¿A quién va dirigido?
A todo tipo de organizaciones, públicas y privadas, que quieran estar preparadas para prevenir y protegerse de manera efectiva ante infecciones de malware o estafas que puedan afectar a la información e impactar en su actividad con el consiguiente perjuicio económico, reputacional o de otra índole derivados de una falta de controles en la navegación.
¿Qué es?
El concepto de navegación segura se refiere a la necesidad de la organización y de los usuarios de acceder a internet con garantía de que no van a tener problemas.
En la actualidad conectarse a internet, se ha convertido en una acción cotidiana. Este acceso ha hecho que bandas criminales aprovechen cualquier descuido tanto humano como técnico para robar información, propagar virus, estafar o cualquier acción de la que puedan sacar algún tipo de beneficio, aunque principalmente es beneficio económico.
Respecto a la navegación unificada, se refiere a la estrategia para definir quién y cómo se navegará por internet de forma transversal a la organización.
¿Cómo nos engañan?
Las amenazas que se pueden encontrar navegando por internet pueden ser variadas, pero casi siempre intentan engañar al usuario con distintos métodos.
Una de las principales amenazas se trata del phishing, que trata de engañar al usuario para compartir información privada como contraseñas o tarjetas de crédito. Normalmente, se suplanta a una persona u organización como un banco, con un mensaje en el que se le urge a realizar algún tipo de acción, basado normalmente en el miedo o la urgencia. Cuando se accede a el sitio malicioso, este recopila información confidencial, para luego, por ejemplo, venderla en el mercado negro. Estos mensajes pueden venir por correo electrónico, SMS o redes sociales, con un enlace a una página web fraudulenta que suplanta la identidad de una entidad legítima.
Otras veces, las infecciones pueden venir derivadas de la descarga de archivos, que por ejemplo prometen acelerar la conexión a internet, o al pichar enlaces de anuncios con productos milagrosos. Otros prometen dar acceso a zonas premium de páginas web, o desbloquear las características de pago de un programa. Estos archivos a veces cumplen lo que prometen, pero también incluyen contenido malicioso, como virus, para exfiltrar información del usuario, tomar el control del equipo, usarlo para minar criptomonedas…
¿Cómo nos protegemos?
En todas estas amenazas el principal vector de entrada a los sistemas y el primero que se vulnera, es el propio ser humano. Mediante técnicas de ingeniería social, estas estafas se construyen explotando debilidades humanas, como la avaricia o el miedo, casi siembre basado en la urgencia. Por todo esto, la principal medida de seguridad es la formación del usuario, para que sea capaz de identificar estas amenazas.
Una de estas recomendaciones, es que cuando se acceda a un enlace, se compruebe en la barra del navegador que efectivamente se está accediendo a la web esperada, y que no contenga erratas. Si tiene dudas, mejor acceder directamente a la web principal introduciendo la URL o verificarlo con una búsqueda.
También es importante que cuando se navegue, se haga de forma segura, verificando que se accede a webs con https y no http. Esa S del final es de Seguro, y hace que la comunicación esté cifrada. Si además nos fijamos en que el candado de al lado del https es verde, comprobaremos que el certificado es correcto y nos garantiza que corresponde con la dirección.
Si combinamos las dos anteriores recomendaciones, tenemos la base para poder navegar de forma segura.
Adicionalmente, se recomienda no almacenar en el navegador las credenciales, para que, en caso de infección, no haya contraseñas almacenadas en el quipo, ya que la fortaleza de una contraseña depende de que sea el propio usuario el único que la conozca.
No se recomienda acceder a servicios personales desde equipos compartidos, como PCs de cortesía que hay en hoteles o equipos prestados. Tampoco se recomienda conectarse a redes wifi públicas, ya que un actor malicioso podría interceptar nuestra conexión e inspeccionar todos los datos. En el caso de que sea imprescindible conectarse a redes wifi o cableadas que no sean seguras, se recomienda utilizar conexiones VPN para que la conexión vaya cifrada punto a punto desde el PC hasta el destino.
Otra de las recomendaciones al descargar un archivo consiste en comprobar que la extensión corresponde con el fichero deseado, y verificar por ejemplo que no se trate de un archivo ejecutable cuando no debería serlo. En el caso de que sean archivos de texto o de hojas de cálculo de orígenes desconocidos, no se deberían habilitar las macros, al menos de forma automática, para que estas no puedan ejecutar posible contenido malicioso escondido en el documento.
Medidas técnicas de protección
Control de navegación
Una de las medidas para controlar en una organización la navegación es el uso de Proxys y Firewals de nueva generación. Los Proxys son dispositivos dedicados al control de la navegación. Los cortafuegos de nueva generación son dispositivos de control del tráfico, pero los más modernos también suelen contar con funciones para controlar la navegación.
Ambos dispositivos funcionan en base a políticas. Estas políticas se deben establecer de forma conjunta para toda la organización y después configurarlo en las reglas de los dispositivos. Una política se puede crear en base a prohibición de categorías. Por ejemplo, se puede prohibir la navegación a webs de determinada categoría, como webs pornográficas o que hayan sido utilizadas en campañas de phishing o spam.
Antivirus puesto
Actualmente es casi una obligación disponer de un sistema antimalware en el equipo. De esta forma, en caso de que el usuario descargue un archivo malicioso, puede ser detectado y eliminado por el sistema antimalware. Actualmente estos sistemas, también pueden tener control de aplicaciones y URLs para restringir la navegación a sitios maliciosos, y motores de comportamiento, para que en caso de que una amenaza no detectada haya infectado el equipo, si se detecta un comportamiento malicioso, se pueda bloquear dicho proceso.
Adicionalmente también existen soluciones antivirus que analizan los archivos en línea y comprueban la reputación de las páginas web que visitamos. Otra de las opciones que pueden ofrecer estos sistemas es de capacidades de Sandbox, que ejecutan el archivo en máquinas virtuales y analizan su comportamiento, para que en el caso de que sea un nuevo programa maligno que no identifican los antivirus mediante firmas, pueda identificarse como malicioso mediante el análisis de su comportamiento.
Algunos de estos sistemas son capaces incluso de descifrar el tráfico https, ya que, al ser tráfico cifrado, para poder analizarlo, los dispositivos de seguridad necesitan descifrar el tráfico previamente.
Dobles factores de autenticación
Algo que cada vez es más habitual, es que para poder acceder a un servicio no nos encontremos solo con un usuario y una contraseña, sino con un doble factor de autenticación que se solicita tras introducir las credenciales.
Este factor adicional, puede ser desde un SMS recibido en el teléfono móvil, como hacen los servicios de Banca al realizar operaciones, a una aplicación en el móvil que genera números aleatorios, una tarjeta de coordenadas, un certificado digital…
Este doble factor de autenticación protege en caso de que se hayan robado las credenciales, ya que para acceder será necesario disponer de otro factor adicional.
Como complemento, si las contraseñas tienen cierta complejidad y disponen de distintos caracteres como mayúsculas, minúsculas, números y símbolos, además de que se renuevan habitualmente, dan una capa de protección adicional.
Referencias
https://www.incibe.es/protege-tu-empresa/blog/navegacion-segura-y-privada-ti-y-tu-empresa-parte-i
https://www.osi.es/sites/default/files/docs/osi_cuadriptico_conexiones-seguras.pdf
