Seguridad en

navegadores web
GRUPO #1
I N T E G RA N T E S :
• D I E G O L L E R EN A
• CESAR MANTILLA
• JESÚS SALAZAR
• A N D R EÉ S A LVA D O R
• I S A I A S V I VA S
INTRODUCCIÓN
Estamos en una época en la que cualquier usuario accede a su cuenta bancaria, realiza
transacciones o compra todo tipo de productos a través de la Web no es de extrañar que los
ciberdelincuentes hayan focalizado sus ataques en el navegador Web.
Existen múltiples vías de ataque que pueden llevarse a cabo para conseguir que el usuario
ejecute código dañino, la facilidad para evadir medidas de seguridad tales como firewalls, IDS,
etc., así como las posibilidades de post-explotación que ofrece el navegador hacen de éste un
objetivo más que apetecible para los delincuentes.
Dado que actualmente el navegador Web está expuesto a este tipo de peligros la presente guía
tiene como objetivo, por un lado, concienciar al usuario sobre las técnicas más utilizadas por los
cibercriminales y, por otro, ofrecer un conjunto de pautas para reducir la superficie de ataque de
dichas acciones dañinas.
TECNOLOGÍAS DE
SEGURIDAD DEL
NAVEGADOR
Básicamente el navegador Web utiliza un enfoque denominado cliente-servidor el cual se basa
en enviar peticiones a un servicio Web para posteriormente procesar la respuesta recibida y
“pintarla” de forma gráfica al usuario. Lenguajes de marcas como HTML o XML son los medios
más utilizados para transmitir el contenido proporcionado por los servicios Web.
Asimismo, el lenguaje de hojas de estilo en cascada (CSS) participa de forma cotidiana en dicho
modelo para instruir al navegador el estilo del contenido que debe representar.
Todos estos componentes son utilizados por el motor de renderizado del navegador para
mostrar una representación gráfica al usuario.
Cabeceras HTTP
El envío y recepción de los datos utilizados por el navegador irán acompañados de una serie de cabeceras
las cuales dictaminan cómo debe procesarse el contenido que acompaña a las mismas, bien por el servidor o
bien por el navegador web. Es importante entender que tanto el servicio web como el navegador deben de
cooperar juntos para aplicar con éxito las cabeceras de seguridad destinadas a mejorar la navegación web.
HTTP Strict Transport Security
La política HSTS tiene como objetivo evitar diversos tipos de ataques como, por ejemplo, el robo de
sesiones. Para ello, el servicio Web comunica mediante la cabecera "Strict-Transport-Security" al navegador
Web que únicamente debe emplear una conexión HTTPS para comunicarse con su servicio.
Content-Security-Policy
La política "Content Security" permite controlar y acotar los recursos desde los cuales los usuarios
puede cargar contenido para la página que sirve dicha directiva. Esta política es bastante útil para
reducir el riesgo de ataques XSS.
X-Content-Type-Options
Uno de los objetivos más importantes de esta directiva es evitar cierto tipo de ataques como
consecuencia del "content sniffing" llevado a cabo por el navegador.
El "content sniffing" o "MIME sniffig" es la práctica de inspeccionar de forma dinámica un conjunto
de bytes (magic bytes) asociados a cierto contenido para tratar de deducir su formato. El problema de
esta técnica es que si un atacante consigue subir código dañino a un sitio web y éste es descargable a
través de dicho servicio es posible, bajo ciertas configuraciones incorrectas, engañar al navegador del
usuario para que ejecute código.
X-XSS-Protection
Actualmente, los principales navegadores disponen de funcionalidades built-in anti-XSS para intentar
mitigar XSS reflejados. Google y Safari, por ejemplo, implementan una tecnología denominada “XSS
Auditor” e Internet Explorer una denominada “XSS Filter”. Los sitios web pueden utilizar la directiva X-
XSS-Protection para indicar al navegador cómo debe utilizar dichos filtros
Secure / HTTPOnly flags
Los flags “Secure” y “HTTPOnly” tienen como objetivo proteger las cookies de sesión para evitar ser
extraídas o reveladas por un atacante. El flag “Secure” instruye al navegador a enviar las mismas
únicamente por un canal seguro. Por otro lado, el flag “HTTPOnly” impide que las cookies sean accedidas
mediante código JavaScript.

X-Frame-Options
Esta directiva se creó con el objetivo de evitar ataques de tipo “UI redressing” como, por ejemplo, el
conocido clickjacking. La idea de este tipo de ataques es que el usuario haga usa serie de acciones no
intencionadas (por ejemplo, ejecutar cierto script dañino) sin que él mismo sea consciente.
Para ello suelen utilizarse iframes transparentes encima de enlaces, botones, etc. Cuando el usuario hace
clic sobre ellos realmente está ejecutando el enlace incrustado en el iframe.
Política del mismo origen
(SOP)
Sin duda el control más importante que gobierna el comportamiento del navegador. El
navegador considera que las páginas que contienen el mismo hostname, esquema y puerto
residen en el mismo origen.

