Seguridad en navegadores ¿Qué navegador elegir?

El target de este blog, a grandes rasgos, es de un sector de la población interesado por la tecnología, el diseño e internet. Algunos de vosotros estáis en el mundillo de la informática o la ciberseguridad, y quizás esta entrada os parezca innecesaria, pero se de buena tinta que nos siguen compañeros que aunque les encanta este apasionante mundo, no tienen porqué tener conocimientos técnicos al respecto.

Tanto para aquellos expertos en las nuevas tecnologías, como para aquellos que no lo son tanto, seguramente todos tendremos al típico amigo “listillo” (quizás con gafas, en mi caso lentillas), que alguna vez os ha tocado el ordenador y ha hecho esa pregunta retórica que tanto nos gusta decir a los que nos dedicamos a esto:

¿Pero usas Internet Explorer?

Que sepáis que bajo esta maldita frase, se esconde una verdad a medias, y que en parte ese pavor hacia este navegador viene influenciado por todos estos últimos años de precaria estandarización y a la absurda política de (y perdonarme los fan boys de Microsoft) la empresa con los cazadores de vulnerabilidades.

De ahí que nazca esta entrada, con la idea de hacer un recorrido histórico con los acontecimientos más relevantes de los navegadores, ofreceros sus diferencias (sobre todo centradas en la filosofía y estrategias de las empresas que lo suministran) con el fin de que elijáis el navegador que más os interese (y de paso que ese no sea IE :))

 

Antecedentes

Ya hemos hablado largo y tendido sobre este tema, por lo que esta vez seré más escuento. Básicamente todo comenzó con Netscape e Internet Explorer, allá por los años 90. Había más navegadores, pero estos dos estaban a años luz de la competencia, y como cabría esperar, existía un gran pique entre ellos.

Fueron tiempos buenos, ya que aunque los dos navegadores eran tan poco seguros como una cartera llena de billetes en la calle, la facilidad que tenían los crackers para infectar ordenadores mediante .exes, emails o directamente atacándolos por puertos abiertos hacía que el navegador en sí no fuera un potencial peligro.

Los años pasan, y la gente se va concienciando. Cuando te llega un mail raro, ni lo abres, y mucho menos descargas o accedes a la dirección que aparece. También surgen los primeros cortafuegos, tanto personales, como en el propio router, lo que complica las cosas (hasta cierto punto como hemos visto en la seguridad de los routers), y para colmo, Netscape desaparece, dejando durante años a Internet Explorer como legítimo dueño de todo el mercado.

Como es de esperar, al no haber competencia, Microsoft pasa del tema, y decide ponerse a divagar sobre el futuro de los estándares, creando uno porpio. Hablamos de la era de IE 5.5,  posiblemente el peor navegador de la historia (ya tiene delito…), y que afortunadamente, se dio de bruces con otro explorador (minoritario por aquel entonces), Firefox, que supo jugar sus bazas y robarle buena parte del pastel.

 

Los navegadores empiezan a verle las orejas al lobo

Mientras IE se va de fiesta, sacando versiones cada vez un poco mejores pero infinitamente inferiores al resto, surgen otros, que ya estaban por ahí, y que ahora toman la delantera. Opera y Safari, que se centran en mayor o menor medida, junto con Firefox, y el recién llegado Chrome, a darle importancia tanto a los estándares como a la seguridad.

Las webs pasan a tener que programarse para IE, y para el resto de navegadores (dos desarrollos distintos para el mismo proyecto), que sí están acogidos a los estándares. Es una época caótica, ya que si bien IE muestra a su manera (y siempre peor) los archivos webs, hay un sector de la población muy amplio que, desconocedor de las ventajas del resto de navegadores, siguen usando el que viene por defecto en sus PCs, Internet Explorer.

Los chicos de Redmond han ido paulatinamente sopesando este gran despiste, con propuestas y actualizaciones cada vez mejor implementadas, pero siguen estando a la cola.

 

La situación actual

Y llegamos a nuestros días, con cinco claros ganadores: Chrome, Firefox, IE, Opera y Safari. Cada uno tiene sus ventajas, pero quizás los dos que están ahí de rebote sean IE y Safari. No digo que no sean buenos, ni mucho menos, pero si es verdad que si han llegado a estar entre los primeros no es por sus bondades, sino porque vienen por defecto en los dispositivos de la compañía que les desarrolla.

