Información sobre seguridad en base a CCN-CERT BP-06/16 Navegadores Web
- Utilizar siempre un navegador actualizado. Los principales navegadores de hoy en día se actualizan automáticamente bien de forma transparente al usuario o mediante notificaciones que deberán ser aprobadas. Las actualizaciones automáticas del sistema operativo deberán también estar habilitadas.
2. Compruebe que los plugins y extensiones están configurados para actualizarse automáticamente. Asimismo, asegúrese que la instalación de estos complementos se realiza desde fuentes fiables.
3. Se aconseja/recomienda:
3.1.-Deshabilitar complementos como Adobe Flash y Java para aquellos servicios y sitios desconocidos. Mecanismos que permitan pinchar y ejecutar o el uso de determinadas extensiones permiten facilitar esta tarea. Asimismo, se recomienda deshabilitar JavaScript para navegar por páginas web desconocidas. Para agilizar esta configuración pueden utilizarse extensiones que permiten aplicar políticas de contenido para habilitar y deshabilitar lenguajes de scripting.
3.2.-Revisar las opciones de seguridad y privacidad del navegador. Hoy en día los navegadores disponen de medidas tan interesantes como: no aceptar cookies de terceros, bloquear las ventanas emergentes, evitar la sincronización de contraseñas, evitar el autocompletado, borrar los ficheros temporales y cookies al cerrar el navegador, bloquear la geolocalización, etc.
3.3.-Hacer uso de HTTPS (SSL/TLS) frente a HTTP incluso para aquellos servicios que no manejen información sensible. Existen funcionalidades que servirán de gran ayuda para garantizar el uso preferente de HTTPS sobre HTTP durante la navegación web.
3.4-Proteger el navegador y los complementos con soluciones que impidan aprovechar debilidades de seguridad para evitar posibles ataques derivados de programas que intenten aprovechar dichas debilidades. En algunos casos, este tipo de herramientas podrán proteger al usuario frente a “0-days”. Esta solución no debe verse como un sustituto al antivirus sino como una capa de seguridad adicional.
3.5.-Proteja sus contraseñas, no las revele a terceros por escrito ni verbalmente. Cambie de contraseña periódicamente usando combinaciones de números, letras y símbolos, y nunca atienda a peticiones de contraseña que le lleguen por correo electrónico. No almacene contraseñas de forma predeterminada por medio del navegador y utilice herramientas más seguras para su gestión.
4. Es importante verificar que los certificados remitidos por servicios HTTPS que manejen información sensible han sido remitidos por una CA de confianza. Cualquier error o alerta generada por el navegador como consecuencia de la validación del certificado deberá revisarse cuidadosamente.
5. Valore el uso de extensiones o complementos adicionales que implementen funcionalidades no contempladas por el navegador, es decir, todas aquellas extensiones o complementos que mejoran la privacidad durante la navegación o que bloquean los anuncios, banners publicitarios y determinadas técnicas de seguimiento utilizadas por terceros.