europa pressMadrid, España
Google Chrome ha comenzado a probar una función de seguridad con la que evita ataques maliciosos de sitios web públicos que pretenden acceder a dispositivos y servicios en redes privadas internas, como 'routers' u otros ordenadores, identificando si las solicitudes de acceso provienen de un contexto seguro y comprobando si tienen acceso a la red privada.
Una red privada o interna
es un conjunto de direcciones que permite a distintos dispositivos y
servicios comunicarse dentro de una misma red, sin necesariamente disponer de
acceso a Internet. Por tanto, una red privada dispone de acceso limitado y se
utiliza para conectar equipos de una misma organización u hogar, es decir una
impresora, un 'router' o, incluso, distintos ordenadores entre sí.
Los datos que manejan las
redes privadas solo se gestionan de forma interna proporcionando un mayor nivel
de privacidad, y son comúnmente utilizadas en empresas, universidades o
eventos.
Algunos ataques maliciosos que provienen de sitios web
públicos pueden suponer un riesgo, no solo para el dispositivo desde el que se
está accediendo al sitio web, sino para los dispositivos y servicios conectados
a su misma red privada. Esto se debe a que el ciberataque puede utilizar la red
interna para llegar a dichos dispositivos.
En este sentido, Google
ha comenzado a probar una nueva característica en su navegador
Chrome, a la que se refiere como verificaciones de acceso a la red
privada para solicitudes de navegación, tal y como ha dado a conocer en una
publicación de soporte.
En concreto, se trata de
una función con la que el navegador podrá verificar si un sitio web público
intenta llevar a cabo un ataque malicioso y, en caso de considerarlo un riesgo,
bloquearlo antes de que acceda a, por ejemplo, el 'router' del hogar, a través
de la red privada.
Esta herramienta permitirá evitar que los sitios web
maliciosos "pivoten" a través de la red de un usuario para atacar
dispositivos y servicios que "razonablemente asumieron que eran
inalcanzables desde Internet en general", de cara a instalarse en la
intranet local del usuario o en un dispositivo conectado a dicha red.
Así, según ha detallado
la tecnológica, el funcionamiento de esta nueva característica consiste en que,
antes de que un sitio web acceda a otros servicio o dispositivo a través de la
red privada de un usuario, el navegador comprueba si la solicitud se ha
iniciado desde un contexto seguro. Tras ello, envía una solicitud de
verificación previa al dispositivo al que quiera acceder el sitio web público y
comprueba si este responde dando acceso.
Es decir, las solicitudes
de acceso a dispositivos que pertenecen a una red interna por parte de sitios
web públicos se bloquearán automáticamente a no ser que el dispositivo permita
de forma concreta dicha conexión.
Por el momento la función
está en modo "solo advertencia" en Chrome 123, por lo que Google ha
especificado que, actualmente, continúan otorgando acceso a la red privada. No
obstante, ha compartido que, en caso de encontrar un fallo en las
comprobaciones mencionadas anteriormente, el navegador procederá a lanzará una
advertencia a los usuarios en las DevTools.
De esta forma, con la
advertencia, Google pretende "ayudar a los desarrolladores a prepararse
para la próxima aplicación", esto es, adaptarse antes de que el navegador
comience a implementar esta herramienta de forma estricta.
EVITAR RECARGAR LA NAVEGACIÓN
Además de todo ello, la
compañía también ha advertido en un documento explicativo que, una vez se
bloquea la solicitud del sitio web público, el navegador puede intentar
recargar automáticamente la navegación, de la misma forma que el usuario puede
recargar la página manualmente.
En este caso, dado que el que inicia la recarga es el
navegador, la petición de acceso no se reconocerá como una petición de 'Acceso a Red privada' si no que se
tendrá en cuenta como una petición interna. Por tanto, se saltará las
protecciones de la herramienta de seguridad en cuestión.
Para frenar este fallo,
Google ha sugerido desactivar la recarga automática del navegador, cuando la
solicitud esté bloqueada por la nueva característica de seguridad.