Entorno personal de aprendizaje:

Curso de Ciberseguridad:
Seguridad en medios digitales
 1
Unidad 4.
Navegación Segura

Viceministerio de Tecnologías de la Información y Comunicación

Director General de Inclusión Digital y TIC en la Educación
Dirección General de Ciberseguridad y Protección a la Información
SEDE 1

Dirección: Complejo Santos E2 - Gral. Santos 1170 c/ Concordia

Teléfono: (+595 21) 217 9000
Correo electrónico: [email protected]
Mesa de entrada: [email protected]

Asunción – Paraguay

Entorno personal de aprendizaje (PLE):

Curso de Ciberseguridad: Seguridad en medios digitales

Todas las imágenes presentes en este material de apoyo educativo han sido reconocidas y, en todos los casos, son de uso
libre. Todas las fuentes bibliográficas utilizadas en este material de apoyo educativo son citadas mediante el gestor de
referencias bibliográficas Zotero, desarrollado por el Center for History and New Media de la Universidad George Mason,
utilizando el estilo de la American Psychological Association Séptima Edición.
 2
Unidad 4.
Navegación Segura

1. Riesgos en la Navegación
1.1. Navegación segura

La mayor parte del tiempo que estamos conectados a la Internet, estamos navegando
por la web. Eso motiva a los cibercriminales a buscar constantemente nuevas técnicas de
ataque basadas en la web, diversas y cada día más sofisticadas. Si bien, en los módulos previos
aprendimos muchas recomendaciones de cómo cuidarnos de varias técnicas de ataque, lo
cierto es que muchas veces no es suficiente con seguir las buenas prácticas y recomendaciones
básicas, y se requiere de protecciones más efectivas y proactivas.

En la siguiente imagen vemos un ejemplo de phishing, bastante sofisticado, donde los

atacantes alojaron un sitio fraudulento, igual a la página de inicio de Gmail, en Google Drive.
Se hace circular el enlace, que se trataba de un enlace legítimo de Google Drive, un servicio
legítimo de compartición de archivos. Es decir, no se trata de un enlace falso ni sospechoso,
por lo que muchos lo abren. Nos redirige a Google Drive, donde nos pide iniciar sesión con
nuestra cuenta de Gmail: un comportamiento completamente normal, ya que es como
funcionan los servicios de Google.

Si una persona desconfiada mira la URL, verá la dirección real de Google Drive; es
decir, no hay ningún indicio de que algo anda mal. Sin embargo, cuando ingrese sus
credenciales para poder visualizar el documento que supuestamente le compartieron, en
realidad, estas credenciales se estarán enviando al cibercriminal. Qué es lo que está
ocurriendo? El atacante subió los archivos del falso login de Gmail a su carpeta de Google Drive
y lo compartió. Al abrirlo, a la víctima se le mostró el archivo como si fuera una web de login
de Gmail. En este caso, es muy probable que se hubiera podido engañar incluso a los usuarios
más cuidadosos.
 3
Unidad 4.
Navegación Segura

2. Drive-by Download
2.1. Concepto

Otro riesgo es que nuestro equipo se infecte mientras estamos navegando. En los
casos más simples, será porque nosotros descargamos e instalamos un software malicioso,
engañados a través de un ataque de ingeniería social. Decimos "más simple", ya que, al haber
una interacción humana, podríamos haber evitado infectado si, para empezar, no hubiéramos
caído en el engaño.

