El pasado día 1 de diciembre, el equipo de desarollo de Tor publicó una actualización para su Tor Browser Bundle (Paquete de Navegación Tor). Este navegador es una versión modificada de Mozilla Firefox que emplea la red Tor para garantizar el anonimato del usuario mientras navega por la Red. La actualización que nos ocupa tenía como propósito el de parchear un defecto de seguridad que algunos sitios web maliciosos estaban explotando para tratar de comprometer a sus usuarios. El ataque en cuestión requería que el navegador descargase un programa malicioso de la página (de hecho, código JavaScript) y lo ejecutase.

La naturaleza de esta agresión no hace sino ejemplificar, nuevamente, uno de los mayores problemas que, a mi juicio, infectan la experiencia web: los programas que tu navegador descarga de Internet y ejecuta sin tu consentimiento expreso.

En sus comienzos, el universo web estaba concebido para ser una plataforma de distribución de documentos. No se esperaba que los usuarios hiciesen cosas mucho más complicadas que ir a una página y leerla. Con el tiempo, los usuarios y desarolladores comenzaron a utilizar la web como una plataforma donde se ejecutaban aplicaciones. Los usuarios ya no se limitaban a leer documentos: iban a foros en los que podían publicar su propio contenido, o a clientes web de correo electrónico mediante los cuales podían leer o enviar emails. Estos nuevos sitios no eran ya documentos, sino programas (en realidad, conjuntos de programas) muy dinámicos que interactúan con los usuarios y toman decisiones inteligentes.

Debido a sus orígenes como simple plataforma de distribución de documentos, la tecnología subyacente que sustentaba la web era muy limitada. Por eso, para poder sostener todas estas nuevas aplicaciones, se comenzó a emplear una cosa que se llama código para clientes
(client-side scripting). La idea es relativamente sencilla: para poder sobrepasar las limitaciones de la tecnología web, el navegador de los visitantes de un sitio web descarga de la página un fragmento de código y lo ejecuta. La ejecución de este código permite al navegador realizar acciones mucho más complejas e interactuar con aplicaciones web mucho
más ricas de lo que podría en otras condiciones.

El código para clientes es tan prevalente hoy día, que muchos desarolladores web apenas conciben una pagina sin él. En tiempos actuales, la práctica totalidad de los sitios web que uno visita le hace descargar un programa o varios y ejecutarlo. Y aquí surge la triste tragedia: el Internet moderno espera de ti que, cada vez que visites un sitio web, descargues y ejecutes cualquier programa que te ofrezcan y reces para que no sea código malicioso. Esto es tan seguro como hacer turismo sexual sin llevar preservativos encima. Los navegadores modernos están diseñados para pegarse un revolcón con cualquiera con quien se cruzan por Internet, y no están equipados con una caja de preservativos que sea fácil de usar o nos dé garantías.

Aunque mucho código para clientes moderno tiene aplicaciones benignas, un inmenso procentaje del mismo se emplea para aplicaciones indeseables, tales como la distribución de anuncios y el rastreo de usuarios. La mayoría de estos programas se ejecutan sin el permiso expreso de los usuarios que los están ejecutando.

Hay maneras de evitar que nuestro navegador descargue y ejecute este código indeseado. La más obvia es desactivar todas las funciones típicas de código cliente de tu navegador (JavaScript, Java y complementos similares), pero hacer esto daña irremediablemente tu experiencia web, porque muchas páginas legítimas no funcionarán sin código para clientes. Una alternativa consiste en instalar un filtro como NoScript. NoScript es un complemento para Mozilla Firefox y Seamonkey que bloquea la ejecución de código para clientes que no está expresamente autorizado. Esto hace posible autorizar la ejecución de código proveniente de sitios web en los que confías y bloquear el resto. Aunque no es un mal enfoque, requiere que el usuario configure sus filtros a mano, cosa que consume tiempo y esfuerzo. Finalmente, una solición recomendada por Snowden consiste en emplear un bloqueador de anuncios convencional. Un complemento como ublock o adblock plus diseñado para matar anuncios puede bloquear la mayor parte de código publicitario y de rastreo de usuarios. Esto reduce drásticamente la cantidad de código que tu navegador ejecutará sin permiso, y es relativamente fácil de implementar. La desventaja es que no bloqueará muchas fuentes de código indeseado o peligroso.

Rubén LlorenteAcerca del autor: Rubén Llorente

Soy escritor, ingeniero y técnico informático.
Dirección de Bitmessage:
BM-2cW2L2JrWiGJdQttk2cTUeq9yYeaiBTyb1
Clave OpenPGP:
BB5A C2A2 2CAD ACB7 D50D C081 1DB9 6FC4 5AB7 92FA

 

Rubén Llorente

No tengas miedo de la ley si no tienes nada que esconder

Un argumento recurrente que tengo que aguantar con frecuencia es que, si no tienes nada que esconder, no tienes ningún motivo para ser cuidadoso...

Recuperando tu privacidad con Bitmessage

Es cada vez más complicado encontrar proveedores de servicios de email que son verdaderamente privados. Muchos grandes proveedores de servicios basan su modelo de...

Por qué los libros digitales no salvarán a los autores desconocidos

Antes de la aparición del libro electrónico, era prácticamente imposible para un autor desconocido conseguir que sus libros llegasen a los lectores. Tal proeza...

NOTICIAS

La Fiscalía se querellará por rebelión contra los que participen en la DUI

La Fiscalía General del Estado lleva semanas preparando la posible interposición de una querella contra el presidente de la Generalitat, Carles Puigdemont, si se...
video

Declaración de Mariano Rajoy. Aplicación del 155 de la Constitución Española

Declaración de Mariano Rajoy sobre la aplicación del 155 de la Constitución Española. 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

Rajoy carga contra Puigdemont por la activación del artículo 155: “Él y sólo él”

El jefe del Gobierno, Mariano Rajoy, ha asegurado hoy que el presidente catalán, Carles Puigdemont, es el único responsable de que se haya activado...
Diseñado para ser promiscuo: tu navegador web
5 (100%) 2 votes

No hay comentarios

Deja un comentario