Los curritos que estamos en continuo movimiento y tenemos acceso a Internet desde nuestros portátiles podemos suponer un gran riesgo de seguridad para la red corporativa. Esto es debido a que los portátiles son mas vulnerables a software malicioso y a ataques cuando nuestras máquinas dejan de estar protegidas por los sistemas de seguridad corporativos. Cuando el currito vuelve a su oficina y conecta la máquina a la LAN corporativa, un portátil comprometido puede inundar de malware la organización o causar una brecha de seguridad en la compañía.

Hace 15 años los discos flexibles eran la forma mas común usada por el malware para extender los virus, en años mas recientes la vía mas común ha pasado a ser el correo electrónico. Pero las tendencias ahora han variado en la forma de extender el malware hacia la explotación de vulnerabilidades usando código malicioso en sitios web que explotan las vulnerabilidades de los navegadores.De acuerdo con Seguridad de sistemas en Internet IBM X-Force team 2008 Trend & Risk Report «el número de vulnerabilidades que afectan a aplicaciones Web ha crecido en un ratio asombroso. En 2008, las vulnerabilidades que afectaban a los servidores de aplicación Web se encontraban en el 54% de todas las vulnerabilidades descubiertas y fue uno de los factores principales en el crecimiento global de vulnerabilidades reveladas durante este año.»

Con el objetivo de minimizar los riesgos de caer en un  ataque «basado en web», es esencial que los usuarios de ordenadores portátiles usen la Web de la forma mas segura posible, y el primer elemento que debe cerrase es el navegador. Las dos opciones mas populares con Microsoft Internet Explorer y Mozilla Firefox, existen muchos debates abiertos sobre cual de los dos es mas seguro. Es cierto que Explorer es usado de lejos por mucha mas gente que Firefox (debido en gran medida a que es parte del sistema operativo que a muchas personas obligan a comprar los grandes distribuidores de hardware), por lo tanto alguien podría argumentar, en igualdad de condiciones, seleccionar el navegador que menos usuarios tiene es la mejor de las opciones pues ofrece un menor grupo de victimas potenciales para el malware.

Asegurarnos de que el navegador esta actualizado con los últimos parches de seguridad puede minimizar los riesgos, pero quizás las mas interesante característica de Firefox desde una perspectiva de la seguridad es la posibilidad de mejorar la seguridad del navegador mediante añadidos adicionales, también llamados add-ons. Por supuesto que cualquier add-on añade nuevas vulnerabilidades, pero si éstos están protegidos contra los problemas conocidos el coste de los problemas no conocidos seguro que nos compensa.

Con esta condición, aquí tenemos una lista de los mas importantes a considerar por cualquiera que navegue por Internet con un portátil fuera de la red corporativa, para protegerse de los exploits basados en Web, y de los demás riesgos generales de seguridad. Todos ellos están disponibles en la web de addons de mozilla: http://addons.mozilla.org

1. NoScript

Esta extensión permite al usuario habilitar o deshabilitar Java, JavaScript, Flash, Silverlight y otros plug-ins (que pudieran ser maliciosos) para todos los sitios excepto para los sitios específicamente identificados como confiables, directamente desde la barra de estado. Estos elementos pueden ser permitidos temporalmente para cualquier sitio sin la necesidad de agregarlo a la lista de sitios confiables.

NoScript también nos protege contra ataques «Cross Site Scripting», y ClickJacking (también conocido como UI Redressing) ataques que hacen que el usuario haga clic en botones ocultos mediante otros elementos de la página.

2. CS Lite

Este simple add-on permite al usuario selectivamente o de forma global bloquear las cookies de los sitios web, y editarlas y borrarlas directamente desde la barra de estado. Hace con las cookies lo que NoScript hace con los scripts y los plug-ins.

3. ShowIP

ShowIP te ayuda contra los ataques «phishing» (conectarnos a un servicio fraudulento dando la impresión de que es el real) mostrando la dirección IP del sitio web actual en la barra de estado en la parte inferior del navegador. Esto tiene un uso limitado en si mismo (a menos que el usuario conozca la dirección IP del sitio que quiere visitar) pero con un clic derecho en la dirección IP de la barra de estado obtendremos un cierto numero de opciones, entre otras, podremos correr un Whois lookup para confirmar el propietario registrado de la dirección IP sobre la que hemos pinchado.

4. WOT (Web of Trust)

El and-on WOT proporciona al usuario un ratio de «honradez» para cada uno de los sitios que el usuario visita basado en la realimentación de otros usuarios de WOT, al que se accede con un botón en la barra de direcciones. Este botón cambia de color dependiendo del nivel de honradez del sitio, devolviendo un aviso instantáneo cuando el usuario visita un sitio que puede ser una fuente peligrosa. Para algunos sitios, aquellos marcados como peligrosos, WOT proporciona un pantalla de aviso con las opciones con las que se debe proceder en el site, añadir a la lista blanca, o buscar mas informacion sobre la naturaleza de los potenciales peligros que otros usuarios han reportado.

5. XMarks

Siempre ha existido el peligro para los trabajadores móviles de que los marcadores de los sitios que se tiene en el ordenador de sobremesa no estén disponibles en los portátiles. Si el trabajador teclea la dirección de forma manual siempre existe la posibilidad de bailar alguna letra, y terminar en un sitio malicioso inadvertidamente. XMarks previene este tipo de situaciones sincronizando los favoritos del portátil y los del ordenador de sobremesa, por lo tanto el trabajador puede acceder a los sitios frecuentemente visitados a través de los favoritos. XMarks puede incluso sincronizar las contraseñas de los sitios web (protegidas por un PIN) por lo tanto las contraseñas de la máquina de escritorio del gestor de contraseñas de Firefox están también disponibles sin la necesidad de volver a picarlas en la máquina portátil. Esto también facilita la vida a los usuarios que cambian las contraseñas con frecuencia pues no tienen que preocuparse de mantenerlas sincronizadas en las distintas máquinas, XMarks lo hace por él.

6. Master Password Timeout

Firefox tiene la habilidad de recordar e introducir contraseñas de los sitios web que el usuario visita, y estas contraseñas pueden protegerse mediante una contraseña maestra. Si la contraseña maestra es larga y la tiene el usuario en su cabeza (no escrita en ningún sitio) entonces dejar que Firefox recuerde las contraseñas puede ser una solución segura. El problema es que una vez que la contraseña maestra es introducida Firefox proporciona acceso a las contraseñas sin volver a preguntar por la maestra hasta que se detectan 5 minutos de inactividad. Esto es un riesgo de seguridad potencial si el usuario deja el portátil en un sitio público sin atender durante unos minutos. Para evitar esta situación Master Password Timeout permite al usuario especificar un timeout ajustado a sus necesidades que puede ser incluso mas corto que el valor que incorpora el navegador por defecto.

7. FireGPG

Encriptación y las firmas digitales son formas importantes de mantener la seguridad en las comunicaciones que son establecidas a través de un medio inseguro como es el caso de Internet, cuando una VPN no esta disponible. FireGPG permite al usuario encriptar, desencriptar, firmar y verificar la firma desde dentro del propio Fierefox desdel el propio menú en la entrada de FireGPG. Este addon añade incluso a la página de gmail ciertos botones con la misma funcionalidad. FireGPG requiere que GnuPrivacyGuard (GPG) esté instalado en el portátil.

Pues nada mas señores, esto es todo.

Saludos y hasta otro dia.