Hoy en día, tenemos técnicas más sofisticadas y más peligrosas: el Drive-by Download
(en español, "descarga al paso"). Se trata de una técnica a través de las cuales sólo se requiere
que un usuario abra una página web en el navegador para infectarlo. No es necesario que haga
click en nada ni que descargue nada: con solo abrir una web que contiene código malicioso
escondido en ella, la víctima quedará infectada casi instantáneamente.
 4
Unidad 4.
Navegación Segura

Este tipo de ataques pueden realizarse con todo tipo de páginas, incluido las páginas
conocidas y confiables. Normalmente ocurre de alguna de las dos maneras:

1. El sitio web fue comprometido, porque tenía una falla de seguridad, y un

cibercriminal utilizó esa falla para inyectar código malicioso en ella. Este código
malicioso no es visible a simple vista, el aspecto de la página no habrá cambiado.
Cuando la víctima ingrese a sitio web, automáticamente se ejecutará el código
malicioso, y si la máquina de la víctima también tiene una vulnerabilidad (lo
veremos en el siguiente módulo), automáticamente quedará infectado, con solo
haber abierto la página.
2. La gran mayoría de los sitios web cuentan con anuncios, los cuales son obtenidos
de forma dinámica desde las plataformas de anuncios (por ejemplo, Google Ads).
El administrador del sitio web no tiene el control sobre qué anuncio se va a
mostrar en la página, ya que es semi-aleatorio y dinámico. Si en algún momento,
se incluye un anuncio malicioso en la página web, el cual esconde código malicioso
en su interior, cuando una víctima ingrese a ese sitio web, en ella aparecerá el
anuncio y quedará infectado de forma casi instantánea.
 5
Unidad 4.
Navegación Segura

Ante este tipo de ataques, las buenas prácticas no serán suficientes: el usuario no ha
hecho click en nada, no ha descargado ningún archivo sospechoso, no ha ingresado en un sitio
sospechoso. Simplemente ha navegado a través de sitios conocidos, los cuales tenían un
código malicioso escondido en su interior.

Es por eso que la industria de seguridad ha desarrollado diversas herramientas

orientadas a usuarios de niveles de conocimiento básicos hasta avanzados, que nos pueden
proteger durante la navegación. A continuación, veremos algunas de estas medidas de
protección y cómo activarlas en los navegadores más utilizados.

3. Protección anti-phishing/anti-
malware del navegador.
3.1. Mecanismos de protección

Casi todos los navegadores modernos ofrecen un mecanismo de protección contra

Malware y Phishing integrado al propio navegador. Esta protección funciona mediante la
comprobación de las listas de Phishing y Malware reportados. Estas listas se descargan
automáticamente y se actualizan cada 30 minutos aproximadamente. Cuando el navegador
detecta que estamos intentando ingresar a un sitio web que está listado como sitio malicioso o
sospechoso, se desplegará un mensaje de advertencia antes de que ingresemos, indicándonos
que se trata de un sitio falso o malicioso.
 6
Unidad 4.
Navegación Segura

Cuando aparezca esta advertencia debemos tener un cuidado especial y evitar ingresar
al sitio, ya que existe una alta probabilidad de que el mismo sea malicioso.

Hay que tener en cuenta que el sistema de reporte de sitios maliciosos es,
principalmente, mediante reportes de personas: una persona, cuando descubre un sitio falso o
infectado, lo reporta al sistema, luego un profesional lo verifica y si, efectivamente, se trata de
un sitio falso y/o malicioso, lo incluye en la lista "negra".

Este proceso obviamente lleva un cierto tiempo, por lo general de algunas horas.
Durante ese tiempo, cualquier persona que ingrese al sitio malicioso no verá ninguna
advertencia. Es decir, el hecho de no ver una advertencia no es garantía de que el sitio es
legítimo o no está infectado. Sin embargo, si vemos la advertencia, está comprobado que el
sitio es peligroso.

