Icono del sitio FUENTES INFORMADAS

Google desarrolla una función para impedir que las webs públicas ataquen a los dispositivos en redes privadas

Archivo - Logo de Google Chrome | Fuente: Pixabay

Archivo - Logo de Google Chrome | Fuente: Pixabay

La nueva herramienta está en modo “solo advertencia” en Chrome 123

Google Chrome ha comenzado a probar una función de seguridad con la que evita ataques maliciosos de sitios web públicos que pretenden acceder a dispositivos y servicios en redes privadas internas, como ‘routers’ u otros ordenadores, identificando si las solicitudes de acceso provienen de un contexto seguro y comprobando si tienen acceso a la red privada.

Una red privada o interna es un conjunto de direcciones que permite a distintos dispositivos y servicios comunicarse dentro de una misma red, sin necesariamente disponer de acceso a Internet. Por tanto, una red privada dispone de acceso limitado y se utiliza para conectar equipos de una misma organización u hogar, es decir una impresora, un ‘router’ o, incluso, distintos ordenadores entre sí.

Los datos que manejan las redes privadas solo se gestionan de forma interna proporcionando un mayor nivel de privacidad, y son comúnmente utilizadas en empresas, universidades o eventos.

Algunos ataques maliciosos que provienen de sitios web públicos pueden suponer un riesgo, no solo para el dispositivo desde el que se está accediendo al sitio web, sino para los dispositivos y servicios conectados a su misma red privada. Esto se debe a que el ciberataque puede utilizar la red interna para llegar a dichos dispositivos.

Google ya lo está probando

En este sentido, Google ha comenzado a probar una nueva característica en su navegador Chrome, a la que se refiere como verificaciones de acceso a la red privada para solicitudes de navegación, tal y como ha dado a conocer en una publicación de soporte.

En concreto, se trata de una función con la que el navegador podrá verificar si un sitio web público intenta llevar a cabo un ataque malicioso y, en caso de considerarlo un riesgo, bloquearlo antes de que acceda a, por ejemplo, el ‘router’ del hogar, a través de la red privada.

Esta herramienta permitirá evitar que los sitios web maliciosos “pivoten” a través de la red de un usuario para atacar dispositivos y servicios que “razonablemente asumieron que eran inalcanzables desde Internet en general”, de cara a instalarse en la intranet local del usuario o en un dispositivo conectado a dicha red.

El navegador comprueba la seguridad

Así, según ha detallado la tecnológica, el funcionamiento de esta nueva característica consiste en que, antes de que un sitio web acceda a otros servicio o dispositivo a través de la red privada de un usuario, el navegador comprueba si la solicitud se ha iniciado desde un contexto seguro. Tras ello, envía una solicitud de verificación previa al dispositivo al que quiera acceder el sitio web público y comprueba si este responde dando acceso.

Es decir, las solicitudes de acceso a dispositivos que pertenecen a una red interna por parte de sitios web públicos se bloquearán automáticamente a no ser que el dispositivo permita de forma concreta dicha conexión.

Por el momento la función está en modo “solo advertencia” en Chrome 123, por lo que Google ha especificado que, actualmente, continúan otorgando acceso a la red privada. No obstante, ha compartido que, en caso de encontrar un fallo en las comprobaciones mencionadas anteriormente, el navegador procederá a lanzará una advertencia a los usuarios en las DevTools.

De esta forma, con la advertencia, Google pretende “ayudar a los desarrolladores a prepararse para la próxima aplicación”, esto es, adaptarse antes de que el navegador comience a implementar esta herramienta de forma estricta.

Evitar recargar la navegación

Además de todo ello, la compañía también ha advertido en un documento explicativo que, una vez se bloquea la solicitud del sitio web público, el navegador puede intentar recargar automáticamente la navegación, de la misma forma que el usuario puede recargar la página manualmente.

En este caso, dado que el que inicia la recarga es el navegador, la petición de acceso no se reconocerá como una petición de Acceso a Red privada si no que se tendrá en cuenta como una petición interna. Por tanto, se saltará las protecciones de la herramienta de seguridad en cuestión.

Para frenar este fallo, Google ha sugerido desactivar la recarga automática del navegador, cuando la solicitud esté bloqueada por la nueva característica de seguridad.

En caso de que esto ocurra, el navegador mostrará un mensaje de error en el que se detallará por qué se ha bloqueado la petición. Concretamente, el código BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS.

Salir de la versión móvil