¿Qué es el aislamiento de navegador?

El aislamiento de navegador protege a los usuarios de sitios web y aplicaciones de contenido web no confiables y potencialmente maliciosos, confinando la actividad de navegación a un entorno seguro y remoto.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir el aislamiento de navegador
  • Explicar los riesgos de usar un navegador web
  • Describir los diferentes tipos de aislamiento de navegador, incluido el aislamiento remoto del navegador
  • Comprender los casos de uso clave del aislamiento remoto del navegador

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es el aislamiento de navegador?

El aislamiento de navegador (también conocido como navegación remota) es el enfoque de ciberseguridad que consisten en separar la actividad de navegación por Internet del proceso de carga y visualización de páginas web localmente.

Por lo general, un visitante web carga el contenido y el código de la página web directamente en el navegador que se ejecuta en los dispositivos locales. Desde el punto de vista de seguridad, esto hace que la navegación por Internet sea bastante arriesgada, ya que estos contenidos y códigos suelen proceder de fuentes desconocidas (por ejemplo, alojamiento en la nube y servidores web). Sin embargo, el aislamiento remoto del navegador (RBI) —la tecnología que sustenta el aislamiento de navegador— carga y ejecuta el contenido web en la nube, lejos de los dispositivos locales.

Del mismo modo que se pueden utilizar máquinas para vigilar entornos peligrosos con el fin de mantener a las personas alejadas del peligro, la navegación remota "externaliza" la detección de contenido web peligroso. Esto aísla a los usuarios de Internet (y a las redes a las que se conectan) de los sitios web peligrosos que transportan malware y otras amenazas.

¿Por qué las organizaciones utilizan el aislamiento de navegador?

Los procesos de las empresas ya no se llevan a cabo principalmente dentro de una red corporativa interna. En cambio, los empleados (ya sean presenciales, totalmente remotos o híbridos) pasan la mayor parte de su tiempo accediendo a sitios web y a aplicaciones basadas en la nube, como correo electrónico, para realizar su trabajo — y para ello confían en los navegadores web.

Al igual que los firewall, las VPN y el control de acceso a la red ayudan a detener los ataques dirigidos a las redes internas, el aislamiento de navegador ayuda a detener los ataques originados desde el navegador.

El aislamiento de navegador es un componente importante del modelo de seguridad Zero Trust, en el que ninguna solicitud de conexión es inherentemente confiable por defecto. En este caso, aplicar ese principio de Zero Trust a la navegación significa que no se debe confiar en código de un sitio web para ejecutarse por defecto en los dispositivos.

Principales ventajas del aislamiento de navegador:

  • Prevenir las descargas locales o la ejecución de malware, ransomware y otros scripts maliciosos
  • Bloquear el contenido web malicioso sin tener que bloquear todo el sitio web
  • Minimizar el riesgo de vulnerabilidades del navegador de zero-day*

*Una vulnerabilidad de día cero es un ataque que utiliza una vulnerabilidad que no ha sido identificada ni parcheada con anterioridad. Aunque son poco frecuentes, las vulnerabilidades de día cero son casi imposibles de detener.

¿Qué es el aislamiento remoto del navegador (RBI)?

La tecnología de aislamiento remoto del navegador, también llamada "aislamiento de navegador alojado en la nube", carga páginas web y ejecuta cualquier código asociado en un servidor en la nube, lejos de los dispositivos locales de los usuarios y de las redes internas de las organizaciones. La sesión de navegación del usuario se borra cuando finaliza, por lo que se elimina cualquier cookie o descarga maliciosa asociada a la sesión.

¿Cómo funciona el aislamiento remoto del navegador?

Aislamiento remoto del navegador: el código del sitio web ejecutado en el servidor remoto se elimina del portátil del cliente

La tecnología de aislamiento remoto del navegador mantiene la actividad de los navegadores no fiables lo más lejos posible de los dispositivos del usuario y de las redes corporativas. Normalmente, lo hace realizando las actividades de navegación web de un usuario en un servidor en la nube controlado por un proveedor de aislamiento remoto del navegador. Luego, el servicio de aislamiento remoto del navegador transmite la salida resultante al dispositivo del usuario para que este pueda interactuar con las páginas web de forma normal, pero sin cargar realmente las páginas web completas en su navegador y dispositivo locales. Cualquier acción del usuario, como clics del ratón, entradas del teclado o envíos de formularios, se transmite al servidor de la nube, donde se pueden aplicar otros controles.

