Hace unos días, NSS Labs, una organización independiente de investigación y pruebas de seguridad, lanzó su Análisis Comparativo de Seguridad en Navegadores, que muestra que Internet Explorer 10 bloquea más software construido para social que otro navegador en Windows con sus tecnologías SmartScreen y Application Reputation. Pero estas tecnologías sólo son una muestra de cómo IE10 protege a los clientes de Windows. El navegador incluye avances significativos en seguridad para ayudar a mantenerlos más seguros al navegar por Internet. Respaldado por evidencia de terceros, Internet Explorer 10 no sólo bloquea más del 99% del malware, también cuenta con menos vulnerabilidades de software que otros navegadores en Windows.
Para obtener este nivel de protección, IE10 sigue múltiples estrategias de seguridad para proteger de mejor manera a la gente en la red, como:
Protección de ataques construidos para social
Al imitar o comprometer sitios web confiables, los autores de malware intentan engañar a los usuarios para que compartan información personal o descarguen y ejecuten software malicioso. Para ayudar a proteger a los usuarios de este tipo de ataques, Microsoft utiliza una combinación de filtrado de URL y reputación de aplicación. El filtrado de URL SmartScreen y Application Reputation, proveen la mejor protección disponible contra ataques de malware.
Protección de ataques en sitios web
Incluso los sitios web ‘buenos’ pueden tener en ocasiones vulnerabilidades de seguridad que pueden permitir a sitios maliciosos robar sus datos o realizar acciones en su nombre. IE ayuda a protegerlos con XSS Filter, que de manera automática, previene ciertos tipos de ataques y facilita a los sitios web estar seguros por sí mismos con características de Declarative Security, como el soporte de IE10 para HTML5 Sandbox.
Protección contra ataques en el navegador o el sistema operativo
La actualización automática asegura que cuenten con las últimas actualizaciones instaladas. Esto los protege contra problemas de seguridad que ya han sido solucionados. IE9 agregó características significativas de protección de memoria para complicar la explotación de ciertos tipos de vulnerabilidades, que fueron mejoradas en IE10. También agregamos una nueva capa de protección llamada Enhanced Protected Mode.
¿Qué tan seguro es IE10? Existen diferentes formas de medir esto, pero una forma aceptada en general es evaluar qué tan bien se desempeñan los navegadores contra ataques del mundo real. También podemos ver el número de vulnerabilidades de software, como una forma de medir la calidad en la ingeniería. Veámoslo de manera breve
Ataques reales
El reporte anterior de NSS Labs sobre malware construido para social utilizó más de 96 mil casos de pruebas que involucraban malware en vivo durante un periodo de 28 días. Mostraba que IE bloquea más ataques reales que otros navegadores. Esto no es ninguna sorpresa, pues Microsoft lanzó en principio SmartScreen hace 5 años y continúa con la evolución de la protección con herramientas como Application Reputation.
Tasa de bloqueo de malware por navegador, de acuerdo con NSS Labs (mayo 2013)
Esta tabla muestra que Chrome, Firefox y Safari utilizan la API Safe Browsing de Google para bloquear URL maliciosas a una tasa aproximada de 10%. La mayoría de la protección de Chrome llega después que el usuario ha descargado software malicioso, a manera de advertencia. En comparación, el filtrado de URL SmartScreen de IE10 bloquea por sí solo tanto como Chrome – y cuando se agregó Application Reputation, IE10 bloqueó más del 99% del malware. Para un usuario, esto es muy importante. Es más seguro bloquear malware antes de que sea descargado contra advertir a alguien después de hacerlo.
Puesto de otra forma, sólo cuatro piezas de malware de miles, pasaron las protecciones de IE. Para Chrome, alrededor de dos de cada diez ataques tuvieron que recaer en otras formas de protección como software antivirus. Para Firefox y Safari, nueve de cada diez ataques requerían ser detenidos en otro lugar. Este es un gran ejemplo de por qué el principio de seguridad ‘defensa a profundidad’ es importante. Cada sistema cuenta con múltiples capas de seguridad – ¿Pero qué tanto confían en las otras capas para atrapar lo que su navegador no pudo?
Calidad en ingeniería
El Ciclo de Vida de Desarrollo Seguro de Microsoft (SDL) es un proceso de desarrollo de software que ayuda a los desarrolladores a construir software más seguro y cumplir con los requerimientos de seguridad, a la vez que reduce los costos de desarrollo. IE – como otros productos de Microsoft – está desarrollado mediante las mejores prácticas de SDL para disminuir las vulnerabilidades de seguridad. ¿Cómo se desempeña Internet Explorer, cuando busca la calidad en la ingeniería en seguridad? Los reportes de los analistas como Secunia Vulnerability Review 2013 y el Internet Security Threat Report 2013 de Symantec muestran que IE10 tiene muchas menos vulnerabilidades de seguridad que sus competidores.
Web Browser |
Secunia Advisories |
Common Vulnerabilities and Exposures (CVEs) |
Vulnerabilities |
Internet Explorer |
10 |
40 |
41 |
Google Chrome |
28 |
293 |
291 |
Mozilla Firefox |
21 |
164 |
257 |
Vulnerabilidades de software, de acuerdo con Secunia Vulnerability Review 2013
Estos resultados concuerdan con la Base de Datos Nacional de Vulnerabilidad de US NIST, que rastrea todas las vulnerabilidades de software. Claro que no todas estas vulnerabilidades podrían convertirse en ataques, pero esta es una buena evidencia del éxito del proceso del Ciclo de Vida Seguro de Desarrollo y la alta calidad en la ingeniería de IE para proteger a la gente de las vulnerabilidades.
Navegación más segura
Su navegador es la primera línea de defensa para mantenerse seguros en la red. IE10 fue diseñado con la seguridad en mente y los reportes de terceros, como los de NSS Labs y Secunia, muestran que IE10 provee seguridad del más alto nivel para los clientes de Windows. Si buscan una experiencia web que sea rápida, fluida y segura, prueben Internet Explorer 10 para Windows.
–Fred Pullen
Gerente de mercadotecnia de producto en Internet Explorer