Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

Pruebe la seguridad de su navegador para detectar vulnerabilidades

seguridad del navegador
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

¿Exactamente qué tan seguro es su navegador? ¿Cuánta información se puede extraer de su perfil de navegación en línea?

¿Por qué parece ver anuncios relacionados con cosas que ha buscado, comprado recientemente o sobre lo que ha leído?

¿Cuál es el costo de tener tu perfil completamente expuesto?

¿Cómo puede proteger mejor su privacidad en línea?

Estas y más preguntas son las que este artículo espera ayudarlo a responder y brindarle formas en las que puede proteger mejor su privacidad en línea.

Es importante tener en cuenta que las empresas que fabrican los navegadores que utilizamos con más frecuencia, como Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Intente proteger a los usuarios tanto como sea posible. y su información personal al utilizar estos productos.

Por lo tanto, este artículo no tiene como objetivo socavar esos esfuerzos, sino ayudarlo a que el usuario tome decisiones informadas al usar estos y otros navegadores para diversas actividades.

Internet es nuestra puerta de entrada al mundo, para ayudarnos a llegar a cualquier lugar virtualmente en busca de información, comercio, negocios, comunicaciones y todas las demás necesidades y necesidades. De ahí la necesidad de asegurarnos como lo haríamos normalmente en el mundo real, ya que no todo el mundo en Internet tiene intenciones honestas.

Internet

Mientras puedas tener antivirus en su computadora, que bloquean todo tipo de malware informático, su navegador también puede ser vulnerable. Analicemos en profundidad algunas posibles vulnerabilidades.

XSS (secuencia de comandos entre sitios)

Las secuencias de comandos entre sitios se pueden describir simplemente como código de inyección (generalmente, código Javascript). El objetivo de este tipo de ataque es comprometer la seguridad de una aplicación web a través del cliente (principalmente a través de navegadores). Los atacantes pretenden utilizar este tipo de ataque para explotar validaciones débiles y la falta de política de seguridad de contenido (CSP) en algunas aplicaciones web.

Hay diferentes tipos de XSS; echemos un vistazo más de cerca a qué son y cómo se pueden utilizar.

XSS reflejado

Este es un tipo muy común de XSS que se usa para trabajar con el lado del cliente de una aplicación. El código inyectado aquí no se conserva en la base de datos, pero se espera que obtenga una respuesta del lado del cliente de la aplicación. De ahí el nombre 'reflejado'. Este ataque funciona con éxito en un caso en el que la aplicación toma la entrada del usuario y devuelve esa entrada después de algún procesamiento sin guardarla en la base de datos.

Un ejemplo común es un foro de chat en miniatura, donde los mensajes no se conservan en la base de datos. En tales casos, la aplicación toma las entradas del usuario y las envía como HTML. Un atacante podría ingresar una secuencia de comandos maliciosa en ese foro de chat, como cambiar el diseño o los colores de la aplicación ingresando algo de CSS en las etiquetas de la secuencia de comandos.

Podría empeorar para otros usuarios de la aplicación porque el script se ejecutará esencialmente en sus navegadores, lo que podría conducir al robo de información, como robar la información de autocompletar guardada en el navegador. Muchos usuarios prefieren guardar la información que se escribe comúnmente en formularios como nombres, direcciones e información de tarjetas de crédito, lo que en este caso es una mala idea.

DOM XSS

DOM - Document Object Model, es la interfaz de programación que interpreta el HTML (o XML) utilizado en las páginas web y, por lo tanto, define la estructura lógica de esa página web en particular. Este tipo de XSS explota aplicaciones web con código javascript inseguro en línea en el marcado que forma la página web. XSS utilizado aquí se puede utilizar para modificar directamente el DOM. Esto podría usarse para alterar casi cualquier parte de la página web con la que interactúa el usuario, lo que podría provocar suplantación de identidad (phishing).

XSS almacenado

Este es un tipo de XSS en el que el código malicioso no solo se refleja en el usuario, sino que también persiste (se almacena) en la base de datos del servidor web en el que está alojada la aplicación web. Este tipo de XSS es aún más peligroso porque se puede reutilizar para atacar a múltiples víctimas porque está almacenado (para uso posterior). Este puede ser el caso cuando los formularios enviados por los usuarios no están bien validados antes de enviarse a la base de datos.

Generalmente, XSS puede ser de cualquier tipo en combinación; un solo ataque podría reflejarse y persistir. Las técnicas empleadas para ejecutar el ataque también pueden variar, pero tienen puntos en común con las mencionadas anteriormente.

Algunos navegadores importantes, como Chrome y Edge como función de seguridad, desarrollaron sus propios protocolos de seguridad de cliente para evitar ataques XSS conocidos como Protección X-XSS. Chrome tenía XSS Auditor, que se introdujo en 2010 para detectar ataques XSS y evitar que esas páginas web se carguen cuando se detectan. Sin embargo, se descubrió que esto era menos útil de lo que se esperaba inicialmente y luego se eliminó después de que los investigadores notaron inconsistencias en sus resultados y casos de selección de falsos positivos.

