[24/01/2022] En la última versión beta de su navegador Edge, Microsoft introdujo una nueva forma para que los administradores de TI aseguren mejor el navegador basado en Chromium contra los ataques basados en la web.
Las notas de la versión del canal beta de Microsoft Edge describen las nuevas características de seguridad como el empleo de varias técnicas para protegerse de los llamados exploits de día cero; los exploits de día cero son vulnerabilidades de software o de red que los desarrolladores desconocen, por lo que no han sido parcheados.
Imagínese que el mecanismo de la cerradura de la puerta trasera de su casa estuviera defectuoso y que al sacudir el pomo de la puerta se liberara el pestillo. Los ladrones podrían ir de puerta en puerta buscando esa vulnerabilidad en particular y sacudir los pomos hasta que uno se abriera. Los días cero son el mismo concepto, pero en el ciberespacio.
Los sistemas informáticos se ven cada vez más atacados por nuevos virus, por la ciberguerra y por ataques de fuerza bruta. Una de las vías más fáciles para entrar en los sistemas de una organización es a través de una vulnerabilidad conocida, pero sin parches, especialmente una que se encuentra fuera de los firewalls de la organización (es decir, un dispositivo de usuario final).
Los hackers -tanto los buenos como los malos- venden los exploits de día cero que descubren. Los buenos los venden a las empresas para reforzar su seguridad; los malos los venden a otros actores malos. Por ejemplo, al principio de la pandemia, los piratas informáticos vendieron vulnerabilidades de software descubiertas en la aplicación de videoconferencia Zoom; un exploit era para PC con Windows, el otro, para sistemas macOS. Los piratas informáticos supuestamente vieron un pago de medio millón de dólares.
La nueva función de Microsoft en Edge permite a los administradores configurar determinadas políticas de grupo para los escritorios de los usuarios finales (Windows, macOS y Linux) con el fin de protegerlos contra las vulnerabilidades de día cero. Cuando se activa, la función añade la protección de pila reforzada por hardware, la protección de código arbitrario (ACG) y la protección de flujo de contenido (CFG) como mitigaciones de seguridad de apoyo para proteger mejor a los usuarios en línea. Las políticas de grupo incluyen: EnhanceSecurityMode; EnhanceSecurityModeBypassListDomains; y EnhanceSecurityModeEnforceListDomains.
La actualización de la beta de Edge también introduce una función de contraseña principal personalizada. Aunque el navegador ya permite a los usuarios añadir un paso de autenticación antes de que las contraseñas guardadas se autocompleten en los formularios web (en otras palabras, la autenticación de dos factores), poder crear una contraseña personalizada añade otra capa de privacidad y ayuda a evitar que los usuarios no autorizados utilicen las contraseñas guardadas para iniciar sesión en sitios web.
La contraseña principal personalizada es una evolución de esa misma función, en la que los usuarios pueden utilizar una cadena personalizada de su elección como contraseña principal. Una vez activada, los usuarios introducirán esta contraseña para autenticarse, y sus contraseñas guardadas se rellenarán automáticamente en los formularios web.
Junto con las nuevas características de seguridad, otras mejoras incluyen la corrección de un problema por el que los proveedores de búsqueda por defecto no pueden ser eliminados, un pequeño ajuste para mostrar sugerencias de búsqueda inmediatamente cuando se hace clic en la barra de direcciones, y la adición de Web Capture cuando se ven los PDF en Microsoft Edge.
Por último, Microsoft ha actualizado sus barras de desplazamiento con un diseño basado en la superposición en Edge. Los usuarios pueden activar esta función en edge://flags.
Al activar esta función, se oculta la barra de herramientas y se evita que aparezca la barra de desplazamiento, por lo que es necesario que el usuario pase el mouse por el borde de la ventana para que aparezca la barra de desplazamiento.
Si se desactiva, la barra de herramientas aparecerá automáticamente.
Basado en el artículo de Lucas Mearian (Computerworld) y editado por CIO Perú