Además, es posible que seamos los primeros en visitarlo y/o que nadie todavía lo
reportó. En ese caso, siempre es recomendable reportar el sitio. Por ejemplo, para reportar un
sitio malicioso en Firefox, vamos al menú de opciones, abrimos el menú de ayuda (el signo de
interrogación) y elegimos "Informar sitio engañoso". Nos redirige a un formulario de reporte,
que se auto-completará, solamente debemos seleccionando el botón del captcha y enviar.
 7
Unidad 4.
Navegación Segura

Es una primera protección, muy básica, que como vimos, no es infalible, pero que
puede servir como una primera línea de defensa a la hora de navegar por la web. Por lo
general, viene activada por defecto en los navegadores, sin embargo, es recomendable
verificar que efectivamente esté activa. Por ejemplo, en Firefox, podemos ingresar a
Preferencias > Seguridad y fijarnos si están tildadas las 3 opciones de la sección General:
Bloquear contenido peligroso y engañoso, Bloquear descargas peligrosas y Advertirle sobre
software no deseado y poco usual.

4. Plugins del navegador.

4.1. Plugins

El navegador, por sí solo, sirve solamente para navegar por la web. Sin embargo, para
poder realizar otras funciones necesarias para una navegación "amigable", debe ser capaz de
realizar otras operaciones: reproducir audio, videos, visualizar documentos, etc. Es por eso que
existen los plugins o complementos en español: pequeños programas, que se integran al
navegador, y le brindan esas funcionalidades adicionales.
 8
Unidad 4.
Navegación Segura

Algunos de los plugins más utilizados, sin los cuales difícilmente podamos navegar, tal
como lo hacemos hoy, son los siguientes:

• Adobe Flash Player

• Visor de PDF
• Java
• Decodificadores de audio
• Silverlight.

Sin embargo, como lo veremos más adelante, todos los programas, sin excepción,
pueden tener fallas de seguridad o vulnerabilidades. Los plugins, al igual que el navegador, son
programas, y por ende también tienen vulnerabilidades. Por lo general, los cibercriminales se
valen de estas vulnerabilidades para llevar a cabo los ataques, como por ejemplo los ataques
de drive-by download, que necesitan aprovecharse de una vulnerabilidad de algún programa
de la víctima para poder infectarla.

El principal problema con los plugins es que, por defecto, se ejecutan de forma
automática cuando un sitio web lo necesita. Por ejemplo, cuando entramos a un sitio web que
tiene un pequeño video hecho en Flash, este sitio web ejecuta el plugin Adobe Flash Player de
forma automática para que lo podamos ver, sin pedirnos permiso. Esto es muy cómodo y
práctico para el usuario, quien no debe preocuparse de los plugins: abre un sitio web y ve todo
lo que quiere ver. Pero qué ocurre cuando ingresamos a un sitio web infectado o malicioso que
esconde un código malicioso que explota una falla de seguridad del plugin, por ejemplo de
Adobe Flash Player? Como el navegador no nos pide permiso, éste se ejecuta de forma
automática, y la falla se explota, sin que podamos hacer nada para pararlo.

Los navegadores nos dan la posibilidad de activarlo o desactivarlo de tal modo que,
cada vez que un sitio web desea ejecutar un plugin, se nos pida autorización para ejecutarlo. Si
confiamos en el sitio web, le damos ese permiso. De lo contrario, queda bloqueado. Si se
hubiera tratado de un sitio malicioso al que estamos accediendo, si no le damos permiso de
ejecutar el plugin, no nos infectaremos.

Esta configuración depende de cada navegador. En el caso de Firefox, hay que ingresar
a Menú > Complementos y temas > Plugins, y en cada uno de los plugins, seleccionar la opción
"Activar siempre" o "No activar nunca".
 9
Unidad 4.
Navegación Segura

En el caso de Chrome, ingresamos a Configuración > Extensiones, se abrirá la

ventana correspondiente a las extensiones que tenemos instalados en nuestro equipo.
Cala extensión cuenta con una pestaña para activar o desactivar.
 10
Unidad 4.
Navegación Segura

Además, como todo programa, es fundamental mantener actualizados los

plugins. Si bien, la mayoría de las veces se actualizan de forma automática con el
navegador, asegúrate que se están actualizando:

• Firefox: Menú > Complementos y temas > Plugins: en la parte superior

derecha en el icono de engranaje aparece la opción de buscar
actualizaciones, tambien marcar la opción de actualizar complementos
automaticamente.

• Chrome: ingresamos a Configuración > Extensiones, se abrira la ventana

correspondiente a las extensiones que tenemos instalados en nuestro
equipo y habilitar el modo programador para forzar la actualización:
 11
Unidad 4.
Navegación Segura

También es importante tener cuidado con instalar ni autorizar plugins de sitios

dudosos. Existen los plugins maliciosos, que no son otra cosa que malware (software
malicioso) que infectan nuestro navegador y por ende, nuestro equipo. Por ejemplo,
hace un tiempo hemos descubierto en Facebook un enlace de un supuesto video que
era compartido por mucha gente. Al ingresar al enlace, no había ningún video; en
cambio, había un cuadro negro con un anuncio que nos indicaba que, para ver el video,
era necesario autorizar un plugin, un supuesto códec de audio. Por supuesto, era un
engaño: se trataba de un plugin malicioso, que cuando la persona lo autorizaba,
infectaba el navegador.

Al tener control sobre el navegador, tenía acceso a la sesión abierta de

Facebook, por lo que el malware se compartía en el muro de la víctima (sin que ésta lo
sepa) de modo a que más personas caigan en el engaño, creyendo que la persona lo
compartió voluntariamente.

5. Complementos de Seguridad.
5.1. Recomendaciones

Si bien, como vimos, el navegador trae incorporadas algunas funcionalidades

de seguridad, éstas son básicas y limitadas. Es por eso que existen complementos
adicionales que puede instalarse para seguridad adicional. Si bien, existen muchísimos
complementos de seguridad, vamos a mencionar solo algunos de ellos:
 12
Unidad 4.
Navegación Segura

AdBlock-Plus: Este add-on ayuda a bloquear la publicidad molesta e intrusiva,

tales como pop-ups, banners, etc., normalmente conocidos como adware. Estos
normalmente son puntos de entrada para ataques. Hay que destacar que este
complemento no bloquea la publicidad no-intrusiva. Está disponible para la mayoría de
los navegadores y sistemas operativos, y puede ser instalado desde:
https://adblockplus.org.

No-Script: Javascript, Java, Flash y otros plugins son uno de los vectores de
ataque preferido por los delincuentes. Si bien, muchos sitios requieren Javascript y
plugins para funcionar correctamente, es recomendable deshabilitarlo por defecto y
permitirlo sólo en las páginas en las que confiamos. NoScript sólo permite JavaScript,
Java y otros plugins en los sitios web de confianza que nosotros elegimos
voluntariamente. Este planteamiento preventivo basado en una lista blanca evita que
se puedan explotar vulnerabilidades (conocidas o incluso desconocidas) sin pérdida de
funcionalidad.

ScriptSafe: Esta extensión, muy similar a No-Script para Firefox, impide que las
páginas que visitamos ejecuten código en Javascript o complementos basados en Flash
por defecto. Como muchos sitios no funcionarán correctamente, debemos agregarlos
manualmente a la lista blanca. Para instalarlo, accedemos al siguiente enlace desde
Google Chrome: https://chrome.google.com/webstore/detail/scriptsafe

HTTPS Everywhere: Siempre que sea posible se conectará a la versión HTTPS de

una página web, para evitar que un atacante pueda interceptar datos sensibles tales
como contraseñas, información bancaria, etc. Está disponible para Firefox, Chrome,
Opera y Firefox para Android. https://www.eff.org/https-everywhere

Ghostery: Detecta software espía, de seguimiento, contadores y otros tipos de

software invasivos al usuario, ofreciendo la posibilidad de bloquear los scripts que les
permiten capturar y guardar nuestros datos. Está disponible para casi todos los
navegadores y sistemas operativos, tanto de escritorio como móviles.
https://www.ghostery.com/es/download