Recordando los controles ActiveX, el mayor error de la web

Introducidos en 1996, los controles ActiveX de Internet Explorer eran una mala idea para la web. Causaron serios problemas de seguridad y ayudaron a cimentar el dominio de Internet Explorer sobre Windows, lo que llevó al estancamiento de la web antes de Firefox.

¿Qué eran los controles ActiveX?

Los controles ActiveX son un tipo de programa que se puede incorporar a otras aplicaciones. Microsoft los ha utilizado para varios propósitos, como incrustar controles ActiveX en documentos de Microsoft Office. Sin embargo, aquí nos centramos en ActiveX para la Web. A partir de Internet Explorer 3.0 en 1996, Microsoft permitió a los desarrolladores web incrustar controles ActiveX en sus páginas web.

Entonces, cuando visita una página web, Internet Explorer le pedirá que descargue y ejecute todos los controles ActiveX especificados por la página web.

Los complementos populares de Internet Explorer como Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime y Windows Media Player se han implementado utilizando controles ActiveX.

RELACIONADO: ¿Qué son los controles ActiveX y por qué son peligrosos?

La seguridad fue un problema desde el principio

La década de 1990 fue una época diferente, que también nos trajo macros peligrosas en los documentos de Office. Originalmente, los controles ActiveX eran como cualquier otro programa en su computadora. Cuando inició un control ActiveX, tenía acceso completo a todo en su computadora.

En otras palabras, puede visitar una página web en Internet Explorer y ver un mensaje que indica que la página web desea ejecutar un juego u otro programa. Si está de acuerdo, el control ActiveX podrá hacer lo que quiera con todos los archivos y programas de su computadora. Es fácil ver cómo esto fue ideal para el malware.

Esto estaba en marcado contraste con la tecnología Java de Sun. En ese momento, Java también se usaba para ejecutar programas en páginas web dentro de navegadores web. Sin embargo, Java intentó limitar lo que estos programas podían hacer mediante el uso de una caja de arena. Java en el navegador web finalmente tuvo un largo historial de agujeros de seguridad, pero al menos Java estaba tratando de limitar lo que las aplicaciones podían hacer.

Un artículo de CNET desde 1997 captura la actitud de Microsoft en ese momento:

"Aunque el sandbox de Java impone un alto nivel de seguridad, no permite a los usuarios descargar y ejecutar emocionantes juegos multimedia u otros programas con todas las funciones en sus computadoras", se lee en una declaración en el sitio de seguridad de Microsoft. "Como resultado, los usuarios pueden querer descargar un código que tenga acceso completo a los recursos de su computadora".

El artículo continúa explicando que Microsoft ha incluido un sistema de "responsabilidad" llamado Authenticode. Los desarrolladores de software podían optar por sellar sus controles ActiveX con una firma digital, pero eso no era obligatorio. Los desarrolladores que crearon controles ActiveX maliciosos podrían ser rastreados más fácilmente si optaran por firmar sus controles.

Con Microsoft inicialmente confiando en el sistema de honor, es fácil ver cómo ActiveX se ha convertido en una forma popular de entregar malware y spyware a los usuarios de Internet Explorer.

RELACIONADO: ¿Por qué tantos geeks odian Internet Explorer?

ActiveX fue diseñado para la antigua web

Hubo un tiempo en que las tecnologías web no eran muy poderosas. Si deseaba algo más avanzado que texto e imágenes, incluso si solo deseaba incrustar un video en una página web, necesitaba algún tipo de complemento de navegador.

ActiveX fue diseñado para un mundo donde no es posible construir aplicaciones complejas y completas usando HTML, JavaScript y otras tecnologías modernas, como es posible hoy.

Muchas organizaciones han recurrido a los controles ActiveX para agregar funcionalidad a sus sitios Web. Muchas empresas también han utilizado los controles ActiveX internamente para implementar rápidamente programas en sus PC corporativas. Cuando accede a una de estas páginas web con Internet Explorer, se le solicita que descargue un control ActiveX y ejecute el programa.

Agradable y fácil, demasiado fácil. Quizás hubiera volado a la red interna de una empresa (intranet) donde todo era confiable. Pero en la web salvaje, esto ha causado muchos problemas.

ActiveX fue un desastre de seguridad

Conceptualmente, ActiveX tenía dos problemas de seguridad importantes. Primero, un sitio web malintencionado puede requerir que instale un control ActiveX malintencionado, y fue muy fácil para los usuarios de Internet Explorer aceptar el mensaje e instalarlo.

En segundo lugar, un error en un control ActiveX legítimo podría ser un problema. Por ejemplo, si se instaló una versión desactualizada de Adobe Flash, un sitio web malicioso podría aprovecharlo y obtener acceso a todo el equipo, ya que los controles ActiveX como Flash tenían acceso a todo el equipo.

Esto fue realmente importante, ya que los controles ActiveX a menudo no tenían sistemas de actualización automática.

Con el tiempo, Microsoft ha seguido ajustando la configuración de seguridad y agregando protección adicional como "Modo protegido" y "Modo protegido mejorado". Por ejemplo, Internet Explorer tiene un archivo lista de controles ActiveX obsoletos que se niega a cargar. Internet Explorer proporciona advertencias adicionales antes de descargar y cargar controles ActiveX. Se han introducido otras configuraciones de seguridad que permiten a los creadores de controles ActiveX restringir la ejecución de controles ActiveX solo a ciertos sitios web, por ejemplo.

Caso en cuestión: el sitio web de Microsoft alguna vez requirió un control ActiveX "Administrador de descargas" de Akamai para descargar ciertos archivos. Este Administrador de descargas requería acceso completo a toda la computadora y, por supuesto, solo funcionaba en Internet Explorer. Como era de esperar, este programa Administrador de descargas tenía sus propias vulnerabilidades de seguridad. ¿Realmente parece una buena solución descargar archivos en lugar de depender del descargador de archivos integrado en su navegador web?

Los controles ActiveX no eran multiplataforma

ActiveX era una tecnología de Microsoft que funcionaba mejor en Internet Explorer en Windows. Hubo algunos complementos que agregaron soporte para navegadores de la competencia, como Netscape Navigator (el antepasado de Mozilla Firefox), pero en realidad se trataba de Internet Explorer.

Técnicamente, ActiveX era multiplataforma. Microsoft agregó soporte ActiveX a Internet Explorer para Mac. Sin embargo, a diferencia de Java (que era multiplataforma), los controles ActiveX escritos para Windows no funcionaban en Mac. Los desarrolladores deberían crear controles ActiveX para Mac.

Por ejemplo, Corea del Sur estandarizó un control ActiveX necesario para acceder a sitios web financieros y gubernamentales seguros en la década de 1990. Fue simplemente completamente cerrado en 2020y la adicción a ActiveX ha obligado a las personas a utilizar esa tecnología antigua y obsoleta durante mucho tiempo. Como el El Correo de Washington una vez escribió: "Corea del Sur [was] atascado con Internet Explorer para las compras en línea "en 2013. El artículo describe cómo los usuarios de Mac tenían que depender de las computadoras de escritorio en sus oficinas, cibercafés, computadoras viejas o Boot Camps para comprar en línea.

Situaciones similares ocurrieron de manera similar en otros lugares: las empresas que estandarizaron ActiveX para entregar aplicaciones internas se estancaron dependiendo de Internet Explorer en Windows hasta que dejaron ActiveX atrás.

Cómo es mejor la web moderna

Desde el punto de vista de la seguridad, la web moderna es mucho mejor. Cuando carga una página web, el navegador web carga y ejecuta esa página web en su propia caja de arena aislada. El navegador web no se basa en ActiveX, Java, Flash o cualquier otro tipo de programa de terceros que ejecute parte de la página web.

No hay forma de que un sitio web proporcione un código que tenga acceso completo a todo en su computadora, no sin descargar un EXE que se ejecuta completamente fuera del navegador en Windows, por ejemplo.

Su navegador web se actualiza automáticamente, por lo que no hay riesgo de que el código antiguo cuelgue y sea accesible a las páginas web sin obtener parches de seguridad, como fue el caso de ActiveX.

Antes de que se eliminara por completo en favor de las tecnologías web a fines de 2020, el contenido Flash también era más seguro que ActiveX. Google Chrome, por ejemplo, ejecutó Flash en una caja de arena. Un subprograma Flash malicioso tendría que usar un defecto para escapar de la caja de arena en Adobe Flash, luego usar otra falla para escapar de la caja de arena del complemento en Google Chrome para obtener acceso completo a la computadora.

Y, por supuesto, la web moderna es multiplataforma. Puede utilizar cualquier navegador que elija en cualquier plataforma que desee. No está atascado al usar Internet Explorer en Windows porque los sitios web que usa requieren un control ActiveX que solo funciona en Windows en ese navegador.

Y claro, la mayoría de las extensiones de navegador que instalas tienen acceso a todo lo que haces en tu navegador web, pero al menos no tienen acceso a toda tu computadora.

RELACIONADO: ¿Sabías que las extensiones del navegador están escaneando tu cuenta bancaria?

Controles ActiveX en Windows 10

A partir de 2021, los controles ActiveX todavía son compatibles con las versiones modernas de Windows 10. Sin embargo, se debe utilizar el navegador heredado Internet Explorer 11: Microsoft Edge no es compatible con los controles ActiveX.

Algunas empresas y otras organizaciones todavía usan controles ActiveX en la actualidad, por lo que Microsoft aún no ha eliminado el soporte para ellos.

RELACIONADO: Adobe Flash está muerto, eso es lo que significa