Hay tres formas en las que un servidor de aislamiento remoto del navegador puede enviar contenido web al dispositivo de un usuario:

  • Transmitir el navegador desde la nube: este enfoque, también conocido como "inserción de píxeles", representa y procesa el contenido web en un servidor remoto en lugar de hacerlo en el dispositivo del usuario. Luego, el servidor envía una representación visual de la página web al dispositivo del usuario como una imagen interactiva o stream de vídeo. El gran ancho de banda de red necesario puede introducir latencia en la experiencia de navegación del usuario final. Sin embargo, este método puede ayudar a garantizar que el contenido malicioso permanezca confinado en el servidor remoto.
  • Vuelve a escribir cada página web en la nube para eliminar el contenido malicioso y, luego, envíala al navegador del usuario local. Con este método, denominado reconstrucción del modelo de objeto de documento (DOM), las páginas web se cargan en un entorno aislado y se vuelven a escribir para eliminar posibles ataques. Una vez el contenido es limpiado, se envía al dispositivo del usuario, donde el código de la página web se carga y ejecuta por segunda vez. Este enfoque aún puede enviar código de terceros no fiable a los dispositivos locales, pero es mejor que la inserción de píxeles para mantener la experiencia de la página web original.
  • Transmitir comandos de "dibujo" en lugar de código real del sitio web. Skia es el motor gráfico que funciona en Android, Google Chrome, Chrome OS, Mozilla Firefox y en muchas otras plataformas de hardware y software. En una técnica de aislamiento remoto del navegador llamada Network Vector Rendering (RVR), los comandos de "dibujo" de Skia se interceptan, se encriptan y luego se "transmiten" al navegador web que se ejecuta localmente en el dispositivo del usuario. Como el NVR transmite comandos de dibujo en lugar de código real del sitio web, puede ser más rápido y seguro que la inserción de píxeles y la reconstrucción del modelo de objeto de documento (DOM).

¿Cuáles son los otros tipos de aislamiento de navegador?

Las alternativas habituales al aislamiento remoto del navegador incluyen el aislamiento de navegador local y del lado del cliente:

  • El aislamiento de navegador local realiza las mismas actividades que el aislamiento remoto del navegador, pero en un servidor que una organización administra y gestiona internamente por completo.
  • El aislamiento de navegador del lado del cliente carga páginas web en un dispositivo de usuario en el que se ha instalado un software especial. Este software utiliza la virtualización o espacios seguros para mantener toda la actividad de navegación en la máquina virtual.

¿Cómo funciona el aislamiento de navegador del lado del cliente?

Aislamiento del navegador del lado del cliente: el código del sitio web se ejecuta en un espacio seguro dentro del dispositivo del punto de conexión

El aislamiento de navegador del lado del cliente virtualiza las sesiones del navegador; a diferencia del aislamiento remoto y local del navegador, el aislamiento de navegador del lado del cliente lo hace en el propio dispositivo del usuario. Intenta mantener la navegación separada del resto del dispositivo mediante la virtualización o el uso de lugares seguros.

Virtualización: la virtualización es el proceso de dividir un ordenador en máquinas virtuales separadas sin tener que alterar físicamente el ordenador. Esto se hace en una capa de software por debajo del sistema operativo que se conoce como "hipervisor." En teoría, lo que ocurre en una máquina virtual no debería afectar a las máquinas virtuales adyacentes, aunque estén en el mismo dispositivo. Al cargar las páginas web en una máquina virtual separada dentro del ordenador del usuario, el resto del ordenador sigue siendo seguro.

Espacios seguros: un espacio seguro es similar a una máquina virtual. Es un entorno virtual separado y confinado donde se pueden realizar pruebas de forma segura. El uso de espacio seguros es una técnica habitual de detección de malware: muchas herramientas antimalware abren y ejecutan archivos potencialmente maliciosos en un espacio seguro para ver lo que hacen. Algunos productos de aislamiento de navegador del lado del cliente usan espacios seguros para mantener la actividad de navegación web confinada de forma segura dentro del espacio seguro.

Debido a que el aislamiento de navegador del lado del cliente implica cargar realmente contenido potencialmente malicioso en el dispositivo del usuario, sigue siendo un riesgo para los usuarios y las redes. La separación física del código dañino del dispositivo es un concepto básico de los otros tipos de aislamiento de navegador; el aislamiento de navegador del lado del cliente no tiene esta separación.

¿De qué amenaza puede defender el aislamiento remoto del navegador?

Todas las páginas web y aplicaciones web se componen de código HTML, CSS y JavaScript. Aunque HTML y CSS son lenguajes de marcado, lo que significa que sólo proporcionan instrucciones de formato, JavaScript es un lenguaje de programación completo. Aunque JavaScript es muy útil para habilitar muchas funciones de las aplicaciones web, también se puede utilizar de forma maliciosa.

