Inhabilita la sincronización del navegador en la oficina

En algunas empresas mantener separados el trabajo y la información personal es una práctica común. Pero la sincronización del navegador a menudo pasa desapercibida y los atacantes ya la están explotando.

El almacenamiento de información corporativa y personal, cuentas y archivos en dispositivos independientes es uno de los consejos más populares (¡y efectivos!) para la seguridad de la información. De hecho, muchas empresas lo establecen como un requisito obligatorio para todos los empleados. Una extensión natural de esta política es la prohibición del intercambio de datos entre los ordenadores corporativos y personales a través de servicios como Dropbox y la recomendación de no registrar cuentas personales (por ejemplo, de tiendas online) con el correo electrónico corporativo. A menudo, ni los usuarios ni los administradores tienen en cuenta otro entorno en el que lo personal y el trabajo se cruzan: la configuración del navegador web.

Las sugerencias para habilitar la sincronización del navegador Chrome usando una cuenta en la nube de Google aparecen desde el primer día y, de hecho, Chrome a menudo lo habilita automáticamente después de que el usuario inicie sesión en Gmail o Documentos de Google. En Firefox y Edge, la sincronización es menos molesta, pero existe y también se ofrece. A simple vista, tener los marcadores sincronizados puede parecer algo práctico y nada arriesgado, pero los atacantes piensan todo lo contrario, por supuesto.

Dónde está el riesgo en la sincronización del navegador

En primer lugar, tu perfil en la nube contiene bastante información. Además de una lista de marcadores y pestañas abiertas, los navegadores también sincronizan contraseñas y extensiones entre ordenadores. Por lo tanto, los atacantes que comprometen el ordenador personal de un empleado pueden obtener acceso a varias contraseñas de cuentas corporativas. Por lo que, si un usuario instala una extensión maliciosa en casa, esta aparecerá automáticamente en el ordenador corporativo. No estamos hablando de hipótesis, de hecho, la sincronización de contraseñas en Google Chrome fue lo que generó el compromiso del gigante de la seguridad de la información Cisco, cuando los ciberdelincuentes usaron extensiones maliciosas disfrazadas de seguridad corporativa para robar tokens de autenticación Oauth.

En segundo lugar, las extensiones maliciosas se pueden usar para la recopilación de datos de un ordenador infectado. Siempre que el navegador Chrome se ponga en contacto con la infraestructura legítima de Google, ya que un ataque puede durar mucho tiempo sin generar advertencias de las defensas de la red.

Cómo proteger los ordenadores corporativos contra la sincronización del navegador

Los administradores de sistemas deberán tomar una serie de medidas para abordar con eficacia la amenaza que representa la sincronización del navegador:

  • Utilizar navegadores que admitan configuraciones de políticas de seguridad centralizadas (Google, Firefox).
  • A nivel de política de seguridad, deshabilitar la sincronización de perfiles.
  • Nuevamente a nivel de política, prohibir el guardado de contraseñas en el navegador (es preferible un gestor de contraseñas especializado).
  • Si fuera necesario, limitar la instalación de extensiones de navegador a una lista de extensiones de confianza o prohibirlas por completo.

Y por último, aunque no por ello menos importante, formar a los empleados con suficiente antelación. Explícales por qué deben usar exclusivamente los navegadores corporativos y por qué no deben guardar contraseñas en el navegador ni sincronizar los marcadores con sus ordenadores personales. Habilita un tiempo de adaptación antes de aplicar las nuevas políticas. Si por alguna razón una organización no pudiera implementar compilaciones de navegadores corporativos, la formación de los empleados sigue siendo el único medio de protección clave.

Consejos