Durante décadas, las empresas han permitido a sus trabajadores utilizar cualquier navegador gratuito que quisieran para acceder a los archivos más confidenciales posibles. Los CIO creían que el software de seguridad del entorno (como las aplicaciones de seguridad de puntos finales o las puertas de enlace web supuestamente seguras) brindaría todas las protecciones necesarias.
Hasta 2020, esa visión era en cierta medida válida. Pero cuando varios cambios impulsados por la pandemia afectaron al lugar de trabajo, casi todo cambió. A medida que la exposición extrema al navegador se volvió mucho más peligrosa, el cambio fue tan gradual que casi nadie en TI notó ningún peligro. Esos cambios incluyeron cantidades masivas de nuevos sitios remotos; cambios vertiginosos desde herramientas y aplicaciones locales hacia la nube; y muchas más implementaciones de SaaS.
El problema del navegador surge en realidad de dos problemas distintos: prácticamente no hay límites sobre qué navegador se puede usar y no hay protecciones a nivel empresarial sobre esos navegadores.
El primero es el más extraño.
De alguna manera, el departamento de TI permite que se utilice cualquier navegador en sus entornos sensibles. ¿Se imagina que se permita eso para cualquier otra cosa? ¿Cuántos CIO les dirían a los trabajadores que pueden usar cualquier aplicación VPN que quieran, incluidas las VPN gratuitas para consumidores? ¿Un CIO de una empresa estaría de acuerdo con que alguien del departamento de finanzas ignorara la licencia corporativa de Excel y, en su lugar, optara por poner detalles confidenciales de la nómina en una hoja de cálculo gratuita que se encuentra en un sitio de juegos en China? ¿O tal vez un empleado podría renunciar a una cuenta de Zoom pagada por la empresa para hablar de esa próxima adquisición y utilizar un servicio gratuito del que nadie ha oído hablar nunca?
Por lo general, TI mantiene controles estrictos sobre todo el software que toca sus áreas privilegiadas, pero ¿los navegadores son un caos en materia de seguridad?
Analicemos brevemente su historia. Cuando los navegadores gráficos se empezaron a utilizar en masa en las empresas (no olvidemos que los primeros navegadores, como Cello y Lynx, eran puramente de texto) alrededor de 1994, el objetivo era facilitar al máximo la interacción de las personas con la web. En ese momento, Internet ya existía desde hacía décadas, pero la web se había popularizado hacía poco.
El problema es que a medida que los entornos se volvieron exponencialmente más complejos y el acceso a datos ultrasensibles se disparó, TI no se detuvo a reconsiderar las antiguas políticas de los navegadores.
Si los administradores de TI tuvieran que elegir un navegador específico para implementar, los controles serían mucho más fáciles. Incluso podrían exigir a los usuarios que accedan a la última versión desde TI, lo que permitiría un estricto mantenimiento de las actualizaciones. Las páginas web internas podrían diseñarse para ese navegador, lo que haría mucho más probable que se ofreciera una experiencia idéntica para todos los usuarios.
A menudo me encuentro con áreas seguras donde el texto crítico (como el botón ‘siguiente’) no aparece en la pantalla. Eso significa que tengo que probar tres o cuatro navegadores hasta que uno funciona. Imagine que ese problema desapareciera simplemente imponiendo un navegador para todos.
Ese tipo de mandato corporativo plantea algunos problemas:
- Computadoras de escritorio vs. dispositivos móviles. Algunas empresas podrían considerar la posibilidad de estandarizar un navegador para computadoras de escritorio y posiblemente otro navegador para dispositivos móviles.
- Problemas políticos de TI. Algunos de los navegadores con mayor participación en el mercado están profundamente integrados con los entornos de un proveedor, como Google Chrome y Microsoft Edge. Dependiendo de cómo se integren sus entornos con diferentes plataformas, esto podría ser un problema.
- Cumplimiento normativo. Algunos de los fabricantes de navegadores son más agresivos a la hora de ampliar los límites de privacidad y otros datos, especialmente cuando se trata de inteligencia artificial generativa. La estandarización de uno de ellos podría generar problemas de cumplimiento normativo corporativo, especialmente si tiene una presencia importante en Europa occidental, Australia o Canadá.
- Geografía. Más allá de los problemas de cumplimiento, hay que tener en cuenta cuestiones de idioma y de soporte regional, especialmente si tiene una presencia importante en Asia.
Esto nos lleva al segundo problema. En sus inicios, los navegadores nunca fueron diseñados para ser mínimamente seguros, y hoy en día no ha habido muchos cambios. Por eso, el departamento de TI debe insistir en que algo actúe como una capa segura entre su entorno y cualquier navegador, incluso el navegador que usted elija como favorito.
Dado que las necesidades de cada empresa son diferentes, no existe una solución de seguridad de navegador que se adapte a todos. La capa de seguridad del navegador debe funcionar bien con sus sistemas existentes y sus necesidades de cumplimiento específicas (en función de la geografía y los sectores verticales) son factores críticos.
“El navegador es la aplicación número uno que todo el mundo utiliza. Los navegadores de hoy son mucho más potentes que las versiones anteriores”, afirmó Dor Zvi, director ejecutivo de la empresa de seguridad Red Access. “Permiten ejecutar Javascript, iniciar sesión y tokens, y reproducir HTML. El navegador de hoy es tan potente que actúa casi como un sistema operativo”.
Zvi sostiene que hay una razón por la que esas capacidades del navegador son tan peligrosas.
“Muchos de los ataques actuales pueden ocurrir completamente dentro del navegador. Ocurren dentro del marco del navegador, lo que significa que no están en el lado de la red ni en el lado del punto final. El navegador ahora contiene las cookies y tokens para todas sus aplicaciones”, dijo. “Digamos que alguien está tratando de robar mi autenticación de dos factores Okta. [El atacante] puede ejecutarlo utilizando únicamente los privilegios del navegador y nadie lo sabrá nunca”.
Otro problema que supone permitir que cualquier navegador de cualquier parte del mundo acceda a sus sistemas tiene que ver con las extensiones del navegador. De la misma forma que Apple y Google no pueden controlar adecuadamente sus aplicaciones para detectar y eliminar las maliciosas, los equipos de navegadores no pueden verificar la legitimidad de las extensiones. Un navegador malicioso suele tener acceso ilimitado a todo lo que puede hacer o ver. Por eso es importante estandarizar en un navegador, ya que permite que el departamento de TI también controle las extensiones del navegador.
Hay mucho en qué pensar, pero es preferible no hacerlo justo antes de acostarse.
Read More from This Article: ¿La mayor amenaza informática? Ese navegador web aparentemente inofensivo
Source: News