Mejorar la seguridad web para los usuarios
Los ciberataques representan una violación de los derechos humanos que podría tener consecuencias devastadoras para las personas y la sociedad. «Los ataques incluyen programas de secuestro que exige el pago a usuarios y organizaciones», explica el coordinador del proyecto Browsec, Matteo Maffei, de TU Wien (Austria). «Los ciberataques también se dirigen a infraestructuras críticas, mientras que las ultrafalsificaciones que utilizan inteligencia artificial para hacerse pasar por individuos pueden engañar a las víctimas». Los ciberatacantes aprovechan a menudo el amplio uso que hacemos de los navegadores web. A medida que esos navegadores evolucionan, se vuelven inevitablemente vulnerables a fallos críticos para la seguridad que pueden ser difíciles de detectar. «Además, las normas de seguridad integradas en los navegadores modernos no se comprenden del todo», añade Maffei. «Los ciberataques intentan explotar no solo fallos de codificación, sino también fallos lógicos dentro de los propios estándares web».
Extensiones para navegadores y técnicas de verificación del código
El objetivo del proyecto Browsec, financiado por el Consejo Europeo de Investigación, era abordar estas cuestiones críticas. Eso se consiguió, primero asegurando el código del navegador y, lo que es más importante, velando por que las normas de seguridad web ofrezcan a desarrolladores y usuarios rigurosas garantías de seguridad. «Nuestra investigación se basó en tres pilares fundamentales», explica Maffei. «En primer lugar, desarrollamos un modelo formal que define el comportamiento del navegador y las interacciones con sitios web y servidores potencialmente adversos». El modelo permitió al equipo realizar pruebas rigurosas, descubriendo interacciones inesperadas y revelando posibles vulnerabilidades. «En segundo lugar, hemos reconocido que mantener actualizados los navegadores es un reto importante», señala Maffei. «Para solucionarlo, creamos una técnica automatizada para formalizar el comportamiento de los navegadores. Eso se reutilizó para análisis de seguridad». Posteriormente, el equipo desarrolló extensiones de navegador y técnicas de verificación de código, diseñadas para imponer colectivamente rigurosas garantías de seguridad en las aplicaciones web.
Los estándares web y la seguridad de los navegadores modernos
Browsec ha contribuido notablemente a los estándares web y a la seguridad de los navegadores modernos. De entrada, las vulnerabilidades descubiertas a lo largo del proyecto han sido reveladas y subsanadas. «Algunas de estas vulnerabilidades tenían su origen en problemas conceptuales de los marcos de desarrollo web utilizados para crear casi todas las aplicaciones web», añade Maffei. «Gracias a nuestro trabajo, estos problemas se han resuelto». El equipo también descubrió diversas incoherencias y fallos en las normas web, que se han comunicado a los organismos de normalización. Por último, el marco de análisis de la seguridad de los navegadores del proyecto puede constituir una base sólida para estudiar las implicaciones para la seguridad de futuras actualizaciones de los navegadores.
La seguridad web desde el diseño
Gracias a Browsec, los desarrolladores web ahora tienen acceso a bibliotecas que les permiten escribir código más seguro. Los proveedores disponen de un marco para probar no solo la funcionalidad, sino también la seguridad de sus navegadores. Asimismo, los organismos de normalización disponen ahora de un marco para evaluar formalmente la seguridad de las normas web. «De este modo, Browsec ha tenido un profundo impacto en la seguridad de toda la sociedad digital», señala Maffei. «Nuestro marco de análisis se actualizará para seguir el ritmo de los cambios, y también pretendemos lograr una mayor integración con el proceso de normalización». Para Maffei, una lección clave —y legado duradero de Browsec— es que los métodos formales son una herramienta eficaz y práctica para garantizar la seguridad web. «Los métodos que hemos desarrollado han demostrado su eficacia no solo para identificar fallos, sino también para influir en el proceso de normalización», afirma. «Eso ha acercado el concepto de “seguridad web desde el diseño” a la realidad».
Palabras clave
Browsec, ciberataques, digital, navegador web, programa de secuestro, ultrafalsificaciones