Es posible realizar varios tipos de ataques basados en navegador con JavaScript. Algunos de los más habituales son:

  • Descargas no autorizadas: el simple hecho de cargar una página web inicia la descarga de una carga útil maliciosa. Las descargas no autorizadas suelen aprovecharse de una vulnerabilidad no parcheada en un navegador.
  • Malvertising: se inyecta código malicioso en redes publicitarias legítimas. Cuando se muestran los anuncios maliciosos, se ejecuta el código. El resultado es que a los visitantes web se les redirige a sitios web maliciosos.
  • Secuestro de clic: una página web está diseñada para engañar a un usuario y que haga clic en algo que no tenía intención de hacer. El secuestro de clic puede utilizarse para generar ingresos publicitarios falsos, enviar al usuario a un sitio web no seguro o incluso iniciar la descarga de un malware.

Algunos otros ataques comunes en el navegador (que pueden o no implicar a JavaScript) incluyen:

  • Ataques de redireccionamiento: un usuario intenta cargar una URL legítima pero luego es redirigido a una URL controlada por un atacante.
  • Ataques en ruta al navegador: un atacante en ruta aprovecha las vulnerabilidades del navegador para poner en riesgo el navegador de un usuario, en ese momento pueden alterar el contenido web que se muestra al usuario o incluso hacerse pasar por él.
  • Scripting entre sitios: se inyecta código malicioso en una aplicación o sitio web. Esto permite a los atacantes llevar a cabo una serie de actividades maliciosas, entre las que se incluyen robar cookies de sesión o tokens de inicio de sesión, y luego hacerse pasar por usuarios legítimos.

Al aislar las sesiones del navegador en un entorno controlado, el contenido y el código malicioso se mantienen fuera de los dispositivos de los usuarios y de la red de la organización. Por ejemplo, un ataque de descarga no autorizada no tendría efecto en un usuario de una organización que utilice el aislamiento de navegador. La descarga tendría lugar en un servidor remoto o en un espacio seguro, y se destruiría al final de la sesión de navegación.

¿Puede el aislamiento remoto del navegador bloquear amenazas que no contengan scripts de web maliciosos?

Además de detener los ataques dentro del navegador, otros casos de uso emergentes para el aislamiento remoto del navegador incluyen:

  • Aislar a los usuarios del malware: la integración del aislamiento remoto del navegador con la inspección HTTPS, una puerta de enlace web segura (SWG) y otros servicios de seguridad de Zero Trust pueden bloquear la propagación de virus, gusanos, troyanos, ransomware y otros programas maliciosos.
  • Detener los ataques de phishing multicanal: los atacantes suelen utilizar enlaces de correo electrónico integrados como medio inicial para exponer a los usuarios al compromiso de cuentas o a la exfiltración de datos. Cuando se integra con la seguridad de correo electrónico en la nube de Zero Trust, el aislamiento remoto del navegador puede eliminar el riesgo de estos ataques de phishing "multicanal".
  • Gestión de permisos de terceros: la integración de aislamiento remoto del navegador con soluciones de gestión de identidades y accesos (IAM) basadas en la nube puede automatizar las políticas de aislamiento remoto del navegador para usuarios de terceros de mayor riesgo (como bloquear a los contratistas para que no ingresen credenciales en determinadas páginas web).

¿Cómo ayuda el aislamiento de navegador de Cloudflare?

Un modelo de seguridad de Zero Trust supone que, aunque un usuario haya cargado un sitio web de forma segura 99 veces no significa que el sitio web no pueda estar en riesgo más veces. El aislamiento de navegador es una forma de implementar esta suposición.

Como parte de la plataforma Zero Trust de Cloudflare, el aislamiento de navegador de Cloudflare aplica esta mentalidad de "nunca confiar" a la navegación por Internet. La navegación Zero Trust aísla a los usuarios de contenido web no fiables y protege los datos de las interacciones del navegador de usuarios y dispositivos no fiables.

El servicio de aislamiento remoto del navegador de Cloudflare aplica NVR para transmitir comandos de dibujo seguros al dispositivo, lo que garantiza la compatibilidad con cualquier página web en cualquier navegador, detiene las transmisiones de código de páginas web maliciosas y minimiza la latencia. El aislamiento de navegador de Cloudflare está incluido en Cloudflare One, una plataforma SASE que combina servicios de conectividad de red con servicios de seguridad Zero Trust en una red global creada creada específicamente para ello.