KSN: Un análisis de los navegadores web

Hoy en día los cibercriminales son muy rápidos para explotar vulnerabilidades en Adobe Reader, Flash y Java con la intención de infectar los equipos de los usuarios. Esto es por una razón muy simple: los exploits para las vulnerabilidades de estos productos pueden infectar equipos sin importar el sistema operativo y navegador que utilicen. Asumimos que el navegador que escogen los usuarios no condiciona las amenazas que lo afectan, y nos bastó una breve investigación para comprobarlo.

La imagen es cortesía del sitio web PCMAG

Fuente de datos

Kaspersky Security Network (KSN), el servicio en la nube de Kaspersky Lab, recolecta estadísticas anónimas sobre las amenazas que afectan a aquellos usuarios que han aceptado que se recoja y transfiera esta información de su equipo. Esta información se utiliza después para bloquear programas maliciosos desconocidos, lo que también se hace en la nube.

Para hacer la investigación, aislamos 10,5 millones de ordenadores en varios lugares del mundo. Estos equipos entregan información sobre códigos maliciosos detectados en Internet a KSN (http://ksn.kaspersky.com) con regularidad.

Cuando un navegador web detecta amenazas de red como scripts maliciosos, exploits, archivos infectados, etc., en un servidor, KSN recibe datos como el nombre del navegador y su MD5. Al analizar los datos de KSN, podemos conseguir estadísticas sobre los navegadores instalados en los equipos de nuestros clientes.

El navegador más popular

Para comenzar, presento algunas figuras que muestran la popularidad de los diferentes navegadores instalados en nuestros ordenadores de muestra:

Índice de popularidad de los navegadores instalados en los equipos de los usuarios

Google Chrome tiene la mayor cantidad de usuarios. Este resultado concuerda con el de muchos otros estudios (http://en.wikipedia.org/wiki/Usage_share_of_web_browsers).

También descubrimos que:

• Sólo alrededor del 10% de los usuarios usan dos o más navegadores de forma simultánea en el mismo equipo;
• Los equipos tienen instaladas las últimas versiones de los navegadores en el 50-60% de los casos.

Navegadores de preferencia

Nos fijamos en qué navegadores instalan los usuarios según su sistema operativo.

Información sobre los sistemas operativos y navegadores instalados en los equipos de los usuarios

En este diagrama, podemos ver que la mayoría de los ordenadores que nos enviaron sus datos utiliza versiones domésticas de Windows 7 x64. Internet Explorer es el navegador más usado en estos equipos. Internet Explorer también es muy popular entre los usuarios de otras versiones domésticas de Windows 7, Windows Vista y Windows XP.

Firefox a menudo se ejecuta en Windows XP Pro, y Chrome en versiones profesionales de Windows 7.

Debemos recalcar que las versiones “domésticas” de los sistemas operativos casi siempre son las que usan los usuarios domésticos regulares. Los denominados usuarios “avanzados” prefieren las versiones profesionales de Windows XP y Windows 7.

Cuáles son las amenazas?

Para continuar con nuestra investigación, compilamos la popularidad de las amenazas que más enfrentan los usuarios de cada navegador.

TOP 20 de amenazas que enfrentan los usuarios de cada navegador

En las primeras posiciones del Top 20 encontramos veredictos de antivirus que indican grupos de objetos maliciosos:

• WMUF:(blocked) – sitios maliciosos con acceso bloqueado.
• HEUR:Trojan.Script.Generic – scripts maliciosos.
• HEUR:Trojan.Script.Iframer – scripts que devuelven IFRAMEs a sitios infectados.
• UFO:(blocked) – sitios o archivos maliciosos que tienen bloqueado el acceso por la nube.
• HEUR:Trojan.Win32.Generic – archivos que muestran un comportamiento malicioso.

Con estos datos, también podemos ver qué programas maliciosos se detectan con más frecuencia en los equipos de los usuarios que utilizan navegadores específicos.

