Menu
in

«Firefox es el navegador más seguro», anuncia la agencia de ciberseguridad de Alemania

Sus requerimientos son específicos, y sólo el «zorro» cumple con ellos

A nivel de consumo general, la larga batalla de los navegadores parece estar decidida en favor de Google Chrome y otros derivados de Chromium, pero lo que parece óptimo para los usuarios finales no siempre es necesariamente bueno para una agencia gubernamental. La «Oficina Federal Alemana para la Seguridad en Tecnología de Información» publicó un informe orientado a compartir y recomendar optimizaciones de seguridad en navegadores web modernos, y sometió a los principales ejemplares a una auditoría. Firefox fue el único en cumplir con todas sus condiciones, y lo más interesante es que ni siquiera evaluaron la última versión.

No importa el dispositivo o el sistema operativo, todos queremos que nuestras sesiones de navegación sean más rápidas y seguras. En más de una oportunidad, ambos requerimientos chocan, y el precio a pagar es una experiencia inferior. Sin embargo, hay entornos que definitivamente priorizan la seguridad, y pueden tomar la decisión de colocar al resto en un segundo plano.

Uno de esos entornos es la «Oficina Federal Alemana para la Seguridad en Tecnología de la Información» (Bundesamt für Sicherheit in der Informationstechnik, o sólo BSI). Esta oficina publica una guía dedicada a los principales navegadores del mercado, que sirve como referencia (y por qué no, recomendación) para otras agencias, organizaciones públicas y compañías del sector privado. La primera de esas guías vio la luz en 2017, pero recibió una actualización a fines de septiembre, y eso nos lleva a una nueva auditoría.


Firefox ESR, al frente en la auditoría

Los navegadores escogidos fueron Google Chrome 76, Microsoft Internet Explorer 11, Microsoft Edge 44, y Mozilla Firefox 68 en su edición Extended Support Release. Otras variantes de Chromium quedaron excluidas, al igual que Safari. Para que un navegador sea considerado «seguro» por la oficina, debe satisfacer estos requerimientos:


Soporte TLS, lista de certificados de confianza, soporte para certificados de validación extendida, verificación de certificados cargados frente a una lista de revocación (CRL) o un protocolo de estatus en línea (OCSP), iconos que identifiquen comunicaciones cifradas y abiertas, conexiones a sitios remotos con certificados vencidos autorizadas manualmente por el usuario, soporte HTTP Strict Transport Security (HSTS), Same Origin Policy (SOP), soporte Content Security Policy (CSP) 2.0, soporte Sub-resource integrity (SRI), updates automáticos con mecanismos separados para componentes del navegador y extensiones, actualizaciones firmadas y verificables, gestor de contraseñas con almacenamiento cifrado, acceso a dicho gestor sólo después de ingresar una contraseña maestra, la posibilidad de borrar contraseñas del gestor, bloquear y/o borrar cookies / historial de la función autocompletar / historial de navegación, desactivar telemetría… y varias condiciones más.



Firefox 68 ESR fue el único en cumplir con la lista completa. Los fallos más relevantes en el resto de los navegadores fueron:

  • Ausencia de soporte para un mecanismo de contraseña maestra (Chrome, IE, Edge)
  • Ausencia de mecanismo integrado de updates (IE)
  • Imposibilidad de bloquear telemetría (Chrome, IE, Edge)
  • Ausencia de Same Origin Policy (IE)
  • Ausencia de Content Security Policy (IE)
  • Ausencia de Subresource Integrity (IE)
  • Ausencia de soporte para múltiples perfiles (IE, Edge)
  • Falta de transparencia organizativa (Chrome, IE, Edge)

Probablemente el último punto sea el más conflictivo para los rivales de Firefox. Mozilla siempre ha destacado su apertura como una de sus mayores virtudes, mientras que resulta muy difícil extraer de Google y Microsoft una palabra en relación al manejo de datos de los usuarios. Imagino que este resultado no cambiará nada a nivel mundial, pero Firefox conserva cierta popularidad en Alemania, y una buena sinergia con ese país.


Fuente: ZDNet



Escrito por Lisandro Pardo

Leave a Reply