Ya sabemos el gran valor de los datos en Internet. Hoy vamos a hablar de nuevas técnicas que pueden utilizar los ciberdelincuentes para averiguar qué sitios visitan los usuarios y obtener el historial de navegación. Un nuevo informe realizado por investigadores de seguridad de la Universidad de San Diego ha mostrado nuevos ataques a través de los cuales los ciberdelincuentes podrían recopilar el historial de navegación de los usuarios.
Todos estos ataques que los investigadores desarrollaron en su documento funcionaron en Google Chrome. Dos de los ataques también funcionaron en una variedad de otros navegadores, como Mozilla Firefox o Microsoft Edge. Eso sí, el único navegador que se mostró inmune a todos los ataques ha sido el navegador Tor, que no guarda un registro del historial de navegación.
Los investigadores esperan que gracias a su informe los desarrolladores tomen nota y mejoren los navegadores. La idea es sumar para hacer que este tipo de software tan utilizado sean más seguros.
Un ciberdelincuente puede tener especial interés en recopilar el historial de navegación de la víctima. Esto es así ya que puede aprender sobre cómo utiliza la red, qué páginas visita, qué plataformas y servicios usa, etc. Posteriormente pueden realizar ataques phishing según esta información. Puede determinar si tenemos cuenta en un banco concreto, por ejemplo.
Los ataques que los investigadores desarrollaron, en forma de código JavaScript, hacen que los navegadores se comporten de manera diferente según si un sitio web ha sido visitado o no. El código puede observar estas diferencias. Un ejemplo es el tiempo que tarda una operación en ejecutarse o la forma en que se maneja un determinado elemento gráfico para recopilar el historial de navegación.
Para diseñar los ataques, los investigadores explotaron características que les permiten a los programadores personalizar la apariencia de su página web, controlando fuentes, colores, fondos… Para ello utilizan CSS, así como un caché destinado a mejorar el rendimiento del código web.
En total han sido cuatro ataques desarrollados por los investigadores. Todos ellos aprovechan características recientes de los navegadores. Funciones que permiten que, por ejemplo, una página web proporcione código personalizado gracias a una característica de Chrome que se llama CSS Pain API y que sirve para pintar.
Pero descubrieron hasta otros tres tipos de ataques que podrían afectar a los principales navegadores. Todos ellos relacionados con nuevas funciones de los mismos.
La mejor manera de prevenir este tipo de ataques es mantener actualizados nuestros sistemas. En ocasiones surgen vulnerabilidades que son utilizadas por parte de los ciberdelincuentes. Los desarrolladores lanzan parches de seguridad para evitar estos problemas. También, como hemos mencionado, hay algunos navegadores especializados en la privacidad, como es el caso de Tor, en el que estos métodos no tienen efecto.
Fuente: RedesZone
