El estándar HTML5 no acaba con las amenazas, sino que abre la puerta a nuevas
El estándar HTML5 no acaba con las amenazas, sino que abre la puerta a nuevasUna de las mejores novedades que ha llegado a Internet en los últimos años es el estándar HTML5, un nuevo estándar preparado para una web moderna y que pretende, además de mejorar la seguridad, acabar con el uso de extensiones y plugins de más de 20 años (como Flash Player) del que aún dependen numerosas webs.
Adobe Flash Player, por ejemplo, registró en 2014 y 2015 un total de 457 vulnerabilidades. Este software aún es muy utilizado por piratas informáticos para engañar a los usuarios y explotar de forma remota los sistemas de las víctimas, por lo que cada vez son más las compañías que buscan acabar con el uso de este complemento.
2016 está siendo un año donde un gran número de empresas y webs están cambiando sus estándares basados en Flash y otros complementos por el estándar HTML5, capaz de ejecutar todo este contenido, y mucho más, sin problemas. De esta manera, las empresas pretenden reducir el número de amenazas y vulnerabilidades en las webs, aunque parece que no está saliendo todo como se esperaba.
Un informe de GeoEdge, empresa especializada en escanear anuncios web, ha comparado el uso de los anuncios tanto en Flash como en HTML5 llegando a la conclusión de que este nuevo estándar no es tan perfecto como muchos creen, y está lejos de acabar con las amenazas de las webs.
HTML5 es mejor que Flash, pero está lejos de ser perfecto
Lo primero que debemos tener en cuenta es que, aunque Flash utiliza más el procesador para ejecutar el contenido, los bloques de anuncios en HTML5 son más pesados (alrededor de 100KB más), lo que supone, a la larga, un consumo de ancho de banda mayor y una carga más lenta de las webs en conexiones lentas.
En cuanto a la seguridad, de momento, el estándar HTML5 es seguro y no tiene vulnerabilidades importantes conocidas, sin embargo, no va a acabar con la publicidad maliciosa ya que esta depende de los anunciantes, y si un anuncio aparece en una web y tiene malas intenciones las tendrá igual se base en Flash, Java o HTML5.
Además, no debemos olvidar que JavaScript es el lenguaje base para este nuevo estándar y hemos visto ya varios casos de malware que se distribuyen en este lenguaje, lo que puede dar lugar a anuncios con código malicioso oculto en el interior (y que además pasa desapercibido debido a que estos bloques de anuncios son más pesados) de bloques HTML5 que se ejecuten con el interpretador del navegador y que infecten, sin ser conscientes de ello, nuestro equipo.
Un ejemplo de esto es, como hablamos ayer, el ransomware RAA, un malware escrito 100% en JScript. También otros casos similares se han encontrado con “downloaders” de otros ransomware. Una vez que un pirata informático utiliza una técnica para distribuir malware utilizando lenguaje interpretativo como JScript o JavaScript, otros piratas pueden acceder al código (al no estar compilado ni cifrado), comprenderlo y utilizarlo en otras amenazas similares.
Los expertos de seguridad aseguran que la única forma de estar realmente protegido es utilizando técnicas de aislamiento (por ejemplo, en procesos cerrados, cajones de arena o contenedores como Docker) de manera que cada pestaña del navegador quede totalmente aislada y, en caso de que esta ejecute código malicioso, este no sea capaz de salir de su espacio único y volátil.
A pesar de todo, este nuevo estándar era algo necesario para un Internet moderno que, con el tiempo, probablemente sea capaz de acabar, o al menos reducir al mínimo, los peligros del Internet moderno.