Facultad de Ciencias Fisicas y matematicas

CLCERT-CN05-001

Evaluando la Configuración de Seguridad de tu Navegador Web

Fecha: 05/01/2005

Resumen:
    Chequee la configuración de seguridad en su navegador de paginas web para asegurarse de que está a un nivel apropiado. Mientras que el incrementar la seguridad puede afectar la funcionalidad de ciertos sitios web, a su vez, puede prevenirle de ser atacado.

¿Por qué la configuración de seguridad del navegador es importante?

Su navegador web es su conexión primaria hacia el resto de Internet, y múltiples aplicaciones pueden confiar en él para funcionar, incluyendo algunos elementos dentro de su mismo navegador. Esto hace a las configuraciones de seguridad internas de su navegador incluso más importantes. Muchas aplicaciones web tratan de mejorar su experiencia de navegación en Internet, habilitando diferentes tipos de funcionalidades; sin embargo, algunas de ellas pueden ser innecesarias y pueden dejarlo susceptible a algunos ataques. La política más segura consiste en deshabilitar la mayoría de esas funcionalidades a menos que Ud. decida que son necesarias. Adicionalmente, si Ud. determina que un sitio es digno de confianza, puede escoger activar temporalmente esas funcionalidades y deshabilitarlas una vez que finalice la visita de dicho sitio.

¿Dónde puedo encontrar la configuración de seguridad?

Cada navegador es diferente, así que debe buscar entre los menús y opciones. Por ejemplo, en Internet Explorer, puede encontrarlos al hacer click sobre Herramientas en la barra de menú, seleccionando Opciones de Internet..., y posteriormente escogiendo la pestaña Seguridad, y luego el botón Nivel personalizado. Sin embargo, en el navegador Mozilla, debe dirigirse al menú Edición, seleccionar Preferencias... y hacer click sobre el símbolo + al lado de Privacidad y Seguridad para explorar las diversas opciones. Los navegadores tienen diferentes opciones de seguridad y configuraciones, así que familiarícese con las opciones del menú, revise las opciones de ayuda, o bien, vea las referencias en el sitio web oficial del navegador.

Mientras que cada aplicación tiene configuraciones que son seleccionadas por defecto, usted podría descubrir que su navegador además tiene predefinidos niveles de seguridad que usted puede seleccionar. Por ejemplo, Internet Explorer ofrece configuraciones personalizadas que le permiten a usted seleccionar un nivel particular de seguridad; las diferentes características son habilitadas o deshabilitadas según su selección. Incluso con estas guías, es de gran ayuda tener conocimiento de cual es el significado de los diferentes términos asociados, de tal manera que usted pueda evaluar las características para determinar cuales configuraciones son apropiadas para usted.

¿Cómo saber cuáles opciones de seguridad debería tener?

Idealmente, debería escoger las opciones de seguridad del mayor nivel posible. Sin embargo, restringir ciertas características puede limitar el funcionamiento adecuado de algunas páginas web, o incluso evitar que se carguen. La mejor forma de encarar esto es adoptar el mayor nivel de seguridad y habilitar más opciones sólo cuando lo requiera.

¿Qué significan los diferentes términos usados en estas configuraciones?

Los diferentes browsers usan diferentes términos, sin embargo algunos de los más comunes que puede encontrar son:

  • Zonas - Su navegador puede darle la opción de clasificar los sitios web en diferentes segmentos o zonas, y permitir que usted defina diferentes restricciones de seguridad para cada una de ellas.
  • Por ejemplo, Internet Explorer identifica las siguientes zonas:

    • Internet - Esta es la zona general para todos los sitios web públicos. Cuando usted navega por Internet, la configuración de esta zona es aplicada a los sitios que Ud. visita. Para brindarle la mejor protección mientras navega, Ud. debe configurar la seguridad al máximo nivel, o al menos, mantener un nivel intermedio.
    • Intranet local - Si Ud. está en una oficina que tiene su propia intranet, esta zona contiene esas páginas internas. Debido a que el contenido del sitio web es mantenido en un servidor interno, es usualmente seguro mantener una configuración menos restrictiva para esas páginas. Sin embargo, algunos virus han logrado afectar navegadores con este nivel de protección, así que preocúpese de qué sitios son listados y cuales privilegios le son asignados.
    • Sitios de confianza - Si Ud. cree que ciertos son diseñados con buen criterio de seguridad, y siente que su contenido es confiable y no contiene material malicioso, Ud. los puede agregar a sus sitios de confianza y aplicar la configuración de acuerdo a ello. Ud. quizás requiera que sólo sitios que implementan Secure Sockets Layer (SSL) estén activos en esta zona. Esto le permitirá verificar que el sitio que Ud. visita es el sitio que realmente dice ser. (vea Protegiendo su Privacidad para mayor información). Esta es una zona opcional pero puede ser usada si Ud. mantiene múltiples sitios web o si su organización tiene múltiples sitios. Aun si Ud. confía en ellos, evite aplicar niveles bajos de seguridad a sitios externos - si ellos son atacados, usted se puede convertir también en víctima.
    • Sitios restringidos - Si hay sitios particulares que usted cree que son inseguros, puede identificarlos y definir el más alto nivel de seguridad en su configuración. Sin embargo, dado que dicha configuración podría ser insuficiente para protegerlo, la mejor precaución es evitar navegar por sitios que usted considere inseguros.
  • JavaScript - Algunos sitios web confían en web scripts tales como JavaScript para alcanzar un cierto nivel de apariencia o funcionalidad, pero estos scripts pueden ser usados en un ataque (vea Navegar con seguridad: ¿Cómo entender contenido activo y cookies? para más información).
  • Java y ActiveX - Estos programas son usados para desarrollar o ejecutar contenido activo que provee algunas funcionalidades, pero que lo pueden poner en riesgo (vea Navegar con seguridad: ¿Cómo entender contenido activo y cookies? para más información).
  • Plug-ins - Algunas veces los navegadores requieren la instalación de software adicional conocidos como plug-ins, que proveen funcionalidad adicional. Tal como los controles de Java y ActiveX, los plugs-in pueden ser usados en un ataque, así que antes de instalarlos, asegurese de que sean necesarios, y de que el sitio desde el que los descargas es confiable.

Es posible que encuentre opciones que le permitan tomar las siguientes medidas de seguridad:

  • Administración de cookies - Ud. puede deshabilitar, restringir, o permitir las cookies como apropiadas. Generalmente, es mejor deshabilitar las cookies y luego habilitarlas si usted visita un sitio confiable que las requiera (vea Navegar con seguridad: ¿Cómo entender contenido activo y cookies? para más información).
  • Bloquear ventanas pop-up - Aunque habilitar esta opción puede restringir la funcionalidad de ciertos sitios web, también minimiza el número de ventanas que aparecerán en su computador, algunas de las cuales pueden ser maliciosas (vea Reconociendo y Evitando los Spyware para más información).

Autor: Mindi McDowell, Jason Rafail

Copyright: Traducción de "Evaluating Your Web Browser's Security Settings " , Copyright 2004 de Carnegie Mellon University, con permiso del Software Engineering Institute (SEI).

La fidelidad de la traducción, así como la interpretación del documento original son de responsabilidad del CLCERT. El SEI no ha tenido participación en la traducción.

Traducción: por Eduardo Rodríguez, el 03/03/2006

Versión original en inglés: http://www.us-cert.gov/cas/tips/ST05-001.html