Las páginas web cada vez tienen más funciones y son capaces de interactuar, a través de nuestro navegador, con más elementos de nuestros sistemas. Una de las últimas incorporaciones a los navegadores, concretamente a Google Chrome, son WebUSB y WebBluetooth, dos nuevas APIs que permiten a las páginas web tener acceso tanto al USB como al Bluetooth de nuestro ordenador, con las ventajas, e inconvenientes, que esto supone.
Que las páginas web puedan tener acceso a los puertos USB de nuestro ordenador y al Bluetooth la verdad es que es algo bastante preocupante, ya que esto abre la puerta a nuevas técnicas de phishing que pueden dar lugar a ataques informáticos muy sofisticados. Tal como han demostrado varios investigadores de seguridad, estas dos nuevas APIs pueden ser utilizadas por los piratas informáticos para interactuar con los dispositivos de doble autenticación que tengamos conectados al equipo, como, por ejemplo, las llaves de seguridad Yubikey. Conoce cómo resetear las extensiones del navegador de Chrome.
Es cierto que Google Chrome muestra al usuario una ventana de advertencia cuando una web intenta utilizar cualquiera de estas dos APIs, y además pide al usuario que confirme dicha ventana. Sin embargo, hay muchas veces que los usuarios aceptan sin leer o sin saber exactamente qué está aceptando, pudiendo pone en peligro todo su sistema.
Para evitar estos problemas, a continuación os explicamos cómo deshabilitar estas dos APIs.
Cómo deshabilitar WebUSB y WebBluetooth en Google Chrome
Google no ha habilitado una opción específica que permita a los usuarios deshabilitar manualmente estas características de Google Chrome, sin embargo, recurriendo a algunas extensiones sí es posible bloquear el uso de estas APIs en el navegador, protegiéndonos de posibles ataques que puedan llevarse a cabo a través de ellas.
Estas dos extensiones, Disable WebUSB y Disable WebBluetooth, son totalmente gratuitas para todos los usuarios, y podemos descargar para Google Chrome directamente desde la Chrome Store.
Una vez instaladas estas extensiones en nuestro navegador, automáticamente este bloqueará todas las llamadas a estas APIs por defecto, no distinguirá entre las buenas y las malas. Si no utilizamos estas características no tendremos de qué preocuparnos, sin embargo, si sí que utilizamos alguna de ellas la única manera de utilizar estas características será deshabilitando temporalmente las extensiones.
Cómo evitar ponernos en peligro incluso con estas APIs habilitadas
Al final, deshabilitar estas APIs es erradicar el problema de raíz, pero perdemos posibles funciones que pueden ser útiles al navegar por Internet. Mucho mejor que cortar por lo sano estas características del navegador, que nunca se sabe cuándo podemos necesitarlas, es utilizar el sentido común, nuestro mejor aliado cuando navegamos por Internet.
De sobra debemos saber que si una web es fiable, el uso de estas APIs no va a suponer ningún peligro, por ejemplo, si intentamos entrar a Gmail, Dropbox, o cualquier otra página compatible con las llaves de seguridad, por ejemplo.
Si una página que solemos visitar muy ocasionalmente, de dudosa fiabilidad, o que hemos encontrado en Internet o en una red social, nos pide permiso para acceder a estos recursos en nuestro ordenador, lo más seguro es que sí se trate de una amenaza, pero, como nos pide permiso, bastaría con leer el mensaje para saber lo que está pidiendo y, entonces, rechazar el acceso a esta función del navegador.
¿Sueles desactivar este tipo de APIs de Google Chrome que no utilizas?