Alemania establece exigentes requisitos para la seguridad de los navegadores web

Con un ciberespacio cada vez más inseguro debido a la extendida presencia de malware y actores maliciosos, reforzar la seguridad de los navegadores web se convertido un asunto prioritario para muchas agencias y empresas dedicadas a la ciberseguridad.

La Oficina Federal Alemana para la Seguridad de la Información (en alemán, Bundesamt für Sicherheit in der Informationstechnik/BSI) ha publicado un borrador sobre su nueva guía con indicaciones sobre qué deben incluir los navegadores web para ser considerados como seguros, abarcando no solo las propias aplicaciones, sino también prácticas de seguridad dirigidas a administradores de sistemas y organizaciones. El propósito es asesorar para que resulte más fácil saber qué navegadores son realmente seguros.

El BSI ha publicado varios informes para asesorar sobre la seguridad de los navegadores web, habiendo aparecido el primer borrador en 2017. El borrador correspondiente a este año 2019 incluye una gran cantidad de indicaciones y requisitos para considerar a un navegador web como seguro, aunque desde MuyComputer advertimos que la seguridad absoluta es inalcanzable teniendo en cuenta el estado actual del software y el hardware.

Entre los requisitos para que un navegador web sea considerado como seguro por la BSI nos encontramos con muchas cosas que en la actualidad son características estándares, como el tener que soportar TLS, tener una lista de certificados confiables, soportar validación extendida de los certificados, solo cargar páginas web con certificado caducado si el usuario lo autoriza explícitamente, la posibilidad de borrar las contraseñas guardadas en el gestor incluido en el navegador (si no se apoya en el del sistema operativo o se usa uno de terceros), la posibilidad de bloquear y borrar cookies, comprobar y detectar URL maliciosas, aislamiento de páginas web, sandboxing, etc.

Sin embargo, también hay requisitos interesantes de los que no se habla tanto, como el hecho de que las actualizaciones de seguridad no tarden más de 21 días en ser suministradas, la utilización de las protecciones de la memoria del sistema operativo como ASLR (Aleatoriedad en la Disposición del Espacio de Direcciones) y DEP (Prevención de Ejecución de Datos) y normas dentro de las propias organizaciones para bloquear o regular extensiones para navegadores web que no están firmadas.

Sin entrar en detalles técnicos profundos, la conclusión que se puede sacar de este borrador es que con la seguridad hay que ir con pies de plomo, cosa que a fin de cuentas es bastante lógica. Pero yendo más allá, veremos cómo se toma la BSI (si aborda el tema) el hecho de que Google planee imponer cómo se tiene que gestionar el despliegue de la publicidad en Chrome, cercenando el radio de acción de los bloqueadores.

A todo lo mencionado aquí se puede sumar la recomendación de utilizar en Windows una cuenta de usuario normal frente al administrador que se configura por defecto, ya que la utilización de una cuenta de usuario normal que limite el radio de acción del software utilizado puede terminar siendo una gran barrera contra el malware.