En los equipos de usuarios de Firefox, lo que más se detecta son exploits para vulnerabilidades en software de Adobe: Exploit.JS.Pdfka, Trojan-Downloader.JS.Expack, Exploit.SWF.CVE-2011-0611.

Los usuarios de Chrome se enfrentan más a menudo con adware, anuncios publicitarios no solicitados: not-a-virus:AdWare.Win32.iBryte, not-a-virus:AdWare.Win32.ScreenSaver, not-a-virus:HEUR:AdWare.Win32.SweetIM.

Los usuarios de Internet Explorer se encuentran más seguido con el adware de la extensión del navegador not-a-virus: WebToolbar.Win32.MyWebSearch y el adware malicioso Trojan.JS.Popupper.

Los usuarios de Opera tienen más posibilidades de enfrentarse al programa malicioso Trojan-Downloader.SWF.Voleydaytor.h, que los cibercriminales comparten en sitios comprometidos.

Nada en particular llamó la atención en las estadísticas de los usuarios de SAFARI.

Las diferencias entre estas listas de malware en parte se deben a sus peculiaridades en la operación de los diferentes navegadores, por ejemplo, la forma en la que entregan archivos PDF o utilizan tecnologías de “sandbox” (caja de arena).

Los resultados también varían de acuerdo a los comportamientos de las diferentes categorías de usuarios. Los usuarios “avanzados”, por ejemplo, son mucho más activos en Internet, en comparación con los domésticos y, por lo tanto, es más posible que aterricen en sitios con exploits.

Cantidad de ataques repelidos

Ahora compararemos la cantidad de notificaciones sobre los ataques repelidos en los navegadores.

Cantidad de amenazas bloqueadas en el navegador

Aunque Internet Explorer es el segundo navegador más popular, está como penúltimo en la lista de los navegadores que bloquean amenazas.

Si comparamos la cantidad de ataques que afectaron a un usuario promedio de cada navegador en septiembre, obtenemos la siguiente figura:

Cantidad promedio de amenazas bloqueadas por cada usuario de un navegador

Como se ve en el diagrama, la cantidad promedio de ataques que repelen los equipos de los usuarios de Chrome y Firefox es muy similar, y casi igual al promedio de todos los usuarios de navegadores.

Los usuarios de Internet Explorer enfrentaron la menor cantidad de ataques, mientras que los de Opera tuvieron que lidiar con la mayor.

Asumimos que los usuarios domésticos que prefieren Internet Explorer visitan una cantidad limitada de sitios populares. Por lo tanto, los cibercriminales no atacan sus equipos con tanta frecuencia como a los de los usuarios “avanzados” de otros navegadores, que suelen tener un comportamiento más arriesgado en Internet.

Conclusiones

Como conclusión, quisiera destacar algunos puntos importantes:

1. Chrome es el navegador más popular entre los usuarios de los productos Kaspersky Lab que incluimos en nuestra selección.
2. Los usuarios de las versiones domésticas de Windows son quienes más usan Internet Explorer.
3. Los usuarios de Opera, en promedio, enfrentan la mayor cantidad de ataques repelidos.
   No se encontraron evidencias de ataques dirigidos que los cibercriminales hayan usado contra navegadores específicos. Pero hay perfiles específicos de amenazas de Internet asociados con grupos de usuarios de cada uno de los navegadores populares. Estas asociaciones reflejan el uso de tecnologías de seguridad en sus respectivos navegadores y las características del comportamiento de sus usuarios en Internet.

Por supuesto, este análisis no está completo porque falta un estudio de la distribución geográfica de los usuarios de los navegadores; además, las amenazas, que están mezcladas en veredictos heurísticos y de comportamiento, deben analizarse más a fondo. Es posible que hagamos más publicaciones sobre estos temas. Por ahora, quiero agradecer a Yuri Namestnikov y al Grupo de Diseño y Desarrollo de Bases de Datos de Kaspersky Lab, que tuvieron una participación clave en esta investigación.