Declaración de ENISA sobre la reciente vulnerabilidad de Internet Explorer
Con relación a las advertencias emitidas el domingo por Microsoft acerca de la explotación de una vulnerabilidad previamente desconocida en todas las versiones compatibles de Internet Explorer, que afectaba a todas las versiones compatibles de IE y que permitía el secuestro secreto de ordenadores vulnerables, ENISA comenta lo siguiente:
- A modo de clarificación, ENISA no es un Equipo operativo de Respuesta ante Emergencias Informáticas (CERT, por sus siglas en inglés), sino que es un organismo de conocimientos especializados, que, sin embargo, sí que puede facilitar breves análisis de situación y expresar comentarios al respecto.
- Este es un ataque grave de día 0 a la sociedad, un ataque “en estado salvaje”, que demuestra que no estamos 100% seguros y que la sociedad puede ser altamente vulnerable si no se trata la cuestión de la seguridad desde un principio. Por lo tanto, defendemos un concepto de “seguridad mediante el diseño” desde un principio en los procesos de software por parte de la industria.
- Esta es una amenaza significativa para los usuarios de IE y no existe solución rápida ni “parche” que sirva de reparación.
- Los usuarios que deseen evitar el riesgo aquí mencionado deberán utilizar de forma temporal otro navegador hasta que se haya podido solucionar esta brecha creada en la seguridad.
- Los usuarios deberán mantener sus sistemas actualizados y con todos los parches aplicados.
- Muchos usuarios tienen dos navegadores diferentes instalados, por lo que deberían poder cambiar de navegador con relativa facilidad. De lo contrario, esta es una buena razón por la cual deberían tener dos navegadores.
- Si la medida anterior no fuera posible, los usuarios de IE deberán asegurarse de haber instalado EMET 4.1 o 5.0, de que todas las mitigaciones estén habilitadas y de que VML y Flash estén inhabilitados.
- Deberá activarse el modo protegido mejorado de IE. Está disponible a partir de IE10.
- Los usuarios deberán siempre navegar por Internet como usuario restringido y jamás desde la cuenta del administrador del sistema.
- Uno de los mayores problemas de esta vulnerabilidad es que los usuarios de Windows XP estarán expuestos a esta amenaza, ya que no se desarrollará ningún parche para XP (que ya ha llegado al final de su vida).
- Dado que esto afecta al 26% del total del mercado de navegadores, queda demostrada la importancia que la ciberseguridad tiene para la sociedad y la economía actuales.
- Según la empresa de seguridad FireEye, un conocido grupo de cibercriminales ya ha lanzado ataques concretos contra individuos y organizaciones.
A medida que conozcamos mejor esta vulnerabilidad, así como las herramientas y el ataque, este podría extenderse en un cercano futuro.
- La cuota de mercado del navegador IE ha bajado del 40% de hace unos años al actual 25%.
- En Europa, no obstante, Mozilla y Google Chrome son los navegadores más utilizados; al mismo tiempo que podemos encontrar ciertas áreas en las que existe un mayor uso de IE, como son Dinamarca, Groenlandia, partes de Italia, los Países Bajos y Mónaco, en particular. Aún así, IE ocupa una importante cuota de preferencia de los usuarios en la UE, por lo que es necesario extremar la precaución.
- IE es el navegador más importante en países como, p. ej., China, Angola y Groenlandia.[1]
El Director ejecutivo de ENISA, el profesor Udo Helmbrecht, ha comentado que:
- “Si queremos proteger a la economía y la sociedad moderna en Europa, necesitamos invertir más en prevención y preparación en el campo de la ciberseguridad y equipar a los organismos de la UE con los recursos adecuados.
Damos por hecho el acceso cibernético, pero todavía hoy, 40 años después de su invención, y de los 20 años que llevamos dependiendo de Internet, seguimos teniendo mucho trabajo por hacer en el campo de la seguridad si queremos poder disfrutar de las ventajas de Internet.”
ENISA recomienda ponerse en contacto con Microsoft para futuras actualizaciones, aunque hasta entonces todos los usuarios finales deberán tomar todas las precauciones necesarias; los costes de las inversiones en la ciberseguridad serán mayores más adelante, y por lo tanto debemos hacer cuanto esté en nuestras manos para afrontar ahora este reto.
Contexto:
Traducción. La versión original en inglés es el documento auténtico.
[1] http://commons.wikimedia.org/wiki/File:Countries_by_most_used_web_browser.svg
Para entrevistas: Ulf Bergström, Agente senior de comunicaciones corporativas y portavoz, +30 6948 460 143
For all media inquiries please contact press@enisa.europa.eu
Tags: