Internet ya es de por sí un lugar donde resulta difícil mantener la privacidad. Por si fuera poco, dos investigadores de seguridad acaban de revelar unos nuevos métodos para espiar a los usuarios de la web a través de los navegadores. Durante una presentación en DEFCON 17, una conferencia para hackers celebrada en Las Vegas la semana pasada, los investigadores mostraron una serie de métodos para vigilar a la gente online, a pesar de las herramientas de privacidad que emplean la mayoría de los navegadores.

Robert Hansen, director general y fundador de la compañía de seguridad de internet SecTheory, y Joshua Abraham, asesor de seguridad de la compañía Rapid7, también dedicada a la seguridad, hicieron una demostración de cómo realizar todo tipo de operaciones, desde obtener detalles del software que se está ejecuntando en el sistema de un usuario hasta conseguir el control absoluto del ordenador. Si el atacante es capaz de convencer al usuario para que visite una web que él controla, quizá mediante un vínculo en un mail, es posible realizar una serie de ataques en el navegador del usuario.

Los ataques funcionaron con una participación mínima por parte del usuario y, en uno de los casos, sin participación alguna.

“Tu privacidad depende del sitio que estés visitando y del navegador que utilices,” afirma Hansen, que pone énfasis en que los usuarios no pueden confiar en los controles de privacidad de los navegadores para mantenerse seguros. “Los botones de privacidad [de los navegadores] son sólo una protección básica,” afirma. En muchos casos, están diseñados principalmente para situaciones benignas, tales como proteger la privacidad de un usuario frente a los otros miembros de la casa. Para un atacante determinado, sin embargo, Hansen señala que estas protecciones de privacidad no son suficientes.

Hansen y Abraham demostraron cómo un atacante es capaz de recabar información detallada acerca de un usuario y su sistema mediante una variedad de trucos muy simples. Por ejemplo, si se persuade a un usuario para que corte y pegue una dirección web en particular en la barra de navegación, el atacante es capaz de descubrir el nombre de usuario de la persona y el nombre asignado al ordenador, y acceder a los archivos de ese sistema. Otros ataques similares son capaces de detectar qué plug-ins tiene instalados el usuario en su ordenador.

Este tipo de información se puede utilizar para diseñar un ataque concreto contra un usuario en particular, señala Abraham. Al saber los plug-ins que el usuario tiene instalados, por ejemplo, resulta más fácil entrar en un sistema a través de los errores en el software.

Hansen y Abraham alertaron acerca de problemas de seguridad relacionados con Google Safe Browsing, una extensión muy comúnmente utilizada con el navegador Firefox y diseñada para advertir a los usuarios de las páginas web maliciosas. Los investigadores afirman que la herramienta ejecuta bien esa tarea, pero también emite una cookie que hace un seguimiento de todas las webs que el usuario visita. Esta información podría ser revelada si, por ejemplo, un gobierno requiriese los datos.

Abraham hizo una demostración de un applet de Java—un tipo de código que se ejecuta dentro del navegador—que permite al atacante acceder al ordenador del usuario, incluyendo los archivos encriptados, así como al micrófono. Para conseguirlo, el atacante tiene que hacer que el usuario haga doble clic—una vez para lanzar la aplicación, y otra vez para pasar una advertencia del navegador. Sin embargo, Abraham afirma que el atacante podría disfrazar el applet como si fuera software legítimo relacionado con los programas que el usuario ya tiene instalados.

Aunque muchos de los ataques que revelaron necesitan ser puestos en marcha a medida en función de una persona en particular, Abraham señala que el esfuerzo merecería la pena para, por ejemplo, si un atacante desea acceder un ordenador concreto de la red de una compañía.

Hansen afirma que los ataque no necesitan mucha habilidad técnica. “La mayoría del trabajo más complicado ya te viene dado,” afirma, puesto que muchas de las herramientas necesarias para llevar a cabo los ataques se encuentran disponibles en internet de forma gratuita.

Kate McKinley, investigadora de seguridad con iSec Partners, en San Francisco, y que se dedica al estudio de la privacidad de los navegadores, está de acuerdo con que un plug-in como Flash es capaz de abrir varios agujeros de seguridad. Afirma que la mayoría de los navegadores ofrecen una característica que borra los datos privados, pero señala que esto a menudo no cubre lo que está almacenado en los plug-ins o en algunas de las características más nuevas de los navegadores. Las cookies guardadas en Flash, por ejemplo, pueden persistir incluso cuando el usuario cambia de navegador, puesto que guardan los datos en una localización concreta y única.

Hansen señala que los usuarios se pueden proteger a sí mismos, aunque esto significa hacer cambios en los hábitos de internet. Por ejemplo, los usuarios necesitan acostumbrarse a cuestionarse cualquier caja de diálogo que el navegador les muestre. “¿Estás dispuesto a sacrificar usabilidad por seguridad y privacidad?” se pregunta. “La respuesta no es fácil, aunque estamos obligados a advertir a todo el mundo acerca de estos problemas.”