Durante los últimos días, la mecha de la polémica sobre qué navegador es más seguro se ha vuelto a encender, en gran parte debido a la reciente vulnerabilidad de día cero descubierta en Microsoft Internet Explorer. El alcance de esta vulnerabilidad ha provocado que un considerable grupo de personas y asesores aconsejen cambiar a un navegador alternativo. Esto ha sido repetido por expertos en seguridad, CEOs e incluso por el gobierno de Alemania (una vez más), pero ¿se trata de una amenaza real? y, lo más importante, ¿la solución propuesta es realmente efectiva?
La seguridad no se basa en reacciones instintivas o actos reflejos ante eventos individuales, la seguridad depende de la construcción de una estrategia que reduzca la exposición y el riesgo durante un período de tiempo. También se debe evitar el cambio por el cambio por la falta de familiaridad que genera la adopción de nuevas tecnologías, las cuales traen consigo su propio conjunto de vulnerabilidades.
Las dos alternativas más populares a Internet Explorer (y que cada vez se están recomendando más) son Google Chrome y Mozilla Firefox. Pues bien, ninguno de ellos es inmune a las vulnerabilidades de día cero. De hecho, si tenemos en cuenta las evidencias que tenemos disponibles es muy posible que sea más inteligente asumir que Internet Explorer es la menos mala de las opciones.
En 2011, Google Chrome tuvo que hacer frente a un total de 275 nuevas vulnerabilidades, cifra que se convierte actualmente en el máximo pico de una tendencia que sigue al alza desde el día de su lanzamiento. Mozilla Firefox, a pesar de que actualmente muestra una tendencia a la baja después de alcanzar su máximo en 2009, todavía informó de 97 vulnerabilidades el año pasado. Microsoft Internet Explorer, por su parte, ha demostrado seguir una tendencia de descenso gradual durante los últimos cinco años y en 2011 sólo registró 45 vulnerabilidades, menos que cualquier otro navegador a excepción de Safari de Apple, que también tuvo que hacer frente a 45 nuevas vulnerabilidades. Por supuesto, las cifras de vulnerabilidades en bruto son casi insignificantes y no tienen demasiado sentido a menos que se considere la respectiva gravedad de cada una de ellas, pero de nuevo, las estadísticas de los tres grandes se ponen a favor de Internet Explorer. Si las vulnerabilidades de día cero tienen que ser también tenidas en cuenta, tampoco hacen cambiar demasiado la balanza, pues tenemos: ¡Google Chrome 6, Microsoft Internet Explorer 6 y Mozilla Firefox 4!
La verdad es que prestamos la atención indebida a vulnerabilidades de día cero como ésta, el simple nombre infunde miedo a la gente que no está realmente segura de lo que la frase significa. Las empresas, al igual que las personas de a pie, tienen dificultad para mantener sus navegadores actualizados sólo con los parches para vulnerabilidades que, en ocasiones, superan al número de eventos de día cero que vemos. En cualquier caso, los ataques son cada vez más dirigidos no a los navegadores, sino a los plug-ins de aplicaciones como QuickTime, Flash o Acrobat que se pueden utilizar en los diferentes navegadores sobre múltiples sistemas operativos. Puede ser esto, o que se trate de simples ataques dirigidos al uso individual del navegador (como phishing, pretexting u otros ataques de ingeniería social).
Seamos realistas y afrontemos las cosas, el navegador no le mantendrá protegido ni a salvo, independientemente de quién sea la compañía creadora. Lo que se necesita es tomar medidas e iniciativas propias para mantenerse protegido, sea cual sea el navegador elegido.
Cada navegador tiene sus fallos, vulnerabilidades y parches (o falta de ellos). Cada herramienta de seguridad requiere distintos grados de familiaridad con el navegador, con la tecnología y con las amenazas en general, con el fin de proteger la eficacia sin arruinar la experiencia en Internet del usuario más allá del arreglo o solución.
En la mayoría de los casos, el mejor consejo es seguir utilizando con el navegador con el que estamos más familiarizados, pero tomando las medidas pertinentes para asegurarlo. Si de pronto un usuario decide cambiar de navegador y probar con otro, su falta de familiaridad puede hacer que esté menos seguro y protegido de lo que estaba antes.
Por último, contar con un software de seguridad es tan necesario para un PC como lo es el cinturón de seguridad para un coche, y esto debería hacer un trabajo mucho mejor a la hora de proteger al usuario de este tipo de vulnerabilidades y exploits, independientemente que el parche para la vulnerabilidad se encuentre o no disponible. Si quiere tener una idea de cómo funciona, consulte este informe, sin duda será un buen punto de partida.
Puede que no sea moderno o cool defender a Internet Explorer, pero la única ropa vintage que tengo es la que todavía no he tirado.
Visite countermeasures.trendmicro.eu o blog.trendmicro.es si desea ampliar ésta u otra información.
Por Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro EMEA
