WebRTC es una tecnología muy extendida que filtra las direcciones IP, incluso las protegidas por VPN.
La explotación masiva llega a través de WebRTC (abreviatura de Comunicación Web en Tiempo Real) y los navegadores que lo soportan: Google Chrome (y los demás navegadores construidos a partir de Chromium, ¡lo siento Brave!), Firefox, Opera, Vivaldi, Microsoft Edge y, más recientemente, Safari.
La amenaza permite que los sitios web vean sus direcciones IP únicas, incluso con una VPN – pero hay soluciones y soluciones para la mayoría de los navegadores.
¿Qué es WebRTC?
Si no estás familiarizado con WebRTC, es una tecnología que simplifica las comunicaciones en tiempo real a través de un navegador web. WebRTC es un protocolo de código abierto que admite aplicaciones de navegador a navegador para realizar llamadas de voz, chats de vídeo y compartir archivos. Es un plugin ampliamente soportado y utilizado por los navegadores web de escritorio y los sistemas operativos móviles más populares, a excepción de Internet Explorer y TOR Browser.
¿Cómo se filtran las direcciones IP?
Con el agujero de seguridad de WebRTC, un sitio web puede acceder a la información de la dirección IP de los servidores STUN.
Los servidores STUN (Session Traversal Utilities for NAT) son utilizados por las VPN para traducir su dirección IP local verdadera a una nueva dirección IP pública y viceversa. Para funcionar correctamente, el servidor STUN mantiene una tabla con la IP pública de la VPN y la IP local (“real”) durante la conectividad. Desafortunadamente, tu dirección IP “real” y la emitida por la VPN pueden ser extraídas de estas peticiones con JavaScript. Mientras tanto, los routers inalámbricos en casa replican una función similar al traducir las direcciones IP privadas a públicas y viceversa.
|
Un investigador de San Francisco, Daniel Roesler, publicó una demostración para ilustrar cómo funciona la vulnerabilidad. Aunque la demostración de Roesler afirmaba inicialmente que la vulnerabilidad del navegador no tenía solución, existen varias soluciones para mitigar el problema.
¿Cómo puedo saber si tengo una fuga de información?
Es fácil saber si la configuración de WebRTC de tu navegador está filtrando tu dirección IP. Sólo tienes que ejecutar una prueba de fugas en el escritorio o en el móvil. Si la dirección IP pública que se devuelve no coincide con la dirección IP de tu VPN, tienes una fuga.
¿A quién afecta y cómo se puede solucionar el agujero de seguridad de WebRTC?
Se trata principalmente de un problema de los navegadores web, por lo que los fieles a Microsoft, Android y Apple corren el mismo riesgo. Mientras que el dinosaurio que es Internet Explorer es demasiado viejo para soportar WebRTC (evitando así el fallo por completo) casi todos los navegadores web necesitan una solución.
Firefox
Mozilla habilita WebRTC por defecto en su navegador Firefox para ordenadores de sobremesa y móviles, pero desactivar el protocolo es muy sencillo. En la barra de direcciones, escriba about:config y ponga media.peerconnection.enabled en False.
Safari
Ahora que Apple ha añadido WebRTC al conjunto de funciones experimentales de Safari, este navegador también filtra IPs; pero esta solución es sencilla. Desde las Preferencias de Safari, ve a la pestaña Avanzadas, desplázate hasta el final y haz clic en Mostrar el menú Desarrollo en la barra de menús.
Una vez que aparezca en la barra de menú superior (normalmente entre “Marcadores” y “Ventana”), selecciona Desarrollar. El menú desplegable mostrará WebRTC, que puede ampliar un segundo desplegable. Asegúrese de que la opción Habilitar la API WebRTC heredada no está marcada para garantizar que está desactivada. Si la opción parece inaccesible, lo que significa que no puede activar ni desactivar la opción, es probable que no haya activado las Funciones Experimentales en Safari. Esto significa que WebRTC ya está desactivado.
Opiniones de NordVPN en el 2021 |
En el móvil: Chrome
Aunque Chrome para iOS no ha integrado profundamente la tecnología (todavía), los dispositivos Android siguen estando en riesgo. La solución más conocida es escribir chrome://flags/#disable-webrtc en la barra de direcciones del navegador. Desplácese hacia abajo para localizar y desactivar la cabecera de origen WebRTC STUN. Pero los informes en Twitter en 2020 muestran que esto ya no es 100% efectivo. Recomendamos dejar de usar este navegador hasta que se determine una solución fiable.
Escritorio: Chrome (Edge, y la mayoría de los navegadores Chromium)
Más de 20 navegadores web funcionan con Chromium, incluyendo Microsoft Edge, Opera, Amazon Silk, Comodo Dragon, Torch y Vivaldi.
Google Chrome (y otros navegadores web construidos sobre el marco Chromium) se enfrentan a un reto diferente. WebRTC está tan profundamente integrado en la plataforma Chromium que desactivar el protocolo es casi imposible. Afortunadamente, existe una solución que, aunque no es 100% efectiva, es muy fiable: las extensiones.
El limitador de red WebRTC fue lanzado directamente por Google para ayudar a mitigar el problema en 2015. Desde entonces, han surgido otras extensiones que incluyen la prevención de fugas de WebRTC, así como la muy valorada uBlock Origin.
Como se mencionó anteriormente, hay algunos informes de que todavía hay fugas en casos específicos. Esto se debe a que estas extensiones sólo ajustan la configuración de privacidad y seguridad del protocolo, no pueden desactivar WebRTC por completo. Así que si buscas una solución infalible, considera abandonar Chrome, Microsoft Edge, Opera y todos los navegadores basados en Chromium menos uno.
Brave
¿Tienes el navegador Brave? Bien por ti. Nosotros también somos grandes fans de este navegador específico basado en Chromium. Esta plataforma que da prioridad a la privacidad tiene un enfoque doble para desactivar WebRTC.
Manejo de WebRTC
En la barra de direcciones, escribe brave://settings/, haz clic en el icono de la lupa en la esquina superior derecha e introduce WebRTC. Junto a Política de manejo de IP de WebRTC, haga clic en el menú desplegable y seleccione Sólo interfaz pública predeterminada.
Protección de huellas dactilares
En Configuración, seleccione Escudos en el menú de la izquierda y busque Huellas digitales. Haga clic en el menú desplegable y seleccione Bloquear todas las huellas digitales.
Como alternativa, los que utilizan los navegadores afectados pueden configurar un router doméstico inalámbrico para conectarse a su servicio VPN directamente. Esto elimina la posibilidad de que un fallo basado en el software (o en este caso, en el navegador) exponga cualquier información sobre el usuario.
Leave a Reply
You must be logged in to post a comment.