Opera no acaba de despegar en ordenadores, pero tiene una cuota de mercado interesante de móvil (fueron de los primeros en interesarse por los dispositivos móviles, y cuentan con un navegador potente, que empaqueta los datos de las webs para consumir menos ancho de banda y por tanto visualizarlas antes).

Y por último están Chrome y Firefox, que han demostrado estar a la altura de las expectativas, y por lo general, son los primeros en ofrecer servicios de calidad, que acaban copiándose en el resto de navegadores.

 

Navegadores y seguridad

Como hablábamos ya al principio de la entrada, durante años los navegadores han sido muy poco fiables en tema de seguridad, pero por la situación y facilidad para atacar de los ciberdelincuentes por otros métodos, éste no era muy usado. Actualmente todo ha cambiado, y la seguridad de un navegador es algo a tener en cuenta.

Una propuesta interesante es la de Yandex Browser 1.0, basado en el proyecto de código abierto Chromium por Yandex (el Google de Rusia), y que han decidido implementar todos los servicios del antivirus Kaspersky en su nuevo navegador (todo queda en Rusia…).

Lo cierto es que la situación es alarmante, ya que aunque las vulnerabilidades siempre han estado ahí, es ahora cuando se empiezan a explotar.

Existen dos modelos muy diferenciados en este sentido. Por un lado está la política de Chrome, que premia con cantidades cuantiosas de dinero a quien encuentre e informe de un posible exploit (tenéis un ejemplo de hace poco en este adolescente que ha recibido 60.000$ por reportar un exploit completo). En el lado opuesto está IE, que no da ni un mísero euro por reportar posibles exploits.

 

¿A qué conlleva esta situación?

A que salga rentable rebanarte los sesos para encontrar un exploit en Chrome, con la idea de reportarlo, y que el equipo de Chrome lo arregle. Con esto Google mata dos pájaros de un tiro: Encuentra por un módico precio fallos en su sistema, los soluciona, y evita que la gente que lo encuentra lo usen con otros intereses menos legales.

Pasa justo lo contrario en IE. Sale más rentable vender 0-Day de IE a quien esté intersado en comprarlo (ten claro que no es para nada bueno), que reportarlo a Microsoft.

Esto se une al modelo de actualización de Google, que tiene muchas más vulnerabilidades, pero ninguna de ella peligrosa (es decir, arreglan los posibles exploits, no los posibles vacíos que podrían llevar a exploits), mientras que IE gasta enormes costos en bunkerizar su navegador, dejando de lado exploits 0-Day que ya están siendo usados, y que es en esencia el mayor problema de cara al cliente.

Esto hace mucho más seguro navegadores como Chrome y Firefox que IE, que además se junta con las continuas actualizaciones de los dos primeros, que solucionan cualquier fallo o incluyen compatibilidad con nuevos estándares, a diferencia de IE, que actualiza solo cuando hay un error tan sumamente grave que la opinión pública les salta a la yugular, y espera a los parches semanales de seguridad, o la actualización a una nueva versión para implementar cambios en rendimiento y funcionabilidad a su navegador.

 

La elección es tuya

Pese a que parece que he puesto a IE como el malo de la película (ha sido el malo durante muchos años), lo cierto es que las nuevas versiones están mejorando bastante. Aún así, tanto en velocidad, como seguridad, como experiencia de usuario, el resto de la competencia está por encima. Esto seguramente cambie, o al menos se reduzca la diferencia, con la llegada de windows 8 y su nuevo Internet Explorer 10.

Opera ofrece algo distinto (si bien no a la última en materia de seguridad), mientras que Safari corre como el diablo en terminales de la manzana. Chrome y Firefox serían los dos navegadores que recomendaría (y que uso) si alguien me preguntase.

 

P.D.: A lo largo de esta entrada he puesto diferentes estudios gráficos sobre seguridad en navegadores. Supongo, si los habéis mirado, que pensaréis que estoy loco, ya que aparentemente muestra IE como el navegador más seguro, y precisamente Chrome como de los que menos. Esto es debido a lo que ya os comenté, puesto que en estos estudios tienen en cuenta las actualizaciones que cierran posibles vulnerabilidades. El equipo de Chrome no hace eso, sino que va más allá. Deja la puerta abierta, pero para que los que intenten entrar se den con un muro, es decir, permiten que siga habiendo vulnerabilidades, pero cierran las puertas a cualquier posible exploit en referencia a ellos. Por tanto en general, se trata de un sistema mucho más seguro y fiable que el que cae de cajón en un principio…