De este modo, si cualquiera de estos tres componentes difiere su origen se considerará
distinto. La idea de SOP es trabajar a modo de sandbox para garantizar que un documento
descargado desde cierto origen, por ejemplo, http://dominio-ejemplo.com/info.html, no pueda
acceder a los recursos de otro documento procedente de un origen diferente, por ejemplo,
https://dominio-ejemplo.com/index.html. Fíjese que SOP no consideraría el mismo origen en
ambos recursos ya que, aunque el dominio y el puerto es el mismo el esquema es diferente:
HTTP en un caso y HTTPS en otro.
Plugins y extensiones
Un plugin es un software que se ejecuta de forma independiente al navegador. Es decir, fuera de
su espacio de direcciones. Generalmente el navegador ejecuta los plugins si el servicio web hace
referencia a los mismos por medio de las etiquetas <embed>, <object> o, en algunos casos, la
directiva content-type.

Algunos de estos plugins contienen un gran número de vulnerabilidades críticas que permiten a
los atacantes ejecutar código en el equipo de la víctima. Tan sólo hace falta que el usuario haga clic
o navegue hasta una página dañina para que su equipo sea comprometido.
Las extensiones no son más que módulos adicionales que pueden incorporarse al navegador para
añadir o eliminar alguna funcionalidad, es decir, que existen dentro del espacio de direcciones del
mismo proceso.
ATAQUES COMUNES CONTRA
EL NAVEGADOR
Exploits
Entre todos los ataques posibles que puede sufrir un usuario a través del navegador web la
ejecución de código por medio de un exploit es, sin duda, el más crítico. Mediante un exploit, el
atacante se aprovecha de determinada vulnerabilidad para inyectar código dañino en el equipo.
Infección de sitios web legítimos
Existen diversas vías de infección, una de las más efectivas es comprometer sitios web con un
número de visitas muy elevado. Este vector de infección es utilizado también cuando el atacante
tiene un objetivo determinado, por ejemplo, una compañía en concreto, determinada persona,
etc.
Ataques Man in the Middle
Ataques "de hombre en medio", bajo el contexto de este informe, hacen referencia a la
capacidad que puede tener un tercero de acceder a los datos transferidos por un usuario desde
su navegador a determinado servicio web y viceversa.
RECOMENDACIONES DE
SEGURIDAD
Actualizaciones del navegador y plugins
Posiblemente, la pauta más importante que debe seguir el usuario para evitar la mayor parte de ataques
críticos descritos anteriormente es asegurarse que su navegador, así como plugins y extensiones están
actualizados correctamente.
Los atacantes, de forma automatizada, pueden conocer la versión y tipo del navegador/plugin para
posteriormente lanzar exploits a medida. Un navegador actualizado evitará gran parte de estos problemas.
Protección de las sesiones
Es importante que el usuario gestione de manera adecuada el uso de las cookies de sesión, así como las
propiedades LocalStorage y sessionStorage utilizadas por HTML5 como sistema de almacenamiento local.
El LocalStorage es utilizado para guardar de forma indefinida información asociada con la sesión del
usuario. Únicamente se eliminarán los datos de este sistema de almacenamiento mediante código o de
forma manual, por ejemplo, desde el propio navegador. Por el contrario, sessionStorage guarda información
de sesión de forma temporal que es eliminada cuando el navegador se cierra
 Otras recomendaciones de
carácter genérico
Revise las opciones de seguridad y privacidad de su navegador: Actualmente los navegadores
disponen de medidas tan interesantes como: no aceptar cookies de terceros, bloquear pop-ups,
evitar la sincronización de contraseñas, evitar el autocompletado, borrar los ficheros temporales y
cookies al cerrar el navegador, etc. En caso de no contar con alguna de estas funcionalidades podrá
recurrir al uso de extensiones o herramientas de seguridad externas.
Si se navega por páginas desconocidas es recomendable que el usuario deshabilite plugins como
Flash/Java e incluso JavaScript.
Utilíce contraseñas robustas y diferentes para el acceso a los servicios web y, si es posible, debe
utilizarse doble autenticación. Estas contraseñas deberán ser periódicamente renovadas.
No deben instalarse plugins/extensiones desde sitios no oficiales (aquellos no relacionados con el
del propio sitio del desarrollador).
No debe hacerse clic en enlaces sospechosos; por ejemplo, los recibidos por medio del correo
electrónico.
GRACIAS…!