Los ataques XSS son un desafío difícil de abordar desde el lado del cliente. El navegador Edge también tenía el filtro XSS, que luego se retiró. Para Firefox, como lo tiene el sitio web MDN (Mozilla Developer Network),

Firefox no lo ha implementado y no lo implementará X-XSS-Protection

Seguimiento de terceros

Otra parte importante para establecer su privacidad en línea es tener conocimientos sobre las cookies de seguimiento de terceros. En general, las cookies se consideran buenas en la web, ya que los sitios web las utilizan para identificar de forma única a los usuarios y poder adaptar la experiencia de navegación del usuario en consecuencia. Tal es el caso de los sitios web de comercio electrónico donde utilizan cookies para mantener su sesión de compras y también para conservar los artículos que ha agregado al carrito.

Este tipo de cookies se conocen como cookies de origen. Entonces, cuando navega por sitios en geekflare.com, las cookies utilizadas por geekflare.com son cookies de origen (las buenas).

También hay algunos casos de cookies de segunda parte, donde los sitios web ofrecen (o venden) sus cookies de primera parte a otro sitio para mostrar anuncios al usuario. En este caso, las cookies podrían considerarse de segunda parte. Las cookies de terceros son las grandes cookies impulsadas por anuncios que se utilizan para el seguimiento entre sitios y publicidad reorientada.

Estas son cookies colocadas en los navegadores de los usuarios sin el conocimiento o consentimiento del usuario para obtener información sobre el usuario y todo tipo de perfil de datos, como sitios web que visita el usuario, búsquedas, el ISP (Proveedor de servicios de Internet) que utiliza el usuario, las especificaciones de la computadora portátil. , la carga de la batería, etc. Esta información se utiliza para formar un perfil de datos de Internet en torno al usuario, de modo que pueda utilizarse para anuncios dirigidos. Los atacantes que roban este tipo de información suelen hacerlo como un tipo de la minería de datos y puede vender estos datos a grandes redes publicitarias.

Firefox, en septiembre de 2019, anunció que bloquearía las cookies de seguimiento de terceros de forma predeterminada tanto en el navegador de escritorio como en el móvil. El equipo se refirió a esto como protección de seguimiento mejorada, que se indica en la barra de direcciones del navegador con un icono de escudo.

Screen-Shot-2019-09-03-at-13.51.17-600x74-1

El navegador Safari en los dispositivos Apple también bloquea las cookies de terceros para que no rastreen a sus usuarios en la web.

En Chrome, las cookies de seguimiento de terceros no están bloqueadas de forma predeterminada. Para habilitar esta función, haga clic en los tres puntos verticales en la esquina superior derecha de la ventana del navegador para revelar un menú desplegable, luego click settings, en la pestaña de configuración, a la izquierda, click privacy and security, entonces click site settings, entonces click cookies and site data, luego alterna la opción que dice Block third-party cookies.

cookies de bloqueo

Cryptominers

Algunos sitios web en Internet contienen secuencias de comandos de minería de cifrado, ya sea por el propietario del sitio web o por un tercero. Estos scripts permiten al atacante utilizar los recursos informáticos de la víctima para extraer criptomonedas.

billetera criptográfica

Aunque, algunos propietarios de sitios web hacen esto como un medio de financiación, generalmente cuando brindan servicios gratuitos y argumentan que es un pequeño precio a pagar por los servicios que ofrecen. Estos conjuntos de sitios web suelen dejar mensajes para que el usuario sea consciente del coste de utilizar su servicio. Sin embargo, muchos otros sitios web hacen esto sin informar al usuario. Lo que podría llevar a un uso serio de recursos de la PC. Por lo tanto, es importante tener estas cosas bloqueadas.

Algunos navegadores tienen utilidades integradas para bloquear scripts como Firefox, que tiene una configuración para bloquear criptomineros tanto en la web como en el móvil. Lo mismo ocurre con la ópera. Para Chrome y Safari, es necesario instalar extensiones en su navegador para lograr lo mismo.

Huella digital del navegador

Como se define en Wikipedia ,

huella digital del dispositivo or huella digital de la máquina es información recopilada sobre el software y el hardware de un dispositivo informático remoto con fines de identificación.

La toma de huellas digitales del navegador es información de huellas digitales recopilada a través del navegador del usuario. El navegador de un usuario puede proporcionar mucha información sobre el dispositivo que se utiliza. Aquí se utilizan diferentes exploits, incluso html5 ` Se sabe que las etiquetas se utilizan para huellas digitales. Información como las especificaciones del dispositivo, como el tamaño de la memoria del dispositivo, la duración de la batería del dispositivo, las especificaciones de la CPU, etc. Una parte de la información de la huella digital también podría revelar la dirección IP real y la ubicación geográfica de un usuario.

Algunos usuarios tienden a creer que usar el modo incógnito en los navegadores protege de las huellas dactilares, pero no es así. El modo privado o de incógnito no es realmente privado; solo no guarda cookies o historial de navegación localmente en el navegador; sin embargo, esta información aún se guardaría en el sitio web visitado. Por tanto, la toma de huellas dactilares todavía es posible en un dispositivo de este tipo.

