Chrome pronto evitará que los sitios web ataquen su enrutador

Google siempre está trabajando para hacer que Chrome sea más seguro. A partir de Chrome 98, la compañía hará que sea mucho más difícil atacar dispositivos de red como el enrutador o la impresora gracias a una nueva medida de seguridad llamada Acceso privado a la red.

Según lo informado por primera vez por Ars Technica, Chrome 98 interceptará las solicitudes cuando los sitios web públicos deseen acceder a puntos finales dentro de la red privada de un usuario (como enrutador, impresora, NAS, dispositivo doméstico inteligente y más) y luego registrará el intento. En versiones posteriores de Chrome, posiblemente tan pronto como Chrome 101, el navegador bloqueará estas solicitudes hasta que le conceda permiso.

En su plan de implementación, Google afirma: "El acceso a la red privada (anteriormente conocido como CORS-RFC1918) limita la capacidad de los sitios web para enviar solicitudes a servidores en redes privadas".

Los enrutadores a menudo son atacados, particularmente por gusanos, y detectados por botnets que los usan para ataques DDoS. Pero, ¿sabía que los sitios web también han usado navegadores web para atacar enrutadores? Ahora, Google impedirá que los sitios web usen Chrome para realizar dicho ataque nuevamente.

A gran escala, esto podría evitar que los servicios principales como AWS fallen y, a menor escala, podría evitar que los usuarios finales sobrecarguen sus conexiones debido a ataques DDoS.

En 2014, los piratas informáticos utilizaron una solicitud de falsificación entre sitios para cambiar la configuración del servidor DNS para más de 300 000 enrutadores inalámbricos, lo que solo fue posible debido a la naturaleza abierta de los navegadores. Si este cambio en Chrome hubiera estado activo, este ataque no se habría producido.

No hay una fecha de lanzamiento establecida porque Google debe usar el período de prueba para asegurarse de que partes significativas de Internet no se vean interrumpidas por este cambio. Suponiendo que no haya interrupciones significativas, esto creará una capa adicional de seguridad en Chrome que podría evitar toda una clase de ataques web.

Lo que sucederá con Chrome 98 es que Chrome enviará solicitudes de verificación previa antes que solicitudes de subrecursos de red privada (sitios web que requieren acceso a dispositivos en su red privada). Cualquier error muestra advertencias en DevTools, sin afectar las solicitudes. Chrome recopilará datos y se pondrá en contacto con los principales sitios web afectados para notificarles.

Con Chrome 101 (con suerte durante la prueba), las solicitudes de verificación previa deben tener éxito. De lo contrario, las solicitudes fallarán.

Para la mayoría de los usuarios de Chrome, no debería cambiar mucho en la navegación web diaria. Sin embargo, habrá una experiencia más segura cuando la actualización finalmente se publique, y puede haber algunas solicitudes adicionales para permitir o denegar.

Si quieres todos los detalles técnicos de lo que va a pasar y cómo funciona, puedes leer el post sobre cómo acceder a la red privada de Google. Abarca todos los asuntos técnicos, pero la mayoría de las personas estarán felices de saber que el navegador detendrá un tipo específico de ataque antes de que comience, y eso es algo bueno.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad