Un estudio realizado con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.
De un tiempo a esta parte los navegadores incluyen, entre sus mecanismos de protección, filtros para evitar que los usuarios visiten páginas webs peligrosas para su seguridad. Básicamente se trata de listas negras confeccionadas a partir de distintas fuentes que clasifican las páginas de phishing, scam, distribución de malware, exploits, etc. Si el usuario intenta navegar por alguna de esas páginas, reconocidas por el navegador como peligrosas, la bloquea y avisa al usuario.
El estudio ha evaluado el grado de protección que ofrecen los distintos navegadores al visitar las páginas webs clasificadas como maliciosas y recopiladas desde diferentes fuentes, destacando la extracción de links de los mensajes de spam y arañas webs.
De las 20.263 páginas webs maliciosas, los distintos navegadores protegieron al usuario en los siguientes casos:
* Chrome: 6.639 (32,76%)
* Firefox: 7.108 (35,08%)
* Internet Explorer: 5.114 (25,39%)
* Opera: 1.690 (8,34%)
De los resultados se extrae que Firefox es el navegador que logra un mayor número de bloqueos, seguido de cerca por Chrome, Internet Explorer en tercer lugar y por último, a una considerable distancia, Opera.
También destaca el bajo porcentaje de protección en general, aunque es comprensible ya que en un alto grado estos filtros son en su mayoría reactivos. Es decir, son más débiles en las primeras horas tras la activación y publicación de las webs maliciosas, precisamente cuando los atacantes logran un mayor número de víctimas.
Algunas notas sobre el origen del estudio y la metodología
* El estudio ha sido llevado a cabo por el laboratorio de Hispasec de forma independiente. No ha sido elaborado a demanda, no está patrocinado, e Hispasec no mantiene relación comercial alguna con las empresas desarrolladoras de los navegadores evaluados.
* Todas las URLs utilizadas han sido detectadas como maliciosas por alguno de los navegadores evaluados y/o filtros de URLs de similares características (de soluciones de seguridad).
* Los resultados obtenidos son aplicables a las últimas versiones de los navegadores disponibles y en muchos casos a versiones anteriores, ya que comparten el mismo mecanismo de filtrado de URLs.
* En el caso de Internet Explorer que utiliza Microsoft SmartScreen, un protocolo y servicio propietario y registrado cuyo copyright impide su emulación, la automatización es igualmente posible mediante el uso directo del navegador vía COM.
* Aunque Firefox utiliza el servicio Google Safebrowsing, al igual que Chrome, se pueden observar resultados diferentes. Esto es debido a que, si bien utilizan el mismo protocolo, la respuesta del servicio es distinta en función del ID del navegador. Consultado a Google este comportamiento confirmaron nuestras hipótesis, y nos informaron que mantienen distintos acuerdos y fuentes de listas negras según el producto final.
Conclusiones
Los filtros de URLs son mecanismos que aumentan la protección de los usuarios y, por tanto, es de agradecer a las empresas desarrolladoras de navegadores que incluyan esta funcionalidad por defecto.
Como puede observarse en los resultados, siempre existe un porcentaje elevado de casos donde el filtro del navegador no bloqueará automáticamente el sitio web malicioso, especialmente durante las primeras horas del ataque. Por tanto es fundamental concienciar a los usuarios sobre ciertas prácticas de «higiene» y seguridad básica en Internet.
Existe un grado de complementariedad muy alto entre los filtros de los distintos navegadores. Las páginas webs detectadas por Firefox no son en muchos casos detectadas por Internet Explorer y viceversa. Por lo tanto existe una área de oportunidad muy interesante en la compartición de las fuentes de datos en pro de la seguridad global. Aunque somos conscientes de que la competencia e intereses comerciales no favorecen este tipo de colaboración, la propia industria de la seguridad nos ha demostrado que es posible y beneficioso.
Dado los bajos porcentajes de bloqueo obtenidos, cobra sentido el instalar soluciones de seguridad adicionales con funciones similares, basadas en el filtrado de URLs, ya que actuarán de forma complementaria para aumentar el grado de protección que logran los navegadores.
bernardo@hispasec.com
Deja una respuesta