Fugas web RTC

Web RTC (comunicación en tiempo real). Web RTC supuso un gran avance para la comunicación en tiempo real a través de la web. De acuerdo con la Sitio web de Web RTC.

Con WebRTC, puede agregar capacidades de comunicación en tiempo real a su aplicación que funciona sobre un estándar abierto. Admite video, voz y datos genéricos que se envían entre pares, lo que permite a los desarrolladores crear potentes soluciones de comunicación de voz y video.

Por interesante que sea, en 2015, un usuario de GitHub ('diafygi') publicó por primera vez una vulnerabilidad en Web RTC que revela mucha información sobre un usuario, como la dirección IP local, la dirección IP pública, las capacidades de medios del dispositivo (como micrófono, cámara, etc.).

Pudo hacer esto haciendo lo que se conoce como solicitudes STUN al navegador para divulgar esa información. Publicó sus hallazgos aquí -> https://github.com/diafygi/webrtc-ips.

Desde entonces, el navegador ha implementado mejores funciones de seguridad para protegerse contra esto; sin embargo, el exploit también se ha mejorado a lo largo de los años. Esta hazaña aún permanece hasta hoy. Al ejecutar auditorías de seguridad simples, un usuario podría ver cuánta información se puede obtener de una fuga de información de Web RTC.

En Chrome, se pueden instalar algunas extensiones para ofrecer protección contra fugas de RTC. Lo mismo ocurre con Firefox con complementos. Safari tiene una opción para deshabilitar Web RTC; sin embargo, esto puede afectar el uso de algunas aplicaciones web de chat en tiempo real a través del navegador.

Navegando a través de un proxy

Los proxies web gratuitos parecen ayudarlo a obtener una mejor privacidad al hacer rebotar su tráfico web en servidores "anónimos". A algunos expertos en seguridad les preocupa cuánta privacidad proporciona esto. Los proxies pueden proteger a un usuario de la Internet abierta, pero no de los servidores por donde pasa el tráfico de Internet. Por lo tanto, el uso de un proxy web "gratuito" malicioso creado para recopilar datos de usuarios podría ser una receta para el desastre. En su lugar, use un proxy premium.

¿Cómo probar la seguridad del navegador?

Las pruebas del navegador le brindan una idea de cuánta información podría obtener un atacante de usted a través del navegador y lo que debe hacer para mantenerse protegido.

Qualys BrowserCheck

qualys-browsercheck

BrowserCheck por Qualys realiza una comprobación rápida en su navegador para detectar cookies de seguimiento y vulnerabilidades conocidas.

Cloudflare ESNI Checker

cloudflare-esni-control

Cloudflare realiza una comprobación rápida de la pila de DNS y TLS de su navegador en busca de vulnerabilidades.

Privacy Analyzer

analizador de privacidad

Analizador de privacidad escanea su navegador en busca de cualquier tipo de laguna de privacidad, incluido el análisis de huellas dactilares.

Panopticlick

panóptico

Panopticlick ofrece probar las cookies de seguimiento de terceros y también ofrece una extensión de Chrome para bloquear el seguimiento adicional.

Webkay

Webkay

Webkay proporciona una vista rápida de la información que su navegador proporciona fácilmente.

SSL/TLS Compatibilities

Revise si su navegador es vulnerable a las vulnerabilidades de TLS.

How’s My SSL?

hoz-my-ssl

Todo Comprobaciones de nivel SSL en su navegador. Prueba la compresión TLS, los conjuntos de cifrado, la compatibilidad con tickets de sesión y más.

AmIUnique

¿Eres tú?

¿Soy único? comprueba si la huella digital de su navegador ha estado en alguna huella digital recopilada anteriormente en el mundo.

¿Cómo endurecer los navegadores?

Debe ser más proactivo con su privacidad y seguridad, de ahí la necesidad de estar seguro de qué configuración de seguridad está disponible en el navegador. Cada navegador tiene configuraciones de privacidad y seguridad, lo que le otorga al usuario control sobre la información que puede proporcionar a los sitios web. Aquí hay algunas pautas sobre qué configuraciones de privacidad establecer en su navegador.

  • Enviar solicitudes de "No rastrear" a sitios web
  • Bloquear todas las cookies de terceros
  • Deshabilitar ActiveX y flash
  • Elimina todos los complementos y extensiones innecesarios
  • Instale extensiones o complementos de privacidad.

Utilice un navegador centrado en la privacidad en móvil or computadora de escritorio.

También puede considerar usar un VPN premium, que ofrece invisibilidad a través de Internet de rastreadores, escáneres y todo tipo de registradores de información. Ser verdaderamente privado en Internet es con una VPN. Los servicios VPN 'gratuitos', sin embargo, tienen problemas similares discutidos anteriormente sobre los proxies gratuitos, nunca está seguro de qué servidor web atraviesa su tráfico. De ahí la necesidad de un servicio VPN confiable, que brindará mucha mejor seguridad.

Gracias a nuestros patrocinadores
Más lecturas excelentes sobre la privacidad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Intente Intruder