- Determinar el tipo de dispositivo del usuario y el sistema operativo
Uno de los principales problemas del seguimiento de píxeles es la privacidad. A menudo recopilan datos sin el conocimiento o consentimiento de los usuarios y los envían a su servidor local. Los píxeles de seguimiento también son vulnerables a las fugas de datos si la información no se elimina correctamente de la información personal e identificable antes de transmitirla al servidor. Las páginas web deben revelar que utilizan píxeles de seguimiento y brindar al usuario la opción de optar por no participar. Consulte la siguiente sección sobre extensiones y complementos para obtener consejos de mitigación.
galletas de internet
Al igual que los píxeles de seguimiento, las cookies también recopilan y almacenan información sobre los usuarios y sus hábitos en línea. Esta información se almacena en el archivo del navegador web.
Las cookies pueden ayudar a mejorar la experiencia del usuario, como permanecer conectado a un minorista para actualizar los artículos en su carrito. También se pueden utilizar para mejorar los esfuerzos publicitarios, ya que realizan un seguimiento de quién visita una página web y cómo interactúa con contenido en línea específico. Algunas cookies son necesarias para la funcionalidad del sitio web, ya que ayudan a autenticar y administrar la sesión del usuario. Los usuarios pueden desactivar otras cookies, como las cookies publicitarias.
Sin embargo, las cookies pueden ser vulnerables al envenenamiento o la piratería. Los actores de amenazas pueden utilizar cookies para hacerse pasar por usuarios y robar información confidencial. Es una buena práctica permitir solo cookies funcionales.
Mejores prácticas para el seguimiento de píxeles y cookies de Internet
- Permitir solo cookies necesarias y funcionales
- Realice análisis regulares de malware
Complementos y extensiones del navegador web
Muchas extensiones y complementos del navegador afirman mejorar la privacidad y la ciberseguridad. Pueden hacer cosas desde bloquear anuncios y administrar contraseñas hasta generar cupones cuando compran en línea. Pueden permitir al usuario personalizar su experiencia de navegador prácticamente de cualquier forma. Todo el tiempo se crean nuevos complementos y extensiones. Algunos se pagan y otros son gratuitos. Algunas son creadas por empresas legítimas y otras no.
Las extensiones y complementos reciben ciertas autorizaciones dentro del navegador que pueden ser explotadas por actores de amenazas. Pueden solicitar permiso para recopilar toda la información que ve el navegador, incluidas contraseñas y pulsaciones de teclas. Algunas extensiones pueden incluir malware en secreto en su código, lo que podría afectar su dispositivo tan pronto como lo descargue. Cuantas menos extensiones tengas en tu dispositivo, mejor.
Mejores prácticas para complementos y extensiones
- Descargue solo desde sitios oficiales y confiables
- Revisar permisos antes de aceptar
- Lea las reseñas de otros usuarios antes de instalar
Configuración de seguridad para su navegador web
A menudo, el navegador instalado en su dispositivo funciona utilizando únicamente la configuración de seguridad predeterminada. Para proteger su navegador, debe:
- bloquear las cookies de terceros para no ser rastreados
- bloquear ventanas emergentes
- realizar actualizaciones automáticas
- Evite guardar contraseñas dentro del propio navegador.
- permitir java sólo cuando sea necesario
- asegúrese de verificar la configuración de su navegador antes de navegar fuera de la intranet administrada de su organización (por ejemplo, ¿tiene activado el modo IE en Microsoft Edge)?
Si está configurando un sitio web, le recomendamos que:
- publicar servicios usando solo HTTPS
- redirigir a los usuarios desde el HTTP versión de sus servicios al HTTPS opción
- Utilice el software TLS más reciente y parcheelo periódicamente.
- permitir HSTS para asegurar las conexiones a su servicio
Acciones de seguridad para tu ordenador
Proteger su computadora va de la mano con proteger su navegador. Algunas acciones simples que puede realizar para proteger su computadora incluyen:
- Usar contraseñas seguras y únicas para iniciar sesión.
- instalar y ejecutar software antivirus y antimalware
- habilitar actualizaciones automáticas de software cuando estén disponibles
- Adoptar el principio de privilegio mínimo para sus cuentas de usuario.
- evitar comportamientos riesgosos en línea
- hacer una copia de seguridad de sus datos periódicamente
- Filtrar URL en su firewall
Recomendaciones de seguridad del navegador web para su organización
- Determinar sitios confiables y restringidos
- Validar la confiabilidad de los bloqueadores de anuncios o complementos de terceros
- Verifique los permisos para determinar el nivel de privilegio
- Utilice un navegador web estándar en toda su organización
- Permitir solo cookies funcionales
- Educar al personal sobre las ventanas emergentes, las cookies y las vulnerabilidades del navegador web.
- Actualice el software antimalware periódicamente e instale un firewall
- Revisar periódicamente los dispositivos periféricos en busca de productos obsoletos.