El pasado lunes acudimos, junto a otros bloggers, a un evento de Microsoft en el que, aparte de sorprendernos con la forma en la que se había montado, basado en Star Wars y con Chewbacca incluido, nos presentaron un estudio de seguridad sobre los navegadores más populares (Chrome, Internet Explorer, Safari, Opera y Firefox) en Windows Vista y 7. Este estudio corría a cargo de Chema Alonso, un importante experto en seguridad, y MVP de Microsoft.
Al contrario que anteriores estudios de Microsoft, como este o este otro, muy poco objetivos y bastante cuestionables, este no sólo está muy bien fundamentado sino también bien explicado. Aquí va un pequeño resumen de lo que podemos encontrar.
El primer aspecto que se compara es el uso que hacen los navegadores de las características de seguridad propias del SO. Estas son DEP, ASLR, Virtual Store, la arquitectura (monoproceso o multiproceso) y el MIC (Mandatory Integrity Control, similar a los privilegios de usuario en Linux). IE es el único que las integra todas, seguido por Chrome, que sólo carece de la Virtual Store. El p*eor parado es Firefox*, que sólo integra DEP y ASLR.
En cuanto a las características de seguridad propias, vemos que IE es el único con un filtro XSS integrado, aunque existe también el addon Noscript, cuya funcionalidad es la misma. Otra característica es la etiqueta X-FRAME-OPTIONS, soportada por todos menos por Firefox (*Actualización*: lo soporta gracias al addon NoScript) y que evita ataques de clickjacking. Para los que no sepan que es esto, es una técnica bastante curiosa, que consiste en la carga de un Iframe que contiene una página legal (Twitter o Google, por ejemplo) dentro de una página maliciosa. La página parece normal a primera vista, pero cuando se hace click en un punto, no se hace click en el elemento de la página real, sino en una capa invisible de Javascript que graba las pulsaciones del usuario.
Si nos vamos a la parte de SSL, todos los navegadores cuentan con el soporte correcto, incluido para certificados de validación extendida (aquellos expedidos por personas y con verificación de identidad del que lo pide). Sin embargo, cuando vemos el soporte de entidades que expiden certificados, nos encontramos con un pequeño problema. Sólo IE y Chrome reconocen a la FNMT, la entidad que expide los certificados SSL para organismos oficiales en España (por ejemplo, para la renta o el DNIe). Lo mismo pasa con CATCert, el análogo de la FNMT en Cataluña, que sólo lo reconocen Safari, IE y Chrome.
Otro aspecto son los filtros para URL maliciosas. Todos los navegadores cuentan con un filtro anti-phising y anti-malware, que se deben actualizar constatemente. En el estudio se comparó el tiempo que cada navegador tardaba en añadir una URL a sus filtros, y se comprobó como, mientras que los demás navegadores oscilan entre las 6 y 9 horas y las 14 de Chrome, Opera se aleja unos cuantos pueblos con 82 horas.
Y por último, llegamos a las vulnerabilidades. El que menos ha sufrido ha sido Opera, con 0,79 vulnerabilidades al més, y el que más, Firefox, con 6,3 vulnerabilidades al mes. En cuanto a los parches, Firefox tiene la mayor tasa de corrección (100%), y Opera la menor, con el 45,5% de vulnerabilidades corregidas. En el siguiente gráfico podéis ver las vulnerabilidades según el nivel de criticidad, en el que destaca Firefox con 56 vulnerabilidades “Highly Critical”, que conllevan acceso al sistema y ejecución de código arbitrario.
Como conclusión, queda Internet Explorer como el navegador más seguro, y Firefox con un importante varapalo en cuanto a seguridad, que veo que, por lo menos personalmente, se había sobreestimado hasta ahora en ese aspecto.
Desde mi punto de vista, Chrome es el que mejor parado sale para los usuarios comunes, ya que las diferencias con Internet Explorer no son muy notables en cuanto a seguridad, es más simple que éste, y además su seguridad se puede aumentar con complementos. Además, Chrome tiene a favor, que, al igual que Firefox y Opera, es multiplataforma.
Si queréis ver el documento completo, está colgado en Scribd, en el enlace inferior. Si tenéis alguna duda, podéis preguntar aquí o al principal autor del documento, Chema Alonso.
Ver 55 comentarios